Вывод списка пользователей, групп или устройств в административной единице
В идентификаторе Microsoft Entra можно перечислить пользователей, групп или устройств в административных единицах.
Необходимые компоненты
- Лицензия Microsoft Entra ID P1 или P2 для каждого администратора административной единицы
- Бесплатные лицензии microsoft Entra ID для членов административной единицы
- Пакет SDK Для Microsoft Graph PowerShell, установленный при использовании PowerShell
- Согласие администратора при использовании песочницы Graph для Microsoft Graph API.
Дополнительные сведения см. в разделе Предварительные требования для использования PowerShell или песочницы Graph.
Центр администрирования Microsoft Entra
Вы можете перечислить пользователей, группы или устройства в административных единицах с помощью Центра администрирования Microsoft Entra.
Вывод списка административных единиц для одного пользователя, группы или устройства
Совет
Действия, описанные в этой статье, могут немного отличаться на портале, с который вы начинаете работу.
Войдите в центр администрирования Microsoft Entra.
Перейдите к удостоверению.
Перейдите в одно из следующих мест:
- Пользователи все пользователи>
- Группы>"Все группы"
- Устройства>Все устройства
Выберите пользователя, группу или устройство, для которых требуется вывести список административных единиц.
Щелкните Административные единицы, чтобы получить список всех административных единиц, членом которых является пользователь, группа или устройство.
Вывод списка пользователей, групп или устройств для одной административной группы
Войдите в центр администрирования Microsoft Entra.
Перейдите к ролям удостоверений>и администраторам> Администратор единиц.
Выберите административную единицу, для которой нужно указать пользователей, группы или устройства.
Выберите один из следующих вариантов.
- Пользователи
- Группы
- Устройства
Вывод списка устройств для административной единицы с помощью страницы "Все устройства"
Войдите в центр администрирования Microsoft Entra.
Перейдите ко всем устройствам> удостоверений.>
Выберите фильтр для административной единицы.
Выберите административную единицу, устройства которой необходимо перечислить.
Перечисление административных единиц ограниченного управления для одного пользователя или группы
Войдите в центр администрирования Microsoft Entra.
Перейдите к удостоверению.
Перейдите в одно из следующих мест:
- Пользователи все пользователи>
- Группы>"Все группы"
Выберите пользователя или группу, которую вы хотите перечислить их ограниченные административные единицы управления.
Щелкните Административные единицы, чтобы получить список всех административных единиц, членом которых является пользователь или группа.
В столбце "Ограниченное управление " найдите административные единицы, для которых задано значение "Да".
PowerShell
Используйте команды Get-MgDirectory Администратор istrativeUnit и Get-MgDirectory Администратор istrativeUnitMember для перечисления пользователей, групп или устройств для административной единицы.
Примечание.
По умолчанию Get-MgDirectory Администратор istrativeUnitMember возвращает только верхние члены административной единицы. Чтобы получить список всех членов, добавьте параметр -All:$true.
Получение списка административных единицы для пользователя
$userObj = Get-MgUser -Filter "UserPrincipalName eq 'bill@example.com'"
Get-MgDirectoryAdministrativeUnit | `
where { Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $_.Id | `
where {$_.Id -eq $userObj.Id} }
Получение списка административных единицы для группы
$groupObj = Get-MgGroup -Filter "DisplayName eq 'TestGroup'"
Get-MgDirectoryAdministrativeUnit | `
where { Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $_.Id | `
where {$_.Id -eq $groupObj.Id} }
Вывод списка административных единиц для устройства
$deviceObj = Get-MgDevice -Filter "DisplayName eq 'Test device'"
Get-MgDirectoryAdministrativeUnit | `
where { Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $_.Id | `
where {$_.Id -eq $deviceObj.Id} }
Вывод списка пользователей, групп и устройств для административной единицы
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Test administrative unit 2'"
Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id
Получение списка групп для административной единицы
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Test administrative unit 2'"
foreach ($member in (Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id))
{
if($member.AdditionalProperties."@odata.type" -eq "#microsoft.graph.group")
{
Get-MgGroup -GroupId $member.Id
}
}
Вывод списка устройств для административной единицы
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Test administrative unit 2'"
foreach ($member in (Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id))
{
if($member.AdditionalProperties.ObjectType -eq "Device")
{
Get-MgDevice -DeviceId $member.Id
}
}
API Microsoft Graph
Получение списка административных единицы для пользователя
Используйте API элемента списка пользователей для перечисления административных единиц, в которые входит пользователь.
GET https://graph.microsoft.com/v1.0/users/{user-id}/memberOf/$/Microsoft.Graph.AdministrativeUnit
Получение списка административных единицы для группы
Используйте API списка участников группы для перечисления административных единиц, в которые входит группа.
GET https://graph.microsoft.com/v1.0/groups/{group-id}/memberOf/$/Microsoft.Graph.AdministrativeUnit
Вывод списка административных единиц для устройства
Используйте API членства устройств в списке административных единиц, которые устройство является прямым членом.
GET https://graph.microsoft.com/v1.0/devices/{device-id}/memberOf/$/Microsoft.Graph.AdministrativeUnit
Вывод списка пользователей, групп или устройств для административной единицы
Используйте API членов списка для перечисления пользователей, групп или устройств для административной единицы. Для типа члена укажите microsoft.graph.user, microsoft.graph.groupили microsoft.graph.device.
GET https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$/microsoft.graph.group
Список того, находится ли один пользователь в административной единице управления с ограниченным доступом
Используйте API Получения пользователя (бета-версии), чтобы определить, находится ли пользователь в административной единице управления с ограниченным доступом. Просмотрите значение isManagementRestricted свойства. Если свойство имеет trueзначение, оно находится в административной единице ограниченного управления. Если свойство равно false, пусто или null, оно не находится в ограниченной административной единице управления.
GET https://graph.microsoft.com/beta/users/{user-id}
Response
{
"displayName": "John",
"isManagementRestricted": true,
"userPrincipalName": "john@contoso.com",
}
Следующие шаги
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по