MSOnline / AzureAD PowerShell から Graph PowerShell SDK への移行について 4_ユーザー管理

こんにちは、 Azure Identity サポート チームの小出です。

この記事は、この記事は、MSOnline / AzureAD モジュール廃止について、1. 概要編、2. 移行導入編、3. インストール・接続編 の続きとして連載しています。

4 回目となる今回からは、具体的に、新しい Microsoft Graph PowerShell SDK を使用したユーザーの管理方法についてご案内します。以前、こちらの記事 にて、ライセンス管理についてご案内させていただきましたが、今回はユーザー管理に特化してご紹介します。まだモジュールをインストールしていない場合や、 Connect-MgGraph コマンドを使用した接続方法が分からない場合などは、本シリーズの 2 と 3 をご確認ください。

目次

1. ユーザーの取得
   • テナントの全ユーザーを取得したい
   • 特定のユーザーを取得したい
   • ゲスト ユーザーのみを取得したい)
   • アカウントが有効なゲスト ユーザーのみを取得したい)
   • 特定のユーザーの extensionAttribute の値を取得したい
   • 削除済みユーザーを取得したい
2. ユーザーの作成
3. ユーザーの削除
4. 削除済みユーザーの完全削除と復元
5. ユーザーの属性を更新する
6. よくある質問

---

1. ユーザーの取得

これまでユーザー情報の取得にし使用していた Get-MsolUser や Get-AzureADUser コマンドは、 Get-MgUser コマンドに置き換えられます。ここでは様々なシナリオでユーザーを取得する方法についてご紹介します。

テナントの全ユーザーを取得したい

全てのユーザーを取得するには、-All オプションを使用します。Get-AzureADUser コマンドでは、-All $true とする必要がありましたが、新しいコマンドでは -All のみで動作します。-All を指定しない場合は、100 ユーザーなど一部の結果のみが返されます。 ユーザー数の非常に多い環境では -All オプションをつけると大量の結果が表示されますのでご注意ください。

Get-MgUser -All

特定のユーザーを取得したい

これまでのコマンドと同様に、 ObjectID や UPN を指定することで取得が可能です。

Get-MgUser -UserId admin@m365x219253.onmicrosoft.com

上記で気になった方もいると思いますが、Usertype の中身が空になっていることにお気づきでしょうか。Get-MsolUser コマンドや Get-AzureADUser コマンドでは、何も指定しなくても、すべての属性の情報が一括で出力されていました。

Microsoft Graph Powershell SDK では、属性によって下記のような特徴がある点を理解しておくと、「入れたはずの値が表示されない」といった混乱を避けることができます。

• Microsoft Graph PowerShell SDK にはバージョンがあり、v1.0 で取得できる属性値 beta でしか取得できない属性値がある
• Property オプションを使用して明示的に指定しないと、結果に表示されないものがある

そのため、たとえば下記のように実行すると、Usertype 属性が取得できるようになります。

Get-MgUser -UserId admin@m365x219253.onmicrosoft.com -Property Id,Displayname,Mail,UserPrincipalName,Usertype

これは、| format-list を利用したときも同様で、| format-list 自体は新しいモジュールでも機能しますが、下記のように、必要な情報が出てこないことがあります。

AccountEnabled に値が入っていない！と疑問に思うかもしれませんが、Usertype と同様に下記のように実行すると、AccountEnabled の値も取得することが可能です。

Get-MgUser -UserId 30a4a94b-9bca-4141-94d2-2dd0e2cc341b -Property Id,Displayname,Mail,UserPrincipalName,Usertype,AccountEnabled | fl

もしくは、上記にて紹介した -Property オプションを使用したうえで、さらに Select を使用すると、表示される属性と値をカスタマイズできます。

Get-MgUser -UserId 2e7c8a97-ab50-4e53-b193-be3ff9ddc6aa -Property Id,Displayname,Mail,UserPrincipalName,Usertype,AccountEnabled | select displayname,accountenabled

次に、-Filter オプションをはじめとするオプションを活用できます。よくお問い合わせをいただく取得方法についてご案内します。

ゲスト ユーザーのみを取得したい

特定の条件を満たすユーザーのみを取得したい場合は -Filter オプションを使用します。usertype が Guest となっているユーザーをフィルターして表示しています。

Get-MgUser -All  -Filter "usertype eq 'Guest'" -Property Id,displayname,Mail,Userprincipalname,Usertype

