Unidades administrativas (pré-visualização) | Conceitos da Graph API
Aplica-se a: Graph API | Azure Active Directory (AD)
Descrição geral e pré-requisitos
Uma unidade administrativa fornece um contentor de conceptual para utilizador e grupo de objetos de diretório, permitindo permissões para ser delegados granularidade melhorar (ie: departamentais regionais, etc.), para as funções administrativas no âmbito da unidade administrativa. Este tópico fornece descrições das propriedades declaradas e as propriedades de navegação expostas pelo AdministrativeUnit entidade, bem como as operações e as funções que podem ser chamadas para o administrativeUnits recursos de OData.
Importante
Recomendamos vivamente que utilize Microsoft Graph em vez do AD Graph API do Azure para aceder aos recursos do Azure Active Directory. A nossa esforços de desenvolvimento são agora concentrated no Microsoft Graph e estão a ser planeados sem melhoramentos adicionais para AD Graph API do Azure. Existem um número muito limitado de cenários para o qual AD Graph API do Azure ainda poderá ser apropriado; Para obter mais informações, consulte o Microsoft Graph ou o Azure AD Graph blogue no Dev Center do Office.
É necessária familiaridade com a configuração de autenticação e a aplicação do Azure AD antes de utilizar a pré-visualização de unidade administrativa. Se não estiver familiarizado com os conceitos associados com a autenticação do Azure AD e/ou os passos de configuração necessários para permitir que uma aplicação aceder ao seu inquilino, reveja cenários de autenticação para o Azure AD, especialmente a secção intitulada Noções básicas de registar uma aplicação no Azure AD que ligações para mais detalhadas integrar aplicações com o Azure Active Directory artigo.
Consulte principal Active Directory Graph API do Azure artigo no Azure.com e a lista seguinte de artigos da Graph API para obter informações adicionais úteis e importantes antes de prosseguir para as secções abaixo:
Controlo de versões do Azure AD Graph API
Importante: funcionalidade a unidade administrativa está disponível na pré-visualização apenas neste momento. Para utilizar funcionalidades de pré-visualização,. é necessário definir o parâmetro de cadeia de consulta api-version para "beta", ie:
https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits?api-version=beta
Pode criar e utilizar unidades administrativas apenas se ativar o Azure Active Directory Premium. Para obter mais informações, consulte introdução ao Azure Active Directory PremiumInício rápido para o Azure AD Graph API no Azure.com
Espaço de nomes e herança
Espaço de nomes: Microsoft.DirectoryServices
Tipo base: DirectoryObject
Propriedades
O AdministrativeUnit entidade suporta as seguintes propriedades:
Propriedades declaradas
| Nome | Tipo | Create(POST) | Read(GET) | Update(patch) | Descrição |
|---|---|---|---|---|---|
| descrição | Edm.String | Opcional | Opcional | Uma descrição opcional para a unidade administrativa. | |
| displayName | Edm.String | Necessário | Filtrável | Opcional | Nome a apresentar para a unidade administrativa. |
Propriedades de navegação
| Nome | De multiplicidade | Para | A multiplicidade | Descrição |
|---|---|---|---|---|
| Membros | * | Utilizador ou grupo | * | Membros atribuídos à unidade administrativa, que pode ser utilizadores ou grupos. Herdado de DirectoryObject. |
| scopedAdministrators | * | ScopedRoleMembership | * | Administradores atribuídos fornecido funções selecionadas, que estão no âmbito de uma unidade administrativa. |
Tenha em atenção: Embora as DirectoryObject entidade também suporta outras propriedades de navegação, incluindo memberOf, proprietários, e ownedObjects, estas propriedades não são válidas para a unidade administrativa. Se é enviado um pedido para qualquer uma destas propriedades, um 400 incorretos pedem resposta é devolvida com uma mensagem de erro correspondente.
