Azure Active Directory versie 2-cmdlets voor groepsbeheer
Dit artikel bevat voorbeelden van het gebruik van PowerShell voor het beheren van uw groepen in Azure Active Directory (Azure AD). U leert ook hoe u de Azure AD PowerShell-module kunt instellen. Eerst moet u de Azure AD PowerShell-module downloaden.
De Azure AD PowerShell-module installeren
Gebruik de volgende opdrachten om de Azure AD PowerShell-module te installeren:
PS C:\Windows\system32> install-module azuread
PS C:\Windows\system32> import-module azuread
Gebruik de volgende opdracht om te controleren of de module gereed is voor gebruik:
PS C:\Windows\system32> get-module azuread
ModuleType Version Name ExportedCommands
---------- --------- ---- ----------------
Binary 2.0.0.115 azuread {Add-AzureADAdministrati...}
U kunt nu beginnen met het gebruik van de cmdlets in de module. Raadpleeg de online referentiedocumentatie voor Azure Active Directory PowerShell-versie 2voor een volledige beschrijving van de cmdlets in de Azure AD-module.
Notitie
De Azure AD PowerShell-cmdlets werken niet met de nieuwe Powershell 7, omdat deze is gebaseerd op .net Core. We zijn ons ervan bewust en dit wordt bijgewerkt. Vanaf nu raden we u aan om de Windows PowerShell 5.x-module te gebruiken voor Azure AD PowerShell-bewerkingen.
Verbinding maken naar de map
Voordat u groepen kunt beheren met Behulp van Azure AD PowerShell-cmdlets, moet u uw PowerShell-sessie verbinden met de map die u wilt beheren. Gebruik de volgende opdracht:
PS C:\Windows\system32> Connect-AzureAD
De cmdlet vraagt u om de referenties die u wilt gebruiken voor toegang tot uw directory. In dit voorbeeld gebruiken we om toegang karen@drumkit.onmicrosoft.com te krijgen tot de demonstratiemap. De cmdlet retourneert een bevestiging om aan te geven dat de sessie is verbonden met uw directory:
Account Environment Tenant ID
------- ----------- ---------
Karen@drumkit.onmicrosoft.com AzureCloud 85b5ff1e-0402-400c-9e3c-0f…
U kunt nu beginnen met het gebruik van de AzureAD-cmdlets voor het beheren van groepen in uw directory.
Groepen ophalen
Als u bestaande groepen uit uw directory wilt ophalen, gebruikt u Get-AzureADGroups cmdlet .
Als u alle groepen in de map wilt ophalen, gebruikt u de cmdlet zonder parameters:
PS C:\Windows\system32> get-azureadgroup
De cmdlet retourneert alle groepen in de verbonden map.
U kunt de parameter -objectID gebruiken om een specifieke groep op te halen waarvoor u de object-id van de groep opgeeft:
PS C:\Windows\system32> get-azureadgroup -ObjectId e29bae11-4ac0-450c-bc37-6dae8f3da61b
De cmdlet retourneert nu de groep waarvan de object-id overeenkomt met de waarde van de parameter die u hebt ingevoerd:
DeletionTimeStamp :
ObjectId : e29bae11-4ac0-450c-bc37-6dae8f3da61b
ObjectType : Group
Description :
DirSyncEnabled :
DisplayName : Pacific NW Support
LastDirSyncTime :
Mail :
MailEnabled : False
MailNickName : 9bb4139b-60a1-434a-8c0d-7c1f8eee2df9
OnPremisesSecurityIdentifier :
ProvisioningErrors : {}
ProxyAddresses : {}
SecurityEnabled : True
U kunt zoeken naar een specifieke groep met behulp van de parameter -filter. Deze parameter gebruikt een ODATA-filterclausule en retourneert alle groepen die overeenkomen met het filter, zoals in het volgende voorbeeld:
PS C:\Windows\system32> Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"
DeletionTimeStamp :
ObjectId : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
ObjectType : Group
Description : Intune Administrators
DirSyncEnabled :
DisplayName : Intune Administrators
LastDirSyncTime :
Mail :
MailEnabled : False
MailNickName : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
OnPremisesSecurityIdentifier :
ProvisioningErrors : {}
ProxyAddresses : {}
SecurityEnabled : True
Notitie
De Azure AD PowerShell-cmdlets implementeren de OData-querystandaard. Zie OData-systeemquery$filter opties gebruiken met behulp van het OData-eindpuntvoor meer informatie.
