Table of contents

Unités administratives (version préliminaire) | Concepts de l’API Graph

Bryan Lamos|Dernière mise à jour: 05/09/2016
|
1 Contributeur

S’applique à : API Graph | Azure Active Directory (AD)

Vue d’ensemble et conditions préalables

Une unité administrative fournit un conteneur conceptuel pour les objets d’annuaire utilisateur et groupe, en permettant de déléguer des autorisations plus finement (au niveau départemental, régional, etc.), à des rôles administratifs étendus à l’unité administrative. Cette rubrique décrit les propriétés déclarées et les propriétés de navigation exposées par l’entité AdministrativeUnit, ainsi que les opérations et fonctions qui peuvent être appelées sur la ressource OData administrativeUnits.

Important

La fonctionnalité d’API Azure AD Graph est également disponible au moyen de Microsoft Graph, une API unifiée qui intègre aussi des API d’autres services Microsoft tels que Outlook, OneDrive, OneNote, Planner et Office Graph, tous accessibles par le biais d’un seul point de terminaison à l’aide d’un seul jeton d’accès. Il est important de noter que les unités administratives ne sont pas actuellement prises en charge dans Microsoft Graph ; vous devrez utiliser l’API Azure AD Graph pour cette fonctionnalité.

Avant d’utiliser l’unité administrative en version préliminaire, une connaissance de la configuration d’application et de l’authentification Azure AD est nécessaire. Si vous connaissez mal les concepts associés à l’authentification Azure AD et/ou aux étapes de configuration requises pour accéder à votre client, consultez l’article Scénarios d’authentification pour Azure AD, en particulier la section intitulée Bases de l’inscription d’une application dans Azure AD liée à un article plus détaillé intitulé Intégration d’applications dans Azure Active Directory.

Reportez-vous à l’article principal API Graph Azure Active Directory sur Azure.com et la liste suivante d’articles sur l’API Graph pour plus d’informations importantes et utiles avant de passer aux sections ci-dessous :

  1. Contrôle de version de l’API Azure AD Graph

    Important: la fonctionnalité d’unité administrative n’est disponible qu’en version préliminaire pour l’instant. Pour utiliser les fonctionnalités de la préversion, veillez à définir le paramètre de chaîne de requête api-version sur « beta », c.-à-d. : https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits?api-version=beta

    Vous ne pouvez créer et utiliser des unités administratives que si vous activez Azure Active Directory Premium. Pour plus d’informations, consultez Présentation d’Azure Active Directory.

  2. Démarrage rapide pour l’API Graph Azure AD sur Azure.com

  3. Vue d’ensemble des opérations de l’API Graph

  4. Options de requêtes, de filtres et de pagination prises en charge

Espace de noms et héritage

Espace de noms : Microsoft.DirectoryServices

Type de base : DirectoryObject

Propriétés

L’entité AdministrativeUnit prend en charge les propriétés suivantes :

Propriétés déclarées

NomTypeCreate(POST)Read(GET)Update(PATCH)Description
descriptionEdm.StringFacultatifFacultatifDescription facultative de l’unité administrative.
displayNameEdm.StringObligatoireFiltrableFacultatifNom complet de l’unité administrative.

Propriétés de navigation

NomDe MultiplicityÀÀ MultiplicityDescription
Membres*Utilisateur ou groupe*Membres attribués à l’unité administrative, qui peuvent être des utilisateurs ou des groupes. Héritée de DirectoryObject.
scopedAdministrators*ScopedRoleMembership*Les administrateurs ayant un ou plusieurs rôles donnés, qui sont limités à une unité administrative.

Remarque : Bien que l’entité DirectoryObject prenne également en charge les autres propriétés de navigation, y compris memberOf, owners et ownedObjects, ces propriétés ne sont pas valides pour l’unité administrative. Si une demande pour l’une de ces propriétés est envoyée, une réponse 400 Demande incorrecte est renvoyée avec un message correspondant.

Adressage

L’adressage peut s’étendre sur une collection d’unités administratives dans le répertoire, une unité administrative ou des ressources connexes disponibles via les propriétés de navigation prises en charge d’une unité administrative. Les exemples repris dans le tableau utilisent le domaine du client pour adresser le locataire. Pour en savoir plus sur d’autres façons de s’adresser au locataire, consultez Traitement des entités et opérations dans l’API Graph.

