Rutiny Microsoft Entra verze 2 pro správu skupin
Tento článek obsahuje příklady použití PowerShellu ke správě skupin v Microsoft Entra ID, která je součástí Microsoft Entra. Dozvíte se také, jak nastavit modul Microsoft Graph PowerShellu. Nejprve si musíte stáhnout modul Microsoft Graph PowerShellu.
Instalace modulu Microsoft Graph PowerShellu
K instalaci modulu MgGroup PowerShell použijte následující příkazy:
PS C:\Windows\system32> Install-module Microsoft.Graph
Pokud chcete ověřit, že je modul připravený k použití, použijte následující příkaz:
PS C:\Windows\system32> Get-Module -Name "*graph*"
ModuleType Version PreRelease Name ExportedCommands
---------- ------- ---------- ---- ----------------
Script 1.27.0 Microsoft.Graph.Authentication {Add-MgEnvironment, Connect-MgGraph, Disconnect-MgGraph, Get-MgContext…}
Script 1.27.0 Microsoft.Graph.Groups {Add-MgGroupDriveListContentTypeCopy, Add-MgGroupDriveListContentTypeCopyF…
Teď můžete začít používat rutiny v modulu. Úplný popis rutin v modulu Microsoft Graph najdete v online referenční dokumentaci pro Microsoft Graph PowerShell.
Připojení do adresáře
Než začnete spravovat skupiny pomocí rutin Prostředí Microsoft Graph PowerShell, musíte připojit relaci PowerShellu k adresáři, který chcete spravovat. Použijte následující příkaz:
PS C:\Windows\system32> Connect-MgGraph -Scopes "Group.ReadWrite.All"
Rutina vás vyzve k zadání přihlašovacích údajů, které chcete použít pro přístup k adresáři. V tomto příkladu používáme karen@drumkit.onmicrosoft.com přístup k ukázkovém adresáři. Rutina vrátí potvrzení, že se relace úspěšně připojila k vašemu adresáři:
Welcome To Microsoft Graph!
Teď můžete začít používat rutiny MgGraph ke správě skupin v adresáři.
Načtení skupin
Pokud chcete načíst existující skupiny z adresáře, použijte rutinu Get-MgGroups.
Pokud chcete načíst všechny skupiny v adresáři, použijte rutinu bez parametrů:
PS C:\Windows\system32> Get-MgGroup -All
Rutina vrátí všechny skupiny v připojeném adresáři.
Pomocí parametru -GroupId můžete načíst konkrétní skupinu, pro kterou zadáte ID objektu skupiny:
PS C:\Windows\system32> Get-MgGroup -GroupId 5e3eba05-6c2b-4555-9909-c08e997aab18 | fl
Rutina teď vrátí skupinu, jejíž ID objektu odpovídá hodnotě zadaného parametru:
AcceptedSenders :
AllowExternalSenders :
AppRoleAssignments :
AssignedLabels :
AssignedLicenses :
AutoSubscribeNewMembers :
Calendar : Microsoft.Graph.PowerShell.Models.MicrosoftGraphCalendar
CalendarView :
Classification :
Conversations :
CreatedDateTime : 14-07-2023 14:25:49
CreatedOnBehalfOf : Microsoft.Graph.PowerShell.Models.MicrosoftGraphDirectoryObject
DeletedDateTime :
Description : Sales and Marketing
DisplayName : Sales and Marketing
Id : f76cbbb8-0581-4e01-a0d4-133d3ce9197f
IsArchived :
IsAssignableToRole :
IsSubscribedByMail :
LicenseProcessingState : Microsoft.Graph.PowerShell.Models.MicrosoftGraphLicenseProcessingState
Mail : SalesAndMarketing@M365x64647001.onmicrosoft.com
MailEnabled : True
MailNickname : SalesAndMarketing
RejectedSenders :
RenewedDateTime : 14-07-2023 14:25:49
SecurityEnabled : True
Konkrétní skupinu můžete vyhledat pomocí parametru -filter. Tento parametr přebírá klauzuli filtru ODATA a vrací všechny skupiny, které odpovídají filtru, jako v následujícím příkladu:
PS C:\Windows\system32> Get-MgGroup -Filter "DisplayName eq 'Intune Administrators'"
DeletionTimeStamp :
ObjectId : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
ObjectType : Group
Description : Intune Administrators
DirSyncEnabled :
DisplayName : Intune Administrators
LastDirSyncTime :
Mail :
MailEnabled : False
MailNickName : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
OnPremisesSecurityIdentifier :
ProvisioningErrors : {}
ProxyAddresses : {}
SecurityEnabled : True
Poznámka:
Rutiny PowerShellu MgGroup implementují standard dotazu OData. Další informace najdete v tématu $filter v možnostech systémového dotazu OData pomocí koncového bodu OData.
