Azure Active Directory versi 2 cmdlet untuk manajemen grup
Artikel ini berisi contoh cara menggunakan PowerShell untuk mengelola grup Anda di Azure Active Directory (Azure AD), bagian dari Microsoft Entra. Ini juga memberi tahu Anda cara menyiapkan modul Microsoft Azure Active Directory PowerShell. Pertama, Anda harus mengunduh modul Microsoft Azure Active Directory PowerShell.
Memasang modul Microsoft Azure Active Directory PowerShell
Untuk memasang modul Microsoft Azure Active Directory PowerShell, gunakan perintah berikut:
PS C:\Windows\system32> install-module azuread
PS C:\Windows\system32> import-module azuread
Untuk memverifikasi bahwa modul siap digunakan, gunakan perintah berikut:
PS C:\Windows\system32> get-module azuread
ModuleType Version Name ExportedCommands
---------- --------- ---- ----------------
Binary 2.0.0.115 azuread {Add-AzureADAdministrati...}
Sekarang Anda dapat mulai menggunakan cmdlet dalam modul. Untuk deskripsi lengkap cmdlet dalam modul Microsoft Azure Active Directory, silakan lihat dokumentasi referensi online untuk Azure Active Directory PowerShell Version 2.
Catatan
Cmdlet PowerShell Azure AD tidak berfungsi dengan PowerShell 7 baru karena didasarkan pada .net Core. Kami sadar dan ini sedang dalam proses untuk mendapatkan informasi terbaru. Sampai sekarang kami menyarankan untuk menggunakan Modul Windows PowerShell 5.x untuk digunakan untuk operasi powershell Microsoft Azure Active Directory.
Menyambungkan ke direktori
Sebelum Anda bisa mulai mengelola grup menggunakan cmdlet Microsoft Azure Active Directory PowerShell, Anda harus menyambungkan sesi PowerShell ke direktori yang ingin Anda kelola. Gunakan perintah berikut:
PS C:\Windows\system32> Connect-AzureAD
Cmdlet meminta info masuk yang ingin Anda gunakan untuk mengakses direktori Anda. Dalam contoh ini, kami menggunakan karen@drumkit.onmicrosoft.com untuk mengakses direktori demonstrasi. Cmdlet mengembalikan konfirmasi untuk memperlihatkan bahwa sesi berhasil disambungkan ke direktori Anda:
Account Environment Tenant ID
------- ----------- ---------
Karen@drumkit.onmicrosoft.com AzureCloud 85b5ff1e-0402-400c-9e3c-0f…
Sekarang Anda dapat mulai menggunakan cmdlet AzureAD untuk mengelola grup di direktori Anda.
Mengambil grup
Untuk mengambil grup yang ada dari direktori Anda, gunakan cmdlet Get-AzureADGroups.
Untuk mengambil semua grup dalam direktori, gunakan cmdlet tanpa parameter:
PS C:\Windows\system32> get-azureadgroup
Cmdlet mengembalikan semua grup dalam direktori yang terhubung.
Anda dapat menggunakan parameter -objectID untuk mengambil grup tertentu yang Anda tentukan objectID grup:
PS C:\Windows\system32> get-azureadgroup -ObjectId e29bae11-4ac0-450c-bc37-6dae8f3da61b
Cmdlet sekarang mengembalikan grup yang objectID-nya cocok dengan nilai parameter yang Anda masukkan:
DeletionTimeStamp :
ObjectId : e29bae11-4ac0-450c-bc37-6dae8f3da61b
ObjectType : Group
Description :
DirSyncEnabled :
DisplayName : Pacific NW Support
LastDirSyncTime :
Mail :
MailEnabled : False
MailNickName : 9bb4139b-60a1-434a-8c0d-7c1f8eee2df9
OnPremisesSecurityIdentifier :
ProvisioningErrors : {}
ProxyAddresses : {}
SecurityEnabled : True
Anda dapat mencari grup tertentu menggunakan parameter -filter. Parameter ini mengambil klausa filter ODATA dan mengembalikan semua grup yang cocok dengan filter, seperti dalam contoh berikut:
PS C:\Windows\system32> Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"
DeletionTimeStamp :
ObjectId : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
ObjectType : Group
Description : Intune Administrators
DirSyncEnabled :
DisplayName : Intune Administrators
LastDirSyncTime :
Mail :
MailEnabled : False
MailNickName : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
OnPremisesSecurityIdentifier :
ProvisioningErrors : {}
ProxyAddresses : {}
SecurityEnabled : True
Catatan
Cmdlet Microsoft Azure Active Directory PowerShell menerapkan standar kueri OData. Untuk mengetahui informasi selengkapnya, lihat $filter di opsi kueri sistem OData menggunakan titik akhir OData.
