如何使用 Azure 自动化运行 Microsoft Graph PowerShell 脚本

Azure 自动化帐户使你能够通过使用脚本执行无人值守和重复发生的任务，例如定期报告、自动事件补救和管理任务自动化。 Azure 自动化和 Microsoft Graph PowerShell 之间的集成为使用 Graph API 管理和维护环境提供了无限的可能性。

在本教程中，我将向您展示如何创建 Azure 自动化帐户并集成 Microsoft Graph PowerShell 脚本来执行常规自动化任务，而无需用户交互。

先决条件

要完成本教程中概述的步骤，您必须确保具备以下条件：

• Azure 订阅
• 具有全局管理员访问权限的帐户

由于自动化帐户是位于 Azure 中的一项服务，因此需要将它们链接到订阅才能进行计费。除此之外，要同意必要的权限以允许您的脚本在无人值守的情况下运行，您必须使用全局管理员帐户来执行此操作。

创建 Azure AD 应用程序并分配权限

要在没有任何用户交互或身份验证的情况下运行 Microsoft Graph PowerShell 脚本，您需要在 Azure Active Directory 中创建一个新应用程序，并具有执行脚本中的操作所需的权限。首先登录 Microsoft Entra 管理中心，然后按照以下步骤操作：

1. 选择应用程序 > 应用程序注册。

2. 在页面顶部，选择新注册。

3. 为应用程序定义一个有意义的名称，选择仅此组织目录中的帐户，然后单击注册。

4. 您现在需要为您的应用程序分配相关权限。选择API 权限。

5. 选择添加权限，然后从新的弹出窗口中选择Microsoft Graph。

6. 对于权限类型，选择应用程序权限。

7. 从列表中搜索并选择每个权限，选择所有权限后，单击添加权限。

8. 现在，您需要授予应用程序管理员同意才能使用所请求的权限。点击授予管理员对默认目录的同意。

9. 获得管理员同意后，状态栏将显示绿色勾号。

10. 最后一步是配置我们的脚本向应用程序进行身份验证的方法。为此，我们将使用 Microsoft Graph PowerShell 版本 2 中提供的客户端密钥。在应用程序设置页面上，选择证书和机密。

11. 选择客户端密钥 > 新客户端密钥。

12. 定义密钥的描述和到期日期（最长寿命为 2 年或 730 天）。

13. 保存密钥的值，以便在脚本中使用。

由于本指南的目的是演示如何将 Microsoft Graph PowerShell 与 Azure 自动化结合使用，因此请按照我的其他教程来了解如何在脚本中使用带有客户端密钥的应用程序权限：如何使用客户端密钥连接到 Microsoft Graph PowerShell。

创建 Azure 自动化帐户

由于 PowerShell 运行手册构成了 Azure 自动化帐户的“流程自动化”功能的一部分，因此我们接下来要做的就是创建一个新的自动化帐户。要创建自动化帐户，请按照以下步骤操作：

1. 首先登录 http://portal.azure.com，然后搜索自动化帐户。

2. 在“自动化帐户”页面上，选择创建以启动新的自动化帐户向导。

3. 在向导的第一页上，选择该资源所属的订阅（这是要计费的订阅）。然后定义资源帐户名称、自动化帐户名称以及存储该资源的地理区域。

最后，点击查看和创建，然后点击创建并等待部署完成。

导入 Microsoft Graph PowerShell 模块

默认情况下，Azure 自动化包含许多 PowerShell 模块来帮助你管理 Azure 资源。要查看默认模块的列表，请查看 Microsoft 文档页面以获取完整列表。重要的是，需要手动导入 Microsoft Graph PowerShell 模块。如果您需要导入模块的预览版本，该过程也略有不同。请按照以下步骤将 Microsoft Graph PowerShell 的当前版本和预览版本导入到 Azure 自动化帐户中。