ArtefactFragment d’URLExemple
Jeu de ressources (toutes les unités administratives)/administrativeUnitshttps://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits?api-version=beta
Ressource unique (c.-à-d. une unité administrative)/administrativeUnits/{objectId}https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits/12345678-9abc-def0-1234-56789abcde?api-version=beta
Ressources connexes via une propriété de navigation/administrativeUnits/{objectId}/$links/{property-name}https://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits/12345678-9abc-def0-1234-56789abcde/$links/members?api-version=beta

Remarque : consultez la section Propriétés de navigation ci-dessus pour obtenir la liste des propriétés de navigation valides utilisables à la place de {property-name}. Supprimez le segment « $links » de la partie ressource du chemin d’accès de l’URI pour renvoyer les objets référencés par une propriété de navigation plutôt que par les liens vers ceux-ci. Vous pouvez également adresser une unité administrative à l’aide d’objets d’annuaire génériques en remplaçant « administrativeUnits » par « directoryObjects » dans la partie ressource du chemin d’accès de l’URI.

Pour plus d’informations sur l’interrogation des objets d’annuaire, consultez Requêtes courantes de l’API Graph Azure AD et Requête différentielle de l’API Graph Azure AD.

Opérations prises en charge – administrativeUnits

Cette section définit les opérations prises en charge sur un jeu de ressources administrativeUnits. Comme indiqué précédemment, il est important de consulter d’abord les rubriques de la section Vue d’ensemble et conditions préalables pour comprendre certains aspects de l’API Graph qui s’appliquent à toutes les entités, telles que le formatage correct des URL, l’adressage des entités et des opérations, l’utilisation du contrôle de versions, et bien plus encore.

Pour chacune des opérations répertoriées ci-dessous :

  • Le principal du service qui effectue l’opération doit avoir un rôle d’administrateur autorisé à modifier les ressources administrativeUnits à l’aide de demandes PATCH, POST ou DELETE, et les privilèges de lecture d’objets à l’aide de demandes GET.

  • Le cas échéant, remplacez les chaînes d’espace réservé « contoso.onmicrosoft.com » avec le domaine de votre locataire Azure Active Directory, et {objectId} avec l’ID du type de ressource, comme déterminé dans l’URL.

  • Chaque demande doit inclure les en-têtes de demande HTTP suivants dans le tableau ci-dessous.

En-tête de demandeDescription
AutorisationObligatoire. Jeton de support émis par Azure Active Directory. Consultez les scénarios d’authentification pour Azure AD pour plus d’informations.
Content-TypeObligatoire. Type de support du contenu placé dans le corps de la demande, p. ex., application/json.
Content-LengthObligatoire. Longueur de la demande, en octets.


Les quatre premières opérations répertoriées ci-dessous sont utilisées pour gérer la création, la récupération, la mise à jour et la suppression d’entités AdministrativeUnit. Les opérations qui suivent utilisent les propriétés members et scopedAdministrators afin de gérer les membres du groupe User/Group de la ressource AdminstrativeUnit et l’ensemble des administrateurs de l’étendue (via l’entité ScopedRoleMembership) ayant un contrôle administratif de la ressource AdministrativeUnit, respectivement.

Créer une unité administrative

Permet de créer une AdministrativeUnit.

Méthode HTTPURI de demande
POSThttps://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits?api-version=beta

Le corps de la demande spécifie les propriétés obligatoires displayName et facultatives description :

{
  "displayName":"Central Region",
  "description":"Administrators responsible for the Central region."
}

Consultez la section Référence de réponse HTTP ci-dessous pour la définition des codes de réponse. Le corps de réponse sera identique à celui présenté ci-dessous.

{
   "odata.metadata":https://graph.windows.net/contoso.onmicrosoft.com/$metadata#directoryObjects/Microsoft.DirectoryServices.AdministrativeUnit/@Element",
   "odata.type":"Microsoft.DirectoryServices.AdministrativeUnit",
   "objectType":"AdministrativeUnit",
   "objectId":"ca1a80f3-ac25-429b-a1e9-0f1eb87cc30b",
   "deletionTimestamp":null,
   "displayName":"Central Region",
   "description":"Administrators responsible for the Central region."
}

Obtenir une (des) unité(s) administrative(s)

Permet de récupérer une ressource AdministrativeUnit spécifique par {objectId}, un sous-ensemble en filtrant la propriété displayName (voir Options de requêtes, de filtres et de pagination prises en charge dans l’API Azure AD Graph) ou la liste de toutes les ressources disponibles. Les exemples de demande/réponse ci-dessous illustrent des requêtes pour une unité d’administration spécifique et pour toutes les unités administratives, respectivement.