Groepen maken
Als u een nieuwe groep in uw directory wilt maken, gebruikt u New-AzureADGroup cmdlet . Met deze cmdlet maakt u een nieuwe beveiligingsgroep met de naam Marketing:
PS C:\Windows\system32> New-AzureADGroup -Description "Marketing" -DisplayName "Marketing" -MailEnabled $false -SecurityEnabled $true -MailNickName "Marketing"
Groepen bijwerken
Als u een bestaande groep wilt bijwerken, gebruikt u Set-AzureADGroup cmdlet . In dit voorbeeld wijzigen we de eigenschap DisplayName van de groep 'Intune-beheerders'. Eerst zoeken we de groep met behulp van de cmdlet Get-AzureADGroup filteren met behulp van het kenmerk DisplayName:
PS C:\Windows\system32> Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"
DeletionTimeStamp :
ObjectId : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
ObjectType : Group
Description : Intune Administrators
DirSyncEnabled :
DisplayName : Intune Administrators
LastDirSyncTime :
Mail :
MailEnabled : False
MailNickName : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
OnPremisesSecurityIdentifier :
ProvisioningErrors : {}
ProxyAddresses : {}
SecurityEnabled : True
Vervolgens wijzigen we de eigenschap Beschrijving in de nieuwe waarde 'Intune-apparaatbeheerders':
PS C:\Windows\system32> Set-AzureADGroup -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -Description "Intune Device Administrators"
Als we de groep nu opnieuw vinden, zien we dat de eigenschap Beschrijving is bijgewerkt om de nieuwe waarde weer te geven:
PS C:\Windows\system32> Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"
DeletionTimeStamp :
ObjectId : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
ObjectType : Group
Description : Intune Device Administrators
DirSyncEnabled :
DisplayName : Intune Administrators
LastDirSyncTime :
Mail :
MailEnabled : False
MailNickName : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
OnPremisesSecurityIdentifier :
ProvisioningErrors : {}
ProxyAddresses : {}
SecurityEnabled : True
Groepen verwijderen
Als u groepen uit uw directory wilt verwijderen, gebruikt Remove-AzureADGroup cmdlet als volgt:
PS C:\Windows\system32> Remove-AzureADGroup -ObjectId b11ca53e-07cc-455d-9a89-1fe3ab24566b
Groepslidmaatschap beheren
Leden toevoegen
Als u nieuwe leden wilt toevoegen aan een groep, gebruikt u Add-AzureADGroupMember cmdlet . Met deze opdracht wordt een lid toegevoegd aan de Groep Intune-beheerders die we in het vorige voorbeeld hebben gebruikt:
PS C:\Windows\system32> Add-AzureADGroupMember -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -RefObjectId 72cd4bbd-2594-40a2-935c-016f3cfeeeea
De -ObjectId parameter is de ObjectID van de groep waaraan we een lid toevoegen en de -RefObjectId is de ObjectID van de gebruiker die we willen toevoegen als lid aan de groep.
Leden op halen
Als u de bestaande leden van een groep wilt op halen, gebruikt Get-AzureADGroupMember cmdlet , zoals in dit voorbeeld:
PS C:\Windows\system32> Get-AzureADGroupMember -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
DeletionTimeStamp ObjectId ObjectType
----------------- -------- ----------
72cd4bbd-2594-40a2-935c-016f3cfeeeea User
8120cc36-64b4-4080-a9e8-23aa98e8b34f User
Leden verwijderen
Als u het lid wilt verwijderen dat u eerder aan de groep hebt toegevoegd, gebruikt u Remove-AzureADGroupMember cmdlet , zoals hier wordt weergegeven:
PS C:\Windows\system32> Remove-AzureADGroupMember -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -MemberId 72cd4bbd-2594-40a2-935c-016f3cfeeeea
Leden verifiëren
Als u de groepslidmaatschap van een gebruiker wilt controleren, gebruikt u Select-AzureADGroupIdsUserIsMemberOf cmdlet . Deze cmdlet neemt als parameters de ObjectId van de gebruiker waarvoor u de groepslidmaatschap wilt controleren en een lijst met groepen waarvoor u de lidmaatschappen wilt controleren. De lijst met groepen moet worden opgegeven in de vorm van een complexe variabele van het type Microsoft.Open.AzureAD.Model.GroupIdsForMembershipCheck. Daarom moeten we eerst een variabele maken met dat type:
PS C:\Windows\system32> $g = new-object Microsoft.Open.AzureAD.Model.GroupIdsForMembershipCheck
Vervolgens geven we waarden op voor de groupIds om het kenmerk 'GroupIds' van deze complexe variabele in te checken:
PS C:\Windows\system32> $g.GroupIds = "b11ca53e-07cc-455d-9a89-1fe3ab24566b", "31f1ff6c-d48c-4f8a-b2e1-abca7fd399df"
Als we nu de groepslidmaatschap van een gebruiker met ObjectID 72cd4bbd-2594-40a2-935c-016f3cfeeeea willen controleren op de groepen in $g, moeten we het volgende gebruiken:
PS C:\Windows\system32> Select-AzureADGroupIdsUserIsMemberOf -ObjectId 72cd4bbd-2594-40a2-935c-016f3cfeeeea -GroupIdsForMembershipCheck $g
OdataMetadata Value
------------- -----
https://graph.windows.net/85b5ff1e-0402-400c-9e3c-0f9e965325d1/$metadata#Collection(Edm.String) {31f1ff6c-d48c-4f8a-b2e1-abca7fd399df}
De geretourneerde waarde is een lijst met groepen waarvan deze gebruiker lid is. U kunt deze methode ook toepassen om het lidmaatschap van Contactpersonen, Groepen of Service-principals voor een bepaalde lijst met groepen te controleren met behulp van Select-AzureADGroupIdsContactIsMemberOf, Select-AzureADGroupIdsGroupIsMemberOf of Select-AzureADGroupIdsServicePrincipalIsMemberOf
Het maken van groepen door uw gebruikers uitschakelen
U kunt voorkomen dat niet-beheerders beveiligingsgroepen maken. Het standaardgedrag in Microsoft Online Directory Services (MSODS) is om niet-beheerders toe te staan groepen te maken, ongeacht of selfservice voor groepsbeheer (SSGM) ook is ingeschakeld. De SSGM-instelling bepaalt alleen het gedrag in Mijn apps toegangsvenster.