Endereçamento
Endereçamento pode abranger uma coleção de unidades administrativas no diretório, uma unidade administrativa individual ou recursos relacionados disponíveis através de propriedades de navegação suportada de uma unidade administrativa. Os exemplos a tabela utilizam o domínio de inquilino para resolver o inquilino. Para outras formas de endereçamento de inquilino, consulte endereçamento entidades e operações na Graph API.
| Artefactos | Fragmento de URL | Exemplo |
|---|---|---|
| O recurso definido (todas as unidades administrativas) | /administrativeUnits | https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits?api-version=beta |
| Único recurso (ie: uma unidade administrativa) | /administrativeUnits/{objectId} | https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits/12345678-9abc-def0-1234-56789abcde?api-version=beta |
| Recursos relacionados através de uma propriedade de navegação | /administrativeUnits/{objectId}/$links/{property-name} | https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits/12345678-9abc-def0-1234-56789abcde/$links/members?api-version=beta |
Tenha em atenção: consulte a secção de propriedades de navegação acima para obter a lista de propriedades de navegação válida que possa ser utilizado em vez de {nome da propriedade}. Remova o segmento de "$links" a parte do caminho de recurso de URI, para devolver os objetos reais referenciados por uma propriedade de navegação em vez de ligações aos mesmos. Também pode resolver uma unidade administrativa utilizando objetos de diretório genérico, substituindo "administrativeUnits" com "directoryObjects" na parte do caminho do recurso do URI.
Para obter informações mais abrangentes sobre consulta de objetos de diretório, consulte do Azure AD Graph API consultas comuns e do Azure AD Graph API diferencial consulta.
Operações suportadas – administrativeUnits
Esta secção define as operações suportadas num administrativeUnits conjunto de recursos. Conforme mencionado anteriormente, é importante rever os tópicos de descrição geral e pré-requisitos secção primeiro para compreender alguns das noções básicas de Graph API que se aplicam a todas as entidades, tais como a formatação corretamente URLs, endereçamento entidades operações e, utilizando o controlo de versões e muito mais.
Para cada uma das operações listados abaixo:
O principal que efetua a operação tem de ser uma função de administrador que tem privilégios para modificar administrativeUnits recursos através de pedidos PATCH, POST ou DELETE e privilégios Ler objetos através de pedidos GET.
Conforme adequado, substitua o marcador de posição cadeias "contoso.onmicrosoft.com" com o domínio do seu inquilino do Azure Active Directory, e {objectId} com o ID do tipo de recurso, conforme determinado no URL.
Cada pedido tem de incluir os seguintes cabeçalhos de pedido de HTTP na tabela abaixo.
| Cabeçalho de pedido | Descrição |
|---|---|
| Autorização | Necessário. Um token de portador emitido pelo Azure Active Directory. Consulte cenários de autenticação para o Azure AD para obter mais informações. |
| Content-Type | Necessário. O tipo de suporte de dados do conteúdo no pedido de corpo, por exemplo: application/json. |
| Content-Length | Necessário. O comprimento do pedido em bytes. |
As operações de quatro primeiras listadas a seguir são utilizadas para gerir a criação, obtenção, atualização e eliminação de AdministrativeUnit entidades. As operações de seguir estas utilize o membros e scopedAdministrators as propriedades de navegação, para gerir os membros de utilizador/grupo do AdminstrativeUnit, e o conjunto de administradores do âmbito (através de ScopedRoleMembership entidade) que têm o controlo administrativo do AdministrativeUnit, respetivamente.
Criar uma unidade administrativa
Utilizado para criar um novo AdministrativeUnit.
| Método de HTTP | URI do pedido |
|---|---|
| POST | https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits?api-version=beta |
O corpo do pedido especifica necessários displayName e opcionais Descrição propriedades:
{
"displayName":"Central Region",
"description":"Administrators responsible for the Central region."
}
Consulte o referência de resposta de HTTP secção abaixo para definições de código de resposta. O corpo da resposta parecerá semelhante às abaixo.
{
"odata.metadata":https://graph.windows.net/contoso.onmicrosoft.com/$metadata#directoryObjects/Microsoft.DirectoryServices.AdministrativeUnit/@Element",
"odata.type":"Microsoft.DirectoryServices.AdministrativeUnit",
"objectType":"AdministrativeUnit",
"objectId":"ca1a80f3-ac25-429b-a1e9-0f1eb87cc30b",
"deletionTimestamp":null,
"displayName":"Central Region",
"description":"Administrators responsible for the Central region."
}
Obter as unidades administrativas
Utilizado para obter um específico AdministrativeUnit por {objectId}, um subconjunto filtrando a displayName propriedade (consulte suportadas consultas, filtros e as opções de paginação no Azure AD Graph API), ou a lista de todos os que se encontram disponíveis. Os pedido/resposta exemplos abaixo mostram as consultas para uma unidade administrativa específica e para todas as unidades administrativas, respetivamente.
| Método de HTTP | URI do pedido |
|---|---|
| INTRODUÇÃO | https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits/{objectId}?api-version=beta |
| INTRODUÇÃO | https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits?api-version=beta |
Não há nenhum corpo do pedido.