Méthode HTTPURI de demande
GEThttps://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits/{objectId}?api-version=beta
GEThttps://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits?api-version=beta

Pas de corps pour la demande.

Consultez la section Référence de réponse HTTP ci-dessous pour la définition des codes de réponse. Le corps de réponse sera identique à l’un de ceux présentés ci-dessous.

{
   "odata.metadata":https://graph.windows.net/contoso.onmicrosoft.com/$metadata#directoryObjects/Microsoft.DirectoryServices.AdministrativeUnit/@Element",
   "odata.type":"Microsoft.DirectoryServices.AdministrativeUnit",
   "objectType":"AdministrativeUnit",
   "objectId":"ca1a80f3-ac25-429b-a1e9-0f1eb87cc30b",
   "deletionTimestamp":null,
   "displayName":"Central Region",
   "description":"Administrators responsible for the Central region."
}
{
   "odata.metadata":https://graph.windows.net/contoso.onmicrosoft.com/$metadata#directoryObjects/Microsoft.DirectoryServices.AdministrativeUnit/",
   "value":
   [
      {
      "odata.type":"Microsoft.DirectoryServices.AdministrativeUnit",
      "objectType":"AdministrativeUnit",
      "objectId":"ca1a80f3-ac25-429b-a1e9-0f1eb87cc30b",
      "deletionTimestamp":null,
      "displayName":"Central Region",
      "description":"Administrators responsible for the Central region."
      },
      {
      "odata.type":"Microsoft.DirectoryServices.AdministrativeUnit",
      "objectType":"AdministrativeUnit",
      "objectId":"455b7304-b245-4d58-95c4-1797c32c80db",
      "deletionTimestamp":null,
      "displayName":"East Coast Region",
      "description":"East Coast Two"
      }
   ]
}

Mettre à jour une unité administrative

Utilisé pour mettre à jour une ou plusieurs des propriétés d’une ressource AdministrativeUnit.

Méthode HTTPURI de demande
PATCHhttps://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits/{objectId}?api-version=beta

Le corps de la demande spécifie l’une des propriétés AdministrativeUnit voire les deux :

{ 
  "displayName":"Central Region Administrators"
}

Consultez la section Référence de réponse HTTP ci-dessous pour la définition des codes de réponse. Il n’existe aucune réponse OData dans le corps de réponse.

Supprimer une unité administrative

Permet de supprimer une propriété AdministrativeUnit, comme spécifié par {objectId}.

Méthode HTTPURI de demande
DELETEhttps://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits/{objectId}?api-version=beta

Pas de corps pour la demande.

Consultez la section Référence de réponse HTTP ci-dessous pour la définition des codes de réponse. Il n’existe aucune réponse OData dans le corps de réponse.

Les opérations suivantes sont implémentées via la propriété de navigation members qui définit la gestion des membres utilisateur/groupe d’une AdminstrativeUnit. Comme nous l’avons vu, le segment de ressource $links permet de traverser ou de modifier l’association (synonyme de lien) entre deux ressources, comme entre une ressource administrativeUnit et une ressource User ou Group.

Ajouter un ou plusieurs membres à une unité administrative

Permet d’ajouter des membres de ressource user ou group à une administrativeUnit.

Méthode HTTPURI de demande
POSThttps://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits/{objectId}/$links/members/?api-version=beta

Dans cet exemple, le corps de la demande spécifie l’URL du membre souhaité que nous souhaitons ajouter à la ressource administrativeUnit, qui est une ressource users dans cet exemple. Il est également possible d’utiliser directoryObjects en tant que segment de ressource de type, à la place de users, car l’entité User est héritée de l’entité DirectoryObject. Il en va de même lorsque vous utilisez le segment de ressource groups.

{
  "url":" https://graph.windows.net/contoso.onmicrosoft.com/users/a1daa894-ff32-4839-bb6a-d7a4210fc96a"
}

Consultez la section Référence de réponse HTTP ci-dessous pour la définition des codes de réponse. Il n’existe aucune réponse OData dans le corps de réponse.

Obtenir le(s) membre(s) d’une unité administrative

Permet de récupérer les membres de ressource user ou group d’une administrativeUnit. Notez que vous pouvez récupérer les membres à l’aide de l’une des deux formes des opérations GET répertoriées ci-dessous. La première retourne l’URL/le lient vers le ou les membres, la seconde retourne les propriétés pour le ou les membres. Dans les deux cas, le segment {scopedRoleMemberId} est facultatif, selon que vous souhaitez renvoyer l’ensemble des membres ou un membre en particulier.

