Azure Active Directory versi 2 cmdlet untuk manajemen grup

Artikel ini berisi contoh cara menggunakan PowerShell untuk mengelola grup Anda di Azure Active Directory (Azure AD), bagian dari Microsoft Entra. Ini juga memberi tahu Anda cara menyiapkan modul Microsoft Azure Active Directory PowerShell. Pertama, Anda harus mengunduh modul Microsoft Azure Active Directory PowerShell.

Memasang modul Microsoft Azure Active Directory PowerShell

Untuk memasang modul Microsoft Azure Active Directory PowerShell, gunakan perintah berikut:

    PS C:\Windows\system32> install-module azuread
    PS C:\Windows\system32> import-module azuread

Untuk memverifikasi bahwa modul siap digunakan, gunakan perintah berikut:

    PS C:\Windows\system32> get-module azuread

    ModuleType Version      Name                                ExportedCommands
    ---------- ---------    ----                                ----------------
    Binary     2.0.0.115    azuread                      {Add-AzureADAdministrati...}

Sekarang Anda dapat mulai menggunakan cmdlet dalam modul. Untuk deskripsi lengkap cmdlet dalam modul Microsoft Azure Active Directory, silakan lihat dokumentasi referensi online untuk Azure Active Directory PowerShell Version 2.

Catatan

Cmdlet PowerShell Azure AD tidak berfungsi dengan PowerShell 7 baru karena didasarkan pada .net Core. Kami sadar dan ini sedang dalam proses untuk mendapatkan informasi terbaru. Sampai sekarang kami menyarankan untuk menggunakan Modul Windows PowerShell 5.x untuk digunakan untuk operasi powershell Microsoft Azure Active Directory.

Menyambungkan ke direktori

Sebelum Anda bisa mulai mengelola grup menggunakan cmdlet Microsoft Azure Active Directory PowerShell, Anda harus menyambungkan sesi PowerShell ke direktori yang ingin Anda kelola. Gunakan perintah berikut:

    PS C:\Windows\system32> Connect-AzureAD

Cmdlet meminta info masuk yang ingin Anda gunakan untuk mengakses direktori Anda. Dalam contoh ini, kami menggunakan karen@drumkit.onmicrosoft.com untuk mengakses direktori demonstrasi. Cmdlet mengembalikan konfirmasi untuk memperlihatkan bahwa sesi berhasil disambungkan ke direktori Anda:

    Account                       Environment Tenant ID
    -------                       ----------- ---------
    Karen@drumkit.onmicrosoft.com AzureCloud  85b5ff1e-0402-400c-9e3c-0f…

Sekarang Anda dapat mulai menggunakan cmdlet AzureAD untuk mengelola grup di direktori Anda.

Mengambil grup

Untuk mengambil grup yang ada dari direktori Anda, gunakan cmdlet Get-AzureADGroups.

Untuk mengambil semua grup dalam direktori, gunakan cmdlet tanpa parameter:

    PS C:\Windows\system32> get-azureadgroup

Cmdlet mengembalikan semua grup dalam direktori yang terhubung.

Anda dapat menggunakan parameter -objectID untuk mengambil grup tertentu yang Anda tentukan objectID grup:

    PS C:\Windows\system32> get-azureadgroup -ObjectId e29bae11-4ac0-450c-bc37-6dae8f3da61b

Cmdlet sekarang mengembalikan grup yang objectID-nya cocok dengan nilai parameter yang Anda masukkan:

    DeletionTimeStamp            :
    ObjectId                     : e29bae11-4ac0-450c-bc37-6dae8f3da61b
    ObjectType                   : Group
    Description                  :
    DirSyncEnabled               :
    DisplayName                  : Pacific NW Support
    LastDirSyncTime              :
    Mail                         :
    MailEnabled                  : False
    MailNickName                 : 9bb4139b-60a1-434a-8c0d-7c1f8eee2df9
    OnPremisesSecurityIdentifier :
    ProvisioningErrors           : {}
    ProxyAddresses               : {}
    SecurityEnabled              : True

