Polecenia cmdlet Azure Active Directory w wersji 2 dla zarządzania grupamiAzure Active Directory version 2 cmdlets for group management

Ten artykuł zawiera przykłady użycia programu PowerShell do zarządzania grupami w usłudze Azure Active Directory (Azure AD).This article contains examples of how to use PowerShell to manage your groups in Azure Active Directory (Azure AD). Zawarto również informacje, jak skonfigurować program przy użyciu modułu Azure AD PowerShell.It also tells you how to get set up with the Azure AD PowerShell module. Najpierw należy pobrać moduł Azure AD PowerShell.First, you must download the Azure AD PowerShell module.

Instalowanie modułu Azure AD PowerShellInstall the Azure AD PowerShell module

Aby zainstalować moduł Azure AD PowerShell, użyj następujących poleceń:To install the Azure AD PowerShell module, use the following commands:

    PS C:\Windows\system32> install-module azuread
    PS C:\Windows\system32> import-module azuread

Aby sprawdzić, czy moduł jest gotowy do użycia, użyj następującego polecenia:To verify that the module is ready to use, use the following command:

    PS C:\Windows\system32> get-module azuread

    ModuleType Version      Name                                ExportedCommands
    ---------- ---------    ----                                ----------------
    Binary     2.0.0.115    azuread                      {Add-AzureADAdministrati...}

Teraz możesz zacząć korzystać z poleceń cmdlet w module.Now you can start using the cmdlets in the module. Pełny opis poleceń cmdlet w module usługi Azure AD można znaleźć w dokumentacji referencyjnej online dla programu Azure Active Directory PowerShell w wersji 2.For a full description of the cmdlets in the Azure AD module, please refer to the online reference documentation for Azure Active Directory PowerShell Version 2.

Nawiązywanie połączenia z katalogiemConnect to the directory

Przed rozpoczęciem zarządzania grupami przy użyciu poleceń cmdlet programu PowerShell usługi Azure AD należy połączyć sesję programu PowerShell z katalogiem, który ma być zarządzany.Before you can start managing groups using Azure AD PowerShell cmdlets, you must connect your PowerShell session to the directory you want to manage. Użyj następującego polecenia:Use the following command:

    PS C:\Windows\system32> Connect-AzureAD

Polecenie cmdlet poprosi o poświadczenia, których chcesz użyć w celu uzyskania dostępu do katalogu.The cmdlet prompts you for the credentials you want to use to access your directory. W tym przykładzie używamy karen@drumkit.onmicrosoft.com, aby uzyskać dostęp do katalogu demonstracyjnego.In this example, we are using karen@drumkit.onmicrosoft.com to access the demonstration directory. Polecenie cmdlet zwraca potwierdzenie, aby pokazać, że sesja została pomyślnie podłączona do katalogu:The cmdlet returns a confirmation to show the session was connected successfully to your directory:

    Account                       Environment Tenant
    -------                       ----------- ------
    Karen@drumkit.onmicrosoft.com AzureCloud  85b5ff1e-0402-400c-9e3c-0f…

Teraz można rozpocząć korzystanie z poleceń cmdlet AzureAD do zarządzania grupami w katalogu.Now you can start using the AzureAD cmdlets to manage groups in your directory.

Pobieranie grupRetrieve groups

Aby pobrać istniejące grupy z katalogu, należy użyć polecenia cmdlet Get-AzureADGroups.To retrieve existing groups from your directory, use the Get-AzureADGroups cmdlet.

Aby pobrać wszystkie grupy w katalogu, należy użyć polecenia cmdlet bez parametrów:To retrieve all groups in the directory, use the cmdlet without parameters:

    PS C:\Windows\system32> get-azureadgroup

Polecenie cmdlet zwraca wszystkie grupy w połączonym katalogu.The cmdlet returns all groups in the connected directory.

