使用 PowerShell 导出用户所属的 Office 365 组

Office 365 用户包含在必要的组织组中，以便按时获取消息、访问并完成任务。管理员负责将 Office 365 用户纳入组织组。有时，用户会自愿加入特定的群组来升级自己。随着工作文化的变化，管理员必须每天了解用户的会员详细信息。它将在很多方面为管理员提供帮助，例如分配、授予权限以及批准和拒绝对应用程序和设备的访问。

作为管理员，您可能使用过群组成员报告或通讯组成员报告来识别群组及其成员。但在极少数情况下您需要列出用户及其组。如果您是其中之一，那么这个博客适合您！

为什么管理员需要知道用户所属的组？

1. 了解员工是否只属于正确的组并获取与其关联的所有组信息非常重要。
2. 添加、删除和管理组中的用户是管理员的关键任务。有了“用户成员”的报告，管理员可以批准、拒绝或限制请求者的访问权限。
3. 根据用户成员报告，管理员维护不同部门之间群组的安全。
4. 通过此报告，管理员可以保留禁用用户所属的所有组。这将帮助管理员有效地授予或删除组访问权限。

如何查看用户所属群组的列表？

在用户个人资料中查看：通过点击 Microsoft 365 管理中心“群组”下的用户个人资料 '，您可以看到与该用户关联的组名称列表。同样，在 AzureAD 门户中，单击“用户”下的“组”，您可以查看用户成员身份详细信息。当我们需要处理大量用户时，使用用户配置文件将不适合。

使用 PowerShell： Get-AzureADUserMembership 将返回用户所属的组列表。但 Azure AD PowerShell 模块已弃用，您需要从 Azure AD PowerShell 模块切换到 MS Graph PowerShell cmdlet。但是，要获得格式良好的报告，管理员需要使用多个 cmdlet。获得包含众多过滤选项的详细报告将非常耗时且费力。

因此，我们设计了 PowerShell 脚本来支持管理员节省时间、精力并提供可靠的用户成员资格报告。

脚本亮点：

1. 生成 12 种不同的用户会员报告。
2. 该脚本使用 MS Graph PowerShell，并在您确认后安装 MS Graph PowerShell SDK（如果尚未安装）。
3. 它也可以通过基于证书的身份验证 (CBA) 来执行。
4. 支持MFA 和非 MFA 帐户。
5. 允许使用过滤器获取访客用户及其会员资格。
6. 允许使用过滤器获取残障用户的会员资格。
7. 帮助识别不属于任何群组的用户。
8. 将报告结果导出为 CSV。
9. 该脚本对调度程序友好。

下载脚本：UserMembershipReport.ps1

示例输出：

导出的用户成员资格报告与下面的屏幕截图类似。

导出的报告具有显示名称、电子邮件地址、组名称、许可证状态、帐户状态、部门和角色等属性。

注意：该报告不包含动态通讯组成员详细信息，因为它需要不同的模块和 cmdlet。

导出 AzureAD 用户会员报告 - 脚本执行

该脚本向管理员提供用户会员详细信息的汇总报告。执行结束时，您将收到指定条件下检索到的用户数的通知。您可以根据您的需求选择以下任意一种方法。

查找用户所属的所有 Office 365 组

该脚本的标准格式将获取 Office 365 用户所属的组列表，并将其导出到 CSV 文件。

.\UserMembershipReport.ps1

上述格式适用于非 MFA 和启用 MFA 的帐户。

获取用户列表的群组成员资格（通过 CSV 输入）

根据组织的性质，员工被转移到各个部门。从技术上讲，这些员工的部门特定组访问权限应在他们加入或离开部门后立即激活或终止。因此，群组数据的隐私得到了保证。通过属于此类别的员工列表，管理员将确定分配给用户的组是否有效，并继续在组中添加或删除他们。

.\UserMembershipReport.ps1 -UsersIdentityFile {filepath}

管理员可以提供 UserPrincipalName 或 User ObjectId 作为输入（参考下文）。

示例输入：

查找访客用户帐户及其会员详细信息

管理员邀请访客用户开始与组织协作。使用该报告，管理员可以识别访客用户的群组详细信息，并将其纳入促进组织发展的特定群组。此外，管理员可以参考此报告从特定组中删除访客帐户。