Membuat grup
Untuk membuat grup baru di direktori Anda, gunakan cmdlet New-AzureADGroup anda. Cmdlet ini membuat grup keamanan baru yang disebut "Pemasaran":
PS C:\Windows\system32> New-AzureADGroup -Description "Marketing" -DisplayName "Marketing" -MailEnabled $false -SecurityEnabled $true -MailNickName "Marketing"
Perbarui grup
Untuk memperbarui grup yang sudah ada, gunakan Set-AzureADGroup cmdlet. Dalam contoh ini, kami mengubah properti DisplayName dari grup “Admin Intune”. Pertama, kami menemukan grup menggunakan cmdlet Get-AzureADGroup dan filter menggunakan atribut DisplayName:
PS C:\Windows\system32> Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"
DeletionTimeStamp :
ObjectId : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
ObjectType : Group
Description : Intune Administrators
DirSyncEnabled :
DisplayName : Intune Administrators
LastDirSyncTime :
Mail :
MailEnabled : False
MailNickName : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
OnPremisesSecurityIdentifier :
ProvisioningErrors : {}
ProxyAddresses : {}
SecurityEnabled : True
Selanjutnya, kami mengubah properti Deskripsi ke nilai baru "Admin Perangkat Intune":
PS C:\Windows\system32> Set-AzureADGroup -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -Description "Intune Device Administrators"
Sekarang, jika kita menemukan grup lagi, kita melihat properti Deskripsi diperbarui untuk mencerminkan nilai baru:
PS C:\Windows\system32> Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"
DeletionTimeStamp :
ObjectId : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
ObjectType : Group
Description : Intune Device Administrators
DirSyncEnabled :
DisplayName : Intune Administrators
LastDirSyncTime :
Mail :
MailEnabled : False
MailNickName : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
OnPremisesSecurityIdentifier :
ProvisioningErrors : {}
ProxyAddresses : {}
SecurityEnabled : True
Hapus grup
Untuk menghapus grup dari direktori Anda, gunakan cmdlet Remove-AzureADGroup sebagai berikut:
PS C:\Windows\system32> Remove-AzureADGroup -ObjectId b11ca53e-07cc-455d-9a89-1fe3ab24566b
Kelola anggota grup
Menambahkan Anggota
Untuk menambahkan anggota baru ke grup, gunakan cmdlet Add-AzureADGroupMember. Perintah ini menambahkan anggota ke grup Admin Intune yang kami gunakan dalam contoh sebelumnya:
PS C:\Windows\system32> Add-AzureADGroupMember -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -RefObjectId 72cd4bbd-2594-40a2-935c-016f3cfeeeea
Parameter -ObjectId adalah ObjectID dari grup yang ingin kami tambahkan anggotanya, dan -RefObjectId adalah ObjectID dari pengguna yang ingin kami tambahkan sebagai anggota ke grup.
Dapatkan anggota
Untuk mendapatkan anggota grup yang sudah ada, gunakan cmdlet Get-AzureADGroupMember, seperti dalam contoh ini:
PS C:\Windows\system32> Get-AzureADGroupMember -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
DeletionTimeStamp ObjectId ObjectType
----------------- -------- ----------
72cd4bbd-2594-40a2-935c-016f3cfeeeea User
8120cc36-64b4-4080-a9e8-23aa98e8b34f User
Hapus anggota
Untuk menghapus anggota yang sebelumnya kami tambahkan ke grup, gunakan cmdlet Remove-AzureADGroupMember, seperti yang diperlihatkan di sini:
PS C:\Windows\system32> Remove-AzureADGroupMember -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -MemberId 72cd4bbd-2594-40a2-935c-016f3cfeeeea
Memverifikasi anggota
Untuk memverifikasi keanggotaan grup pengguna, gunakan cmdlet Select-AzureADGroupIdsUserIsMemberOf grup. Cmdlet ini mengambil sebagai parameternya ObjectId pengguna yang untuk memeriksa keanggotaan grup, dan daftar grup untuk memeriksa keanggotaan. Daftar grup harus disediakan dalam bentuk variabel kompleks tipe "Microsoft.Open.AzureAD.Model.GroupIdsForMembershipCheck", jadi pertama-tama kita harus membuat variabel dengan jenis itu:
PS C:\Windows\system32> $g = new-object Microsoft.Open.AzureAD.Model.GroupIdsForMembershipCheck
Selanjutnya, kami menyediakan nilai untuk groupIds untuk memeriksa atribut "GroupIds" dari variabel kompleks ini:
PS C:\Windows\system32> $g.GroupIds = "b11ca53e-07cc-455d-9a89-1fe3ab24566b", "31f1ff6c-d48c-4f8a-b2e1-abca7fd399df"
Sekarang, jika kita ingin memeriksa keanggotaan grup pengguna dengan ObjectID 72cd4bbd-2594-40a2-935c-016f3cfeeeea terhadap grup di $g, kita harus menggunakan:
PS C:\Windows\system32> Select-AzureADGroupIdsUserIsMemberOf -ObjectId 72cd4bbd-2594-40a2-935c-016f3cfeeeea -GroupIdsForMembershipCheck $g
OdataMetadata Value
------------- -----
https://graph.windows.net/85b5ff1e-0402-400c-9e3c-0f9e965325d1/$metadata#Collection(Edm.String) {31f1ff6c-d48c-4f8a-b2e1-abca7fd399df}
Nilai yang dikembalikan adalah daftar grup di mana pengguna ini adalah anggota. Anda juga dapat menerapkan metode ini untuk memeriksa keanggotaan Kontak, Grup, atau Perwakilan Layanan untuk daftar grup tertentu, menggunakan Select-AzureADGroupIdsContactIsMemberOf, Select-AzureADGroupIdsGroupIsMemberOf atau Select-AzureADGroupIdsServicePrincipalIsMemberOf
Menonaktifkan pembuatan grup oleh pengguna Anda
Anda dapat mencegah pengguna non-admin membuat kelompok keamanan. Perilaku default di Microsoft Online Directory Services (MSODS) adalah untuk memungkinkan pengguna non-admin untuk membuat grup, apakah manajemen grup layanan mandiri (SSGM) juga diaktifkan atau tidak. Pengaturan SSGM hanya mengontrol perilaku di panel akses Aplikasi Saya.
