12. März 2020 Aleksej Kusnir

Azure AD PowerShell Module Tutorial

Sie nutzen in Ihrem Unternehmen Azure AD oder Office 365 und möchten wissen, wie Sie diese beiden Lösungen mit PowerShell verwalten bzw. automatisieren können?

In diesem Artikel schauen wir uns an, wie Sie PowerShell verwenden um Benutzer im Azure Active Directory zu verwalten und Office Anwendungen automatisch zuweisen können.

Des Weiteren schauen wir uns an, wie Unternehmen in der Praxis das Azure AD Module nutzen um den Unternehmen zu helfen schneller, innovativer und agiler zu werden.

Gleichzeitig sehen Sie, wie Sie Ihren Arbeiteralltag mit Zeitaufwändigen ToDoes entlasten.

Sie möchten wissen wie das geht, dann lassen Sie uns loslegen.

More...

Zuvor schauen wir uns das PowerShell Module an, welches Sie für das Arbeiten mit Azure AD nutzen können.

Was ist das Azure AD PowerShell Module?

Azure AD PowerShell Module ist der Nachfolger des berühmten PowerShell Modules "MSONLINE".

MSONLINE als PowerShell Module ist noch existent, es werden aber alle Änderungen bzw. Anpassungen nur noch in das AzureAD Module hinzugefügt.

Das AzureAD Module bringt einige Befehle mit - anbei eine kurze Übersicht dazu.

Später gehen wir auf die wichtigsten Befehle noch ein.

PowerShell AzureAD Module Übersicht

Das AzureAD Module bringt 190 Befehle davon sind:

  • 76 Get Befehle
  • 25 Set Befehle
  • 25 New Befehle
  • 41 Remove Befehle
  • 23 Sonstige Befehle

PowerShell VideoKurS

Gratis

Möchten Sie 10 kostenlose Lektionen per E-Mail für die wichtigsten PowerShell Grundlagen erhalten?

Was kann ich mit dem Module machen?

Mit Dem AzureAD Module können Sie Azure AD Benutzer z.B. hinzufügen, entfernen, anpassen oder Gruppenzugehörigkeiten verwalten.

Zusätzlich haben Sie die Möglichkeit Office 365 Lizenzen zuzuweisen und einzelne Apps zu sperren.

Anbei ist eine Liste mit dem Befehlen, die das Module uns zur Verfügung stellt.

Das Module wird immer wieder erweitert, eine komplette Liste können Sie auf der Microsoft Webseite einsehen:

https://docs.microsoft.com/en-us/powershell/module/azuread/?view=azureadps-2.0

Ok, lassen Sie uns nun das AzureAD PowerShell Module installieren.

Danach zeige ich Ihnen ein paar Beispiele wie Sie mit PowerShell AzureAD Ressourcen verwalten.

Azure AD PowerShell Module herunterladen und installieren

Das PowerShell Module können Sie in der PowerShellgallery anschauen und die Versionen überprüfen.

https://www.powershellgallery.com/packages/AzureAD

Über die PowerShell Konsole können Sie mit dem Install-Module Befehl das Module herunterladen und installieren.

Install-Module -Name AzureAD

Nachdem Sie das Module installiert haben, können Sie über PowerShell Ihr AzureAD und Office 365 Zugänge verwalten.

Voraussetzung ist natürlich, dass Sie ein Azure AD Tenant bzw. ein Office 365 Abo haben.

Lassen Sie uns nun gemeinsam ein paar Beispiele anschauen in dem das AzureAD Module zum Einsatz kommt.

Beispiel 1: Neuen Benutzer im Azure AD erstellen

Für das Erstellen eines Benutzer benötigen wir ein paar Stammdaten.

  1. 1
    Passwort
  2. 2
    Displayname
  3. 3
    UserPrincipalName
  4. 4
    MailNickname

Das Passwort muss zuerst in einem Azure AD Password Profile angelegt werden, danach können Sie es dem Benutzer zuweisen.

$PasswordProfile = New-Object -TypeName Microsoft.Open.AzureAD.Model.PasswordProfile

$PasswordProfile.Password = "Password"

New-AzureADUser -DisplayName "Vorname Nachname" -PasswordProfile $PasswordProfile -UserPrincipalName "vorname.nachname@test.de" -AccountEnabled $true -MailNickName "vornamenachname"

OK, nächstes Beispiel.

Beispiel 2: Azure AD Benutzer anpassen

Nehmen wir z.B. an, dass sich der Nachname eines Azure Active Directory Benutzers ändert?

Dann können Sie mit dem Set-AzureADUser Befehl diesen Eintrag anpassen.

$user = Get-AzureADUser -ObjectId vornname.nachname@test.de

$user.Surname = 'NeuerNachname'

Set-AzureADUser -ObjectId vornname.nachname@test.de -Surname $user.Surname

Ok, jetzt mal ein Beispiel wie Sie einen Benutzer zu einer AD Gruppe hinzufügen.

Beispiel 3: Azure AD Benutzer zur Azure AD Gruppe zuweisen

$gruppe= Get-AzureADGroup -Filter "DisplayName eq 'Gruppen Displayname'"

$user = Get-AzureADUser -ObjectId vornname.nachname@test.de

Add-AzureADGroupMember -ObjectId $gruppe.ObjectId -RefObjectId $user.ObjectId

So, das waren nun einige Beispiele und es gibt so viele mehr, die für die Praxis sehr hilfreich sind.

Lassen Sie mich Ihnen noch zeigen wie das AzureAD Module in der Praxis verwendet wird und in welchen Projekten ich es z.B. verwende.

Wie wird das Module in der Praxis verwenden?

Ein Beispiel für die Nutzung dieses Modules ist das Onboarding von Benutzer im Unternehmen.

