Computerprogeek
Для управління групами в Azure ви можете використовувати портал Azure Portals Graphic Control або центр адміністратора Microsoft 365. У цій статті ми покажемо, як створити, змінити, оновлювати та видаляти групи в Azure AD та Microsoft 365 за допомогою PowerShell.
Зміст:
- Створіть групу безпеки реклами Azure за допомогою PowerShell
- Групи Microsoft 365 за допомогою PowerShell
- Створіть динамічні групи в Azure AD за допомогою PowerShell
Перш за все, вам потрібно скасувати це в Azure (M365) Існує кілька типів груп:
- Групи безпеки Azure ad - Використовується для контролю доступу до додатків, Azure Resources. Такі групи можуть забезпечити доступ до заявки на Azure, призначити політику або прив'язувати ліцензії (групове ліцензування);
- Групи Microsoft 365 (Раніше називали групи Офіс 365) - використовуються як універсальний засіб організації доступу до різних продуктів Microsoft 365 (команди, Yammer, Powerbi, SharePoint, загальна коробка в Outlook). Насправді групи M365 означають загальну робочу зону для учасників (команд). Коли користувач додається до групи M365, він отримує доступ до всього вмісту, опублікованого з моменту створення групи. Користувачі такої групи можуть зручно обмінюватися файлами, документами, бюлетенами, календарями тощо.D.
- Надсилання груп - використовується для електронної пошти;
- Групи безпеки, що знаходяться на пошті - Групи використовуються як для надання доступу, так і для розсилки.
Ви можете додати користувачів до групи Azure AD та Microsoft 365 вручну (призначене членство) або динамічно (автоматичне додавання на основі атрибутів користувача/пристрою).
Створіть групу безпеки реклами Azure за допомогою PowerShell
Групи безпеки Azure ad може бути створений вручну або синхронізуватися з рекламної реклами. Поміркуйте, як створити групи безпеки реклами Azure та додати до них користувачів за допомогою PowerShell.
Підключіться до свого орендаря Azure за допомогою модуля Azuread PowerShell:
Connect-азурад
Щоб створити нову групу безпеки Azure, виконайте команду:
New -zureadgroup -displayname grvmadmins -securityenabled $ true -description "Група безпеки для глобальних адміністраторів VM" -Mailenabled $ falsemalnace "notset"
Щоб отримати інформацію про групу, завершено:
Отримати -azureadgroup -SearchString grvmadmidmins
Щоб додати користувача до групи оголошень Azure, використовуйте команду Add-azureadgroupmeber.
Спочатку вам потрібно отримати ідентифікатор користувача та групу:
$ Groupobj = get -azureadgroup -searchstring grvmadmins
$ Userobj = get -azureaduser -SearchString [email protected]
А потім додайте ідентифікатор користувача до групи:
Додати -azureadgroupmeber -ObjectId $ groupobj.ObjectId -refobjectId $ userobj.ObjectId
Отримайте склад членів групи:
$ Groupobj = get -azureadgroup -searchstring grvmadmins
Отримати -azureadgroupmember -ObjectId $ groupobj.ObjectId | Виберіть DisplayName, UserPrincipalName, UserType
Ви можете призначити власника групи Azure за допомогою Add-azureadgroupowner.
Додати -azureadgroupmeber -ObjectId $ groupobj.ObjectId -refobjectId $ userobj.ObjectId
Принесіть власника групи:
$ Groupobj = get -azureadgroup -searchstring grvmadmins
Отримати -azureadgroupopouner -ObjectId $ groupobj.ObjectId
Виведіть усі групи, синхронізовані від попереднього AD за допомогою Azure AD Connect (Lastdirsynctime містить дату останньої синхронізації).