Vytvoření skupin
K vytvoření nové skupiny v adresáři použijte rutinu New-MgGroup. Tato rutina vytvoří novou skupinu zabezpečení s názvem Marketing:
$param = @{
description="My Demo Group"
displayName="DemoGroup"
mailEnabled=$false
securityEnabled=$true
mailNickname="Demo"
}
New-MgGroup @param
Aktualizace skupin
Pokud chcete aktualizovat existující skupinu, použijte rutinu Update-MgGroup. V tomto příkladu měníme vlastnost DisplayName skupiny Intune Správa istrators. Nejprve zjistíme skupinu pomocí rutiny Get-MgGroup a filtrování pomocí atributu DisplayName:
PS C:\Windows\system32> Get-MgGroup -Filter "DisplayName eq 'Intune Administrators'"
DeletionTimeStamp :
ObjectId : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
ObjectType : Group
Description : Intune Administrators
DirSyncEnabled :
DisplayName : Intune Administrators
LastDirSyncTime :
Mail :
MailEnabled : False
MailNickName : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
OnPremisesSecurityIdentifier :
ProvisioningErrors : {}
ProxyAddresses : {}
SecurityEnabled : True
Dále změníme vlastnost Popis na novou hodnotu Intune Device Správa istrators:
PS C:\Windows\system32> Update-MgGroup -GroupId 958d212c-14b0-43d0-a052-d0c2bb555b8b -Description "Demo Group Updated"
Když teď skupinu znovu najdeme, uvidíme, že se vlastnost Popis aktualizuje tak, aby odrážela novou hodnotu:
PS C:\Windows\system32> Get-MgGroup -GroupId 958d212c-14b0-43d0-a052-d0c2bb555b8b | select displayname, description
DisplayName Description
----------- -----------
DemoGroup Demo Group Updated
Odstranění skupin
Pokud chcete odstranit skupiny z adresáře, použijte rutinu Remove-MgGroup následujícím způsobem:
PS C:\Windows\system32> Remove-MgGroup -GroupId 958d212c-14b0-43d0-a052-d0c2bb555b8b
Správa členství ve skupinách
Přidat členy
Pokud chcete do skupiny přidat nové členy, použijte rutinu Add-MgGroupMember. Tento příkaz přidá člena do skupiny Intune Správa istrators, které jsme použili v předchozím příkladu:
PS C:\Windows\system32> New-MgGroupMember -GroupId f76cbbb8-0581-4e01-a0d4-133d3ce9197f -DirectoryObjectId a88762b7-ce17-40e9-b417-0add1848eb68
Parametr -GroupId je ObjectID skupiny, do které chceme přidat člena, a -DirectoryObjectId je ObjectID uživatele, kterého chceme přidat jako člena skupiny.
Získání členů
Pokud chcete získat existující členy skupiny, použijte rutinu Get-MgGroupMember, jak je znázorněno v tomto příkladu:
PS C:\Windows\system32> Get-MgGroupMember -GroupId 2c52c779-8587-48c5-9d4a-c474f2a66cf4
Id DeletedDateTime
-- ---------------
71b3857d-2a23-416d-bd22-a471854ddada
fd2d57c7-22ad-42cd-961a-7340fb2eb6b4
Odebrání členů
Pokud chcete odebrat člena, který jsme do skupiny přidali dříve, použijte rutinu Remove-MgGroupMember, jak je znázorněno tady:
PS C:\Windows\system32> Remove-MgGroupMemberByRef -DirectoryObjectId 053a6a7e-4a75-48bc-8324-d70f50ec0d91 -GroupId 2c52c779-8587-48c5-9d4a-c474f2a66cf4
Ověření členů
Pokud chcete ověřit členství ve skupinách uživatele, použijte rutinu Select-MgGroupIdsUserIsMemberOf. Tato rutina přebírá jako parametry ObjectId uživatele, pro kterého chcete zkontrolovat členství ve skupinách, a seznam skupin, pro které se mají členství zkontrolovat. Seznam skupin musí být poskytován ve formě komplexní proměnné typu Microsoft.Open.AzureAD.Model.GroupIdsForMembershipCheck, takže nejprve musíme vytvořit proměnnou s tímto typem:
Get-MgUserMemberOf -UserId 053a6a7e-4a75-48bc-8324-d70f50ec0d91
Id DisplayName Description GroupTypes AccessType
-- ----------- ----------- ---------- ----------
5dc16449-3420-4ad5-9634-49cd04eceba0 demogroup demogroup {Unified}
Vrácená hodnota je seznam skupin, jejichž je tento uživatel členem. Tuto metodu můžete použít také ke kontrole členství kontaktů, skupin nebo instančních objektů pro daný seznam skupin pomocí select-MgGroupIdsContactIsMemberOf, Select-MgGroupIdsGroupIsMemberOf nebo Select-MgGroupIdsServicePrincipalIsMemberOf.
Zakázání vytváření skupin uživateli
Uživatelům, kteří nejsou správci, můžete zabránit ve vytváření skupin zabezpečení. Výchozím chováním služby Microsoft Online Directory Services (MSODS) je umožnit uživatelům, kteří nejsou správci, vytvářet skupiny, bez ohledu na to, jestli je povolená také samoobslužná správa skupin (SSGM). Nastavení SSGM řídí chování pouze na Moje aplikace přístupovém panelu.
