Cmdlet di Azure Active Directory versione 2 per la gestione dei gruppiAzure Active Directory version 2 cmdlets for group management

Questo articolo contiene esempi di come usare PowerShell per gestire i gruppi in Azure Active Directory (Azure AD).This article contains examples of how to use PowerShell to manage your groups in Azure Active Directory (Azure AD). Offre inoltre informazioni su come configurare il modulo Azure AD PowerShell.It also tells you how to get set up with the Azure AD PowerShell module. In primo luogo è necessario scaricare il modulo Azure AD PowerShell.First, you must download the Azure AD PowerShell module.

Installare il modulo Azure AD PowerShellInstall the Azure AD PowerShell module

Per installare il modulo Azure AD PowerShell, usare i comandi seguenti:To install the Azure AD PowerShell module, use the following commands:

PS C:\Windows\system32> install-module azuread

Per verificare che il modulo sia stato installato, usare il comando seguente:To verify that the module was installed, use the following command:

PS C:\Windows\system32> get-module azuread

ModuleType Version      Name                                ExportedCommands
---------- ---------    ----                                ----------------
Binary     2.0.0.115    azuread                      {Add-AzureADAdministrati...}

A questo punto è possibile iniziare a usare i cmdlet nel modulo.Now you can start using the cmdlets in the module. Per una descrizione completa dei cmdlet nel modulo Azure AD, consultare la documentazione di riferimento online per Azure Active Directory PowerShell versione 2.For a full description of the cmdlets in the Azure AD module, please refer to the online reference documentation for Azure Active Directory PowerShell Version 2.

Connettersi alla directoryConnect to the directory

Prima di iniziare la gestione di gruppi mediante i cmdlet PowerShell di Azure AD, è necessario connettere la sessione di PowerShell alla directory da gestire.Before you can start managing groups using Azure AD PowerShell cmdlets, you must connect your PowerShell session to the directory you want to manage. Usare il comando seguente:Use the following command:

PS C:\Windows\system32> Connect-AzureAD

Il cmdlet richiede le credenziali da usare per accedere alla directory.The cmdlet prompts you for the credentials you want to use to access your directory. In questo esempio si usa karen@drumkit.onmicrosoft.com per accedere alla directory dimostrativa.In this example, we are using karen@drumkit.onmicrosoft.com to access the demonstration directory. Il cmdlet restituisce un messaggio di conferma per indicare che la sessione è stata connessa correttamente alla directory:The cmdlet returns a confirmation to show the session was connected successfully to your directory:

Account                       Environment Tenant
-------                       ----------- ------
Karen@drumkit.onmicrosoft.com AzureCloud  85b5ff1e-0402-400c-9e3c-0f…

A questo punto è possibile iniziare a usare i cmdlet di Azure AD per gestire i gruppi nella directory.Now you can start using the AzureAD cmdlets to manage groups in your directory.

Recuperare gruppiRetrieve groups

Per recuperare gruppi esistenti dalla directory, usare il cmdlet Get-AzureADGroups.To retrieve existing groups from your directory, use the Get-AzureADGroups cmdlet.

Per recuperare tutti i gruppi nella directory, usare il cmdlet senza parametri:To retrieve all groups in the directory, use the cmdlet without parameters:

PS C:\Windows\system32> get-azureadgroup

Il cmdlet restituisce tutti i gruppi nella directory connessa.The cmdlet returns all groups in the connected directory.

È possibile usare il parametro -objectID per recuperare un gruppo specifico indicando l'objectID del gruppo:You can use the -objectID parameter to retrieve a specific group for which you specify the group’s objectID:

PS C:\Windows\system32> get-azureadgroup -ObjectId e29bae11-4ac0-450c-bc37-6dae8f3da61b

Il cmdlet restituisce ora il gruppo il cui objectID corrisponde al valore del parametro immesso:The cmdlet now returns the group whose objectID matches the value of the parameter you entered:

DeletionTimeStamp            :
ObjectId                     : e29bae11-4ac0-450c-bc37-6dae8f3da61b
ObjectType                   : Group
Description                  :
DirSyncEnabled               :
DisplayName                  : Pacific NW Support
LastDirSyncTime              :
Mail                         :
MailEnabled                  : False
MailNickName                 : 9bb4139b-60a1-434a-8c0d-7c1f8eee2df9
OnPremisesSecurityIdentifier :
ProvisioningErrors           : {}
ProxyAddresses               : {}
SecurityEnabled              : True

