Unités administratives (version préliminaire) | Concepts de l’API Graph
S’applique à : API Graph | Azure Active Directory (AD)
Vue d’ensemble et conditions préalables
Une unité administrative fournit un conteneur conceptuel pour les objets d’annuaire utilisateur et groupe, en permettant de déléguer des autorisations plus finement (au niveau départemental, régional, etc.), à des rôles administratifs étendus à l’unité administrative. Cette rubrique décrit les propriétés déclarées et les propriétés de navigation exposées par l’entité AdministrativeUnit, ainsi que les opérations et fonctions qui peuvent être appelées sur la ressource OData administrativeUnits.
Important
Nous vous recommandons fortement d’utiliser Microsoft Graph plutôt que l’API Graph Azure AD pour accéder aux ressources Azure Active Directory. Nos efforts de développement sont désormais axés sur Microsoft Graph et aucune autre amélioration n’est prévue pour l’API Graph Azure AD. Il existe un nombre très limité de scénarios pour lesquels l’API Graph Azure AD peut être encore appropriée ; pour plus d’informations, consultez le billet de blog Microsoft Graph ou l’API Azure AD dans le Centre de développement Office.
Avant d’utiliser l’unité administrative en version préliminaire, une connaissance de la configuration d’application et de l’authentification Azure AD est nécessaire. Si vous connaissez mal les concepts associés à l’authentification Azure AD et/ou aux étapes de configuration requises pour accéder à votre client, consultez l’article Scénarios d’authentification pour Azure AD, en particulier la section intitulée Bases de l’inscription d’une application dans Azure AD liée à un article plus détaillé intitulé Intégration d’applications dans Azure Active Directory.
Reportez-vous à l’article principal API Graph Azure Active Directory sur Azure.com et la liste suivante d’articles sur l’API Graph pour plus d’informations importantes et utiles avant de passer aux sections ci-dessous :
Contrôle de version de l’API Graph Azure AD
Important: la fonctionnalité d’unité administrative n’est disponible qu’en version préliminaire pour l’instant. Pour utiliser les fonctionnalités de la version préliminaire, veillez à définir le paramètre de chaîne de requête api-version sur « beta », c.-à-d. :
https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits?api-version=beta
Vous ne pouvez créer et utiliser des unités administratives que si vous activez Azure Active Directory Premium. Pour plus d’informations, consultez Présentation d’Azure Active Directory.Démarrage rapide pour l’API Graph Azure AD sur Azure.com
Options de requêtes, de filtres et de pagination prises en charge
Espace de noms et héritage
Espace de noms : Microsoft.DirectoryServices
Type de base : [DirectoryObject]
Propriétés
L’entité AdministrativeUnit prend en charge les propriétés suivantes :
Propriétés déclarées
| Nom | Type | Create(POST) | Read(GET) | Update(PATCH) | Description |
|---|---|---|---|---|---|
| description | Edm.String | Facultatif | Facultatif | Description facultative de l’unité administrative. | |
| displayName | Edm.String | Obligatoire | Filtrable | Facultatif | Nom complet de l’unité administrative. |
Propriétés de navigation
| Nom | De Multiplicity | À | À Multiplicity | Description |
|---|---|---|---|---|
| Membres | * | Utilisateur ou groupe | * | Membres attribués à l’unité administrative, qui peuvent être des utilisateurs ou des groupes. Héritée de DirectoryObject. |
| scopedAdministrators | * | ScopedRoleMembership | * | Les administrateurs ayant un ou plusieurs rôles donnés, qui sont limités à une unité administrative. |
Remarque : Bien que l’entité [DirectoryObject] prenne également en charge les autres propriétés de navigation, y compris memberOf, owners et ownedObjects, ces propriétés ne sont pas valides pour l’unité administrative. Si une demande pour l’une de ces propriétés est envoyée, une réponse 400 Demande incorrecte est renvoyée avec un message correspondant.
Adressage
L’adressage peut s’étendre sur une collection d’unités administratives dans le répertoire, une unité administrative ou des ressources connexes disponibles via les propriétés de navigation prises en charge d’une unité administrative. Les exemples repris dans le tableau utilisent le domaine du client pour adresser le locataire. Pour en savoir plus sur d’autres façons de s’adresser au locataire, consultez Traitement des entités et opérations dans l’API Graph.
