Grup yönetimi için sürüm 2 cmdlet 'leri Azure Active DirectoryAzure Active Directory version 2 cmdlets for group management

Bu makalede, Azure Active Directory (Azure AD) içinde gruplarınızı yönetmek için PowerShell 'in nasıl kullanılacağına ilişkin örnekler yer almaktadır.This article contains examples of how to use PowerShell to manage your groups in Azure Active Directory (Azure AD). Ayrıca, Azure AD PowerShell modülü ile nasıl ayarlanalınacağını da söyler.It also tells you how to get set up with the Azure AD PowerShell module. İlk olarak, Azure AD PowerShell modülünü indirmenizgerekir.First, you must download the Azure AD PowerShell module.

Azure AD PowerShell modülünü yüklemeInstall the Azure AD PowerShell module

Azure AD PowerShell modülünü yüklemek için aşağıdaki komutları kullanın:To install the Azure AD PowerShell module, use the following commands:

    PS C:\Windows\system32> install-module azuread
    PS C:\Windows\system32> import-module azuread

Modülün kullanıma hazırsa emin olmak için aşağıdaki komutu kullanın:To verify that the module is ready to use, use the following command:

    PS C:\Windows\system32> get-module azuread

    ModuleType Version      Name                                ExportedCommands
    ---------- ---------    ----                                ----------------
    Binary     2.0.0.115    azuread                      {Add-AzureADAdministrati...}

Artık modüldeki cmdlet 'leri kullanmaya başlayabilirsiniz.Now you can start using the cmdlets in the module. Azure AD modülündeki cmdlet 'lerin tam açıklaması için lütfen Azure Active Directory PowerShell sürüm 2' ye yönelik çevrimiçi başvuru belgelerine bakın.For a full description of the cmdlets in the Azure AD module, please refer to the online reference documentation for Azure Active Directory PowerShell Version 2.

Dizine BağlanConnect to the directory

Azure AD PowerShell cmdlet 'lerini kullanarak grupları yönetmeye başlayabilmeniz için önce, PowerShell oturumunuzu yönetmek istediğiniz dizine bağlamanız gerekir.Before you can start managing groups using Azure AD PowerShell cmdlets, you must connect your PowerShell session to the directory you want to manage. Aşağıdaki komutu kullanın:Use the following command:

    PS C:\Windows\system32> Connect-AzureAD

Cmdlet 'i, dizininize erişmek için kullanmak istediğiniz kimlik bilgilerini ister.The cmdlet prompts you for the credentials you want to use to access your directory. Bu örnekte, tanıtım dizinine erişmek için karen@drumkit.onmicrosoft.com kullanıyoruz.In this example, we are using karen@drumkit.onmicrosoft.com to access the demonstration directory. Cmdlet, oturumun başarıyla bağlanıp bağlandığına ilişkin bir onay döndürür:The cmdlet returns a confirmation to show the session was connected successfully to your directory:

    Account                       Environment Tenant
    -------                       ----------- ------
    Karen@drumkit.onmicrosoft.com AzureCloud  85b5ff1e-0402-400c-9e3c-0f…

Artık, dizininizde grupları yönetmek için AzureAD cmdlet 'lerini kullanmaya başlayabilirsiniz.Now you can start using the AzureAD cmdlets to manage groups in your directory.

Grupları AlRetrieve groups

Dizininizden varolan grupları almak için Get-AzureADGroups cmdlet 'ini kullanın.To retrieve existing groups from your directory, use the Get-AzureADGroups cmdlet.

Dizindeki tüm grupları almak için cmdlet 'ini parametresiz kullanın:To retrieve all groups in the directory, use the cmdlet without parameters:

    PS C:\Windows\system32> get-azureadgroup

Cmdlet 'i bağlı dizindeki tüm grupları döndürür.The cmdlet returns all groups in the connected directory.

