grup yönetimi için sürüm 2 cmdlet 'leri Azure Active Directory
Bu makalede, Azure Active Directory (Azure AD) içinde gruplarınızı yönetmek için PowerShell 'in nasıl kullanılacağına ilişkin örnekler yer almaktadır. Ayrıca, Azure AD PowerShell modülü ile nasıl ayarlanalınacağını da söyler. İlk olarak, Azure AD PowerShell modülünü indirmenizgerekir.
Azure AD PowerShell modülünü yükler
Azure AD PowerShell modülünü yüklemek için aşağıdaki komutları kullanın:
PS C:\Windows\system32> install-module azuread
PS C:\Windows\system32> import-module azuread
Modülün kullanıma hazırsa emin olmak için aşağıdaki komutu kullanın:
PS C:\Windows\system32> get-module azuread
ModuleType Version Name ExportedCommands
---------- --------- ---- ----------------
Binary 2.0.0.115 azuread {Add-AzureADAdministrati...}
Artık modüldeki cmdlet 'leri kullanmaya başlayabilirsiniz. Azure AD modülündeki cmdlet 'lerin tam açıklaması için lütfen Azure Active Directory PowerShell sürüm 2' ye yönelik çevrimiçi başvuru belgelerine bakın.
Not
Azure AD PowerShell cmdlet 'leri, .NET Core temel alınarak yeni PowerShell 7 ile birlikte çalışmaz. Bizim için farkındayız ve bu, güncelleştirilme sürecinde. şu andan itibaren Azure AD PowerShell işlemlerinde kullanılacak Windows PowerShell 5. x modülünü kullanmayı öneririz.
dizine Bağlan
Azure AD PowerShell cmdlet 'lerini kullanarak grupları yönetmeye başlayabilmeniz için önce, PowerShell oturumunuzu yönetmek istediğiniz dizine bağlamanız gerekir. Aşağıdaki komutu kullanın:
PS C:\Windows\system32> Connect-AzureAD
Cmdlet 'i, dizininize erişmek için kullanmak istediğiniz kimlik bilgilerini ister. Bu örnekte, karen@drumkit.onmicrosoft.com tanıtım dizinine erişmek için kullanıyoruz. Cmdlet, oturumun başarıyla bağlanıp bağlandığına ilişkin bir onay döndürür:
Account Environment Tenant ID
------- ----------- ---------
Karen@drumkit.onmicrosoft.com AzureCloud 85b5ff1e-0402-400c-9e3c-0f…
Artık, dizininizde grupları yönetmek için AzureAD cmdlet 'lerini kullanmaya başlayabilirsiniz.
Grupları Al
Dizininizden varolan grupları almak için Get-AzureADGroups cmdlet 'ini kullanın.
Dizindeki tüm grupları almak için cmdlet 'ini parametresiz kullanın:
PS C:\Windows\system32> get-azureadgroup
Cmdlet 'i bağlı dizindeki tüm grupları döndürür.
Grubun ObjectID 'yi belirttiğiniz belirli bir grubu almak için-objectID parametresini kullanabilirsiniz:
PS C:\Windows\system32> get-azureadgroup -ObjectId e29bae11-4ac0-450c-bc37-6dae8f3da61b
Cmdlet artık, NesneKimliği girdiğiniz parametrenin değeriyle eşleşen grubu döndürür:
DeletionTimeStamp :
ObjectId : e29bae11-4ac0-450c-bc37-6dae8f3da61b
ObjectType : Group
Description :
DirSyncEnabled :
DisplayName : Pacific NW Support
LastDirSyncTime :
Mail :
MailEnabled : False
MailNickName : 9bb4139b-60a1-434a-8c0d-7c1f8eee2df9
OnPremisesSecurityIdentifier :
ProvisioningErrors : {}
ProxyAddresses : {}
SecurityEnabled : True
-Filter parametresini kullanarak belirli bir grup için arama yapabilirsiniz. Bu parametre bir ODATA filtre yan tümcesini alır ve aşağıdaki örnekte olduğu gibi filtreyle eşleşen tüm grupları döndürür:
PS C:\Windows\system32> Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"
DeletionTimeStamp :
ObjectId : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
ObjectType : Group
Description : Intune Administrators
DirSyncEnabled :
DisplayName : Intune Administrators
LastDirSyncTime :
Mail :
MailEnabled : False
MailNickName : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
OnPremisesSecurityIdentifier :
ProvisioningErrors : {}
ProxyAddresses : {}
SecurityEnabled : True
Not
Azure AD PowerShell cmdlet 'leri OData sorgu standardını uygular. Daha fazla bilgi için bkz. OData uç noktası kullanılarak OData sistem sorgu seçeneklerinde $Filter .
