可以使用 Microsoft Entra 管理中心列出管理单元中的用户、组或设备。
列出单个用户、组或设备的管理单元
提示
本文中的步骤可能因您从中开始的门户而略有不同。
登录 Microsoft Entra 管理中心。
浏览到“标识”。
浏览到以下位置之一:
- 用户>所有用户
- “组”>“所有组”
- “设备”>“所有设备”
选择用户、组或设备以列出他们的管理单元。
选择 管理单元,列出用户、组或设备是成员的所有管理单元。
列出单个管理单元的用户、组或设备
登录 Microsoft Entra 管理中心。
浏览到“标识”>“角色和管理员”>“管理单元”。
选择你要列出其用户、组或设备的管理单元。
选择以下项之一:
使用“所有设备”页列出管理单元的设备
登录 Microsoft Entra 管理中心。
浏览到“标识”>“设备”>“所有设备”。
选择管理单元的筛选器。
选择要列出其设备的管理单元。
列出单个用户或组的受限管理管理单元
登录 Microsoft Entra 管理中心。
浏览到“标识”。
浏览到以下位置之一:
选择你要列出其受限管理管理单元的用户或组。
选择 管理单元 列出用户或组所属的所有管理单元。
在“受限管理”列中,查找设为“是”的管理单元。
使用 Get-MgDirectoryAdministrativeUnit 和 Get-MgDirectoryAdministrativeUnitMember 命令列出管理单元的用户、组或设备。
列出用户的管理单元
$userObj = Get-MgUser -Filter "UserPrincipalName eq 'bill@example.com'"
Get-MgDirectoryAdministrativeUnit | `
where { Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $_.Id | `
where {$_.Id -eq $userObj.Id} }
列出组的管理单元
$groupObj = Get-MgGroup -Filter "DisplayName eq 'TestGroup'"
Get-MgDirectoryAdministrativeUnit | `
where { Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $_.Id | `
where {$_.Id -eq $groupObj.Id} }
列出设备的管理单元
$deviceObj = Get-MgDevice -Filter "DisplayName eq 'Test device'"
Get-MgDirectoryAdministrativeUnit | `
where { Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $_.Id | `
where {$_.Id -eq $deviceObj.Id} }
列出管理单元的用户、组和设备
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Test administrative unit 2'"
Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id
列出管理单元的组
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Test administrative unit 2'"
foreach ($member in (Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id))
{
if($member.AdditionalProperties."@odata.type" -eq "#microsoft.graph.group")
{
Get-MgGroup -GroupId $member.Id
}
}
列出管理单元的设备
$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Test administrative unit 2'"
foreach ($member in (Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id))
{
if($member.AdditionalProperties.ObjectType -eq "Device")
{
Get-MgDevice -DeviceId $member.Id
}
}
列出用户的管理单元
使用用户 List memberOf API 列出用户直属的管理单元。
GET https://graph.microsoft.com/v1.0/users/{user-id}/memberOf/$/Microsoft.Graph.AdministrativeUnit
列出组的管理单元
使用组列出所属成员 API 列出组属于其直接成员的管理单元。
GET https://graph.microsoft.com/v1.0/groups/{group-id}/memberOf/$/Microsoft.Graph.AdministrativeUnit
列出设备的管理单元
使用列出设备成员身份 API 列出设备属于其直接成员的管理单元。
GET https://graph.microsoft.com/v1.0/devices/{device-id}/memberOf/$/Microsoft.Graph.AdministrativeUnit
列出管理单元的用户、组或设备
使用 列表成员 API 列出管理单元的用户、组或设备。 对于成员类型,请指定 microsoft.graph.user、microsoft.graph.group或 microsoft.graph.device。
GET https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$/microsoft.graph.group
列出单个用户是否位于受限的管理管理单元中
使用 获取用户(beta) API 来确定用户是否位于受限的管理管理单元中。 查看 isManagementRestricted 属性的值。 如果该属性 true,则它位于受限的管理管理单元中。 如果该属性 false、空或 null,则它不在受限的管理管理单元中。
GET https://graph.microsoft.com/beta/users/{user-id}
响应
{
"displayName": "John",
"isManagementRestricted": true,
"userPrincipalName": "john@contoso.com",
}
