Administrativa enheter (förhandsversion) | Graph API-begrepp
Gäller för: Graph API | Azure Active Directory (AD)
Översikt över och krav
En administrativ enhet innehåller en konceptuell behållare för katalogobjekt för användare och grupper, aktivera behörighet för att vara delegerade på en ökad detaljnivå (ie: avdelningsnivå, regionala, etc.), administrativa roller begränsade till den administrativa enheten. Det här avsnittet innehåller beskrivningar av deklarerade egenskaper och navigeringsegenskaper som exponeras av den AdministrativeUnit entitetstyper, samt åtgärder och funktioner som kan anropas i den administrativeUnits OData-resurs.
Viktigt
Vi rekommenderar starkt att du använder Microsoft Graph i stället för Azure AD Graph API för att komma åt resurser i Azure Active Directory. Vårt utvecklingsarbete är nu samlade på Microsoft Graph och inga fler förbättringar som planeras att Azure AD Graph API. Det finns ett begränsat antal scenarier som Azure AD Graph API kan fortfarande vara lämplig. Mer information finns i Microsoft Graph eller Azure AD Graph blogginlägget i Office Dev Center.
Om du är bekant med Azure AD-konfiguration för autentisering och program krävs innan du använder administrativa enhet förhandsgranskningen. Om du är bekant med de koncept som Azure AD-autentisering och/eller konfigurationssteg som krävs för att tillåta ett program för att få åtkomst till din klient hittar Autentiseringsscenarier för Azure AD, särskilt avsnittet grunderna för registrering av program i Azure AD som länkar till mer detaljerad integrera program med Azure Active Directory artikel.
Mer information finns i huvudfönstret Azure Active Directory Graph API artikel på Azure.com och följande lista över artiklar för Graph API för ytterligare viktig och användbar information innan du fortsätter till i avsnitten nedan:
Azure AD Graph API versionshantering
Viktiga: det administrativa enhet funktionen är tillgängliga i förhandsversionen endast just nu. För att kunna använda förhandsgranskningsfunktioner, kontrollera att att ställa in api-versionen frågesträngparametern ”Beta” Internet Explorer:
https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits?api-version=beta
Du kan skapa och använda administrativa enheter endast om du aktiverar Azure Active Directory Premium. Mer information finns i komma igång med Azure Active Directory PremiumSnabbstartsguide för Azure AD Graph API på Azure.com
Namespace och arv
Namespace: Microsoft.DirectoryServices
Bastypen: DirectoryObject
Enheter
Den AdministrativeUnit entiteten har stöd för följande egenskaper:
Deklarerade egenskaper
| Namn | Typ | Create(POST) | Read(Get) | Update(PATCH) | Description |
|---|---|---|---|---|---|
| description | Edm.String | Valfri | Valfri | En valfri beskrivning för den administrativa enheten. | |
| visningsnamn | Edm.String | Obligatoriskt | Filtrera | Valfri | Visningsnamn för den administrativa enheten. |
Navigeringsegenskaper
| Namn | Från multipliciteten | Att | Att multipliciteten | Description |
|---|---|---|---|---|
| Medlemmar | * | Användare eller grupp | * | Medlemmar i den administrativa enhet som kan vara användare eller grupper. Ärvd från DirectoryObject. |
| scopedAdministrators | * | ScopedRoleMembership | * | Administratörer som tilldelats det angivna roller som är begränsade till en administrativ enhet. |
Obs: även om den DirectoryObject entitet har också stöd för andra navigeringsegenskaper, inklusive memberOf, ägare, och ownedObjects, dessa egenskaper är inte giltig för administrativa enhet. Om en begäran om någon av egenskaperna som skickas, en 400 Felaktig förfrågan svar returneras med ett motsvarande meddelande.