Untuk menonaktifkan pembuatan grup untuk pengguna non-admin:
Verifikasi bahwa pengguna non-admin diizinkan untuk membuat grup:
PS C:\> Get-MsolCompanyInformation | fl UsersPermissionToCreateGroupsEnabledJika dikembalikan
UsersPermissionToCreateGroupsEnabled : True, maka pengguna non-admin dapat membuat grup. Untuk menonaktifkan fitur ini:Set-MsolCompanySettings -UsersPermissionToCreateGroupsEnabled $False
Mengelola pemilik grup
Untuk menambahkan pemilik ke grup, gunakan cmdlet Add-AzureADGroupOwner:
PS C:\Windows\system32> Add-AzureADGroupOwner -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -RefObjectId 72cd4bbd-2594-40a2-935c-016f3cfeeeea
Parameter -ObjectId adalah ObjectID dari grup yang ingin kami tambahkan pemiliknya, dan -RefObjectId adalah ObjectID dari pengguna atau perwakilan layanan yang ingin kami tambahkan sebagai pemilik grup.
Untuk mengambil pemilik grup, gunakan cmdlet Get-AzureADGroupOwner:
PS C:\Windows\system32> Get-AzureADGroupOwner -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
Cmdlet mengembalikan daftar pemilik (pengguna dan perwakilan layanan) untuk grup yang ditentukan:
DeletionTimeStamp ObjectId ObjectType
----------------- -------- ----------
e831b3fd-77c9-49c7-9fca-de43e109ef67 User
Jika Anda ingin menghapus pemilik dari grup, gunakan cmdlet Remove-AzureADGroupOwner:
PS C:\Windows\system32> remove-AzureADGroupOwner -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -OwnerId e831b3fd-77c9-49c7-9fca-de43e109ef67
Alias yang dipesan
Saat grup dibuat, titik akhir tertentu memungkinkan pengguna akhir menentukan mailNickname atau alias untuk digunakan sebagai bagian dari alamat email grup. Grup dengan alias email yang memiliki hak istimewa berikut ini hanya dapat dibuat oleh administrator global Azure Active Directory.
- penyalahgunaan
- admin
- admin
- hostmaster
- majordomo
- postmaster
- root
- aman
- keamanan
- ssl-admin
- webmaster
Penulisan balik grup ke lokal (pratinjau)
Saat ini, banyak grup masih dikelola di Direktori Aktif lokal. Untuk menjawab permintaan untuk menyinkronkan grup awan kembali ke lokal, fitur penulisan grup Microsoft 365 untuk Microsoft Azure Active Directory kini tersedia untuk dipratinjau.
Grup Microsoft 365 dibuat dan dikelola di cloud. Kemampuan tulis balik memungkinkan Anda menulis kembali grup Microsoft 365 sebagai grup distribusi ke hutan Direktori Aktif dengan Exchange terpasang. Pengguna dengan kotak surat Exchange lokal kemudian dapat mengirim dan menerima email dari grup ini. Fitur penulisan ulang grup tidak mendukung grup keamanan atau grup distribusi Microsoft Azure Active Directory.
Untuk detail lebih lanjut, silakan merujuk ke dokumentasi untuk layanan sinkronisasi Microsoft Azure Active Directory Connect.
Tulis balik grup Microsoft 365 adalah fitur pratinjau publik Azure Active Directory (Microsoft Azure Active Directory) dan tersedia dengan paket lisensi Microsoft Azure Active Directory berbayar. Untuk mengetahui informasi selengkapnya mengenai pratinjau, lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure.
Langkah berikutnya
Anda dapat menemukan lebih banyak dokumentasi Azure Active Directory PowerShell di Azure Active Directory Cmdlets.