Gérer Windows Azure Active Directory à l'aide de Windows PowerShell

Xavier Mustin

Administrator
Staff member
#1
En tant qu'administrateur, vous pouvez utiliser les applets de commande du module Windows Azure Active Directory pour Windows PowerShell pour exécuter de nombreuses tâches administratives Windows Azure AD basées sur les clients, comme la gestion des utilisateurs, la gestion des domaines et la configuration de l'authentification unique. Cette rubrique contient des informations sur la procédure à suivre pour installer ces applets de commande à utiliser avec votre client.

Contenu

  • Installer les logiciels requis

  • Se connecter à Windows Azure AD à l'aide de Windows PowerShell

  • Gérer les utilisateurs

  • Gérer l’appartenance aux groupes et aux rôles

  • Gérer les entités de service

  • Gérer les domaines

  • Gérer l’authentification unique

  • Gérer les abonnements et les licences

  • Gérer les informations sur la société et les services

  • En savoir plus sur Windows PowerShell

  • Ressources supplémentaires
Installer les logiciels requis

Les éléments suivants sont requis pour exécuter le Module Windows Azure Active Directory ou le rôle serveur Services ADFS (Active Directory Federation Services) dans Windows Server® 2012 :
  • Système d’exploitation : Utilisez Windows 7, Windows 8, Windows Server 2008 R2 ou Windows Server 2012.

  • Microsoft .NET Framework : Vous devez installer le composant Microsoft .NET Framework 3.51.

  • Installez les mises à jour : Assurez-vous que vous avez installé toutes les mises à jour requises par les services cloud de Microsoft auxquels vous êtes abonné. Par exemple, certaines fonctionnalités de service cloud risquent de ne pas fonctionner correctement sans les versions appropriées des systèmes d'exploitation, navigateurs Web et logiciels.

  • Installez l’Assistant de connexion Microsoft Online Services : vous devez installer la version de l'Assistant de connexion Microsoft Online Services appropriée à votre système d'exploitation à partir du Centre de téléchargement Microsoft. Assistant de connexion Microsoft Online Services pour les professionnels de l'informatique RTW.

  • Installez le module Windows Azure AD pour Windows PowerShell : vous devez installer la version du module Windows Azure AD pour Windows PowerShell appropriée à votre système d'exploitation à partir du Centre de téléchargement Microsoft :
    • Module Windows Azure Active Directory pour Windows PowerShell (version 32 bits)

    • Module Windows Azure Active Directory pour Windows PowerShell (version 64 bits)
Important

Windows PowerShell 2.0 et authentification unique : si vous envisagez d'utiliser les applets de commande pour configurer l'authentification unique, vous devez activez le composant Windows PowerShell 2.0 et disposer de privilèges d'administrateur sur le serveur AD FS 2.0. Nous vous recommandons, lors de l’exécution de ces applets de commande, d’accéder au serveur AD FS 2.0 à distance ; pour ce faire, vous devez recourir au service d’accès à distance de Windows PowerShell. Pour plus d’informations, voir about_Remote_Requirements.


Retour au Contenu
Se connecter à Windows Azure AD à l'aide de Windows PowerShell

Cliquez sur le raccourci Module Windows Azure Active Directory pour Windows PowerShell pour ouvrir un espace de travail Windows PowerShell contenant les applets de commande. Vous pouvez également charger les applets de commande manuellement en tapant import-module MSOnline à l’invite de commandes Windows PowerShell.
Avant d'exécuter les applets de commande décrites dans cet article, vous devez vous connecter à votre service en ligne. Pour ce faire, exécutez l'applet de commande connect-msolservice à l'invite de commandes Windows PowerShell. Vous êtes ensuite invité à entrer vos informations d'identification. Si vous le souhaitez, vous pouvez fournir vos informations d'identification à l'avance, par exemple :