アカウントが有効なゲスト ユーザーのみを取得したい

-Filter の条件を 2 つ以上記載したいときは and でつなげると利用できます。

Get-MgUser -Filter "accountEnabled eq true and usertype eq 'Guest'"

特定のユーザーの extensionAttribute の値を取得したい

ExtensionAttribute1 などの属性は、ユーザーの onpremisesExtensionAttributes の配下に用意されているので、下記のように実行して取得します。

(Get-MgBetaUser -UserId 3796e4df-bf11-4b99-9be7-c65c63dfe9a6).OnpremisesExtensionAttributes | fl

Note

Microsoft Graph Powershell v2.x では、 Select-MgProfile コマンドでのベータ版切り替えがなくなりました。

v2 をご利用いただく場合、Select-MgProfile -name beta コマンドの切り替えではなく、 beta 用のコマンド Get-Mgbetauser をご利用ください。

Microsoft Graph Powershell v2.x の詳細は こちら をご覧ください。

v1.x を利用されている場合、Connect-MgGraph での接続後、本コマンド実行前に Select-Mgprofile -name beta にてベータに切り替えを実施し、 Get-MgUser コマンドをご利用ください。

削除済みユーザーを取得したい

削除済みのオブジェクトを取得するコマンドは、Get-MgDirectoryDeletedItem です。-DirectoryObjectID オプションに microsoft.graph.user と記載すると、削除されたユーザー オブジェクトが返されます (これらは、いわゆるごみ箱にある状態のユーザーで、30 日後に完全に削除されると参照できなくなります)。

(Get-MgDirectoryDeletedItem -DirectoryObjectId microsoft.graph.user).AdditionalProperties.value

利用可能なパラメーターは Filter 以外にもありますが、各属性によってサポートされるオプションが異なります。下記のような公開情報を確認いただき、使用したい属性とオプションがサポートされているか、あらかじめご確認ください。

• user リソースの種類 - プロパティ
• ユーザーを一覧表示する - オプションのクエリ パラメーター

ヒント

（2025/3/10 更新）

もしくは、より分かりやすいコマンドとして現在は Get-MgDirectoryDeletedItemAsUser も利用できます。このコマンドを利用すると、削除済みのユーザーが一覧で返されるため上記よりも簡単に利用でき、ユーザーの DisplayName なども表示されるため、どのユーザーかも分かりやすいかと存じます。

ユーザーについては Get-MgDirectoryDeletedItemAsUser になりますが、 As の後ろを変更することで、その他の削除済みオブジェクトを取得することも可能です。たとえば削除済みグループを取得したい場合には、 Get-MgDirectoryDeletedItemAsGroup コマンドを利用できます。

2. ユーザーの作成

下記のように必要なパラメーターを記載して、 New-Mguser を使用すると新しいユーザーを作成できます。

$params = @{
	AccountEnabled = $true
	DisplayName = "Adele Vance22"
	MailNickname = "AdeleV22"
	UserPrincipalName = "AdeleV22@m365x61971868.onmicrosoft.com"
	PasswordProfile = @{
		ForceChangePasswordNextSignIn = $true
		Password = "xWwvJ]6NMw+bWH-d11"
		}
	}
New-MgUser -BodyParameter $params

もしくは、下記のように直接 New-Mguser コマンド内で必要な情報を記載することも可能です。

$PasswordProfile = @{
  Password = 'Passw0rd'
  }
New-MgUser -DisplayName 'Rene Magi' -PasswordProfile $PasswordProfile -AccountEnabled -MailNickName 'ReneMagi' -UserPrincipalName 'ReneMagi@m365x61971868.onmicrosoft.com'

以下の公開情報も併せてご確認ください。

• New-MgUser
• ユーザーを作成する

3. ユーザーの削除

Remove-MgUser コマンドにて削除可能です。

Remove-MgUser -UserId 282f0fb7-06a6-4a86-b3d5-01569d7393a1

4. 削除済みユーザーの完全削除と復元

削除されたユーザーは、30 日間の間、削除済みユーザーとして一時的に保存されます。30 日以内であれば、誤って削除してしまった場合でもこれらのユーザーを復元することが可能です。復元したい場合、 Restore-MgDirectoryDeletedItem コマンドを使用します。

Restore-MgDirectoryDeletedItem -DirectoryObjectId 282f0fb7-06a6-4a86-b3d5-01569d7393a1