Consulte o referência de resposta de HTTP secção abaixo para definições de código de resposta. O corpo da resposta parecerá semelhante a um dos abaixo.
{
"odata.metadata":https://graph.windows.net/contoso.onmicrosoft.com/$metadata#directoryObjects/Microsoft.DirectoryServices.AdministrativeUnit/@Element",
"odata.type":"Microsoft.DirectoryServices.AdministrativeUnit",
"objectType":"AdministrativeUnit",
"objectId":"ca1a80f3-ac25-429b-a1e9-0f1eb87cc30b",
"deletionTimestamp":null,
"displayName":"Central Region",
"description":"Administrators responsible for the Central region."
}
{
"odata.metadata":https://graph.windows.net/contoso.onmicrosoft.com/$metadata#directoryObjects/Microsoft.DirectoryServices.AdministrativeUnit/",
"value":
[
{
"odata.type":"Microsoft.DirectoryServices.AdministrativeUnit",
"objectType":"AdministrativeUnit",
"objectId":"ca1a80f3-ac25-429b-a1e9-0f1eb87cc30b",
"deletionTimestamp":null,
"displayName":"Central Region",
"description":"Administrators responsible for the Central region."
},
{
"odata.type":"Microsoft.DirectoryServices.AdministrativeUnit",
"objectType":"AdministrativeUnit",
"objectId":"455b7304-b245-4d58-95c4-1797c32c80db",
"deletionTimestamp":null,
"displayName":"East Coast Region",
"description":"East Coast Two"
}
]
}
Atualizar uma unidade administrativa
Utilizado para atualizar uma ou mais das propriedades de um AdministrativeUnit.
| Método de HTTP | URI do pedido |
|---|---|
| PATCH | https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits/{objectId}?api-version=beta |
O corpo do pedido especifica uma ou ambas as AdministrativeUnit propriedades:
{
"displayName":"Central Region Administrators"
}
Consulte o referência de resposta de HTTP secção abaixo para definições de código de resposta. Não há nenhuma resposta de OData no corpo da resposta.
Eliminar uma unidade administrativa
Utilizada para eliminar um AdministrativeUnit, conforme especificado pelo {objectId}.
| Método de HTTP | URI do pedido |
|---|---|
| ELIMINAR | https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits/{objectId}?api-version=beta |
Não há nenhum corpo do pedido.
Consulte o referência de resposta de HTTP secção abaixo para definições de código de resposta. Não há nenhuma resposta de OData no corpo da resposta.
As seguintes operações são implementadas através de membros propriedade de navegação, o qual fornece gestão dos membros/grupo de utilizadores um AdminstrativeUnit. Devolução de chamada de versões anteriores, o segmento de recurso $links permite-lhe atravessar ou modificar a associação (aka: ligação) entre os dois recursos, tais como entre um administrativeUnit e um utilizador ou grupo recursos.
Adicionar membro ou membros a uma unidade administrativa
Utilizado para adicionar utilizador ou grupo membros de recursos para um AdministrativeUnit.
| Método de HTTP | URI do pedido |
|---|---|
| POST | https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits/{objectId}/$links/members/?api-version=beta |
Neste exemplo, o corpo do pedido especifica o URL para o membro pretendido que queremos para adicionar o administrativeUnit, que é um utilizadores recursos neste exemplo. Também é válido utilizar directoryObjects como o segmento de recurso de tipo, em vez de um utilizadores, como o utilizador entidade é herdada a partir de DirectoryObject entidade. O mesmo se aplica ao utilizar o grupos segmento de recurso.
{
"url":" https://graph.windows.net/contoso.onmicrosoft.com/users/a1daa894-ff32-4839-bb6a-d7a4210fc96a"
}
Consulte o referência de resposta de HTTP secção abaixo para definições de código de resposta. Não há nenhuma resposta de OData no corpo da resposta.
Obter o membro ou membros de uma unidade administrativa
Utilizado para obter utilizador ou grupo membros de recursos de um administrativeUnit. Tenha em atenção que pode obter membros utilizando o formato das operações GET listados abaixo. O primeiro devolve a URL/de ligação para os membro ou membros, o segundo devolve as propriedades para os membro ou membros. Em ambos os casos, o segmento de {memberObjectId} é opcional, dependendo se pretende que o conjunto de membros devolvidos ou uma definição específica.
| Método de HTTP | URI do pedido |
|---|---|
| INTRODUÇÃO | https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits/{objectId}/$links/members/{memberObjectId}?api-version=beta |
| INTRODUÇÃO | https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits/{objectId}/members/{memberObjectId}?api-version=beta |
Não há nenhum corpo do pedido.