$msolcred = get-credential
connect-msolservice -credential $msolcred

La première commande vous invite à entrer des informations d'identification et les enregistre en tant que $msolcred. La commande suivante utilise ces informations d'identification en tant que $msolcred pour se connecter au service.
Pour plus d'informations sur les applets de commande Module Windows Azure Active Directory pour Windows PowerShell, vous pouvez procéder comme suit :
  • Pour créer un dossier d'aide, dresser la liste des applets de commande, puis ouvrir le fichier dans le Bloc-notes, vous pouvez exécuter les commandes suivantes à l'invite de commandes Windows PowerShell :



    new-item c:\MSOLHelp -type directory
    get-command | Where-Object {$_.name -like "*msol*"} | format-list | Out-File c:\MSOLHelp\msolcmdlets.txt
    notepad c:\MSOLHelp\msolcmdlets.txt

  • Pour consulter les exemples d'une applet de commande, exécutez la commande suivante à l'invite de commandes Windows PowerShell : get-help <cmdlet-name> -examples

  • Pour afficher le nom, le résumé, la description, les descriptions des paramètres et tous les exemples fournis pour une applet de commande, exécutez la commande suivante à l'invite de commandes Windows PowerShell :get-help <cmdlet-name> -detailed

  • Pour afficher le nom, le résumé, la description, les paramètres détaillés et tous les exemples fournis pour une applet de commande, exécutez la commande suivante à l'invite de commandes Windows PowerShell : get-help <cmdlet-name> -full
Retour au Contenu
Gérer les utilisateurs

Utilisez les cmdlets suivantes pour effectuer diverses tâches liées à la gestion des utilisateurs, des mots de passe et des UPN.


Applet de commande Windows PowerShellDescription

Convert-MsolFederatedUser

L’applet de commande Convert-MsolFederatedUser est utilisée pour mettre à jour un utilisateur dans un domaine récemment converti du type d’authentification unique (également appelé fédération des identités) en type d’authentification standard. Un nouveau mot de passe doit être fourni à l’utilisateur.


Get-MsolUser

L’applet de commande Get-MsolUser peut servir à extraire un utilisateur individuel ou une liste d’utilisateurs. Un utilisateur individuel est extrait si le paramètre ObjectId ou UserPrincipalName est utilisé.


New-MsolUser

La cmdlet New-MsolUser permet de créer un utilisateur dans Windows Azure AD. Afin d’octroyer à l’utilisateur l’accès aux services, il doit également recevoir une licence (à l’aide du paramètre LicenseAssignment).


Remove-MsolUser

La cmdlet Remove-MsolUser permet de supprimer un utilisateur d’Windows Azure AD. Cette cmdlet permet de supprimer l’utilisateur, ses licences et toutes les autres données associées.


Restore-MsolUser

Cette applet de commande permet de restaurer l'état d'origine d'un utilisateur qui apparaît dans la liste des utilisateurs supprimés. Les utilisateurs demeurent dans cette liste pendant 30 jours.


Set-MsolUser

L’applet de commande Set-MsolUser est utilisée pour mettre à jour un objet utilisateur. Notez que cette cmdlet doit être utilisée pour les propriétés de base uniquement. Vous pouvez mettre à jour les licences, le mot de passe et le nom d’utilisateur principal d’un utilisateur via les cmdlets Set-MsolUserLicense, Set-MsolUserPassword et Set-MsolUserPrincipalName, respectivement.


Set-MsolUserPassword

L’applet de commande Set-MsolUserPassword est utilisée pour modifier le mot de passe d’un utilisateur. Cette cmdlet peut uniquement être utilisée pour les utilisateurs ayant une identité standard.


Set-MsolUserPrincipalName

La cmdlet Set-MsolUserPrincipalName permet de modifier le nom d’utilisateur principal () d’un utilisateur. Elle peut être utilisée pour déplacer un utilisateur entre un domaine fédéré et un domaine standard, ce qui entraîne le remplacement de son type d’authentification par celui du domaine cible.

Retour au Contenu
Gérer l’appartenance aux groupes et aux rôles

Utilisez les cmdlets suivantes pour effectuer diverses tâches liées à l’appartenance aux groupes et aux rôles, notamment ajouter un utilisateur à un groupe ou rôle, créer des groupes et supprimer des groupes.


