Sådan opretter du forbindelse til Microsoft Graph PowerShell

Der er forskellige metoder til at oprette forbindelse til Microsoft Graph PowerShell for at administrere din Microsoft 365- og Azure-lejer. Hvilken af ​​metoderne der passer til dig afhænger af, hvad du ønsker. Et godt eksempel er at oprette forbindelse til Microsoft Graph PowerShell for at automatisere Microsoft Graph PowerShell-scripts uden brugerinteraktion. I denne artikel lærer du, hvordan du opretter forbindelse til Microsoft Graph PowerShell med tre forskellige metoder.

Forudsætninger

Du skal installere Microsoft Graph PowerShell-modulerne på dit system.

Start Windows PowerShell som administrator og kør kommandoen nedenfor.

Install-Module Microsoft.Graph -Force

Vigtig:Opdater altid til den seneste Microsoft Graph PowerShell-modulversion, før du kører en cmdlet eller et script for at forhindre fejl og forkerte resultater.

Metode 1 – Sådan opretter du forbindelse til Microsoft Graph med brugerinteraktion

Den første metode er den metode, du vil bruge det meste af tiden, fordi du vil oprette forbindelse til Microsoft Graph med din konto og bruge kommandoerne.

Connect-MgGraph -Scopes "User.Read.All"

Bekræft med dine legitimationsoplysninger, og du vil vende tilbage til PowerShell-vinduet.

Metode 2 – Sådan opretter du forbindelse til Microsoft Graph med certifikatbaseret godkendelses-CBA

Den anden metode er at registrere en applikation i Azure med tilladelserne. Lad os gennemgå nedenstående trin og konfigurere Microsoft Graph Certificate Based Authentication for uovervågede scripts.

1. Registrer applikation i Azure

Følg disse trin for at registrere en applikation i Microsoft Entra ID:

1. Log ind påMicrosoft Entra administrationscenter
2. UdvideAzure Active Directory
3. Klik påApplikationer > App-registreringer
4. VælgeNy registrering

5. Udfyld navnetMSGraph-Automation
6. VælgeKonti i ethvert organisatorisk bibliotek (Enhver Azure AD-mappe – Multitenant) og personlige Microsoft-konti
7. KlikRegister

8. MSGraph-Automation-applikationenOversigtvises
9. KopierAnsøgning (klient-id)ogDirectory (lejer) IDog indsæt det i Notesblok, fordi du får brug for det senere, når du opretter forbindelse til Microsoft Graph

2. Konfigurer Azure application API-tilladelser

Du skal tilføje API-tilladelser til den MSGraph-Automation-applikation, du har oprettet, ved at følge nedenstående trin:

1. Klik påAPI-tilladelser > Tilføj en tilladelse

2. VælgeMicrosoft API'er > Microsoft Graph

3. VælgeApplikationstilladelser
4. Søg efterbruger.læs.alt
5. UdvideBrugerog vælgBruger.Læs.Alle
6. KlikTilføj tilladelser

7. Klik påGiv administratorsamtykke
8. KlikJa

9. Status viser engrønt flueben

Nu hvor applikationen er registreret og API-tilladelserne er indstillet, kan vi konfigurere to metoder til godkendelse; Certifikat eller klienthemmelighed.

3. Generer selvsigneret certifikat

For at generere et selvsigneret certifikat skal du logge på en hvilken som helst Windows Server eller Desktop med Windows PowerShell. Det er bedst at generere certifikatet på den maskine, du vil køre det uovervågede PowerShell-script.

Du skal bruge det selvsignerede certifikat senere i trinene, når du uploader det til applikationen i Azure, og hvis du vil bruge certifikatet på andre systemer.

Note:Som standard er selvsignerede certifikater gyldige i et år.

I dette tilfælde tilføjede vi 5 år til det selvsignerede certifikat, så vi ikke behøver at forny det årligt.

$mycert = New-SelfSignedCertificate -DnsName "exoip.com" -CertStoreLocation "cert:LocalMachineMy" -NotAfter (Get-Date).AddYears(5) -KeySpec KeyExchange -FriendlyName "MSGraph Automation"

Bekræft certifikatet og kopiérThumbPrintog indsæt det i Notesblok. Du skal bruge det senere, når du opretter forbindelse til Microsoft Graph.

$mycert | Select-Object -Property Subject,Thumbprint,NotBefore,NotAfter

Sådan ser udgangen ud.

Subject      Thumbprint                               NotBefore           NotAfter           
-------      ----------                               ---------           --------           
CN=exoip.com 384010504F6B495B6D53B1C55DC6C1A7273081AC 7/7/2023 6:14:36 PM 7/7/2028 6:24:36 PM

Eksportcertifikat til.cer-fil.

Det får du brug for.cer-filnår du uploader det til Azure-applikationen, som du vil oprette i de næste trin.

$mycert | Export-Certificate -FilePath "C:tempMSGraphAutomationCert.cer"

Udgangen vises.

    Directory: C:temp

Mode                LastWriteTime         Length Name                     
----                -------------         ------ ----                     
-a----         7/7/2023   6:25 PM            796 MSGraphAutomationCert.cer

Eksportcertifikat til.pfx-fil.