Méthode HTTPURI de demande
GEThttps://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits/{objectId}/$links/members/{memberObjectId}?api-version=beta
GEThttps://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits/{objectId}/members/{memberObjectId}?api-version=beta

Pas de corps pour la demande.

Consultez la section Référence de réponse HTTP ci-dessous pour la définition des codes de réponse. Le premier exemple ci-dessous illustre le corps de réponse d’une opération utilisant le segment $links pour tous les membres ({memberObjectId} n’est pas spécifié) dans lequel résident deux types de ressources, User et Group. Le second exemple illustre la réponse pour le même exemple sans le segment $links.

{
   "odata.metadata": "https://graph.windows.net/contoso.onmicrosoft.com/$metadata#directoryObjects/$links/members",
   "value":
   [
      {
      "url":"https://graph.windows.net/contoso.onmicrosoft.com/directoryObjects/a1daa894-ff32-4839-bb6a-d7a4210fc96a/Microsoft.DirectoryServices.User"
      },
      {
      "url":"https://graph.windows.net/contoso.onmicrosoft.com/directoryObjects/a0ab9340-2b20-4b3f-8672-bf1a2f141f91/Microsoft.DirectoryServices.Group"
      }
   ]
}
{
   "odata.metadata": "https://graph.windows.net/contoso.onmicrosoft.com/$metadata#directoryObjects",
   "value":
   [
      {
      "odata.type":"Microsoft.DirectoryServices.User",
      "objectType":"User",
      "objectId":"a1daa894-ff32-4839-bb6a-d7a4210fc96a",
      "deletionTimestamp":null,
      "acceptedAs":null,
      "acceptedOn":null,
      "accountEnabled":true,
      "alternativeSecurityIds":[],
      "alternativeSignInNames":[admin@contoso.com],
      "alternativeSignInNamesInfo":[],
      "appMetadata":null,
      "assignedLicenses":[],
      "assignedPlans":[],
      "city":"Redmond",
      "cloudSecurityIdentifier":"S-1-12-6-2715461780-1211760434-2765580987-1791561505",
      "companyName":null,
      "country":null,
      "creationType":null,
      "department":null,
      "dirSyncEnabled":null,
      "displayName":"Jon Doe",
      "extensionAttribute1":null,
      "extensionAttribute2":null,
      "extensionAttribute3":null,
      "extensionAttribute4":null,
      "extensionAttribute5":null,
      "extensionAttribute6":null,
      "extensionAttribute7":null,
      "extensionAttribute8":null,
      "extensionAttribute9":null,
      "extensionAttribute10":null,
      "extensionAttribute11":null,
      "extensionAttribute12":null,
      "extensionAttribute13":null,
      "extensionAttribute14":null,
      "extensionAttribute15":null,
      "facsimileTelephoneNumber":null,
      "givenName":"Jon",
      "immutableId":null,
      "invitedOn":null,
      "inviteReplyUrl":[],
      "inviteResources":[],
      "inviteTicket":[],
      "isCompromised":null,
      "jobTitle":null,
      "jrnlProxyAddress":null,
      "lastDirSyncTime":null,
      "mail":null,
      "mailNickname":"admin",
      "mobile":null,
      "netId":"100300008001EE6E",
      "onPremisesSecurityIdentifier":null,
      "otherMails":[jon@doe.com],
      "passwordPolicies":null,
      "passwordProfile":null,
      "physicalDeliveryOfficeName":null,
      "postalCode":"98052",
      "preferredLanguage":"en-US",
      "primarySMTPAddress":null,
      "provisionedPlans":[],
      "provisioningErrors":[],
      "proxyAddresses":[],
      "releaseTrack":null,
      "searchableDeviceKey":[],
      "selfServePasswordResetData":null,
      "sipProxyAddress":null,
      "smtpAddresses":[],
      "state":"WA",
      "streetAddress":
      "One Microsoft Way",
      "surname":"Doe",
      "telephoneNumber":"(123) 456-7890",
      "usageLocation":"US",
      "userPrincipalName":admin@constoso.com,
      "userState":null,
      "userStateChangedOn":null,
      "userType":"Member"      
      },
      { 
      "odata.type":"Microsoft.DirectoryServices.Group",
      "objectType":"Group",
      "objectId":"a0ab9340-2b20-4b3f-8672-bf1a2f141f91",
      "deletionTimestamp":null,
      "appMetadata":null,
      "cloudSecurityIdentifier":"S-1-12-6-2695598912-1262431008-448754310-2434733103",
      "description":null,
      "dirSyncEnabled":null,
      "displayName":"Group for users in Central Region Administrative Unit",
      "exchangeResources":[],
      "groupType":null,
      "isPublic":null,
      "lastDirSyncTime":null,
      "licenseAssignment":[],
      "mail":null,
      "mailEnabled":false,
      "mailNickname":"CentralUsers",
      "onPremisesSecurityIdentifier":null,
      "provisioningErrors":[],
      "proxyAddresses":[],
      "securityEnabled":true,
      "sharepointResources":[],
      "targetAddress":null,
      "wellKnownObject":null     
      }
   ]
}