Adressering
Adresser kan sträcka sig över en mängd administrativa enheter i katalogen, en enskild administrativa enhet eller relaterade resurser som är tillgängliga via navigeringsegenskaper stöds av en administrativ enhet. Exemplen i tabellen använda klientdomänen för att adressera innehavaren. Andra sätt att adressera innehavaren, se adressering entiteter och åtgärder i Graph API.
| Artefakt | URL-fragment | Exempel |
|---|---|---|
| Ange resurs (alla administrativa enheter) | /administrativeUnits | https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits?api-version=beta |
| Enkel resurs (ie: en administrativ enhet) | /administrativeUnits/{objectId} | https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits/12345678-9abc-def0-1234-56789abcde?api-version=beta |
| Relaterade resurser via en navigeringsegenskap | /administrativeUnits/{objectId}/$links/{property-name} | https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits/12345678-9abc-def0-1234-56789abcde/$links/members?api-version=beta |
Obs: avsnittet Navigeringsegenskaper ovan för listan över giltiga navigeringsegenskaper som kan användas i stället {egenskapsnamn}. Ta bort ”$links”-segment från resursen sökvägsdelen av URI: N att returnera de faktiska objekten som refereras av en navigeringsegenskap i stället för länkar till dem. Du kan adressera en administrativ enhet med hjälp av allmänna katalogobjekt, genom att ersätta ”administrativeUnits” med ”directoryObjects” i resursen sökvägsdelen av URI: N.
Mer information om frågor katalogobjekt finns Azure AD Graph API vanliga frågor och Azure AD Graph API differentiell frågan.
De åtgärder som stöds – administrativeUnits
Det här avsnittet beskriver de åtgärder som stöds på en administrativeUnits resursuppsättningen. Som tidigare nämnts är det viktigt att granska avsnitten i den översikt och förutsättningar först för att förstå några av grunderna för Graph API som gäller för alla entiteter, till exempel korrekt formatering URL: er, adressering entiteter och åtgärder, med versionshantering och mycket mer.
För var och en av åtgärderna i listan nedan:
Det säkerhetsobjekt som utför åtgärden måste vara i en administratörsroll som har behörighet att ändra administrativeUnits resurser med korrigering, POST och DELETE-begäranden och behörighet för att läsa objekt med hjälp av GET-begäranden.
Så är lämpligt, Ersätt platshållaren strängar ”contoso.onmicrosoft.com” med domänen för din Azure Active Directory-klient och {objectId} med ID för resurstyp som anges i URL: en.
Varje begäran måste innehålla följande HTTP-begäran huvuden i tabellen nedan.
| Huvudet i begäran | Description |
|---|---|
| Auktorisering | Krävs. En ägartoken som utfärdas av Azure Active Directory. Se Autentiseringsscenarier för Azure AD för mer information. |
| Content-Type | Krävs. Medietyp för innehållet i begäran body, t.ex.: application/json. |
| Content-Length | Krävs. Längden på begäran i byte. |
De fyra första åtgärderna nedan används för att hantera skapande, hämtning, uppdatering och borttagning av AdministrativeUnit entiteter. Åtgärder efter dessa används den medlemmar och scopedAdministrators navigeringsegenskaper att hantera användare/grupp medlemmarna i den AdminstrativeUnit, och uppsättning begränsade administratörer (via den ScopedRoleMembership enhet) som har administratörsrättigheter för den AdministrativeUnitrespektive.
Skapa en administrativ enhet
Används för att skapa en ny AdministrativeUnit.
| HTTP-metoden | URI-begäran |
|---|---|
| POST | https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits?api-version=beta |
Begärandetexten anger de nödvändiga displayName och valfria beskrivning egenskaper:
{
"displayName":"Central Region",
"description":"Administrators responsible for the Central region."
}
Finns det HTTP-svar referens avsnittet nedan för svar kod definitioner. Svarstexten visas liknar den nedan.
{
"odata.metadata":https://graph.windows.net/contoso.onmicrosoft.com/$metadata#directoryObjects/Microsoft.DirectoryServices.AdministrativeUnit/@Element",
"odata.type":"Microsoft.DirectoryServices.AdministrativeUnit",
"objectType":"AdministrativeUnit",
"objectId":"ca1a80f3-ac25-429b-a1e9-0f1eb87cc30b",
"deletionTimestamp":null,
"displayName":"Central Region",
"description":"Administrators responsible for the Central region."
}
Hämta administrativa enheter
Används för att hämta en specifik AdministrativeUnit av {objekt-ID} en delmängd av filtrering på den displayName egenskapen (se stöds frågor, filter och växling alternativ i Azure AD-diagram API), eller en lista med alla tillgängliga. Frågor och svar exemplen nedan visar frågor för en specifik administrativa enhet och för alla administrativa enheter respektive.
| HTTP-metoden | URI-begäran |
|---|---|
| HÄMTA | https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits/{objectId}?api-version=beta |
| HÄMTA | https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits?api-version=beta |
Det finns ingen brödtext i begäran.
