Verwalten von Gruppen in Microsoft 365 mithilfe von Windows PowerShell
In Microsoft 365 gibt es mehrere Arten von Gruppen, mit denen Sie Zugriff auf Ressourcen bereitstellen oder E-Mails senden können. Jeder Gruppentyp dient einem anderen Zweck, und Sie sollten den richtigen Typ für Ihre Anforderungen auswählen. Die in Microsoft 365 verfügbaren Gruppentypen werden in der folgenden Tabelle aufgeführt.
Tabelle 1: Arten von Gruppen in Microsoft 365
| Gruppentyp | BESCHREIBUNG |
|---|---|
| Microsoft 365-Gruppe | Microsoft 365-Gruppen werden für die Zusammenarbeit zwischen Benutzer*innen innerhalb und außerhalb Ihres Unternehmens genutzt. Mit jeder Microsoft 365-Gruppe erhalten die Mitglieder eine Gruppen-E-Mail und einen gemeinsamen Arbeitsbereich für Unterhaltungen, Dateien und Kalenderereignisse, Microsoft Stream und Microsoft Planner. |
| Verteilergruppe | Verteilergruppen werden verwendet, um Benachrichtigungen an eine Gruppe von Personen zu senden. Sie können externe E-Mails empfangen, wenn der*die Administrator*in dies erlaubt hat. |
| Sicherheitsgruppe | Sicherheitsgruppen werden dazu verwendet, den Zugriff auf Microsoft 365-Ressourcen wie SharePoint zu gewähren. Diese vereinfachen die Verwaltung, da Sie nur die Gruppe verwalten müssen, anstatt Benutzer*innen zu jeder Ressource einzeln hinzuzufügen. |
| Sicherheitsgruppe mit E-Mail-Unterstützung | Eine Sicherheitsgruppe mit E-Mail-Unterstützung kann wie eine Sicherheitsgruppe zum Zuweisen von Berechtigungen verwendet werden. Sie kann jedoch auch dazu genutzt werden, E-Mail-Nachrichten wie mit einer Verteilergruppe zu senden. |
Zusätzliche Ressourcen: Unter Vergleichen von Gruppen finden Sie einen detaillierten Vergleich der Gruppentypen.
Hinweis
Es gibt keine Azure AD- oder Msol-Cmdlets zum Verwalten von Microsoft 365-Gruppen. Die Cmdlets zum Verwalten von Microsoft 365-Gruppen sind Teil von Exchange Online, da diese Gruppen ein Postfach enthalten. In den Exchange Online-Cmdlets werden Microsoft 365-Gruppen als einheitliche Gruppen bezeichnet.
Verwalten von Gruppen mit Azure AD-Cmdlets
Mit dem New-AzureADGroup-Cmdlet können Sie Verteilergruppen, Sicherheitsgruppen und Sicherheitsgruppen mit E-Mail-Unterstützung erstellen. Der Typ der erstellten Gruppe hängt davon ab, wie Sie die -MailEnabled- und -SecurityEnabled-Parameter verwenden. Im folgenden Beispiel wird eine Sicherheitsgruppe mit E-Mail-Unterstützung erstellt:
New-AzureADGroup -DisplayName "Marketing Group" -MailEnabled $true -SecurityEnabled $true -MailNickname MarketingGrp
Wenn Sie eine neue Gruppe erstellen, wird der Gruppe eine ObjectID zugewiesen. Die ObjectID ist ein eindeutiger Bezeichner der Gruppe. Sie müssen die ObjectID der Gruppe mit Verwaltungs-Cmdlets verwenden. Sie können keinen Anzeigenamen verwenden, um auf die Gruppe zu verweisen, da diese nicht zwangsläufig eindeutig sind. Verwenden Sie das Cmdlet Get-AzureADGroup, um die ObjectID einer Gruppe zu ermitteln, die Sie verwalten möchten.
In der folgenden Tabelle sind andere Azure AD-Cmdlets aufgeführt, mit denen Sie Gruppen verwalten können.
