Azure Active Directory version 2-cmdlets för grupphantering
Den här artikeln innehåller exempel på hur du använder PowerShell för att hantera grupper i Azure Active Directory (Azure AD). Du får också information om hur du kommer igång med Azure AD PowerShell-modulen. Först måste du ladda ned Azure AD PowerShell-modulen.
Installera Azure AD PowerShell-modulen
Använd följande kommandon för att installera Azure AD PowerShell-modulen:
PS C:\Windows\system32> install-module azuread
PS C:\Windows\system32> import-module azuread
Kontrollera att modulen är redo att användas med följande kommando:
PS C:\Windows\system32> get-module azuread
ModuleType Version Name ExportedCommands
---------- --------- ---- ----------------
Binary 2.0.0.115 azuread {Add-AzureADAdministrati...}
Nu kan du börja använda cmdletarna i modulen. En fullständig beskrivning av cmdletarna i Azure AD-modulen finns i onlinereferensdokumentationen för Azure Active Directory PowerShell version 2.
Anteckning
Azure AD PowerShell-cmdletarna fungerar inte med nya Powershell 7 eftersom de baseras på .net Core. Vi är medvetna om detta och det håller på att uppdateras. Från och med nu rekommenderar vi att du Windows PowerShell 5.x-modulen som ska användas för Azure AD PowerShell-åtgärder.
Anslut till katalogen
Innan du kan börja hantera grupper med Hjälp av Azure AD PowerShell-cmdlets måste du ansluta PowerShell-sessionen till den katalog som du vill hantera. Ange följande kommando:
PS C:\Windows\system32> Connect-AzureAD
Cmdleten uppmanar dig att ange de autentiseringsuppgifter som du vill använda för att komma åt din katalog. I det här exemplet använder vi för karen@drumkit.onmicrosoft.com att komma åt demonstrationskatalogen. Cmdleten returnerar en bekräftelse som visar att sessionen har anslutits till din katalog:
Account Environment Tenant ID
------- ----------- ---------
Karen@drumkit.onmicrosoft.com AzureCloud 85b5ff1e-0402-400c-9e3c-0f…
Nu kan du börja använda AzureAD-cmdlets för att hantera grupper i din katalog.
Hämta grupper
Om du vill hämta befintliga grupper från din katalog använder du Get-AzureADGroups cmdlet.
Om du vill hämta alla grupper i katalogen använder du cmdleten utan parametrar:
PS C:\Windows\system32> get-azureadgroup
Cmdleten returnerar alla grupper i den anslutna katalogen.
Du kan använda parametern -objectID för att hämta en specifik grupp som du anger gruppens objectID för:
PS C:\Windows\system32> get-azureadgroup -ObjectId e29bae11-4ac0-450c-bc37-6dae8f3da61b
Cmdleten returnerar nu den grupp vars objectID matchar värdet för den parameter som du angav:
DeletionTimeStamp :
ObjectId : e29bae11-4ac0-450c-bc37-6dae8f3da61b
ObjectType : Group
Description :
DirSyncEnabled :
DisplayName : Pacific NW Support
LastDirSyncTime :
Mail :
MailEnabled : False
MailNickName : 9bb4139b-60a1-434a-8c0d-7c1f8eee2df9
OnPremisesSecurityIdentifier :
ProvisioningErrors : {}
ProxyAddresses : {}
SecurityEnabled : True
Du kan söka efter en specifik grupp med parametern -filter. Den här parametern tar en ODATA-filtersats och returnerar alla grupper som matchar filtret, som i följande exempel:
PS C:\Windows\system32> Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"
DeletionTimeStamp :
ObjectId : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
ObjectType : Group
Description : Intune Administrators
DirSyncEnabled :
DisplayName : Intune Administrators
LastDirSyncTime :
Mail :
MailEnabled : False
MailNickName : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
OnPremisesSecurityIdentifier :
ProvisioningErrors : {}
ProxyAddresses : {}
SecurityEnabled : True
Anteckning
Azure AD PowerShell-cmdletarna implementerar OData-frågestandarden. Mer information finns i $filter OData-systemfrågealternativ med hjälp av OData-slutpunkten.