Consulte o referência de resposta de HTTP secção abaixo para definições de código de resposta. O primeiro exemplo abaixo mostra o corpo da resposta de uma operação utilizando o segmento de $links para todos os membros (ie: {memberObjectId} não foi especificado), onde existem dois tipos de recursos, um utilizador e um grupo. A segunda mostra a resposta para o mesmo exemplo, sem o segmento de $links.
{
"odata.metadata": "https://graph.windows.net/contoso.onmicrosoft.com/$metadata#directoryObjects/$links/members",
"value":
[
{
"url":"https://graph.windows.net/contoso.onmicrosoft.com/directoryObjects/a1daa894-ff32-4839-bb6a-d7a4210fc96a/Microsoft.DirectoryServices.User"
},
{
"url":"https://graph.windows.net/contoso.onmicrosoft.com/directoryObjects/a0ab9340-2b20-4b3f-8672-bf1a2f141f91/Microsoft.DirectoryServices.Group"
}
]
}
{
"odata.metadata": "https://graph.windows.net/contoso.onmicrosoft.com/$metadata#directoryObjects",
"value":
[
{
"odata.type":"Microsoft.DirectoryServices.User",
"objectType":"User",
"objectId":"a1daa894-ff32-4839-bb6a-d7a4210fc96a",
"deletionTimestamp":null,
"acceptedAs":null,
"acceptedOn":null,
"accountEnabled":true,
"alternativeSecurityIds":[],
"alternativeSignInNames":[admin@contoso.com],
"alternativeSignInNamesInfo":[],
"appMetadata":null,
"assignedLicenses":[],
"assignedPlans":[],
"city":"Redmond",
"cloudSecurityIdentifier":"S-1-12-6-2715461780-1211760434-2765580987-1791561505",
"companyName":null,
"country":null,
"creationType":null,
"department":null,
"dirSyncEnabled":null,
"displayName":"Jon Doe",
"extensionAttribute1":null,
"extensionAttribute2":null,
"extensionAttribute3":null,
"extensionAttribute4":null,
"extensionAttribute5":null,
"extensionAttribute6":null,
"extensionAttribute7":null,
"extensionAttribute8":null,
"extensionAttribute9":null,
"extensionAttribute10":null,
"extensionAttribute11":null,
"extensionAttribute12":null,
"extensionAttribute13":null,
"extensionAttribute14":null,
"extensionAttribute15":null,
"facsimileTelephoneNumber":null,
"givenName":"Jon",
"immutableId":null,
"invitedOn":null,
"inviteReplyUrl":[],
"inviteResources":[],
"inviteTicket":[],
"isCompromised":null,
"jobTitle":null,
"jrnlProxyAddress":null,
"lastDirSyncTime":null,
"mail":null,
"mailNickname":"admin",
"mobile":null,
"netId":"100300008001EE6E",
"onPremisesSecurityIdentifier":null,
"otherMails":[jon@doe.com],
"passwordPolicies":null,
"passwordProfile":null,
"physicalDeliveryOfficeName":null,
"postalCode":"98052",
"preferredLanguage":"en-US",
"primarySMTPAddress":null,
"provisionedPlans":[],
"provisioningErrors":[],
"proxyAddresses":[],
"releaseTrack":null,
"searchableDeviceKey":[],
"selfServePasswordResetData":null,
"sipProxyAddress":null,
"smtpAddresses":[],
"state":"WA",
"streetAddress":
"One Microsoft Way",
"surname":"Doe",
"telephoneNumber":"(123) 456-7890",
"usageLocation":"US",
"userPrincipalName":admin@constoso.com,
"userState":null,
"userStateChangedOn":null,
"userType":"Member"
},
{
"odata.type":"Microsoft.DirectoryServices.Group",
"objectType":"Group",
"objectId":"a0ab9340-2b20-4b3f-8672-bf1a2f141f91",
"deletionTimestamp":null,
"appMetadata":null,
"cloudSecurityIdentifier":"S-1-12-6-2695598912-1262431008-448754310-2434733103",
"description":null,
"dirSyncEnabled":null,
"displayName":"Group for users in Central Region Administrative Unit",
"exchangeResources":[],
"groupType":null,
"isPublic":null,
"lastDirSyncTime":null,
"licenseAssignment":[],
"mail":null,
"mailEnabled":false,
"mailNickname":"CentralUsers",
"onPremisesSecurityIdentifier":null,
"provisioningErrors":[],
"proxyAddresses":[],
"securityEnabled":true,
"sharepointResources":[],
"targetAddress":null,
"wellKnownObject":null
}
]
}
Eliminar o membro ou membros de uma unidade administrativa
Utilizada para eliminar utilizador ou grupo membros de recursos de um administrativeGroup recursos. Porque membros é uma propriedade de navegação de valor múltiplo, tem de incluir o {objectId} de membro/ligação no URL do pedido, o que pretende eliminar.