Anda dapat mencari grup tertentu menggunakan parameter -filter. Parameter ini mengambil klausa filter ODATA dan mengembalikan semua grup yang cocok dengan filter, seperti dalam contoh berikut:

    PS C:\Windows\system32> Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"


    DeletionTimeStamp            :
    ObjectId                     : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
    ObjectType                   : Group
    Description                  : Intune Administrators
    DirSyncEnabled               :
    DisplayName                  : Intune Administrators
    LastDirSyncTime              :
    Mail                         :
    MailEnabled                  : False
    MailNickName                 : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
    OnPremisesSecurityIdentifier :
    ProvisioningErrors           : {}
    ProxyAddresses               : {}
    SecurityEnabled              : True

Catatan

Cmdlet Microsoft Azure Active Directory PowerShell menerapkan standar kueri OData. Untuk mengetahui informasi selengkapnya, lihat $filter di opsi kueri sistem OData menggunakan titik akhir OData.

Membuat grup

Untuk membuat grup baru di direktori Anda, gunakan cmdlet New-AzureADGroup anda. Cmdlet ini membuat grup keamanan baru yang disebut "Pemasaran":

    PS C:\Windows\system32> New-AzureADGroup -Description "Marketing" -DisplayName "Marketing" -MailEnabled $false -SecurityEnabled $true -MailNickName "Marketing"

Perbarui grup

Untuk memperbarui grup yang sudah ada, gunakan Set-AzureADGroup cmdlet. Dalam contoh ini, kami mengubah properti DisplayName dari grup “Admin Intune”. Pertama, kami menemukan grup menggunakan cmdlet Get-AzureADGroup dan filter menggunakan atribut DisplayName:

    PS C:\Windows\system32> Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"


    DeletionTimeStamp            :
    ObjectId                     : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
    ObjectType                   : Group
    Description                  : Intune Administrators
    DirSyncEnabled               :
    DisplayName                  : Intune Administrators
    LastDirSyncTime              :
    Mail                         :
    MailEnabled                  : False
    MailNickName                 : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
    OnPremisesSecurityIdentifier :
    ProvisioningErrors           : {}
    ProxyAddresses               : {}
    SecurityEnabled              : True

Selanjutnya, kami mengubah properti Deskripsi ke nilai baru "Admin Perangkat Intune":

    PS C:\Windows\system32> Set-AzureADGroup -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -Description "Intune Device Administrators"

Sekarang, jika kita menemukan grup lagi, kita melihat properti Deskripsi diperbarui untuk mencerminkan nilai baru:

    PS C:\Windows\system32> Get-AzureADGroup -Filter "DisplayName eq 'Intune Administrators'"

    DeletionTimeStamp            :
    ObjectId                     : 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df
    ObjectType                   : Group
    Description                  : Intune Device Administrators
    DirSyncEnabled               :
    DisplayName                  : Intune Administrators
    LastDirSyncTime              :
    Mail                         :
    MailEnabled                  : False
    MailNickName                 : 4dd067a0-6515-4f23-968a-cc2ffc2eff5c
    OnPremisesSecurityIdentifier :
    ProvisioningErrors           : {}
    ProxyAddresses               : {}
    SecurityEnabled              : True

Hapus grup

Untuk menghapus grup dari direktori Anda, gunakan cmdlet Remove-AzureADGroup sebagai berikut:

    PS C:\Windows\system32> Remove-AzureADGroup -ObjectId b11ca53e-07cc-455d-9a89-1fe3ab24566b

Kelola anggota grup

Menambahkan Anggota

Untuk menambahkan anggota baru ke grup, gunakan cmdlet Add-AzureADGroupMember. Perintah ini menambahkan anggota ke grup Admin Intune yang kami gunakan dalam contoh sebelumnya:

    PS C:\Windows\system32> Add-AzureADGroupMember -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -RefObjectId 72cd4bbd-2594-40a2-935c-016f3cfeeeea

Parameter -ObjectId adalah ObjectID dari grup yang ingin kami tambahkan anggotanya, dan -RefObjectId adalah ObjectID dari pengguna yang ingin kami tambahkan sebagai anggota ke grup.