Za pomocą parametru-objectID można pobrać konkretną grupę, dla której zostanie określony identyfikator obiektu grupy:You can use the -objectID parameter to retrieve a specific group for which you specify the group’s objectID:

    PS C:\Windows\system32> get-azureadgroup -ObjectId e29bae11-4ac0-450c-bc37-6dae8f3da61b

Polecenie cmdlet zwraca teraz grupę, której identyfikator objectID pasuje do wartości wprowadzonego parametru:The cmdlet now returns the group whose objectID matches the value of the parameter you entered:

    DeletionTimeStamp            :
    ObjectId                     : e29bae11-4ac0-450c-bc37-6dae8f3da61b
    ObjectType                   : Group
    Description                  :
    DirSyncEnabled               :
    DisplayName                  : Pacific NW Support
    LastDirSyncTime              :
    Mail                         :
    MailEnabled                  : False
    MailNickName                 : 9bb4139b-60a1-434a-8c0d-7c1f8eee2df9
    OnPremisesSecurityIdentifier :
    ProvisioningErrors           : {}
    ProxyAddresses               : {}
    SecurityEnabled              : True

Można wyszukać określoną grupę przy użyciu parametru-Filter.You can search for a specific group using the -filter parameter. Ten parametr przyjmuje klauzulę filtru ODATA i zwraca wszystkie grupy, które pasują do filtru, jak w poniższym przykładzie:This parameter takes an ODATA filter clause and returns all groups that match the filter, as in the following example:

    PS C:\Windows\system32> Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"


    DeletionTimeStamp            :
    ObjectId                     : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
    ObjectType                   : Group
    Description                  : Intune Administrators
    DirSyncEnabled               :
    DisplayName                  : Intune Administrators
    LastDirSyncTime              :
    Mail                         :
    MailEnabled                  : False
    MailNickName                 : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
    OnPremisesSecurityIdentifier :
    ProvisioningErrors           : {}
    ProxyAddresses               : {}
    SecurityEnabled              : True

Uwaga

Polecenia cmdlet programu PowerShell usługi Azure AD implementują Standard zapytania OData.The Azure AD PowerShell cmdlets implement the OData query standard. Aby uzyskać więcej informacji, zobacz $Filter w opcjach zapytania systemowego OData przy użyciu punktu końcowego OData.For more information, see $filter in OData system query options using the OData endpoint.

Tworzenie grupCreate groups

Aby utworzyć nową grupę w katalogu, należy użyć polecenia cmdlet New-AzureADGroup.To create a new group in your directory, use the New-AzureADGroup cmdlet. To polecenie cmdlet tworzy nową grupę zabezpieczeń o nazwie "Marketing":This cmdlet creates a new security group called “Marketing":

    PS C:\Windows\system32> New-AzureADGroup -Description "Marketing" -DisplayName "Marketing" -MailEnabled $false -SecurityEnabled $true -MailNickName "Marketing"

Grupy aktualizacjiUpdate groups

Aby zaktualizować istniejącą grupę, należy użyć polecenia cmdlet Set-AzureADGroup.To update an existing group, use the Set-AzureADGroup cmdlet. W tym przykładzie zmieniamy Właściwość DisplayName grupy "Administratorzy usługi Intune".In this example, we’re changing the DisplayName property of the group “Intune Administrators.” Najpierw wyszukamy grupę przy użyciu polecenia cmdlet Get-AzureADGroup i filtrowania przy użyciu atrybutu DisplayName:First, we’re finding the group using the Get-AzureADGroup cmdlet and filter using the DisplayName attribute:

    PS C:\Windows\system32> Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"


    DeletionTimeStamp            :
    ObjectId                     : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
    ObjectType                   : Group
    Description                  : Intune Administrators
    DirSyncEnabled               :
    DisplayName                  : Intune Administrators
    LastDirSyncTime              :
    Mail                         :
    MailEnabled                  : False
    MailNickName                 : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
    OnPremisesSecurityIdentifier :
    ProvisioningErrors           : {}
    ProxyAddresses               : {}
    SecurityEnabled              : True

Następnie zmienimy Właściwość Description na nową wartość "Administratorzy urządzeń usługi Intune":Next, we’re changing the Description property to the new value “Intune Device Administrators”:

    PS C:\Windows\system32> Set-AzureADGroup -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -Description "Intune Device Administrators"

Teraz, jeśli ponownie znajdziesz grupę, zobaczymy, że Właściwość Description zostanie zaktualizowana w celu odzwierciedlenia nowej wartości:Now, if we find the group again, we see the Description property is updated to reflect the new value:

    PS C:\Windows\system32> Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"