Grup oluşturma
Dizininizde yeni bir grup oluşturmak için New-AzureADGroup cmdlet 'ini kullanın. Bu cmdlet "pazarlama" adlı yeni bir güvenlik grubu oluşturur:
PS C:\Windows\system32> New-AzureADGroup -Description "Marketing" -DisplayName "Marketing" -MailEnabled $false -SecurityEnabled $true -MailNickName "Marketing"
Güncelleştirme grupları
Var olan bir grubu güncelleştirmek için Set-AzureADGroup cmdlet 'ini kullanın. Bu örnekte, "Intune yöneticileri" grubunun DisplayName özelliğini değiştiriyorsunuz. İlk olarak, Get-AzureADGroup cmdlet 'ini kullanarak grubu bulduk ve DisplayName özniteliğini kullanarak filtreliyoruz:
PS C:\Windows\system32> Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"
DeletionTimeStamp :
ObjectId : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
ObjectType : Group
Description : Intune Administrators
DirSyncEnabled :
DisplayName : Intune Administrators
LastDirSyncTime :
Mail :
MailEnabled : False
MailNickName : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
OnPremisesSecurityIdentifier :
ProvisioningErrors : {}
ProxyAddresses : {}
SecurityEnabled : True
Sonra, Description özelliğini "Intune cihaz yöneticileri" yeni değeriyle değiştiriyorsunuz:
PS C:\Windows\system32> Set-AzureADGroup -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -Description "Intune Device Administrators"
Şimdi, grubu yeniden bulduk açıklama özelliğinin yeni değeri yansıtacak şekilde güncelleştirildiğini görüyoruz:
PS C:\Windows\system32> Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"
DeletionTimeStamp :
ObjectId : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
ObjectType : Group
Description : Intune Device Administrators
DirSyncEnabled :
DisplayName : Intune Administrators
LastDirSyncTime :
Mail :
MailEnabled : False
MailNickName : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
OnPremisesSecurityIdentifier :
ProvisioningErrors : {}
ProxyAddresses : {}
SecurityEnabled : True
Grupları silme
Dizininizden grupları silmek için Remove-AzureADGroup cmdlet 'ini aşağıdaki gibi kullanın:
PS C:\Windows\system32> Remove-AzureADGroup -ObjectId b11ca53e-07cc-455d-9a89-1fe3ab24566b
Grup üyeliğini yönetme
Üye ekleme
Bir gruba yeni üyeler eklemek için Add-AzureADGroupMember cmdlet 'ini kullanın. Bu komut, önceki örnekte kullandığımız Intune yöneticileri grubuna bir üye ekler:
PS C:\Windows\system32> Add-AzureADGroupMember -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -RefObjectId 72cd4bbd-2594-40a2-935c-016f3cfeeeea
-ObjectID parametresi, üye eklemek istediğimiz grubun NesneKimliği ve-Refobjectıd, gruba üye olarak eklemek istediğimiz kullanıcının ObjectID.
Üyeleri al
Bir grubun var olan üyelerini almak için, bu örnekte olduğu gibi Get-AzureADGroupMember cmdlet 'ini kullanın:
PS C:\Windows\system32> Get-AzureADGroupMember -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
DeletionTimeStamp ObjectId ObjectType
----------------- -------- ----------
72cd4bbd-2594-40a2-935c-016f3cfeeeea User
8120cc36-64b4-4080-a9e8-23aa98e8b34f User
Üyeleri kaldırma
Daha önce gruba eklediğimiz üyeyi kaldırmak için, burada gösterildiği gibi Remove-AzureADGroupMember cmdlet 'ini kullanın:
PS C:\Windows\system32> Remove-AzureADGroupMember -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -MemberId 72cd4bbd-2594-40a2-935c-016f3cfeeeea
Üyeleri doğrula
Bir kullanıcının grup üyeliklerini doğrulamak için Select-AzureADGroupIdsUserIsMemberOf cmdlet 'ini kullanın. Bu cmdlet, kendi parametrelerini, grup üyeliklerini denetlemek için kullanıcının ObjectID 'sini ve üyeliklerinin denetlenecek grupların bir listesini alır. Grup listesi, "Microsoft. Open. AzureAD. model. Groupıdsformembershipcheck" türünde bir karmaşık değişken biçiminde sağlanmalıdır. bu nedenle öncelikle bu türde bir değişken oluşturmanız gerekir:
PS C:\Windows\system32> $g = new-object Microsoft.Open.AzureAD.Model.GroupIdsForMembershipCheck
Ardından, bu karmaşık değişkenin "Groupıds" özniteliğini iade etmek için Groupıds değerlerini sağlıyoruz:
PS C:\Windows\system32> $g.GroupIds = "b11ca53e-07cc-455d-9a89-1fe3ab24566b", "31f1ff6c-d48c-4f8a-b2e1-abca7fd399df"
Artık, ObjectID 72cd4bbd-2594-40a2-935c-016f3cfeeeea ' ı bir kullanıcının grup üyeliklerini $g gruplara göre denetlemek istiyorsam, şunu kullanacağız:
PS C:\Windows\system32> Select-AzureADGroupIdsUserIsMemberOf -ObjectId 72cd4bbd-2594-40a2-935c-016f3cfeeeea -GroupIdsForMembershipCheck $g
OdataMetadata Value
------------- -----
https://graph.windows.net/85b5ff1e-0402-400c-9e3c-0f9e965325d1/$metadata#Collection(Edm.String) {31f1ff6c-d48c-4f8a-b2e1-abca7fd399df}
Döndürülen değer, bu kullanıcının üye olduğu grupların bir listesidir. Bu yöntemi, belirli bir Grup listesi için kişileri, grupları veya hizmet sorumluları üyeliğini Select-Azureadgroupids, Select-AzureADGroupIdsGroupIsMemberOf veya Select-AzureADGroupIdsServicePrincipalIsMemberOf kullanarak denetlemek için de uygulayabilirsiniz.