Grubun ObjectID 'yi belirttiğiniz belirli bir grubu almak için-objectID parametresini kullanabilirsiniz:You can use the -objectID parameter to retrieve a specific group for which you specify the group’s objectID:

    PS C:\Windows\system32> get-azureadgroup -ObjectId e29bae11-4ac0-450c-bc37-6dae8f3da61b

Cmdlet artık, NesneKimliği girdiğiniz parametrenin değeriyle eşleşen grubu döndürür:The cmdlet now returns the group whose objectID matches the value of the parameter you entered:

    DeletionTimeStamp            :
    ObjectId                     : e29bae11-4ac0-450c-bc37-6dae8f3da61b
    ObjectType                   : Group
    Description                  :
    DirSyncEnabled               :
    DisplayName                  : Pacific NW Support
    LastDirSyncTime              :
    Mail                         :
    MailEnabled                  : False
    MailNickName                 : 9bb4139b-60a1-434a-8c0d-7c1f8eee2df9
    OnPremisesSecurityIdentifier :
    ProvisioningErrors           : {}
    ProxyAddresses               : {}
    SecurityEnabled              : True

-Filter parametresini kullanarak belirli bir grup için arama yapabilirsiniz.You can search for a specific group using the -filter parameter. Bu parametre bir ODATA filtre yan tümcesini alır ve aşağıdaki örnekte olduğu gibi filtreyle eşleşen tüm grupları döndürür:This parameter takes an ODATA filter clause and returns all groups that match the filter, as in the following example:

    PS C:\Windows\system32> Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"


    DeletionTimeStamp            :
    ObjectId                     : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
    ObjectType                   : Group
    Description                  : Intune Administrators
    DirSyncEnabled               :
    DisplayName                  : Intune Administrators
    LastDirSyncTime              :
    Mail                         :
    MailEnabled                  : False
    MailNickName                 : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
    OnPremisesSecurityIdentifier :
    ProvisioningErrors           : {}
    ProxyAddresses               : {}
    SecurityEnabled              : True

Not

Azure AD PowerShell cmdlet 'leri OData sorgu standardını uygular.The Azure AD PowerShell cmdlets implement the OData query standard. Daha fazla bilgi için bkz. OData uç noktası kullanılarak OData sistem sorgu seçeneklerinde $Filter .For more information, see $filter in OData system query options using the OData endpoint.

Grup OluşturCreate groups

Dizininizde yeni bir grup oluşturmak için New-AzureADGroup cmdlet 'ini kullanın.To create a new group in your directory, use the New-AzureADGroup cmdlet. Bu cmdlet "pazarlama" adlı yeni bir güvenlik grubu oluşturur:This cmdlet creates a new security group called “Marketing":

    PS C:\Windows\system32> New-AzureADGroup -Description "Marketing" -DisplayName "Marketing" -MailEnabled $false -SecurityEnabled $true -MailNickName "Marketing"

Güncelleştirme gruplarıUpdate groups

Var olan bir grubu güncelleştirmek için set-AzureADGroup cmdlet 'ini kullanın.To update an existing group, use the Set-AzureADGroup cmdlet. Bu örnekte, "Intune yöneticileri" grubunun DisplayName özelliğini değiştiriyorsunuz.In this example, we’re changing the DisplayName property of the group “Intune Administrators.” İlk olarak, Get-AzureADGroup cmdlet 'ini kullanarak grubu buluyoruz ve DisplayName özniteliğini kullanarak filtreliyoruz:First, we’re finding the group using the Get-AzureADGroup cmdlet and filter using the DisplayName attribute:

    PS C:\Windows\system32> Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"


    DeletionTimeStamp            :
    ObjectId                     : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
    ObjectType                   : Group
    Description                  : Intune Administrators
    DirSyncEnabled               :
    DisplayName                  : Intune Administrators
    LastDirSyncTime              :
    Mail                         :
    MailEnabled                  : False
    MailNickName                 : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
    OnPremisesSecurityIdentifier :
    ProvisioningErrors           : {}
    ProxyAddresses               : {}
    SecurityEnabled              : True

Sonra, Description özelliğini "Intune cihaz yöneticileri" yeni değeriyle değiştiriyorsunuz:Next, we’re changing the Description property to the new value “Intune Device Administrators”:

    PS C:\Windows\system32> Set-AzureADGroup -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -Description "Intune Device Administrators"

Şimdi, grubu yeniden bulduk açıklama özelliğinin yeni değeri yansıtacak şekilde güncelleştirildiğini görüyoruz:Now, if we find the group again, we see the Description property is updated to reflect the new value:

    PS C:\Windows\system32> Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"