Get -azureadgroup -filter 'dirsyncenabled eq true' | Виберіть ObjectID, DisplayName, Lastdirsynctime
Групи Microsoft 365 за допомогою PowerShell
Група Microsoft 365 Створений автоматично за допомогою програм M365 (команди, Share Point, Outlook, Yammer та T.D.). Зважаючи на те, що група Microsoft 365 може створити будь -якого користувача. Коли користувач створює нову групу в Outlook або іншій програмі (приватна чи публічно), не створюється нічого більше, ніж група Microsoft 365. Групи Microsoft 365 доступні у всіх службах M365.
Така група негайно з’явиться у списку груп на порталі Azure та в центрі адміністрації Microsoft 365.
Щоб створити групи Microsoft 365, ви можете використовувати команду НОВОГОНАФІКОВАНА ГРУПА З модуля Exchange Online PowerShell (EXOV2).
Підключіться до орендаря:
Connect-ExchangeOnline
Щоб створити нову групу M365, виконайте команду:
New -unifiedgroup -displayname "IT Departy" -alias "it_dept" -emailaddresses [email protected] -accesstype private
У M365 є два типи груп:
- Громадський - Відкрита група. Будь -який користувач може приєднатися до групи та отримати доступ до всього вмісту;
- Приватний - Приватна група, доступ лише для членів групи. Додайте користувача до закритої групи може власник групи або адміністратор Azure.
Щоб додати до групи користувачів або власників, використовується командир Додаток-Unifiedgrouplinks. Додайте до групи користувачів і призначити його власником:
Додати -unifiedgrouplinks -identity it_dept -linktype mambers -links diegos
Додати -unifiedgrouplinks -identity it_dept -linktype -власники -links diegos
Ви можете додати абонента до групи. Абонент отримає сповіщення електронною поштою:
Додати -unifiedgrouplinks -identity it_dept -linktype абоненти -Виячі alexd
Якщо вам потрібно додати декількох користувачів до групи Microsoft 365, ви можете імпортувати їх список із файлу CSV:
Імпорт-CSV "C: \ PS \ add_m365_members.CSV "| foreach -Object
Додати -unifiedGrouplinks -IDIDENTITY IT_DEPT -LINKTYPE MAMBERS -LINKS $ _.Член
Принесіть усіх користувачів групи:
Get -UnifiedGrouplinks -IDIDETITY IT_DEPT -LINKTYPE MAMBERS
Покажіть власникам групи:
Отримати -unifiedGrouplinks -IDIDETITY IT_DEPT -LINKTYPE
Ви можете приховати групу M365 у глобальній адресній книзі (GAL):
Set -Unifiedgroup -Identity it_dept -hiddenfromaddresslistsenable $ true
Створіть динамічні групи в Azure AD за допомогою PowerShell
Ви можете створити динамічна група Користувачі або пристрої в Azure AD. Склад такої групи визначається динамічно на основі атрибутів користувачів Azure. Динамічне членство підтримується для груп безпеки Azure та для груп Microsoft 365. Для створення динамічних груп використовується командир New-azureadmsgroup З модуля Azuread.
Для використання динамічних груп вам потрібна ліцензія Azure AD Premium P1 або P2.Наприклад, ви можете зробити динамічну групу, яка включає всіх користувачів з Москви (користувача.City -eq "Москва"), які вказали (користувач."Інженер", схожий на JobTitle)). Створіть для цього прикладу динамічну групу безпеки Azure:
New -azureadmsgroup -десписка "msk_engineers" -displayname "Всі інженери MSK IT (DYN)" -Mailenabled $ falseSecurityEnabled $ true -mailnickname msk_engineers -grouptypes "dynamicmembership" -membershipruleder "(користувачі" (user.City -eq "Москва" -і користувач.Jobtitle -Contains "інженер" ")" -ммберспірпроцесінг -штату "на"
New-azureadmsgroup: неможливо знайти параметр, який відповідає параметру "членства".