| Artefact | Fragment d’URL | Exemple |
|---|---|---|
| Jeu de ressources (toutes les unités administratives) | /administrativeUnits | https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits?api-version=beta |
| Ressource unique (c.-à-d. une unité administrative) | /administrativeUnits/{objectId} | https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits/12345678-9abc-def0-1234-56789abcde?api-version=beta |
| Ressources connexes via une propriété de navigation | /administrativeUnits/{objectId}/$links/{property-name} | https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits/12345678-9abc-def0-1234-56789abcde/$links/members?api-version=beta |
Remarque : consultez la section Propriétés de navigation ci-dessus pour obtenir la liste des propriétés de navigation valides utilisables à la place de {property-name}. Supprimez le segment « $links » de la partie ressource du chemin d’accès de l’URI pour renvoyer les objets référencés par une propriété de navigation plutôt que par les liens vers ceux-ci. Vous pouvez également adresser une unité administrative à l’aide d’objets d’annuaire génériques en remplaçant « administrativeUnits » par « directoryObjects » dans la partie ressource du chemin d’accès de l’URI.
Pour plus d’informations sur l’interrogation des objets d’annuaire, consultez Requêtes courantes de l’API Graph Azure AD et Requête différentielle de l’API Graph Azure AD.
Opérations prises en charge – administrativeUnits
Cette section définit les opérations prises en charge sur un jeu de ressources administrativeUnits. Comme indiqué précédemment, il est important de consulter d’abord les rubriques de la section Vue d’ensemble et conditions préalables pour comprendre certains aspects de l’API Graph qui s’appliquent à toutes les entités, telles que le formatage correct des URL, l’adressage des entités et des opérations, l’utilisation du contrôle de versions, et bien plus encore.
Pour chacune des opérations répertoriées ci-dessous :
Le principal du service qui effectue l’opération doit avoir un rôle d’administrateur autorisé à modifier les ressources administrativeUnits à l’aide de demandes PATCH, POST ou DELETE, et les privilèges de lecture d’objets à l’aide de demandes GET.
Le cas échéant, remplacez les chaînes d’espace réservé « contoso.onmicrosoft.com » avec le domaine de votre locataire Azure Active Directory, et {objectId} avec l’ID du type de ressource, comme déterminé dans l’URL.
Chaque demande doit inclure les en-têtes de demande HTTP suivants dans le tableau ci-dessous.
| En-tête de demande | Description |
|---|---|
| Autorisation | Obligatoire. Jeton de support émis par Azure Active Directory. Consultez les scénarios d’authentification pour Azure AD pour plus d’informations. |
| Content-Type | Obligatoire. Type de support du contenu placé dans le corps de la demande, p. ex., application/json. |
| Content-Length | Obligatoire. Longueur de la demande, en octets. |
Les quatre premières opérations répertoriées ci-dessous sont utilisées pour gérer la création, la récupération, la mise à jour et la suppression d’entités AdministrativeUnit. Les opérations qui suivent utilisent les propriétés members et scopedAdministrators afin de gérer les membres du groupe User/Group de la ressource AdminstrativeUnit et l’ensemble des administrateurs de l’étendue (via l’entité ScopedRoleMembership) ayant un contrôle administratif de la ressource AdministrativeUnit, respectivement.
Créer une unité administrative
Permet de créer une AdministrativeUnit.
| Méthode HTTP | URI de demande |
|---|---|
| POST | https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits?api-version=beta |
Le corps de la demande spécifie les propriétés obligatoires displayName et facultatives description :
{
"displayName":"Central Region",
"description":"Administrators responsible for the Central region."
}
Consultez la section Référence de réponse HTTP ci-dessous pour la définition des codes de réponse. Le corps de réponse sera identique à celui présenté ci-dessous.
{
"odata.metadata":https://graph.windows.net/contoso.onmicrosoft.com/$metadata#directoryObjects/Microsoft.DirectoryServices.AdministrativeUnit/@Element",
"odata.type":"Microsoft.DirectoryServices.AdministrativeUnit",
"objectType":"AdministrativeUnit",
"objectId":"ca1a80f3-ac25-429b-a1e9-0f1eb87cc30b",
"deletionTimestamp":null,
"displayName":"Central Region",
"description":"Administrators responsible for the Central region."
}
Obtenir une (des) unité(s) administrative(s)
Permet de récupérer une ressource AdministrativeUnit spécifique par {objectId}, un sous-ensemble en filtrant la propriété displayName (voir Options de requêtes, de filtres et de pagination prises en charge dans l’API Azure AD Graph) ou la liste de toutes les ressources disponibles. Les exemples de demande/réponse ci-dessous illustrent des requêtes pour une unité d’administration spécifique et pour toutes les unités administratives, respectivement.
| Méthode HTTP | URI de demande |
|---|---|
| GET | https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits/{objectId}?api-version=beta |
| GET | https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits?api-version=beta |
Pas de corps pour la demande.