Dapatkan anggota

Untuk mendapatkan anggota grup yang sudah ada, gunakan cmdlet Get-AzureADGroupMember, seperti dalam contoh ini:

    PS C:\Windows\system32> Get-AzureADGroupMember -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df

    DeletionTimeStamp ObjectId                             ObjectType
    ----------------- --------                             ----------
                          72cd4bbd-2594-40a2-935c-016f3cfeeeea User
                          8120cc36-64b4-4080-a9e8-23aa98e8b34f User

Hapus anggota

Untuk menghapus anggota yang sebelumnya kami tambahkan ke grup, gunakan cmdlet Remove-AzureADGroupMember, seperti yang diperlihatkan di sini:

    PS C:\Windows\system32> Remove-AzureADGroupMember -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -MemberId 72cd4bbd-2594-40a2-935c-016f3cfeeeea

Memverifikasi anggota

Untuk memverifikasi keanggotaan grup pengguna, gunakan cmdlet Select-AzureADGroupIdsUserIsMemberOf grup. Cmdlet ini mengambil sebagai parameternya ObjectId pengguna yang untuk memeriksa keanggotaan grup, dan daftar grup untuk memeriksa keanggotaan. Daftar grup harus disediakan dalam bentuk variabel kompleks tipe "Microsoft.Open.AzureAD.Model.GroupIdsForMembershipCheck", jadi pertama-tama kita harus membuat variabel dengan jenis itu:

    PS C:\Windows\system32> $g = new-object Microsoft.Open.AzureAD.Model.GroupIdsForMembershipCheck

Selanjutnya, kami menyediakan nilai untuk groupIds untuk memeriksa atribut "GroupIds" dari variabel kompleks ini:

    PS C:\Windows\system32> $g.GroupIds = "b11ca53e-07cc-455d-9a89-1fe3ab24566b", "31f1ff6c-d48c-4f8a-b2e1-abca7fd399df"

Sekarang, jika kita ingin memeriksa keanggotaan grup pengguna dengan ObjectID 72cd4bbd-2594-40a2-935c-016f3cfeeeea terhadap grup di $g, kita harus menggunakan:

    PS C:\Windows\system32> Select-AzureADGroupIdsUserIsMemberOf -ObjectId 72cd4bbd-2594-40a2-935c-016f3cfeeeea -GroupIdsForMembershipCheck $g

    OdataMetadata                                                                                                 Value
    -------------                                                                                                  -----
    https://graph.windows.net/85b5ff1e-0402-400c-9e3c-0f9e965325d1/$metadata#Collection(Edm.String)             {31f1ff6c-d48c-4f8a-b2e1-abca7fd399df}

Nilai yang dikembalikan adalah daftar grup di mana pengguna ini adalah anggota. Anda juga dapat menerapkan metode ini untuk memeriksa keanggotaan Kontak, Grup, atau Perwakilan Layanan untuk daftar grup tertentu, menggunakan Select-AzureADGroupIdsContactIsMemberOf, Select-AzureADGroupIdsGroupIsMemberOf atau Select-AzureADGroupIdsServicePrincipalIsMemberOf

Menonaktifkan pembuatan grup oleh pengguna Anda

Anda dapat mencegah pengguna non-admin membuat kelompok keamanan. Perilaku default di Microsoft Online Directory Services (MSODS) adalah untuk memungkinkan pengguna non-admin untuk membuat grup, apakah manajemen grup layanan mandiri (SSGM) juga diaktifkan atau tidak. Pengaturan SSGM hanya mengontrol perilaku di panel akses Aplikasi Saya.

