适用于 PowerShell 5.1 及以上版本
为什么需要脚本化用户管理 在企业的 Microsoft 365 环境中,用户管理是一项高频且繁琐的日常工作。新员工入职需要创建账号、分配许可证、加入对应部门的安全组;员工离职则需要禁用账号、回收许可证、转移邮箱权限。如果通过 Microsoft 365 管理中心手动操作,不仅效率低下,还容易遗漏步骤导致安全风险。
Microsoft Graph PowerShell 模块(Microsoft.Graph)是微软官方推荐的 Entra ID(原 Azure AD)管理工具。它通过统一的 Graph API 端点提供用户全生命周期管理能力,包括创建、查询、更新、删除以及许可证分配。相比旧版 AzureAD 模块,Graph 模块支持更细粒度的权限控制和更好的分页性能。
本文将围绕用户管理的核心场景,演示如何使用 Microsoft.Graph.Users 模块完成用户创建与初始化、批量查询与筛选、以及用户生命周期自动化操作。
连接 Microsoft Graph 并准备环境 在开始管理用户之前,需要先安装模块并建立经过身份验证的连接。连接时通过 -Scopes 参数声明本次操作所需的最低权限,Graph 服务会根据登录账户的角色和已授予的同意来决定是否放行。
1 2 3 4 5 6 7 8 9 10 11 Install-Module -Name Microsoft.Graph.Users -Scope CurrentUser -Force Connect-MgGraph -Scopes "User.ReadWrite.All" , "Directory.Read.All" $context = Get-MgContext Write-Host "已连接账户: $ ($context .Account)" Write-Host "租户标识: $ ($context .TenantId)" Write-Host "已授权范围: $ ($context .Scopes -join ', ')"
1 2 3 已连接账户: admin@contoso.com 租户标识: contoso.onmicrosoft.com 已授权范围: User.ReadWrite.All, Directory.Read.All
创建用户并完成初始配置 新员工入职时,通常需要一次性完成多项配置:创建账户、设置初始密码、填写部门信息。下面的脚本将多个步骤组织在一起,并为每个步骤添加错误处理,确保任何一个环节失败都能及时发现。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 $newUsers = @ ( @ { DisplayName = "李明" MailNickname = "ming.li" UserPrincipalName = "ming.li@contoso.com" Department = "工程部" JobTitle = "高级开发工程师" UsageLocation = "CN" } @ { DisplayName = "王芳" MailNickname = "fang.wang" UserPrincipalName = "fang.wang@contoso.com" Department = "市场部" JobTitle = "市场经理" UsageLocation = "CN" } ) function New-RandomPassword $length = 16 $chars = @ () $chars += [char ](Get-Random -Minimum 65 -Maximum 91 ) $chars += [char ](Get-Random -Minimum 97 -Maximum 123 ) $chars += [char ](Get-Random -Minimum 48 -Maximum 58 ) $chars += [char ](Get-Random -Minimum 35 -Maximum 39 ) foreach ($i in 1 ..($length - 4 )) { $chars += [char ](Get-Random -Minimum 33 -Maximum 127 ) } $password = ($chars | Sort-Object { Get-Random }) -join '' return $password } $results = @ ()foreach ($userInfo in $newUsers ) { $tempPassword = New-RandomPassword $body = @ { AccountEnabled = $true DisplayName = $userInfo .DisplayName MailNickname = $userInfo .MailNickname UserPrincipalName = $userInfo .UserPrincipalName Department = $userInfo .Department JobTitle = $userInfo .JobTitle UsageLocation = $userInfo .UsageLocation PasswordProfile = @ { ForceChangePasswordNextSignIn = $true Password = $tempPassword } } try { $user = New-MgUser -BodyParameter $body $results += [PSCustomObject ]@ { Status = "成功" UPN = $userInfo .UserPrincipalName UserId = $user .Id TempPwdLen = $tempPassword .Length } Write-Host "[OK] 已创建用户: $ ($userInfo .DisplayName)" -ForegroundColor Green } catch { $results += [PSCustomObject ]@ { Status = "失败" UPN = $userInfo .UserPrincipalName UserId = $_ .Exception.Message.Substring(0 , [Math ]::Min(60 , $_ .Exception.Message.Length)) TempPwdLen = 0 } Write-Host "[FAIL] 创建失败: $ ($userInfo .DisplayName) - $ ($_ .Exception.Message)" -ForegroundColor Red } } $results | Format-Table -AutoSize