Consultez la section Référence de réponse HTTP ci-dessous pour la définition des codes de réponse. Le corps de réponse sera identique à l’un de ceux présentés ci-dessous.
{
"odata.metadata":https://graph.windows.net/contoso.onmicrosoft.com/$metadata#directoryObjects/Microsoft.DirectoryServices.AdministrativeUnit/@Element",
"odata.type":"Microsoft.DirectoryServices.AdministrativeUnit",
"objectType":"AdministrativeUnit",
"objectId":"ca1a80f3-ac25-429b-a1e9-0f1eb87cc30b",
"deletionTimestamp":null,
"displayName":"Central Region",
"description":"Administrators responsible for the Central region."
}
{
"odata.metadata":https://graph.windows.net/contoso.onmicrosoft.com/$metadata#directoryObjects/Microsoft.DirectoryServices.AdministrativeUnit/",
"value":
[
{
"odata.type":"Microsoft.DirectoryServices.AdministrativeUnit",
"objectType":"AdministrativeUnit",
"objectId":"ca1a80f3-ac25-429b-a1e9-0f1eb87cc30b",
"deletionTimestamp":null,
"displayName":"Central Region",
"description":"Administrators responsible for the Central region."
},
{
"odata.type":"Microsoft.DirectoryServices.AdministrativeUnit",
"objectType":"AdministrativeUnit",
"objectId":"455b7304-b245-4d58-95c4-1797c32c80db",
"deletionTimestamp":null,
"displayName":"East Coast Region",
"description":"East Coast Two"
}
]
}
Mettre à jour une unité administrative
Utilisé pour mettre à jour une ou plusieurs des propriétés d’une ressource AdministrativeUnit.
| Méthode HTTP | URI de demande |
|---|---|
| PATCH | https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits/{objectId}?api-version=beta |
Le corps de la demande spécifie l’une des propriétés AdministrativeUnit voire les deux :
{
"displayName":"Central Region Administrators"
}
Consultez la section Référence de réponse HTTP ci-dessous pour la définition des codes de réponse. Il n’existe aucune réponse OData dans le corps de réponse.
Supprimer une unité administrative
Permet de supprimer une propriété AdministrativeUnit, comme spécifié par {objectId}.
| Méthode HTTP | URI de demande |
|---|---|
| DELETE | https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits/{objectId}?api-version=beta |
Pas de corps pour la demande.
Consultez la section Référence de réponse HTTP ci-dessous pour la définition des codes de réponse. Il n’existe aucune réponse OData dans le corps de réponse.
Les opérations suivantes sont implémentées via la propriété de navigation members qui définit la gestion des membres utilisateur/groupe d’une AdminstrativeUnit. Comme nous l’avons vu, le segment de ressource $links permet de traverser ou de modifier l’association (synonyme de lien) entre deux ressources, comme entre une ressource administrativeUnit et une ressource [User] ou [Group].
Ajouter un ou plusieurs membres à une unité administrative
Permet d’ajouter des membres de ressource user ou group à une administrativeUnit.
| Méthode HTTP | URI de demande |
|---|---|
| POST | https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits/{objectId}/$links/members/?api-version=beta |
Dans cet exemple, le corps de la demande spécifie l’URL du membre souhaité que nous souhaitons ajouter à la ressource administrativeUnit, qui est une ressource users dans cet exemple. Il est également possible d’utiliser directoryObjects en tant que segment de ressource de type, à la place de users, car l’entité [User] est héritée de l’entité [DirectoryObject]. Il en va de même lorsque vous utilisez le segment de ressource groups.
{
"url":" https://graph.windows.net/contoso.onmicrosoft.com/users/a1daa894-ff32-4839-bb6a-d7a4210fc96a"
}
Consultez la section Référence de réponse HTTP ci-dessous pour la définition des codes de réponse. Il n’existe aucune réponse OData dans le corps de réponse.
Obtenir le(s) membre(s) d’une unité administrative
Permet de récupérer les membres de ressource user ou group d’une administrativeUnit. Notez que vous pouvez récupérer les membres à l’aide de l’une des deux formes des opérations GET répertoriées ci-dessous. La première retourne l’URL/le lient vers le ou les membres, la seconde retourne les propriétés pour le ou les membres. Dans les deux cas, le segment {scopedRoleMemberId} est facultatif, selon que vous souhaitez renvoyer l’ensemble des membres ou un membre en particulier.
| Méthode HTTP | URI de demande |
|---|---|
| GET | https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits/{objectId}/$links/members/{memberObjectId}?api-version=beta |
| GET | https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits/{objectId}/members/{memberObjectId}?api-version=beta |
Pas de corps pour la demande.