Skapa grupper
Om du vill skapa en ny grupp i katalogen använder du New-AzureADGroup cmdlet. Den här cmdleten skapar en ny säkerhetsgrupp med namnet "Marketing":
PS C:\Windows\system32> New-AzureADGroup -Description "Marketing" -DisplayName "Marketing" -MailEnabled $false -SecurityEnabled $true -MailNickName "Marketing"
Uppdatera grupper
Om du vill uppdatera en befintlig grupp använder du Set-AzureADGroup cmdlet. I det här exemplet ändrar vi egenskapen DisplayName för gruppen "Intune-administratörer". Först letar vi upp gruppen med hjälp av Get-AzureADGroup-cmdleten och filtrerar med hjälp av attributet DisplayName:
PS C:\Windows\system32> Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"
DeletionTimeStamp :
ObjectId : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
ObjectType : Group
Description : Intune Administrators
DirSyncEnabled :
DisplayName : Intune Administrators
LastDirSyncTime :
Mail :
MailEnabled : False
MailNickName : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
OnPremisesSecurityIdentifier :
ProvisioningErrors : {}
ProxyAddresses : {}
SecurityEnabled : True
Nu ska vi ändra egenskapen Beskrivning till det nya värdet "Intune-enhetsadministratörer":
PS C:\Windows\system32> Set-AzureADGroup -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -Description "Intune Device Administrators"
Om vi nu hittar gruppen igen ser vi att egenskapen Description uppdateras för att återspegla det nya värdet:
PS C:\Windows\system32> Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"
DeletionTimeStamp :
ObjectId : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
ObjectType : Group
Description : Intune Device Administrators
DirSyncEnabled :
DisplayName : Intune Administrators
LastDirSyncTime :
Mail :
MailEnabled : False
MailNickName : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
OnPremisesSecurityIdentifier :
ProvisioningErrors : {}
ProxyAddresses : {}
SecurityEnabled : True
Ta bort grupper
Om du vill ta bort grupper från katalogen använder du Remove-AzureADGroup cmdlet enligt följande:
PS C:\Windows\system32> Remove-AzureADGroup -ObjectId b11ca53e-07cc-455d-9a89-1fe3ab24566b
Hantera gruppmedlemskap
Lägg till medlemmar
Om du vill lägga till nya medlemmar i en grupp använder du Add-AzureADGroupMember cmdlet. Det här kommandot lägger till en medlem i gruppen Intune-administratörer som vi använde i föregående exempel:
PS C:\Windows\system32> Add-AzureADGroupMember -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -RefObjectId 72cd4bbd-2594-40a2-935c-016f3cfeeeea
Parametern -ObjectId är ObjectID för den grupp som vi vill lägga till en medlem i, och -RefObjectId är ObjectID för den användare som vi vill lägga till som medlem i gruppen.
Hämta medlemmar
Om du vill hämta befintliga medlemmar i en grupp använder du Get-AzureADGroupMember cmdlet, som i det här exemplet:
PS C:\Windows\system32> Get-AzureADGroupMember -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
DeletionTimeStamp ObjectId ObjectType
----------------- -------- ----------
72cd4bbd-2594-40a2-935c-016f3cfeeeea User
8120cc36-64b4-4080-a9e8-23aa98e8b34f User
Ta bort medlemmar
Om du vill ta bort den medlem som vi tidigare lade till i gruppen använder du Remove-AzureADGroupMember cmdlet, som du ser här:
PS C:\Windows\system32> Remove-AzureADGroupMember -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -MemberId 72cd4bbd-2594-40a2-935c-016f3cfeeeea
Verifiera medlemmar
Om du vill verifiera gruppmedlemskap för en användare använder du Select-AzureADGroupIdsUserIsMemberOf cmdlet. Den här cmdleten tar ObjectId för användaren som användaren ska kontrollera gruppmedlemskapen för och en lista över grupper som medlemskapen ska kontrolleras för. Listan över grupper måste anges i form av en komplex variabel av typen "Microsoft.Open.AzureAD.Model.GroupIdsForMembershipCheck", så vi måste först skapa en variabel med den typen:
PS C:\Windows\system32> $g = new-object Microsoft.Open.AzureAD.Model.GroupIdsForMembershipCheck
Därefter anger vi värden för groupIds för att checka in attributet "GroupIds" för den här komplexa variabeln:
PS C:\Windows\system32> $g.GroupIds = "b11ca53e-07cc-455d-9a89-1fe3ab24566b", "31f1ff6c-d48c-4f8a-b2e1-abca7fd399df"
Om vi nu vill kontrollera gruppmedlemskap för en användare med ObjectID 72cd4bbd-2594-40a2-935c-016f3cfeeeea mot grupperna i $g ska vi använda:
PS C:\Windows\system32> Select-AzureADGroupIdsUserIsMemberOf -ObjectId 72cd4bbd-2594-40a2-935c-016f3cfeeeea -GroupIdsForMembershipCheck $g
OdataMetadata Value
------------- -----
https://graph.windows.net/85b5ff1e-0402-400c-9e3c-0f9e965325d1/$metadata#Collection(Edm.String) {31f1ff6c-d48c-4f8a-b2e1-abca7fd399df}
Värdet som returneras är en lista över grupper som den här användaren är medlem i. Du kan också använda den här metoden för att kontrollera medlemskapet Kontakter, Grupper eller Tjänstens huvudnamn för en viss lista över grupper med Select-AzureADGroupIdsContactIsMemberOf, Select-AzureADGroupIdsGroupIsMemberOf eller Select-AzureADGroupIdsServicePrincipalIsMemberOf
Inaktivera användargenerering av grupper
Du kan förhindra att icke-administratörsanvändare skapar säkerhetsgrupper. Standardbeteendet i Microsoft Online Directory Services (MSODS) är att tillåta användare som inte är administratörer att skapa grupper, oavsett om grupphantering via självbetjäning (SSGM) också är aktiverat eller inte. SSGM-inställningen styr endast beteendet i Mina appar åtkomstpanelen.