Applet de commande Windows PowerShellDescription

Add-MsolGroupMember

L’applet de commande Add-MsolGroupMember est utilisée pour ajouter des membres à un groupe de sécurité. Les nouveaux membres peuvent être aussi bien des utilisateurs que d’autres groupes de sécurité.


Get-MsolGroup

La cmdlet Get-MsolGroup permet d’extraire des groupes d’Windows Azure AD. Vous pouvez l’utiliser pour obtenir un seul groupe (si ObjectId est transmis) ou faire une recherche dans tous les groupes.


Get-MsolGroupMember

L’applet de commande Get-MsolGroupMember est utilisée pour extraire les membres du groupe spécifié. Les membres peuvent être aussi bien des utilisateurs que des groupes.


New-MsolGroup

La cmdlet New-MsolGroup permet d’ajouter des membres à un groupe de sécurité dans Windows Azure AD.


Remove-MsolGroup

La cmdlet Remove-MsolGroup permet de supprimer un groupe d’Windows Azure AD.


Remove-MsolGroupMember

L’applet de commande Remove-MsolGroupMember est utilisée pour supprimer un membre d’un groupe de sécurité. Ce membre peut aussi bien être un utilisateur qu’un groupe de sécurité.


Set-MsolGroup

L’applet de commande Set-MsolGroup est utilisée pour mettre à jour les propriétés d’un groupe de sécurité.


Add-MsolRoleMember

L’applet de commande Add-MsolRoleMember est utilisée pour ajouter un membre à un rôle. Actuellement, seuls les utilisateurs peuvent être ajoutés à un rôle (l’ajout d’un groupe de sécurité n’est pas pris en charge).


Get-MsolRole

L’applet de commande Get-MsolRole peut être utilisée pour extraire la liste des rôles d’administrateur.


Get-MsolUserRole

L’applet de commande Get-MsolUserRole est utilisée pour extraire tous les rôles d’administrateur auxquels l’utilisateur spécifié appartient. Cette cmdlet va également renvoyer les rôles auxquels l’utilisateur appartient via un groupe de sécurité.


Get-MsolRoleMember

L’applet de commande Get-MsolRoleMember est utilisée pour extraire tous les membres du rôle spécifié.


Remove-MsolRoleMember

L’applet de commande Remove-MsolRoleMember est utilisée pour supprimer un utilisateur d’un rôle d’administrateur.

Retour au Contenu
Gérer les entités de service

Les cmdlets suivantes permettent d’effectuer diverses tâches liées aux entités de service.


Applet de commande Windows PowerShellDescription

Set-MsolServicePrincipal

La cmdlet Set-MsolServicePrincipal met à jour une entité de service dans Windows Azure AD. Elle peut servir à mettre à jour le nom d’affichage et à activer/désactiver l’entité de service approuvée en vue de sa délégation, les noms principaux de service (SPN) ou les adresses.


New-MsolServicePrincipal

La nouvelle cmdlet New-MsolServicePrincipal crée une entité de service que vous pouvez utiliser pour représenter une application métier ou un serveur local, tel que Microsoft Exchange, SharePoint ou Lync dans Windows Azure AD sous la forme d’objets d’identité de service. L’ajout d’une nouvelle application en tant qu’entité de service permet à cette application de s’authentifier auprès d’autres services, tels que Microsoft Office 365.


Get-MsolServicePrincipal

La cmdlet Get-MsolServicePrincipal permet d’extraire une entité de service ou une liste des entités de service depuis Windows Azure AD.


Remove-MsolServicePrincipal

La cmdlet Remove-MsolServicePrincipal supprime une entité de service d’Windows Azure AD.


New-MsolServicePrincipalAddress

La cmdlet New-MsolServicePrincipalAddress crée un nouvel objet d’adresse d’entité de service que vous pouvez utiliser pour mettre à jour les adresses d’une entité de service.


Get-MsolServicePrincipalCredential

La cmdlet Get-MsolServicePrincipalCredential permet d’extraire une liste d’informations d’identification associées à une entité de service.