Consultez la section Référence de réponse HTTP ci-dessous pour la définition des codes de réponse. Le premier exemple ci-dessous illustre le corps de réponse d’une opération utilisant le segment $links pour tous les membres ({memberObjectId} n’est pas spécifié) dans lequel résident deux types de ressources, User et Group. Le second exemple illustre la réponse pour le même exemple sans le segment $links.
{
"odata.metadata": "https://graph.windows.net/contoso.onmicrosoft.com/$metadata#directoryObjects/$links/members",
"value":
[
{
"url":"https://graph.windows.net/contoso.onmicrosoft.com/directoryObjects/a1daa894-ff32-4839-bb6a-d7a4210fc96a/Microsoft.DirectoryServices.User"
},
{
"url":"https://graph.windows.net/contoso.onmicrosoft.com/directoryObjects/a0ab9340-2b20-4b3f-8672-bf1a2f141f91/Microsoft.DirectoryServices.Group"
}
]
}
{
"odata.metadata": "https://graph.windows.net/contoso.onmicrosoft.com/$metadata#directoryObjects",
"value":
[
{
"odata.type":"Microsoft.DirectoryServices.User",
"objectType":"User",
"objectId":"a1daa894-ff32-4839-bb6a-d7a4210fc96a",
"deletionTimestamp":null,
"acceptedAs":null,
"acceptedOn":null,
"accountEnabled":true,
"alternativeSecurityIds":[],
"alternativeSignInNames":[admin@contoso.com],
"alternativeSignInNamesInfo":[],
"appMetadata":null,
"assignedLicenses":[],
"assignedPlans":[],
"city":"Redmond",
"cloudSecurityIdentifier":"S-1-12-6-2715461780-1211760434-2765580987-1791561505",
"companyName":null,
"country":null,
"creationType":null,
"department":null,
"dirSyncEnabled":null,
"displayName":"Jon Doe",
"extensionAttribute1":null,
"extensionAttribute2":null,
"extensionAttribute3":null,
"extensionAttribute4":null,
"extensionAttribute5":null,
"extensionAttribute6":null,
"extensionAttribute7":null,
"extensionAttribute8":null,
"extensionAttribute9":null,
"extensionAttribute10":null,
"extensionAttribute11":null,
"extensionAttribute12":null,
"extensionAttribute13":null,
"extensionAttribute14":null,
"extensionAttribute15":null,
"facsimileTelephoneNumber":null,
"givenName":"Jon",
"immutableId":null,
"invitedOn":null,
"inviteReplyUrl":[],
"inviteResources":[],
"inviteTicket":[],
"isCompromised":null,
"jobTitle":null,
"jrnlProxyAddress":null,
"lastDirSyncTime":null,
"mail":null,
"mailNickname":"admin",
"mobile":null,
"netId":"100300008001EE6E",
"onPremisesSecurityIdentifier":null,
"otherMails":[jon@doe.com],
"passwordPolicies":null,
"passwordProfile":null,
"physicalDeliveryOfficeName":null,
"postalCode":"98052",
"preferredLanguage":"en-US",
"primarySMTPAddress":null,
"provisionedPlans":[],
"provisioningErrors":[],
"proxyAddresses":[],
"releaseTrack":null,
"searchableDeviceKey":[],
"selfServePasswordResetData":null,
"sipProxyAddress":null,
"smtpAddresses":[],
"state":"WA",
"streetAddress":
"One Microsoft Way",
"surname":"Doe",
"telephoneNumber":"(123) 456-7890",
"usageLocation":"US",
"userPrincipalName":admin@constoso.com,
"userState":null,
"userStateChangedOn":null,
"userType":"Member"
},
{
"odata.type":"Microsoft.DirectoryServices.Group",
"objectType":"Group",
"objectId":"a0ab9340-2b20-4b3f-8672-bf1a2f141f91",
"deletionTimestamp":null,
"appMetadata":null,
"cloudSecurityIdentifier":"S-1-12-6-2695598912-1262431008-448754310-2434733103",
"description":null,
"dirSyncEnabled":null,
"displayName":"Group for users in Central Region Administrative Unit",
"exchangeResources":[],
"groupType":null,
"isPublic":null,
"lastDirSyncTime":null,
"licenseAssignment":[],
"mail":null,
"mailEnabled":false,
"mailNickname":"CentralUsers",
"onPremisesSecurityIdentifier":null,
"provisioningErrors":[],
"proxyAddresses":[],
"securityEnabled":true,
"sharepointResources":[],
"targetAddress":null,
"wellKnownObject":null
}
]
}
Supprimer un ou plusieurs membres d’une unité administrative
Permet de supprimer les membres de ressource user ou group d’une ressource administrativeGroup. Comme members est une propriété de navigation multi-valeurs, vous devez inclure l’{objectId} du membre/lien dans l’URL de demande que vous souhaitez supprimer.
| Méthode HTTP | URI de demande |
|---|---|
| DELETE | https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits/{objectId}/$links/members/{objectId}?api-version=beta |
Pas de corps pour la demande.
