列出管理單位中的使用者、群組或裝置
在 Microsoft Entra ID 中,您可以列出系統管理單位中的使用者、群組或裝置。
必要條件
- 每個系統管理單位系統管理員的 Microsoft Entra ID P1 或 P2 授權
- 管理單位成員的 Microsoft Entra ID 免費授權
- 使用 PowerShell 時安裝的 Microsoft Graph PowerShell SDK
- 使用適用於 Microsoft Graph API 的 Graph 總管時,管理員 同意
如需詳細資訊,請參閱 使用PowerShell或 Graph 總管的必要條件。
Microsoft Entra 系統管理中心
您可以使用 Microsoft Entra 系統管理中心,在系統管理單位中列出使用者、群組或裝置。
列出單一使用者、群組或裝置的系統管理單位
提示
本文中的步驟可能會根據您從開始的入口網站稍有不同。
流覽至 [ 身分識別]。
瀏覽下列其中一項:
- 使用者>所有使用者
- 群組>所有群組
- 裝置>所有裝置
選取您想要列出其系統管理單位的使用者、群組或裝置。
選取 [管理員 單位],以列出使用者、群組或裝置為成員的所有系統管理單位。
列出單一管理單位的使用者、群組或裝置
流覽至 [身分>識別角色與系統管理員> 管理員 單位]。
選取您想要列出使用者、群組或裝置的管理單位。
選取下列其中一項:
- 使用者
- 群組
- 裝置
使用 [所有裝置] 頁面列出管理單位的裝置
流覽至 [身分識別>裝置>] [所有裝置]。
選取管理單位的篩選條件。
選取您要列出其裝置的系統管理單位。
列出單一使用者或群組的限制管理管理單位
流覽至 [ 身分識別]。
瀏覽下列其中一項:
- 使用者>所有使用者
- 群組>所有群組
選取您想要列出其受限制管理管理單位的使用者或群組。
選取 [管理員 單位],以列出使用者或群組所屬的所有系統管理單位。
在 [ 受限制的管理 ] 數據行中,尋找設定為 [是] 的管理單位。
PowerShell
使用 Get-MgDirectory 管理員 istrativeUnit 和 Get-MgDirectory 管理員 istrativeUnitMember 命令來列出管理單位的使用者、群組或裝置。
注意
根據預設,Get-MgDirectory 管理員 istrativeUnitMember 只會傳回管理單位的最上層成員。 若要擷取所有成員,請新增 -All:$true 參數。
列出使用者的管理單位
$userObj = Get-MgUser -Filter "UserPrincipalName eq 'bill@example.com'"
Get-MgDirectoryAdministrativeUnit | `
where { Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $_.Id | `
where {$_.Id -eq $userObj.Id} }
列出群組的系統管理單位
$groupObj = Get-MgGroup -Filter "DisplayName eq 'TestGroup'"
Get-MgDirectoryAdministrativeUnit | `
where { Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $_.Id | `
where {$_.Id -eq $groupObj.Id} }
列出裝置的系統管理單位
$deviceObj = Get-MgDevice -Filter "DisplayName eq 'Test device'"
Get-MgDirectoryAdministrativeUnit | `
where { Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $_.Id | `
where {$_.Id -eq $deviceObj.Id} }
列出管理單位的使用者、群組和裝置
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Test administrative unit 2'"
Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id
列出管理單位的群組
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Test administrative unit 2'"
foreach ($member in (Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id))
{
if($member.AdditionalProperties."@odata.type" -eq "#microsoft.graph.group")
{
Get-MgGroup -GroupId $member.Id
}
}
列出管理單位的裝置
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Test administrative unit 2'"
foreach ($member in (Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id))
{
if($member.AdditionalProperties.ObjectType -eq "Device")
{
Get-MgDevice -DeviceId $member.Id
}
}
Microsoft Graph API
列出使用者的管理單位
使用使用者 List memberOf API 來列出使用者是直接成員的系統管理單位。
GET https://graph.microsoft.com/v1.0/users/{user-id}/memberOf/$/Microsoft.Graph.AdministrativeUnit
列出群組的系統管理單位
使用群組 List memberOf API 來列出群組是直接成員的系統管理單位。
GET https://graph.microsoft.com/v1.0/groups/{group-id}/memberOf/$/Microsoft.Graph.AdministrativeUnit
列出裝置的系統管理單位
使用列出 裝置成員資格 API 來列出裝置是直接成員的系統管理單位。
GET https://graph.microsoft.com/v1.0/devices/{device-id}/memberOf/$/Microsoft.Graph.AdministrativeUnit
列出管理單位的使用者、群組或裝置
使用列出成員 API 來列出管理單位的使用者、群組或裝置。 針對成員類型,指定 microsoft.graph.user、 microsoft.graph.group或 microsoft.graph.device。
GET https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$/microsoft.graph.group
列出單一使用者是否在受限制的管理管理單位中
使用取得使用者 (beta) API 來判斷使用者是否在受限制的管理管理單位中。 查看屬性的值 isManagementRestricted 。 如果 屬性為 true,則位於受限制的管理管理單位中。 如果 屬性為 false、空白或 Null,則它不在受限制的管理管理單位中。
GET https://graph.microsoft.com/beta/users/{user-id}
回應
{
"displayName": "John",
"isManagementRestricted": true,
"userPrincipalName": "john@contoso.com",
}