Zakázání vytváření skupin pro uživatele, kteří nejsou správci:
Ověřte, že uživatelé bez oprávnění správce mohou vytvářet skupiny:
PS C:\> Get-MgBetaDirectorySetting | select -ExpandProperty values Name Value ---- ----- NewUnifiedGroupWritebackDefault true EnableMIPLabels false CustomBlockedWordsList EnableMSStandardBlockedWords false ClassificationDescriptions DefaultClassification PrefixSuffixNamingRequirement AllowGuestsToBeGroupOwner false AllowGuestsToAccessGroups true GuestUsageGuidelinesUrl GroupCreationAllowedGroupId AllowToAddGuests true UsageGuidelinesUrl ClassificationList EnableGroupCreation truePokud se vrátí
EnableGroupCreation : True, můžou uživatelé, kteří nejsou správci, vytvářet skupiny. Zakázání této funkce:Install-Module Microsoft.Graph.Beta.Identity.DirectoryManagement Import-Module Microsoft.Graph.Beta.Identity.DirectoryManagement $params = @{ TemplateId = "62375ab9-6b52-47ed-826b-58e47e0e304b" Values = @( @{ Name = "EnableGroupCreation" Value = "false" } ) } Connect-MgGraph -Scopes "Directory.ReadWrite.All" New-MgBetaDirectorySetting -BodyParameter $params
Správa vlastníků skupin
Pokud chcete do skupiny přidat vlastníky, použijte rutinu New-MgGroupOwner:
PS C:\Windows\system32> New-MgGroupOwner -GroupId 0e48dc96-3bff-4fe1-8939-4cd680163497 -DirectoryObjectId 92a0dad0-7c9e-472f-b2a3-0fe2c9a02867
Parametr -GroupId je ObjectID skupiny, do které chceme přidat vlastníka, a -DirectoryObjectId je ObjectID uživatele nebo instančního objektu, který chceme přidat jako vlastníka.
Pokud chcete načíst vlastníky skupiny, použijte rutinu Get-MgGroupOwner:
PS C:\Windows\system32> Get-MgGroupOwner -GroupId 0e48dc96-3bff-4fe1-8939-4cd680163497
Rutina vrátí seznam vlastníků (uživatelů a instančních objektů) pro zadanou skupinu:
Id DeletedDateTime
-- ---------------
8ee754e0-743e-4231-ace4-c28d20cf2841
85b1df54-e5c0-4cfd-a20b-8bc1a2ca7865
4451b332-2294-4dcf-a214-6cc805016c50
Pokud chcete odebrat vlastníka ze skupiny, použijte rutinu Remove-MgGroupOwnerByRef:
PS C:\Windows\system32> Remove-MgGroupOwnerByRef -GroupId 0e48dc96-3bff-4fe1-8939-4cd680163497 -DirectoryObjectId 92a0dad0-7c9e-472f-b2a3-0fe2c9a02867
Rezervované aliasy
Když je skupina vytvořena, určité koncové body umožňují koncovému uživateli zadat mailNickname nebo alias, který se má použít jako součást e-mailové adresy skupiny. Skupiny s následujícími vysoce privilegovanými e-mailovými aliasy můžou vytvářet jenom globální Správa istrator Microsoft Entra.
- Zneužívání
- správce
- Správce
- hostmaster
- majordomo
- Postmaster
- kořen
- Zabezpečený
- security
- ssl-admin
- Webmaster
Zpětný zápis skupiny do místního prostředí (Preview)
V současnosti se mnoho skupin stále spravuje v místní Active Directory. Aby bylo možné odpovědět na žádosti o synchronizaci cloudových skupin zpět do místního prostředí, je teď funkce zpětného zápisu skupin Microsoftu 365 pro ID Microsoft Entra k dispozici pro verzi Preview.
Skupiny Microsoftu 365 se vytvářejí a spravují v cloudu. Funkce zpětného zápisu umožňuje zapisovat skupiny Microsoftu 365 jako distribuční skupiny do doménové struktury služby Active Directory s nainstalovaným Exchangem. Uživatelé s místními poštovními schránkami Exchange pak můžou odesílat a přijímat e-maily z těchto skupin. Funkce zpětného zápisu skupiny nepodporuje skupiny zabezpečení Microsoft Entra ani distribuční skupiny.
Další podrobnosti najdete v dokumentaci ke službě Microsoft Entra Připojení Sync.
Zpětný zápis skupiny Microsoftu 365 je funkce Microsoft Entra ID verze Public Preview a je k dispozici s jakýmkoli placeným licenčním plánem Microsoft Entra ID. Další informace o verzích Preview najdete v tématu Univerzální licenční podmínky pro online služby.
Další kroky
Další dokumentaci k Azure Active Directory PowerShellu najdete v rutinách Microsoft Entra.