Commandes Powershell pour Microsoft 365
Microsoft 365 et Microsoft Entra ID (précédemment Azure AD) peuvent être configurés entièrement avec Powershell. Ce document contient de multiples commandes très utiles par rapport à la fédération du domaine et de l’authentification unique (SSO).
Le module Microsoft.Entra - nécessaire pour ces commandes - est installé lors du premier lancement de l'assistant UserLock SSO.
Connexion aux services Microsoft 365
L'administrateur doit disposer des permissions requises dans le paramètre Scopes ci-dessous
Connect-MgGraph -Scopes "Domain.ReadWrite.All User.ReadWrite.All Directory.ReadWrite.All Directory.AccessAsUser.All"
Gestion des domaines
Afficher les paramètres du domaine
Get-MgDomain -DomainId domain.com
Afficher les paramètres de fédération du domaine
Get-MgDomainFederationConfiguration -DomainId domain.com
Fédérer un domaine avec UserLock
-
Obtenez les données du certificat de signature et stockez-les dans une variable Powershell :
$response = Invoke-RestMethod -Uri "https://<userlockssourl>/api/infos/certificate" -Method GET
$certData = $response.currentCertificate.rawCertificate -
Utilisez la commande suivante
New-MgDomainFederationConfiguration -DomainId domain.com -IssuerUri https://<userlockssourl>/domain.com
-PassiveSignInUri https://<userlockssourl>/saml/sso -SignOutUri https://<userlockssourl>/connect/endsession
-SigningCertificate $certData -FederatedIdpMfaBehavior 'acceptIfMfaDoneByFederatedIdp'
-IsSignedAuthenticationRequestRequired -PreferredAuthenticationProtocol saml
Annuler la fédération
Update-MgDomain -DomainId domain.com -AuthenticationType Managed
Gestion des Utilisateurs
Afficher les informations de l’utilisateur
Get-MgUser -UserId user@domain.com -Property "Mail, DisplayName, GivenName, Surname, UserPrincipalName, OnPremisesImmutableId" | select Mail, DisplayName, GivenName, Surname, UserPrincipalName, OnPremisesImmutableId
Synchroniser un utilisateur
Note importante sur la gestion des services de Microsoft Entra Connect
Par défaut, l'application Microsoft Entra Connect gère automatiquement les opérations de synchronisation. Les étapes ci-dessous ne doivent être exécutées que si vous avez besoin d'une intervention manuelle.
Conditions préalables
Avant de procéder, vous devez arrêter temporairement le service de synchronisation de Microsoft Entra Connect :
- Lancez l'application Microsoft Entra Connect
(Dans la plupart des cas, cette action met automatiquement en pause les processus de synchronisation) - Vérifier l'état du service
S'assurer qu'aucun cycle de synchronisation actif n'est en cours avant de procéder aux opérations manuelles.
Créer l'utilisateur dans le domaine par défaut
$immutableId = [convert]::ToBase64String((Get-ADUser -Identity <samAccountName>| Select-Object -ExpandProperty ObjectGUID).ToByteArray())
$PasswordProfile = @{
Password = 'MySuperStrongPassword'
ForceChangePasswordNextSignIn = $false
}
New-MgUser -UserPrincipalName newuser@office365domain.onmicrosoft.com -DisplayName '<Firstname> <Lastname>' -OnPremisesImmutableId $immutableId -PasswordProfile $PasswordProfile -AccountEnabled -MailNickname <Nickname>
Déplacer l'utilisateur dans le domaine fédéré
Update-MgUser -UserId newuser@office365domain.onmicrosoft.com -UserPrincipalName newuser@domain.com
Débloquer un compte (Microsoft Entra Domain Services seulement)
Le déblocage d’un compte n'est pas possible en utilisant Microsoft Entra Domain Services.