Kullanıcılarınız tarafından grup oluşturmayı devre dışı bırakma
Yönetici olmayan kullanıcıların güvenlik grupları oluşturmasını engelleyebilirsiniz. Microsoft Çevrimiçi Dizin Hizmetleri 'ndeki (MSODS) varsayılan davranış, yönetici olmayan kullanıcıların grup oluşturmalarına izin vermeksizin, Self Servis Grup Yönetimi (SSGM) de etkinleştirilip etkinleştirilmediğini belirtir. SSGM ayarı yalnızca uygulamalarım erişim panelinde davranışı denetler.
Yönetici olmayan kullanıcılar için Grup oluşturmayı devre dışı bırakmak için:
Yönetici olmayan kullanıcıların grup oluşturmalarına izin verildiğini doğrulayın:
PS C:\> Get-MsolCompanyInformation | fl UsersPermissionToCreateGroupsEnabledDöndürürse
UsersPermissionToCreateGroupsEnabled : Trueyönetici olmayan kullanıcılar grupları oluşturabilir. Bu özelliği devre dışı bırakmak için:Set-MsolCompanySettings -UsersPermissionToCreateGroupsEnabled $False
Grupların sahiplerini yönetme
Bir gruba sahip eklemek için Add-AzureADGroupOwner cmdlet 'ini kullanın:
PS C:\Windows\system32> Add-AzureADGroupOwner -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -RefObjectId 72cd4bbd-2594-40a2-935c-016f3cfeeeea
-ObjectID parametresi, sahip eklemek istediğimiz grubun NesneKimliği ve-Refobjectıd, grubun sahibi olarak eklemek istediğimiz Kullanıcı veya hizmet sorumlusunun ObjectID.
Bir grubun sahiplerini almak için Get-AzureADGroupOwner cmdlet 'ini kullanın:
PS C:\Windows\system32> Get-AzureADGroupOwner -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
Cmdlet 'i, belirtilen grup için sahip (kullanıcılar ve hizmet sorumluları) listesini döndürür:
DeletionTimeStamp ObjectId ObjectType
----------------- -------- ----------
e831b3fd-77c9-49c7-9fca-de43e109ef67 User
Bir gruptan bir sahibi kaldırmak istiyorsanız Remove-AzureADGroupOwner cmdlet 'ini kullanın:
PS C:\Windows\system32> remove-AzureADGroupOwner -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -OwnerId e831b3fd-77c9-49c7-9fca-de43e109ef67
Ayrılmış diğer adlar
Bir grup oluşturulduğunda, belirli uç noktalar, son kullanıcının grubun e-posta adresinin bir parçası olarak kullanılacak bir Mailtakma ad veya diğer ad belirtmesini sağlar. Aşağıdaki yüksek ayrıcalıklı e-posta diğer adlarını içeren gruplar yalnızca bir Azure AD Genel Yöneticisi tarafından oluşturulabilir.
- uygunsuz
- yönetici
- yönetici
- HOSTMASTER
- Majordomo
- postmaster
- kök
- güvende
- güvenlik
- SSL-yönetici
- Web
Şirket içi için Grup geri yazma (Önizleme)
Günümüzde, çok sayıda grup hala şirket içi Active Directory yönetilmektedir. bulut gruplarını şirket içine geri eşitleme isteklerini yanıtlamak için, Azure AD için Microsoft 365 gruplar geri yazma özelliği artık önizleme için kullanılabilir.
Microsoft 365 gruplar bulutta oluşturulur ve yönetilir. geri yazma özelliği, Exchange yüklü bir Active Directory ormanına dağıtım grupları olarak Microsoft 365 gruplarını geri yazmanızı sağlar. şirket içi Exchange posta kutularına sahip kullanıcılar, bu gruplardan e-posta gönderip alabilir. Grup geri yazma özelliği, Azure AD güvenlik gruplarını veya dağıtım gruplarını desteklemez.
daha fazla ayrıntı için lütfen Azure AD Connect eşitleme hizmetineyönelik belgelere bakın.
Microsoft 365 grup geri yazma, Azure Active Directory (Azure ad) genel önizleme özelliğidir ve ücretli Azure ad lisans planıyla birlikte kullanılabilir. önizlemeler hakkında bazı yasal bilgiler için bkz. Microsoft Azure önizlemeleri için ek kullanım koşulları.
Sonraki adımlar
PowerShell belgelerinin Azure Active Directory cmdlet'leri Azure Active Directory bulabilirsiniz.