Azure Active Directory polecenia cmdlet w wersji 2 do zarządzania grupą

Ten artykuł zawiera przykłady użycia programu PowerShell do zarządzania grupami w usłudze Azure Active Directory (Azure AD). Informuje on również o tym, jak skonfigurować moduł Azure AD PowerShell. Najpierw musisz pobrać moduł programu PowerShell usługi Azure AD.

Instalowanie modułu programu PowerShell usługi Azure AD

Aby zainstalować moduł Azure AD PowerShell, użyj następujących poleceń:

    PS C:\Windows\system32> install-module azuread
    PS C:\Windows\system32> import-module azuread

Aby sprawdzić, czy moduł jest gotowy do użycia, użyj następującego polecenia:

    PS C:\Windows\system32> get-module azuread

    ModuleType Version      Name                                ExportedCommands
    ---------- ---------    ----                                ----------------
    Binary     2.0.0.115    azuread                      {Add-AzureADAdministrati...}

Teraz możesz rozpocząć korzystanie z polecenia cmdlet w module . Pełny opis poleceń cmdlet w module usługi Azure AD można znaleźć w dokumentacji referencyjnej online programu Azure Active Directory PowerShell w wersji 2.

Uwaga

Polecenia cmdlet programu PowerShell usługi Azure AD nie działają z nowym programem PowerShell 7, ponieważ jest on oparty na platformie .net Core. Zdajemy sobie sprawę, że trwa proces aktualizacji. Obecnie sugerujemy użycie modułu Windows PowerShell 5.x na użytek operacji programu PowerShell w usłudze Azure AD.

Połączenie do katalogu

Przed rozpoczęciem zarządzania grupami przy użyciu poleceń cmdlet programu PowerShell usługi Azure AD należy połączyć sesję programu PowerShell z katalogiem, którym chcesz zarządzać. Użyj następującego polecenia:

    PS C:\Windows\system32> Connect-AzureAD

Polecenie cmdlet wyświetli monit o poświadczenia, których chcesz użyć w celu uzyskania dostępu do katalogu. W tym przykładzie używamy narzędzia karen@drumkit.onmicrosoft.com , aby uzyskać dostęp do katalogu demonstracyjnego. Polecenie cmdlet zwraca potwierdzenie, aby pokazać, że sesja została pomyślnie połączona z katalogiem:

    Account                       Environment Tenant ID
    -------                       ----------- ---------
    Karen@drumkit.onmicrosoft.com AzureCloud  85b5ff1e-0402-400c-9e3c-0f…

Teraz możesz rozpocząć korzystanie z polecenia cmdlet usługi AzureAD do zarządzania grupami w katalogu.

Pobieranie grup

Aby pobrać istniejące grupy z katalogu, użyj polecenia cmdlet Get-AzureADGroups .

Aby pobrać wszystkie grupy w katalogu, użyj polecenia cmdlet bez parametrów:

    PS C:\Windows\system32> get-azureadgroup

Polecenie cmdlet zwraca wszystkie grupy w połączonym katalogu.

Za pomocą parametru -objectID można pobrać określoną grupę, dla której należy określić identyfikator objectID grupy:

    PS C:\Windows\system32> get-azureadgroup -ObjectId e29bae11-4ac0-450c-bc37-6dae8f3da61b

Polecenie cmdlet zwraca teraz grupę, której identyfikator objectID odpowiada wartości wprowadzonego parametru:

    DeletionTimeStamp            :
    ObjectId                     : e29bae11-4ac0-450c-bc37-6dae8f3da61b
    ObjectType                   : Group
    Description                  :
    DirSyncEnabled               :
    DisplayName                  : Pacific NW Support
    LastDirSyncTime              :
    Mail                         :
    MailEnabled                  : False
    MailNickName                 : 9bb4139b-60a1-434a-8c0d-7c1f8eee2df9
    OnPremisesSecurityIdentifier :
    ProvisioningErrors           : {}
    ProxyAddresses               : {}
    SecurityEnabled              : True

