Grup Yönetimi için Azure Active Directory sürüm 2 cmdlet'leriAzure Active Directory version 2 cmdlets for group management

Bu makale, Azure Active Directory (Azure AD) grupları yönetmek için PowerShell kullanma örnekleri içerir.This article contains examples of how to use PowerShell to manage your groups in Azure Active Directory (Azure AD). Bu ayrıca, Azure AD PowerShell modülü ile ayarlamak anlatır.It also tells you how to get set up with the Azure AD PowerShell module. İlk olarak, şunları yapmalısınız Azure AD PowerShell modülünü indirme.First, you must download the Azure AD PowerShell module.

Azure AD PowerShell modülünü yüklemeInstall the Azure AD PowerShell module

Azure AD PowerShell modülünü yüklemek için aşağıdaki komutları kullanın:To install the Azure AD PowerShell module, use the following commands:

    PS C:\Windows\system32> install-module azuread
    PS C:\Windows\system32> import-module azuread

Modül kullanıma hazır olduğunu doğrulamak için aşağıdaki komutu kullanın:To verify that the module is ready to use, use the following command:

    PS C:\Windows\system32> get-module azuread

    ModuleType Version      Name                                ExportedCommands
    ---------- ---------    ----                                ----------------
    Binary     2.0.0.115    azuread                      {Add-AzureADAdministrati...}

Artık modülünde cmdlet'leri kullanmaya başlayabilirsiniz.Now you can start using the cmdlets in the module. Azure AD modülündeki cmdlet'ler tam bir açıklaması için lütfen çevrimiçi başvuru belgelerine bakın Azure Active Directory PowerShell sürüm 2.For a full description of the cmdlets in the Azure AD module, please refer to the online reference documentation for Azure Active Directory PowerShell Version 2.

Dizinine bağlanmaConnect to the directory

Azure AD PowerShell cmdlet'lerini kullanarak grupları yönetme başlamadan önce PowerShell oturumunuzda, yönetmek istediğiniz dizine bağlanmanız gerekir.Before you can start managing groups using Azure AD PowerShell cmdlets, you must connect your PowerShell session to the directory you want to manage. Aşağıdaki komutu kullanın:Use the following command:

    PS C:\Windows\system32> Connect-AzureAD

Cmdlet, dizine erişmek için kullanmak istediğiniz kimlik bilgilerini ister.The cmdlet prompts you for the credentials you want to use to access your directory. Bu örnekte, kullanıyoruz karen@drumkit.onmicrosoft.com tanıtım dizinine erişilemedi.In this example, we are using karen@drumkit.onmicrosoft.com to access the demonstration directory. Cmdlet, oturum dizininize başarıyla bağlandığını göstermek için bir onay döndürür:The cmdlet returns a confirmation to show the session was connected successfully to your directory:

    Account                       Environment Tenant
    -------                       ----------- ------
    Karen@drumkit.onmicrosoft.com AzureCloud  85b5ff1e-0402-400c-9e3c-0f…

Şimdi AzureAD cmdlet dizininizdeki grupları yönetmek için kullanmaya başlayabilirsiniz.Now you can start using the AzureAD cmdlets to manage groups in your directory.

Grupları AlRetrieve groups

Var olan grupları dizininizden almak için Get-AzureADGroups cmdlet'ini kullanın.To retrieve existing groups from your directory, use the Get-AzureADGroups cmdlet.

Dizin içindeki tüm gruplar almak için parametresiz bir cmdlet'i kullanın:To retrieve all groups in the directory, use the cmdlet without parameters:

    PS C:\Windows\system32> get-azureadgroup

Cmdlet tüm grupları bağlı dizinde döndürür.The cmdlet returns all groups in the connected directory.

