Azure AD / Entra ID • Syspirit

Microsoft Entra ID (anciennement Azure AD) est le service d’identité cloud de Microsoft permettant la gestion centralisée des utilisateurs, groupes et ressources dans un environnement Microsoft 365.

📦 Installation et connexion

📌 Action	🧠 Commande PowerShell
🔧 Installer Microsoft Graph	`Install-Module Microsoft.Graph -Force`
🔧 Installer Entra (preview)	`Install-Module Microsoft.Graph.Entra -AllowPrerelease`
🔗 Se connecter (Graph)	`Connect-MgGraph -Scopes "User.ReadWrite.All","Group.ReadWrite.All"`
🔗 Se connecter (Entra)	`Connect-Entra`
✅ Vérifier connexion	`Get-MgContext`
🚪 Se déconnecter	`Disconnect-MgGraph`

👥 Gestion des utilisateurs

📌 Action	🧠 Commande Microsoft Graph
📋 Lister tous les utilisateurs	`Get-MgUser -All`
🔍 Rechercher utilisateur	`Get-MgUser -Filter "DisplayName eq 'Jean Dupont'"`
👁️ Détails complets	`Get-MgUser -UserId "jdupont@domain.com" -Property *`
🔍 Recherche par UPN	`Get-MgUser -Filter "UserPrincipalName eq 'jdupont@domain.com'"`
🔍 Recherche partielle	`Get-MgUser -Filter "startswith(DisplayName,'Jean')"`
📧 Utilisateurs avec email	`Get-MgUser -Filter "Mail ne null"`

Création et modification d’utilisateurs

📌 Action	🧠 Commande
👤 Créer utilisateur simple	`New-MgUser -DisplayName "Jean Dupont" -UserPrincipalName "jdupont@domain.com" -MailNickname "jdupont" -AccountEnabled`
🔒 Créer avec mot de passe	`$PasswordProfile = @{ Password = "TempPass123!" ; ForceChangePasswordNextSignIn = $true }` `New-MgUser -DisplayName "Jean Dupont" -UserPrincipalName "jdupont@domain.com" -PasswordProfile $PasswordProfile`
✏️ Modifier nom affiché	`Update-MgUser -UserId "jdupont@domain.com" -DisplayName "Jean Martin"`
📧 Modifier email	`Update-MgUser -UserId "jdupont@domain.com" -Mail "jean.martin@domain.com"`
🏢 Modifier département	`Update-MgUser -UserId "jdupont@domain.com" -Department "IT"`
📱 Modifier téléphone	`Update-MgUser -UserId "jdupont@domain.com" -BusinessPhones @("01.23.45.67.89")`

États des comptes

📌 Action	🧠 Commande
🔒 Désactiver compte	`Update-MgUser -UserId "jdupont@domain.com" -AccountEnabled:$false`
✅ Activer compte	`Update-MgUser -UserId "jdupont@domain.com" -AccountEnabled:$true`
🔄 Réinitialiser MDP	`Update-MgUser -UserId "jdupont@domain.com" -PasswordProfile @{ Password = "NewPass123!" ; ForceChangePasswordNextSignIn = $true }`
🗑️ Supprimer utilisateur	`Remove-MgUser -UserId "jdupont@domain.com"`
📱 Révoquer sessions	`Revoke-MgUserSignInSession -UserId "jdupont@domain.com"`

🔐 Gestion MFA et authentification

📌 Action	🧠 Commande
📱 Voir méthodes d’auth	`Get-MgUserAuthenticationMethod -UserId "jdupont@domain.com"`
📞 Voir téléphones MFA	`Get-MgUserAuthenticationPhoneMethod -UserId "jdupont@domain.com"`
📧 Voir emails MFA	`Get-MgUserAuthenticationEmailMethod -UserId "jdupont@domain.com"`
🗑️ Reset toutes méthodes MFA	`Get-MgUserAuthenticationMethod -UserId "jdupont@domain.com" \| Remove-MgUserAuthenticationMethod -UserId "jdupont@domain.com"`
🔄 Forcer réenregistrement MFA	`Reset-MgUserAuthenticationMethodRegistration -UserId "jdupont@domain.com"`
📱 Ajouter téléphone MFA	`New-MgUserAuthenticationPhoneMethod -UserId "jdupont@domain.com" -PhoneNumber "+33123456789" -PhoneType "mobile"`