    DeletionTimeStamp            :
    ObjectId                     : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
    ObjectType                   : Group
    Description                  : Intune Device Administrators
    DirSyncEnabled               :
    DisplayName                  : Intune Administrators
    LastDirSyncTime              :
    Mail                         :
    MailEnabled                  : False
    MailNickName                 : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
    OnPremisesSecurityIdentifier :
    ProvisioningErrors           : {}
    ProxyAddresses               : {}
    SecurityEnabled              : True

Grupları silDelete groups

Dizininizden grupları silmek için Remove-AzureADGroup cmdlet 'ini aşağıdaki gibi kullanın:To delete groups from your directory, use the Remove-AzureADGroup cmdlet as follows:

    PS C:\Windows\system32> Remove-AzureADGroup -ObjectId b11ca53e-07cc-455d-9a89-1fe3ab24566b

Grup üyeliğini YönetManage group membership

Üye EkleAdd members

Bir gruba yeni üyeler eklemek için Add-AzureADGroupMember cmdlet 'ini kullanın.To add new members to a group, use the Add-AzureADGroupMember cmdlet. Bu komut, önceki örnekte kullandığımız Intune yöneticileri grubuna bir üye ekler:This command adds a member to the Intune Administrators group we used in the previous example:

    PS C:\Windows\system32> Add-AzureADGroupMember -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -RefObjectId 72cd4bbd-2594-40a2-935c-016f3cfeeeea

-ObjectID parametresi, üye eklemek istediğimiz grubun NesneKimliği ve-Refobjectıd, gruba üye olarak eklemek istediğimiz kullanıcının ObjectID.The -ObjectId parameter is the ObjectID of the group to which we want to add a member, and the -RefObjectId is the ObjectID of the user we want to add as a member to the group.

Üyeleri alGet members

Bir grubun var olan üyelerini almak için, Get-AzureADGroupMember cmdlet 'ini şu örnekte olduğu gibi kullanın:To get the existing members of a group, use the Get-AzureADGroupMember cmdlet, as in this example:

    PS C:\Windows\system32> Get-AzureADGroupMember -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df

    DeletionTimeStamp ObjectId                             ObjectType
    ----------------- --------                             ----------
                          72cd4bbd-2594-40a2-935c-016f3cfeeeea User
                          8120cc36-64b4-4080-a9e8-23aa98e8b34f User

Üyeleri kaldırRemove members

Daha önce gruba eklediğimiz üyeyi kaldırmak için, burada gösterildiği gibi Remove-AzureADGroupMember cmdlet 'ini kullanın:To remove the member we previously added to the group, use the Remove-AzureADGroupMember cmdlet, as is shown here:

    PS C:\Windows\system32> Remove-AzureADGroupMember -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -MemberId 72cd4bbd-2594-40a2-935c-016f3cfeeeea

Üyeleri doğrulaVerify members

Bir kullanıcının grup üyeliklerini doğrulamak için, select-AzureADGroupIdsUserIsMemberOf cmdlet 'ini kullanın.To verify the group memberships of a user, use the Select-AzureADGroupIdsUserIsMemberOf cmdlet. Bu cmdlet, kendi parametrelerini, grup üyeliklerini denetlemek için kullanıcının ObjectID 'sini ve üyeliklerinin denetlenecek grupların bir listesini alır.This cmdlet takes as its parameters the ObjectId of the user for which to check the group memberships, and a list of groups for which to check the memberships. Grup listesi, "Microsoft. Open. AzureAD. model. Groupıdsformembershipcheck" türünde bir karmaşık değişken biçiminde sağlanmalıdır. bu nedenle öncelikle bu türde bir değişken oluşturmanız gerekir:The list of groups must be provided in the form of a complex variable of type “Microsoft.Open.AzureAD.Model.GroupIdsForMembershipCheck”, so we first must create a variable with that type:

    PS C:\Windows\system32> $g = new-object Microsoft.Open.AzureAD.Model.GroupIdsForMembershipCheck

Ardından, bu karmaşık değişkenin "Groupıds" özniteliğini iade etmek için Groupıds değerlerini sağlıyoruz:Next, we provide values for the groupIds to check in the attribute “GroupIds” of this complex variable:

    PS C:\Windows\system32> $g.GroupIds = "b11ca53e-07cc-455d-9a89-1fe3ab24566b", "31f1ff6c-d48c-4f8a-b2e1-abca7fd399df"

Artık, ObjectID 72cd4bbd-2594-40a2-935c-016f3cfeeeea ' ı bir kullanıcının grup üyeliklerini $g gruplara göre denetlemek istiyorsam, şunu kullanacağız:Now, if we want to check the group memberships of a user with ObjectID 72cd4bbd-2594-40a2-935c-016f3cfeeeea against the groups in $g, we should use:

    PS C:\Windows\system32> Select-AzureADGroupIdsUserIsMemberOf -ObjectId 72cd4bbd-2594-40a2-935c-016f3cfeeeea -GroupIdsForMembershipCheck $g

    OdataMetadata                                                                                                 Value
    -------------                                                                                                  -----
    https://graph.windows.net/85b5ff1e-0402-400c-9e3c-0f9e965325d1/$metadata#Collection(Edm.String)             {31f1ff6c-d48c-4f8a-b2e1-abca7fd399df}

Döndürülen değer, bu kullanıcının üye olduğu grupların bir listesidir.The value returned is a list of groups of which this user is a member. Bu yöntemi, belirli bir Grup listesi için kişileri, grupları veya hizmet sorumluları üyeliğini, select-Azureadgroupidsınte Tısıı ' yi, select-AzureADGroupIdsGroupIsMemberOf ' i kullanarak denetlemek için de uygulayabilirsiniz. Select-AzureadgroupidsservicesprincipalismemberofYou can also apply this method to check Contacts, Groups or Service Principals membership for a given list of groups, using Select-AzureADGroupIdsContactIsMemberOf, Select-AzureADGroupIdsGroupIsMemberOf or Select-AzureADGroupIdsServicePrincipalIsMemberOf

Kullanıcılarınız tarafından grup oluşturmayı devre dışı bırakmaDisable group creation by your users

Yönetici olmayan kullanıcıların güvenlik grupları oluşturmasını engelleyebilirsiniz.You can prevent non-admin users from creating security groups. Microsoft Çevrimiçi Dizin Hizmetleri 'ndeki (MSODS) varsayılan davranış, yönetici olmayan kullanıcıların grup oluşturmalarına izin vermeksizin, Self Servis Grup Yönetimi (SSGM) de etkinleştirilip etkinleştirilmediğini belirtir.The default behavior in Microsoft Online Directory Services (MSODS) is to allow non-admin users to create groups, whether or not self-service group management (SSGM) is also enabled. SSGM ayarı yalnızca uygulamalarım erişim panelinde davranışı denetler.The SSGM setting controls behavior only in the My Apps access panel.

Yönetici olmayan kullanıcılar için Grup oluşturmayı devre dışı bırakmak için:To disable group creation for non-admin users:

  1. Yönetici olmayan kullanıcıların grup oluşturmalarına izin verildiğini doğrulayın:Verify that non-admin users are allowed to create groups:

    PS C:\> Get-MsolCompanyInformation | fl UsersPermissionToCreateGroupsEnabled
    
  2. UsersPermissionToCreateGroupsEnabled : Truedöndürürse yönetici olmayan kullanıcılar grupları oluşturabilir.If it returns UsersPermissionToCreateGroupsEnabled : True, then non-admin users can create groups. Bu özelliği devre dışı bırakmak için:To disable this feature:

    Set-MsolCompanySettings -UsersPermissionToCreateGroupsEnabled $False
    

Grupların sahiplerini yönetmeManage owners of groups

Bir gruba sahip eklemek için Add-AzureADGroupOwner cmdlet 'ini kullanın:To add owners to a group, use the Add-AzureADGroupOwner cmdlet:

    PS C:\Windows\system32> Add-AzureADGroupOwner -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -RefObjectId 72cd4bbd-2594-40a2-935c-016f3cfeeeea

-ObjectID parametresi, sahip eklemek istediğimiz grubun NesneKimliği ve-Refobjectıd, grubun sahibi olarak eklemek istediğimiz Kullanıcı veya hizmet sorumlusunun ObjectID.The -ObjectId parameter is the ObjectID of the group to which we want to add an owner, and the -RefObjectId is the ObjectID of the user or service principal we want to add as an owner of the group.

