directoryObject:checkMemberGroups

命名空间:microsoft.graph

检查指定组 ID 列表中的成员身份,并从该列表中返回 (由指定 用户服务主体组织联系人设备目录对象 所属的 ID 标识的组) 。 此函数是可传递的。

每个请求最多可检查 20 个组。 此函数支持在 Microsoft Entra ID 中预配的所有组。 由于 Microsoft 365 组不能包含其他组,因此 Microsoft 365 组中的成员身份始终是直接的。

此 API 可用于以下国家级云部署

全局服务 美国政府 L4 美国政府 L5 (DOD) 由世纪互联运营的中国

权限

目录对象的组成员身份

权限类型 权限(从最低特权到最高特权)
委派(工作或学校帐户) User.ReadBasic.All 和 GroupMember.Read.All、User.Read.All 和 GroupMember.Read.All、User.ReadBasic.All 和 Group.Read.All、User.Read.All 和 Group.Read.All、Directory.Read.All
委派(个人 Microsoft 帐户) 不支持。
应用程序 User.Read.All 和 GroupMember.Read.All、User.Read.All 和 Group.Read.All、Directory.Read.All

已登录用户的组成员身份

权限类型 权限(从最低特权到最高特权)
委派(工作或学校帐户) User.Read、User.ReadBasic.All 和 GroupMember.Read.All、User.Read.All 和 GroupMember.Read.All、User.ReadBasic.All 和 Group.Read.All、User.Read.All 和 Group.Read.All、Directory.Read.All
委派(个人 Microsoft 帐户) 不支持。
应用程序 不支持。

其他用户的组成员身份

权限类型 权限(从最低特权到最高特权)
委派(工作或学校帐户) User.ReadBasic.All 和 GroupMember.Read.All、User.Read.All 和 GroupMember.Read.All、User.ReadBasic.All 和 Group.Read.All、User.Read.All 和 Group.Read.All、Directory.Read.All
委派(个人 Microsoft 帐户) 不支持。
应用程序 User.Read.All 和 GroupMember.Read.All、User.Read.All 和 Group.Read.All、Directory.Read.All

组的组成员身份

权限类型 权限(从最低特权到最高特权)
委派(工作或学校帐户) GroupMember.Read.All, Group.Read.All, Directory.Read.All, Group.ReadWrite.All, Directory.ReadWrite.All
委派(个人 Microsoft 帐户) 不支持。
应用程序 GroupMember.Read.All, Group.Read.All, Directory.Read.All, Group.ReadWrite.All, Directory.ReadWrite.All

服务主体的组成员身份

权限类型 权限(从最低特权到最高特权)
委派(工作或学校帐户) Application.Read.All、Directory.Read.All、Application.ReadWrite.All、Directory.ReadWrite.All
委派(个人 Microsoft 帐户) 不支持。
应用程序 Application.Read.All、Directory.Read.All、Application.ReadWrite.All、Directory.ReadWrite.All

组织联系人的组成员身份

权限类型 权限(从最低特权到最高特权)
委派(工作或学校帐户) Directory.Read.All、Directory.ReadWrite.All
委派(个人 Microsoft 帐户) 不支持。
应用程序 Directory.Read.All、Directory.ReadWrite.All

设备的组成员身份

权限类型 最低特权权限 更高特权权限
委派(工作或学校帐户) Application.Read.All Application.ReadWrite.All、Device.Read.All、Directory.Read.All、Directory.ReadWrite.All、Group.Read.All、Group.ReadWrite.All、GroupMember.Read.All、User.Read.All、User.ReadWrite.All
委派(个人 Microsoft 帐户) 不支持。 不支持。
应用程序 Application.Read.All Application.ReadWrite.All、Device.Read.All、Device.ReadWrite.All、Directory.Read.All、Directory.ReadWrite.All、Group.Read.All、Group.ReadWrite.All、GroupMember.Read.All、User.Read.All、User.ReadWrite.All

HTTP 请求

目录对象的组成员身份 (用户、组、服务主体或组织联系人) 。

POST /directoryObjects/{id}/checkMemberGroups

已登录用户的组成员身份。

POST /me/checkMemberGroups

其他用户的组成员身份。

POST /users/{id | userPrincipalName}/checkMemberGroups

组的组成员身份。

POST /groups/{id}/checkMemberGroups

服务主体的组成员身份。

POST /servicePrincipals/{id}/checkMemberGroups

组织联系人的组成员身份。

POST /contacts/{id}/checkMemberGroups

设备的组成员身份。

POST /devices/{id}/checkMemberGroups

请求标头

名称 说明
Authorization 持有者 {token}。 必填。 详细了解 身份验证和授权
Content-Type application/json

请求正文

在请求正文中,提供具有以下参数的 JSON 对象。

参数 类型 说明
groupIds String collection 包含检查成员身份的组中的对象 ID 的集合。 可以指定多达 20 个组。

响应

如果成功,此方法在响应正文中返回 200 OK 响应代码和 String 集合对象。

示例

示例 1:检查目录对象的组成员身份

请求

POST https://graph.microsoft.com/v1.0/directoryObjects/4562bcc8-c436-4f95-b7c0-4f8ce89dca5e/checkMemberGroups
Content-type: application/json

{
    "groupIds": [
        "f448435d-3ca7-4073-8152-a1fd73c0fd09",
        "bd7c6263-4dd5-4ae8-8c96-556e1c0bece6",
        "93670da6-d731-4366-94b5-abed40b6016b",
        "f5484ab1-4d4d-41ec-a9b8-754b3957bfc7",
        "c9103f26-f3cf-4004-a611-2a14e81b8f79"
    ]
}

响应

以下示例显示了相应的响应。

注意:为了提高可读性,可能缩短了此处显示的响应对象。

HTTP/1.1 200 OK
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(Edm.String)",
    "value": [
        "f448435d-3ca7-4073-8152-a1fd73c0fd09",
        "93670da6-d731-4366-94b5-abed40b6016b",
        "f5484ab1-4d4d-41ec-a9b8-754b3957bfc7",
        "c9103f26-f3cf-4004-a611-2a14e81b8f79"
    ]
}

示例 2:检查已登录用户的组成员身份

请求

POST https://graph.microsoft.com/v1.0/me/checkMemberGroups
Content-type: application/json

{
  "groupIds": [
        "fee2c45b-915a-4a64b130f4eb9e75525e",
        "4fe90ae065a-478b9400e0a0e1cbd540"
  ]
}

响应

以下示例显示了相应的响应。

注意:为了提高可读性,可能缩短了此处显示的响应对象。

HTTP/1.1 200 OK
Content-type: application/json

{
  "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#Collection(Edm.String)",
  "value": [
        "fee2c45b-915a-4a64-b130-f4eb9e75525e"
  ]
}