Cmdlet Microsoft Entra versi 2 untuk manajemen grup
Artikel ini berisi contoh cara menggunakan PowerShell untuk mengelola grup Anda di ID Microsoft Entra, bagian dari Microsoft Entra. Ini juga memberi tahu Anda cara menyiapkan modul Microsoft Graph PowerShell. Pertama, Anda harus mengunduh modul Microsoft Graph PowerShell.
Menginstal modul Microsoft Graph PowerShell
Untuk menginstal modul MgGroup PowerShell, gunakan perintah berikut:
PS C:\Windows\system32> Install-module Microsoft.Graph
Untuk memverifikasi bahwa modul siap digunakan, gunakan perintah berikut:
PS C:\Windows\system32> Get-Module -Name "*graph*"
ModuleType Version PreRelease Name ExportedCommands
---------- ------- ---------- ---- ----------------
Script 1.27.0 Microsoft.Graph.Authentication {Add-MgEnvironment, Connect-MgGraph, Disconnect-MgGraph, Get-MgContext…}
Script 1.27.0 Microsoft.Graph.Groups {Add-MgGroupDriveListContentTypeCopy, Add-MgGroupDriveListContentTypeCopyF…
Sekarang Anda dapat mulai menggunakan cmdlet dalam modul. Untuk deskripsi lengkap cmdlet dalam modul Microsoft Graph, lihat dokumentasi referensi online untuk Microsoft Graph PowerShell.
Menyambungkan ke direktori
Sebelum dapat mulai mengelola grup menggunakan cmdlet Microsoft Graph PowerShell, Anda harus menyambungkan sesi PowerShell ke direktori yang ingin Anda kelola. Gunakan perintah berikut:
PS C:\Windows\system32> Connect-MgGraph -Scopes "Group.ReadWrite.All"
Cmdlet meminta info masuk yang ingin Anda gunakan untuk mengakses direktori Anda. Dalam contoh ini, kami menggunakan karen@drumkit.onmicrosoft.com untuk mengakses direktori demonstrasi. Cmdlet mengembalikan konfirmasi untuk memperlihatkan bahwa sesi berhasil disambungkan ke direktori Anda:
Welcome To Microsoft Graph!
Sekarang Anda dapat mulai menggunakan cmdlet MgGraph untuk mengelola grup di direktori Anda.
Mengambil grup
Untuk mengambil grup yang ada dari direktori Anda, gunakan cmdlet Get-MgGroups.
Untuk mengambil semua grup dalam direktori, gunakan cmdlet tanpa parameter:
PS C:\Windows\system32> Get-MgGroup -All
Cmdlet mengembalikan semua grup dalam direktori yang terhubung.
Anda dapat menggunakan parameter -GroupId untuk mengambil grup tertentu yang Anda tentukan objectID grupnya:
PS C:\Windows\system32> Get-MgGroup -GroupId 5e3eba05-6c2b-4555-9909-c08e997aab18 | fl
Cmdlet sekarang mengembalikan grup yang objectID-nya cocok dengan nilai parameter yang Anda masukkan:
AcceptedSenders :
AllowExternalSenders :
AppRoleAssignments :
AssignedLabels :
AssignedLicenses :
AutoSubscribeNewMembers :
Calendar : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCalendar
CalendarView :
Classification :
Conversations :
CreatedDateTime : 14-07-2023 14:25:49
CreatedOnBehalfOf : Microsoft.Graph.PowerShell.Models.MicrosoftGraphDirectoryObject
DeletedDateTime :
Description : Sales and Marketing
DisplayName : Sales and Marketing
Id : f76cbbb8-0581-4e01-a0d4-133d3ce9197f
IsArchived :
IsAssignableToRole :
IsSubscribedByMail :
LicenseProcessingState : Microsoft.Graph.PowerShell.Models.MicrosoftGraphLicenseProcessingState
Mail : SalesAndMarketing@M365x64647001.onmicrosoft.com
MailEnabled : True
MailNickname : SalesAndMarketing
RejectedSenders :
RenewedDateTime : 14-07-2023 14:25:49
SecurityEnabled : True
Anda dapat mencari grup tertentu menggunakan parameter -filter. Parameter ini mengambil klausa filter ODATA dan mengembalikan semua grup yang cocok dengan filter, seperti dalam contoh berikut:
PS C:\Windows\system32> Get-MgGroup -Filter "DisplayName eq 'Intune Administrators'"
DeletionTimeStamp :
ObjectId : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
ObjectType : Group
Description : Intune Administrators
DirSyncEnabled :
DisplayName : Intune Administrators
LastDirSyncTime :
Mail :
MailEnabled : False
MailNickName : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
OnPremisesSecurityIdentifier :
ProvisioningErrors : {}
ProxyAddresses : {}
SecurityEnabled : True
Catatan
Cmdlet PowerShell MgGroup menerapkan standar kueri OData. Untuk mengetahui informasi selengkapnya, lihat $filter di opsi kueri sistem OData menggunakan titik akhir OData.