New-MsolServicePrincipalCredential

La cmdlet New-MsolServicePrincipalCredential permet d’ajouter de nouvelles informations d’identification à une entité de service, ou d’ajouter ou de restaurer des clés d’informations d’identification pour une application. L’entité de service est identifiée en fournissant l’ID d’objet, l’ID de l’application ou le nom principal de service (SPN).


Remove-MsolServicePrincipalCredential

La cmdlet Remove-MsolServicePrincipalCredential permet de supprimer une clé d’informations d’identification d’une entité de service dans le cas d’un compromis ou suite à l’expiration de la restauration de cette clé. L’entité de service est identifiée en fournissant l’ID d’objet, l’ID de l’application ou le nom principal de service (SPN). Les informations d’identification à supprimer sont identifiées par leur ID de clé.

Retour au Contenu
Gérer les domaines

Utilisez les cmdlets suivantes pour effectuer diverses tâches de gestion des domaines, notamment créer ou supprimer un domaine.


Applet de commande Windows PowerShellDescription

Confirm-MsolDomain

La cmdlet Confirm-MsolDomain permet de confirmer la propriété d’un domaine. Pour vérifier la propriété d’un domaine, un enregistrement TXT DNS personnalisé doit être ajouté pour le domaine. Il est nécessaire au préalable d’ajouter le domaine à l’aide de la cmdlet Add-MsolDomain, puis d’appeler la cmdlet Get-MsolDomainVerificationDNS afin d’extraire les détails de l’enregistrement DNS à définir. Notez qu’un délai d’attente peut se produire (entre 15 et 60 minutes) entre le moment où la mise à jour du DNS est effectuée et le moment où la cmdlet est en mesure de confirmer la propriété d’un domaine.


Get-MsolDomain

L’applet de commande Get-MsolDomain est utilisée pour extraire des domaines d’entreprise.


Get-MsolDomainVerificationDns

L’applet de commande Get-MsolDomainVerificationDns est utilisée pour renvoyer les enregistrements DNS à définir afin de vérifier un domaine.


New-MsolDomainNew-MsolDomain

L’applet de commande New-MsolDomain est utilisée pour créer un objet domaine. Cette cmdlet peut être utilisée pour créer un domaine avec des identités gérées ou fédérées, bien qu’il soit préférable d’utiliser l’applet de commande New-MsolFederatedDomain pour les domaines fédérés afin de garantir une configuration correcte.


Remove-MsolDomain

La cmdlet Remove-MsolGroup permet de supprimer un domaine d’Windows Azure AD. Le domaine à supprimer doit être vide : autrement dit, il ne doit pas contenir des utilisateurs ou des groupes ayant une adresse de messagerie.


Set-MsolDomain

L’applet de commande Set-MsolDomain est utilisée pour mettre à jour les paramètres d’un domaine. L’utilisation de cette cmdlet permet de modifier le domaine par défaut ou les fonctionnalités (messagerie électronique, Sharepoint, OfficeCommunicationsOnline).


Set-MsolDomainAuthentication

L’applet de commande Set-MsolDomainAuthentication est utilisée pour permuter l’authentification de domaine entre l’identité standard et l’authentification unique. Cette cmdlet met uniquement à jour les paramètres dans Windows Azure AD. En règle générale, il convient d’utiliser plutôt les cmdlets Convert-MsolDomainToStandard ou Convert-MsolDomainToFederated.

Retour au Contenu
Gérer l’authentification unique

Utilisez les cmdlets suivantes pour effectuer des tâches liées à l’authentification unique, comme l’ajout d’un nouveau domaine d’authentification unique (également appelé domaine fédéré par identité) à Windows Azure AD.


Applet de commande Windows PowerShellDescription

New-MsolFederatedDomain

La cmdlet New-MsolFederatedDomain permet d’ajouter un nouveau domaine à authentification unique (également appelé domaine fédéré par identité) à Windows Azure AD et de configurer les paramètres de l’approbation de partie de confiance entre le serveur Active Directory Federation Services 2.0 local et Windows Azure AD. Étant donné les exigences de la vérification de domaine, vous devrez peut-être exécuter l’applet de commande plusieurs fois pour effectuer la procédure d’ajout d’un nouveau domaine d’authentification unique.


