Azure Powershell Management

AzureAD Benutzer Gruppen Lizenzen

Lesedauer 2 Minuten

Microsoft Office 365

In diesem Artikel geht es um ein paar überschaubare Beispielbefehle zum Anlegen von Benutzern, Gruppen, Kennwortrichtlinie usw.

Kennwortrichtlinien anzeigen und ändern

# Kennwortrichtlinie auslesen
Get-MsolPasswordPolicy -DomainName joernwalter.onmicrosoft.com

# Kennwortrichtlinien aller Domänen auslesen
Get-MsolDomain |
ForEach { $domain = $_.Name
Get-MsolPasswordPolicy -DomainName $domain | Select-Object @{ Label=”DomainName”;
Expression={ $domain } },
NotificationDays,
ValidityPeriod }

# Kennwortrichtlinie ändern
Set-MsolPasswordPolicy -DomainName joernwalter.onmicrosoft.com -NotificationDays 5 -ValidityPeriod 90

Lizenz zuweisen

# SkuID ermitteln
Get-AzureADSubscribedSku | Select-Object SkuPartNumber, SkuId
(Get-AzureADSubscribedSku).ServicePlans
Get-MsolAccountSku

# Lizenzobjekt erzeugen und E3 Lizenz zuweisen
$plan = New-Object -TypeName Microsoft.Open.AzureAD.Model.AssignedLicense
$plan.SkuId = “6fd2c87f-b296-42f0-b197-1e91e994b900”

$plans = New-Object -TypeName Microsoft.Open.AzureAD.Model.AssignedLicenses
$plans.AddLicenses = $plan

Set-AzureADUserLicense -ObjectId “August@joernwalter.onmicrosoft.com” -AssignedLicenses $plans

Benutzer anlegen und Lizenz zuweisen

#  Benutzer anlegen und zeitgleich eine Lizenz zuweisen
New-MsolUser -UserPrincipalName “Ralf@joernwalter.onmicrosoft.com” `
-DisplayName “Ralf Walter” `
-FirstName “Ralf” `
-LastName “Walter” `
-Password “Password” `
-UsageLocation “DE” `
-LicenseAssignment “joernwalter:ENTERPRISEPACK” `
-PreferredDataLocation “EUR”

Benutzer ändern Jobtitle, Abteilung oder Passwort.

# Kleine Atribute anpassen
Set-AzureADUser -ObjectId “Ralf@joernwalter.onmicrosoft.com” -DisplayName “Ralf Walters” -JobTitle “Manager” -Department “IT”

# Password ändern
$pw = “Password123”

$pw = ConvertTo-SecureString -String $pw -AsPlainText -Force
Set-AzureADUserPassword -ObjectID “Ralf@joernwalter.onmicrosoft.com” -Password $pwd

Benutzer löschen, anzeigen und wiederherstellen

# Benutzer aus dem Azure AD löschen. Lizenz wird frei
Remove-AzureADUser -ObjectId “Ralf@joernwalter.onmicrosoft.com”

# Gelöschte Benutzer anzeigen
Get-MsolUser -ReturnDeletedUsers

# Gelöschten Benutzer wiederherstellen. Lizenz wird wieder zugewiesen
Restore-MsolUser -UserPrincipalName “Ralf@joernwalter.onmicrosoft.com”
Restore-MsolUser -UserPrincipalName “Ralf@joernwalter.onmicrosoft.com” -NewUserPrincipalName “Ralph@joernwalter.onmicrosoft.com”

Sicherheitsgruppe anlegen

# Neue Sicherheitsgruppe nicht MailEnabled anlegen
New-AzureADGroup -DisplayName “SG-1” -MailEnabled $false -MailNickName “SG-1” -SecurityEnabled $true

Benutzer einer Sicherheitsgruppe hinzufügen

# Sicherheitsgruppe einlesen und Benutzer hinzufügen
$sgroup = Get-AzureADGroup -SearchString “SG-1”

$user = Get-AzureADUser -ObjectId “manfred@joernwalter.onmicrosoft.com”
Add-AzureADGroupMember -ObjectId $sgroup.ObjectId -RefObjectId $user.ObjectId

Sicherheitsgruppe löschen

# Vorhandene Sicherheitsgruppe einlesen und löschen
$ObID = Get-AzureADGroup -SearchString “SG-1”
Remove-AzureADGroup -ObjectId $ObID.ObjectId

Wer ist Mitglied der Sicherheitsgruppe

# Vorhandene Sicherheitsgruppe einlesen und auswerten
$sgroup = Get-AzureADGroup -SearchString “SG-1”
Get-AzureADGroupMember -ObjectId $sgroup.ObjectId

Benutzer aus einer Sicherheitsgruppe entfernen

# Sicherheitsgruppe einlesen, Benutzer einlesen und entfernen
$sgroup = Get-AzureADGroup -SearchString “SG-1”
$users = Get-AzureADUser -ObjectId “manfred@joernwalter.onmicrosoft.com”
Remove-AzureADGroupMember -ObjectId $sgroup.ObjectId -MemberId $users.ObjectId

Benutzer einer AzureAD Rolle hinzufügen

# Rolle einlesen, Benutzer einlesen und zuweisen
$roles = Get-AzureADDirectoryRole | Where-Object { $_.DisplayName -eq “Company Administrator” }
$users = Get-AzureADUser -ObjectId “Ralf@joernwalter.onmicrosoft.com”
Add-AzureADDirectoryRoleMember -ObjectId $roles.ObjectId -RefObjectId $users.ObjectId

Welche AzureAD Rolle wurde einem Benutzer zugewiesen

#  Rollenzugehörigkeit eines Benutzers auswerten
Get-MsolUserRole -UserPrincipalName “Ralf@joernwalter.onmicrosoft.com”

# AzureAD Rolle auswerten
$roles = Get-AzureADDirectoryRole | Where-Object { $_.DisplayName -eq “Company Administrator” }
Get-AzureADDirectoryRoleMember -ObjectId $roles.ObjectId

Exchange Online Postfächer und Gruppen anlegen