1 2 3 4 5 6 7 [OK] 已创建用户: 李明 [OK] 已创建用户: 王芳 Status UPN UserId TempPwdLen ------ --- ------ ---------- 成功 ming.li@contoso.com a1b2c3d4-e5f6-7890-abcd-ef1234567890 16 成功 fang.wang@contoso.com b2c3d4e5-f6a7-8901-bcde-f12345678901 16
查询与筛选用户信息 用户数据是企业目录的核心资产,掌握高效的查询技巧对日常运维至关重要。Graph API 支持 OData 筛选语法,可以对用户属性进行精确匹配和排序。对于复杂筛选条件,还可以使用 -ConsistencyLevel eventual 开启高级查询功能。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 $activeUsers = Get-MgUser -All -Filter "accountEnabled eq true" | Sort-Object DisplayName | Select-Object DisplayName, UserPrincipalName, Department, JobTitle Write-Host "当前活跃用户数: $ ($activeUsers .Count)" $activeUsers | Format-Table -AutoSize $engineers = Get-MgUser -Filter "department eq '工程部'" ` -ConsistencyLevel eventual -CountVariable engCount -All Write-Host "`n工程部人数: $engCount " foreach ($eng in $engineers ) { Write-Host " - $ ($eng .DisplayName) ($ ($eng .UserPrincipalName))" } $searchResult = Get-MgUser -Filter "startsWith(displayName,'李')" ` -ConsistencyLevel eventual -All Write-Host "`n搜索'李'姓用户结果:" foreach ($item in $searchResult ) { Write-Host " $ ($item .DisplayName) | $ ($item .Department) | $ ($item .Mail)" } $targetUser = Get-MgUser -UserId "ming.li@contoso.com" -Property DisplayName, UserPrincipalName, Department, JobTitle, CreatedDateTime, LastPasswordChangeDateTime, SignInActivity[PSCustomObject ]@ { 显示名 = $targetUser .DisplayName 邮箱 = $targetUser .UserPrincipalName 部门 = $targetUser .Department 职位 = $targetUser .JobTitle 创建时间 = $targetUser .AdditionalProperties.createdDateTime 上次改密 = $targetUser .AdditionalProperties.lastPasswordChangeDateTime 上次登录 = $targetUser .AdditionalProperties.signInActivity.lastSignInDateTime } | Format-List
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 当前活跃用户数: 128 DisplayName UserPrincipalName Department JobTitle ----------- ----------------- ---------- -------- Alice Chen alice.chen@contoso.com 工程部 前端开发 李明 ming.li@contoso.com 工程部 高级开发工程师 王芳 fang.wang@contoso.com 市场部 市场经理 工程部人数: 45 - Alice Chen (alice.chen@contoso.com) - 李明 (ming.li@contoso.com) 搜索'李'姓用户结果: 李明 | 工程部 | ming.li@contoso.com 李娜 | 财务部 | na.li@contoso.com 显示名 : 李明 邮箱 : ming.li@contoso.com 部门 : 工程部 职位 : 高级开发工程师 创建时间 : 2025-10-10T02:30:00Z 上次改密 : 2025-10-10T02:30:00Z 上次登录 : 2025-10-10T08:15:00Z
用户生命周期自动化 离职流程是用户管理中最容易出问题的环节。一个完整的离职处理需要按顺序执行:禁用账户、移除组成员身份、回收许可证、更新描述信息。将这个过程封装为函数,可以确保每次操作都不遗漏步骤。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 function Disable-UserLifecycle [CmdletBinding (SupportsShouldProcess )] param ( [Parameter (Mandatory )] [string ]$UserPrincipalName , [string ]$Reason = "员工离职" ) Write-Host "`n========== 离职处理: $UserPrincipalName ==========" -ForegroundColor Cyan try { $user = Get-MgUser -UserId $UserPrincipalName -ErrorAction Stop Write-Host "[1/5] 用户信息已获取: $ ($user .DisplayName)" -ForegroundColor Green } catch { Write-Host "[1/5] 用户不存在或无法访问: $UserPrincipalName " -ForegroundColor Red return } if ($PSCmdlet .ShouldProcess($UserPrincipalName , "禁用账户" )) { Update-MgUser -UserId $UserPrincipalName -AccountEnabled :$false Write-Host "[2/5] 账户已禁用" -ForegroundColor Green } $memberships = Get-MgUserMemberOf -UserId $UserPrincipalName -All $groupCount = 0 foreach ($member in $memberships ) { if ($member .AdditionalProperties.'