| Método de HTTP | URI do pedido |
|---|---|
| ELIMINAR | https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits/{objectId}/$links/members/{objectId}?api-version=beta |
Não há nenhum corpo do pedido.
Consulte o referência de resposta de HTTP secção abaixo para definições de código de resposta. Não há nenhuma resposta de OData no corpo da resposta.
Os administradores são atribuídos a uma unidade administrativa colocá-las numa função de que tem sido no âmbito dessa unidade administrativa. As operações restantes nesta secção são implementadas através de scopedAdministrators propriedade de navegação, o qual fornece gestão de administradores do conjunto que têm o controlo administrativo de um AdministrativeUnit, através de uma função do âmbito.
Adicionar um administrador com função de um âmbito para uma unidade administrativa
Utilizado para adicionar um administrador a uma função que será incluída um administrativeUnit, através de ScopedRoleMembership entidade e a scopedAdministrators navegação propriedade. Neste exemplo, a operação faz duas coisas:
Preenche um novo ScopedRoleMembership item (que não é um recurso de OData endereçável), que estabelece uma relação entre um AdministrativeUnit, um DirectoryRole no âmbito de um administrador e a unidade administrativa utilizador.
Estabelece uma navegação propriedade associação/ligação entre o AdministrativeUnit e o novo ScopedRoleMembership item.
| Método de HTTP | URI do pedido |
|---|---|
| POST | https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits/{objectId}/scopedAdministrators?api-version=beta |
O corpo do pedido especifica as seguintes propriedades de entidade ScopedRoleMembership:
roleObjectId – objectId do DirectoryRole pretendido. Nota: atualmente só as funções HelpDeskAdministrators e UserAccountAdministrator são válidas.
roleMemberInfo – uma estrutura que identifica o administrativo utilizador: objectId – objectId do utilizador administrativo.
objectId – objectId do utilizador administrativo.
{
"roleObjectId":"4bae1c93-ef8c-4907-83c8-1e1c1fd2e2c1",
"roleMemberInfo":{
"objectId":"a142bb2d-df81-4066-af91-f63e4aba9e5f"}
}
Consulte o referência de resposta de HTTP secção abaixo para definições de código de resposta. O corpo da resposta parecerá semelhante às abaixo.
{
"odata.metadata":https://graph.windows.net/contoso.onmicrosoft.com/$metadata#directoryObjects/Microsoft.DirectoryServices.AdministrativeUnit/@Element",
"id":"kxyuS4zvB0mDyB4cH9Liwf2cwDwjVAJAhbgHDWCmP-Itu0Khgd9mQK-R9j5Kup5fU",
"roleObjectId":"4bae1c93-ef8c-4907-83c8-1e1c1fd2e2c1",
"administrativeUnitObjectId":"3cc09cfd-5423-4002-85b8-070d60a63fe2",
"roleMemberInfo":{"objectId":"a142bb2d-df81-4066-af91-f63e4aba9e5f",
"displayName":"Bryan",
"userPrincipalName":BryanL@contoso.com
}
}
Obter um administrador com função de um âmbito de uma unidade administrativa
Utilizado para obter a lista de administradores em funções com âmbito definido para um administrativeUnit recursos, como ScopedRoleMembership entidades. Tenha em atenção que o segmento de {scopedRoleMemberId} é opcional, dependendo se pretende que o conjunto de membros ou uma definição específica.
| Método de HTTP | URI do pedido |
|---|---|
| INTRODUÇÃO | https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits/{objectId}/scopedAdministrators/{scopedRoleMemberId}?api-version=beta |
Não há nenhum corpo do pedido.
Consulte o referência de resposta de HTTP secção abaixo para definições de código de resposta. O corpo da resposta abaixo é para uma consulta para todos os membros.
