Вывод списка пользователей, групп или устройств в административной единице

В идентификаторе Microsoft Entra можно перечислить пользователей, групп или устройств в административных единицах.

Необходимые компоненты

  • Лицензия Microsoft Entra ID P1 или P2 для каждого администратора административной единицы
  • Бесплатные лицензии microsoft Entra ID для членов административной единицы
  • Пакет SDK Для Microsoft Graph PowerShell, установленный при использовании PowerShell
  • Согласие администратора при использовании песочницы Graph для Microsoft Graph API.

Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или песочницы Graph.

Центр администрирования Microsoft Entra

Вы можете перечислить пользователей, группы или устройства в административных единицах с помощью Центра администрирования Microsoft Entra.

Вывод списка административных единиц для одного пользователя, группы или устройства

Кеңес

Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.

  1. Войдите в центр администрирования Microsoft Entra.

  2. Перейдите к удостоверению.

  3. Перейдите в одно из следующих мест:

    • Пользователи все пользователи>
    • Группы>"Все группы"
    • Устройства>Все устройства
  4. Выберите пользователя, группу или устройство, для которых требуется вывести список административных единиц.

  5. Щелкните Административные единицы, чтобы получить список всех административных единиц, членом которых является пользователь, группа или устройство.

    Screenshot of the Administrative units page, displaying a list administrative units that a group is assigned to.

Вывод списка пользователей, групп или устройств для одной административной группы

  1. Войдите в центр администрирования Microsoft Entra.

  2. Перейдите к ролям удостоверений>и администраторам> Администратор единиц.

  3. Выберите административную единицу, для которой нужно указать пользователей, группы или устройства.

  4. Выберите один из следующих вариантов.

    • Пользователи
    • Группы
    • Устройства

    Screenshot of the Groups page displaying a list of groups in an administrative unit.

Вывод списка устройств для административной единицы с помощью страницы "Все устройства"

  1. Войдите в центр администрирования Microsoft Entra.

  2. Перейдите ко всем устройствам> удостоверений.>

  3. Выберите фильтр для административной единицы.

  4. Выберите административную единицу, устройства которой необходимо перечислить.

    Screenshot of All devices page with an administrative unit filter.

Перечисление административных единиц ограниченного управления для одного пользователя или группы

  1. Войдите в центр администрирования Microsoft Entra.

  2. Перейдите к удостоверению.

  3. Перейдите в одно из следующих мест:

    • Пользователи все пользователи>
    • Группы>"Все группы"
  4. Выберите пользователя или группу, которую вы хотите перечислить их ограниченные административные единицы управления.

  5. Щелкните Административные единицы, чтобы получить список всех административных единиц, членом которых является пользователь или группа.

  6. В столбце "Ограниченное управление " найдите административные единицы, для которых задано значение "Да".

    Screenshot of the Administrative units page with the Restricted management column.

PowerShell

Используйте команды Get-MgDirectory Администратор istrativeUnit и Get-MgDirectory Администратор istrativeUnitMember для перечисления пользователей, групп или устройств для административной единицы.

Ескерім

По умолчанию Get-MgDirectory Администратор istrativeUnitMember возвращает только верхние члены административной единицы. Чтобы получить список всех членов, добавьте параметр -All:$true.

Получение списка административных единицы для пользователя

$userObj = Get-MgUser -Filter "UserPrincipalName eq 'bill@example.com'"
Get-MgDirectoryAdministrativeUnit | `
   where { Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $_.Id | `
   where {$_.Id -eq $userObj.Id} }

Получение списка административных единицы для группы

$groupObj = Get-MgGroup -Filter "DisplayName eq 'TestGroup'"
Get-MgDirectoryAdministrativeUnit | `
   where { Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $_.Id | `
   where {$_.Id -eq $groupObj.Id} }

Вывод списка административных единиц для устройства

$deviceObj = Get-MgDevice -Filter "DisplayName eq 'Test device'"
Get-MgDirectoryAdministrativeUnit | `
   where { Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $_.Id | `
   where {$_.Id -eq $deviceObj.Id} }

Вывод списка пользователей, групп и устройств для административной единицы

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Test administrative unit 2'"
Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id

Получение списка групп для административной единицы

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Test administrative unit 2'"
foreach ($member in (Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id)) 
{
    if($member.AdditionalProperties."@odata.type" -eq "#microsoft.graph.group")
    {
        Get-MgGroup -GroupId $member.Id
    }
}

Вывод списка устройств для административной единицы

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Test administrative unit 2'"
foreach ($member in (Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id)) 
{
    if($member.AdditionalProperties.ObjectType -eq "Device")
    {
        Get-MgDevice -DeviceId $member.Id
    }
}

API Microsoft Graph

Получение списка административных единицы для пользователя

Используйте API элемента списка пользователей для перечисления административных единиц, в которые входит пользователь.

GET https://graph.microsoft.com/v1.0/users/{user-id}/memberOf/$/Microsoft.Graph.AdministrativeUnit

Получение списка административных единицы для группы

Используйте API списка участников группы для перечисления административных единиц, в которые входит группа.

GET https://graph.microsoft.com/v1.0/groups/{group-id}/memberOf/$/Microsoft.Graph.AdministrativeUnit

Вывод списка административных единиц для устройства

Используйте API членства устройств в списке административных единиц, которые устройство является прямым членом.

GET https://graph.microsoft.com/v1.0/devices/{device-id}/memberOf/$/Microsoft.Graph.AdministrativeUnit

Вывод списка пользователей, групп или устройств для административной единицы

Используйте API членов списка для перечисления пользователей, групп или устройств для административной единицы. Для типа члена укажите microsoft.graph.user, microsoft.graph.groupили microsoft.graph.device.

GET https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$/microsoft.graph.group

Список того, находится ли один пользователь в административной единице управления с ограниченным доступом

Используйте API Получения пользователя (бета-версии), чтобы определить, находится ли пользователь в административной единице управления с ограниченным доступом. Просмотрите значение isManagementRestricted свойства. Если свойство имеет trueзначение, оно находится в административной единице ограниченного управления. Если свойство равно false, пусто или null, оно не находится в ограниченной административной единице управления.

GET https://graph.microsoft.com/beta/users/{user-id}

Response

{ 
  "displayName": "John",
  "isManagementRestricted": true,
  "userPrincipalName": "john@contoso.com", 
}

Следующие шаги