Share via

Enumeración de usuarios, grupos o dispositivos de una unidad administrativa

  • Artículo

En Microsoft Entra ID. puede enumerar los usuarios, grupos o dispositivos en unidades administrativas.

Requisitos previos

  • Licencia Microsoft Entra ID P1 o P2 para cada administrador de unidad administrativa
  • Microsoft Entra ID licencias gratuitas para miembros de la unidad administrativa
  • Módulo Microsoft Graph PowerShell SDK instalado al utilizar PowerShell
  • Consentimiento del administrador al usar el Probador de Graph de Microsoft Graph API

Para más información, consulte Requisitos previos para usar PowerShell o Probador de Graph.

Centro de administración de Microsoft Entra

Puede enumerar los usuarios, grupos o dispositivos en unidades administrativas mediante el Centro de administración de Microsoft Entra.

Enumeración de las unidades administrativas de un solo usuario, grupo o dispositivo

Sugerencia

Los pasos de este artículo pueden variar ligeramente en función del portal desde donde comienzas.

  1. Inicie sesión en el centro de administración de Microsoft Entra.

  2. Vaya a Identidad.

  3. Vaya a una de las opciones siguientes:

    • Usuarios>Todos los usuarios
    • Grupos>Todos los grupos
    • Dispositivos>Todos los dispositivos

  4. Seleccione el usuario, grupo o dispositivo del que quiere enumerar sus unidades administrativas.

  5. Seleccione Unidades administrativas para enumerar todas las unidades administrativas de las que es miembro el usuario, grupo o dispositivo.

    Screenshot of the Administrative units page, displaying a list administrative units that a group is assigned to.

Enumeración de usuarios, grupos o dispositivos de una sola unidad administrativa

  1. Inicie sesión en el centro de administración de Microsoft Entra.

  2. Vaya a Identidad>Roles y administradores>Unidades administrativas.

  3. Seleccione la unidad administrativa para la que desea listar los usuarios, grupos o dispositivos.

  4. Seleccione uno de los siguientes:

    • Usuarios
    • Grupos
    • Dispositivos

    Screenshot of the Groups page displaying a list of groups in an administrative unit.

Enumeración de los dispositivos de una unidad administrativa mediante la página Todos los dispositivos

  1. Inicie sesión en el centro de administración de Microsoft Entra.

  2. Vaya aIdentidad>Dispositivos>Todos los dispositivos.

  3. Seleccione el filtro de la unidad administrativa.

  4. Seleccione la unidad administrativa de la que quiere enumerar los dispositivos.

    Screenshot of All devices page with an administrative unit filter.

Enumeración de las unidades administrativas de administración restringida de un solo usuario o grupo

  1. Inicie sesión en el centro de administración de Microsoft Entra.

  2. Vaya a Identidad.

  3. Vaya a una de las opciones siguientes:

    • Usuarios>Todos los usuarios
    • Grupos>Todos los grupos

  4. Seleccione el usuario o grupo al que desea listar sus unidades administrativas de gestión restringida.

  5. Seleccione Unidades administrativas para ver todas las unidades administrativas de las que es miembro el usuario o grupo.

  6. En la columna Administración restringida, busque unidades administrativas que estén establecidas en .

    Screenshot of the Administrative units page with the Restricted management column.

PowerShell

Use los comandos Get-MgDirectoryAdministrativeUnit y Get-MgDirectoryAdministrativeUnitMember para enumerar usuarios, grupos o dispositivos para una unidad administrativa.

Nota:

De forma predeterminada, Get-MgDirectoryAdministrativeUnitMember devuelve solo los miembros principales de una unidad administrativa. Para recuperar todos los miembros, agregue el parámetro -All:$true.

Enumeración de las unidades administrativas de un usuario

$userObj = Get-MgUser -Filter "UserPrincipalName eq 'bill@example.com'"
Get-MgDirectoryAdministrativeUnit | `
   where { Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $_.Id | `
   where {$_.Id -eq $userObj.Id} }

Enumeración de las unidades administrativas de un grupo

$groupObj = Get-MgGroup -Filter "DisplayName eq 'TestGroup'"
Get-MgDirectoryAdministrativeUnit | `
   where { Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $_.Id | `
   where {$_.Id -eq $groupObj.Id} }

Enumeración de las unidades administrativas de un dispositivo

$deviceObj = Get-MgDevice -Filter "DisplayName eq 'Test device'"
Get-MgDirectoryAdministrativeUnit | `
   where { Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $_.Id | `
   where {$_.Id -eq $deviceObj.Id} }

Enumeración de los usuarios, grupos y dispositivos de una unidad administrativa

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Test administrative unit 2'"
Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id

Enumeración de los grupos de una unidad administrativa

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Test administrative unit 2'"
foreach ($member in (Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id)) 
{
    if($member.AdditionalProperties."@odata.type" -eq "#microsoft.graph.group")
    {
        Get-MgGroup -GroupId $member.Id
    }
}

Enumeración de los dispositivos de una unidad administrativa

$adminUnitObj = Get-MgDirectoryAdministrativeUnit -Filter "DisplayName eq 'Test administrative unit 2'"
foreach ($member in (Get-MgDirectoryAdministrativeUnitMember -AdministrativeUnitId $adminUnitObj.Id)) 
{
    if($member.AdditionalProperties.ObjectType -eq "Device")
    {
        Get-MgDevice -DeviceId $member.Id
    }
}

Microsoft Graph API

Enumeración de las unidades administrativas de un usuario

Use la API Enumerar memberOf de usuario para enumerar las unidades administrativas de las que un usuario es miembro directo.

GET https://graph.microsoft.com/v1.0/users/{user-id}/memberOf/$/Microsoft.Graph.AdministrativeUnit

Enumeración de las unidades administrativas de un grupo

Use la API Enumerar memberOf de grupo para enumerar las unidades administrativas de las que un grupo es miembro directo.

GET https://graph.microsoft.com/v1.0/groups/{group-id}/memberOf/$/Microsoft.Graph.AdministrativeUnit

Enumeración de las unidades administrativas de un dispositivo

Use la API Enumerar pertenencias a dispositivos para enumerar las unidades administrativas de las que un dispositivo es miembro directo.

GET https://graph.microsoft.com/v1.0/devices/{device-id}/memberOf/$/Microsoft.Graph.AdministrativeUnit

Enumeración de los usuarios, grupos o dispositivos de una unidad administrativa

Use la API Enumerar miembros para enumerar los usuarios, grupos o dispositivos de una unidad administrativa. Para el tipo de miembro, especifique microsoft.graph.user, microsoft.graph.group o microsoft.graph.device.

GET https://graph.microsoft.com/v1.0/directory/administrativeUnits/{admin-unit-id}/members/$/microsoft.graph.group

Enumerar si un solo usuario está en una unidad administrativa de administración restringida

Use la API Obtener un usuario (beta) para determinar si un usuario está en una unidad administrativa de administración restringida. Examine el valor de al propiedad isManagementRestricted. Si la propiedad es true, se encuentra en una unidad administrativa de administración restringida. Si la propiedad es false o está vacía o nula, no está en una unidad administrativa de administración restringida.

GET https://graph.microsoft.com/beta/users/{user-id}

Response

{ 
  "displayName": "John",
  "isManagementRestricted": true,
  "userPrincipalName": "john@contoso.com", 
}

Pasos siguientes