{
"odata.metadata":https://graph.windows.net/contoso.onmicrosoft.com /$metadata#scopedRoleMemberships,
"value":
[
{
"id":"kxyuS4zvB0mDyB4cH9Liwf2cwDwjVAJAhbgHDWCmP-Itu0Khgd9mQK-R9j5Kup5fU",
"roleObjectId":"4bae1c93-ef8c-4907-83c8-1e1c1fd2e2c1",
"administrativeUnitObjectId":"3cc09cfd-5423-4002-85b8-070d60a63fe2",
"roleMemberInfo":
{
"objectId":"a142bb2d-df81-4066-af91-f63e4aba9e5f",
"displayName":"Bryan",
"userPrincipalName":BryanL@contoso.com
}
}
]
}
Elimine um administrador com função de um âmbito de uma unidade administrativa.
Utilizada para eliminar um ScopedRoleMembership de um administrativeUnit recurso, especificado pelo segmento {scopedRoleMemberId}.
| Método de HTTP | URI do pedido |
|---|---|
| ELIMINAR | https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits/{objectId}/scopedAdministrators/{scopedRoleMemberId}?api-version=beta |
Não há nenhum corpo do pedido.
Consulte o referência de resposta de HTTP secção abaixo para definições de código de resposta. Não há nenhuma resposta de OData no corpo da resposta.
Operações suportadas – os utilizadores e grupos
Esta secção define as operações suportadas recentemente no utilizadores e grupos recursos, que fornecem suporte para administrativeUnit recursos.
Pode verificar a documentação de GA completa para o utilizador e grupo entidades e para operações de utilizadores e grupos.
Para cada uma das operações listados abaixo:
O principal que efetua a operação tem de ter privilégios para ler objetos utilizando pedidos GET.
Conforme adequado, substituem as cadeias de marcador de posição "contoso.onmicrosoft.com" com o domínio do inquilino do Azure Active Directory e {objectId} com o ID do tipo de recurso, conforme determinado no URL.
Cada pedido tem de incluir os seguintes cabeçalhos de pedido de HTTP:
Cabeçalho de pedido Descrição Autorização Necessário. Um token de portador emitido pelo Azure Active Directory. Ver os cenários de autenticação para o Azure AD para obter mais informações. Content-Type Necessário. O tipo de suporte de dados do conteúdo no pedido de corpo, por exemplo: application/json. Content-Length Necessário. O comprimento do pedido em bytes.
Obter as unidades administrativas a que pertence um utilizador ou grupo
A pré-visualização permite a obtenção de administrativeUnits associação utilizadores e grupos recursos, através de memberOf propriedade de navegação no DirectoryObject entidade. Especifique o segmento de recurso "utilizadores" para obter associação utilizadores recursos ou "grupos" para grupos recursos. Especifique o segmento de recurso "$links" para obter o recurso URLs/ligações ou omita a obter as propriedades.
| Método de HTTP | URI do pedido |
|---|---|
| INTRODUÇÃO | https://graph.windows.net/contoso.onmicrosoft.com/users/{objectID}/$links/memberOf?api-version=beta |
| INTRODUÇÃO | https://graph.windows.net/contoso.onmicrosoft.com/users/{objectID}/memberOf?api-version=beta |
| INTRODUÇÃO | https://graph.windows.net/contoso.onmicrosoft.com/groups/{objectID}/$links/memberOf?api-version=beta |
| INTRODUÇÃO | https://graph.windows.net/contoso.onmicrosoft.com/groups/{objectID}/memberOf?api-version=beta |
Não há nenhum corpo do pedido.
Consulte o referência de resposta de HTTP secção abaixo para definições de código de resposta. O primeiro exemplo abaixo mostra o corpo da resposta para um utilizadores recurso com o segmento $links, que possui associação em dois tipos de recursos: um DirectoryRole e um AdministrativeUnit . A segunda mostra a resposta para o mesmo exemplo, sem o segmento de $links.