Consultez la section Référence de réponse HTTP ci-dessous pour la définition des codes de réponse. Il n’existe aucune réponse OData dans le corps de réponse.
Les administrateurs sont affectés à une unité administrative en les plaçant dans un rôle qui a été consacré à cette unité administrative. Les opérations restantes de cette section sont implémentées via la propriété scopedAdministrators qui assure la gestion des administrateurs ayant le contrôle administratif d’une unité AdministrativeUnit avec un rôle défini.
Ajouter un administrateur étendu à un rôle d’une unité administrative
Permet d’ajouter un administrateur à un rôle qui sera étendu à un administrativeUnit, via l’entité ScopedRoleMembership et la propriété de navigation scopedAdministrators. Dans cet exemple, l’opération effectue deux choses :
Elle remplit un nouvel élément ScopedRoleMembership (qui n’est pas une ressource adressable OData), ce qui établit une relation entre une ressource AdministrativeUnit, une ressource DirectoryRole étendue à l’unité administrative et un administrateur User.
Établit une association/un lien de propriété de navigation entre la ressource AdministrativeUnit et le nouvel élément ScopedRoleMembership.
| Méthode HTTP | URI de demande |
|---|---|
| POST | https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits/{objectId}/scopedAdministrators?api-version=beta |
Le corps de la demande spécifie les propriétés suivantes de l’entité ScopedRoleMembership :
roleObjectId – objectId de la ressource DirectoryRole. Remarque : seuls les rôles HelpDeskAdministrators et UserAccountAdministrator sont valides.
roleMemberInfo – il s’agit d’une structure qui identifie User:objectId administratif, c’est-à-dire l’objectId de l’utilisateur administratif.
objectId : objectId de l’utilisateur administratif.
{
"roleObjectId":"4bae1c93-ef8c-4907-83c8-1e1c1fd2e2c1",
"roleMemberInfo":{
"objectId":"a142bb2d-df81-4066-af91-f63e4aba9e5f"}
}
Consultez la section Référence de réponse HTTP ci-dessous pour la définition des codes de réponse. Le corps de réponse sera identique à celui présenté ci-dessous.
{
"odata.metadata":https://graph.windows.net/contoso.onmicrosoft.com/$metadata#directoryObjects/Microsoft.DirectoryServices.AdministrativeUnit/@Element",
"id":"kxyuS4zvB0mDyB4cH9Liwf2cwDwjVAJAhbgHDWCmP-Itu0Khgd9mQK-R9j5Kup5fU",
"roleObjectId":"4bae1c93-ef8c-4907-83c8-1e1c1fd2e2c1",
"administrativeUnitObjectId":"3cc09cfd-5423-4002-85b8-070d60a63fe2",
"roleMemberInfo":{"objectId":"a142bb2d-df81-4066-af91-f63e4aba9e5f",
"displayName":"Bryan",
"userPrincipalName":BryanL@contoso.com
}
}
Obtenir un administrateur étendu à un rôle d’une unité administrative
Utilisé pour obtenir la liste des administrateurs dans les rôles étendus pour une ressource administrativeUnit, comme des entités ScopedRoleMembership. Notez que le segment {scopedRoleMemberId} est facultatif, selon que vous souhaitez l’ensemble des membres ou un membre en particulier.
| Méthode HTTP | URI de demande |
|---|---|
| GET | https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits/{objectId}/scopedAdministrators/{scopedRoleMemberId}?api-version=beta |
Pas de corps pour la demande.
Consultez la section Référence de réponse HTTP ci-dessous pour la définition des codes de réponse. Le corps de réponse ci-dessous concerne une requête de tous les membres.
{
"odata.metadata":https://graph.windows.net/contoso.onmicrosoft.com /$metadata#scopedRoleMemberships,
"value":
[
{
"id":"kxyuS4zvB0mDyB4cH9Liwf2cwDwjVAJAhbgHDWCmP-Itu0Khgd9mQK-R9j5Kup5fU",
"roleObjectId":"4bae1c93-ef8c-4907-83c8-1e1c1fd2e2c1",
"administrativeUnitObjectId":"3cc09cfd-5423-4002-85b8-070d60a63fe2",
"roleMemberInfo":
{
"objectId":"a142bb2d-df81-4066-af91-f63e4aba9e5f",
"displayName":"Bryan",
"userPrincipalName":BryanL@contoso.com
}
}
]
}
Supprimer un administrateur étendu à un rôle d’une unité administrative/
Permet de supprimer un ScopedRoleMembership d’une ressource administrativeUnit, spécifié par le segment {scopedRoleMemberId}.
| Méthode HTTP | URI de demande |
|---|---|
| DELETE | https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits/{objectId}/scopedAdministrators/{scopedRoleMemberId}?api-version=beta |
Pas de corps pour la demande.