Finns det HTTP-svar referens avsnittet nedan för svar kod definitioner. Svarstexten liknar ett av dem nedan.
{
"odata.metadata":https://graph.windows.net/contoso.onmicrosoft.com/$metadata#directoryObjects/Microsoft.DirectoryServices.AdministrativeUnit/@Element",
"odata.type":"Microsoft.DirectoryServices.AdministrativeUnit",
"objectType":"AdministrativeUnit",
"objectId":"ca1a80f3-ac25-429b-a1e9-0f1eb87cc30b",
"deletionTimestamp":null,
"displayName":"Central Region",
"description":"Administrators responsible for the Central region."
}
{
"odata.metadata":https://graph.windows.net/contoso.onmicrosoft.com/$metadata#directoryObjects/Microsoft.DirectoryServices.AdministrativeUnit/",
"value":
[
{
"odata.type":"Microsoft.DirectoryServices.AdministrativeUnit",
"objectType":"AdministrativeUnit",
"objectId":"ca1a80f3-ac25-429b-a1e9-0f1eb87cc30b",
"deletionTimestamp":null,
"displayName":"Central Region",
"description":"Administrators responsible for the Central region."
},
{
"odata.type":"Microsoft.DirectoryServices.AdministrativeUnit",
"objectType":"AdministrativeUnit",
"objectId":"455b7304-b245-4d58-95c4-1797c32c80db",
"deletionTimestamp":null,
"displayName":"East Coast Region",
"description":"East Coast Two"
}
]
}
Uppdatera en administrativ enhet
Används för att uppdatera en eller flera egenskaper i en AdministrativeUnit.
| HTTP-metoden | URI-begäran |
|---|---|
| KORRIGERING | https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits/{objectId}?api-version=beta |
Begärandetexten anger en eller båda av de AdministrativeUnit egenskaper:
{
"displayName":"Central Region Administrators"
}
Finns det HTTP-svar referens avsnittet nedan för svar kod definitioner. Det finns inget OData-svar i brödtext för svar.
Ta bort en administrativ enhet
Används för att ta bort en AdministrativeUnit, som anges av {objectId}.
| HTTP-metoden | URI-begäran |
|---|---|
| TA BORT | https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits/{objectId}?api-version=beta |
Det finns ingen brödtext i begäran.
Finns det HTTP-svar referens avsnittet nedan för svar kod definitioner. Det finns inget OData-svar i brödtext för svar.
Följande åtgärder är implementerad via den medlemmar navigeringsegenskap, vilket ger hantering av användare/grupp medlemmarna i en AdminstrativeUnit. Återkalla från tidigare $links resurssegment kan du bläddra eller ändra associationen (aka: länk) mellan två resurser, exempelvis som mellan en administrativeUnit och en användaren eller grupp resurs.
Lägg till medlemmar i en administrativ enhet
Används för att lägga till användare eller grupp resurs medlemmar till en AdministrativeUnit.
| HTTP-metoden | URI-begäran |
|---|---|
| POST | https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits/{objectId}/$links/members/?api-version=beta |
I det här exemplet anger begärandetexten URL för den önskade medlem som vi vill lägga till den administrativeUnit, vilket är en användare resursen i det här exemplet. Det går även att använda directoryObjects som typen resurssegment i stället för användare, som den användaren entiteten har ärvts från det DirectoryObject entitet. Samma sak gäller när du använder den grupper resurssegment.
{
"url":" https://graph.windows.net/contoso.onmicrosoft.com/users/a1daa894-ff32-4839-bb6a-d7a4210fc96a"
}
Finns det HTTP-svar referens avsnittet nedan för svar kod definitioner. Det finns inget OData-svar i brödtext för svar.
Hämta en eller flera medlemmar av en administrativ enhet
Används för att hämta användare eller grupp resurs medlemmar från en administrativeUnit. Observera att du kan hämta medlemmar med hjälp av någon form av GET-åtgärder som anges nedan. Först returnerar på adressen till medlemmarna, andra returnerar egenskaperna för medlemmarna. {MemberObjectId}-segment är valfria, beroende på om du vill att uppsättningen med medlemmar som returneras eller en specifik inställning i båda fallen.
| HTTP-metoden | URI-begäran |
|---|---|
| HÄMTA | https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits/{objectId}/$links/members/{memberObjectId}?api-version=beta |
| HÄMTA | https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits/{objectId}/members/{memberObjectId}?api-version=beta |
Det finns ingen brödtext i begäran.
