Verwalten von Benutzern in Microsoft 365 mit Windows PowerShell
Bevor Benutzer sich anmelden und mit der Verwendung von Microsoft 365-Diensten beginnen können, müssen Sie Benutzerkonten für sie erstellen. Nachdem Sie die Konten erstellt haben, müssen Sie sie möglicherweise ändern. Sie können Benutzer in Microsoft 365 mithilfe von Msol- und AzureAD-Cmdlets verwalten. In beiden Fällen müssen Sie eine Verbindung zu Microsoft 365 herstellen, bevor Sie Benutzerkonten erstellen und verwalten können.
In der folgenden Tabelle sind die Benutzerattribute aufgeführt, die Sie beim Erstellen von Benutzerkonten berücksichtigen müssen.
Tabelle 1: Benutzerattribute
| Eigenschaft | Erforderlich | BESCHREIBUNG |
|---|---|---|
| Anzeigename | Ja | Dies ist der Name, der in den webbasierten Verwaltungstools für Benutzer angezeigt wird. |
| UserPrincipalName | Ja | Dies ist der Name, den Personen zum Anmelden bei Microsoft 365 verwenden. Dies ist auch ein eindeutiger Bezeichner, den Sie beim Ausführen von Verwaltungsaufgaben mit PowerShell-Cmdlets verwenden. |
| GivenName/FirstName | Nein | Diese Eigenschaft kann von verschiedenen Microsoft 365-Diensten wie dem Exchange Online-Adressbuch verwendet werden. |
| SurName/LastName | Nein | Diese Eigenschaft kann von verschiedenen Microsoft 365-Diensten wie dem Exchange Online-Adressbuch verwendet werden. |
| Kennwort | Nein | Um ein Benutzerkonto zu aktivieren, ist ein Kennwort erforderlich. Wenn Sie einen Benutzer mit dem Cmdlet New-AzureADUser erstellen, müssen Sie ein Kennwort festlegen. |
| Lizenzzuweisung | Nein | Diese Eigenschaft gibt den Lizenzierungsplan für den Benutzer an, der wiederum bestimmt, auf welche Microsoft 365-Dienste der Benutzer zugreifen kann. Sie können Lizenzen zuweisen, nachdem Sie den Benutzer erstellt haben. |
| Nutzungsort | Nein | Der Nutzungsstandort ist eine zweistellige Landeskennzahl. Sie können keine Lizenz zuweisen, wenn Sie keinen Nutzungsstandort festgelegt haben. |
Hinweis
Weitere Informationen zur Lizenzierung von Benutzerkonten finden Sie in Modul 1, Lerneinheit 7, Verwalten von Lizenzen in Microsoft 365 mit PowerShell.
Verwalten von Benutzern mit AzureAD-Cmdlets
Sie können Benutzerkonten in Microsoft 365 mit dem Cmdlet New-AzureADUser erstellen. Der folgende Codeblock zeigt, wie Sie dieses Cmdlet zum Erstellen eines neuen Benutzerkontos und zum Festlegen eines Kennworts verwenden können. Das Kennwort wird in einem Objekt gespeichert, das für diesen Zweck erforderlich ist. In diesem Beispiel wird der Parameter -AccountEnabled auf $true festgelegt, um das Konto zu aktivieren und dem Benutzer die Anmeldung zu ermöglichen. Die Parameter -PasswordProfile und -AccountEnabled sind erforderlich:
$UserPassword=New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile
$UserPassword.Password="Pa55w.rd"
New-AzureADUser -DisplayName "Abbie Parsons" -GivenName "Abbie" -SurName "Parsons" -UserPrincipalName AbbieP@adatum.com -UsageLocation US -PasswordProfile $UserPassword -AccountEnabled $true
Sie können eine Liste von Benutzerkonten in Microsoft 365 mit dem Cmdlet Get-AzureADUser abfragen. In der folgenden Tabelle sind häufig verwendete Parameter für dieses Cmdlet aufgeführt.
