Es gibt verschiedene Methoden zum Herstellen einer Verbindung mit Microsoft Graph PowerShell, um Ihren Microsoft 365- und Azure-Mandanten zu verwalten. Welche der Methoden zu Ihnen passt, hängt von Ihren Wünschen ab. Ein gutes Beispiel ist die Verbindung mit Microsoft Graph PowerShell, um Microsoft Graph PowerShell-Skripts ohne Benutzerinteraktion zu automatisieren. In diesem Artikel erfahren Sie, wie Sie mit drei verschiedenen Methoden eine Verbindung zu Microsoft Graph PowerShell herstellen.
Voraussetzungen
Sie müssen die Microsoft Graph PowerShell-Module auf Ihrem System installieren.
Starten Sie Windows PowerShell als Administrator und führen Sie den folgenden Befehl aus.
Install-Module Microsoft.Graph -ForceWichtig:Aktualisieren Sie immer auf die neueste Version des Microsoft Graph PowerShell-Moduls, bevor Sie ein Cmdlet oder Skript ausführen, um Fehler und falsche Ergebnisse zu vermeiden.
Methode 1 – So stellen Sie mit Benutzerinteraktion eine Verbindung zu Microsoft Graph her
Die erste Methode ist die Methode, die Sie am häufigsten verwenden werden, da Sie mit Ihrem Konto eine Verbindung zu Microsoft Graph herstellen und die Befehle verwenden möchten.
Connect-MgGraph -Scopes "User.Read.All"Überprüfen Sie Ihre Anmeldeinformationen und Sie kehren zum PowerShell-Fenster zurück.
Methode 2 – Herstellen einer Verbindung zu Microsoft Graph mit zertifikatbasierter Authentifizierung (CBA).
Die zweite Methode besteht darin, eine Anwendung in Azure mit den Berechtigungen zu registrieren. Gehen wir die folgenden Schritte durch und richten Sie die zertifikatbasierte Authentifizierung von Microsoft Graph für unbeaufsichtigte Skripts ein.
1. Registrieren Sie die Anwendung in Azure
Um eine Anwendung in Microsoft Entra ID zu registrieren, führen Sie die folgenden Schritte aus:
- Melden Sie sich anMicrosoft Entra Admin Center
- ExpandierenAzure Active Directory
- Klicken Sie aufAnwendungen > App-Registrierungen
- WählenNeuanmeldung
- Geben Sie den Namen einMSGraph-Automatisierung
- WählenKonten in jedem Organisationsverzeichnis (jedes Azure AD-Verzeichnis – Multitenant) und persönliche Microsoft-Konten
- KlickenRegistrieren
- Die MSGraph-Automation-AnwendungÜberblickerscheint
- Kopieren Sie dieBewerbung (Kunden-ID)UndVerzeichnis-(Mandanten-)IDund fügen Sie es in Notepad ein, da Sie es später benötigen, wenn Sie eine Verbindung zu Microsoft Graph herstellen
2. Konfigurieren Sie die API-Berechtigungen für Azure-Anwendungen
Sie müssen der von Ihnen erstellten MSGraph-Automation-Anwendung API-Berechtigungen hinzufügen, indem Sie die folgenden Schritte ausführen:
- Klicken Sie aufAPI-Berechtigungen > Berechtigung hinzufügen
- WählenMicrosoft-APIs > Microsoft Graph
- WählenAnwendungsberechtigungen
- Suchen nachuser.read.all
- ExpandierenBenutzerund auswählenBenutzer.Alles lesen
- KlickenBerechtigungen hinzufügen
- Klicken Sie aufErteilen Sie die Zustimmung des Administrators
- KlickenJa
- Der Status zeigt agrünes Häkchen
Nachdem die Anwendung nun registriert und die API-Berechtigungen festgelegt sind, können wir zwei Methoden zur Authentifizierung konfigurieren; Zertifikat oder Client-Geheimnis.
3. Generieren Sie ein selbstsigniertes Zertifikat
Um ein selbstsigniertes Zertifikat zu generieren, melden Sie sich mit Windows PowerShell bei einem beliebigen Windows-Server oder Desktop an. Am besten generieren Sie das Zertifikat auf dem Computer, auf dem Sie das unbeaufsichtigte PowerShell-Skript ausführen möchten.