Finns det HTTP-svar referens avsnittet nedan för svar kod definitioner. Det första exemplet nedan visar svarstexten för en åtgärd med $links segment för alla medlemmar (ie: {memberObjectId} har inte angetts), där det finns två typer av resurser, en användare och en grupp. Andra visas svaret för det här exemplet utan $links segment.
{
"odata.metadata": "https://graph.windows.net/contoso.onmicrosoft.com/$metadata#directoryObjects/$links/members",
"value":
[
{
"url":"https://graph.windows.net/contoso.onmicrosoft.com/directoryObjects/a1daa894-ff32-4839-bb6a-d7a4210fc96a/Microsoft.DirectoryServices.User"
},
{
"url":"https://graph.windows.net/contoso.onmicrosoft.com/directoryObjects/a0ab9340-2b20-4b3f-8672-bf1a2f141f91/Microsoft.DirectoryServices.Group"
}
]
}
{
"odata.metadata": "https://graph.windows.net/contoso.onmicrosoft.com/$metadata#directoryObjects",
"value":
[
{
"odata.type":"Microsoft.DirectoryServices.User",
"objectType":"User",
"objectId":"a1daa894-ff32-4839-bb6a-d7a4210fc96a",
"deletionTimestamp":null,
"acceptedAs":null,
"acceptedOn":null,
"accountEnabled":true,
"alternativeSecurityIds":[],
"alternativeSignInNames":[admin@contoso.com],
"alternativeSignInNamesInfo":[],
"appMetadata":null,
"assignedLicenses":[],
"assignedPlans":[],
"city":"Redmond",
"cloudSecurityIdentifier":"S-1-12-6-2715461780-1211760434-2765580987-1791561505",
"companyName":null,
"country":null,
"creationType":null,
"department":null,
"dirSyncEnabled":null,
"displayName":"Jon Doe",
"extensionAttribute1":null,
"extensionAttribute2":null,
"extensionAttribute3":null,
"extensionAttribute4":null,
"extensionAttribute5":null,
"extensionAttribute6":null,
"extensionAttribute7":null,
"extensionAttribute8":null,
"extensionAttribute9":null,
"extensionAttribute10":null,
"extensionAttribute11":null,
"extensionAttribute12":null,
"extensionAttribute13":null,
"extensionAttribute14":null,
"extensionAttribute15":null,
"facsimileTelephoneNumber":null,
"givenName":"Jon",
"immutableId":null,
"invitedOn":null,
"inviteReplyUrl":[],
"inviteResources":[],
"inviteTicket":[],
"isCompromised":null,
"jobTitle":null,
"jrnlProxyAddress":null,
"lastDirSyncTime":null,
"mail":null,
"mailNickname":"admin",
"mobile":null,
"netId":"100300008001EE6E",
"onPremisesSecurityIdentifier":null,
"otherMails":[jon@doe.com],
"passwordPolicies":null,
"passwordProfile":null,
"physicalDeliveryOfficeName":null,
"postalCode":"98052",
"preferredLanguage":"en-US",
"primarySMTPAddress":null,
"provisionedPlans":[],
"provisioningErrors":[],
"proxyAddresses":[],
"releaseTrack":null,
"searchableDeviceKey":[],
"selfServePasswordResetData":null,
"sipProxyAddress":null,
"smtpAddresses":[],
"state":"WA",
"streetAddress":
"One Microsoft Way",
"surname":"Doe",
"telephoneNumber":"(123) 456-7890",
"usageLocation":"US",
"userPrincipalName":admin@constoso.com,
"userState":null,
"userStateChangedOn":null,
"userType":"Member"
},
{
"odata.type":"Microsoft.DirectoryServices.Group",
"objectType":"Group",
"objectId":"a0ab9340-2b20-4b3f-8672-bf1a2f141f91",
"deletionTimestamp":null,
"appMetadata":null,
"cloudSecurityIdentifier":"S-1-12-6-2695598912-1262431008-448754310-2434733103",
"description":null,
"dirSyncEnabled":null,
"displayName":"Group for users in Central Region Administrative Unit",
"exchangeResources":[],
"groupType":null,
"isPublic":null,
"lastDirSyncTime":null,
"licenseAssignment":[],
"mail":null,
"mailEnabled":false,
"mailNickname":"CentralUsers",
"onPremisesSecurityIdentifier":null,
"provisioningErrors":[],
"proxyAddresses":[],
"securityEnabled":true,
"sharepointResources":[],
"targetAddress":null,
"wellKnownObject":null
}
]
}
Ta bort medlemmar från en administrativ enhet
Används för att ta bort användare eller grupp resurs medlemmar från en administratörsgrupp resurs. Eftersom medlemmar är en navigeringsegenskap med flera värden måste du inkludera {objectId} för medlemmen/länken i begärande-URL som du vill ta bort.