Supprimer un ou plusieurs membres d’une unité administrative

Permet de supprimer les membres de ressource user ou group d’une ressource administrativeGroup. Comme members est une propriété de navigation multi-valeurs, vous devez inclure l’{objectId} du membre/lien dans l’URL de demande que vous souhaitez supprimer.

Méthode HTTPURI de demande
DELETEhttps://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits/{objectId}/$links/members/{objectId}?api-version=beta

Pas de corps pour la demande.

Consultez la section Référence de réponse HTTP ci-dessous pour la définition des codes de réponse. Il n’existe aucune réponse OData dans le corps de réponse.

Les administrateurs sont affectés à une unité administrative en les plaçant dans un rôle qui a été consacré à cette unité administrative. Les opérations restantes de cette section sont implémentées via la propriété scopedAdministrators qui assure la gestion des administrateurs ayant le contrôle administratif d’une unité AdministrativeUnit avec un rôle défini.

Ajouter un administrateur étendu à un rôle d’une unité administrative

Permet d’ajouter un administrateur à un rôle qui sera étendu à un administrativeUnit, via l’entité ScopedRoleMembership et la propriété de navigation scopedAdministrators. Dans cet exemple, l’opération effectue deux choses :

  1. Elle remplit un nouvel élément ScopedRoleMembership (qui n’est pas une ressource adressable OData), ce qui établit une relation entre une ressource AdministrativeUnit, une ressource DirectoryRole étendue à l’unité administrative et un administrateur User.

  2. Établit une association/un lien de propriété de navigation entre la ressource AdministrativeUnit et le nouvel élément ScopedRoleMembership.

Méthode HTTPURI de demande
POSThttps://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits/{objectId}/scopedAdministrators?api-version=beta

Le corps de la demande spécifie les propriétés suivantes de l’entité ScopedRoleMembership :

  • roleObjectId – objectId de la ressource DirectoryRole. Remarque : seuls les rôles HelpDeskAdministrators et UserAccountAdministrator sont valides.

  • roleMemberInfo – il s’agit d’une structure qui identifie User:objectId administratif, c’est-à-dire l’objectId de l’utilisateur administratif.

  • objectId : objectId de l’utilisateur administratif.

{
   "roleObjectId":"4bae1c93-ef8c-4907-83c8-1e1c1fd2e2c1",
   "roleMemberInfo":{
      "objectId":"a142bb2d-df81-4066-af91-f63e4aba9e5f"}
}

Consultez la section Référence de réponse HTTP ci-dessous pour la définition des codes de réponse. Le corps de réponse sera identique à celui présenté ci-dessous.

{
   "odata.metadata":https://graph.windows.net/contoso.onmicrosoft.com/$metadata#directoryObjects/Microsoft.DirectoryServices.AdministrativeUnit/@Element",
   "id":"kxyuS4zvB0mDyB4cH9Liwf2cwDwjVAJAhbgHDWCmP-Itu0Khgd9mQK-R9j5Kup5fU",
   "roleObjectId":"4bae1c93-ef8c-4907-83c8-1e1c1fd2e2c1",
   "administrativeUnitObjectId":"3cc09cfd-5423-4002-85b8-070d60a63fe2",
   "roleMemberInfo":{"objectId":"a142bb2d-df81-4066-af91-f63e4aba9e5f",
      "displayName":"Bryan",
      "userPrincipalName":BryanL@contoso.com
      }
}

Obtenir un administrateur étendu à un rôle d’une unité administrative

Utilisé pour obtenir la liste des administrateurs dans les rôles étendus pour une ressource administrativeUnit, comme des entités ScopedRoleMembership. Notez que le segment {scopedRoleMemberId} est facultatif, selon que vous souhaitez l’ensemble des membres ou un membre en particulier.

