Управление группами безопасности с помощью PowerShell
Эта статья относится к Microsoft 365 корпоративный и Office 365 корпоративный.
PowerShell для Microsoft 365 можно использовать в качестве альтернативы Центру администрирования Microsoft 365 для управления группами безопасности.
В этой статье описывается перечисление, создание, изменение параметров и удаление групп безопасности.
Если для командного блока в этой статье требуется указать значения переменных, выполните следующие действия.
- Скопируйте блок команд в буфер обмена и вставьте его в Блокнот или интегрированную среду сценариев PowerShell (ISE).
- Заполните значения переменных и удалите символы "<" и ">".
- Выполните команды в окне PowerShell или интегрированной среде сценариев PowerShell.
Управление группами безопасности с помощью Microsoft Graph PowerShell
Примечание.
Модуль Azure Active Directory заменяется пакетом SDK Для Microsoft Graph PowerShell. Можно использовать пакет SDK Microsoft Graph PowerShell для доступа ко всем API Microsoft Graph. Дополнительные сведения см. разделе Начало работы с пакетом SDK Microsoft Graph PowerShell.
Сначала подключитесь к клиенту Microsoft 365.
Для управления группами безопасности требуется область разрешений Group.ReadWrite.All или одно из других разрешений, перечисленных на странице справочника по API Graph List subscribedSkus. Для некоторых команд, приведенных в этой статье, могут потребоваться различные области разрешений. В этом случае это будет указано в соответствующем разделе.
Connect-Graph -Scopes Group.ReadWrite.All
Вывод списка групп
Используйте эту команду, чтобы получить список всех групп.
Get-MgGroup -All
Эти команды используются для отображения параметров определенной группы по ее отображаемого имени.
$groupName="<display name of the group>"
Get-MgGroup -All | Where-Object { $_.DisplayName -eq $groupName }
Создание группы
Используйте эту команду, чтобы создать новую группу безопасности.
Connect-MgGraph -Scopes "Group.Create"
New-MgGroup -Description "<group purpose>" -DisplayName "<name>" -MailEnabled:$false -SecurityEnabled -MailNickname "<email name>"
Отображение параметров группы
Отображение параметров группы с помощью этих команд.
$groupName="<display name of the group>"
Get-MgGroup -All | Where-Object { $_.DisplayName -eq $groupName } | Select-Object *
Удаление группы безопасности
Используйте эти команды, чтобы удалить группу безопасности.
$groupName="<display name of the group>"
$group = Get-MgGroup -Filter "displayName eq '$groupName'"
Remove-MgGroup -GroupId $group.Id
Управление владельцами группы безопасности
Используйте эти команды для отображения текущих владельцев группы безопасности.
$groupName="<display name of the group>"
# Connect to Microsoft Graph
Connect-MgGraph -Scopes "GroupMember.Read.All"
# Display group owners
Get-MgGroupOwner -GroupId (Get-MgGroup | Where-Object { $_.DisplayName -eq $groupName }).Id
Используйте эти команды, чтобы добавить учетную запись пользователя по имени участника-пользователя (UPN) для текущих владельцев группы безопасности.
$userUPN="<UPN of the user account to add>"
$groupName="<display name of the group>"
# Connect to Microsoft Graph
Connect-MgGraph -Scopes "Group.ReadWrite.All", "User.ReadBasic.All"
# Get the group and user
$group = Get-MgGroup -Filter "displayName eq '$groupName'"
$userId = (Get-MgUser -Filter "userPrincipalName eq '$userUPN'").Id
# Add the user as an owner to the group
$newGroupOwner =@{
"@odata.id"= "https://graph.microsoft.com/v1.0/users/$userId"
}
New-MgGroupOwnerByRef -GroupId $group.Id -BodyParameter $newGroupOwner
Используйте эти команды, чтобы добавить учетную запись пользователя по отображаемой имени для текущих владельцев группы безопасности.
$userName="<Display name of the user account to add>"
$groupName="<display name of the group>"
# Connect to Microsoft Graph
Connect-MgGraph -Scopes "Group.ReadWrite.All", "Directory.Read.All", "User.ReadBasic.All"
# Get the group and user
$group = Get-MgGroup -All | Where-Object { $_.DisplayName -eq $groupName }
$userId = (Get-MgUser -All | Where-Object { $_.DisplayName -eq $userName }).Id
# Add the user as an owner to the group
$newGroupOwner =@{
"@odata.id"= "https://graph.microsoft.com/v1.0/users/$userId"
}
New-MgGroupOwnerByRef -GroupId $group.Id -BodyParameter $newGroupOwner
Используйте эти команды, чтобы удалить учетную запись пользователя по имени участника-пользователя от текущих владельцев группы безопасности.
$userUPN="<UPN of the user account to remove>"
$groupName="<display name of the group>"
# Connect to Microsoft Graph
Connect-MgGraph -Scopes "Group.ReadWrite.All", "Directory.ReadWrite.All"
# Get the group and user
$group = Get-MgGroup -Filter "displayName eq '$groupName'" | Select-Object -First 1
$user = Get-MgUser -Filter "userPrincipalName eq '$userUPN'" | Select-Object -First 1
# Remove the user from the group
Remove-MgGroupOwnerByRef -GroupId $group.Id -DirectoryObjectId $user.Id
Используйте эти команды, чтобы удалить учетную запись пользователя по ее отображаемой имени от текущих владельцев группы безопасности.
$userName="<Display name of the user account to remove>"
$groupName="<display name of the group>"
$group = Get-MgGroup | Where-Object { $_.DisplayName -eq $groupName }
$user = Get-MgUser | Where-Object { $_.DisplayName -eq $userName }
Remove-MgGroupOwnerByRef -GroupId $group.Id -DirectoryObjectId $user.Id
См. также
Управление учетными записями пользователей Microsoft 365, лицензиями и группами с помощью PowerShell