| HTTP-metoden | URI-begäran |
|---|---|
| TA BORT | https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits/{objectId}/$links/members/{objectId}?api-version=beta |
Det finns ingen brödtext i begäran.
Finns det HTTP-svar referens avsnittet nedan för svar kod definitioner. Det finns inget OData-svar i brödtext för svar.
Administratörer har tilldelats en administrativ enhet genom att placera dem i en roll som har varit begränsade till den administrativa enheten. De återstående åtgärderna i det här avsnittet implementeras den scopedAdministrators navigeringsegenskap, vilket ger hantering av set-administratörer som har administrativ kontroll över en AdministrativeUnit, via en begränsade roll.
Lägg till en begränsad rollen Administratör i en administrativ enhet
Används för att lägga till en administratör i en roll som kommer att tillhöra en administrativeUnit, via den ScopedRoleMembership entiteten och scopedAdministrators navigering Egenskapen. I det här exemplet gör åtgärden två saker:
Fyller på en ny ScopedRoleMembership artikel (som inte är en adresserbara OData-resurs) som upprättar ett förhållande mellan en AdministrativeUnit, DirectoryRole begränsade till den administrativa enheten och en administratör användaren.
Upprättar en annan navigering egenskapen association/länk mellan den AdministrativeUnit och den nya ScopedRoleMembership objekt.
| HTTP-metoden | URI-begäran |
|---|---|
| POST | https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits/{objectId}/scopedAdministrators?api-version=beta |
Begärandetexten anger följande egenskaper från ScopedRoleMembership entiteten:
roleObjectId – objekt-ID för den önskade DirectoryRole. Obs: för närvarande endast rollerna HelpDeskAdministrators och UserAccountAdministrator är giltiga.
roleMemberInfo – en struktur som identifierar den administrativa användaren: objekt-ID – objectId av den administrativa användaren.
objekt-ID – objekt-ID för den administrativa användaren.
{
"roleObjectId":"4bae1c93-ef8c-4907-83c8-1e1c1fd2e2c1",
"roleMemberInfo":{
"objectId":"a142bb2d-df81-4066-af91-f63e4aba9e5f"}
}
Finns det HTTP-svar referens avsnittet nedan för svar kod definitioner. Svarstexten visas liknar den nedan.
{
"odata.metadata":https://graph.windows.net/contoso.onmicrosoft.com/$metadata#directoryObjects/Microsoft.DirectoryServices.AdministrativeUnit/@Element",
"id":"kxyuS4zvB0mDyB4cH9Liwf2cwDwjVAJAhbgHDWCmP-Itu0Khgd9mQK-R9j5Kup5fU",
"roleObjectId":"4bae1c93-ef8c-4907-83c8-1e1c1fd2e2c1",
"administrativeUnitObjectId":"3cc09cfd-5423-4002-85b8-070d60a63fe2",
"roleMemberInfo":{"objectId":"a142bb2d-df81-4066-af91-f63e4aba9e5f",
"displayName":"Bryan",
"userPrincipalName":BryanL@contoso.com
}
}
Hämta en omfång rollen Administratör av en administrativ enhet
Används för att hämta listan över administratörer i begränsade roller för en administrativeUnit resurs, som ScopedRoleMembership entiteter. Observera att {scopedRoleMemberId}-segment är valfria, beroende på om du vill att en uppsättning medlemmar eller en specifik inställning.
| HTTP-metoden | URI-begäran |
|---|---|
| HÄMTA | https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits/{objectId}/scopedAdministrators/{scopedRoleMemberId}?api-version=beta |
Det finns ingen brödtext i begäran.
