Reading Time: 1 minutes

◆ 今回の記事のポイント ◆
・ PowerShellでAzure ADへ接続する方法について解説
・ CSVファイルのインポートによるAzure ADアカウントの一括登録方法について解説
・ CSVファイルのインポートによるグループへの登録方法について解説

前回、Azure ADディレクトリの作成方法についてみてきました。Azure ADのディレクトリが作成できたら、オンプレミスのActive Directoryの時と同じように続いてユーザーとグループを作成します。そこで今回はユーザーとグループを効率よく管理するための方法について見ていきます。

最も簡単なAzure ADのユーザーとグループの作成方法はGUIの画面から作成することです。Microsoft 365の管理画面であるMicrosoft 365 管理センター(https://portal.office.com/)や、Azure AD専用の管理画面であるAzure Active Directory管理センター(https://aad.portal.azure.com/)から作成します。
しかし、GUIからユーザー/グループを作成する方法は複数のユーザー/グループを作成することになると、ひとつずつ作成しなければならないので不便だと思います。そのため、まとめてユーザー/グループを作成する方法としてWindows PowerShellを利用する方法がAzure ADでは用意されています。様々なお客様とお話していると「クラウドの時代なのに、なんで今さらコマンドをたたかなきゃいけないの?」とご質問をいただくことがあるのですが、繰り返しの操作を行うときはGUIを使うよりも圧倒的に便利ですので、「コマンドは苦手」という人もぜひ、この機会に慣れてください。

PowerShellからAzure ADを操作する場合、Azure AD PowerShellモジュールと呼ばれるツールが提供されているので、これをインストールします。Azure AD PowerShellモジュールにはバージョン1とバージョン2があり、どちらも同じ操作ができますが、バージョン1のほうが簡単なコマンドで操作できますので、ここではバージョン1でのインストールと、その後の操作方法について確認していきます。
まず、Azure AD PowerShellモジュールをインストールするときは、インターネットに接続している Windows 10のコンピューターでPowerShellを起動し、次のコマンドレットを実行します。

Install-Module MSOnline

実行すると、インターネットからモジュールをダウンロード・インストールし、Azure AD向けのコマンドレットが実行できるようになります。ちなみに、インストールは1度だけ実行すれば、次からは同じ操作は不要ですが、PowerShellの画面を閉じるとモジュールも終了してしまうので、PowerShellの画面を新しく開いた場合は「Import-Module MSOnline」というコマンドレットを実行して、モジュールを再度利用できるようにしてください。
コマンドレットが利用できるようになったら、続いてAzure ADに接続します。Azure ADに接続するためのコマンドレットは次のとおりです。

Connect-MsolService

実行すると、Azure ADに接続するために必要な資格情報を求められますので、Azure AD全体管理者(Azure ADに最初に作成したユーザー)のユーザー名とパスワードを入力します。画面には接続できたことを示すメッセージは何も出ませんが、エラーメッセージがなければ接続完了です。

では、いよいよユーザーをまとめて作成しましょう。
ユーザーをまとめて作成するときは、作成するユーザーの一覧をCSVファイルでまとめておいて、そしてコマンドレットでCSVファイルを指定して実行します。まず、CSVファイルの作り方ですが、次のように作成します。

username,displayname,location,password
kunii@adfs.jp,国井傑,JP,P@ssw0rd
arai@adfs.jp,新井慎太朗,JP,P@ssw0rd

CSVファイルの1行目には、項目の定義をします。他の項目名を指定することもできますが、ここでは話を分かりやすくするために最低限必要なものだけに絞りました。項目の一番左(username)がユーザー名、項目の左から二番目(displayname)が表示上の名前、三番目(location)が国/地域の名前、そして一番右(password)がパスワードです。
こうして1行目の記述ができたら、2行目から実際に作成するユーザーを記述します。
このような形でCSVファイルを作成したら、保存しておきましょう。
続いて作成したCSVファイルを使ってユーザーをまとめて作成します。実行するコマンドレットは次のとおりです。

Import-Csv -Path <CSVファイルのパス> | foreach {New-MsolUser -DisplayName $_.displayname -UserPrincipalName $_.username -UsageLocation $_.location -Password $_.Password}

長い文ですが、かならず1行で書いて実行してください。-Pathの後ろにCSVファイルが保存されている場所に置き換えてもらえれば、まとめてユーザーが作成できます。

続いてグループを作成しましょう。グループはユーザーと異なり、グループ名だけ指定すれば作成できるので、次のようなコマンドレットだけで実行できます。

New-MsolGroup -Displayname <グループ名>

もしCSVファイルからまとめて作成するのであれば、CSVファイルは

Groupname
Sales
Marketing
HR
RandD

のように作成しておいて(1行目のGroupnameは項目名です)、PowerShellで次のように実行します(必ず1行で実行してください)。

Import-Csv -Path <CSVファイルのパス> | foreach {New-MsolGroup -DisplayName $_.Groupname}

