はじめに
Microsoft Entra ID (Azure AD) 上に登録されているユーザーの属性は、Azure AD の Powershell モジュールで確認することが可能です。
ですが、下記の情報にてアナウンスされている通り、今後は Microsoft Graph PowerShell への移行が推奨されています。
Azure AD Powershell は、 2024 年 3 月 30 日に廃止される予定です。
非推奨プランの詳細については、非推奨の 更新プログラムに関するページを参照してください。
引き続き Microsoft Graph PowerShell に移行することをお勧めします。
これは、Azure AD との対話に推奨されるモジュールです。
さらに、Microsoft Graph PowerShell を使用すると、すべての Microsoft Graph API にアクセスでき、PowerShell 7 で使用できます。
参考URL: https://learn.microsoft.com/ja-jp/powershell/azure/active-directory/overview?view=azureadps-2.0
そこで今回は、Microsoft Graph PowerShell を用いて Microsoft Entra ID に登録されている情報を確認する方法について調べてみました。
なお、以降の手順は Microsoft Entra ID にアクセス可能なオンプレミスの環境 (Windows Server) 上からの実行例です。
前提環境
前提条件である .NET Framework 4.7 と Powershell 5.1 以上であることを確認します。
Windows Server の場合は役割と機能の追加ウィザード、クライアント版の Windows の場合は [プログラムと機能] から確認が可能です。
前提条件を満足している場合は、管理者権限で Powershell を起動し、以下の通り実行します。
- PowerShell の実行ポリシーを設定
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope CurrentUser
- Microsoft.Graph モジュールのインストール
インストールする対象に応じて、どちらかを実行 (片方だけでOK)
カレントユーザーの領域にインストールする場合:
Install-Module Microsoft.Graph -Scope CurrentUser
コンピューターのすべてのユーザーがアクセスできる領域にインストールする場合
(管理者権限が必要)
Install-Module Microsoft.Graph -Scope AllUsers
https://www.powershellgallery.com/packages/Microsoft.Graph/2.6.1 - 実行後、NuGet プロバイダーのインストールやリポジトリの信頼に関するプロンプトが表示されるため、"Y" を押下して進みます。
- インストール状況の確認のため、以下のコマンドを実行します。
Get-InstalledModule Microsoft.Graph
動作確認
MgGraph への接続に、権限が必要となるため下記のコマンドを実行。
Connect-MgGraph -Scopes "User.Read.All","Group.ReadWrite.All"
サインイン画面が表示されることを確認してください。
認証ダイアログにテナントの管理者の認証情報を入力後、以下の画面は [承諾] をクリック
なお、サインイン時下記が表示される場合は、インターネットオプションの設定の更新が有効な場合があります。
[インターネットオプション][セキュリティ]タブの [レベルのカスタマイズ] から
[スクリプト化されたウィンドウを使って情報の入力を求めることを Web サイトに許可する] を [有効にする] に更新し、回避可能かお試しください。
サインインと承諾後、以下の表示が確認出来たら対象のテナントの情報を取得する準備は完了です。
以下の方法について確認してみます。
- テナントに登録されている全ユーザーの情報取得
- 特定のユーザーの情報のみすべて取得
- 特定のユーザーの特定の情報のみ取得
以降は、実行したコマンドの実行結果の一例になります。
Microsoft Entra ID (Azure AD) 環境上にあらかじめテスト用のユーザーを登録して実験しました。
テナントに登録されている全ユーザーの情報取得
Get-MgUser
特定のユーザーの情報のみすべて取得
Get-MgUser -UserId <User ID> |fl
※ は Get-MgUser の結果から特定
特定のユーザーの特定の情報のみ取得
Get-MgUser -UserId <User ID> | select DisplayName, UserPrincipalName, ProxyAddresses, OnPremisesImmutableId, onPremisesSyncEnabled
※ は Get-MgUser の結果から特定
サインアウト方法
Disconnect-MgGraph
でサインアウト可能です。
再度接続したい場合は、Connect-MgGraph -Scopes "User.Read.All","Group.ReadWrite.All"
の実行が必要です。