Finns det HTTP-svar referens avsnittet nedan för svar kod definitioner. Svarstexten nedan är för en fråga för alla medlemmar.
{
"odata.metadata":https://graph.windows.net/contoso.onmicrosoft.com /$metadata#scopedRoleMemberships,
"value":
[
{
"id":"kxyuS4zvB0mDyB4cH9Liwf2cwDwjVAJAhbgHDWCmP-Itu0Khgd9mQK-R9j5Kup5fU",
"roleObjectId":"4bae1c93-ef8c-4907-83c8-1e1c1fd2e2c1",
"administrativeUnitObjectId":"3cc09cfd-5423-4002-85b8-070d60a63fe2",
"roleMemberInfo":
{
"objectId":"a142bb2d-df81-4066-af91-f63e4aba9e5f",
"displayName":"Bryan",
"userPrincipalName":BryanL@contoso.com
}
}
]
}
Ta bort en omfång rollen Administratör från en administrativ enhet.
Används för att ta bort en ScopedRoleMembership från en administrativeUnit resursen som anges av segmentet {scopedRoleMemberId}.
| HTTP-metoden | URI-begäran |
|---|---|
| TA BORT | https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits/{objectId}/scopedAdministrators/{scopedRoleMemberId}?api-version=beta |
Det finns ingen brödtext i begäran.
Finns det HTTP-svar referens avsnittet nedan för svar kod definitioner. Det finns inget OData-svar i brödtext för svar.
De åtgärder som stöds – användare och grupper
Det här avsnittet beskriver de åtgärder som nyligen stöds på användare och grupper resurser, som ger stöd för administrativeUnit resurser.
Du kan kontrollera fullständig GA-dokumentationen för den användaren och grupp entiteter och för åtgärder på användare och grupper.
För var och en av åtgärderna i listan nedan:
Det säkerhetsobjekt som utför åtgärden måste ha behörighet att läsa objekt med hjälp av GET-begäranden.
Ersätt platshållaren strängar ”contoso.onmicrosoft.com” med domänen för din Azure Active Directory-klient och {objectId} efter behov, med ID för resurstyp som anges i URL: en.
Varje begäran måste innehålla följande sidhuvuden för HTTP-begäran:
Huvudet i begäran Description Auktorisering Krävs. En ägartoken som utfärdas av Azure Active Directory. Se Autentiseringsscenarier för Azure AD för mer information. Content-Type Krävs. Medietyp för innehållet i begäran body, t.ex.: application/json. Content-Length Krävs. Längden på begäran i byte.
Hämta administrativa enheter som en användare eller grupp tillhör
Förhandsgranskningen gör det möjligt för hämtning av administrativeUnits medlemskap för användare och grupper resurser via den memberOf navigeringsegenskap på den DirectoryObject entitet. Ange resurssegment ”användare” för att hämta medlemskap för användare resurser eller ”grupper” för grupper resurser. Ange resurssegment ”$links” för att hämta resurs-URL: er/länkar eller utelämna att hämta egenskaper.
| HTTP-metoden | URI-begäran |
|---|---|
| HÄMTA | https://graph.windows.net/contoso.onmicrosoft.com/users/{objectID}/$links/memberOf?api-version=beta |
| HÄMTA | https://graph.windows.net/contoso.onmicrosoft.com/users/{objectID}/memberOf?api-version=beta |
| HÄMTA | https://graph.windows.net/contoso.onmicrosoft.com/groups/{objectID}/$links/memberOf?api-version=beta |
| HÄMTA | https://graph.windows.net/contoso.onmicrosoft.com/groups/{objectID}/memberOf?api-version=beta |
Det finns ingen brödtext i begäran.
Finns det HTTP-svar referens avsnittet nedan för svar kod definitioner. Det första exemplet nedan visar svarstexten för en användare resurs med det $links-segment som är medlem i två typer av resurser: en DirectoryRole och en AdministrativeUnit . Andra visas svaret för det här exemplet utan $links segment.