Consultez la section Référence de réponse HTTP ci-dessous pour la définition des codes de réponse. Il n’existe aucune réponse OData dans le corps de réponse.
Opérations prises en charge – utilisateurs et groupes
Cette section définit les opérations nouvellement prises en charge sur les ressources users et groups qui assurent la prise en charge des ressources administrativeUnit.
Vous pouvez vérifier la documentation complète de la disponibilité générale pour les entités [User] et [Group] et pour les opérations sur users et groups.
Pour chacune des opérations répertoriées ci-dessous :
Le principal qui exécute l’opération doit avoir les privilèges de lecture des objets utilisant les demandes GET.
Le cas échéant, remplacez les chaînes d’espace réservé « contoso.onmicrosoft.com » par le domaine de votre locataire Azure Active Directory, et {objectId} par l’ID du type de ressource, comme déterminé dans l’URL.
Chaque demande doit inclure les en-têtes de demande HTTP suivants :
En-tête de demande Description Autorisation Obligatoire. Jeton de support émis par Azure Active Directory. Consultez les scénarios d’authentification pour Azure AD pour plus d’informations. Content-Type Obligatoire. Type de support du contenu placé dans le corps de la demande, p. ex., application/json. Content-Length Obligatoire. Longueur de la demande, en octets.
Obtenir la (ou les) unité(s) d’administration auxquelles un utilisateur ou un groupe appartient
La version préliminaire permet la récupération de l’appartenance administrativeUnits pour les ressources users et groups, via la propriété de navigation memberOf sur l’entité DirectoryObject. Spécifiez le segment de la ressource « users » pour récupérer l’appartenance des ressources users ou « groups » pour les ressources groups. Spécifiez le segment de ressource « $links » pour récupérer les URL/liens de ressource ou pour omettre de récupérer les propriétés.
| Méthode HTTP | URI de demande |
|---|---|
| GET | https://graph.windows.net/contoso.onmicrosoft.com/users/{objectID}/$links/memberOf?api-version=beta |
| GET | https://graph.windows.net/contoso.onmicrosoft.com/users/{objectID}/memberOf?api-version=beta |
| GET | https://graph.windows.net/contoso.onmicrosoft.com/groups/{objectID}/$links/memberOf?api-version=beta |
| GET | https://graph.windows.net/contoso.onmicrosoft.com/groups/{objectID}/memberOf?api-version=beta |
Pas de corps pour la demande.
Consultez la section Référence de réponse HTTP ci-dessous pour la définition des codes de réponse. Le premier exemple ci-dessous illustre le corps de la réponse pour une ressource users avec le segment $links, ayant une appartenance dans deux types de ressources : DirectoryRole et AdministrativeUnit. Le second exemple illustre la réponse pour le même exemple sans le segment $links.
{
"odata.metadata": "https://graph.windows.net/contoso.onmicrosoft.com/$metadata#directoryObjects/$links/memberOf",
"value":
[
{
"url":"https://graph.windows.net/contoso.onmicrosoft.com/directoryObjects/cbf54c29-6184-484d-92d6-d6af32f896a2/Microsoft.DirectoryServices.DirectoryRole"
},
{
"url":"https://graph.windows.net/contoso.onmicrosoft.com/directoryObjects/3cc09cfd-5423-4002-85b8-070d60a63fe2/Microsoft.DirectoryServices.AdministrativeUnit"
}
]
}
{
"odata.metadata": "https://graph.windows.net/contoso.onmicrosoft.com/$metadata#directoryObjects",
"value":
[
{
"odata.type":"Microsoft.DirectoryServices.DirectoryRole",
"objectType":"Role",
"objectId":"cbf54c29-6184-484d-92d6-d6af32f896a2",
"deletionTimestamp":null,
"cloudSecurityIdentifier":"S-1-12-6-3421850665-1213030788-2950092434-2727802930",
"description":"Company Administrator role has full access to perform any operation in the company scope.",
"displayName":"Company Administrator",
"isSystem":true,
"roleDisabled":false,
"roleTemplateId":"62e90394-69f5-4237-9190-012177145e10"
},
{
"odata.type":"Microsoft.DirectoryServices.AdministrativeUnit",
"objectType":"AdministrativeUnit",
"objectId":"3cc09cfd-5423-4002-85b8-070d60a63fe2",
"deletionTimestamp":null,
"displayName":"Central Region Administrators",
"description":"Administrators responsible for the Central Region"
}
]
}
Obtenir la ou les unités d’administration dont un utilisateur est administrateur
Permet de récupérer la ou les ressources administrativeUnits dont un utilisateur est administrateur via la propriété de navigation scopedAdministratorOf de l’entité User. Notez que vous pouvez utiliser l’une des deux formes des opérations GET répertoriées ci-dessous. La première extrait les URL/le lien de la ressource, la seconde les propriétés.