Możesz wyszukać określoną grupę przy użyciu parametru -filter. Ten parametr przyjmuje klauzulę filtru ODATA i zwraca wszystkie grupy, które pasują do filtru, jak w poniższym przykładzie:

    PS C:\Windows\system32> Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"


    DeletionTimeStamp            :
    ObjectId                     : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
    ObjectType                   : Group
    Description                  : Intune Administrators
    DirSyncEnabled               :
    DisplayName                  : Intune Administrators
    LastDirSyncTime              :
    Mail                         :
    MailEnabled                  : False
    MailNickName                 : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
    OnPremisesSecurityIdentifier :
    ProvisioningErrors           : {}
    ProxyAddresses               : {}
    SecurityEnabled              : True

Uwaga

Polecenia cmdlet programu PowerShell usługi Azure AD implementują standard zapytań OData. Aby uzyskać więcej informacji, zobacz $filter opcje zapytań systemowych OData przy użyciu punktu końcowego OData.

Tworzenie grup

Aby utworzyć nową grupę w katalogu, użyj New-AzureADGroup cmdlet . To polecenie cmdlet tworzy nową grupę zabezpieczeń o nazwie "Marketing":

    PS C:\Windows\system32> New-AzureADGroup -Description "Marketing" -DisplayName "Marketing" -MailEnabled $false -SecurityEnabled $true -MailNickName "Marketing"

Aktualizowanie grup

Aby zaktualizować istniejącą grupę, użyj Set-AzureADGroup cmdlet . W tym przykładzie zmieniamy właściwość DisplayName grupy "Administratorzy usługi Intune". Najpierw możemy znaleźć grupę przy użyciu polecenia cmdlet Get-AzureADGroup i filtrować przy użyciu atrybutu DisplayName:

    PS C:\Windows\system32> Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"


    DeletionTimeStamp            :
    ObjectId                     : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
    ObjectType                   : Group
    Description                  : Intune Administrators
    DirSyncEnabled               :
    DisplayName                  : Intune Administrators
    LastDirSyncTime              :
    Mail                         :
    MailEnabled                  : False
    MailNickName                 : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
    OnPremisesSecurityIdentifier :
    ProvisioningErrors           : {}
    ProxyAddresses               : {}
    SecurityEnabled              : True

Następnie zmieniamy właściwość Description na nową wartość "Administratorzy urządzeń usługi Intune":

    PS C:\Windows\system32> Set-AzureADGroup -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -Description "Intune Device Administrators"

Teraz, jeśli ponownie znajdziemy grupę, zobaczymy, że właściwość Description została zaktualizowana w celu odzwierciedlenia nowej wartości:

    PS C:\Windows\system32> Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"

    DeletionTimeStamp            :
    ObjectId                     : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
    ObjectType                   : Group
    Description                  : Intune Device Administrators
    DirSyncEnabled               :
    DisplayName                  : Intune Administrators
    LastDirSyncTime              :
    Mail                         :
    MailEnabled                  : False
    MailNickName                 : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
    OnPremisesSecurityIdentifier :
    ProvisioningErrors           : {}
    ProxyAddresses               : {}
    SecurityEnabled              : True

Usuwanie grup

Aby usunąć grupy z katalogu, użyj Remove-AzureADGroup cmdlet w następujący sposób:

    PS C:\Windows\system32> Remove-AzureADGroup -ObjectId b11ca53e-07cc-455d-9a89-1fe3ab24566b

Zarządzanie członkostwem w grupie

Dodawanie członków

Aby dodać nowych członków do grupy, użyj Add-AzureADGroupMember polecenia cmdlet . To polecenie dodaje członka do grupy Administratorzy usługi Intune, która była używana w poprzednim przykładzie:

    PS C:\Windows\system32> Add-AzureADGroupMember -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -RefObjectId 72cd4bbd-2594-40a2-935c-016f3cfeeeea

Parametr -ObjectId jest identyfikatorem ObjectID grupy, do której chcemy dodać członka, a -RefObjectId jest identyfikatorem ObjectID użytkownika, którego chcemy dodać jako członka do grupy.