{
"odata.metadata": "https://graph.windows.net/contoso.onmicrosoft.com/$metadata#directoryObjects/$links/memberOf",
"value":
[
{
"url":"https://graph.windows.net/contoso.onmicrosoft.com/directoryObjects/cbf54c29-6184-484d-92d6-d6af32f896a2/Microsoft.DirectoryServices.DirectoryRole"
},
{
"url":"https://graph.windows.net/contoso.onmicrosoft.com/directoryObjects/3cc09cfd-5423-4002-85b8-070d60a63fe2/Microsoft.DirectoryServices.AdministrativeUnit"
}
]
}
{
"odata.metadata": "https://graph.windows.net/contoso.onmicrosoft.com/$metadata#directoryObjects",
"value":
[
{
"odata.type":"Microsoft.DirectoryServices.DirectoryRole",
"objectType":"Role",
"objectId":"cbf54c29-6184-484d-92d6-d6af32f896a2",
"deletionTimestamp":null,
"cloudSecurityIdentifier":"S-1-12-6-3421850665-1213030788-2950092434-2727802930",
"description":"Company Administrator role has full access to perform any operation in the company scope.",
"displayName":"Company Administrator",
"isSystem":true,
"roleDisabled":false,
"roleTemplateId":"62e90394-69f5-4237-9190-012177145e10"
},
{
"odata.type":"Microsoft.DirectoryServices.AdministrativeUnit",
"objectType":"AdministrativeUnit",
"objectId":"3cc09cfd-5423-4002-85b8-070d60a63fe2",
"deletionTimestamp":null,
"displayName":"Central Region Administrators",
"description":"Administrators responsible for the Central Region"
}
]
}
Hämta administrativa enheter som en användare är administratör
Används för att hämta den adminstrativeUnits resurser som en användare är administratör via den scopedAdministratorOf navigeringsegenskap på den användaren entitet. Observera att du kan använda någon form av GET-åtgärder som anges nedan. Först hämtar resurs-URL: er/länk, andra returnerar egenskaperna.
| HTTP-metoden | URI-begäran |
|---|---|
| HÄMTA | https://graph.windows.net/contoso.onmicrosoft.com/users/{objectId}/$links/scopedAdministratorOf?api-version=beta |
| HÄMTA | https://graph.windows.net/contoso.onmicrosoft.com/users/{objectId}/scopedAdministratorOf?api-version=beta |
Det finns ingen brödtext i begäran.
Finns det HTTP-svar referens avsnittet nedan för svar kod definitioner. Det första exemplet nedan visar svarstexten för en åtgärd med $links segment. Andra visas svaret för det här exemplet utan $links segment.
{
"odata.metadata": "https://graph.windows.net/contoso.onmicrosoft.com/$metadata#directoryObjects/$links/scopedAdministratorOf",
"value":
[
{
"url":"https://graph.windows.net/contoso.onmicrosoft.com/scopedRoleMemberships/kxyuS4zvB0mDyB4cH9Liwf2cwDwjVAJAhbgHDWCmP-Itu0Khgd9mQK-R9j5Kup5fU"
}
]
}```
```json
{
"odata.metadata": "https://graph.windows.net/contoso.onmicrosoft.com/$metadata#scopedRoleMemberships",
"value":
[
{
"id":"kxyuS4zvB0mDyB4cH9Liwf2cwDwjVAJAhbgHDWCmP-Itu0Khgd9mQK-R9j5Kup5fU",
"roleObjectId":"4bae1c93-ef8c-4907-83c8-1e1c1fd2e2c1",
"administrativeUnitObjectId":"3cc09cfd-5423-4002-85b8-070d60a63fe2",
"roleMemberInfo":
{
"objectId":"a142bb2d-df81-4066-af91-f63e4aba9e5f",
"displayName":"Bryan",
"userPrincipalName":BryanL@contoso.com
}
}
]
}
De åtgärder som stöds – directoryRoles
Det här avsnittet beskriver de åtgärder som nyligen stöds på directoryRoles resurser med specifika stöd för administrativeUnits resurser.
Du kan kontrollera fullständig GA-dokumentationen för mer information om den DirectoryRole entiteten och relaterade operations ***.
För var och en av åtgärderna i listan nedan:
Det säkerhetsobjekt som utför åtgärden måste ha behörighet att läsa objekt med hjälp av GET-begäranden.
Ersätt platshållaren strängar ”contoso.onmicrosoft.com” med domänen för din Azure Active Directory-klient och {objectId} efter behov, med ID för resurstyp som anges i URL: en.
