问题标签 [azure-ad-powershell-v2]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
394 浏览

azure - 将多个用户更新到 ADGroup

我正在尝试通过 UPN 为 CSV 文件中的多个用户更新 AzureADGroupMember。

这是我遇到并尝试过的:

我收到以下 2 个错误。

知道为什么会这样吗?我非常感谢您的帮助。

谢谢,

0 投票
1 回答
768 浏览

azure - 通过 EmployeeID 更新多个用户 ADGroup

我正在尝试按员工为 CSV 文件中的多个用户更新 AzureADGroupMember。

这是我得到的帮助,但希望通过 UPN 而不是 EmployeeID 对其进行更新。这是通过 UPN 更新 ADGroupMember 的成功代码。

这是我将 UPN 更改为通过 CSV 中的 EmployeeID 更新的代码。

这是我尝试通过 EmployeeID 更新时收到的错误消息。

这就是我用来验证员工在 Azure 中是否确实拥有 EmployeeID 的方法。

知道为什么即使我已经验证,它也会读取到 Azure 中不存在员工 ID 吗?

谢谢,

更新:添加我的 csv 设置的屏幕截图,我那里只有员工 ID: CSV 设置

更新 2:我在 powershell 中运行的脚本的屏幕截图:PS中的脚本

0 投票
1 回答
1928 浏览

azure - 使用 Connect-MSOLservice 与服务主体连接

我正在尝试使用我在 AzureAD 中创建的服务主体通过 PowerShell 脚本进行连接。我成功创建了 SP,创建了密钥,还创建了一个自签名证书并将其与帐户相关联。我知道如何使用 Connect-AzureAD,但 Connect-MSOLservice 似乎不允许我输入所需的值。

我已经尝试像使用 Connect-AzureAD 一样使用标准连接字符串,但它似乎没有采用相同的输入。

Connect-MsolService -TenantId "xxxx" -ApplicationId "xxxx" -CertificateThumbprint "xxxx"

我希望有人可以向我展示或指出如何使用与服务主体关联的密钥或证书使用 Connect-MSOLservice 命令的方向。

0 投票
1 回答
523 浏览

azure - 有没有办法像使用“Az”模块一样在“AzureAD”powershell 模块中切换身份验证上下文?

我正在编写一个脚本,该脚本涉及在两个不同 Azure 租户中的两个不同用户帐户之间跳转。使用Azpowershell 模块,我可以使用以下方法设置不同的身份验证上下文:

然后在它们之间跳转,无需任何额外的交互式提示,如下所示:

我现在需要在AzureADpowershell 模块中使用 cmdlet 执行类似的操作(在同一脚本中的身份验证上下文之间来回跳转)......有谁知道这可能可以实现?两种身份验证上下文都需要交互式 MFA,这Get-Credential似乎不支持。

谢谢!

0 投票
2 回答
1821 浏览

azure - Remove-AzureADUser 需要哪些 API 权限?

我需要使用 powershell 删除 AAD 来宾用户 - 脚本使用与已注册应用程序对应的证书凭据进行身份验证。注册的应用需要哪些 API 权限?

结果错误:

到目前为止我添加的权限......猜测我的方式:

在此处输入图像描述

0 投票
1 回答
332 浏览

azure - 如何从 B2C 用户记录中读取移动值并将其转换为 strongAuthenticationPhoneNumber?

我需要以编程方式创建 Azure B2C 用户帐户。在一个单独的用户数据存储中,我保存了有关我需要在 B2C 中设置的用户的相关信息,包括他们的手机号码,我们已经与他们进行了通信。

我的业务需求是在用户首次登录/密码重置体验时,将此手机号码作为次要因素。我有一个初始登录体验,它使用外部创建的 JWT 令牌将用户带到自定义用户旅程,他们可以在其中首次设置密码。

我了解目前尚无法通过 Graph API 或 PowerShell 设置 Azure MFA 手机号码。(这仍然是真的吗?)。因此,B2C 要求用户在示例 PhoneFactor-InputOrVerify Technical Profile 中输入他们的手机号码。这是一个安全漏洞,因为您可以在其中输入任何手机号码并验证该号码。

我可以很容易地以编程方式将用户号码添加到其他字段——例如用户记录上的移动字段。

问题 1. 有没有办法读取用户帐户移动值并将其呈现给技术配置文件,就好像它是 strongAuthenticationPhoneNumber 值或 Verified.strongAuthenticationPhoneNumber?