Bir grubun sahiplerini almak için Get-AzureADGroupOwner cmdlet 'ini kullanın:To retrieve the owners of a group, use the Get-AzureADGroupOwner cmdlet:

    PS C:\Windows\system32> Get-AzureADGroupOwner -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df

Cmdlet 'i, belirtilen grup için sahip (kullanıcılar ve hizmet sorumluları) listesini döndürür:The cmdlet returns the list of owners (users and service principals) for the specified group:

    DeletionTimeStamp ObjectId                             ObjectType
    ----------------- --------                             ----------
                          e831b3fd-77c9-49c7-9fca-de43e109ef67 User

Bir gruptan bir sahibi kaldırmak istiyorsanız, Remove-AzureADGroupOwner cmdlet 'ini kullanın:If you want to remove an owner from a group, use the Remove-AzureADGroupOwner cmdlet:

    PS C:\Windows\system32> remove-AzureADGroupOwner -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -OwnerId e831b3fd-77c9-49c7-9fca-de43e109ef67

Ayrılmış diğer adlarReserved aliases

Bir grup oluşturulduğunda, belirli uç noktalar, son kullanıcının grubun e-posta adresinin bir parçası olarak kullanılacak bir Mailtakma ad veya diğer ad belirtmesini sağlar.When a group is created, certain endpoints allow the end user to specify a mailNickname or alias to be used as part of the email address of the group. Aşağıdaki yüksek ayrıcalıklı e-posta diğer adlarını içeren gruplar yalnızca bir Azure AD Genel Yöneticisi tarafından oluşturulabilir. Groups with the following highly privileged email aliases can only be created by an Azure AD global administrator. 

  • uygunsuzabuse
  • yöneticileriadmin
  • danışınadministrator
  • HOSTMASTERhostmaster
  • Majordomomajordomo
  • postmasterpostmaster
  • kökroot
  • güvenlisecure
  • güvenliksecurity
  • SSL-yöneticissl-admin
  • Webwebmaster

Şirket içi için Grup geri yazma (Önizleme)Group writeback to on-premises (preview)

Günümüzde, çok sayıda grup hala şirket içi Active Directory yönetilmektedir.Today, many groups are still managed in on-premises Active Directory. Bulut gruplarını şirket içine geri eşitleme isteklerini yanıtlamak için, Azure AD için Office 365 grupları geri yazma özelliği artık önizleme için kullanılabilir.To answer requests to sync cloud groups back to on-premises, Office 365 groups writeback feature for Azure AD is now available for preview.

Office 365 grupları bulutta oluşturulur ve yönetilir.Office 365 groups are created and managed in the cloud. Geri yazma özelliği, Exchange yüklü bir Active Directory ormanında Office 365 gruplarını dağıtım grupları olarak yazmanızı sağlar.The writeback capability allows you to write back Office 365 groups as distribution groups to an Active Directory forest with Exchange installed. Şirket içi Exchange posta kutularına sahip kullanıcılar, bu gruplardan e-posta gönderip alabilir.Users with on-premises Exchange mailboxes can then send and receive emails from these groups. Grup geri yazma özelliği, Azure AD güvenlik gruplarını veya dağıtım gruplarını desteklemez.The group writeback feature doesn't support Azure AD security groups or distribution groups.

Daha fazla ayrıntı için lütfen Azure AD Connect Eşitleme hizmetineyönelik belgelere bakın.For more details, please refer to documentation for the Azure AD Connect sync service.

Office 365 grup geri yazma, Azure Active Directory (Azure AD) genel önizleme özelliğidir ve ücretli Azure AD lisans planıyla birlikte kullanılabilir.Office 365 group writeback is a public preview feature of Azure Active Directory (Azure AD) and is available with any paid Azure AD license plan. Önizlemeler hakkında bazı yasal bilgiler için bkz. Microsoft Azure önizlemeleri Için ek kullanım koşulları.For some legal information about previews, see Supplemental Terms of Use for Microsoft Azure Previews.

Sonraki adımlarNext steps

Azure Active Directory cmdlet 'lerindedaha fazla Azure Active Directory PowerShell belgesi bulabilirsiniz.You can find more Azure Active Directory PowerShell documentation at Azure Active Directory Cmdlets.