👥 Gestion des groupes

📌 Action	🧠 Commande
📋 Lister groupes	`Get-MgGroup -All`
🔍 Rechercher groupe	`Get-MgGroup -Filter "DisplayName eq 'IT Team'"`
👁️ Membres d’un groupe	`Get-MgGroupMember -GroupId "group-id"`
🆕 Créer groupe sécurité	`New-MgGroup -DisplayName "IT Team" -SecurityEnabled -MailEnabled:$false`
🆕 Créer groupe Office 365	`New-MgGroup -DisplayName "Marketing" -GroupTypes @("Unified") -MailEnabled -SecurityEnabled`
➕ Ajouter membre	`New-MgGroupMember -GroupId "group-id" -DirectoryObjectId "user-id"`
➖ Retirer membre	`Remove-MgGroupMember -GroupId "group-id" -DirectoryObjectId "user-id"`
🗑️ Supprimer groupe	`Remove-MgGroup -GroupId "group-id"`

📄 Licences Microsoft 365

📌 Action	🧠 Commande
📋 Voir licences disponibles	`Get-MgSubscribedSku`
👤 Licences d’un utilisateur	`Get-MgUserLicenseDetail -UserId "jdupont@domain.com"`
➕ Assigner licence	`Set-MgUserLicense -UserId "jdupont@domain.com" -AddLicenses @{SkuId = "sku-id"} -RemoveLicenses @()`
➖ Retirer licence	`Set-MgUserLicense -UserId "jdupont@domain.com" -AddLicenses @() -RemoveLicenses @("sku-id")`
📊 Utilisateurs sans licence	`Get-MgUser -Filter "assignedLicenses/`$count eq 0” -ConsistencyLevel eventual -CountVariable unlicensed`

Licences courantes et leurs SKU

SKU = Stock Keeping Unit, identifiant unique de chaque licence Microsoft dans le système

📌 Licence	🏷️ SKU PartNumber	💰 Type	📝 Description
Microsoft 365 E3	`SPE_E3`	Enterprise	Licence complète avec Office, Teams, SharePoint
Microsoft 365 E5	`SPE_E5`	Enterprise	E3 + sécurité avancée, compliance, analytics
Microsoft 365 F3	`SPE_F1`	Frontline	Pour employés de terrain (pas d’Office desktop)
Copilot for M365	`Microsoft_365_Copilot`	Add-on	IA générative (nécessite E3/E5/Business Premium)
Power BI Pro	`POWER_BI_PRO`	Analytics	Rapports et dashboards

Exemples pratiques

# Compter les licences E3 assignées
(Get-MgUser -Filter "assignedLicenses/any(x:x/skuId eq (Get-MgSubscribedSku | Where SkuPartNumber -eq 'SPE_E3').SkuId)" -ConsistencyLevel eventual).Count
 
# Assigner licence E5 à un utilisateur
$E5Sku = (Get-MgSubscribedSku | Where SkuPartNumber -eq 'SPE_E5').SkuId
Set-MgUserLicense -UserId "jdupont@domain.com" -AddLicenses @{SkuId = $E5Sku} -RemoveLicenses @()
 
# Lister utilisateurs avec Copilot
Get-MgUser -Filter "assignedLicenses/any(x:x/skuId eq (Get-MgSubscribedSku | Where SkuPartNumber -eq 'Microsoft_365_Copilot').SkuId)" -ConsistencyLevel eventual

📊 Scripts d’export utiles

Export utilisateurs actifs

Get-MgUser -Filter "AccountEnabled eq true" -Property DisplayName,UserPrincipalName,Department,JobTitle,CreatedDateTime | 
Export-Csv -Path "UtilisateursActifs.csv" -NoTypeInformation -Encoding UTF8

Export groupes et membres

$Groups = Get-MgGroup -All
$Results = foreach ($Group in $Groups) {
    $Members = Get-MgGroupMember -GroupId $Group.Id
    foreach ($Member in $Members) {
        [PSCustomObject]@{
            GroupName = $Group.DisplayName
            GroupId = $Group.Id
            MemberName = (Get-MgUser -UserId $Member.Id).DisplayName
            MemberUPN = (Get-MgUser -UserId $Member.Id).UserPrincipalName
        }
    }
}
$Results | Export-Csv -Path "GroupesEtMembres.csv" -NoTypeInformation -Encoding UTF8