Щоб створити динамічну групу в Azure, в той час як вам доведеться використовувати модуль AzureadPreview:Імпорт-модуль AzureadPreview
Get-Command New-Azureadmsgroup
Щоб створити динамічну групу Microsoft 365, потрібно вказати тип групи Об'єднаний:
New -azureadmsgroup -displayname "M365 адміністраторів" -description "Динамічна група Microsoft 365 для адміністраторів -орендарів" -Mailenabled $ true -SecurityEnabledabled $ true -MailnickName M365GAdmins -groupTypes "Dynammembershiph", "unified" -membershiphriles.Jobtitle -eq "Microsoft 365 Адміністратор" ")" -ммберспірпроцесист "
Склад динамічних груп в організації оновлюється при зміні властивостей будь -якого користувача чи пристрою. Якщо ви вносите масові зміни в рекламу, імпортуйте велику кількість користувачів або якось змініть архітектуру груп/користувачів, доцільно тимчасово призупинити автоматичне оновлення динамічних груп:
$ Dyngroupobj = get -azureadmsgroup -SearchString "Усі інженери MSK (Dyn)"
Set -Azureadmsgroup -Id $ dyngroupobj.Id -mmbershipRuleProcessingState "Забронити"
Щоб увімкнути обробку правил для динамічної групи, дотримуйтесь:
Set -Azureadmsgroup -Id $ dyngroupobj.Id -mmbershipruleProcessingState "
Наступна таблиця містить приклад атрибутів користувача, які можна використовувати при побудові запитів для динамічних груп Azure.
| Тип | Атрибут | Приклад |
| Пуль | Обліковий запис | користувач.Облік -eq true |
| Пуль | Dirsyncenabled | користувач.Dirsyncenabled -eq true |
| Нитка | Місто | (Користувач.City -Eq "Значення") |
| Нитка | Країна | (Користувач.Країна -eq "значення") |
| Нитка | Назва компанії | (Користувач.Companyname -eq "значення") |
| Нитка | департамент | (Користувач.кафедра -eq "значення") |
| Нитка | DisplayName | (Користувач.DisplayName -eq "значення") |
| Нитка | Працівник | (Користувач.Співробітник -eq "значення") |
| Нитка | FacsimiletelephoneNumber | (Користувач.Facsimiletelephonenumber -eq "значення") |
| Нитка | Дано ім'я | (Користувач.дано ім'я -eq "значення") |
| Нитка | JobTitle | (Користувач.Jobtitle -eq "значення") |
| Нитка | Пошта | (Користувач.Mail -eq "значення") |
| Нитка | Mailnickname | (Користувач.Mailnickname -eq "значення") |
| Нитка | Мобільний | (Користувач.мобільний -eq "значення") |
| Нитка | ObjectId | (Користувач.ObjectID -eq "значення") |
| Нитка | Onpremisessecurityidentifier | (Користувач.OnPremissecurity -"цінність") |
| Нитка | Парольполітики | (Користувач.Парольполітики -eq “disablestrongpassword”) |
| Нитка | Фізична дилеріофценадме | (Користувач.PhysicalDeliveryOfficEname -eq "значення") |
| Нитка | Поштовий індекс | (Користувач.Postalcode -eq "значення") |
| Нитка | Бажана мова | (Користувач.VerseRedLankage -eq "ru -ru") |
| Нитка | Sipproxyaddress | (Користувач.Sipproxyaddress -eq "значення") |
| Нитка | Держави | (Користувач.State -eq "значення") |
| Нитка | Адреса вулиці | (Користувач.Streetaddress -eq "значення") |
| Нитка | Прізвище | (Користувач.прізвище -eq "значення") |
| Нитка | Телефонний номер | (Користувач.TelephonEnumber -EQ "Значення") |
| Нитка | Усагелокація | (Користувач.Usagelocation -eq "ми") |
| Нитка | Userprincipalname | (Користувач.userprincipalname -eq “[email protected] ") |
| Нитка | Usertype | (Користувач.usertype -eq "член") |
| Колекція рядків | Інші пошти | (Користувач.Інші пошти -містять “користувач@contoso.com ") |
| Колекція рядків | Проксіадрести | (Користувач.Proxyaddresses -Contains “SMTP: псевдонім@contooso.com ") |