| Méthode HTTP | URI de demande |
|---|---|
| GET | https://graph.windows.net/contoso.onmicrosoft.com/users/{objectId}/$links/scopedAdministratorOf?api-version=beta |
| GET | https://graph.windows.net/contoso.onmicrosoft.com/users/{objectId}/scopedAdministratorOf?api-version=beta |
Pas de corps pour la demande.
Consultez la section Référence de réponse HTTP ci-dessous pour la définition des codes de réponse. Le premier exemple ci-dessous illustre le corps de réponse d’une opération utilisant le segment $links. Le second exemple illustre la réponse pour le même exemple sans le segment $links.
{
"odata.metadata": "https://graph.windows.net/contoso.onmicrosoft.com/$metadata#directoryObjects/$links/scopedAdministratorOf",
"value":
[
{
"url":"https://graph.windows.net/contoso.onmicrosoft.com/scopedRoleMemberships/kxyuS4zvB0mDyB4cH9Liwf2cwDwjVAJAhbgHDWCmP-Itu0Khgd9mQK-R9j5Kup5fU"
}
]
}```
```json
{
"odata.metadata": "https://graph.windows.net/contoso.onmicrosoft.com/$metadata#scopedRoleMemberships",
"value":
[
{
"id":"kxyuS4zvB0mDyB4cH9Liwf2cwDwjVAJAhbgHDWCmP-Itu0Khgd9mQK-R9j5Kup5fU",
"roleObjectId":"4bae1c93-ef8c-4907-83c8-1e1c1fd2e2c1",
"administrativeUnitObjectId":"3cc09cfd-5423-4002-85b8-070d60a63fe2",
"roleMemberInfo":
{
"objectId":"a142bb2d-df81-4066-af91-f63e4aba9e5f",
"displayName":"Bryan",
"userPrincipalName":BryanL@contoso.com
}
}
]
}
Opérations prises en charge – directoryRoles
Cette section définit les opérations nouvellement prises en charge sur les ressources directoryRoles qui assurent la prise en charge des ressources administrativeUnits.
Vous pouvez vérifier la documentation complète sur la disponibilité générale pour plus d’informations sur l’entité [DirectoryRole] et les opérations connexes****.
Pour chacune des opérations répertoriées ci-dessous :
Le principal qui exécute l’opération doit avoir les privilèges de lecture des objets utilisant les demandes GET.
Le cas échéant, remplacez les chaînes d’espace réservé « contoso.onmicrosoft.com » par le domaine de votre locataire Azure Active Directory, et {objectId} par l’ID du type de ressource, comme déterminé dans l’URL.
Chaque demande doit inclure les en-têtes de demande HTTP suivants : Request HeaderDescriptionAuthorizationRequired. Jeton de support émis par Azure Active Directory. Consultez les scénarios d’authentification pour Azure AD pour plus d’informations.Content-TypeRequired. Type de support du contenu placé dans le corps de la demande, p. ex., application/json.Content-LengthRequired. Longueur de la demande, en octets.
| En-tête de demande | Description |
|---|---|
| Autorisation | Obligatoire. Jeton de support émis par Azure Active Directory. Consultez les scénarios d’authentification pour Azure AD pour plus d’informations. |
| Content-Type | Obligatoire. Type de support du contenu placé dans le corps de la demande, p. ex., application/json. |
| Content-Length | Obligatoire. Longueur de la demande, en octets. |
Obtenir les administrateurs d’unité administrative étendus à un rôle spécifique
Les administrateurs sont affectés à une unité administrative en les plaçant dans un rôle qui a été consacré à cette unité administrative. Cette opération vous permet de récupérer ces « appartenances à étendue de rôle » pour un administrateur, en tant que jeu scopedRoleMemberships. Notez que seul un rôle « HelpDeskAdministrators » ou « UserAccountAdministrator » {objectId} est valable. Notez également que le segment {scopedRoleMemberId} est facultatif, selon que vous souhaitez toutes les ressources scopedRoleMembership pour un rôle spécifique, ou une seule ressource.
| Méthode HTTP | URI de demande |
|---|---|
| GET | https://graph.windows.net/contoso.onmicrosoft.com/directoryRoles/{objectId}/scopedAdministrators/{scopedRoleMemberId}?api-version=beta |
Pas de corps pour la demande.