Export utilisateurs avec licences

$Users = Get-MgUser -All -Property DisplayName,UserPrincipalName,AssignedLicenses
$Results = foreach ($User in $Users) {
    $Licenses = $User.AssignedLicenses | ForEach-Object { 
        (Get-MgSubscribedSku | Where-Object SkuId -eq $_.SkuId).SkuPartNumber 
    }
    [PSCustomObject]@{
        DisplayName = $User.DisplayName
        UserPrincipalName = $User.UserPrincipalName
        Licenses = $Licenses -join "; "
    }
}
$Results | Export-Csv -Path "UtilisateursLicences.csv" -NoTypeInformation -Encoding UTF8

Export dernières connexions

Get-MgUser -All -Property DisplayName,UserPrincipalName,SignInActivity | 
Select-Object DisplayName, UserPrincipalName, @{Name="LastSignIn";Expression={$_.SignInActivity.LastSignInDateTime}} |
Export-Csv -Path "DernieresConnexions.csv" -NoTypeInformation -Encoding UTF8

🛠️ Script de création d’utilisateurs en masse

Script

# Installation et connexion Microsoft Graph
if (!(Get-Module -ListAvailable -Name Microsoft.Graph)) {
    Write-Host "Installation du module Microsoft.Graph..." -ForegroundColor Green
    Install-Module -Name Microsoft.Graph -Force -Scope CurrentUser
}
 
# Installation module ImportExcel pour traiter le CSV
if (!(Get-Module -ListAvailable -Name ImportExcel)) {
    Write-Host "Installation du module ImportExcel..." -ForegroundColor Green
    Install-Module -Name ImportExcel -Force -Scope CurrentUser
}
 
# Connexion avec les permissions nécessaires
Write-Host "Connexion à Microsoft Graph..." -ForegroundColor Green
Connect-MgGraph -Scopes "User.ReadWrite.All", "Group.ReadWrite.All"
 
# Configuration générale (à adapter selon votre environnement)
$csvPath = "C:\temp\NouveauxUtilisateurs.csv"
$logPath = "C:\temp\creation_utilisateurs_log.txt"
$domainePrincipal = "monentreprise.com"
$departementDefaut = "IT"
$paysDefaut = "France"
$usageLocation = "FR"
 
# Créer le fichier de log
New-Item -Path $logPath -ItemType File -Force
Write-Host "Fichier de log créé : $logPath" -ForegroundColor Yellow
 
# Importer les données CSV (colonnes attendues : FirstName, LastName, JobTitle, Department)
if (Test-Path $csvPath) {
    $utilisateurs = Import-Csv -Path $csvPath -Delimiter ";"
    Write-Host "Fichier CSV importé : $($utilisateurs.Count) utilisateurs trouvés" -ForegroundColor Green
} else {
    Write-Host "Fichier CSV non trouvé : $csvPath" -ForegroundColor Red
    exit
}
 
# Fonction pour générer un mot de passe sécurisé
function New-RandomPassword {
    param([int]$Length = 12)
    $chars = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789!@#$%"
    return -join ((1..$Length) | ForEach-Object { $chars[(Get-Random -Maximum $chars.Length)] })
}
 
# Boucle de création des utilisateurs
foreach ($user in $utilisateurs) {
    # Vérifications des champs obligatoires
    if ([string]::IsNullOrWhiteSpace($user.FirstName) -or [string]::IsNullOrWhiteSpace($user.LastName)) {
        $message = "ERREUR: Prénom ou nom manquant pour l'utilisateur ligne $($utilisateurs.IndexOf($user) + 2)"
        Write-Host $message -ForegroundColor Red
        Add-Content -Path $logPath -Value "$(Get-Date -Format 'yyyy-MM-dd HH:mm:ss') - $message"
        continue
    }
 
    # Génération des informations utilisateur
    $prenom = $user.FirstName.Trim()
    $nom = $user.LastName.Trim()
    $nomComplet = "$prenom $nom"
    $mailNickname = "$($prenom.ToLower()).$($nom.ToLower())"
    $email = "$mailNickname@$domainePrincipal"
    $motDePasse = New-RandomPassword
    $poste = if (![string]::IsNullOrWhiteSpace($user.JobTitle)) { $user.JobTitle } else { "Utilisateur" }
    $service = if (![string]::IsNullOrWhiteSpace($user.Department)) { $user.Department } else { $departementDefaut }
 
