もっと詳しく

次のようなグラフィカルな管理ツールを使用できます Azureポータル または Microsoft365管理センター Azureでグループを管理します。 この記事では、PowerShellを使用してAzureADまたはMicrosoft365でグループを作成、編集、更新、および削除する方法を示します。

最初に注意することは、Azure(M365)にはいくつかの種類のグループがあることです。

  • AzureADセキュリティグループ Azureアプリとリソースへのアクセスを管理するために使用されます。 Azureアプリへのアクセスを許可したり、ポリシーまたはAzureライセンス(グループベースのライセンス)をセキュリティグループに割り当てたりすることができます。
  • Microsoft365グループ (以前は Office365グループ)は、さまざまなMicrosoft 365製品(Teams、Yammer、PowerBI、SharePoint、および共有Outlookメールボックス)にアクセスするためのユニバーサルな手段として使用されます。 一般に、M365はチームメンバーの共有作業領域です。 ユーザーをM365グループに追加すると、グループが作成されてから投稿されたすべてのコンテンツにアクセスできます。 このようなグループのユーザーは、ファイル、ドキュメント、メーリングリスト、カレンダーなどを共有できます。
  • 配布グループ 受信者のグループにメッセージを配信したり、大量の電子メールを送信したりするために使用されます。
  • メール対応のセキュリティグループ リソースへのアクセスを許可するためとメールアウトを送信するための両方に使用されます。

ユーザーをAzureADまたはMicrosoft365グループに手動(メンバーシップの割り当て)または動的(ユーザー/デバイス属性に基づいて自動的に追加)で追加できます。

PowerShellを使用してAzureADセキュリティグループを作成するにはどうすればよいですか?

AzureADセキュリティグループ 手動で作成することも、オンプレミスのActiveDirectoryから同期することもできます。 PowerShellを使用してAzureADセキュリティグループを作成し、それらにユーザーを追加する方法を見てみましょう。

AzureADPowerShellモジュールを使用してAzureテナントに接続します。

Connect-AzureAD

新しいAzureセキュリティグループを作成するには、次のコマンドを実行します。

New-AzureADGroup –DisplayName grVMadmins -SecurityEnabled $true -Description "CORP VM admins" -MailEnabled $false -MailNickName "NotSet"

グループに関する情報を取得するには、次のコマンドを実行します。

Get-AzureADGroup -SearchString grVMadmins

Azure ADグループにユーザーを追加するには、 追加-AzureADGroupMember コマンドレット。

ユーザーとグループIDを取得します。

$GroupObj = Get-AzureADGroup -SearchString grVMadmins
$UserObj = Get-AzureADUser -SearchString AlexW@woshub.com

次に、ユーザーIDをグループに追加します。

Add-AzureADGroupMember -ObjectId $GroupObj.ObjectId -RefObjectId $UserObj.ObjectId

グループのメンバーを一覧表示します。

$GroupObj = Get-AzureADGroup -SearchString grVMadmins
Get-AzureADGroupMember -ObjectId $GroupObj.ObjectId| select DisplayName,UserPrincipalName,UserType

Get-AzureADGroupMember-PowerShellを使用してAzureADグループのメンバーを取得します

を使用してAzureグループの所有者を割り当てることができます 追加-AzureADGroupOwner

Add-AzureADGroupMember -ObjectId $GroupObj.ObjectId -RefObjectId $UserObj.ObjectId

グループ所有者を表示するには:

$GroupObj = Get-AzureADGroup -SearchString grVMadmins
Get-AzureADGroupOwner -ObjectId $GroupObj.ObjectId

オンプレミスのActiveDirectoryからAzureADConnectを介して同期されたすべてのグループを一覧表示するには( LastDirSyncTime 属性は最後の同期の日付を示します)。

Get-AzureADGroup -Filter 'DirSyncEnabled eq true' | select ObjectId,DisplayName,LastDirSyncTime

PowerShellを使用したMicrosoft365グループの管理

Microsoft 365 グループは、M365アプリ(Teams、Share Point、Outlook、Yammerなど)を使用して自動的に作成されます。 既定では、すべてのテナントユーザーがMicrosoft365グループを作成できます。 ユーザーがOutlookまたはその他のアプリで新しいグループを作成すると、作成されるのはMicrosoft365グループです。 Microsoft 365グループは、すべてのM365サービスで利用できます。

Azure /Microsoft365で新しいユニバーサルグループを作成する

このグループは、AzureポータルとMicrosoft365管理センターのグループのリストにすぐに表示されます。

AzureのMicrosoft365グループのリスト

Microsoft 365グループを作成するには、 New-UnifiedGroup Exchange Online for PowerShell(EXOv2)モジュールのコマンドレット。

テナントに接続します。

Connect-ExchangeOnline

新しいM365グループを作成するには、次のコマンドを実行します。

New-UnifiedGroup -DisplayName "HQ IT Department" -Alias "it-dept" -EmailAddresses it-dept@woshub.com -AccessType Private

M365には、次の2種類のグループがあります。

  • 公衆 –オープングループ。 すべてのユーザーがグループに参加して、そのコンテンツにアクセスできます。
  • プライベート –グループメンバーのみがアクセスできます。 グループの所有者またはAzure管理者は、ユーザーをプライベートグループに追加できます。

ユーザーまたは所有者をグループに追加するには、 追加-UnifiedGroupLinks コマンドレット。 グループにユーザーを追加して、所有者として割り当てましょう。

Add-UnifiedGroupLinks –Identity it-dept –LinkType Members –Links DiegoF
Add-UnifiedGroupLinks –Identity it-dept –LinkType Owners –Links DiegoF