Tabelle 2: Parameter für das Cmdlet „Get-AzureADUser“
| Parameter | BESCHREIBUNG |
|---|---|
| -ObjektID | Gibt den Benutzerprinzipalnamen (UPN) oder die Objekt-ID eines bestimmten Benutzerkontos an, das abgerufen werden soll. Beide Eigenschaften sind eindeutige Bezeichner für ein Benutzerkonto in Microsoft 365. |
| -Filter | Gibt einen Filter im oPath-Format an, mit dem Sie einen bestimmten Satz von Benutzerkonten abfragen können. |
| -SearchString | Gibt eine Zeichenfolge an, die mit dem Beginn der Attribute DisplayName und UserPrincipalName abgeglichen wird. |
| -Alle | Standardmäßig werden mit Get-AzureADUser nur 100 Ergebnisse zurückgegeben. Wenn Sie den Parameter „-All“ auf $true"Alle" festlegen, werden alle Ergebnisse zurückgegeben. Der Standardwert für diesen Parameter ist $false. |
| -Top | Wenn der Parameter „-All $false lautet, können Sie mit „-Top“ die maximal zurückzugebende Anzahl von Ergebnissen angeben. |
Hinweis
Das für Filter verwendete oPath-Format unterstützt die Verwendung von Platzhaltern nicht. Wenn Sie eine Suche mit Platzhaltern nach Benutzerkonten ausführen müssen, müssen Sie alle Benutzerkonten abrufen und diese dann mit dem Cmdlet Where-Object filtern.
Das folgende Beispiel zeigt, wie Sie ein einzelnes Microsoft 365-Benutzerkonto abfragen:
Get-AzureADUser -ObjectId AbbieP@adatum.com
Das folgende Beispiel zeigt, wie Sie alle Benutzerkonten in einem Microsoft 365-Mandanten abfragen:
Get-AzureADUser -All $true
In der folgenden Tabelle sind weitere häufig verwendete Cmdlets zum Verwalten von Benutzerkonten aufgeführt.
Tabelle 3: AzureAD-Cmdlets zum Verwalten von Benutzerkonten
| Cmdlet | BESCHREIBUNG |
|---|---|
| Set-AzureADUser | Ändert die Eigenschaften eines Benutzerkontos. |
| Remove-AzureADUser | Löscht ein Benutzerkonto. |
| Set-AzureADUserPassword | Legt das Kennwort für das Benutzerkonto fest. |
| Get-AzureADMSDeletedDirectoryObject | Listet vorläufig gelöschte Benutzerkonten auf. |
Verwalten von Benutzern mit Msol-Cmdlets
Sie können neue Benutzerkonten in Microsoft 365 mit dem Cmdlet New-MsolUser erstellen. Wenn Sie ein Konto mit New-MsolUser erstellen, wird es automatisch aktiviert. Das Kennwort wird als Zeichenfolge angegeben. Wenn Sie kein Kennwort angeben, wird automatisch ein zufällig generiertes Kennwort festgelegt. Der folgende Codeblock zeigt, wie Sie mit diesem Cmdlet ein neues Benutzerkonto erstellen und ein Kennwort festlegen können:
New-MsolUser -DisplayName "Abbie Parsons" -FirstName "Abbie" -LastName "Parsons" -UserPrincipalName AbbieP@adatum.com -Password "Pa55w.rd"
Sie können eine Liste von Benutzerkonten in Microsoft 365 mit dem Cmdlet Get-MsolUser abfragen. In der folgenden Tabelle sind häufig verwendete Parameter für dieses Cmdlet aufgeführt.