Untuk menonaktifkan pembuatan grup untuk pengguna non-admin:

  1. Verifikasi bahwa pengguna non-admin diizinkan untuk membuat grup:

    PS C:\> Get-MsolCompanyInformation | fl UsersPermissionToCreateGroupsEnabled
    
  2. Jika dikembalikan UsersPermissionToCreateGroupsEnabled : True, maka pengguna non-admin dapat membuat grup. Untuk menonaktifkan fitur ini:

    Set-MsolCompanySettings -UsersPermissionToCreateGroupsEnabled $False
    

Mengelola pemilik grup

Untuk menambahkan pemilik ke grup, gunakan cmdlet Add-AzureADGroupOwner:

    PS C:\Windows\system32> Add-AzureADGroupOwner -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -RefObjectId 72cd4bbd-2594-40a2-935c-016f3cfeeeea

Parameter -ObjectId adalah ObjectID dari grup yang ingin kami tambahkan pemiliknya, dan -RefObjectId adalah ObjectID dari pengguna atau perwakilan layanan yang ingin kami tambahkan sebagai pemilik grup.

Untuk mengambil pemilik grup, gunakan cmdlet Get-AzureADGroupOwner:

    PS C:\Windows\system32> Get-AzureADGroupOwner -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df

Cmdlet mengembalikan daftar pemilik (pengguna dan perwakilan layanan) untuk grup yang ditentukan:

    DeletionTimeStamp ObjectId                             ObjectType
    ----------------- --------                             ----------
                          e831b3fd-77c9-49c7-9fca-de43e109ef67 User

Jika Anda ingin menghapus pemilik dari grup, gunakan cmdlet Remove-AzureADGroupOwner:

    PS C:\Windows\system32> remove-AzureADGroupOwner -ObjectId 31f1ff6c-d48c-4f8a-b2e1-abca7fd399df -OwnerId e831b3fd-77c9-49c7-9fca-de43e109ef67

Alias yang dipesan

Saat grup dibuat, titik akhir tertentu memungkinkan pengguna akhir menentukan mailNickname atau alias untuk digunakan sebagai bagian dari alamat email grup. Grup dengan alias email yang memiliki hak istimewa berikut ini hanya dapat dibuat oleh administrator global Azure Active Directory. 

  • penyalahgunaan
  • admin
  • admin
  • hostmaster
  • majordomo
  • postmaster
  • root
  • aman
  • keamanan
  • ssl-admin
  • webmaster

Penulisan balik grup ke lokal (pratinjau)

Saat ini, banyak grup masih dikelola di Direktori Aktif lokal. Untuk menjawab permintaan untuk menyinkronkan grup awan kembali ke lokal, fitur penulisan grup Microsoft 365 untuk Microsoft Azure Active Directory kini tersedia untuk dipratinjau.

Grup Microsoft 365 dibuat dan dikelola di cloud. Kemampuan tulis balik memungkinkan Anda menulis kembali grup Microsoft 365 sebagai grup distribusi ke hutan Direktori Aktif dengan Exchange terpasang. Pengguna dengan kotak surat Exchange lokal kemudian dapat mengirim dan menerima email dari grup ini. Fitur penulisan ulang grup tidak mendukung grup keamanan atau grup distribusi Microsoft Azure Active Directory.

Untuk detail lebih lanjut, silakan merujuk ke dokumentasi untuk layanan sinkronisasi Microsoft Azure Active Directory Connect.

Tulis balik grup Microsoft 365 adalah fitur pratinjau publik Azure Active Directory (Microsoft Azure Active Directory) dan tersedia dengan paket lisensi Microsoft Azure Active Directory berbayar. Untuk mengetahui informasi selengkapnya mengenai pratinjau, lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure.

Langkah berikutnya

Anda dapat menemukan lebih banyak dokumentasi Azure Active Directory PowerShell di Azure Active Directory Cmdlets.