导入当前版本的 Microsoft Graph PowerShell

1. 从自动化帐户页面选择您的新自动化帐户。

2. 在共享资源标题下，选择模块。

3. 选择添加模块以启动新模块向导。

4. 选择从图库浏览，然后选择单击此处从图库浏览按钮。

5. 首先搜索 Microsoft.Graph.Authentication 模块，从结果列表中选择它，然后在下一页上单击选择。

6. 对您需要的每个附加模块重复步骤 3 - 5。

导入 Microsoft Graph PowerShell 预览版

模块库页面不包含供您在自动化帐户中部署的预览模块。部署预览模块最方便的方法是直接从 PowerShell Gallary 网站进行部署。要将预览模块安装到您的 Azure 自动化帐户，请按照以下步骤操作：

1. 转到 https://www.powershellgallery.com/packages/Microsoft.Graph/ 并从版本历史记录部分选择您要部署的预览版本。在此示例中，我选择版本 2.0.09-rc3。

2. 由于您只能通过 Azure 自动化部署特定模块，而不能部署整个 SDK，因此请展开包详细信息部分，然后单击要部署的模块。

您可能会注意到浏览器上的 URL 将发生变化以匹配您选择的模块，您也可以手动修改。

3. Azure 自动化选项卡现在将显示在安装选项会话下。打开此选项卡并单击部署到 Azure 自动化。

4. 浏览器中将打开一个新窗口，显示 Azure 自动化模块导入向导。如果需要，请进行身份验证，然后从列表中选择您的自动化帐户。

5. 在下一页上单击“确定”并等待部署完成。您将从 Azure 门户中的通知图标中看到这一点。

6. 对需要导入的每个模块完成步骤 1-5。

使用 Runbook 实施自动化脚本

Runbook 构成 Azure 自动化帐户的自动化组件。 Runbook 基于 Windows PowerShell，版本由创建 Runbook 时指定的运行时版本确定，可用的运行时版本包括：

• 5.1版本
• 7.1版本
• 7.2版本

请按照以下步骤创建 Runbook 并添加 PowerShell 脚本：

1. 打开您的自动化帐户，然后在“流程自动化”标题下选择运行手册。

2. 选择创建运行手册。

3. 在“创建 Runbook”页面上，定义 Runbook 的名称，选择Runbook 类型为 PowerShell 和运行时版本为 5.1，然后单击“创建” b>.

4. 创建后，编辑 PowerShell 窗口将打开。如果未打开，请返回自动化帐户中的 Runbook 页面，选择新 Runbook 并单击编辑。

5. 在“编辑 PowerShell”窗口中，将脚本添加到代码区域，然后单击保存 > 发布。

6. 您现在应该测试您的 Runbook 以确保它按预期运行。从 Runbook 概述页面中，选择开始。

7. 您可以通过从“概览”页面底部的最近作业列表中选择作业来验证作业完成时是否有错误。

8. 选择每个选项卡以查看任何警告或错误，如果脚本无法成功完成，这将帮助您解决任何问题。

配置自动化运行计划

计划定义 Runbook 按重复计划运行的时间，如果您需要脚本每天、每周甚至每月运行，这会很方便。在本教程中，我将创建一个计划来每天运行我的脚本。请按照以下步骤定义 Runbook 的计划：

1. 打开您的自动化帐户，然后选择“共享资源”标题下的计划。

2. 在“计划”页面中，选择添加计划。

3. 在弹出窗口中，定义您的计划设置，然后单击创建。

• 名称：输入一个有意义的名称。
• 开始：添加您想要的开始日期和时间。
• 时区：指定您的时区。
• 重复频率：指定 Runbook 按计划运行的频率。
• 设置过期时间：指定 Runbook 计划停止的时间。

概括

您现在拥有一个 Microsoft Graph PowerShell 脚本，该脚本将使用 Azure 自动化按计划以无人值守的方式运行！在本教程中，您学习了如何：

• 创建 Azure 应用程序以支持脚本以应用程序权限运行
• 创建 Azure 自动化帐户
• 将模块导入您的 Azure 自动化帐户
• 使用 Runbook 实施脚本
• 为您的 Runbook 定义时间表