-Nesne kimliği parametresi, belirli bir grubu grubun objectID belirttiğiniz almak için kullanabilirsiniz:You can use the -objectID parameter to retrieve a specific group for which you specify the group’s objectID:

    PS C:\Windows\system32> get-azureadgroup -ObjectId e29bae11-4ac0-450c-bc37-6dae8f3da61b

Cmdlet artık, objectID girdiğiniz parametresinin değerini eşleşen Grup döndürür:The cmdlet now returns the group whose objectID matches the value of the parameter you entered:

    DeletionTimeStamp            :
    ObjectId                     : e29bae11-4ac0-450c-bc37-6dae8f3da61b
    ObjectType                   : Group
    Description                  :
    DirSyncEnabled               :
    DisplayName                  : Pacific NW Support
    LastDirSyncTime              :
    Mail                         :
    MailEnabled                  : False
    MailNickName                 : 9bb4139b-60a1-434a-8c0d-7c1f8eee2df9
    OnPremisesSecurityIdentifier :
    ProvisioningErrors           : {}
    ProxyAddresses               : {}
    SecurityEnabled              : True

Belirli bir grup kullanmak için arama yapabilirsiniz filtre parametresi.You can search for a specific group using the -filter parameter. Bu parametre, bir ODATA filtre yan tümcesi alır ve aşağıdaki örnekte olduğu gibi filtreyle eşleşen tüm grupları döndürür:This parameter takes an ODATA filter clause and returns all groups that match the filter, as in the following example:

    PS C:\Windows\system32> Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"


    DeletionTimeStamp            :
    ObjectId                     : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
    ObjectType                   : Group
    Description                  : Intune Administrators
    DirSyncEnabled               :
    DisplayName                  : Intune Administrators
    LastDirSyncTime              :
    Mail                         :
    MailEnabled                  : False
    MailNickName                 : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
    OnPremisesSecurityIdentifier :
    ProvisioningErrors           : {}
    ProxyAddresses               : {}
    SecurityEnabled              : True

Not

Azure AD PowerShell cmdlet'leri, OData sorgu standart uygulayın.The Azure AD PowerShell cmdlets implement the OData query standard. Daha fazla bilgi için $filter içinde OData uç noktasını kullanarak OData sorgu seçeneklerinde.For more information, see $filter in OData system query options using the OData endpoint.

Grup oluşturmaCreate groups

Dizininizde yeni grup oluşturmak için New-AzureADGroup cmdlet'ini kullanın.To create a new group in your directory, use the New-AzureADGroup cmdlet. Bu cmdlet, "Pazarlama" adlı yeni bir güvenlik grubu oluşturur:This cmdlet creates a new security group called “Marketing":

    PS C:\Windows\system32> New-AzureADGroup -Description "Marketing" -DisplayName "Marketing" -MailEnabled $false -SecurityEnabled $true -MailNickName "Marketing"

Güncelleştirme gruplarıUpdate groups

Varolan bir grubu güncelleştirmek için Set-AzureADGroup cmdlet'ini kullanın.To update an existing group, use the Set-AzureADGroup cmdlet. Bu örnekte, sizi DisplayName özelliği "Intune yöneticileri" grubu değiştirmiyorsanızIn this example, we’re changing the DisplayName property of the group “Intune Administrators.” İlk olarak biz Get-AzureADGroup cmdlet'ini kullanarak Grup bulma ve DisplayName özniteliğini kullanarak Filtrele:First, we’re finding the group using the Get-AzureADGroup cmdlet and filter using the DisplayName attribute:

    PS C:\Windows\system32> Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"


    DeletionTimeStamp            :
    ObjectId                     : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
    ObjectType                   : Group
    Description                  : Intune Administrators
    DirSyncEnabled               :
    DisplayName                  : Intune Administrators
    LastDirSyncTime              :
    Mail                         :
    MailEnabled                  : False
    MailNickName                 : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
    OnPremisesSecurityIdentifier :
    ProvisioningErrors           : {}
    ProxyAddresses               : {}
    SecurityEnabled              : True

Ardından, biz Description özelliğinin yeni değeri "Intune cihaz yöneticileri" değiştirmiyorsanız:Next, we’re changing the Description property to the new value “Intune Device Administrators”:

    PS C:\Windows\system32> Set-AzureADGroup -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -Description "Intune Device Administrators"

Şimdi, grubu yeniden buluyoruz ise Description özelliğinin yeni değeri yansıtmak üzere güncelleştirilir bakın:Now, if we find the group again, we see the Description property is updated to reflect the new value:

'''powershell PS C:\Windows\system32 > Get-AzureADGroup-filtre "DisplayName eq 'Intune yöneticilerinin'"```powershell PS C:\Windows\system32> Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"