Convert-MsolDomainToStandard

L’applet de commande Convert-MsolDomainToStandard permet de convertir le domaine à authentification unique (également appelée fédération des identités) en domaine à authentification standard. Ce processus permet également de supprimer les paramètres d’approbation de la partie de confiance du serveur Active Directory Federation Services 2.0 et d’Windows Azure AD. Après la conversion, cette cmdlet fait passer tous les utilisateurs existants de l’authentification unique à l’authentification standard. Tout utilisateur existant configuré pour l’authentification unique reçoit un nouveau mot de passe temporaire dans le cadre du processus de conversion. Tous les noms d’utilisateur convertis et tous les mots de passe temporaires sont enregistrés dans un fichier à des fins de référence pour l’administrateur. L’administrateur peut alors distribuer les nouveaux mots de passe temporaires aux utilisateurs convertis afin de leur permettre de se connecter au service cloud.


Convert-MsolDomainToFederated

La cmdlet Convert-MsolDomainToFederated permet de convertir le domaine à authentification standard en domaine à authentification unique (également appelée fédération des identités) et de configurer les paramètres d’approbation de la partie de confiance entre le serveur Active Directory Federation Services 2.0 et Windows Azure AD. Dans le cadre de la conversion d’un domaine à authentification standard en domaine à authentification unique, chaque utilisateur doit également être converti. Cette conversion se produit automatiquement à la prochaine connexion de l’utilisateur ; aucune action n’est requise par l’administrateur.


Get-MsolFederationProperty

La cmdlet Get-MsolFederationProperty obtient des paramètres clés auprès du serveur Active Directory Federation Services 2.0 et d’Windows Azure AD. Vous pouvez utiliser ces informations pour résoudre les problèmes d’authentification dus à des paramètres incohérents entre le serveur Active Directory Federation Services 2.0 et Windows Azure AD.


Get-MsolDomainFederationSettings

La cmdlet Get-MsolDomainFederationSettings obtient des paramètres clés auprès d’Windows Azure AD. Utilisez la cmdlet Get-MsolFederationProperty pour obtenir des paramètres pour Windows Azure AD et pour le serveur Active Directory Federation Services.


Remove-MsolFederatedDomain

La cmdlet Remove-MsolFederatedDomain permet de supprimer le domaine à authentification unique spécifié d’Windows Azure AD et les paramètres d’approbation de partie de confiance associés dans Active Directory Federation Services 2.0. Remarque : si le domaine spécifié possède des objets associés, vous ne pourrez pas supprimer le domaine.


Set-MsolDomainFederationSettings

L’applet de commande Set-MsolDomainFederationSettings est utilisée pour mettre à jour les paramètres d’un domaine à authentification unique.


Set-MsolADFSContext

La cmdlet Set-MsolADFSContext définit les informations d’identification permettant de se connecter à Windows Azure AD et au serveur Active Directory Federation Services 2.0 (AD FS 2.0). Cette applet de commande doit être exécutée avant d’appeler d’autres applets de commande d’authentification unique (également appelée fédération des identités). Si cette applet de commande est appelée sans paramètres, l’utilisateur est invité à indiquer des informations d’identification pour se connecter aux différents systèmes. Lorsque le serveur AD FS 2.0 est utilisé à distance, l’utilisateur doit spécifier le nom d’ordinateur du serveur AD FS 2.0 principal. Notez que le fichier journal spécifié est partagé par toutes les applet de commande d’authentification unique pendant la session. Un fichier journal par défaut est créé si aucun n’est spécifié.


Update-MsolFederatedDomain

La cmdlet Update-MsolFederatedDomain permet de modifier des paramètres à la fois sur le serveur Active Directory Federation Services 2.0 et dans Windows Azure AD. Il est nécessaire d’exécuter cette cmdlet chaque fois que les URL ou informations de certificat changent dans Active Directory Federation Services 2.0 en raison de modifications apportées à la configuration ou de la maintenance d’usage des certificats, notamment lorsqu’un certificat est sur le point d’expirer. Cette cmdlet doit également être exécutée lorsque des modifications ont lieu dans Windows Azure AD. Pour confirmer que les informations sont correctes dans les deux systèmes, l’applet de commande Get-MsolFederationProperty peut être utilisée pour extraire les paramètres.