È possibile cercare un gruppo specifico usando il parametro -filter.You can search for a specific group using the -filter parameter. Questo parametro accetta una clausola di filtro ODATA e restituisce tutti i gruppi che corrispondono al filtro, come nell'esempio seguente:This parameter takes an ODATA filter clause and returns all groups that match the filter, as in the following example:

PS C:\Windows\system32> Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"


DeletionTimeStamp            :
ObjectId                     : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
ObjectType                   : Group
Description                  : Intune Administrators
DirSyncEnabled               :
DisplayName                  : Intune Administrators
LastDirSyncTime              :
Mail                         :
MailEnabled                  : False
MailNickName                 : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
OnPremisesSecurityIdentifier :
ProvisioningErrors           : {}
ProxyAddresses               : {}
SecurityEnabled              : True

Nota

I cmdlet di Azure AD PowerShell implementano lo standard di query OData.The Azure AD PowerShell cmdlets implement the OData query standard. Per altre informazioni, vedere $filter in Opzioni query di sistema OData usando l'endpoint OData.For more information, see $filter in OData system query options using the OData endpoint.

Creare gruppiCreate groups

Per creare un nuovo gruppo nella directory, usare il cmdlet New-AzureADGroup.To create a new group in your directory, use the New-AzureADGroup cmdlet. Questo cmdlet crea un nuovo gruppo di sicurezza denominato "Marketing":This cmdlet creates a new security group called “Marketing":

PS C:\Windows\system32> New-AzureADGroup -Description "Marketing" -DisplayName "Marketing" -MailEnabled $false -SecurityEnabled $true -MailNickName "Marketing"

Aggiornare gruppiUpdate groups

Per aggiornare un gruppo esistente, usare il cmdlet Set-AzureADGroup.To update an existing group, use the Set-AzureADGroup cmdlet. In questo esempio stiamo cambiando la proprietà DisplayName del gruppo "Amministratori di Intune".In this example, we’re changing the DisplayName property of the group “Intune Administrators.” In primo luogo si cerca il gruppo mediante il cmdlet Get-AzureADGroup e si applica il filtro tramite l'attributo DisplayName:First, we’re finding the group using the Get-AzureADGroup cmdlet and filter using the DisplayName attribute:

PS C:\Windows\system32> Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"


DeletionTimeStamp            :
ObjectId                     : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
ObjectType                   : Group
Description                  : Intune Administrators
DirSyncEnabled               :
DisplayName                  : Intune Administrators
LastDirSyncTime              :
Mail                         :
MailEnabled                  : False
MailNickName                 : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
OnPremisesSecurityIdentifier :
ProvisioningErrors           : {}
ProxyAddresses               : {}
SecurityEnabled              : True

Quindi si cambia la proprietà Description nel nuovo valore "Amministratori di dispositivi Intune":Next, we’re changing the Description property to the new value “Intune Device Administrators”:

PS C:\Windows\system32> Set-AzureADGroup -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -Description "Intune Device Administrators"

Ora, se si cerca il gruppo nuovamente, si noterà che la proprietà Description è stata aggiornata con il nuovo valore:Now if we find the group again, we see the Description property is updated to reflect the new value:

PS C:\Windows\system32> Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"


DeletionTimeStamp            :
ObjectId                     : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
ObjectType                   : Group
Description                  : Intune Device Administrators
DirSyncEnabled               :
DisplayName                  : Intune Administrators
LastDirSyncTime              :
Mail                         :
MailEnabled                  : False
MailNickName                 : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
OnPremisesSecurityIdentifier :
ProvisioningErrors           : {}
ProxyAddresses               : {}
SecurityEnabled              : True

Eliminare gruppiDelete groups

Per eliminare gruppi dalla directory, usare il cmdlet Remove-AzureADGroup come segue:To delete groups from your directory, use the Remove-AzureADGroup cmdlet as follows:

PS C:\Windows\system32> Remove-AzureADGroup -ObjectId b11ca53e-07cc-455d-9a89-1fe3ab24566b

Gestire l'appartenenza a gruppiManage group membership

Aggiungere membriAdd members

Per aggiungere nuovi membri a un gruppo, usare il cmdlet Add-AzureADGroupMember.To add new members to a group, use the Add-AzureADGroupMember cmdlet. Questo comando aggiunge un membro al gruppo degli amministratori di Intune che abbiamo usato nell'esempio precedente:This command adds a member to the Intune Administrators group we used in the previous example:

PS C:\Windows\system32> Add-AzureADGroupMember -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -RefObjectId 72cd4bbd-2594-40a2-935c-016f3cfeeeea

Il parametro -ObjectId è il valore ObjectID del gruppo a cui si vuole aggiungere un membro e -RefObjectId è il valore ObjectID dell'utente da aggiungere come membro al gruppo.The -ObjectId parameter is the ObjectID of the group to which we want to add a member, and the -RefObjectId is the ObjectID of the user we want to add as a member to the group.