DeletionTimeStamp            :
ObjectId                     : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
ObjectType                   : Group
Description                  : Intune Device Administrators
DirSyncEnabled               :
DisplayName                  : Intune Administrators
LastDirSyncTime              :
Mail                         :
MailEnabled                  : False
MailNickName                 : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
OnPremisesSecurityIdentifier :
ProvisioningErrors           : {}
ProxyAddresses               : {}
SecurityEnabled              : True

## Delete groups

To delete groups from your directory, use the Remove-AzureADGroup cmdlet as follows:

```powershell
    PS C:\Windows\system32> Remove-AzureADGroup -ObjectId b11ca53e-07cc-455d-9a89-1fe3ab24566b

Grup üyeliğini yönetmeManage group membership

Üye EkleAdd members

Bir gruba yeni üye eklemek için Add-AzureADGroupMember cmdlet'ini kullanın.To add new members to a group, use the Add-AzureADGroupMember cmdlet. Bu komut, önceki örnekte kullandık Intune Administrators grubuna üye ekler:This command adds a member to the Intune Administrators group we used in the previous example:

    PS C:\Windows\system32> Add-AzureADGroupMember -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -RefObjectId 72cd4bbd-2594-40a2-935c-016f3cfeeeea

-Nesne kimliği parametresi objectID grubunun bir üyesi eklemek istediğimiz, ve - RefObjectId gruba üye olarak eklemek istediğiniz kullanıcının objectID.The -ObjectId parameter is the ObjectID of the group to which we want to add a member, and the -RefObjectId is the ObjectID of the user we want to add as a member to the group.

Üyelerini almaGet members

Bir grubun mevcut üyeleri almak için bu örnekte olduğu gibi Get-AzureADGroupMember cmdlet'i kullanın:To get the existing members of a group, use the Get-AzureADGroupMember cmdlet, as in this example:

    PS C:\Windows\system32> Get-AzureADGroupMember -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df

    DeletionTimeStamp ObjectId                             ObjectType
    ----------------- --------                             ----------
                          72cd4bbd-2594-40a2-935c-016f3cfeeeea User
                          8120cc36-64b4-4080-a9e8-23aa98e8b34f User

Üyeleri KaldırRemove members

Gruba daha önce eklediğimiz üye kaldırmak için Remove-AzureADGroupMember cmdlet'ini aşağıda gösterildiği gibi kullanın:To remove the member we previously added to the group, use the Remove-AzureADGroupMember cmdlet, as is shown here:

    PS C:\Windows\system32> Remove-AzureADGroupMember -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -MemberId 72cd4bbd-2594-40a2-935c-016f3cfeeeea

Üyeleri doğrulayınVerify members

Bir kullanıcının grup üyeliklerini doğrulamak için seçim AzureADGroupIdsUserIsMemberOf cmdlet'ini kullanın.To verify the group memberships of a user, use the Select-AzureADGroupIdsUserIsMemberOf cmdlet. Bu cmdlet, parametre olarak kullanıcının grup üyeliklerini denetle istediğiniz objectID ve gruplarının üyeliklerini denetlemek istediğiniz bir listesini alır.This cmdlet takes as its parameters the ObjectId of the user for which to check the group memberships, and a list of groups for which to check the memberships. Karmaşık tür bir değişken, "Microsoft.Open.AzureAD.Model.GroupIdsForMembershipCheck" biçiminde, böylece biz öncelikle bir değişken türle oluşturmanız gerekir sağlanan grupları listesinde olmalıdır:The list of groups must be provided in the form of a complex variable of type “Microsoft.Open.AzureAD.Model.GroupIdsForMembershipCheck”, so we first must create a variable with that type:

    PS C:\Windows\system32> $g = new-object Microsoft.Open.AzureAD.Model.GroupIdsForMembershipCheck

Ardından, bu karmaşık değişkeninin "Grup" kimlikleri özniteliğinde denetlemek grup kimlikleri için değerler sunuyoruz:Next, we provide values for the groupIds to check in the attribute “GroupIds” of this complex variable:

    PS C:\Windows\system32> $g.GroupIds = "b11ca53e-07cc-455d-9a89-1fe3ab24566b", "31f1ff6c-d48c-4f8a-b2e1-abca7fd399df"

Şimdi biz objectID 72cd4bbd-2594-40a2-935c-016f3cfeeeea $g gruplarında karşı sahip bir kullanıcı grup üyeliklerini denetlemek istiyorsanız, biz kullanmanız gerekir:Now, if we want to check the group memberships of a user with ObjectID 72cd4bbd-2594-40a2-935c-016f3cfeeeea against the groups in $g, we should use:

    PS C:\Windows\system32> Select-AzureADGroupIdsUserIsMemberOf -ObjectId 72cd4bbd-2594-40a2-935c-016f3cfeeeea -GroupIdsForMembershipCheck $g

    OdataMetadata                                                                                                 Value
    -------------                                                                                                  -----
    https://graph.windows.net/85b5ff1e-0402-400c-9e3c-0f9e965325d1/$metadata#Collection(Edm.String)             {31f1ff6c-d48c-4f8a-b2e1-abca7fd399df}

Döndürülen değer, bu kullanıcının üyesi olduğu grupların listesidir.The value returned is a list of groups of which this user is a member. Select-AzureADGroupIdsContactIsMemberOf, Select AzureADGroupIdsGroupIsMemberOf kullanarak grupları, belirli bir listesi için kişilere, gruplara veya hizmet sorumlularına üyelik denetlemek için bu yöntemi de uygulayabilirsiniz veya AzureADGroupIdsServicePrincipalIsMemberOf seçinYou can also apply this method to check Contacts, Groups or Service Principals membership for a given list of groups, using Select-AzureADGroupIdsContactIsMemberOf, Select-AzureADGroupIdsGroupIsMemberOf or Select-AzureADGroupIdsServicePrincipalIsMemberOf

Grup oluşturma, kullanıcı tarafından devre dışı bırakDisable group creation by your users

Yönetici olmayan kullanıcılar güvenlik grupları oluşturmasını engelleyebilirsiniz.You can prevent non-admin users from creating security groups. Microsoft çevrimiçi Dizin Hizmetleri (MSODS) olarak varsayılan davranışı, Self Servis Grup Yönetimi (SSGM) de etkin olup olmadığını grupları oluşturmak, yönetici olmayan kullanıcılar izin vermektir.The default behavior in Microsoft Online Directory Services (MSODS) is to allow non-admin users to create groups, whether or not self-service group management (SSGM) is also enabled. SSGM ayarı yalnızca uygulamalarım erişim panelinde davranışını denetler.The SSGM setting controls behavior only in the My Apps access panel.

Yönetici olmayan kullanıcılar için Grup oluşturma devre dışı bırakmak için:To disable group creation for non-admin users:

  1. Yönetici olmayan kullanıcılar grupları oluşturmak için izin verildiğini doğrulayın:Verify that non-admin users are allowed to create groups:

    PS C:\> Get-MsolCompanyInformation | fl UsersPermissionToCreateGroupsEnabled
    
  2. Döndürürse UsersPermissionToCreateGroupsEnabled : True, sonra da yönetici olmayan kullanıcılar, gruplar oluşturabilirsiniz.If it returns UsersPermissionToCreateGroupsEnabled : True, then non-admin users can create groups. Bu özellik devre dışı bırakmak için:To disable this feature:

    Set-MsolCompanySettings -UsersPermissionToCreateGroupsEnabled $False
    

Grup sahiplerini yönetmeManage owners of groups

Sahip bir gruba eklemek için Add-AzureADGroupOwner cmdlet'i kullanın:To add owners to a group, use the Add-AzureADGroupOwner cmdlet:

    PS C:\Windows\system32> Add-AzureADGroupOwner -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -RefObjectId 72cd4bbd-2594-40a2-935c-016f3cfeeeea

-ObjectID parametresi grubun sahibi eklemek istediğimiz objectID, ve - RefObjectId objectID kullanıcı veya hizmet sorumlusu grubun bir sahibi eklenecek istiyoruz.The -ObjectId parameter is the ObjectID of the group to which we want to add an owner, and the -RefObjectId is the ObjectID of the user or service principal we want to add as an owner of the group.

Bir grubun sahipleri almak için Get-AzureADGroupOwner cmdlet'i kullanın:To retrieve the owners of a group, use the Get-AzureADGroupOwner cmdlet:

    PS C:\Windows\system32> Get-AzureADGroupOwner -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df

Cmdlet'i, belirtilen grubun sahipleri (kullanıcılar ve hizmet sorumluları) listesini döndürür:The cmdlet returns the list of owners (users and service principals) for the specified group:

    DeletionTimeStamp ObjectId                             ObjectType
    ----------------- --------                             ----------
                          e831b3fd-77c9-49c7-9fca-de43e109ef67 User

Sahibi gruptan kaldırmak istiyorsanız, Remove-AzureADGroupOwner cmdlet'i kullanın:If you want to remove an owner from a group, use the Remove-AzureADGroupOwner cmdlet:

    PS C:\Windows\system32> remove-AzureADGroupOwner -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -OwnerId e831b3fd-77c9-49c7-9fca-de43e109ef67

Ayrılmış diğer adlarıReserved aliases

Bir grup, uç noktaları mailNickname veya e-posta adresi grubunun bir parçası olarak kullanılacak diğer ad belirtin son kullanıcının izin belirli oluşturulduğunda.When a group is created, certain endpoints allow the end user to specify a mailNickname or alias to be used as part of the email address of the group. Grupları aşağıdaki üst düzeyde ayrıcalıklı bir e-posta diğer adlar ile yalnızca Azure AD genel yönetici tarafından oluşturulabilir. Groups with the following highly privileged email aliases can only be created by an Azure AD global administrator. 

  • Uygunsuz kullanımıabuse
  • Yöneticiadmin
  • Yöneticiadministrator
  • hostmasterhostmaster
  • majordomomajordomo
  • Yöneticisipostmaster
  • kökroot
  • güvenlisecure
  • güvenliksecurity
  • SSL adminssl-admin
  • Web Yöneticisiwebmaster

Grup geri yazma için şirket içi (Önizleme)Group writeback to on-premises (preview)

Günümüzde, birçok grupları yine de şirket içi Active Directory'de yönetilir.Today, many groups are still managed in on-premises Active Directory. Bulut grupları şirket içi, Office 365 grup geri yazma için yeniden eşitleme istekleri yanıtlamak için Azure AD için özellik önizlemesi kullanıma sunuldu.To answer requests to sync cloud groups back to on-premise, Office 365 groups writeback feature for Azure AD is now available for preview.

Office 365 grupları oluşturulur ve bulutta yönetilir.Office 365 groups are created and managed in the cloud. Geri yazma özelliği, Office 365 grupları dağıtım grupları bir Active Directory ormanına yüklü olan Exchange ile geri yazmanızı sağlar.The writeback capability allows you to write back Office 365 groups as distribution groups to an Active Directory forest with Exchange installed. Kullanıcılar ile şirket içi Exchange posta kutularına ardından gönderebilir ve bu gruplardan e-postalar alabilirsiniz.Users with on-premises Exchange mailboxes can then send and receive emails from these groups. Grup geri yazma özelliği, Azure AD güvenlik grupları veya dağıtım gruplarını desteklemiyor.The group writeback feature doesn't support Azure AD security groups or distribution groups.

Daha fazla ayrıntı için lütfen belgelere bakın Azure AD Connect eşitleme hizmeti.For more details, please refer to documentation for the Azure AD Connect sync service.

Office 365 grup geri yazma, Azure Active Directory (Azure AD) bir genel Önizleme özelliğidir ve tüm kullanılabilir Ücretli Azure AD lisans planınız.Office 365 group writeback is a public preview feature of Azure Active Directory (Azure AD) and is available with any paid Azure AD license plan. Bazı yasal önizlemeler hakkında bilgi için ek kullanım koşulları Microsoft Azure önizlemeleri için.For some legal information about previews, see Supplemental Terms of Use for Microsoft Azure Previews.

Sonraki adımlarNext steps

Daha fazla Azure Active Directory PowerShell belgeleri bulabilirsiniz Azure Active Directory cmdlet'leri.You can find more Azure Active Directory PowerShell documentation at Azure Active Directory Cmdlets.