Microsoft Entra 2-es verziójú parancsmagok csoportkezeléshez
Ez a cikk példákat tartalmaz arra, hogyan kezelheti a csoportokat a Microsoft Entra id-ban, a Microsoft Entra részeként a PowerShell használatával. Azt is ismerteti, hogyan állíthatja be a Microsoft Graph PowerShell-modult. Először le kell töltenie a Microsoft Graph PowerShell modult.
A Microsoft Graph PowerShell-modul telepítése
Az MgGroup PowerShell-modul telepítéséhez használja a következő parancsokat:
PS C:\Windows\system32> Install-module Microsoft.Graph
Annak ellenőrzéséhez, hogy a modul készen áll-e a használatra, használja a következő parancsot:
PS C:\Windows\system32> Get-Module -Name "*graph*"
ModuleType Version PreRelease Name ExportedCommands
---------- ------- ---------- ---- ----------------
Script 1.27.0 Microsoft.Graph.Authentication {Add-MgEnvironment, Connect-MgGraph, Disconnect-MgGraph, Get-MgContext…}
Script 1.27.0 Microsoft.Graph.Groups {Add-MgGroupDriveListContentTypeCopy, Add-MgGroupDriveListContentTypeCopyF…
Most már használhatja a modul parancsmagjait. A Microsoft Graph modul parancsmagjainak teljes leírását a Microsoft Graph PowerShell online referenciadokumentációjában találja.
Csatlakozás a könyvtárhoz
Mielőtt elkezdené a csoportok kezelését a Microsoft Graph PowerShell-parancsmagokkal, csatlakoztatnia kell a PowerShell-munkamenetet a kezelni kívánt könyvtárhoz. Használja az alábbi parancsot:
PS C:\Windows\system32> Connect-MgGraph -Scopes "Group.ReadWrite.All"
A parancsmag kéri a címtár eléréséhez használni kívánt hitelesítő adatokat. Ebben a példában a karen@drumkit.onmicrosoft.com segítségével érjük el a bemutató könyvtárat. A parancsmag visszaigazolást ad vissza, amely jelzi, hogy a munkamenet sikeresen csatlakozott a címtárhoz:
Welcome To Microsoft Graph!
Most már használhatja az MgGraph parancsmagokat a címtárban lévő csoportok kezeléséhez.
Csoportok lekérése
A meglévő csoportok címtárból való lekéréséhez használja a Get-MgGroups parancsmagot.
A címtár összes csoportjának lekéréséhez használja a parancsmagot paraméterek nélkül:
PS C:\Windows\system32> Get-MgGroup -All
A parancsmag a csatlakoztatott könyvtár összes csoportját visszaadja.
A -GroupId paraméterrel lekérhet egy adott csoportot, amelyhez a csoport objektumazonosítóját adja meg:
PS C:\Windows\system32> Get-MgGroup -GroupId 5e3eba05-6c2b-4555-9909-c08e997aab18 | fl
A parancsmag most azt a csoportot adja vissza, amelynek objektumazonosítója megegyezik a megadott paraméter értékével:
AcceptedSenders :
AllowExternalSenders :
AppRoleAssignments :
AssignedLabels :
AssignedLicenses :
AutoSubscribeNewMembers :
Calendar : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCalendar
CalendarView :
Classification :
Conversations :
CreatedDateTime : 14-07-2023 14:25:49
CreatedOnBehalfOf : Microsoft.Graph.PowerShell.Models.MicrosoftGraphDirectoryObject
DeletedDateTime :
Description : Sales and Marketing
DisplayName : Sales and Marketing
Id : f76cbbb8-0581-4e01-a0d4-133d3ce9197f
IsArchived :
IsAssignableToRole :
IsSubscribedByMail :
LicenseProcessingState : Microsoft.Graph.PowerShell.Models.MicrosoftGraphLicenseProcessingState
Mail : SalesAndMarketing@M365x64647001.onmicrosoft.com
MailEnabled : True
MailNickname : SalesAndMarketing
RejectedSenders :
RenewedDateTime : 14-07-2023 14:25:49
SecurityEnabled : True
A -filter paraméterrel kereshet egy adott csoportot. Ez a paraméter egy ODATA-szűrési záradékot alkalmaz, és a szűrőnek megfelelő összes csoportot visszaadja, ahogyan az alábbi példában is látható:
PS C:\Windows\system32> Get-MgGroup -Filter "DisplayName eq 'Intune Administrators'"
DeletionTimeStamp :
ObjectId : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
ObjectType : Group
Description : Intune Administrators
DirSyncEnabled :
DisplayName : Intune Administrators
LastDirSyncTime :
Mail :
MailEnabled : False
MailNickName : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
OnPremisesSecurityIdentifier :
ProvisioningErrors : {}
ProxyAddresses : {}
SecurityEnabled : True
Feljegyzés
Az MgGroup PowerShell-parancsmagok az OData lekérdezési szabványt implementálják. További információ: $filter OData-rendszerlekérdezési beállításai az OData-végpont használatával.