    Write-Host "Création de l'utilisateur : $nomComplet ($email)" -ForegroundColor Cyan
 
    try {
        # Vérifier si l'utilisateur existe déjà
        $existingUser = Get-MgUser -Filter "UserPrincipalName eq '$email'" -ErrorAction SilentlyContinue
        if ($existingUser) {
            $message = "ATTENTION: L'utilisateur $email existe déjà"
            Write-Host $message -ForegroundColor Yellow
            Add-Content -Path $logPath -Value "$(Get-Date -Format 'yyyy-MM-dd HH:mm:ss') - $message"
            continue
        }
 
        # Création de l'utilisateur
        $passwordProfile = @{
            Password = $motDePasse
            ForceChangePasswordNextSignIn = $true
        }
 
        $nouveauUtilisateur = @{
            DisplayName = $nomComplet
            UserPrincipalName = $email
            MailNickname = $mailNickname
            GivenName = $prenom
            Surname = $nom
            JobTitle = $poste
            Department = $service
            Country = $paysDefaut
            UsageLocation = $usageLocation
            PasswordProfile = $passwordProfile
            AccountEnabled = $true
        }
 
        $userCreated = New-MgUser @nouveauUtilisateur
 
        # Log de succès avec mot de passe
        $successMessage = "SUCCESS: Utilisateur $nomComplet créé | Email: $email | Mot de passe: $motDePasse"
        Write-Host "✓ Utilisateur créé avec succès" -ForegroundColor Green
        Add-Content -Path $logPath -Value "$(Get-Date -Format 'yyyy-MM-dd HH:mm:ss') - $successMessage"
 
        # Pause pour éviter les limitations de taux
        Start-Sleep -Milliseconds 500
 
    } catch {
        # Log d'erreur
        $errorMessage = "ERREUR: Échec création $nomComplet ($email) - $($_.Exception.Message)"
        Write-Host "✗ Erreur lors de la création: $($_.Exception.Message)" -ForegroundColor Red
        Add-Content -Path $logPath -Value "$(Get-Date -Format 'yyyy-MM-dd HH:mm:ss') - $errorMessage"
    }
}
 
Write-Host "`n=== RÉSUMÉ ===" -ForegroundColor Magenta
Write-Host "Script terminé. Consultez le fichier de log pour les détails : $logPath" -ForegroundColor Yellow
Write-Host "Pour assigner des licences, utilisez : Set-MgUserLicense" -ForegroundColor Yellow
 
# Déconnexion
Disconnect-MgGraph

Format CSV attendu

Créez un fichier CSV avec ces colonnes (séparateur ;) :

FirstName;LastName;JobTitle;Department
Jean;Dupont;Administrateur Système;IT
Marie;Martin;Développeuse;IT
Pierre;Durant;Chef de projet;Marketing
Sophie;Bernard;Comptable;Finance

Points clés du script

🔒 Sécurisé : Génération de mots de passe aléatoires robustes
📝 Logging complet : Tous les succès/échecs sont tracés
⚡ Limitation de débit : Pause entre créations pour éviter les erreurs API
🔍 Vérifications : Contrôle si l’utilisateur existe avant création

🎫 Licences

Attribution de licences

# Voir les licences disponibles
Get-MgSubscribedSku
 
# Définir la localisation (obligatoire)
Update-MgUser -UserId "john@domain.com" -UsageLocation "FR"
 
# Attribuer une licence
$SkuId = (Get-MgSubscribedSku | Where-Object {$_.SkuPartNumber -eq "SPE_E3"}).SkuId
Set-MgUserLicense -UserId "john@domain.com" -AddLicenses @(@{SkuId=$SkuId}) -RemoveLicenses @()

📌 Ancien cmdlet	🧠 Nouveau cmdlet Graph
`Connect-AzureAD`	`Connect-MgGraph`
`Get-AzureADUser`	`Get-MgUser`
`New-AzureADUser`	`New-MgUser`
`Set-AzureADUser`	`Update-MgUser`
`Get-AzureADGroup`	`Get-MgGroup`
`New-AzureADGroup`	`New-MgGroup`
`Add-AzureADGroupMember`	`New-MgGroupMember`
`Get-MsolUser`	`Get-MgUser`
`Set-MsolUserLicense`	`Set-MgUserLicense`

Recherche