Consultez la section Référence de réponse HTTP ci-dessous pour la définition des codes de réponse. Le corps de réponse ci-dessous concerne une requête pour tous les administrateurs d’une unité d’administration particulière, étendue au rôle Administrateur du support technique.
{
"odata.metadata":https://graph.windows.net/contoso.onmicrosoft.com /$metadata#scopedRoleMemberships,
"value":[
{
"id":"kxyuS4zvB0mDyB4cH9Liwf2cwDwjVAJAhbgHDWCmP-Itu0Khgd9mQK-R9j5Kup5fU",
"roleObjectId":"4bae1c93-ef8c-4907-83c8-1e1c1fd2e2c1",
"administrativeUnitObjectId":"3cc09cfd-5423-4002-85b8-070d60a63fe2",
"roleMemberInfo":
{
"objectId":"a142bb2d-df81-4066-af91-f63e4aba9e5f",
"displayName":"Bryan",
"userPrincipalName":BryanL@contoso.com
}
]
}
Référence des réponses HTTP
Voici la liste des codes de réponse HTTP possibles :
| Code d’état HTTP | Code d’erreur OData | Description |
|---|---|---|
| 200/OK | Non applicable | Réponse normale à une requête réussie. Le corps de la réponse contient les données qui correspondent aux filtres spécifiés dans les paramètres de requête. |
| 201/Créé | Non applicable | Réponse normale à une opération POST/création réussie. Le corps de la réponse contient les données telles qu’elles sont remplies dans la nouvelle ressource. |
| 204/No Content | Non applicable | Réponse normale à une opération réussie PATCH/update ou DELETE sur une ressource, ou à une opération POST sur une ressource liée. Le corps de la réponse ne contient pas de réponse OData. |
| 400/BadRequest | Request_BadRequest | Il s’agit d’un message d’erreur générique pour un en-tête, un paramètre ou des données de corps de demande non valides. Ce message d’erreur s’affiche également si vous tentez d’ajouter une ressource liée qui existe déjà. |
| 401/Unauthorized | AuthorizationError | Ce message ne s’affiche que si l’utilisateur n’est pas autorisé à afficher le contenu. Consultez l’article principal de AD Graph REST pour plus d’informations sur la sécurisation de vos appels et sur l’obtention et la spécification d’un jeton d’accès sécurisé. |
| 404/Introuvable | Request_ResourceNotFound | Cela s’affiche lorsque la ressource à laquelle vous essayez d’accéder n’existe pas. |
| 405/Méthode non autorisée | Request_BadRequest | Cela s’affiche lorsque vous tentez une opération destinée à une ressource spécifique, mais ne fournissez pas l’ID de ressource correct dans l’URL de demande. |
Ressources supplémentaires
- Pour en savoir plus sur la gestion des unités administratives à l’aide de PowerShell, consultez Gestion des unités administratives dans Azure AD - version préliminaire publique.
- Pour plus d’informations sur les types des données primitives exposées par le modèle EDM, consultez Entity Data Model : types de données primitifs.
- Référence de l’API Azure AD Graph
contact [Contract]: ../api/entity-and-complex-type-reference.md#contract-entity [Device]: ../api/entity-and-complex-type-reference.md#device-entity [DirectoryLinkChange]: ../api/entity-and-complex-type-reference.md#directorylinkchange-entity [DirectoryObject]: ../api/entity-and-complex-type-reference.md#directoryobject-entity [DirectoryRole]: ../api/entity-and-complex-type-reference.md#directoryrole-entity [DirectoryRoleTemplate]: ../api/entity-and-complex-type-reference.md#directoryroletemplate-entity [ExtensionProperty]: ../api/entity-and-complex-type-reference.md#extensionproperty-entity [Group]: ../api/entity-and-complex-type-reference.md#group-entity [OAuth2PermissionGrant]: ../api/entity-and-complex-type-reference.md#oauth2permissiongrant-entity [ServicePrincipal]: ../api/entity-and-complex-type-reference.md#serviceprincipal-entity [SubscribedSku]: ../api/entity-and-complex-type-reference.md#subscribedsku-entity [TenantDetail]: ../api/entity-and-complex-type-reference.md#tenantdetail-entity [User]: ../api/entity-and-complex-type-reference.md#user-entity