问题 2. 这是一个好主意吗?我想有充分的理由不这样做,但我无法理解它们可能是什么。

我尝试创建新的 ClaimTypes,读取“mobile”字段值,创建 ClaimsTranfromations 以尝试使 mobile 声明看起来是 strongAuthenticationPhoneNumber 声明,并且通常尝试“欺骗”B2C 认为这是存储在MFA 数据存储。

这是 starterpack 中的标准 PhoneFactor-InputOrVerify 技术配置文件:

我可以提供我之前提到的自定义用户旅程的更多代码示例,但我认为这对解决这个问题没有帮助。

0 投票
1 回答
9200 浏览

azure - 如何获取 Azure AD 计算机对象的所有详细信息?

打电话Get-AzureADDevice给我三个属性。如何获取对象的完整属性列表?具体来说,当我使用 GraphApi 时:

如何在 Powershell 中实现相同的目标?

$aadDevices = Get-AzureADDevice -All 1获取对象 ID、DeviceID 和显示名称。因此,操作系统上的过滤子句除外。

我正在寻找的是AzureAD中所有计算机对象的列表,以便我可以进行一些自动化处理。

0 投票
2 回答
2197 浏览

azure-active-directory - Azure AD - 如何以编程方式设置应用程序清单属性(accessTokenAcceptedVersion 到 v2 和 signInAudience)?

有没有办法通过 API 以编程方式将清单属性“accessTokenAcceptedVersion”设置为 2?由于此处解释的问题,这是必需的- 我们的代码需要新的 STS,但失败并显示:

WWW-Authenticate: Bearer error="invalid_token", error_description="观众无效"

由于是旧 sts:“iss”:“ https://sts.windows.net/.../ ”。同样希望设置“signInAudience”属性,以便我们可以让我们的应用程序出现在 B2C 中:

在powershellcliapi中看不到任何内容(另请参阅

如果我捕获门户网络流量,我可以看到 graph.windows.net/myorganization/aplicaitons/{GUID}?api-version=2.0 的 PATCH 设置 JSON 属性:

"accessTokenAcceptedVersion":2,

"signInAudience":"AzureADandPersonalMicrosoftAccount",

但它也设置了另一个属性——而且似乎没有记录在案的做事方式?

"logo@odata.mediaContentType":"application/json;odata=minimalmetadata"

和 signinaudience 更改集:

“支持收敛”:真,

0 投票
1 回答
113 浏览

azure-active-directory - 向托管标识授予 O365 管理 API 权限

我正在尝试使用 Azure 函数通过 O365 管理 API 收集 O365 活动日志。我想使用函数托管标识执行此操作,但我目前无法找到一种方法将委派的 API 权限“为您的组织读取活动数据”授予我的托管标识。(不使用门户或powershell)

这可以通过使用托管身份来完成,还是我应该回退到使用存储了 oauth 凭据的常规 appreg

0 投票
0 回答
70 浏览

powershell - 流水线 Powershell cmdlet 显示部分结果?

我正在编写一些执行 PowerShell 脚本的 C# 程序。

我有以下行

基本上它会找到所有邮箱权限并检索相应ExternalDirectoryObjectId的(与 Azure ObjectID 相同)

这里的问题是返回的结果与不同的机器不同。我将获得所有身份、用户值,但对于上面以粗体显示的表达式值,只会在执行的中途开始显示。

例如在计算机 x 上

我注意到在快速计算机上 objectID 开始出现较晚,在较慢计算机上它开始较早出现,但是执行时间不同。

如何修改它以便为所有条目检索 objectGuid?为什么流水线不等到objectID正确检索计算的属性?

如果我编写一个简短的 PowerShell 脚本并为每个 mbox 权限使用 for 循环并一一检索它们,则所有这些 objectGuid 都是可检索的。但它很慢。

感谢您的帮助,请给我任何建议!