Membuat grup
Untuk membuat grup baru di direktori Anda, gunakan cmdlet New-MgGroup. Cmdlet ini membuat grup keamanan baru yang disebut "Pemasaran":
$param = @{
description="My Demo Group"
displayName="DemoGroup"
mailEnabled=$false
securityEnabled=$true
mailNickname="Demo"
}
New-MgGroup @param
Perbarui grup
Untuk memperbarui grup yang ada, gunakan cmdlet Update-MgGroup. Dalam contoh ini, kami mengubah properti DisplayName dari grup “Admin Intune”. Pertama, kita menemukan grup menggunakan cmdlet Get-MgGroup dan memfilter menggunakan atribut DisplayName:
PS C:\Windows\system32> Get-MgGroup -Filter "DisplayName eq 'Intune Administrators'"
DeletionTimeStamp :
ObjectId : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
ObjectType : Group
Description : Intune Administrators
DirSyncEnabled :
DisplayName : Intune Administrators
LastDirSyncTime :
Mail :
MailEnabled : False
MailNickName : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
OnPremisesSecurityIdentifier :
ProvisioningErrors : {}
ProxyAddresses : {}
SecurityEnabled : True
Selanjutnya, kami mengubah properti Deskripsi ke nilai baru "Admin Perangkat Intune":
PS C:\Windows\system32> Update-MgGroup -GroupId 958d212c-14b0-43d0-a052-d0c2bb555b8b -Description "Demo Group Updated"
Sekarang, jika kita menemukan grup lagi, kita melihat properti Deskripsi diperbarui untuk mencerminkan nilai baru:
PS C:\Windows\system32> Get-MgGroup -GroupId 958d212c-14b0-43d0-a052-d0c2bb555b8b | select displayname, description
DisplayName Description
----------- -----------
DemoGroup Demo Group Updated
Hapus grup
Untuk menghapus grup dari direktori Anda, gunakan cmdlet Remove-MgGroup sebagai berikut:
PS C:\Windows\system32> Remove-MgGroup -GroupId 958d212c-14b0-43d0-a052-d0c2bb555b8b
Mengelola keanggotaan grup
Menambahkan Anggota
Untuk menambahkan anggota baru ke grup, gunakan cmdlet Add-MgGroupMember. Perintah ini menambahkan anggota ke grup Admin Intune yang kami gunakan dalam contoh sebelumnya:
PS C:\Windows\system32> New-MgGroupMember -GroupId f76cbbb8-0581-4e01-a0d4-133d3ce9197f -DirectoryObjectId a88762b7-ce17-40e9-b417-0add1848eb68
Parameter -GroupId adalah ObjectID dari grup yang ingin kita tambahkan anggotanya, dan -DirectoryObjectId adalah ObjectID pengguna yang ingin kita tambahkan sebagai anggota ke grup.
Dapatkan anggota
Untuk mendapatkan anggota grup yang ada, gunakan cmdlet Get-MgGroupMember, seperti dalam contoh ini:
PS C:\Windows\system32> Get-MgGroupMember -GroupId 2c52c779-8587-48c5-9d4a-c474f2a66cf4
Id DeletedDateTime
-- ---------------
71b3857d-2a23-416d-bd22-a471854ddada
fd2d57c7-22ad-42cd-961a-7340fb2eb6b4
Hapus anggota
Untuk menghapus anggota yang sebelumnya kami tambahkan ke grup, gunakan cmdlet Remove-MgGroupMember, seperti yang ditunjukkan di sini:
PS C:\Windows\system32> Remove-MgGroupMemberByRef -DirectoryObjectId 053a6a7e-4a75-48bc-8324-d70f50ec0d91 -GroupId 2c52c779-8587-48c5-9d4a-c474f2a66cf4
Memverifikasi anggota
Untuk memverifikasi keanggotaan grup pengguna, gunakan cmdlet Select-MgGroupIdsUserIsMemberOf. Cmdlet ini mengambil sebagai parameternya ObjectId pengguna yang untuk memeriksa keanggotaan grup, dan daftar grup untuk memeriksa keanggotaan. Daftar grup harus disediakan dalam bentuk variabel kompleks tipe "Microsoft.Open.AzureAD.Model.GroupIdsForMembershipCheck", jadi pertama-tama kita harus membuat variabel dengan jenis itu:
Get-MgUserMemberOf -UserId 053a6a7e-4a75-48bc-8324-d70f50ec0d91
Id DisplayName Description GroupTypes AccessType
-- ----------- ----------- ---------- ----------
5dc16449-3420-4ad5-9634-49cd04eceba0 demogroup demogroup {Unified}
Nilai yang dikembalikan adalah daftar grup di mana pengguna ini adalah anggota. Anda juga dapat menerapkan metode ini untuk memeriksa keanggotaan Kontak, Grup, atau Perwakilan Layanan untuk daftar grup tertentu, menggunakan Select-MgGroupIdsContactIsMemberOf, Select-MgGroupIdsGroupIsMemberOf atau Select-MgGroupIdsServicePrincipalIsMemberOf
Menonaktifkan pembuatan grup oleh pengguna Anda
Anda dapat mencegah pengguna non-admin membuat kelompok keamanan. Perilaku default di Microsoft Online Directory Services (MSODS) adalah untuk memungkinkan pengguna non-admin untuk membuat grup, apakah manajemen grup layanan mandiri (SSGM) juga diaktifkan atau tidak. Pengaturan SSGM hanya mengontrol perilaku di panel akses Aplikasi Saya.