Itt van egy példa, amely megmutatja, hogyan kérhetők le azok a csoportok, amelyekre nincs lejárati szabályzat alkalmazva.
Connect-MgGraph -Scopes 'Group.Read.All'
Get-MgGroup -ConsistencyLevel eventual -Count groupCount -Filter "NOT (expirationDateTime+ge+1900-01-01T00:00:00Z)" | Format-List Id
Ez a példa megegyezik az előzővel, de a szkript az eredményeket a CSV-be is exportálja.
Connect-MgGraph -Scopes 'Group.Read.All'
Get-MgGroup -ConsistencyLevel eventual -Count groupCount -Filter "NOT (expirationDateTime+ge+1900-01-01T00:00:00Z)" | Format-List Id |Export-Csv -Path {path} -NoTypeInformation
Ez az utolsó példa bemutatja, hogyan lehet csak a Teamshez tartozó csoportokat lekérni
Get-MgGroup -ConsistencyLevel eventual -Count groupCount -Filter "NOT (expirationDateTime+ge+1900-01-01T00:00:00Z) and resourceProvisioningOptions/any(p:p eq 'Team')" | Format-List Id, expirationDateTime, resourceProvisioningOptions
Csoportok létrehozása
Ha új csoportot szeretne létrehozni a címtárban, használja a New-MgGroup parancsmagot. Ez a parancsmag létrehoz egy "Marketing" nevű új biztonsági csoportot:
$param = @{
description="My Demo Group"
displayName="DemoGroup"
mailEnabled=$false
securityEnabled=$true
mailNickname="Demo"
}
New-MgGroup @param
Csoportok frissítése
Meglévő csoport frissítéséhez használja az Update-MgGroup parancsmagot. Ebben a példában az "Intune-rendszergazdák" csoport DisplayName tulajdonságát módosítjuk. Először a csoportot a Get-MgGroup parancsmaggal találjuk meg, és a DisplayName attribútummal szűrjük:
PS C:\Windows\system32> Get-MgGroup -Filter "DisplayName eq 'Intune Administrators'"
DeletionTimeStamp :
ObjectId : aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
ObjectType : Group
Description : Intune Administrators
DirSyncEnabled :
DisplayName : Intune Administrators
LastDirSyncTime :
Mail :
MailEnabled : False
MailNickName : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
OnPremisesSecurityIdentifier :
ProvisioningErrors : {}
ProxyAddresses : {}
SecurityEnabled : True
Ezután a Leírás tulajdonságot az új "Intune-eszközgazdák" értékre módosítjuk:
PS C:\Windows\system32> Update-MgGroup -GroupId 958d212c-14b0-43d0-a052-d0c2bb555b8b -Description "Demo Group Updated"
Most, ha ismét megtaláljuk a csoportot, a Leírás tulajdonság frissül az új értéknek megfelelően:
PS C:\Windows\system32> Get-MgGroup -GroupId 958d212c-14b0-43d0-a052-d0c2bb555b8b | select displayname, description
DisplayName Description
----------- -----------
DemoGroup Demo Group Updated
Csoportok törlése
A csoportok címtárból való törléséhez használja a Remove-MgGroup parancsmagot az alábbiak szerint:
PS C:\Windows\system32> Remove-MgGroup -GroupId 958d212c-14b0-43d0-a052-d0c2bb555b8b
Csoporttagság kezelése
Tagok hozzáadása
Ha új tagokat szeretne hozzáadni egy csoporthoz, használja a New-MgGroupMember parancsmagot. Ez a parancs hozzáad egy tagot az előző példában használt Intune-rendszergazdák csoporthoz:
PS C:\Windows\system32> New-MgGroupMember -GroupId f76cbbb8-0581-4e01-a0d4-133d3ce9197f -DirectoryObjectId a88762b7-ce17-40e9-b417-0add1848eb68
A -GroupId paraméter az ObjectID csoport. Meg kell adnunk a használt csoport ObjectID azonosítóját. A -DirectoryObjectId annak a felhasználónak az ObjectID azonosítója, amelyet csoporttagként szeretnénk hozzáadni.
