管理単位のユーザー、グループ、またはデバイスを一覧表示する
Microsoft Entra ID では、管理単位のユーザー、グループ、またはデバイスを一覧表示できます。
前提条件
- 管理単位の各管理者に対する Microsoft Entra ID P1 または P2 ライセンス
- 管理単位メンバーの Microsoft Entra ID Free ライセンス
- PowerShell を使用する場合はMicrosoft Graph PowerShell SDKのインストール
- 管理者の同意 (Microsoft Graph API の Graph エクスプローラーを使用する場合)
詳細については、PowerShell または Graph エクスプローラーを使用するための前提条件に関するページを参照してください。
Microsoft Entra 管理センター
Microsoft Entra 管理センターを使って、管理単位のユーザー、グループ、またはデバイスを一覧表示できます。
単一のユーザー、グループ、またはデバイスの管理単位を一覧表示する
ヒント
この記事の手順は、開始するポータルによって若干異なる場合があります。
Microsoft Entra 管理センターにサインインします。
[ID] に移動します。
次のいずれかを参照します。
- [ユーザー]>[すべてのユーザー]
- [グループ]>[すべてのグループ]
- デバイス>すべてのデバイス
管理単位を一覧表示するユーザー、グループ、またはデバイスを選択します。
[管理単位] を選択すると、そのユーザー、グループ、またはデバイスがメンバーになっている管理単位がすべて一覧表示されます。
単一の管理単位のユーザー、グループ、またはデバイスを一覧表示する
Microsoft Entra 管理センターにサインインします。
[ID]>[役割と管理者]>[管理単位] に移動します。
ユーザー、グループ、またはデバイスを一覧表示する管理単位を選択します。
次のいずれかを選択してください。
- ユーザー
- グループ
- デバイス
[すべてのデバイス] ページを使用して管理単位のデバイスを一覧表示する
Microsoft Entra 管理センターにサインインします。
ID>デバイス>すべてのデバイス を参照します。
管理単位のフィルターを選択します。
デバイスを一覧表示する管理単位を選択します。
単一のユーザーまたはグループの制限付き管理単位を一覧表示する
Microsoft Entra 管理センターにサインインします。
[ID] に移動します。
次のいずれかを参照します。
- [ユーザー]>[すべてのユーザー]
- [グループ]>[すべてのグループ]
制限付き管理単位を一覧表示するユーザーまたはグループを選択します。
[管理単位] を選択すると、そのユーザーまたはグループがメンバーになっている管理単位がすべて一覧表示されます。
[制限付き管理] 列で、[はい] に設定されている管理単位を探します。
PowerShell
Get-MgDirectoryAdministrativeUnit コマンドと Get-MgDirectoryAdministrativeUnitMember コマンドを使用して、管理単位のユーザー、グループ、またはデバイスを一覧表示します。
Note
既定では、Get-MgDirectoryAdministrativeUnitMember は管理単位の上位メンバーのみを返します。 すべてのメンバーを取得するには、-All:$true
パラメーターを追加します。
ユーザーの管理単位を一覧表示する
$userObj = Get-MgUser -Filter "UserPrincipalName eq 'bill@example.com'"
Get-MgDirectoryAdministrativeUnit | `
where { Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $_.Id | `
where {$_.Id -eq $userObj.Id} }
グループの管理単位を一覧表示する
$groupObj = Get-MgGroup -Filter "DisplayName eq 'TestGroup'"
Get-MgDirectoryAdministrativeUnit | `
where { Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $_.Id | `
where {$_.Id -eq $groupObj.Id} }
デバイスの管理単位を一覧表示する
$deviceObj = Get-MgDevice -Filter "DisplayName eq 'Test device'"
Get-MgDirectoryAdministrativeUnit | `
where { Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $_.Id | `
where {$_.Id -eq $deviceObj.Id} }
管理単位のユーザー、グループ、デバイスを一覧表示する
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Test administrative unit 2'"
Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id
管理単位のグループを一覧表示する
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Test administrative unit 2'"
foreach ($member in (Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id))
{
if($member.AdditionalProperties."@odata.type" -eq "#microsoft.graph.group")
{
Get-MgGroup -GroupId $member.Id
}
}
管理単位のデバイスを一覧表示する
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Test administrative unit 2'"
foreach ($member in (Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id))
{
if($member.AdditionalProperties.ObjectType -eq "Device")
{
Get-MgDevice -DeviceId $member.Id
}
}
Microsoft Graph API
ユーザーの管理単位を一覧表示する
ユーザーの List memberOf API を使用して、ユーザーが直接のメンバーである管理単位を一覧表示します。
GET https://graph.microsoft.com/v1.0/users/{user-id}/memberOf/$/Microsoft.Graph.AdministrativeUnit
グループの管理単位を一覧表示する
グループの List memberOf API を使用して、グループが直接のメンバーである管理単位を一覧表示します。
GET https://graph.microsoft.com/v1.0/groups/{group-id}/memberOf/$/Microsoft.Graph.AdministrativeUnit
デバイスの管理単位を一覧表示する
List device memberships API を使用して、デバイスが直接のメンバーである管理単位を一覧表示します。
GET https://graph.microsoft.com/v1.0/devices/{device-id}/memberOf/$/Microsoft.Graph.AdministrativeUnit
管理単位のユーザー、グループ、またはデバイスを一覧表示する
メンバーの一覧表示 API を使用して、管理単位のユーザー、グループ、またはデバイスを一覧表示します。 メンバー型には、microsoft.graph.user
、microsoft.graph.group
、またはmicrosoft.graph.device
を指定します。
GET https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$/microsoft.graph.group
単一のユーザーが制限付き管理単位に含まれるかどうかを一覧表示する
ユーザーの Get a user (beta) API を使用して、ユーザーが制限付き管理単位に含まれているかどうかを判断します。 isManagementRestricted
プロパティの値を確認します。 プロパティが true
の場合、そのプロパティは制限された管理管理単位内にあります。 プロパティが false
、空、または null の場合、そのプロパティは制限付き管理単位内にありません。
GET https://graph.microsoft.com/beta/users/{user-id}
Response
{
"displayName": "John",
"isManagementRestricted": true,
"userPrincipalName": "john@contoso.com",
}