Wenn ein neuer Mitarbeiter ins Unternehmen dazu kommt, benötigt dieser Azure Ressourcen zum Arbeiten.

Als Beispiel nutzt der Mitarbeiter das Office 365 Paket, benötigt aber nicht alle Apps, sondern nur Exchange Online und SharePoint Online als Beispiel.

Wie kann man dies nun als IT-Abteilung lösen?

Das gibt es mehrere Variante aber gehen wir mal kurz auf 3 Varianten ein.

Variante 1: Azure AD Benutzer Oboarding ohne PowerShell

Die IT bekommt eine E-Mail aus der Personalabteilung mit den Daten, die für das Erstellen eines neuen Benutzer relevant sind.

  • Die Eigenschaften des neuen Mitarbeiters. Vorname, Nachname usw.
  • Es wird gesagt welche Anwendungen dieser Benötigt (Office Anwendungen, E-Mail und SharePoint Zugriff)
  • Es wird vlt. noch erwähnt auf welche Ordner er Zugreifen darf unter SharePoint.
  • Mit diesen Informationen geht dann ein HelpDesk Mitarbeiter oder ein anderer Mitarbeiter aus der IT und legt diesen Benutzer mit den entsprechenden Informationen an und stellt die Berechtigungen ein.
  • Der Chef der Abteilung bekommt dann eine E-Mail, mit den Zugangsdaten für seinen neuen Mitarbeiter. Oder ein anderen Weg auf dem der Mitarbeiter halt seine Zugänge bekommt.

Anmerkung

Meiner Meinung nach etwas aufwendig... Vor allem wenn es mal mehr Benutzer werden, die das Unternehmen verlassen und neue immer wieder dazu kommen.

Das Technotier von LINETWORK

Variante 2: Azure AD Benutzer Oboarding mit PowerShell

Eine zweite Variante die mir persönlich besser gefällt.

  • Die Personalabteilung erstellt eine Excel, die Sie von der IT als Vorlage erhalten haben und füllt dort die Informationen für den neuen Mitarbeiter aus.
  • Diese Excel wird dann in einem Share (Fileserver bzw. SharePoint) abgelegt.
  • Die IT bekommt nur eine Info, dass ein neuer Mitarbeiter dazugekommen ist.
  • Die IT führt ein PowerShell Script aus ohne zu überprüfen welche Daten in der Excel vorhanden sind.
  • Der Benutzer wird automatisch in Azure AD angelegt und die notwendigen Berechtigungen automatisch zugewiesen.
  • Eine-Mail an den Abteilungsleiter wird automatisch mit den Zugangsdaten zugeschickt.

In diesem Beispiel muss die IT nur ein PowerShell Skript starten.

Und ja, es muss vorher mit den Abteilungen abgesprochen werden, wie das Excel File aussehen soll und wie sie dort etwas eintragen. Aber das ist eine einmalige Sache.

Variante 3: Azure AD Benutzer Oboarding Self Service + PowerShell

Ok, kommen wir zur Variante 3.

  • Die Personalabteilung füllt auf ein Self Service Portal (Webseite) die Daten des neuen Mitarbeiters ein.
  • Im Hintergrund werden dann die notwendigen Ressourcen über PowerShell angelegt.
  • Der Vorgesetzte des neuen Kollegen bekommt eine E-Mail mit den Zugangsdaten bzw. es werden die Zugangsdaten automatisch an die Private Adresse des neuen Mitarbeiters geschickt.

In diesem Prozess ist die IT nicht mehr aktiv darin beteiligt neue Benutzer zu erstellen und Ressourcen zuzuweisen.

Die IT ist nun viel weiter und innovativer. Es stellt eine Plattform bereit (Self Service Portal) + PowerShell Background Scripte + den Prozess an sich.

Die Personalabteilung kann nun so selbständig in kurzer Zeit Mitarbeiter anlegen oder auch Ressourcen entziehen.

PS: Dieser Prozess wird heutzutage ganz normal in viel Firmen nun gelebt in denen ich aktiv bin.

Ich hoffe Sie haben ein paar Ideen mitnehmen können.

Als IT-Administrator bzw. IT-Fachmann sind Sie nicht nur der Admin, der die Admin Konsole von Azure AD bzw. Office 365 nutzt, sondern aktiv als Prozess Optimierer tätig.

Für die Erstellung von PowerShell Skripten im Background und Erweiterung dieser benötigen Sie gutes PowerShell Grundwissen.

In Ihrer Inhouse Schulung können Sie sich als Team von Aleksej Kusnir zum Thema PowerShell schulen lassen.

Wenn Sie lieber die Grundlagen von Ihrem Schreibtisch aus online lernen möchten, bieten wir einen speziell dafür Entwickelten PowerShell Online Kurs.

Schauen Sie einfach mal rein und entscheiden Sie selbst, welche Variante für Sie die sinnvolle ist.

Fazit

Weitere Blogbeiträge die Sie Interessen könnten.

Sie nutzen PowerShell Skripte, um IT-Prozesse und Aufgaben in Ihrem Datacenter zu automatisieren?Sie Nutzen Microsoft Azure und haben dort verschiedene Services, die

Read More
PowerShell mit Azure Functions Queue Trigger

Nutzen Sie noch die MMC Konsolen und hier das Tool Active Directory Computers & Users?Dann hat Microsoft was Neues für Sie!Das Windows

Read More
Windows Admin Center: Active Directory Administration

Sie möchten eine große Anzahl von Benutzer im Active Directory anpassen oder erstellen ohne dass Sie jeden Benutzer manuell anlegen müssen?In diesem

Read More
PowerShell – Active Directory Benutzer erstellen, verschieben und löschen