グループのメンバーを追加するときも基本的に今までと一緒です。CSVファイルは1行目のMemberを項目名にして、ご覧のように作成します。

Member
kunii@adfs.jp
arai@adfs.jp

ただし、グループのメンバーを追加するコマンドレットである、Add-MsolGroupMemberは少しクセがあって、グループ名や追加するユーザー名をそのまま指定することはできず、グループやユーザーに対して割り当てられているID番号を指定しなければなりません。そこで、事前にID番号を確認する必要があります。そのため、実行するときは次のようになります。

・グループIDの調べ方 (Get-MsolGroupコマンドレットを使ってグループID(画面ではObjectIdとして表示)を確認します)

・ユーザーIDの調べ方 (CSVファイルに含まれているユーザーのユーザーIDだけを確認するので、次のようになります)

Import-Csv -Path <CSVファイルのパス> | foreach {Get-MsolUser -UserPrincipalName $_.member |ft displayName,ObjectID -Autosize}

ユーザーIDがわかったら、前の手順で作成したCSVファイルのユーザー名が書いてあるところをユーザーIDに書き換えましょう。(下のCSVファイルのIDはサンプルなので、実際にはご自身で調べたIDを入れてください)

Member
b7961fe7-9c52-45a2-a83e-f02a87459acc
26092338-352a-48d6-87d1-e6f5598a981e

いよいよグループへのメンバーの追加です。コマンドレットは次のとおりです。

Import-Csv -Path <CSVファイルのパス> | foreach {Add-MsolGroupMember -Groupobjectid <グループID> -groupMemberObjectId $_.Member}

以上で、グループにメンバーを追加することができました。
最初のうちは、コマンドをたくさん叩かないといけないので、大変かもしれませんが、慣れると作業がだいぶ捗ると思いますので、ぜひチャレンジしてみてください。

筆者紹介
国井 傑 (くにい すぐる)
株式会社ソフィアネットワーク所属。インターネットサービスプロバイダでの業務経験を経て、1997年よりマイクロソフト認定トレーナーとしてインフラ基盤に関わるトレーニング全般を担当。Azure ADを中心としたトレーニングの登壇やトレーニングコースの開発に従事するだけでなく、ブログ等のコミュニティ活動も評価され、2006年からAzure AD/Active Directoryの分野におけるMicrosoft MVPを12年連続で受賞する。
主な著作に『ひと目でわかるAzure Information Protection』 (日経BP)、『徹底攻略MCP問題集 Windows Server 2016』 (インプレスジャパン)、『ひとり情シスのためのWindows Server逆引きデザインパターン』 (エクスナレッジ) など。

 

ゾーホー社員のつぶやき

こんにちは、ゾーホージャパンの前田です。今回の記事では、PowerShellを使用したAzure ADに対する操作方法ついて学びました。CSVファイルを使用することでユーザーの一括処理を実現できる一方、簡単な操作で一度に大量のユーザーを登録することができるため、作成されたユーザーが適切なものであったかを確認するためにも、「いつ」「だれが」「どのユーザーを追加したのか」をきちんと証跡として残すことが大切です。

ADAudit Plusでは、作成されたユーザー(ターゲット UPN)、実行ユーザー(ACTOR UPN)、そして作成時間を表形式で表示し、必要に応じて各フォーマット(CSV/PDF/XLS/HTML)でレポートとしてエクスポートすることが可能です。


[最近作成されたユーザー] レポート画面

Azure ADに対する操作の証跡まで管理したいという方は、ぜひADAudit Plusをご検討頂ければと思います。

【ADAudit Plusの製品ページ】
https://www.manageengine.jp/products/ADAudit_Plus/

【ADAudit Plusのダウンロードページ】
https://www.manageengine.jp/products/ADAudit_Plus/download.html

>> 第5回 Azure ADのユーザー・グループの管理(2)



▼▼ 過去記事はこちら ▼▼
【MicrosoftのMVP解説!AzureADの虎の巻】第2回 Azure ADを使って安全にクラウドサービスへアクセスする
【MicrosoftのMVP解説!Azure ADの虎の巻】第3回 Azure ADの利用開始

▼▼ 別シリーズのブログ記事もチェック! ▼▼
【MicrosoftのMVP解説!Active Directoryのハウツー読本】第1回 Active Directoryの必要性


フィードバックフォーム

当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。