{
"odata.metadata": "https://graph.windows.net/contoso.onmicrosoft.com/$metadata#directoryObjects/$links/memberOf",
"value":
[
{
"url":"https://graph.windows.net/contoso.onmicrosoft.com/directoryObjects/cbf54c29-6184-484d-92d6-d6af32f896a2/Microsoft.DirectoryServices.DirectoryRole"
},
{
"url":"https://graph.windows.net/contoso.onmicrosoft.com/directoryObjects/3cc09cfd-5423-4002-85b8-070d60a63fe2/Microsoft.DirectoryServices.AdministrativeUnit"
}
]
}
{
"odata.metadata": "https://graph.windows.net/contoso.onmicrosoft.com/$metadata#directoryObjects",
"value":
[
{
"odata.type":"Microsoft.DirectoryServices.DirectoryRole",
"objectType":"Role",
"objectId":"cbf54c29-6184-484d-92d6-d6af32f896a2",
"deletionTimestamp":null,
"cloudSecurityIdentifier":"S-1-12-6-3421850665-1213030788-2950092434-2727802930",
"description":"Company Administrator role has full access to perform any operation in the company scope.",
"displayName":"Company Administrator",
"isSystem":true,
"roleDisabled":false,
"roleTemplateId":"62e90394-69f5-4237-9190-012177145e10"
},
{
"odata.type":"Microsoft.DirectoryServices.AdministrativeUnit",
"objectType":"AdministrativeUnit",
"objectId":"3cc09cfd-5423-4002-85b8-070d60a63fe2",
"deletionTimestamp":null,
"displayName":"Central Region Administrators",
"description":"Administrators responsible for the Central Region"
}
]
}
Obter as unidades administrativas que um utilizador é um administrador
Utilizado para obter o adminstrativeUnits atualizará dos quais um utilizador é um administrador através de scopedAdministratorOf propriedade de navegação no utilizador entidade. Tenha em atenção que pode utilizar o formato das operações GET listados abaixo. O primeiro obtém o recurso URLs/de ligação, o segundo devolve as propriedades.
| Método de HTTP | URI do pedido |
|---|---|
| INTRODUÇÃO | https://graph.windows.net/contoso.onmicrosoft.com/users/{objectId}/$links/scopedAdministratorOf?api-version=beta |
| INTRODUÇÃO | https://graph.windows.net/contoso.onmicrosoft.com/users/{objectId}/scopedAdministratorOf?api-version=beta |
Não há nenhum corpo do pedido.
Consulte o referência de resposta de HTTP secção abaixo para definições de código de resposta. O primeiro exemplo abaixo mostra o corpo da resposta de uma operação utilizando o segmento de $links. A segunda mostra a resposta para o mesmo exemplo, sem o segmento de $links.
{
"odata.metadata": "https://graph.windows.net/contoso.onmicrosoft.com/$metadata#directoryObjects/$links/scopedAdministratorOf",
"value":
[
{
"url":"https://graph.windows.net/contoso.onmicrosoft.com/scopedRoleMemberships/kxyuS4zvB0mDyB4cH9Liwf2cwDwjVAJAhbgHDWCmP-Itu0Khgd9mQK-R9j5Kup5fU"
}
]
}```
```json
{
"odata.metadata": "https://graph.windows.net/contoso.onmicrosoft.com/$metadata#scopedRoleMemberships",
"value":
[
{
"id":"kxyuS4zvB0mDyB4cH9Liwf2cwDwjVAJAhbgHDWCmP-Itu0Khgd9mQK-R9j5Kup5fU",
"roleObjectId":"4bae1c93-ef8c-4907-83c8-1e1c1fd2e2c1",
"administrativeUnitObjectId":"3cc09cfd-5423-4002-85b8-070d60a63fe2",
"roleMemberInfo":
{
"objectId":"a142bb2d-df81-4066-af91-f63e4aba9e5f",
"displayName":"Bryan",
"userPrincipalName":BryanL@contoso.com
}
}
]
}
Operações suportadas – directoryRoles
Esta secção define as operações suportadas recentemente no directoryRoles suportam recursos que fornecem específico para administrativeUnits recursos.
Pode verificar a documentação de GA completa para obter mais informações sobre o DirectoryRole entidade relacionados e operações ***.
Para cada uma das operações listados abaixo:
O principal que efetua a operação tem de ter privilégios para ler objetos utilizando pedidos GET.
Conforme adequado, substituem as cadeias de marcador de posição "contoso.onmicrosoft.com" com o domínio do inquilino do Azure Active Directory e {objectId} com o ID do tipo de recurso, conforme determinado no URL.