グループにサブスクライバーを追加できます。 サブスクライバーは電子メール通知を受け取ります。
Add-UnifiedGroupLinks –Identity it-dept –LinkType Subscribers –Links AlexW

一度に複数のユーザーをMicrosoft365グループに追加する場合は、CSVファイルからユーザーのリストをインポートできます。

Import-CSV "C:PSDataadd_m365_members.csv" | ForEach-Object {
Add-UnifiedGroupLinks –Identity it-dept –LinkType Members –Links $_.member
}

グループ内のすべてのユーザーを表示するには:

Get-UnifiedGroupLinks –Identity it-dept –LinkType Members

Get-UnifiedGroupLinks:Microsoft365グループのメンバーを一覧表示します

グループの所有者を表示するには:

Get-UnifiedGroupLinks –Identity it-dept –LinkType Owners

M365グループをグローバルアドレス一覧(GAL)から非表示にできます。

Set-UnifiedGroup -Identity it-dept -HiddenFromAddressListsEnabled $true

AzureADPowerShellを使用して動的グループを作成および管理する

あなたは作成することができます 動的グループ AzureADのユーザーまたはデバイスの数。 メンバーは、Azureユーザー属性に基づいて動的にグループに追加されます。 動的メンバーシップは、AzureセキュリティグループとMicrosoft365グループの両方でサポートされています。 動的グループを作成するには、 New-AzureADMSGroup AzureADモジュールのコマンドレット。

動的グループには、Azure ADPremiumP1またはP2ライセンスが必要です。

たとえば、ミュンヘンのすべてのユーザーを含む動的グループを作成できます(user.city -eq "Munich")特定の職位(user.jobTitle -like "*Engineer*")。 この例では、動的なAzureセキュリティグループを作成しましょう。

New-AzureADMSGroup -Description "mun_engineers" -DisplayName "All Munich IT dept engineers (dynamic)" -MailEnabled $false -SecurityEnabled $true -MailNickname mun_engineers -GroupTypes "DynamicMembership" -MembershipRule "(user.city -eq ""Munich"" -and user.jobTitle -contains ""Engineer"")" -MembershipRuleProcessingState "On"

New-AzureADMSGroup-PowerShellを使用してAzureADに動的グループを作成します

残念ながら、AzureADモジュールは、コマンドの実行後に次のエラーを返します。

New-AzureADMSGroup : A parameter cannot be found that matches parameter name 'MembershipRule'.

Azureで動的グループを作成するには、 AzureADPreview モジュール:
Import-Module AzureADPreview
get-command New-AzureADMSGroup

AzureADPreviewモジュール

動的なMicrosoft365グループを作成するには、次のように指定します 統一 グループタイプとして:

New-AzureADMSGroup -DisplayName "M365 Admins" -Description "Dynamic Microsoft 365 Group for tenant admins" -MailEnabled $True -SecurityEnabled $True -MailNickname M365GAdmins -GroupTypes "DynamicMembership", "Unified" -MembershipRule "(User.department -eq ""IT"")" -MembershipRuleProcessingState "On"

組織内のAzure動的グループのメンバーシップは、ユーザーまたはデバイスのプロパティが変更されると更新されます。 ADに一括変更を加えたり、多くのユーザーをインポートしたり、グループ/ユーザーアーキテクチャを変更したりする場合は、動的グループの自動更新をしばらく一時停止することをお勧めします。

$dynGroupObj = Get-AzureADMSGroup -SearchString “All Munich IT dept engineers (dynamic)”
Set-AzureADMSGroup -Id $dynGroupObj.id -MembershipRuleProcessingState "Paused"

動的グループのルール処理を有効にするには、次のコマンドを実行します。

Set-AzureADMSGroup -Id $dynGroupObj.id -MembershipRuleProcessingState "On"

次の表は、Azure動的グループのクエリを作成するために使用できるユーザー属性を示しています。

タイプ 属性
ブール accountEnabled user.accountEnabled -eq true
ブール dirSyncEnabled user.dirSyncEnabled -eq true
(user.city -eq "value")
(user.country -eq “value”)
会社名 (user.companyName -eq “value”)
デパートメント (user.department -eq “value”)
表示名 (user.displayName -eq “value”)
従業員ID (user.employeeId -eq “value”)
ファクシミリ電話番号 (user.facsimileTelephoneNumber -eq “value”)
(user.givenName -eq “value”)
職名 (user.jobTitle -eq “value”)
郵便物 (user.mail -eq “value”)
mailNickName (user.mailNickName -eq “value”)
モバイル (user.mobile -eq “value”)
objectId (user.objectId -eq “value”)
onPremisesSecurityIdentifier (user.onPremisesSecurityIdentifier -eq “value”)
passwordPolicies (user.passwordPolicies -eq “DisableStrongPassword”)
physicalDeliveryOfficeName (user.physicalDeliveryOfficeName -eq “value”)
郵便番号 (user.postalCode -eq “value”)
優先言語 (user.preferredLanguage -eq “de-DE”)
sipProxyAddress user.sipProxyAddress -eq “value”
((user.state -eq “value”)。
住所 user.streetAddress -eq “value”
user.surname -eq “value”
電話番号 (user.telephoneNumber -eq “value”)
使用場所 (user.usageLocation -eq “US”)
userPrincipalName (user.userPrincipalName -eq “user@contoso.com”)
ユーザータイプ (user.userType -eq “Member”)
文字列コレクション otherMails (user.otherMails -contains “user@contoso.com”)
文字列コレクション proxyAddresses (user.proxyAddresses -contains “SMTP: alias@contoso.com”)

The post PowerShellを使用してAzureADおよびMicrosoft365でグループを管理する appeared first on Gamingsym Japan.