@odata.type' -eq '#microsoft.graph.group' ) { try { Remove-MgGroupMember -GroupId $member .Id -DirectoryObjectId $user .Id -ErrorAction SilentlyContinue $groupCount ++ } catch { Write-Host " 跳过动态组: $ ($member .AdditionalProperties.displayName)" -ForegroundColor Yellow } } } Write-Host "[3/5] 已从 $groupCount 个组中移除" -ForegroundColor Green $licenses = Get-MgUserLicenseDetail -UserId $UserPrincipalName -ErrorAction SilentlyContinue $licenseSkuIds = @ () foreach ($lic in $licenses ) { $licenseSkuIds += $lic .SkuId } if ($licenseSkuIds .Count -gt 0 ) { $removeLicenses = @ () foreach ($skuId in $licenseSkuIds ) { $removeLicenses += @ { SkuId = $skuId } } Set-MgUserLicense -UserId $UserPrincipalName ` -AddLicenses @ () ` -RemoveLicenses $removeLicenses Write-Host "[4/5] 已回收 $ ($licenseSkuIds .Count) 个许可证" -ForegroundColor Green } else { Write-Host "[4/5] 无需回收许可证" -ForegroundColor Yellow } $leaveDate = Get-Date -Format "yyyy-MM-dd" Update-MgUser -UserId $UserPrincipalName ` -AboutMe "$Reason - 处理日期: $leaveDate " Write-Host "[5/5] 离职记录已更新 ($leaveDate )" -ForegroundColor Green Write-Host "`n========== 处理完成 ==========" -ForegroundColor Cyan return [PSCustomObject ]@ { User = $user .DisplayName UPN = $UserPrincipalName Disabled = $true GroupsRemoved = $groupCount LicensesRevoked = $licenseSkuIds .Count ProcessedDate = $leaveDate } } $leavingUsers = @ ("ming.li@contoso.com" , "fang.wang@contoso.com" )$reports = @ ()foreach ($upn in $leavingUsers ) { $report = Disable-UserLifecycle -UserPrincipalName $upn -Reason "合同到期离职" $reports += $report } Write-Host "`n离职处理汇总报告:" $reports | Format-Table -AutoSize
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 ========== 离职处理: ming.li@contoso.com ========== [1/5] 用户信息已获取: 李明 [2/5] 账户已禁用 [3/5] 已从 5 个组中移除 [4/5] 已回收 1 个许可证 [5/5] 离职记录已更新 (2025-10-10) ========== 处理完成 ========== ========== 离职处理: fang.wang@contoso.com ========== [1/5] 用户信息已获取: 王芳 [2/5] 账户已禁用 [3/5] 已从 3 个组中移除 [4/5] 已回收 2 个许可证 [5/5] 离职记录已更新 (2025-10-10) ========== 处理完成 ========== 离职处理汇总报告: User UPN Disabled GroupsRemoved LicensesRevoked ProcessedDate ---- --- -------- ------------- --------------- ------------- 李明 ming.li@contoso.com True 5 1 2025-10-10 王芳 fang.wang@contoso.com True 3 2 2025-10-10
注意事项
权限最小化原则 :连接 Graph API 时应按操作类型声明最小权限集。只读操作用 User.Read.All,写操作才需要 User.ReadWrite.All。避免在脚本中统一请求全部权限,防止权限滥用带来的安全审计风险。
ConsistencyLevel 与高级查询 :使用 startsWith、endsWith、eq 对非索引属性筛选时,必须添加 -ConsistencyLevel eventual 参数,并使用 -CountVariable 接收匹配数量。否则 Graph API 会返回”不支持的查询”错误。
分页与 -All 参数 :默认情况下 Get-MgUser 只返回前 100 条记录。用户数超过 100 时必须加 -All 参数自动处理分页,或者通过 -Top 和 -Skip 参数手动分页控制内存占用。
密码策略合规 :创建用户时的初始密码必须满足 Entra ID 的密码复杂度要求(至少 8 位,包含大小写字母、数字和特殊字符中的三类)。建议配合 ForceChangePasswordNextSignIn = $true,确保用户首次登录时强制修改密码。
许可证回收时机 :禁用账户后许可证并不会自动释放,必须显式调用 Set-MgUserLicense -RemoveLicenses 回收。如果许可证余额紧张,建议在离职流程中优先执行许可证回收步骤,避免因中间步骤失败导致许可证被占用。
错误处理与幂等性 :批量操作用户时,务必对每个步骤添加 try/catch 错误处理。对于可能重复执行的场景(如入职脚本被运行两次),应在创建前先检查用户是否已存在,使用 Get-MgUser -Filter 替代直接创建,保证脚本的幂等性。