Tabelle 2: Azure AD-Cmdlets für die Gruppenverwaltung
| Cmdlet | BESCHREIBUNG |
|---|---|
| Get-AzureADGroup | Fragt Verteilergruppen, Sicherheitsgruppen und Sicherheitsgruppen mit E-Mail-Unterstützung ab. Dieses Cmdlet unterstützt die Verwendung eines Filters oder einer Suchzeichenfolge. |
| Set-AzureADGroup | Ändert die Eigenschaften von Verteilergruppen, Sicherheitsgruppen und Sicherheitsgruppen mit E-Mail-Unterstützung. |
| Remove-AzureADGroup | Löscht Verteilergruppen, Sicherheitsgruppen und Sicherheitsgruppen mit E-Mail-Unterstützung. |
| Get-AzureADGroupMember | Fragt die Mitgliedschaft von Verteilergruppen, Sicherheitsgruppen und Sicherheitsgruppen mit E-Mail-Unterstützung ab. |
| Add-AzureADGroupMember | Fügt ein Mitglied zu Verteilergruppen, Sicherheitsgruppen und Sicherheitsgruppen mit E-Mail-Unterstützung hinzu. |
| Remove-AzureADGroupMember | Entfernt ein Mitglied aus Verteilergruppen, Sicherheitsgruppen und Sicherheitsgruppen mit E-Mail-Unterstützung. |
| Get-AzureADGroupOwner | Fragt die Besitzer von Verteilergruppen, Sicherheitsgruppen und Sicherheitsgruppen mit E-Mail-Unterstützung ab. |
| Add-AzureADGroupOwner | Fügt einen Besitzer zu Verteilergruppen, Sicherheitsgruppen und Sicherheitsgruppen mit E-Mail-Unterstützung hinzu. |
| Remove-AzureADGroupOwner | Entfernt einen Besitzer aus Verteilergruppen, Sicherheitsgruppen und Sicherheitsgruppen mit E-Mail-Unterstützung. |
Verwalten von Gruppen mit Msol-Cmdlets
Sie können das Cmdlet New-MsolGroup verwenden, um Sicherheitsgruppen zu erstellen. Es gibt keine Msol-Cmdlets zum Erstellen von Verteilergruppen oder Sicherheitsgruppen mit E-Mail-Unterstützung. Im folgenden Beispiel wird eine neue Sicherheitsgruppe erstellt:
New-MsolGroup -DisplayName "Marketing Group"
In der folgenden Tabelle sind andere Msol-Cmdlets aufgeführt, mit denen Sie Gruppen verwalten können.
Tabelle 3: Msol-Cmdlets zum Verwalten von Gruppen
| Cmdlet | BESCHREIBUNG |
|---|---|
| Get-MsolGroup | Fragt Verteilergruppen, Sicherheitsgruppen und Sicherheitsgruppen mit E-Mail-Unterstützung ab. Sie können Ergebnisse basierend auf dem Gruppentyp oder einer Suchzeichenfolge für den Anzeigenamen filtern. |
| Set-MsolGroup | Ändert die Eigenschaften von Verteilergruppen, Sicherheitsgruppen und Sicherheitsgruppen mit E-Mail-Unterstützung. |
| Remove-MsolGroup | Löscht Verteilergruppen, Sicherheitsgruppen und Sicherheitsgruppen mit E-Mail-Unterstützung. |
| Get-MsolGroupMember | Fragt die Mitgliedschaft von Verteilergruppen, Sicherheitsgruppen und Sicherheitsgruppen mit E-Mail-Unterstützung ab. |
| Add-MsolGroupMember | Fügt ein Mitglied zu Verteilergruppen, Sicherheitsgruppen und Sicherheitsgruppen mit E-Mail-Unterstützung hinzu. |
| Remove-MsolGroupMember | Entfernt ein Mitglied aus Verteilergruppen, Sicherheitsgruppen und Sicherheitsgruppen mit E-Mail-Unterstützung. |
Synchronisierte Gruppen
In Microsoft 365 mit Windows PowerShell erstellte Gruppen sind Cloudgruppen. Viele Organisationen verwenden Microsoft Entra Connect, um Benutzer*innen und Gruppen aus lokalen AD DS-Instanzen mit Microsoft 365 zu synchronisieren. Diese Benutzer*innen und Gruppen werden von Microsoft Entra Connect erstellt. Sie können sie nicht direkt in Microsoft 365 löschen. Stattdessen müssen Sie das Objekt in AD DS löschen, und die Löschung wird mit Microsoft 365 synchronisiert.
Wenn Objekte aus AD DS mit Microsoft 365 synchronisiert werden, ist der Wert einiger Attribute in AD DS autoritativ. Dies bedeutet, dass Sie den Attributwert in Microsoft 365 nicht ändern können. Stattdessen müssen Sie den Wert in AD DS ändern, und der geänderte Wert wird mit Microsoft 365 synchronisiert. Wenn Sie versuchen, diese Attribute in Microsoft 365 zu ändern, wird ein Fehler ausgelöst.
Die Gruppenmitgliedschaft von lokalen AD DS-Instanzen ist autoritativ. Sie können die Mitgliedschaft einer synchronisierten Gruppe nicht bearbeiten. Stattdessen müssen Sie die Mitgliedschaft in der lokalen AD DS-Gruppe ändern.