    DeletionTimeStamp            :
    ObjectId                     : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
    ObjectType                   : Group
    Description                  : Intune Device Administrators
    DirSyncEnabled               :
    DisplayName                  : Intune Administrators
    LastDirSyncTime              :
    Mail                         :
    MailEnabled                  : False
    MailNickName                 : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
    OnPremisesSecurityIdentifier :
    ProvisioningErrors           : {}
    ProxyAddresses               : {}
    SecurityEnabled              : True

Usuń grupyDelete groups

Aby usunąć grupy z katalogu, należy użyć polecenia cmdlet Remove-AzureADGroup w następujący sposób:To delete groups from your directory, use the Remove-AzureADGroup cmdlet as follows:

    PS C:\Windows\system32> Remove-AzureADGroup -ObjectId b11ca53e-07cc-455d-9a89-1fe3ab24566b

Zarządzanie członkostwem w grupieManage group membership

Dodaj członkówAdd members

Aby dodać nowych członków do grupy, użyj polecenia cmdlet Add-AzureADGroupMember.To add new members to a group, use the Add-AzureADGroupMember cmdlet. To polecenie dodaje członka do grupy administratorów usługi Intune, która została użyta w poprzednim przykładzie:This command adds a member to the Intune Administrators group we used in the previous example:

    PS C:\Windows\system32> Add-AzureADGroupMember -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -RefObjectId 72cd4bbd-2594-40a2-935c-016f3cfeeeea

Parametr-ObjectId jest identyfikatorem ObjectID grupy, do której chcemy dodać element członkowski, a-RefObjectId jest identyfikatorem ObjectID użytkownika, który chcemy dodać jako członka grupy.The -ObjectId parameter is the ObjectID of the group to which we want to add a member, and the -RefObjectId is the ObjectID of the user we want to add as a member to the group.

Pobierz członkówGet members

Aby uzyskać istniejących członków grupy, należy użyć polecenia cmdlet Get-AzureADGroupMember, jak w poniższym przykładzie:To get the existing members of a group, use the Get-AzureADGroupMember cmdlet, as in this example:

    PS C:\Windows\system32> Get-AzureADGroupMember -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df

    DeletionTimeStamp ObjectId                             ObjectType
    ----------------- --------                             ----------
                          72cd4bbd-2594-40a2-935c-016f3cfeeeea User
                          8120cc36-64b4-4080-a9e8-23aa98e8b34f User

Usuń członkówRemove members

Aby usunąć element członkowski, który został wcześniej dodany do grupy, należy użyć polecenia cmdlet Remove-AzureADGroupMember, jak pokazano poniżej:To remove the member we previously added to the group, use the Remove-AzureADGroupMember cmdlet, as is shown here:

    PS C:\Windows\system32> Remove-AzureADGroupMember -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -MemberId 72cd4bbd-2594-40a2-935c-016f3cfeeeea

Weryfikuj członkówVerify members

Aby sprawdzić członkostwa w grupie użytkownika, należy użyć polecenia cmdlet Select-AzureADGroupIdsUserIsMemberOf.To verify the group memberships of a user, use the Select-AzureADGroupIdsUserIsMemberOf cmdlet. To polecenie cmdlet przyjmuje jako parametry identyfikator ObjectId użytkownika, dla którego chcesz sprawdzić członkostwa w grupie, oraz listę grup, dla których chcesz sprawdzić członkostwa.This cmdlet takes as its parameters the ObjectId of the user for which to check the group memberships, and a list of groups for which to check the memberships. Lista grup musi być podana w formie złożonej zmiennej typu "Microsoft. Open. AzureAD. model. GroupIdsForMembershipCheck", więc najpierw należy utworzyć zmienną o tym typie:The list of groups must be provided in the form of a complex variable of type “Microsoft.Open.AzureAD.Model.GroupIdsForMembershipCheck”, so we first must create a variable with that type:

    PS C:\Windows\system32> $g = new-object Microsoft.Open.AzureAD.Model.GroupIdsForMembershipCheck

Następnie dostarczamy wartości dla groupIds, aby zaewidencjonować atrybut "GroupIds" tej zmiennej złożonej:Next, we provide values for the groupIds to check in the attribute “GroupIds” of this complex variable:

    PS C:\Windows\system32> $g.GroupIds = "b11ca53e-07cc-455d-9a89-1fe3ab24566b", "31f1ff6c-d48c-4f8a-b2e1-abca7fd399df"