Tagok lekérése
A csoport meglévő tagjainak lekéréséhez használja a Get-MgGroupMember parancsmagot, ahogyan az ebben a példában látható:
PS C:\Windows\system32> Get-MgGroupMember -GroupId 2c52c779-8587-48c5-9d4a-c474f2a66cf4
Id DeletedDateTime
-- ---------------
aaaaaaaa-bbbb-cccc-1111-222222222222
bbbbbbbb-cccc-dddd-2222-333333333333
Tagok eltávolítása
A csoporthoz korábban felvett tag eltávolításához használja a Remove-MgGroupMember parancsmagot, ahogyan az itt látható:
PS C:\Windows\system32> Remove-MgGroupMemberByRef -DirectoryObjectId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee -GroupId 2c52c779-8587-48c5-9d4a-c474f2a66cf4
Tagok hitelesítése
A felhasználó csoporttagságainak ellenőrzéséhez használja a Select-MgGroupIdsUserIsMemberOf parancsmagot. Ez a parancsmag paraméterként a felhasználó ObjectId azonosítóját veszi fel a csoporttagságok ellenőrzéséhez, valamint azoknak a csoportoknak a listáját, amelyeknél ellenőrizni szeretné a tagságokat. A csoportok listáját egy "Microsoft.Open.AzureAD.Model.GroupIdsForMembershipCheck" típusú összetett változó formájában kell megadni, ezért először létre kell hoznunk egy ilyen típusú változót:
Get-MgUserMemberOf -UserId 00aa00aa-bb11-cc22-dd33-44ee44ee44ee
Id DisplayName Description GroupTypes AccessType
-- ----------- ----------- ---------- ----------
5dc16449-3420-4ad5-9634-49cd04eceba0 demogroup demogroup {Unified}
A visszaadott érték azon csoportok listája, amelyeknek a felhasználó tagja. Ezt a módszert alkalmazhatja a kapcsolatok, csoportok vagy szolgáltatási főérvényesítők tagságának ellenőrzésére egy adott csoportlistán a Select-MgGroupIdsContactIsMemberOf, a Select-MgGroupIdsGroupIsMemberOf vagy a Select-MgGroupIdsServicePrincipalIsMemberOf parancsok használatával.
Csoportlétrehozás letiltása a felhasználók számára
Megakadályozhatja, hogy a standard felhasználók biztonsági csoportokat hozzanak létre. A Microsoft Online Directory Services (MSODS) alapértelmezett viselkedése az, hogy a standard felhasználók csoportokat hozhatnak létre, függetlenül attól, hogy engedélyezve van-e az önkiszolgáló csoportkezelés (SSGM). Az SSGM-beállítás csak a Saját csoportok portálon szabályozza a viselkedést.
Csoportlétrehozás letiltása normál felhasználók számára:
Ellenőrizze, hogy a standard felhasználók létrehozhatnak-e csoportokat:
PS C:\> Get-MgBetaDirectorySetting | select -ExpandProperty values Name Value ---- ----- NewUnifiedGroupWritebackDefault true EnableMIPLabels false CustomBlockedWordsList EnableMSStandardBlockedWords false ClassificationDescriptions DefaultClassification PrefixSuffixNamingRequirement AllowGuestsToBeGroupOwner false AllowGuestsToAccessGroups true GuestUsageGuidelinesUrl GroupCreationAllowedGroupId AllowToAddGuests true UsageGuidelinesUrl ClassificationList EnableGroupCreation trueHa
EnableGroupCreation : Truead vissza, akkor a standard felhasználók csoportokat hozhatnak létre. A funkció letiltása:Install-Module Microsoft.Graph.Beta.Identity.DirectoryManagement Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement $params = @{ TemplateId = "62375ab9-6b52-47ed-826b-58e47e0e304b" Values = @( @{ Name = "EnableGroupCreation" Value = "false" } ) } Connect-MgGraph -Scopes "Directory.ReadWrite.All" New-MgBetaDirectorySetting -BodyParameter $params
Csoportok tulajdonosainak kezelése
Ha tulajdonosokat szeretne hozzáadni egy csoporthoz, használja a New-MgGroupOwner parancsmagot:
PS C:\Windows\system32> New-MgGroupOwner -GroupId 0e48dc96-3bff-4fe1-8939-4cd680163497 -DirectoryObjectId 92a0dad0-7c9e-472f-b2a3-0fe2c9a02867
A -GroupId paraméter annak a csoportnak az ObjectID azonosítója, amelyhez tulajdonost kívánunk hozzáadni. A -DirectoryObjectId annak a felhasználónak vagy szolgáltatásnévnek az ObjectID azonosítója, amelyet tulajdonosként szeretnénk hozzáadni.
