Вывод списка пользователей, групп или устройств в административной единице
В идентификаторе Microsoft Entra можно перечислить пользователей, групп или устройств в административных единицах.
- Лицензия Microsoft Entra ID P1 или P2 для каждого администратора административной единицы
- Бесплатные лицензии microsoft Entra ID для членов административной единицы
- Пакет SDK Для Microsoft Graph PowerShell, установленный при использовании PowerShell
- Согласие администратора при использовании песочницы Graph для Microsoft Graph API.
Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или песочницы Graph.
Вы можете перечислить пользователей, группы или устройства в административных единицах с помощью Центра администрирования Microsoft Entra.
Кеңес
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Войдите в центр администрирования Microsoft Entra.
Перейдите к удостоверению.
Перейдите в одно из следующих мест:
- Пользователи все пользователи>
- Группы>"Все группы"
- Устройства>Все устройства
Выберите пользователя, группу или устройство, для которых требуется вывести список административных единиц.
Щелкните Административные единицы, чтобы получить список всех административных единиц, членом которых является пользователь, группа или устройство.
Войдите в центр администрирования Microsoft Entra.
Перейдите к ролям удостоверений>и администраторам> Администратор единиц.
Выберите административную единицу, для которой нужно указать пользователей, группы или устройства.
Выберите один из следующих вариантов.
- Пользователи
- Группы
- Устройства
Войдите в центр администрирования Microsoft Entra.
Перейдите ко всем устройствам> удостоверений.>
Выберите фильтр для административной единицы.
Выберите административную единицу, устройства которой необходимо перечислить.
Войдите в центр администрирования Microsoft Entra.
Перейдите к удостоверению.
Перейдите в одно из следующих мест:
- Пользователи все пользователи>
- Группы>"Все группы"
Выберите пользователя или группу, которую вы хотите перечислить их ограниченные административные единицы управления.
Щелкните Административные единицы, чтобы получить список всех административных единиц, членом которых является пользователь или группа.
В столбце "Ограниченное управление " найдите административные единицы, для которых задано значение "Да".
Используйте команды Get-MgDirectory Администратор istrativeUnit и Get-MgDirectory Администратор istrativeUnitMember для перечисления пользователей, групп или устройств для административной единицы.
Ескерім
По умолчанию Get-MgDirectory Администратор istrativeUnitMember возвращает только верхние члены административной единицы. Чтобы получить список всех членов, добавьте параметр -All:$true
.
$userObj = Get-MgUser -Filter "UserPrincipalName eq 'bill@example.com'"
Get-MgDirectoryAdministrativeUnit | `
where { Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $_.Id | `
where {$_.Id -eq $userObj.Id} }
$groupObj = Get-MgGroup -Filter "DisplayName eq 'TestGroup'"
Get-MgDirectoryAdministrativeUnit | `
where { Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $_.Id | `
where {$_.Id -eq $groupObj.Id} }
$deviceObj = Get-MgDevice -Filter "DisplayName eq 'Test device'"
Get-MgDirectoryAdministrativeUnit | `
where { Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $_.Id | `
where {$_.Id -eq $deviceObj.Id} }
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Test administrative unit 2'"
Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Test administrative unit 2'"
foreach ($member in (Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id))
{
if($member.AdditionalProperties."@odata.type" -eq "#microsoft.graph.group")
{
Get-MgGroup -GroupId $member.Id
}
}
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Test administrative unit 2'"
foreach ($member in (Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id))
{
if($member.AdditionalProperties.ObjectType -eq "Device")
{
Get-MgDevice -DeviceId $member.Id
}
}
Используйте API элемента списка пользователей для перечисления административных единиц, в которые входит пользователь.
GET https://graph.microsoft.com/v1.0/users/{user-id}/memberOf/$/Microsoft.Graph.AdministrativeUnit
Используйте API списка участников группы для перечисления административных единиц, в которые входит группа.
GET https://graph.microsoft.com/v1.0/groups/{group-id}/memberOf/$/Microsoft.Graph.AdministrativeUnit
Используйте API членства устройств в списке административных единиц, которые устройство является прямым членом.
GET https://graph.microsoft.com/v1.0/devices/{device-id}/memberOf/$/Microsoft.Graph.AdministrativeUnit
Используйте API членов списка для перечисления пользователей, групп или устройств для административной единицы. Для типа члена укажите microsoft.graph.user
, microsoft.graph.group
или microsoft.graph.device
.
GET https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$/microsoft.graph.group
Список того, находится ли один пользователь в административной единице управления с ограниченным доступом
Используйте API Получения пользователя (бета-версии), чтобы определить, находится ли пользователь в административной единице управления с ограниченным доступом. Просмотрите значение isManagementRestricted
свойства. Если свойство имеет true
значение, оно находится в административной единице ограниченного управления. Если свойство равно false
, пусто или null, оно не находится в ограниченной административной единице управления.
GET https://graph.microsoft.com/beta/users/{user-id}
Response
{
"displayName": "John",
"isManagementRestricted": true,
"userPrincipalName": "john@contoso.com",
}