Список пользователей, групп или устройств в административной единице

В идентификаторе Microsoft Entra можно перечислить пользователей, групп или устройств в административных единицах.

Необходимые условия

• Лицензия Microsoft Entra ID P1 или P2 для каждого администратора административной единицы
• Бесплатные лицензии microsoft Entra ID для членов административной единицы
• Модуль Microsoft Graph PowerShell при использовании PowerShell
• Согласие администратора при использовании обозревателя Graph для API Microsoft Graph

Дополнительные сведения см. в разделе "Предварительные требования" для использования PowerShell или обозревателя Graph.

Центр администрирования

Вы можете перечислить пользователей, группы или устройства в административных единицах с помощью Центра администрирования Microsoft Entra.

Перечислите административные единицы для отдельного пользователя, группы или устройства

1. Войдите в Центр администрирования Microsoft Entra.

2. Перейдите к Entra ID.

3. Перейдите к одному из следующих вариантов:

   • Пользователей>Все пользователи
   • Группы>Все группы
   • Приборы>Все устройства

4. Выберите пользователя, группу или устройство, чтобы увидеть их административные единицы.

5. Выберите административные единицы , чтобы перечислить все административные единицы, в которых пользователь, группа или устройство являются членом.

   

Вывод списка пользователей, групп или устройств для одной административной единицы

1. Войдите в Центр администрирования Microsoft Entra.

2. Перейдите к Entra ID>Роли и администраторы>административные единицы.

3. Выберите административную единицу, для которой нужно указать пользователей, группы или устройства.

4. Выберите один из следующих вариантов:

   • Пользователи
   • Группы
   • Приборы

   

Вывод списка устройств для административной единицы с помощью страницы "Все устройства"

1. Войдите в Центр администрирования Microsoft Entra.

2. Перейдите в раздел Entra ID>Устройства>Все устройства.

3. Выберите фильтр для административной единицы.

4. Выберите административную единицу, устройства которой нужно перечислить.

   

Перечисление административных единиц ограниченного управления для одного пользователя или группы

1. Войдите в Центр администрирования Microsoft Entra.

2. Перейдите к Entra ID.

3. Перейдите к одному из следующих вариантов:

   • Пользователей>Все пользователи
   • Группы>Все группы

4. Выберите пользователя или группу, для которых вы хотите перечислить их ограниченные административные единицы управления.

5. Выберите административные единицы, чтобы перечислить все административные единицы , в которых пользователь или группа является членом.

6. В столбце "Ограниченное управление " найдите административные единицы, для которых задано значение "Да".

   

PowerShell

Используйте команды Get-MgDirectoryAdministrativeUnit и Get-MgDirectoryAdministrativeUnitMember для перечисления пользователей, групп или устройств для административной единицы.

Заметка

По умолчанию Get-MgDirectoryAdministrativeUnitMember возвращает только верхние члены административной единицы. Чтобы получить всех участников, добавьте параметр -All:$true.

Перечисление административных единиц для пользователя

$userObj = Get-MgUser -Filter "UserPrincipalName eq 'bill@example.com'"
Get-MgDirectoryAdministrativeUnit | `
   where { Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $_.Id | `
   where {$_.Id -eq $userObj.Id} }

Перечисление административных единиц для группы

$groupObj = Get-MgGroup -Filter "DisplayName eq 'TestGroup'"
Get-MgDirectoryAdministrativeUnit | `
   where { Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $_.Id | `
   where {$_.Id -eq $groupObj.Id} }

Перечислите административные единицы для устройства

$deviceObj = Get-MgDevice -Filter "DisplayName eq 'Test device'"
Get-MgDirectoryAdministrativeUnit | `
   where { Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $_.Id | `
   where {$_.Id -eq $deviceObj.Id} }

Вывод списка пользователей, групп и устройств для административной единицы

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Test administrative unit 2'"
Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id

Перечислите группы для административной единицы

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Test administrative unit 2'"
foreach ($member in (Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id)) 
{
    if($member.AdditionalProperties."@odata.type" -eq "#microsoft.graph.group")
    {
        Get-MgGroup -GroupId $member.Id
    }
}

Перечислите устройства административной единицы

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Test administrative unit 2'"
foreach ($member in (Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id)) 
{
    if($member.AdditionalProperties.ObjectType -eq "Device")
    {
        Get-MgDevice -DeviceId $member.Id
    }
}

Graph API

Перечисление административных единиц для пользователя

Используйте API List memberOf для перечисления административных единиц, членом которых пользователь является непосредственно.

GET https://graph.microsoft.com/v1.0/users/{user-id}/memberOf/$/Microsoft.Graph.AdministrativeUnit

Перечисление административных единиц для группы

Используйте API List memberOf, чтобы получить список административных единиц, в которых группа является прямым участником.

GET https://graph.microsoft.com/v1.0/groups/{group-id}/memberOf/$/Microsoft.Graph.AdministrativeUnit

Перечислите административные единицы для устройства

Используйте API перечисления членств устройства, чтобы перечислить административные единицы, в которых устройство является прямым членом.

GET https://graph.microsoft.com/v1.0/devices/{device-id}/memberOf/$/Microsoft.Graph.AdministrativeUnit

Вывод списка пользователей, групп или устройств для административной единицы

Используйте API списка участников для перечисления пользователей, групп или устройств для административной единицы. Для типа члена укажите microsoft.graph.user, microsoft.graph.groupили microsoft.graph.device.

GET https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$/microsoft.graph.group

Список того, находится ли один пользователь в административной единице управления с ограниченным доступом

Используйте API Получения пользователя (бета-версии), чтобы определить, находится ли пользователь в административной единице управления с ограниченным доступом. Просмотрите значение свойства isManagementRestricted. Если свойство true, оно находится в административной единице с ограниченными правами управления. Если свойство false, пустое или null, оно не находится в административной единице управления с ограниченным доступом.

GET https://graph.microsoft.com/beta/users/{user-id}

Ответ

{ 
  "displayName": "John",
  "isManagementRestricted": true,
  "userPrincipalName": "john@contoso.com", 
}

Дальнейшие действия

• Добавление пользователей, групп или устройств в административную единицу
• Назначение ролей Microsoft Entra в пределах административной единицы