Varje begäran måste innehålla följande HTTP-begäran huvuden: begäran HeaderDescriptionAuthorizationRequired. En ägartoken som utfärdas av Azure Active Directory. Se Autentiseringsscenarier för Azure AD för mer information. Innehållet TypeRequired. Medietyp för innehållet i begäran body, t.ex.: application/json. Innehållet LengthRequired. Längden på begäran i byte.
| Huvudet i begäran | Description |
|---|---|
| Auktorisering | Krävs. En ägartoken som utfärdas av Azure Active Directory. Se Autentiseringsscenarier för Azure AD för mer information. |
| Content-Type | Krävs. Medietyp för innehållet i begäran body, t.ex.: application/json. |
| Content-Length | Krävs. Längden på begäran i byte. |
Hämta administrativa enhet administratörer begränsade till en viss roll
Administratörer har tilldelats en administrativ enhet genom att placera dem i en roll som har varit begränsade till den administrativa enheten. Den här åtgärden kan du hämta dessa ”omfång rollen membership(s)” för en administratör som en uppsättning scopedRoleMemberships resurser. Observera att det bara en ”HelpDeskAdministrators” eller ”UserAccountAdministrator” rollen {objectId} är ogiltig. Observera även att {scopedRoleMemberId}-segment är valfria, beroende på om du vill att alla scopedRoleMembership resurser för en viss roll eller en specifik inställning.
| HTTP-metoden | URI-begäran |
|---|---|
| HÄMTA | https://graph.windows.net/contoso.onmicrosoft.com/directoryRoles/{objectId}/scopedAdministrators/{scopedRoleMemberId}?api-version=beta |
Det finns ingen brödtext i begäran.
Finns det HTTP-svar referens avsnittet nedan för svar kod definitioner. Svarstexten nedan är för en fråga för alla administratörer av en viss administrativa enhet begränsade till supportavdelningen administratörsrollen.
{
"odata.metadata":https://graph.windows.net/contoso.onmicrosoft.com /$metadata#scopedRoleMemberships,
"value":[
{
"id":"kxyuS4zvB0mDyB4cH9Liwf2cwDwjVAJAhbgHDWCmP-Itu0Khgd9mQK-R9j5Kup5fU",
"roleObjectId":"4bae1c93-ef8c-4907-83c8-1e1c1fd2e2c1",
"administrativeUnitObjectId":"3cc09cfd-5423-4002-85b8-070d60a63fe2",
"roleMemberInfo":
{
"objectId":"a142bb2d-df81-4066-af91-f63e4aba9e5f",
"displayName":"Bryan",
"userPrincipalName":BryanL@contoso.com
}
]
}
Referens för HTTP-svar
Nedan visas i listan över möjliga HTTP svarskoder:
| HTTP-statuskod | OData-felkod: | Description |
|---|---|---|
| 200/OK | saknas | Normal svar för en lyckad fråga. Svarstexten innehåller de data som matchar de filter som anges i Frågeparametrar. |
| 201/Skapad | saknas | Normal svar för en lyckad POST/Skapa-åtgärd. Svarstexten innehåller data som fylls i den nya resursen. |
| 204/Nej innehåll | saknas | Normal svar för en lyckad korrigering/uppdatera eller ta bort åtgärd på en resurs eller POST på en länkad resurs. Svarstexten innehåller inte en OData-svar. |
| 400/BadRequest | Request_BadRequest | Detta är ett allmänt felmeddelande för en ogiltig eller saknas sidhuvud, parametern eller data för brödtext i begäran. Det här felet visas också om du försöker lägga till en länkade resurser som redan finns. |
| 401/obehörig | AuthorizationError | Detta visas när användaren inte har behörighet att visa innehållet. Finns Huvudartikel AD Graph REST för mer information om att skydda dina anrop och hämta och ange en säker åtkomst-token. |
| 404/hittades inte | Request_ResourceNotFound | Detta visas när du försöker komma åt resursen inte finns. |
| 405/Metoden är inte tillåten | Request_BadRequest | Detta visas när du försöker utföra en åtgärd som är avsedda för en specifik resurs, men inte anger rätt resurs-ID i URL: en för begäran. |
Ytterligare resurser
- Läs om hur du hanterar administrativa enheter med hjälp av PowerShell på hantering av administrativa enheter i Azure AD - förhandsversion artikel.
- Mer information om OData datum primitiva typer som exponeras av EDM, se Entity Data Model: primitiva datatyper.
- Azure AD Graph API-referens