Pobierz członków

Aby pobrać istniejących członków grupy, użyj polecenia cmdlet Get-AzureADGroupMember, jak w poniższym przykładzie:

    PS C:\Windows\system32> Get-AzureADGroupMember -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df

    DeletionTimeStamp ObjectId                             ObjectType
    ----------------- --------                             ----------
                          72cd4bbd-2594-40a2-935c-016f3cfeeeea User
                          8120cc36-64b4-4080-a9e8-23aa98e8b34f User

Usuwanie członków

Aby usunąć członka, który został wcześniej dodany do grupy, użyj Remove-AzureADGroupMember cmdlet, jak pokazano poniżej:

    PS C:\Windows\system32> Remove-AzureADGroupMember -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -MemberId 72cd4bbd-2594-40a2-935c-016f3cfeeeea

Weryfikowanie członków

Aby sprawdzić członkostwo użytkownika w grupach, użyj Select-AzureADGroupIdsUserIsMemberOf cmdlet . To polecenie cmdlet przyjmuje jako parametry identyfikator ObjectId użytkownika, dla którego ma być sprawdzane członkostwo w grupach, oraz listę grup, dla których ma być sprawdzane członkostwo. Lista grup musi być dostarczana w postaci zmiennej złożonej typu "Microsoft.Open.AzureAD.Model.GroupIdsForMembershipCheck", dlatego najpierw należy utworzyć zmienną o tym typie:

    PS C:\Windows\system32> $g = new-object Microsoft.Open.AzureAD.Model.GroupIdsForMembershipCheck

Następnie podano wartości dla groupIds do zaewidencjiowania atrybutu "GroupIds" tej zmiennej złożonej:

    PS C:\Windows\system32> $g.GroupIds = "b11ca53e-07cc-455d-9a89-1fe3ab24566b", "31f1ff6c-d48c-4f8a-b2e1-abca7fd399df"

Teraz, jeśli chcemy sprawdzić członkostwa w grupach użytkownika o identyfikatorze ObjectID 72cd4bbd-2594-40a2-935c-016f3cfeeeea względem grup w programie $g, należy użyć:

    PS C:\Windows\system32> Select-AzureADGroupIdsUserIsMemberOf -ObjectId 72cd4bbd-2594-40a2-935c-016f3cfeeeea -GroupIdsForMembershipCheck $g

    OdataMetadata                                                                                                 Value
    -------------                                                                                                  -----
    https://graph.windows.net/85b5ff1e-0402-400c-9e3c-0f9e965325d1/$metadata#Collection(Edm.String)             {31f1ff6c-d48c-4f8a-b2e1-abca7fd399df}

Zwracana wartość to lista grup, których członkiem jest ten użytkownik. Możesz również zastosować tę metodę, aby sprawdzić członkostwo w grupach kontaktów, grupach lub jednostkach usługi dla danej listy grup, używając opcji Select-AzureADGroupIdsContactIsMemberOf, Select-AzureADGroupIdsGroupIsMemberOf lub Select-AzureADGroupIdsServicePrincipalIsMemberOf

Wyłączanie tworzenia grup przez użytkowników

Możesz uniemożliwić użytkownikom niebędącym administratorami tworzenie grup zabezpieczeń. Domyślnym zachowaniem w usługach katalogowych Microsoft Online Directory Services (MSODS) jest zezwalanie użytkownikom niebędącym administratorami na tworzenie grup bez względu na to, czy samoobsługowe zarządzanie grupami (SSGM) jest również włączone. Ustawienie SSGM kontroluje zachowanie tylko w Moje aplikacje dostępu.

