UserLock Documentation
UserLock Documentation
Vous êtes ici: Cas d'utilisation > Authentification unique (SSO) > Avancé > Commandes Powershell pour Microsoft 365

Commandes Powershell pour Microsoft 365

Microsoft 365 et Microsoft Entra ID (précédemment Azure AD) peuvent être configurés entièrement avec Powershell. Ce document contient de multiples commandes très utiles par rapport à la fédération du domaine et de l’authentification unique (SSO).

Le module Microsoft.Entra - nécessaire pour ces commandes - est installé lors du premier lancement de l'assistant UserLock SSO.

Connexion aux services Microsoft 365

L'administrateur doit disposer des permissions requises dans le paramètre Scopes ci-dessous

Connect-MgGraph -Scopes "Domain.ReadWrite.All User.ReadWrite.All Directory.ReadWrite.All Directory.AccessAsUser.All"

Gestion des domaines

Afficher les paramètres du domaine

Get-MgDomain -DomainId domain.com

Afficher les paramètres de fédération du domaine

Get-MgDomainFederationConfiguration -DomainId domain.com

Fédérer un domaine avec UserLock

  1. Obtenez les données du certificat de signature et stockez-les dans une variable Powershell : $response = Invoke-RestMethod -Uri "https://<userlockssourl>/api/infos/certificate" -Method GET
    $certData = $response.currentCertificate.rawCertificate
  2. Utilisez la commande suivante New-MgDomainFederationConfiguration -DomainId domain.com -IssuerUri https://<userlockssourl>/domain.com
    -PassiveSignInUri https://<userlockssourl>/saml/sso -SignOutUri https://<userlockssourl>/connect/endsession
    -SigningCertificate $certData -FederatedIdpMfaBehavior 'acceptIfMfaDoneByFederatedIdp'
    -IsSignedAuthenticationRequestRequired -PreferredAuthenticationProtocol saml

Annuler la fédération

Update-MgDomain -DomainId domain.com -AuthenticationType Managed

Gestion des Utilisateurs

Afficher les informations de l’utilisateur

Get-MgUser -UserId user@domain.com -Property "Mail, DisplayName, GivenName, Surname, UserPrincipalName, OnPremisesImmutableId" | select Mail, DisplayName, GivenName, Surname, UserPrincipalName, OnPremisesImmutableId

Synchroniser un utilisateur

Note importante sur la gestion des services de Microsoft Entra Connect

Par défaut, l'application Microsoft Entra Connect gère automatiquement les opérations de synchronisation. Les étapes ci-dessous ne doivent être exécutées que si vous avez besoin d'une intervention manuelle.

Conditions préalables

Avant de procéder, vous devez arrêter temporairement le service de synchronisation de Microsoft Entra Connect :

  1. Lancez l'application Microsoft Entra Connect
    (Dans la plupart des cas, cette action met automatiquement en pause les processus de synchronisation)
  2. Vérifier l'état du service
    S'assurer qu'aucun cycle de synchronisation actif n'est en cours avant de procéder aux opérations manuelles.

Créer l'utilisateur dans le domaine par défaut

$immutableId = [convert]::ToBase64String((Get-ADUser -Identity <samAccountName>| Select-Object -ExpandProperty ObjectGUID).ToByteArray())
$PasswordProfile = @{
Password = 'MySuperStrongPassword'
ForceChangePasswordNextSignIn = $false
}
New-MgUser -UserPrincipalName newuser@office365domain.onmicrosoft.com -DisplayName '<Firstname> <Lastname>' -OnPremisesImmutableId $immutableId -PasswordProfile $PasswordProfile -AccountEnabled -MailNickname <Nickname>

Déplacer l'utilisateur dans le domaine fédéré

Update-MgUser -UserId newuser@office365domain.onmicrosoft.com -UserPrincipalName newuser@domain.com

Débloquer un compte (Microsoft Entra Domain Services seulement)

Le déblocage d’un compte n'est pas possible en utilisant Microsoft Entra Domain Services.