Så här inaktiverar du gruppskapande för icke-administratörsanvändare:
Kontrollera att icke-administratörsanvändare kan skapa grupper:
PS C:\> Get-MsolCompanyInformation | fl UsersPermissionToCreateGroupsEnabledOm den
UsersPermissionToCreateGroupsEnabled : Truereturnerar kan icke-administratörsanvändare skapa grupper. Så här inaktiverar du den här funktionen:Set-MsolCompanySettings -UsersPermissionToCreateGroupsEnabled $False
Hantera ägare av grupper
Om du vill lägga till ägare i en grupp använder du Add-AzureADGroupOwner cmdlet:
PS C:\Windows\system32> Add-AzureADGroupOwner -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -RefObjectId 72cd4bbd-2594-40a2-935c-016f3cfeeeea
Parametern -ObjectId är ObjectID för den grupp som vi vill lägga till en ägare till, och -RefObjectId är ObjectID för den användare eller tjänstens huvudnamn som vi vill lägga till som ägare till gruppen.
Om du vill hämta ägare till en grupp använder du Get-AzureADGroupOwner cmdlet:
PS C:\Windows\system32> Get-AzureADGroupOwner -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
Cmdleten returnerar listan över ägare (användare och tjänstens huvudnamn) för den angivna gruppen:
DeletionTimeStamp ObjectId ObjectType
----------------- -------- ----------
e831b3fd-77c9-49c7-9fca-de43e109ef67 User
Om du vill ta bort en ägare från en grupp använder du Remove-AzureADGroupOwner cmdlet:
PS C:\Windows\system32> remove-AzureADGroupOwner -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -OwnerId e831b3fd-77c9-49c7-9fca-de43e109ef67
Reserverade alias
När en grupp skapas tillåter vissa slutpunkter att slutanvändaren anger ett mailNickname eller alias som ska användas som en del av e-postadressen för gruppen. Grupper med följande mycket privilegierade e-postalias kan bara skapas av en global Azure AD-administratör.
- Missbruk
- administratör
- administratör
- hostmaster
- majordvalda
- Postmaster
- Root
- Säker
- security
- ssl-admin
- Webmaster
Tillbakaskrivning av grupp till lokal plats (förhandsversion)
Idag hanteras många grupper fortfarande i lokal Active Directory. För att besvara förfrågningar om att synkronisera molngrupper tillbaka till den lokala platsen Microsoft 365 tillbakaskrivningsfunktionen för grupper för Azure AD nu tillgänglig som förhandsversion.
Microsoft 365-grupper skapas och hanteras i molnet. Med funktionen för tillbakaskrivning kan du skriva tillbaka Microsoft 365 grupper som distributionsgrupper till en Active Directory-skog med Exchange installerat. Användare med lokala e-postlådor Exchange sedan skicka och ta emot e-postmeddelanden från dessa grupper. Funktionen för tillbakaskrivning av grupper stöder inte Azure AD-säkerhetsgrupper eller distributionsgrupper.
Mer information finns i dokumentationen för Tjänsten Azure AD Anslut Sync.
Microsoft 365 tillbakaskrivning av grupper är en offentlig förhandsversion av Azure Active Directory (Azure AD) och är tillgänglig med valfri betald Azure AD-licensplan. Viss juridisk information om förhandsversioner finns i Kompletterande villkor för användning Microsoft Azure förhandsversioner.
Nästa steg
Du hittar mer information Azure Active Directory PowerShell-dokumentationen på Azure Active Directory-cmdlets.