Listar os usuários, grupos ou dispositivos em uma unidade administrativa
No Microsoft Entra ID, você pode listar os usuários, grupos ou dispositivos em unidades administrativas.
Pré-requisitos
- Licença P1 ou P2 do ID do Microsoft Entra para cada administrador de unidade administrativa
- Licenças Gratuitas do Microsoft Entra ID para membros da unidade administrativa
- SDK do PowerShell do Microsoft Graph instalado ao usar o PowerShell
- Consentimento do administrador ao usar o Explorador do Graph para a API do Microsoft Graph
Para obter mais informações, confira Pré-requisitos para usar o PowerShell ou o Explorador do Graph.
Centro de administração do Microsoft Entra
Você pode listar usuários, grupos ou dispositivos nas unidades administrativas usando o Centro de administração do Microsoft Entra.
Listar as unidades administrativas para um único usuário, grupo ou dispositivo
Dica
As etapas neste artigo podem variar ligeiramente com base no portal do qual você começa.
Navegue até Identidade.
Navegue até um dos seguintes:
- Usuários>Todos os usuários
- Grupos>Todos os grupos
- Dispositivos>Todos os dispositivos
Selecione o usuário, o grupo ou o dispositivo que você deseja listar as unidades administrativas.
Selecione Unidades administrativas para listar todas as unidades administrativas em que o usuário, grupo ou dispositivo é membro.
Listar os usuários, grupos ou dispositivos para uma unidade administrativa
Navegue até Identidade>Funções e administradores>Unidades administrativas.
Selecione a unidade administrativa da qual você quer remover usuários, grupos ou dispositivos.
Selecione uma das seguintes:
- Usuários
- Grupos
- Dispositivos
Listar os dispositivos para uma unidade administrativa usando a página Todos os dispositivos
Navegue atéIdentidade>Dispositivos>Todos os dispositivos.
Selecione o filtro da unidade administrativa.
Selecione a unidade administrativa cujos dispositivos você deseja listar.
Listar as unidades administrativas de gerenciamento restrito para um único usuário ou grupo
Navegue até Identidade.
Navegue até um dos seguintes:
- Usuários>Todos os usuários
- Grupos>Todos os grupos
Selecione os usuários ou grupos que você quer listar suas unidades administrativas de gerenciamento restrito.
Selecione Unidades administrativas para listar todas as unidades administrativas em que o usuário ou grupo é membro.
Na coluna Gerenciamento restrito, procure por unidades administrativas definidas como Sim.
PowerShell
Use os comandos Get-MgDirectoryAdministrativeUnit e Get-MgDirectoryAdministrativeUnitMember para listar usuários, grupos ou dispositivos de uma unidade administrativa.
Observação
Por padrão, Get-MgDirectoryAdministrativeUnitMember retorna apenas os membros principais de uma unidade administrativa. Para recuperar todos os membros, adicione o parâmetro -All:$true
.
Listar as unidades administrativas de um usuário
$userObj = Get-MgUser -Filter "UserPrincipalName eq 'bill@example.com'"
Get-MgDirectoryAdministrativeUnit | `
where { Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $_.Id | `
where {$_.Id -eq $userObj.Id} }
Listar as unidades administrativas de um grupo
$groupObj = Get-MgGroup -Filter "DisplayName eq 'TestGroup'"
Get-MgDirectoryAdministrativeUnit | `
where { Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $_.Id | `
where {$_.Id -eq $groupObj.Id} }
Listar as unidades administrativas de um dispositivo
$deviceObj = Get-MgDevice -Filter "DisplayName eq 'Test device'"
Get-MgDirectoryAdministrativeUnit | `
where { Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $_.Id | `
where {$_.Id -eq $deviceObj.Id} }
Listar os usuários, grupos e dispositivos para uma unidade administrativa
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Test administrative unit 2'"
Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id
Listar os grupos para uma unidade administrativa
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Test administrative unit 2'"
foreach ($member in (Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id))
{
if($member.AdditionalProperties."@odata.type" -eq "#microsoft.graph.group")
{
Get-MgGroup -GroupId $member.Id
}
}
Listar os dispositivos para uma unidade administrativa
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Test administrative unit 2'"
foreach ($member in (Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id))
{
if($member.AdditionalProperties.ObjectType -eq "Device")
{
Get-MgDevice -DeviceId $member.Id
}
}
API do Microsoft Graph
Listar as unidades administrativas de um usuário
Use a API de usuário List memberOf para listar as unidades administrativas das quais um usuário é membro direto.
GET https://graph.microsoft.com/v1.0/users/{user-id}/memberOf/$/Microsoft.Graph.AdministrativeUnit
Listar as unidades administrativas de um grupo
Use a API de grupo List memberOf para listar as unidades administrativas das quais um grupo é membro direto.
GET https://graph.microsoft.com/v1.0/groups/{group-id}/memberOf/$/Microsoft.Graph.AdministrativeUnit
Listar as unidades administrativas de um dispositivo
Use a API Listar associações de dispositivo para listar as unidades administrativas das quais um dispositivo é membro direto.
GET https://graph.microsoft.com/v1.0/devices/{device-id}/memberOf/$/Microsoft.Graph.AdministrativeUnit
Listar os usuários, grupos, ou dispositivos para uma unidade administrativa
Use a API Listar membros para listar usuários, grupos, ou dispositivos para uma unidade administrativa. Para tipo de membro, especifique microsoft.graph.user
, microsoft.graph.group
, ou microsoft.graph.device
.
GET https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$/microsoft.graph.group
Listar se um único usuário está em uma unidade administrativa de gerenciamento restrito
Use a API Obter um usuário (beta) para determinar se um usuário está em uma unidade administrativa de gerenciamento restrito. Observe o valor da propriedade isManagementRestricted
. Se a propriedade for true
, ela está em uma unidade administrativa de gerenciamento restrito. Se a propriedade for false
, vazia ou nula, ela não está em uma unidade administrativa de gerenciamento restrito.
GET https://graph.microsoft.com/beta/users/{user-id}
Resposta
{
"displayName": "John",
"isManagementRestricted": true,
"userPrincipalName": "john@contoso.com",
}