Azure Active Directory 和 PowerShell：將組添加為所有者並支持所有者分配

Question

我目前正在嘗試通過 PowerShell 腳本自動創建組。 我做的兩個經驗是

1) Az 模塊相當有限，並沒有涵蓋 AzureAD 模塊提供的全部命令。 例如，我想將所有者添加到組中。 我怎樣才能做到這一點？ 是否有將所有功能轉移到 Az 的計划？

2）是否可以將組作為所有者添加到組中？ 我想避免添加單個用戶。

謝謝

Answer 1

1) 我不認為有計划將所有 azure 廣告功能移至 az，他們正在積極開發用於圖形模塊的 azureAD。 如果您查看其他模塊，例如交換、團隊、sharepoint，它們每個都有自己的模塊來管理服務。 az 模塊更多地用於管理 azure 資源。 不是專門的 azure 廣告。 雖然有一些基本的 azure 廣告功能。

2) 群組不能成為 azure 廣告中的所有者。 https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/active-directory-accessmanagement-managing-group-owners您無法選擇組所有者。 他們必須是單個用戶或服務主體。

組所有者可以是用戶或服務主體

您可以做的最好的事情是構建自己的自動化腳本，以根據您的要求添加刪除組所有者。

Answer 2

1) Az 模塊相當有限，並沒有涵蓋 AzureAD 模塊提供的全部命令。 例如，我想將所有者添加到組中。 我怎樣才能做到這一點？ 是否有將所有功能轉移到 Az 的計划？

對於提供將所有者添加到組的功能的計划，您可以在 User Voice 上發布此想法以獲取更多信息。

目前，一種解決方法是您可以選擇使用與活動 azure 上下文關聯的現有令牌連接 session。

這是使用您的 Az 上下文連接到 Azure AD 模塊的示例。 然后在腳本中使用 Azure AD cmd Add-AzureADGroupOwner 。

# login
Connect-AzAccount -tenant {tenant id}
# perform other Azure operations...

$currentAzureContext = Get-AzContext
$tenantId = $currentAzureContext.Tenant.Id
$accountId = $currentAzureContext.Account.Id
Connect-AzureAD -TenantId $tenantId -AccountId $accountId
Add-AzureADGroupOwner -ObjectId "62438306-7c37-4638-a72d-0ee8d9217680" -RefObjectId "0a1068c0-dbb6-4537-9db3-b48f3e31dd76"

2）是否可以將組作為所有者添加到組中？ 我想避免添加單個用戶。

不支持將組作為所有者添加到組。 我們只能獲取成員列表並循環它們以將成員添加為組的所有者。

$members = Get-AzureADGroupMember -ObjectId {object id of group}

Foreach($member in $members){
    Add-AzureADGroupOwner -ObjectId {object id of the target group} -RefObjectId $member.ObjectId
} 

請注意，如果成員是另一個組，則 cmd 無法將其添加為所有者。