Méthode HTTPURI de demande
GEThttps://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits/{objectId}/scopedAdministrators/{scopedRoleMemberId}?api-version=beta

Pas de corps pour la demande.

Consultez la section Référence de réponse HTTP ci-dessous pour la définition des codes de réponse. Le corps de réponse ci-dessous concerne une requête de tous les membres.

{ 
   "odata.metadata":https://graph.windows.net/contoso.onmicrosoft.com /$metadata#scopedRoleMemberships,
   "value":
   [
      {
      "id":"kxyuS4zvB0mDyB4cH9Liwf2cwDwjVAJAhbgHDWCmP-Itu0Khgd9mQK-R9j5Kup5fU",
      "roleObjectId":"4bae1c93-ef8c-4907-83c8-1e1c1fd2e2c1",
      "administrativeUnitObjectId":"3cc09cfd-5423-4002-85b8-070d60a63fe2",
      "roleMemberInfo":
         {
         "objectId":"a142bb2d-df81-4066-af91-f63e4aba9e5f",
         "displayName":"Bryan",
         "userPrincipalName":BryanL@contoso.com
         }
      }            
   ]
}

Supprimer un administrateur étendu à un rôle d’une unité administrative/

Permet de supprimer un ScopedRoleMembership d’une ressource administrativeUnit, spécifié par le segment {scopedRoleMemberId}.

Méthode HTTPURI de demande
DELETEhttps://graph.windows.net/contoso.onmicrosoft.com/administrativeUnits/{objectId}/scopedAdministrators/{scopedRoleMemberId}?api-version=beta

Pas de corps pour la demande.

Consultez la section Référence de réponse HTTP ci-dessous pour la définition des codes de réponse. Il n’existe aucune réponse OData dans le corps de réponse.

Opérations prises en charge – utilisateurs et groupes

Cette section définit les opérations nouvellement prises en charge sur les ressources users et groups qui assurent la prise en charge des ressources administrativeUnit.

Vous pouvez vérifier la documentation complète de la disponibilité générale pour les entités User et Group et pour les opérations sur users et groups.

Pour chacune des opérations répertoriées ci-dessous :

  • Le principal qui exécute l’opération doit avoir les privilèges de lecture des objets utilisant les demandes GET.

  • Le cas échéant, remplacez les chaînes d’espace réservé « contoso.onmicrosoft.com » par le domaine de votre locataire Azure Active Directory, et {objectId} par l’ID du type de ressource, comme déterminé dans l’URL.

  • Chaque demande doit inclure les en-têtes de demande HTTP suivants :

    En-tête de demandeDescription
    AutorisationObligatoire. Jeton de support émis par Azure Active Directory. Consultez les scénarios d’authentification pour Azure AD pour plus d’informations.
    Content-TypeObligatoire. Type de support du contenu placé dans le corps de la demande, p. ex., application/json.
    Content-LengthObligatoire. Longueur de la demande, en octets.

Obtenir la (ou les) unité(s) d’administration auxquelles un utilisateur ou un groupe appartient

La version préliminaire permet la récupération de l’appartenance administrativeUnits pour les ressources users et groups, via la propriété de navigation memberOf sur l’entité DirectoryObject. Spécifiez le segment de la ressource « users » pour récupérer l’appartenance des ressources users ou « groups » pour les ressources groups. Spécifiez le segment de ressource « $links » pour récupérer les URL/liens de ressource ou pour omettre de récupérer les propriétés.

Méthode HTTPURI de demande
GEThttps://graph.windows.net/contoso.onmicrosoft.com/users/{objectID}/$links/memberOf?api-version=beta
GEThttps://graph.windows.net/contoso.onmicrosoft.com/users/{objectID}/memberOf?api-version=beta
GEThttps://graph.windows.net/contoso.onmicrosoft.com/groups/{objectID}/$links/memberOf?api-version=beta
GEThttps://graph.windows.net/contoso.onmicrosoft.com/groups/{objectID}/memberOf?api-version=beta

Pas de corps pour la demande.

Consultez la section Référence de réponse HTTP ci-dessous pour la définition des codes de réponse. Le premier exemple ci-dessous illustre le corps de la réponse pour une ressource users avec le segment $links, ayant une appartenance dans deux types de ressources : DirectoryRole et AdministrativeUnit. Le second exemple illustre la réponse pour le même exemple sans le segment $links.