Retour au Contenu
Gérer les abonnements et les licences

Utilisez les cmdlets suivantes pour gérer les abonnements, les comptes et les licences.


Applet de commande Windows PowerShellDescription

Get-MsolSubscription

L’applet de commande Get-MsolSubscription renvoie tous les abonnements achetés par l’entreprise. Pour affecter des licences aux utilisateurs, il est préférable d’utiliser l’API Get-MsolAccountSku.


Get-MsolAccountSku

L’API Get-MsolAccountSku renvoie toutes les références (SKU) que l’entreprise possède.


New-MsolLicenseOptions

L’applet de commande New-MsolLicenseOptions permet de créer un objet Options de licence. Cette cmdlet permet de désactiver des plans de services spécifiques lors de l’affectation d’une licence à un utilisateur à l’aide des cmdlets Add-MsolUser et Set-MsolUserLicense.


Set-MsolUserLicense

La cmdlet Set-MsolUserLicense peut servir à gérer les licences d’un utilisateur. Les tâches de gestion possibles sont les suivantes : ajout d’une nouvelle licence, retrait d’une licence et mise à jour des options de licence.

Retour au Contenu
Gérer les informations sur la société et les services

Utilisez les cmdlets suivantes pour effectuer des tâches liées à la gestion des informations de votre entreprise et à la connexion à un service cloud Microsoft. Il existe également des cmdlets pour les tâches effectuées par les entreprises partenaires.


Applet de commande Windows PowerShellDescription

Connect-MsolService

La cmdlet Connect-MsolService permet d’effectuer une tentative de connexion à Windows Azure AD. L’appelant doit soit fournir ses informations d’identification (un objet PSCredential), soit utiliser l’option UseCurrentCredential si l’utilisateur connecté actuel est fédéré avec Windows Azure AD. Cette cmdlet peut renvoyer un avertissement ou une erreur si la version du module utilisé est obsolète.


Set-MsolDirSyncEnabled

L’applet de commande Set-MsolDirSyncEnabled est utilisée pour activer ou désactiver la synchronisation d’annuaires pour une entreprise.


Get-MsolPartnerContract

L’applet de commande Get-MsolPartnerContract doit uniquement être utilisée par les partenaires, car elle sert à extraire la liste des contrats d’un partenaire. L’entrée de cette cmdlet doit être un domaine à rechercher, lequel doit être vérifié par le locataire. Si l’entreprise existe et que le partenaire y a accès, alors le contrat correspondant est renvoyé.


Get-MsolPartnerInformation

L’applet de commande Get-MsolPartnerInformation permet d’extraire des informations spécifiques au partenaire. Cette applet de commande doit être utilisée pour les locataires du partenaire.


Set-MsolPartnerInformation

L’applet de commande Set-MsolPartnerInformation est utilisée par les partenaires pour définir des propriétés qui leur sont propres. Ces propriétés pourront être affichées par tous les locataires auxquels le partenaire a accès.


Get-MsolContact

L’applet de commande Get-MsolContact peut être utilisée pour extraire un objet contact ou une liste de contacts. Un seul contact est extrait en cas d’utilisation du paramètre ObjectId.


Remove-MsolContact

La cmdlet Remove-MsolContact permet de supprimer un contact d’Windows Azure AD.


Get-MsolCompanyInformation

L’applet de commande Get-MsolCompanyInformation permet d’extraire des informations au niveau de l’entreprise.


Set-MsolCompanyContactInformation

La cmdlet Set-MsolCompanyContactInformation permet de définir les préférences de contact au niveau de l’entreprise. Ces préférences incluent notamment les adresses de messagerie pour les notifications administratives (facturation), commerciales et techniques concernant le service cloud.


Set-MsolCompanySettings

L’applet de commande Set-MsolCompanySettings permet de définir les paramètres de configuration au niveau de l’entreprise.

Retour au Contenu
 
Haut