Teraz, jeśli chcemy sprawdzić członkostwa w grupie użytkownika przy użyciu identyfikatora ObjectID 72cd4bbd-2594-40a2-935c-016f3cfeeeea względem grup w $g, należy użyć:Now, if we want to check the group memberships of a user with ObjectID 72cd4bbd-2594-40a2-935c-016f3cfeeeea against the groups in $g, we should use:

    PS C:\Windows\system32> Select-AzureADGroupIdsUserIsMemberOf -ObjectId 72cd4bbd-2594-40a2-935c-016f3cfeeeea -GroupIdsForMembershipCheck $g

    OdataMetadata                                                                                                 Value
    -------------                                                                                                  -----
    https://graph.windows.net/85b5ff1e-0402-400c-9e3c-0f9e965325d1/$metadata#Collection(Edm.String)             {31f1ff6c-d48c-4f8a-b2e1-abca7fd399df}

Zwracana wartość to lista grup, których członkiem jest ten użytkownik.The value returned is a list of groups of which this user is a member. Można również zastosować tę metodę, aby sprawdzić kontakty, grupy lub członkostwo w jednostkach usługi dla danej listy grup przy użyciu polecenia SELECT-AzureADGroupIdsContactIsMemberOf, Select-AzureADGroupIdsGroupIsMemberOf lub SELECT-AzureADGroupIdsServicePrincipalIsMemberOfYou can also apply this method to check Contacts, Groups or Service Principals membership for a given list of groups, using Select-AzureADGroupIdsContactIsMemberOf, Select-AzureADGroupIdsGroupIsMemberOf or Select-AzureADGroupIdsServicePrincipalIsMemberOf

Wyłącz tworzenie grupy przez użytkownikówDisable group creation by your users

Można uniemożliwić użytkownikom niebędącym administratorami tworzenie grup zabezpieczeń.You can prevent non-admin users from creating security groups. Domyślnym zachowaniem w usługach Microsoft Online Directory Services (MSODS) jest umożliwienie użytkownikom niebędącym administratorami tworzenia grup, niezależnie od tego, czy jest również włączona funkcja samoobsługowego zarządzania grupami (GRUPAMI).The default behavior in Microsoft Online Directory Services (MSODS) is to allow non-admin users to create groups, whether or not self-service group management (SSGM) is also enabled. Ustawienie GRUPAMI kontroluje zachowanie tylko w panelu dostępu moje aplikacje.The SSGM setting controls behavior only in the My Apps access panel.

Aby wyłączyć tworzenie grupy dla użytkowników niebędących administratorami:To disable group creation for non-admin users:

  1. Sprawdź, czy użytkownicy niebędący administratorami mogą tworzyć grupy:Verify that non-admin users are allowed to create groups:

    PS C:\> Get-MsolCompanyInformation | fl UsersPermissionToCreateGroupsEnabled
    
  2. Jeśli zwróci UsersPermissionToCreateGroupsEnabled : True, użytkownicy niebędący administratorami mogą tworzyć grupy.If it returns UsersPermissionToCreateGroupsEnabled : True, then non-admin users can create groups. Aby wyłączyć tę funkcję:To disable this feature:

    Set-MsolCompanySettings -UsersPermissionToCreateGroupsEnabled $False
    

Zarządzanie właścicielami grupManage owners of groups

Aby dodać właścicieli do grupy, użyj polecenia cmdlet Add-AzureADGroupOwner:To add owners to a group, use the Add-AzureADGroupOwner cmdlet:

    PS C:\Windows\system32> Add-AzureADGroupOwner -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -RefObjectId 72cd4bbd-2594-40a2-935c-016f3cfeeeea

Parametr-ObjectId jest identyfikatorem ObjectID grupy, do której chcemy dodać właściciela, a-RefObjectId jest identyfikatorem ObjectID użytkownika lub jednostki usługi, który chcemy dodać jako właściciela grupy.The -ObjectId parameter is the ObjectID of the group to which we want to add an owner, and the -RefObjectId is the ObjectID of the user or service principal we want to add as an owner of the group.