{
   "odata.metadata": "https://graph.windows.net/contoso.onmicrosoft.com/$metadata#directoryObjects/$links/memberOf",
   "value":
   [
      {
      "url":"https://graph.windows.net/contoso.onmicrosoft.com/directoryObjects/cbf54c29-6184-484d-92d6-d6af32f896a2/Microsoft.DirectoryServices.DirectoryRole"
      },
      {
      "url":"https://graph.windows.net/contoso.onmicrosoft.com/directoryObjects/3cc09cfd-5423-4002-85b8-070d60a63fe2/Microsoft.DirectoryServices.AdministrativeUnit"
      }
   ]
}
{
   "odata.metadata": "https://graph.windows.net/contoso.onmicrosoft.com/$metadata#directoryObjects",
   "value":
   [
      {
      "odata.type":"Microsoft.DirectoryServices.DirectoryRole",
      "objectType":"Role",
      "objectId":"cbf54c29-6184-484d-92d6-d6af32f896a2",
      "deletionTimestamp":null,
      "cloudSecurityIdentifier":"S-1-12-6-3421850665-1213030788-2950092434-2727802930",
      "description":"Company Administrator role has full access to perform any operation in the company scope.",
      "displayName":"Company Administrator",
      "isSystem":true,
      "roleDisabled":false,
      "roleTemplateId":"62e90394-69f5-4237-9190-012177145e10"
      },
      {
      "odata.type":"Microsoft.DirectoryServices.AdministrativeUnit",
      "objectType":"AdministrativeUnit",
      "objectId":"3cc09cfd-5423-4002-85b8-070d60a63fe2",
      "deletionTimestamp":null,
      "displayName":"Central Region Administrators",
      "description":"Administrators responsible for the Central Region"
      }    
   ]  
}

Obtenir la ou les unités d’administration dont un utilisateur est administrateur

Permet de récupérer la ou les ressources administrativeUnits dont un utilisateur est administrateur via la propriété de navigation scopedAdministratorOf de l’entité User. Notez que vous pouvez utiliser l’une des deux formes des opérations GET répertoriées ci-dessous. La première extrait les URL/le lien de la ressource, la seconde les propriétés.

Méthode HTTPURI de demande
GEThttps://graph.windows.net/contoso.onmicrosoft.com/users/{objectId}/$links/scopedAdministratorOf?api-version=beta
GEThttps://graph.windows.net/contoso.onmicrosoft.com/users/{objectId}/scopedAdministratorOf?api-version=beta

Pas de corps pour la demande.

Consultez la section Référence de réponse HTTP ci-dessous pour la définition des codes de réponse. Le premier exemple ci-dessous illustre le corps de réponse d’une opération utilisant le segment $links. Le second exemple illustre la réponse pour le même exemple sans le segment $links.

{
   "odata.metadata": "https://graph.windows.net/contoso.onmicrosoft.com/$metadata#directoryObjects/$links/scopedAdministratorOf",
   "value":
   [
      {
      "url":"https://graph.windows.net/contoso.onmicrosoft.com/scopedRoleMemberships/kxyuS4zvB0mDyB4cH9Liwf2cwDwjVAJAhbgHDWCmP-Itu0Khgd9mQK-R9j5Kup5fU"
      }
   ]
}
{
   "odata.metadata": "https://graph.windows.net/contoso.onmicrosoft.com/$metadata#scopedRoleMemberships",
   "value":
   [
      {
      "id":"kxyuS4zvB0mDyB4cH9Liwf2cwDwjVAJAhbgHDWCmP-Itu0Khgd9mQK-R9j5Kup5fU",
      "roleObjectId":"4bae1c93-ef8c-4907-83c8-1e1c1fd2e2c1",
      "administrativeUnitObjectId":"3cc09cfd-5423-4002-85b8-070d60a63fe2",
      "roleMemberInfo":
         {
         "objectId":"a142bb2d-df81-4066-af91-f63e4aba9e5f",
         "displayName":"Bryan",
         "userPrincipalName":BryanL@contoso.com
         }
      }
   ]  
}

Opérations prises en charge – directoryRoles

Cette section définit les opérations nouvellement prises en charge sur les ressources directoryRoles qui assurent la prise en charge des ressources administrativeUnits.

Vous pouvez vérifier la documentation complète sur la disponibilité générale pour plus d’informations sur l’entité DirectoryRole et les opérations connexes****.

Pour chacune des opérations répertoriées ci-dessous :

  • Le principal qui exécute l’opération doit avoir les privilèges de lecture des objets utilisant les demandes GET.

