Listar usuários, grupos ou dispositivos em uma unidade administrativa

Na ID do Microsoft Entra, você pode listar os usuários, grupos ou dispositivos em unidades administrativas.

Pré-requisitos

• Licença P1 ou P2 do Microsoft Entra ID para cada administrador de unidade administrativa
• Licenças Microsoft Entra ID Free para membros da unidade administrativa
• Módulo PowerShell do Microsoft Graph ao usar o PowerShell
• Consentimento do administrador ao usar o Graph Explorer com a API do Microsoft Graph

Para obter mais informações, consulte pré-requisitos para usar o PowerShell ou o Graph Explorer.

Centro de Administração

Você pode listar os usuários, grupos ou dispositivos em unidades administrativas usando o Centro de administração do Microsoft Entra.

Listar as unidades administrativas para um único usuário, grupo ou dispositivo

1. Entre no Centro de administração do Microsoft Entra.

2. Navegue até Entra ID.

3. Navegue até um dos seguintes itens:

   • Usuários>Todos os usuários
   • Grupos >Todos os grupos
   • Dispositivos >todos os dispositivos

4. Selecione o usuário, o grupo ou o dispositivo para listar suas unidades administrativas.

5. Selecione unidades administrativas para listar todas as unidades administrativas em que o usuário, o grupo ou o dispositivo é membro.

   

Listar os usuários, grupos ou dispositivos para uma única unidade administrativa

1. Entre no Centro de administração do Microsoft Entra.

2. Navegue até Entra ID>Funções e administradores>Unidades de Administração.

3. Selecione a unidade administrativa para a qual você deseja listar os usuários, grupos ou dispositivos.

4. Selecione um dos seguintes:

   • Usuários
   • Grupos
   • Dispositivos

   

Listar os dispositivos para uma unidade administrativa usando a página Todos os dispositivos

1. Entre no Centro de administração do Microsoft Entra.

2. Navegue até Entra ID>Dispositivos>Todos os dispositivos.

3. Selecione o filtro para a unidade administrativa.

4. Selecione a unidade administrativa cujos dispositivos você deseja listar.

   

Listar as unidades administrativas de gerenciamento restrito para um único usuário ou grupo

1. Entre no Centro de administração do Microsoft Entra.

2. Navegue até Entra ID.

3. Navegue até um dos seguintes itens:

   • Usuários>Todos os usuários
   • Grupos >Todos os grupos

4. Selecione o usuário ou grupo que você deseja listar suas unidades administrativas de gerenciamento restrito.

5. Selecione unidades administrativas para listar todas as unidades administrativas em que o usuário ou grupo é membro.

6. Na coluna Gerenciamento restrito, procure por unidades administrativas definidas como Sim.

   

PowerShell

Use os comandos Get-MgDirectoryAdministrativeUnit e Get-MgDirectoryAdministrativeUnitMember para listar usuários, grupos ou dispositivos para uma unidade administrativa.

Nota

Por padrão, Get-MgDirectoryAdministrativeUnitMember retorna apenas os principais membros de uma unidade administrativa. Para recuperar todos os membros, adicione o parâmetro -All:$true.

Listar as unidades administrativas de um usuário

$userObj = Get-MgUser -Filter "UserPrincipalName eq 'bill@example.com'"
Get-MgDirectoryAdministrativeUnit | `
   where { Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $_.Id | `
   where {$_.Id -eq $userObj.Id} }

Listar as unidades administrativas de um grupo

$groupObj = Get-MgGroup -Filter "DisplayName eq 'TestGroup'"
Get-MgDirectoryAdministrativeUnit | `
   where { Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $_.Id | `
   where {$_.Id -eq $groupObj.Id} }

Listar as unidades administrativas de um dispositivo

$deviceObj = Get-MgDevice -Filter "DisplayName eq 'Test device'"
Get-MgDirectoryAdministrativeUnit | `
   where { Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $_.Id | `
   where {$_.Id -eq $deviceObj.Id} }

Listar os usuários, grupos e dispositivos para uma unidade administrativa

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Test administrative unit 2'"
Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id

Listar os grupos de uma unidade administrativa

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Test administrative unit 2'"
foreach ($member in (Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id)) 
{
    if($member.AdditionalProperties."@odata.type" -eq "#microsoft.graph.group")
    {
        Get-MgGroup -GroupId $member.Id
    }
}

Listar os dispositivos para uma unidade administrativa

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Test administrative unit 2'"
foreach ($member in (Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id)) 
{
    if($member.AdditionalProperties.ObjectType -eq "Device")
    {
        Get-MgDevice -DeviceId $member.Id
    }
}

API do Graph

Listar as unidades administrativas de um usuário

Use o usuário List memberOf API para listar as unidades administrativas das quais um usuário é membro direto.

GET https://graph.microsoft.com/v1.0/users/{user-id}/memberOf/$/Microsoft.Graph.AdministrativeUnit

Listar as unidades administrativas de um grupo

Use o grupo List memberOf API para listar as unidades administrativas das quais um grupo é membro direto.

GET https://graph.microsoft.com/v1.0/groups/{group-id}/memberOf/$/Microsoft.Graph.AdministrativeUnit

Listar as unidades administrativas de um dispositivo

Use a API Listar associações de dispositivo para listar as unidades administrativas das quais um dispositivo é membro direto.

GET https://graph.microsoft.com/v1.0/devices/{device-id}/memberOf/$/Microsoft.Graph.AdministrativeUnit

Listar os usuários, grupos ou dispositivos para uma unidade administrativa

Use a API de Listar membros para listar os usuários, grupos ou dispositivos de uma unidade administrativa. Para o tipo de membro, especifique microsoft.graph.user, microsoft.graph.groupou microsoft.graph.device.

GET https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$/microsoft.graph.group

Listar se um único usuário está em uma unidade administrativa de gerenciamento restrito

Use a API Obter um usuário (beta) para determinar se um usuário está em uma unidade administrativa de gerenciamento restrito. Observe o valor da propriedade isManagementRestricted. Se a propriedade for true, ela está em uma unidade administrativa de gerenciamento restrito. Se a propriedade for false, vazia ou nula, ela não está em uma unidade administrativa de gerenciamento restrito.

GET https://graph.microsoft.com/beta/users/{user-id}

Resposta

{ 
  "displayName": "John",
  "isManagementRestricted": true,
  "userPrincipalName": "john@contoso.com", 
}

Próximas etapas

• Adicionar usuários, grupos ou dispositivos a uma unidade administrativa
• Atribuir funções do Microsoft Entra com escopo de unidade administrativa