Aby pobrać właścicieli grupy, należy użyć polecenia cmdlet Get-AzureADGroupOwner:To retrieve the owners of a group, use the Get-AzureADGroupOwner cmdlet:

    PS C:\Windows\system32> Get-AzureADGroupOwner -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df

Polecenie cmdlet zwraca listę właścicieli (użytkowników i nazw podmiotów usługi) dla określonej grupy:The cmdlet returns the list of owners (users and service principals) for the specified group:

    DeletionTimeStamp ObjectId                             ObjectType
    ----------------- --------                             ----------
                          e831b3fd-77c9-49c7-9fca-de43e109ef67 User

Jeśli chcesz usunąć właściciela z grupy, użyj polecenia cmdlet Remove-AzureADGroupOwner:If you want to remove an owner from a group, use the Remove-AzureADGroupOwner cmdlet:

    PS C:\Windows\system32> remove-AzureADGroupOwner -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -OwnerId e831b3fd-77c9-49c7-9fca-de43e109ef67

Zarezerwowane aliasyReserved aliases

Po utworzeniu grupy niektóre punkty końcowe umożliwiają użytkownikowi końcowemu określenie mailNickname lub aliasu, który ma być używany jako część adresu e-mail grupy.When a group is created, certain endpoints allow the end user to specify a mailNickname or alias to be used as part of the email address of the group. Grupy o następujących aliasach poczty e-mail z wysokim poziomem uprawnień mogą być tworzone tylko przez administratora globalnego usługi Azure AD. Groups with the following highly privileged email aliases can only be created by an Azure AD global administrator. 

  • stanowiabuse
  • administratoraadmin
  • administratoradministrator
  • hostmasterhostmaster
  • majordomomajordomo
  • postmasterpostmaster
  • rootroot
  • bezpieczeństwosecure
  • securitysecurity
  • ssl-adminssl-admin
  • wiadomwebmaster

Grupowanie zapisu zwrotnego w środowisku lokalnym (wersja zapoznawcza)Group writeback to on-premises (preview)

Obecnie wiele grup jest nadal zarządzanych w Active Directory lokalnych.Today, many groups are still managed in on-premises Active Directory. Aby odpowiedzieć na żądania synchronizacji grup w chmurze z powrotem z lokalnymi, funkcja zapisywania zwrotnego grup pakietu Office 365 dla usługi Azure AD jest teraz dostępna w wersji zapoznawczej.To answer requests to sync cloud groups back to on-premises, Office 365 groups writeback feature for Azure AD is now available for preview.

Grupy pakietu Office 365 są tworzone i zarządzane w chmurze.Office 365 groups are created and managed in the cloud. Funkcja zapisywania zwrotnego umożliwia zapisywanie grup dystrybucyjnych pakietu Office 365 jako grup dystrybucji w lesie Active Directory z zainstalowanym programem Exchange.The writeback capability allows you to write back Office 365 groups as distribution groups to an Active Directory forest with Exchange installed. Użytkownicy z lokalnymi skrzynkami pocztowymi programu Exchange mogą następnie wysyłać i odbierać wiadomości e-mail z tych grup.Users with on-premises Exchange mailboxes can then send and receive emails from these groups. Funkcja zapisywania zwrotnego grup nie obsługuje grup zabezpieczeń ani grup dystrybucyjnych usługi Azure AD.The group writeback feature doesn't support Azure AD security groups or distribution groups.

Aby uzyskać więcej informacji, zapoznaj się z dokumentacją usługi synchronizacji Azure AD Connect.For more details, please refer to documentation for the Azure AD Connect sync service.

Funkcja zapisywania zwrotnego grup pakietu Office 365 jest publiczną funkcją w wersji zapoznawczej Azure Active Directory (Azure AD) i jest dostępna z dowolnym płatnym planem licencjonowania usługi Azure AD.Office 365 group writeback is a public preview feature of Azure Active Directory (Azure AD) and is available with any paid Azure AD license plan. Aby uzyskać pewne informacje prawne dotyczące wersji zapoznawczych, zobacz dodatkowe warunki użytkowania wersjizapoznawczych Microsoft Azure.For some legal information about previews, see Supplemental Terms of Use for Microsoft Azure Previews.

Następne krokiNext steps

Więcej Azure Active Directory dokumentacji programu PowerShell można znaleźć w Azure Active Directory poleceniach cmdlet.You can find more Azure Active Directory PowerShell documentation at Azure Active Directory Cmdlets.