  • Le cas échéant, remplacez les chaînes d’espace réservé « contoso.onmicrosoft.com » par le domaine de votre locataire Azure Active Directory, et {objectId} par l’ID du type de ressource, comme déterminé dans l’URL.

  • Chaque demande doit inclure les en-têtes de demande HTTP suivants : Request HeaderDescriptionAuthorizationRequired. Jeton de support émis par Azure Active Directory. Consultez les scénarios d’authentification pour Azure AD pour plus d’informations.Content-TypeRequired. Type de support du contenu placé dans le corps de la demande, p. ex., application/json.Content-LengthRequired. Longueur de la demande, en octets.

En-tête de demandeDescription
AutorisationObligatoire. Jeton de support émis par Azure Active Directory. Consultez les scénarios d’authentification pour Azure AD pour plus d’informations.
Content-TypeObligatoire. Type de support du contenu placé dans le corps de la demande, p. ex., application/json.
Content-LengthObligatoire. Longueur de la demande, en octets.

Obtenir les administrateurs d’unité administrative étendus à un rôle spécifique

Les administrateurs sont affectés à une unité administrative en les plaçant dans un rôle qui a été consacré à cette unité administrative. Cette opération vous permet de récupérer ces « appartenances à étendue de rôle » pour un administrateur, en tant que jeu scopedRoleMemberships. Notez que seul un rôle « HelpDeskAdministrators » ou « UserAccountAdministrator » {objectId} est valable. Notez également que le segment {scopedRoleMemberId} est facultatif, selon que vous souhaitez toutes les ressources scopedRoleMembership pour un rôle spécifique, ou une seule ressource.

Méthode HTTPURI de demande
GEThttps://graph.windows.net/contoso.onmicrosoft.com/directoryRoles/{objectId}/scopedAdministrators/{scopedRoleMemberId}?api-version=beta

Pas de corps pour la demande.

Consultez la section Référence de réponse HTTP ci-dessous pour la définition des codes de réponse. Le corps de réponse ci-dessous concerne une requête pour tous les administrateurs d’une unité d’administration particulière, étendue au rôle Administrateur du support technique.

{ 
   "odata.metadata":https://graph.windows.net/contoso.onmicrosoft.com /$metadata#scopedRoleMemberships,
   "value":[
   {
      "id":"kxyuS4zvB0mDyB4cH9Liwf2cwDwjVAJAhbgHDWCmP-Itu0Khgd9mQK-R9j5Kup5fU",
      "roleObjectId":"4bae1c93-ef8c-4907-83c8-1e1c1fd2e2c1",
      "administrativeUnitObjectId":"3cc09cfd-5423-4002-85b8-070d60a63fe2",
      "roleMemberInfo":
      {
         "objectId":"a142bb2d-df81-4066-af91-f63e4aba9e5f",
         "displayName":"Bryan",
         "userPrincipalName":BryanL@contoso.com
      }
   ]
}

Référence des réponses HTTP

Voici la liste des codes de réponse HTTP possibles :

Code d’état HTTPCode d’erreur ODataDescription
200/OKNon applicableRéponse normale à une requête réussie. Le corps de la réponse contient les données qui correspondent aux filtres spécifiés dans les paramètres de requête.
201/CrééNon applicableRéponse normale à une opération POST/création réussie. Le corps de la réponse contient les données telles qu’elles sont remplies dans la nouvelle ressource.
204/No ContentNon applicableRéponse normale à une opération réussie PATCH/update ou DELETE sur une ressource, ou à une opération POST sur une ressource liée. Le corps de la réponse ne contient pas de réponse OData.
400/BadRequestRequest_BadRequestIl s’agit d’un message d’erreur générique pour un en-tête, un paramètre ou des données de corps de demande non valides. Ce message d’erreur s’affiche également si vous tentez d’ajouter une ressource liée qui existe déjà.
401/UnauthorizedAuthorizationErrorCe message ne s’affiche que si l’utilisateur n’est pas autorisé à afficher le contenu. Consultez l’article principal de AD Graph REST pour plus d’informations sur la sécurisation de vos appels et sur l’obtention et la spécification d’un jeton d’accès sécurisé.
404/IntrouvableRequest_ResourceNotFoundCela s’affiche lorsque la ressource à laquelle vous essayez d’accéder n’existe pas.
405/Méthode non autoriséeRequest_BadRequestCela s’affiche lorsque vous tentez une opération destinée à une ressource spécifique, mais ne fournissez pas l’ID de ressource correct dans l’URL de demande.

Ressources supplémentaires

© 2017 Microsoft