Egy csoport tulajdonosainak lekéréséhez használja a Get-MgGroupOwner parancsmagot:
PS C:\Windows\system32> Get-MgGroupOwner -GroupId 0e48dc96-3bff-4fe1-8939-4cd680163497
A parancsmag a megadott csoporthoz tartozó tulajdonosok (felhasználók és szolgáltatásnevek) listáját adja vissza:
Id DeletedDateTime
-- ---------------
8ee754e0-743e-4231-ace4-c28d20cf2841
85b1df54-e5c0-4cfd-a20b-8bc1a2ca7865
4451b332-2294-4dcf-a214-6cc805016c50
Ha el szeretne távolítani egy tulajdonost egy csoportból, használja a Remove-MgGroupOwnerByRef parancsmagot:
PS C:\Windows\system32> Remove-MgGroupOwnerByRef -GroupId 0e48dc96-3bff-4fe1-8939-4cd680163497 -DirectoryObjectId 92a0dad0-7c9e-472f-b2a3-0fe2c9a02867
Fenntartott aliasok
Csoport létrehozásakor a felhasználók megadnak egy levelezési nevet vagy aliast, amelyet a rendszer a csoport e-mail-címének részeként használ. A felsorolt kiemelt jogosultságú e-mail-aliasokkal rendelkező csoportok létrehozása a Microsoft Entra globális rendszergazdáira korlátozódik.
- visszaélés
- adminisztrátor
- ügyintéző
- rendszergazda
- főkomornyik
- Postamester
- gyökér
- biztonságos
- Biztonság
- SSL-adminisztrátor
- webmester
Csoportos visszaírás helyszínire
Ma még mindig számos csoportot kezelnek a helyi Active Directory-ban. A felhőbeli csoportok helyszíni szinkronizálására irányuló kérések megválaszolásához a Microsoft Entra ID-hez a Microsoft Entra felhőszinkronizálás használatával elérhető a csoportok visszaírási funkciója.
Fontos
A Csoportvisszaíró v2 nyilvános előzetes verziója a Microsoft Entra Connect Syncben 2024. június 30. után már nem lesz elérhető. Ez a funkció ezen a napon megszűnik, és a Connect Sync már nem támogatja a felhőbeli biztonsági csoportok Active Directoryba való kiépítéséhez. A funkció a megszűnés dátuma után is működni fog; azonban a továbbiakban nem kap támogatást ezen időpont után, és bármikor értesítés nélkül megszűnhet.
A Microsoft Entra Cloud Syncben a Group Provision to Active Directory szolgáltatáshoz hasonló funkciókat kínálunk, amelyeket a Csoportvisszaíró v2 helyett használhat felhőbeli biztonsági csoportok Active Directoryba való kiépítéséhez. Dolgozunk azon, hogy tovább bővítsük ezt a funkciót a Cloud Syncben, valamint a Cloud Syncben fejlesztett új funkciókkal együtt.
Azoknak az ügyfeleknek, akik ezt az előzetes verziójú funkciót használják a Connect Syncben, át kell váltaniuk a konfigurációjukat a Connect Syncről a Cloud Syncre. Dönthet úgy, hogy az összes hibrid szinkronizálást a Cloud Syncbe helyezi át (ha az megfelel az igényeinek). A Cloud Syncet egymás mellett is futtathatja, és csak a felhőbeli biztonsági csoportok kiépítését helyezheti át az Active Directoryba a Cloud Syncbe.
Azon ügyfelek esetében, akik Microsoft 365-csoportokat építenek ki az Active Directoryban, továbbra is használhatja a Csoportvisszaíró v1-et ehhez a funkcióhoz.
A felhasználószinkronizálási varázslóval kiértékelheti a kizárólag a Cloud Syncbe való áthelyezést.
Következő lépések
További Microsoft Entra ID PowerShell-dokumentációt Microsoft Entra PowerShell-parancsmagok.