Tabelle 4: Parameter für das Cmdlet „Get-MsolUser“
| Parameter | Beschreibungen |
|---|---|
| -Objekt-ID | Gibt die Objekt-ID für ein bestimmtes Benutzerkonto an, das abgerufen werden soll. |
| -UserPrincipalName | Gibt den Benutzerprinzipalnamen für ein bestimmtes Benutzerkonto an, das abgerufen werden soll. |
| -SearchString | Definiert eine Zeichenfolge, mit der nach Anzeigename und E-Mail-Adressen gesucht wird. Dieser Parameter verhält sich wie eine Suche mit Platzhaltern für die angegebene Zeichenfolge, die mit jedem Teil des Anzeigenamens oder der E-Mail-Adressen übereinstimmen kann. |
| Alle | Ruft statt der standardmäßigen 500 Ergebnisse alle verfügbaren Ergebnisse ab. |
| -MaxResults | Gibt an, dass mehr als die standardmäßigen 500 Ergebnisse zurückgegeben werden sollen, wenn der Parameter „-All“ nicht verwendet wird. |
| -GelöschteBenutzerZurückgeben | Gibt nur vorläufig gelöschte benutzende Personen zurück. |
Das Cmdlet Get-MsolUser verfügt nicht über einen generischen Filterparameter. Stattdessen gibt es Parameter zum Filtern anhand von bestimmten Attributen. Sie können z. B. mit dem Parameter -City nach den in den Benutzerkonten konfigurierten City-Attributen filtern. Um nach Attributen zu filtern, die keinen entsprechenden Parameter haben, müssen Sie alle Benutzerkonten abrufen und dann das Cmdlet Where-Object verwenden.
Das folgende Beispiel zeigt, wie Sie ein einzelnes Microsoft 365-Benutzerkonto abfragen:
Get-MsolUser -UserPrincipalName AbbieP@adatum.com
Das folgende Beispiel zeigt, wie Sie alle Benutzerkonten in einem Microsoft 365-Mandanten abfragen:
Get-MsolUser -All
In der folgenden Tabelle sind weitere häufig verwendete Cmdlets zum Verwalten von Benutzerkonten aufgeführt.
Tabelle 5: Msol-Cmdlets zum Verwalten von Benutzerkonten
| Cmdlet | BESCHREIBUNG |
|---|---|
| Set-MsolUser | Ändert die Eigenschaften des Benutzerkontos. |
| Remove-MsolUser | Löscht ein Benutzerkonto. |
| Set-MsolUserPassword | Legt das Kennwort eines Benutzerkontos fest. |
| Set-MsolUserPrincipalName | Ändert den Benutzerprinzipalnamen (UPN) für ein Benutzerkonto. |
| Restore-MsolUser | Stellt ein vorläufig gelöschtes Benutzerkonto wieder her. |
Synchronisierte Benutzer
In Microsoft 365 mit Windows PowerShell erstellte Benutzer sind Cloudbenutzer. Viele Organisationen verwenden Microsoft Entra Connect, um Benutzer*innen und Gruppen aus lokalen AD DS-Instanzen mit Microsoft 365 zu synchronisieren. Diese Benutzer*innen und Gruppen werden von Microsoft Entra Connect erstellt. Sie können sie nicht direkt in Microsoft 365 löschen. Stattdessen müssen Sie das Objekt in AD DS löschen, und die Löschung wird mit Microsoft 365 synchronisiert.
Wenn Objekte aus AD DS mit Microsoft 365 synchronisiert werden, ist der Wert einiger Attribute in AD DS autoritativ. Dies bedeutet, dass Sie den Attributwert in Microsoft 365 nicht ändern können. Stattdessen müssen Sie den Wert in AD DS ändern, und der geänderte Wert wird dann mit Microsoft 365 synchronisiert. Wenn Sie versuchen, diese Attribute in Microsoft 365 zu ändern, wird ein Fehler generiert.
Die folgende Liste enthält einige allgemeine Attribute, für die AD DS autoritativ ist:
- UserPrincipalName
- Anzeigename
- KontoAktiviert
- ProxyAddresses (E-Mail-Adressen)