削除済みアイテムを復元する の公開情報も併せてご確認ください。

完全に削除したい場合、Remove-MgDirectoryDeletedItem コマンドを使用します。こちらのコマンドを実行すると、オブジェクトは完全に削除され復元できなくなるためご留意ください。

Remove-MgDirectoryDeletedItem -DirectoryObjectId 282f0fb7-06a6-4a86-b3d5-01569d7393a1

アイテムを完全に削除する の公開情報も併せてご確認ください。

5. ユーザーの属性を更新する

Update-Mguser コマンドを利用して更新が可能です。たとえばユーザーの displayname とその他のメール (Othermails) を更新したい場合は下記のように実行します。

Update-MgUser -UserId 2e7c8a97-ab50-4e53-b193-be3ff9ddc6aa -DisplayName test1228a -OtherMails @("bob@contoso.com", "admin@m365x219253.onmicrosoft.com")

一般的には上記のように、変更したい属性を指定して、新しい値を指定すれば更新できます。

時折ご質問をいただくものとして、extensionattribute 関連の属性を更新したいといったお問い合わせがよくあるため、以下に手順を例として案内します。 Extensionattribute の値を更新したい場合、事前に beta に切り替えてからコマンドを実行ください。

1. Connect-MgGraph にて接続します。

2. Get-MgBetaUser コマンドを実行して、ユーザーの情報を取得します。

   (Get-MgBetaUser -UserId 3796e4df-bf11-4b99-9be7-c65c63dfe9a6).OnpremisesExtensionAttributes | fl

   以下の画面では、ユーザーの ExtensionAttribute4 の値に test4 という文字列が入っていることが確認できます。

   

3. 以下のコマンドを実行して、たとえば ExtensionAttribute4 の値を test44 に更新します。

   Update-MgBetaUser -UserId 3796e4df-bf11-4b99-9be7-c65c63dfe9a6 -OnPremisesExtensionAttributes @{"ExtensionAttribute4"='test44'}

4. 値が test44 に更新されたことを確認します。

   

Note

Microsoft Graph Powershell v2.x では、 Select-MgProfile コマンドでのベータ版切り替えがなくなりました。

変更に伴い手順を変更しておりますが、もしまだ v1.x を利用されている場合は、接続後に Select-MgProfile -Name “beta” で切り替えを実施してください。

利用しているバージョンが分からない場合は、 Get-InstalledModule Microsoft.Graph* を実行し、バージョンを確認してください。

6. よくある質問

Q. Set-MsolUser コマンドで実施できた StrongAuthenticationRequirements の有効化や、StrongAuthenticationMethod を無効化する代替案はありますか？

A. いいえ、現状新しい Microsoft Graph PowerShell SDK では対応していません。

StrongAuthenticationMethod プロパティは、”ユーザーごとの MFA” の機能で利用される項目ですが、この機能はレガシーとなり、現在は条件付きアクセスでの管理を推奨しております。そのため、ユーザーごとの MFA を利用している場合、今後は条件付きアクセスで MFA を要求する形に移行することをお勧めいたします。条件付きアクセスにてユーザーに MFA を要求すると、そのユーザー次回サインイン時に自動的に MFA の登録を求められます。例えば、条件付きアクセスにてすべてのアプリに対して MFA を要求するように構成すると、これは “ユーザーごとの MFA” の機能において、ユーザーの MFA の状態を “有効” にするのと同じ意味になります。このため、現在 “ユーザーごとの MFA” の機能において、ユーザーの MFA の状態を “有効” にすることで MFA を構成している場合は、条件付きアクセスにてすべてのアプリに対して MFA を要求するように構成ください。

一方で、MFA の再登録を要求する場合は、公開情報 に記載があり、Microsoft Graph API (PowerShell SDK) を利用して、利用可能なすべての認証方法を個別に削除するというのが今後の正しい代替方法となります。

ユーザーが次回サインインするときに新しい多要素認証を設定するように要求するには、個々の DELETE 認証方法操作を呼び出して、各ユーザーの現在の認証方法を削除します。

基本的なユーザー管理コマンドについて案内していますが、もし利用方法が不明なコマンドがございましたらお気軽にお問い合わせを起票ください。

※本情報の内容（添付文書、リンク先などを含む）は、作成日時点でのものであり、予告なく変更される場合があります。