Cada pedido tem de incluir o seguinte pedido de HTTP cabeçalhos: pedido HeaderDescriptionAuthorizationRequired. Um token de portador emitido pelo Azure Active Directory. Ver os cenários de autenticação para o Azure AD para obter mais informações. Conteúdo-TypeRequired. O tipo de suporte de dados do conteúdo no pedido de corpo, por exemplo: application/json. Conteúdo-LengthRequired. O comprimento do pedido em bytes.
| Cabeçalho de pedido | Descrição |
|---|---|
| Autorização | Necessário. Um token de portador emitido pelo Azure Active Directory. Ver os cenários de autenticação para o Azure AD para obter mais informações. |
| Content-Type | Necessário. O tipo de suporte de dados do conteúdo no pedido de corpo, por exemplo: application/json. |
| Content-Length | Necessário. O comprimento do pedido em bytes. |
Obter os administradores de unidade administrativas no âmbito de uma função específica
Os administradores são atribuídos a uma unidade administrativa colocá-las numa função de que tem sido no âmbito dessa unidade administrativa. Esta operação permite-lhe obter essas "no âmbito associações de função" administrador, como um conjunto de scopedRoleMemberships recursos. Tenha em atenção que apenas um "HelpDeskAdministrators" ou "UserAccountAdministrator" função {objectId} é válida. Tenha também em atenção que o segmento de {scopedRoleMemberId} é opcional, consoante pretenda todos os scopedRoleMembership recursos para uma função específica ou um tipo específico.
| Método de HTTP | URI do pedido |
|---|---|
| INTRODUÇÃO | https://graph.windows.net/contoso.onmicrosoft.com/directoryRoles/{objectId}/scopedAdministrators/{scopedRoleMemberId}?api-version=beta |
Não há nenhum corpo do pedido.
Consulte o referência de resposta de HTTP secção abaixo para definições de código de resposta. O corpo da resposta abaixo é para uma consulta para todos os administradores de uma unidade administrativa específico, no âmbito da função de administrador de suporte técnico.
{
"odata.metadata":https://graph.windows.net/contoso.onmicrosoft.com /$metadata#scopedRoleMemberships,
"value":[
{
"id":"kxyuS4zvB0mDyB4cH9Liwf2cwDwjVAJAhbgHDWCmP-Itu0Khgd9mQK-R9j5Kup5fU",
"roleObjectId":"4bae1c93-ef8c-4907-83c8-1e1c1fd2e2c1",
"administrativeUnitObjectId":"3cc09cfd-5423-4002-85b8-070d60a63fe2",
"roleMemberInfo":
{
"objectId":"a142bb2d-df81-4066-af91-f63e4aba9e5f",
"displayName":"Bryan",
"userPrincipalName":BryanL@contoso.com
}
]
}
Referência de resposta de HTTP
Segue-se a lista de possíveis códigos de resposta HTTP:
| Código de estado de HTTP | Código de erro de OData | Descrição |
|---|---|---|
| 200/OK | n/d | Normal de resposta para uma consulta com êxito. O corpo da resposta irá conter os dados que corresponde aos filtros especificados nos parâmetros de consulta. |
| 201/criado | n/d | Normal de resposta para uma operação POST/criar com êxito. O corpo da resposta irá conter os dados conforme preenchido no recurso de novo. |
| Conteúdo 204/não | n/d | Normal de resposta para uma operação de PATCH/atualização ou eliminação com êxito num recurso ou POST num recurso ligado. O corpo da resposta não irá conter uma resposta de OData. |
| 400/BadRequest | Request_BadRequest | Esta é uma mensagem de erro genérico para um cabeçalho inválido ou em falta, parâmetro ou dados de corpo do pedido. Também poderá ver este erro se tentar adicionar um recurso ligado que já existe. |
| 401/não autorizado | AuthorizationError | Este será apresentado quando o utilizador não está autorizado a ver o conteúdo. Consulte o artigo REST de AD Graph principal para obter detalhes adicionais no proteger as suas chamadas e obter e especificar um token de acesso seguro. |
| 404/não encontrado | Request_ResourceNotFound | Este será apresentado quando o recurso que está a tentar aceder não existe. |
| 405/Método não permitido | Request_BadRequest | Este será apresentado quando está a tentar efetuar uma operação destinam-se um recurso específico, mas não está a fornecer o ID do recurso correto no URL do pedido. |
Recursos adicionais
- Para obter informações sobre a gestão de unidades administrativas através do PowerShell, visite o gestão unidades administrativas no Azure AD - pré-visualização pública artigo.
- Para obter mais informações sobre o OData tipos primitivos data expostos pelo EDM, consulte Entity Data Model: tipos de dados primitivos.
- Referência de AD Graph API do Azure