Aby wyłączyć tworzenie grup dla użytkowników niebędących administratorami:

  1. Sprawdź, czy użytkownicy niebędący administratorami mogą tworzyć grupy:

    PS C:\> Get-MsolCompanyInformation | fl UsersPermissionToCreateGroupsEnabled
    
  2. Jeśli zwraca wartość UsersPermissionToCreateGroupsEnabled : True , użytkownicy niebędący administratorami mogą tworzyć grupy. Aby wyłączyć tę funkcję:

    Set-MsolCompanySettings -UsersPermissionToCreateGroupsEnabled $False
    

Zarządzanie właścicielami grup

Aby dodać właścicieli do grupy, użyj Add-AzureADGroupOwner cmdlet:

    PS C:\Windows\system32> Add-AzureADGroupOwner -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -RefObjectId 72cd4bbd-2594-40a2-935c-016f3cfeeeea

Parametr -ObjectId jest identyfikatorem ObjectID grupy, do której chcemy dodać właściciela, a -RefObjectId jest identyfikatorem ObjectID użytkownika lub jednostki usługi, którą chcemy dodać jako właściciela grupy.

Aby pobrać właścicieli grupy, użyj Get-AzureADGroupOwner cmdlet:

    PS C:\Windows\system32> Get-AzureADGroupOwner -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df

Polecenie cmdlet zwraca listę właścicieli (użytkowników i jednostki usługi) dla określonej grupy:

    DeletionTimeStamp ObjectId                             ObjectType
    ----------------- --------                             ----------
                          e831b3fd-77c9-49c7-9fca-de43e109ef67 User

Jeśli chcesz usunąć właściciela z grupy, użyj Remove-AzureADGroupOwner cmdlet:

    PS C:\Windows\system32> remove-AzureADGroupOwner -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -OwnerId e831b3fd-77c9-49c7-9fca-de43e109ef67

Aliasy zarezerwowane

Po utworzeniu grupy niektóre punkty końcowe umożliwiają użytkownikowi końcowemu określenie nazwy mailNickname lub aliasu, które mają być używane jako część adresu e-mail grupy. Grupy z następującymi wysoce uprzywilejowanymi aliasami poczty e-mail mogą być tworzone tylko przez administratora globalnego usługi Azure AD.

  • Nadużyć
  • administrator
  • administrator
  • hostmaster
  • majordomo
  • Postmaster
  • root
  • Bezpieczne
  • security
  • ssl-admin
  • Webmaster

Grupowanie zapisu zwrotnego w środowisku lokalnym (wersja zapoznawcza)

Obecnie wiele grup jest nadal zarządzanych w lokalna usługa Active Directory. Aby odpowiedzieć na żądania synchronizacji grup w chmurze ze środowiskiem lokalnym, Microsoft 365 funkcji zapisu zwrotnego grup dla usługi Azure AD jest teraz dostępna w wersji zapoznawczej.

Microsoft 365 są tworzone i zarządzane w chmurze. Funkcja zapisu zwrotnego umożliwia zapis z powrotem Microsoft 365 jako grup dystrybucyjnych w lesie usługi Active Directory z Exchange zainstalowanymi. Użytkownicy z lokalnymi skrzynkami Exchange mogą następnie wysyłać i odbierać wiadomości e-mail z tych grup. Funkcja zapisu zwrotnego grup nie obsługuje grup zabezpieczeń ani grup dystrybucyjnych usługi Azure AD.

Aby uzyskać więcej informacji, zapoznaj się z dokumentacją usługi synchronizacji Połączenie Azure AD.

Microsoft 365 zwrotne grup jest funkcją publicznej wersji zapoznawczej usługi Azure Active Directory (Azure AD) i jest dostępna z dowolnym płatnym planem licencjonowania usługi Azure AD. Aby uzyskać informacje prawne dotyczące wersji zapoznawczych, zobacz Dodatkowe warunki użytkowania dotyczące wersji Microsoft Azure zapoznawczych.

Następne kroki

Więcej informacji na temat Azure Active Directory programu PowerShell można znaleźć Azure Active Directory cmdlet.