Ottenere membriGet members

Per ottenere i membri di un gruppo esistente, usare il cmdlet Get-AzureADGroupMember, come nell'esempio seguente:To get the existing members of a group, use the Get-AzureADGroupMember cmdlet, as in this example:

PS C:\Windows\system32> Get-AzureADGroupMember -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df

DeletionTimeStamp ObjectId                             ObjectType
----------------- --------                             ----------
                      72cd4bbd-2594-40a2-935c-016f3cfeeeea User
                      8120cc36-64b4-4080-a9e8-23aa98e8b34f User

Rimuovere membriRemove members

Per rimuovere il membro aggiunto al gruppo in precedenza, usare il cmdlet Remove-AzureADGroupMember, come illustrato di seguito:To remove the member we previously added to the group, use the Remove-AzureADGroupMember cmdlet, as is shown here:

PS C:\Windows\system32> Remove-AzureADGroupMember -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -MemberId 72cd4bbd-2594-40a2-935c-016f3cfeeeea

Verificare membriVerify members

Per verificare l'appartenenza di un utente a gruppi, usare il cmdlet Select-AzureADGroupIdsUserIsMemberOf.To verify the group memberships of a user, use the Select-AzureADGroupIdsUserIsMemberOf cmdlet. Questo cmdlet accetta come parametri il valore ObjectId dell'utente di cui controllare l'appartenenza al gruppo e l'elenco dei gruppi da controllare.This cmdlet takes as its parameters the ObjectId of the user for which to check the group memberships, and a list of groups for which to check the memberships. L'elenco dei gruppi deve essere fornito sotto forma di variabile complessa di tipo "Microsoft.Open.AzureAD.Model.GroupIdsForMembershipCheck", pertanto è necessario innanzitutto creare una variabile con tale tipo:The list of groups must be provided in the form of a complex variable of type “Microsoft.Open.AzureAD.Model.GroupIdsForMembershipCheck”, so we first must create a variable with that type:

PS C:\Windows\system32> $g = new-object Microsoft.Open.AzureAD.Model.GroupIdsForMembershipCheck

È quindi necessario fornire i valori per i groupId da controllare nell'attributo "GroupIds" della variabile complessa:Next, we provide values for the groupIds to check in the attribute “GroupIds” of this complex variable:

PS C:\Windows\system32> $g.GroupIds = "b11ca53e-07cc-455d-9a89-1fe3ab24566b", "31f1ff6c-d48c-4f8a-b2e1-abca7fd399df"

Se si desidera controllare l'appartenenza di un utente con ObjectID 72cd4bbd-2594-40a2-935c-016f3cfeeeea ai gruppi di $g, si usa:Now, if we want to check the group memberships of a user with ObjectID 72cd4bbd-2594-40a2-935c-016f3cfeeeea against the groups in $g, we should use:

PS C:\Windows\system32> Select-AzureADGroupIdsUserIsMemberOf -ObjectId 72cd4bbd-2594-40a2-935c-016f3cfeeeea -GroupIdsForMembershipCheck $g

OdataMetadata                                                                                                 Value
-------------                                                                                                  -----
https://graph.windows.net/85b5ff1e-0402-400c-9e3c-0f9e965325d1/$metadata#Collection(Edm.String)             {31f1ff6c-d48c-4f8a-b2e1-abca7fd399df}

Il valore restituito è un elenco dei gruppi di cui l'utente è membro.The value returned is a list of groups of which this user is a member. È possibile applicare questo metodo anche per controllare l'appartenenza di contatti, gruppi o entità servizio a un elenco di gruppi, tramite Select-AzureADGroupIdsContactIsMemberOf, Select-AzureADGroupIdsGroupIsMemberOf o Select-AzureADGroupIdsServicePrincipalIsMemberOfYou can also apply this method to check Contacts, Groups or Service Principals membership for a given list of groups, using Select-AzureADGroupIdsContactIsMemberOf, Select-AzureADGroupIdsGroupIsMemberOf or Select-AzureADGroupIdsServicePrincipalIsMemberOf