.\UserMembershipReport.ps1 -GuestUsersOnly

GuestUsersOnly 参数有助于获取访客用户及其群组成员资格详细信息。

此外，您可以访问访客用户报告博客以获取更详细的访客用户报告。

获取残疾用户的会员报告

大多数组织都会以残疾用户的名义维护前雇员的数据。他们的数据将被保留以供将来参考。轻松获得此报告后，管理员可以删除已禁用帐户的群组成员身份。

.\UserMembershipReport.ps1 -DisabledUsersOnly

通过添加“DisabledUserOnly”参数，管理员可以获得已禁用用户帐户的组成员身份。

检索不属于任何组成员的 Office 365 用户

在组织中，将会有新加入的员工。因此，他们不会被添加到任何组中。使用我们的报告，管理员将识别他们并将他们添加到必要的组中。此外，还会有实习生、合同工、被阻止或未经授权的用户以及非员工等受限用户。他们不会包含在与组织相关的任何组中，因为他们的访问范围很小。使用我们的报告，管理员可以确保他们不属于任何组织群组。

.\UserMembershipReport.ps1 -UsersNotinAnyGroup

使用“UsersNotinAnyGroup”开关运行脚本，您将获得没有组成员资格的用户。

使用证书执行脚本（调度程序友好）：

要在无人值守的情况下运行脚本，您可以考虑使用证书进行身份验证。根据您的需要，您可以创建更经济的自签名证书，也可以使用证书颁发机构 (CA) 证书。

要使用基于证书的身份验证 (CBA) 执行脚本，您可以包含指定格式的 TenantId、ClientId 和 CertificateThumbprint 参数。

.\UserMembershipReport.ps1 -TenantId <TenantId> -ClientId <ClientId> -CertificateThumbprint <Certthumbprint>

获取 Office 365 组用户是报告的成员 - 更多用例

在寻找令人满意的直接报告时，我们为您提供尝试不同标准组合的选项。

要获取禁用访客用户的群组成员详细信息列表，请执行以下操作：

.\UserMembershipReport.ps1 -GuestUsersOnly -DisabledUsersOnly

要获取不属于任何组的禁用来宾用户：

.\UserMembershipReport.ps1 -UsersNotinAnyGroup -DisabledUsersOnly -GuestUsersOnly

检索输入文件中可用的来宾用户的组成员身份

.\UserMembershipReport.ps1 -UsersIdentityFile {filepath} -GuestUsersOnly

检索输入文件中可用的禁用用户的组成员身份

.\UserMembershipReport.ps1 -UsersIdentityFile {filepath} -DisabledUsersOnly

要列出指定用户中被禁用的访客用户的群组详细信息，请执行以下操作：

.\UserMembershipReport.ps1 -UsersIdentityFile {filepath} -GuestUsersOnly -DisabledUsersOnly

要从用户列表中过滤掉不属于任何组的禁用来宾用户（或），请按照您的意愿尝试

.\UserMembershipReport.ps1 -UsersIdentityFile {filepath} -UsersNotinAnyGroup -GuestUsersOnly -DisabledUsersOnly

获取更详细的用户会员报告：

如果您厌倦了手动执行 PowerShell 脚本并寻找生成 Microsoft 365 用户报告的最简单方法，请查看 AdminDroid 的 Microsoft 365 报告工具。

AdminDroid 提供以下用户的组成员身份报告，

• 用户成员资格报告 - 显示用户所属的所有 Office 365 组。
• 联系人成员资格报告 - 列出联系人所属的所有组。
• 外部用户的组成员身份报告 - 显示外部用户及其组。
• 管理员角色组报告 - 列出所有管理员及其角色组。

此外，AdminDroid 提供超过120 多个报告和一些完全免费的仪表板。它包括有关用户、许可证、组、组成员、设备、登录活动、密码更改、许可证更改等的报告。您可以进行定制、安排和导出。这可以帮助你掌握关键的 Azure AD 管理任务，例如监视用户活动、跟踪许可证使用情况和管理组成员身份。

此外，AdminDroid 在各种 Office 365 服务（例如 Azure AD、Exchange Online、 SharePoint Online、Microsoft Teams、OneDrive for Business、Skype for Business、Yammer、常规 Office 365 报告和安全报告。

下载 AdminDroid 提供的免费 Office 365 报告工具，以有效管理您的 Azure AD 环境。

结论：

管理员经常被要求通过在组中添加或删除用户来执行用户成员身份更改。正确维护用户会员资格将带来以下主要目的的好处。

• 与正确的用户共享群组信息，
• 确保来自随机受众的数据，
• 让受限制的用户远离该组

我们希望我们的博客能够帮助管理员有效、明智地满足他们的需求。