Untuk menonaktifkan pembuatan grup untuk pengguna non-admin:
Verifikasi bahwa pengguna non-admin diizinkan untuk membuat grup:
PS C:\> Get-MgBetaDirectorySetting | select -ExpandProperty values Name Value ---- ----- NewUnifiedGroupWritebackDefault true EnableMIPLabels false CustomBlockedWordsList EnableMSStandardBlockedWords false ClassificationDescriptions DefaultClassification PrefixSuffixNamingRequirement AllowGuestsToBeGroupOwner false AllowGuestsToAccessGroups true GuestUsageGuidelinesUrl GroupCreationAllowedGroupId AllowToAddGuests true UsageGuidelinesUrl ClassificationList EnableGroupCreation trueJika dikembalikan
EnableGroupCreation : True, maka pengguna non-admin dapat membuat grup. Untuk menonaktifkan fitur ini:Install-Module Microsoft.Graph.Beta.Identity.DirectoryManagement Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement $params = @{ TemplateId = "62375ab9-6b52-47ed-826b-58e47e0e304b" Values = @( @{ Name = "EnableGroupCreation" Value = "false" } ) } Connect-MgGraph -Scopes "Directory.ReadWrite.All" New-MgBetaDirectorySetting -BodyParameter $params
Mengelola pemilik grup
Untuk menambahkan pemilik ke grup, gunakan cmdlet New-MgGroupOwner:
PS C:\Windows\system32> New-MgGroupOwner -GroupId 0e48dc96-3bff-4fe1-8939-4cd680163497 -DirectoryObjectId 92a0dad0-7c9e-472f-b2a3-0fe2c9a02867
Parameter -GroupId adalah ObjectID dari grup yang ingin kita tambahkan pemiliknya, dan -DirectoryObjectId adalah ObjectID pengguna atau perwakilan layanan yang ingin kita tambahkan sebagai pemilik.
Untuk mengambil pemilik grup, gunakan cmdlet Get-MgGroupOwner:
PS C:\Windows\system32> Get-MgGroupOwner -GroupId 0e48dc96-3bff-4fe1-8939-4cd680163497
Cmdlet mengembalikan daftar pemilik (pengguna dan perwakilan layanan) untuk grup yang ditentukan:
Id DeletedDateTime
-- ---------------
8ee754e0-743e-4231-ace4-c28d20cf2841
85b1df54-e5c0-4cfd-a20b-8bc1a2ca7865
4451b332-2294-4dcf-a214-6cc805016c50
Jika Anda ingin menghapus pemilik dari grup, gunakan cmdlet Remove-MgGroupOwnerByRef:
PS C:\Windows\system32> Remove-MgGroupOwnerByRef -GroupId 0e48dc96-3bff-4fe1-8939-4cd680163497 -DirectoryObjectId 92a0dad0-7c9e-472f-b2a3-0fe2c9a02867
Alias yang dipesan
Saat grup dibuat, titik akhir tertentu memungkinkan pengguna akhir menentukan mailNickname atau alias untuk digunakan sebagai bagian dari alamat email grup. Grup dengan alias email yang sangat istimewa berikut ini hanya dapat dibuat oleh Administrator Global Microsoft Entra.
- penyalahgunaan
- admin
- administrator
- hostmaster
- majordomo
- postmaster
- akar
- aman
- security
- ssl-admin
- webmaster
Penulisan balik grup ke lokal (pratinjau)
Saat ini, banyak grup masih dikelola di Direktori Aktif lokal. Untuk menjawab permintaan untuk menyinkronkan grup cloud kembali ke lokal, fitur tulis balik grup Microsoft 365 untuk ID Microsoft Entra sekarang tersedia untuk pratinjau.
Grup Microsoft 365 dibuat dan dikelola di cloud. Kemampuan tulis balik memungkinkan Anda menulis kembali grup Microsoft 365 sebagai grup distribusi ke hutan Direktori Aktif dengan Exchange terpasang. Pengguna dengan kotak surat Exchange lokal kemudian dapat mengirim dan menerima email dari grup ini. Fitur tulis balik grup tidak mendukung grup keamanan atau grup distribusi Microsoft Entra.
Untuk detail selengkapnya, lihat dokumentasi untuk layanan Microsoft Entra Koneksi Sync.
Tulis balik grup Microsoft 365 adalah fitur pratinjau publik ID Microsoft Entra dan tersedia dengan paket lisensi ID Microsoft Entra berbayar. Untuk informasi selengkapnya tentang pratinjau, lihat Ketentuan Lisensi Universal Untuk Layanan Online.
Langkah berikutnya
Anda dapat menemukan lebih banyak dokumentasi Azure Active Directory PowerShell di Microsoft Entra Cmdlets.