Sie benötigen das selbstsignierte Zertifikat später in den Schritten, wenn Sie es in die Anwendung in Azure hochladen und wenn Sie das Zertifikat auf anderen Systemen verwenden möchten.
Notiz:Selbstsignierte Zertifikate sind standardmäßig ein Jahr gültig.
In diesem Fall haben wir das selbstsignierte Zertifikat um 5 Jahre verlängert, sodass wir es nicht jährlich erneuern müssen.
$mycert = New-SelfSignedCertificate -DnsName "exoip.com" -CertStoreLocation "cert:LocalMachineMy" -NotAfter (Get-Date).AddYears(5) -KeySpec KeyExchange -FriendlyName "MSGraph Automation"Bestätigen Sie das Zertifikat und kopieren Sie esDaumenabdruckund fügen Sie es in Notepad ein. Sie benötigen es später, wenn Sie eine Verbindung zu Microsoft Graph herstellen.
$mycert | Select-Object -Property Subject,Thumbprint,NotBefore,NotAfterSo sieht die Ausgabe aus.
Subject Thumbprint NotBefore NotAfter
------- ---------- --------- --------
CN=exoip.com 384010504F6B495B6D53B1C55DC6C1A7273081AC 7/7/2023 6:14:36 PM 7/7/2028 6:24:36 PMZertifikat exportieren nach.cer-Datei.
Das wirst du brauchen.cer-Dateiwenn Sie es in die Azure-Anwendung hochladen, die Sie in den nächsten Schritten erstellen werden.
$mycert | Export-Certificate -FilePath "C:tempMSGraphAutomationCert.cer"Die Ausgabe erscheint.
Directory: C:temp
Mode LastWriteTime Length Name
---- ------------- ------ ----
-a---- 7/7/2023 6:25 PM 796 MSGraphAutomationCert.cerZertifikat exportieren nach.pfx-Datei.
Das wirst du brauchen.pfx-Dateiwenn Sie einen anderen Computer verwenden, um eine Verbindung mit zertifikatbasierter Authentifizierung herzustellen. Kopieren oder senden Sie die.pfx-Dateiund installieren Sie es auf anderen Maschinen.
$mycert | Export-PfxCertificate -FilePath "C:tempMSGraphAutomationCert.pfx" -Password $(ConvertTo-SecureString -String "P@ssw0Rd1234" -AsPlainText -Force)Die Ausgabe erscheint.
Directory: C:temp
Mode LastWriteTime Length Name
---- ------------- ------ ----
-a---- 7/7/2023 6:26 PM 2717 MSGraphAutomationCert.pfx4. Zertifikat zur Bewerbung hochladen
Sie müssen das selbstsignierte Zertifikat hochladen, das Sie im vorherigen Schritt erstellt haben:
- Klicken Sie aufZertifikate & Geheimnisse
- KlickenZertifikate > Zertifikat hochladen
- Klicken Sie aufDurchsuchen-Symbolund wählen Sie das selbstsignierte ausMSGraphAutomationCert.cer-DateiInC:Temp
- Fügen Sie die Beschreibung hinzuMS Graph-Automatisierungszertifikat
- KlickenHinzufügen
- Das Zertifikat erscheint in der Liste
Notiz:Vergewissern Sie sich, dass es denselben Zertifikatfingerabdruck hat wie das, das Sie im vorherigen Schritt exportiert haben.
5. Stellen Sie eine Verbindung zu Microsoft Graph mit zertifikatbasierter Authentifizierung her
Starten Sie Windows PowerShell ISE oder Visual Studio Code und füllen Sie die folgenden drei Variablen aus, um eine Verbindung zu Microsoft Graph PowerShell mit zertifikatbasierter Authentifizierung herzustellen:
- $ClientId
- $TenantId
- $CertificateThumbPrint
# Configuration
$ClientId = "0a613e88-a189-4eac-b8c3-055196fd04d6"
$TenantId = "eb403171-a4ec-4d98-a08f-1876318c9deb"
$CertificateThumbprint = "384010504F6B495B6D53B1C55DC6C1A7273081AC"
# Connect to Microsoft Graph with CBA
Connect-MgGraph -ClientId $ClientId -TenantId $TenantId -CertificateThumbprint $CertificateThumbprintNachdem Sie nun mit Microsoft Graph PowerShell verbunden sind, führen Sie das Cmdlet Get-MgUser aus, um die Benutzer abzurufen.