Het maken van groepen voor niet-beheerders uitschakelen:
Controleer of niet-beheerders groepen mogen maken:
PS C:\> Get-MsolCompanyInformation | fl UsersPermissionToCreateGroupsEnabledAls wordt
UsersPermissionToCreateGroupsEnabled : Trueretourneert, kunnen gebruikers zonder beheerdersrechten groepen maken. Deze functie uitschakelen:Set-MsolCompanySettings -UsersPermissionToCreateGroupsEnabled $False
Eigenaren van groepen beheren
Als u eigenaren wilt toevoegen aan een groep, gebruikt u Add-AzureADGroupOwner cmdlet:
PS C:\Windows\system32> Add-AzureADGroupOwner -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -RefObjectId 72cd4bbd-2594-40a2-935c-016f3cfeeeea
De -ObjectId parameter is de ObjectID van de groep waaraan we een eigenaar toevoegen en de -RefObjectId is de ObjectID van de gebruiker of service-principal die we willen toevoegen als eigenaar van de groep.
Als u de eigenaren van een groep wilt ophalen, gebruikt u Get-AzureADGroupOwner cmdlet:
PS C:\Windows\system32> Get-AzureADGroupOwner -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
De cmdlet retourneert de lijst met eigenaren (gebruikers en service-principals) voor de opgegeven groep:
DeletionTimeStamp ObjectId ObjectType
----------------- -------- ----------
e831b3fd-77c9-49c7-9fca-de43e109ef67 User
Als u een eigenaar uit een groep wilt verwijderen, gebruikt u de Remove-AzureADGroupOwner cmdlet:
PS C:\Windows\system32> remove-AzureADGroupOwner -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -OwnerId e831b3fd-77c9-49c7-9fca-de43e109ef67
Gereserveerde aliassen
Wanneer een groep wordt gemaakt, kunnen bepaalde eindpunten de eindgebruiker toestaan om een mailNickname of alias op te geven die moet worden gebruikt als onderdeel van het e-mailadres van de groep. Groepen met de volgende e-mailaliassen met hoge bevoegdheden kunnen alleen worden gemaakt door een globale beheerder van Azure AD.
- Misbruik
- beheerder
- beheerder
- hostmaster
- majordief
- Postmaster
- Root
- Veilige
- security
- ssl-admin
- Webmaster
Terugschrijven van groepen naar on-premises (preview)
Tegenwoordig worden veel groepen nog steeds beheerd in on-premises Active Directory. Als u aanvragen wilt beantwoorden om cloudgroepen weer naar on-premises te synchroniseren, Microsoft 365 functie voor het terugschrijven van groepen voor Azure AD nu beschikbaar als preview-versie.
Microsoft 365-groepen worden gemaakt en beheerd in de cloud. Met de functie voor terugschrijven kunt u Microsoft 365 als distributiegroepen terugschrijven naar een Active Directory-forest met Exchange geïnstalleerd. Gebruikers met on-premises Exchange postvakken kunnen vervolgens e-mailberichten van deze groepen verzenden en ontvangen. De functie voor het terugschrijven van groepen biedt geen ondersteuning voor Azure AD-beveiligingsgroepen of -distributiegroepen.
Raadpleeg de documentatie voor de Azure AD-Verbinding maken-synchronisatieservice voor meer informatie.
Microsoft 365 terugschrijven van groepen is een openbare preview-functie van Azure Active Directory (Azure AD) en is beschikbaar met elk betaald Azure AD-licentieplan. Zie Aanvullende gebruiksvoorwaarden voor Microsoft Azure previews voor meer informatie over previews.
Volgende stappen
U vindt meer informatie Azure Active Directory PowerShell-documentatie op Azure Active Directory Cmdlets.