Disabilitare la creazione di gruppi da parte degli utentiDisable group creation by your users

È possibile impedire agli utenti non amministratori la creazione di gruppi di sicurezza.You can prevent non-admin users from creating security groups. Il comportamento predefinito in Microsoft Online Directory Services (MSODS) consente agli utenti non amministratori di creare gruppi, indipendentemente dal fatto che la gestione gruppi self-service sia abilitata o meno.The default behavior in Microsoft Online Directory Services (MSODS) is to allow non-admin users to create groups, whether or not self-service group management (SSGM) is also enabled. L'impostazione della gestione gruppi self-service controlla il comportamento nel solo riquadro di accesso App personali.The SSGM setting controls behavior only in the My Apps access panel.

Per disabilitare la creazione di gruppi da parte degli utenti non amministratori:To disable group creation for non-admin users:

  1. Verificare che gli utenti non amministratori siano autorizzati a creare gruppi:Verify that non-admin users are allowed to create groups:

    PS C:\> Get-MsolCompanyInformation | fl UsersPermissionToCreateGroupsEnabled
    
  2. Se restituisce UsersPermissionToCreateGroupsEnabled : True, gli utenti non amministratori possono creare gruppi.If it returns UsersPermissionToCreateGroupsEnabled : True, then non-admin users can create groups. Per disabilitare questa funzionalità:To disable this feature:

    Set-MsolCompanySettings -UsersPermissionToCreateGroupsEnabled $False
    

Gestire i proprietari di gruppiManage owners of groups

Per aggiungere proprietari a un gruppo, usare il cmdlet AzureADGroupOwner:To add owners to a group, use the Add-AzureADGroupOwner cmdlet:

PS C:\Windows\system32> Add-AzureADGroupOwner -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -RefObjectId 72cd4bbd-2594-40a2-935c-016f3cfeeeea

Il parametro -ObjectId è il valore ObjectID del gruppo a cui si vuole aggiungere un proprietario e -RefObjectId è il valore ObjectID dell'utente da aggiungere come proprietario al gruppo.The -ObjectId parameter is the ObjectID of the group to which we want to add an owner, and the -RefObjectId is the ObjectID of the user we want to add as an owner of the group.

Per recuperare i proprietari di un gruppo, usare il cmdlet Get-AzureADGroupOwner:To retrieve the owners of a group, use the Get-AzureADGroupOwner cmdlet:

PS C:\Windows\system32> Get-AzureADGroupOwner -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df

Il cmdlet restituisce l'elenco dei proprietari per il gruppo specificato:The cmdlet returns the list of owners for the specified group:

DeletionTimeStamp ObjectId                             ObjectType
----------------- --------                             ----------
                      e831b3fd-77c9-49c7-9fca-de43e109ef67 User

Per rimuovere un proprietario da un gruppo, usare il cmdlet Remove-AzureADGroupOwner:If you want to remove an owner from a group, use the Remove-AzureADGroupOwner cmdlet:

PS C:\Windows\system32> remove-AzureADGroupOwner -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -OwnerId e831b3fd-77c9-49c7-9fca-de43e109ef67

Alias riservatiReserved aliases

Quando viene creato un gruppo, alcuni endpoint consentono all'utente finale di specificare un attributo mailNickname o un alias da usare come parte dell'indirizzo e-mail del gruppo.When a group is created, certain endpoints allow the end user to specify a mailNickname or alias to be used as part of the email address of the group. I gruppi con gli alias di posta elettronica con privilegi elevati seguenti possono essere creati solo da un amministratore globale di Azure AD.Groups with the following highly privileged email aliases can only be created by an Azure AD global administrator.

  • abuseabuse
  • adminadmin
  • entitàadministrator
  • hostmasterhostmaster
  • majordomomajordomo
  • postmasterpostmaster
  • rootroot
  • securesecure
  • securitysecurity
  • ssl-adminssl-admin
  • webmasterwebmaster

Passaggi successiviNext steps

Per altre informazioni su Azure Active Directory PowerShell, consultare la documentazione sui cmdlet di Azure Active Directory.You can find more Azure Active Directory PowerShell documentation at Azure Active Directory Cmdlets.