Det får du brug for.pfx-filnår du bruger en anden maskine til at forbinde med certifikatbaseret godkendelse. Kopiér eller send.pfx-filog installere det på andre maskiner.

$mycert | Export-PfxCertificate -FilePath "C:tempMSGraphAutomationCert.pfx" -Password $(ConvertTo-SecureString -String "P@ssw0Rd1234" -AsPlainText -Force)

Udgangen vises.

    Directory: C:temp

Mode                LastWriteTime         Length Name                     
----                -------------         ------ ----                     
-a----         7/7/2023   6:26 PM           2717 MSGraphAutomationCert.pfx

4. Upload certifikat til ansøgning

Du skal uploade det selvsignerede certifikat, du oprettede i det forrige trin:

1. Klik påCertifikater og hemmeligheder
2. KlikCertifikater > Upload certifikat
3. Klik påGennemse ikonog vælg den selvsigneredeMSGraphAutomationCert.cer filiC:temp
4. Tilføj beskrivelsenMS Graph Automation Cert
5. KlikTilføje

5. Certifikatet vises på listen

Note:Bekræft, at det har samme certifikat-thumbprint som det, du eksporterede i det forrige trin.

5. Opret forbindelse til Microsoft Graph med certifikatbaseret godkendelse

Start Windows PowerShell ISE eller Visual Studio Code og udfyld nedenstående tre variabler for at oprette forbindelse til Microsoft Graph PowerShell med certifikatbaseret godkendelse:

1. $ClientId
2. $TenantId
3. $CertificateThumbPrint

# Configuration
$ClientId = "0a613e88-a189-4eac-b8c3-055196fd04d6"
$TenantId = "eb403171-a4ec-4d98-a08f-1876318c9deb"
$CertificateThumbprint = "384010504F6B495B6D53B1C55DC6C1A7273081AC"

# Connect to Microsoft Graph with CBA
Connect-MgGraph -ClientId $ClientId -TenantId $TenantId -CertificateThumbprint $CertificateThumbprint

Nu hvor du er forbundet til Microsoft Graph PowerShell, skal du køre Get-MgUser cmdlet'en for at hente brugerne.

Get-MgUser

Metode 3 – Sådan opretter du forbindelse til Microsoft Graph med Client Secret

Den tredje metode er at registrere en applikation i Azure med tilladelserne. Lad os gennemgå trinene nedenfor og konfigurere Microsoft Graph Client Secret til uovervågede scripts.

1. Registrer en applikation i Azure

Gå gennem ovenstående trin for at registrere en applikation i Azure, hvis du ikke gjorde dette.

2. Konfigurer Azure application API-tilladelser

Gå gennem ovenstående trin for at konfigurere Azure Application API-tilladelser, hvis du ikke gjorde dette.

3. Tilføj en klienthemmelighed

Du skal tilføje en klienthemmelighed, som applikationen bruger til at bevise sin identitet, når du anmoder om et token.

1. Klik påCertifikater og hemmeligheder
2. KlikKlienthemmeligheder > Ny klienthemmelighed
3. Giv den beskrivelsenMS Graph Automation Secret
4. Vælg udløbsdatoen730 dage (24 måneder)
5. KlikTilføje

6. KopierKlientens hemmelige værdiog indsæt det i Notesblok, fordi du skal bruge det i næste trin, når du opretter forbindelse til Microsoft Graph

4. Opret forbindelse til Microsoft Graph med Client Secret

Start Windows PowerShell ISE eller Visual Studio Code og udfyld nedenstående tre variabler for at oprette forbindelse til Microsoft Graph PowerShell med Client Secret:

1. $ClientId
2. $TenantId
3. $ClientSecret

# Configuration
$ClientId = "0a613e88-a189-4eac-b8c3-055196fd04d6"
$TenantId = "eb403171-a4ec-4d98-a08f-1876318c9deb"
$ClientSecret = "Kos8Q~nVLcjmmyGSY68qDg4zbdF8f51L2EM50ac5"

# Convert the client secret to a secure string
$ClientSecretPass = ConvertTo-SecureString -String $ClientSecret -AsPlainText -Force

# Create a credential object using the client ID and secure string
$ClientSecretCredential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $ClientId, $ClientSecretPass

# Connect to Microsoft Graph with Client Secret
Connect-MgGraph -TenantId $tenantId -ClientSecretCredential $ClientSecretCredential

Nu hvor du er forbundet til Microsoft Graph PowerShell, skal du køreGet-MgUsercmdlet for at hente brugerne.

Læs også:Sådan rettes Microsoft Entra Connect Sync stoppet-server-down fejl

Get-MgUser

Det er det!

Konklusion

Du lærte, hvordan du opretter forbindelse til Microsoft Graph PowerShell med tre metoder. Gå gennem trin-for-trin guiden, og du kan godkende med Microsoft Graph PowerShell med brugerinteraktion (metode 1) eller uden brugerinteraktion for uovervågede scripts (metode 2/3). Alle disse metoder er fremragende at arbejde med.

Kunne du lide denne artikel? Du kan også lide Opret Microsoft Entra ID-brugere fra CSV med PowerShell. Glem ikke at følge os og dele denne artikel.