Get-MgUserMethode 3 – So stellen Sie mit Client Secret eine Verbindung zu Microsoft Graph her
Die dritte Methode besteht darin, eine Anwendung in Azure mit den Berechtigungen zu registrieren. Gehen wir die folgenden Schritte durch und richten Sie das Microsoft Graph-Client-Geheimnis für unbeaufsichtigte Skripts ein.
1. Registrieren Sie eine Anwendung in Azure
Führen Sie den obigen Schritt aus, um eine Anwendung in Azure zu registrieren, falls Sie dies nicht getan haben.
2. Konfigurieren Sie die API-Berechtigungen für Azure-Anwendungen
Führen Sie den obigen Schritt durch, um die API-Berechtigungen für Azure-Anwendungen zu konfigurieren, falls Sie dies nicht getan haben.
3. Fügen Sie ein Client-Geheimnis hinzu
Sie müssen ein Client-Geheimnis hinzufügen, mit dem die Anwendung beim Anfordern eines Tokens ihre Identität nachweist.
- Klicken Sie aufZertifikate & Geheimnisse
- KlickenClient-Geheimnisse > Neues Client-Geheimnis
- Geben Sie ihm die BeschreibungGeheimnis der MS Graph-Automatisierung
- Wählen Sie das Ablaufdatum aus730 Tage (24 Monate)
- KlickenHinzufügen
- Kopieren Sie dieWert des Client-Geheimnissesund fügen Sie es in Notepad ein, da Sie es im nächsten Schritt benötigen, wenn Sie eine Verbindung zu Microsoft Graph herstellen
4. Stellen Sie mit Client Secret eine Verbindung zu Microsoft Graph her
Starten Sie Windows PowerShell ISE oder Visual Studio Code und füllen Sie die folgenden drei Variablen aus, um eine Verbindung zu Microsoft Graph PowerShell mit Client Secret herzustellen:
- $ClientId
- $TenantId
- $ClientSecret
# Configuration
$ClientId = "0a613e88-a189-4eac-b8c3-055196fd04d6"
$TenantId = "eb403171-a4ec-4d98-a08f-1876318c9deb"
$ClientSecret = "Kos8Q~nVLcjmmyGSY68qDg4zbdF8f51L2EM50ac5"
# Convert the client secret to a secure string
$ClientSecretPass = ConvertTo-SecureString -String $ClientSecret -AsPlainText -Force
# Create a credential object using the client ID and secure string
$ClientSecretCredential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $ClientId, $ClientSecretPass
# Connect to Microsoft Graph with Client Secret
Connect-MgGraph -TenantId $tenantId -ClientSecretCredential $ClientSecretCredentialNachdem Sie nun mit Microsoft Graph PowerShell verbunden sind, führen Sie Folgendes ausGet-MgUserCmdlet zum Abrufen der Benutzer.
Lesen Sie auch:So beheben Sie den Fehler „Microsoft Entra Connect Sync gestoppt – Server heruntergefahren“.
Get-MgUserDas ist es!
Abschluss
Sie haben gelernt, wie Sie mit drei Methoden eine Verbindung zu Microsoft Graph PowerShell herstellen. Gehen Sie die Schritt-für-Schritt-Anleitung durch und Sie können sich bei Microsoft Graph PowerShell mit Benutzerinteraktion (Methode 1) oder ohne Benutzerinteraktion für unbeaufsichtigte Skripte (Methode 2/3) authentifizieren. Mit all diesen Methoden lässt sich hervorragend arbeiten.
Hat Ihnen dieser Artikel gefallen? Möglicherweise gefällt Ihnen auch „Microsoft Entra ID-Benutzer aus CSV mit PowerShell erstellen“. Vergessen Sie nicht, uns zu folgen und diesen Artikel zu teilen.
