实体和复杂类型参考 | Graph API 参考

项目
04/06/2016

**适用范围: ** Graph API | Azure Active Directory

本主题讨论由 Graph API 公开的实体和复杂类型。

Graph API 是与 OData 3.0 兼容的 REST API，它提供对 Azure Active Directory 中的目录对象（如用户、组、组织联系人和应用程序）的编程访问。

重要

Azure AD Graph API 功能也可通过 Microsoft Graph 使用。Microsoft Graph 是一个统一的 API，它还包括其他 Microsoft 服务（如 Outlook、OneDrive、OneNote、Planner 和 Office Graph）的 API，这些都可以使用单个访问令牌通过单个终结点进行访问。

实体参考

Application 实体

表示一个应用程序。将身份验证外包给 Azure AD 的任何应用程序都必须在目录中进行注册。这涉及告诉 Azure AD 关于你的应用程序的情况，包括应用程序所在的 URL、在进行身份验证后要将回复发送到的 URL、用于标识你的应用程序的 URI，以及其他信息。有关详细信息，请参阅 Basics of Registering an Application in Azure AD（Azure AD 中注册应用程序的基本知识）。继承自 [DirectoryObject]。

属性

声明的属性

Name	类型	“支持”	描述
addIns	Collection([AddIn])	POST、GET、PATCH	定义自定义行为，使用服务可使用该行为在特定上下文中调用应用。例如，可以呈现文件流的应用程序可以为其“FileHandler”功能设置 addIns 属性。这将让 Office 365 等服务能够在用户正在使用的文档的上下文中调用应用程序。注意: 需要 1.6 版本。
appId	版本 1.5 中的 Edm.String 以前版本中的 Edm.Guid	GET ($filter)	应用程序的唯一标识符。
appRoles	Collection([AppRole])	POST、GET、PATCH	应用程序可以声明的应用程序角色的集合。可将这些角色分配到用户、组或服务主体。注意: 需要 1.5 版本，不可为 null。
availableToOtherTenants	Edm.Boolean	POST、GET ($filter)、PATCH	如果与其他租户共享应用程序，则为 true；否则为 false。
deletionTimestamp	Edm.DateTime	GET	从租户中删除应用程序的时间。如果应用程序尚未被删除，将返回 null。可以从 `/deletedApplications` 资源集合中读取已删除的应用程序。继承自 [DirectoryObject]。注意: 需要 1.5 版或更高版本。
displayName	Edm.String	POST（必需）、GET、PATCH	应用程序的显示名称。
errorUrl	Edm.String	POST、GET、PATCH
groupMembershipClaims	Edm.String	POST、GET、PATCH	一个位掩码，用于配置应用程序所需的用户或 OAuth 2.0 访问令牌中颁发的“groups”声明。位掩码值有: 0: 无，1: 安全组和 Azure AD 角色，2: 保留，以及 4: 保留。将位掩码设置为 7 将会获取已登录用户所属的所有安全组、通讯组和 Azure AD 目录角色。注意: 需要 1.5 版本。
主页	Edm.String	POST、GET、PATCH	应用程序主页的 URL。
identifierUris	Collection(Edm.String)	POST、GET ($filter)、PATCH	用于标识应用程序的 URI。有关详细信息，请参阅 Application Objects and Service Principal Objects（应用程序对象和服务主体对象）。注意: 多值属性上的筛选表达式需要不可为 null 的任意运算符；有关详细信息，请参阅 [Supported Queries, Filters, and Paging Options]。
keyCredentials	Collection([KeyCredential])	POST、GET、PATCH	与应用程序关联的密钥凭据的集合注意: 不可为 null
knownClientApplications	Collection(Edm.Guid)	POST、GET、PATCH	绑定到此资源应用程序的客户端应用程序。同意任何已知的客户端应用程序将导致通过组合的同意对话框（显示客户端和资源所需的 OAuth 权限作用域）隐式同意该资源应用程序。注意: 需要 1.5 版本，不可为 null。
logoutUrl	Edm.String	POST、GET、PATCH
mainLogo	Edm.Stream	POST、GET、PATCH	应用程序的主徽标。注意: 不可为 null
oauth2AllowImplicitFlow	Edm.Boolean	POST、GET、PATCH	指定此 web 应用程序是否可以请求 OAuth2.0 隐式流令牌。默认值为 false。注意: 需要 1.5 版本，不可为 null。
oauth2AllowUrlPathMatching	Edm.Boolean	POST、GET、PATCH	指定作为 OAuth 2.0 令牌请求的一部分，Azure AD 是否允许根据应用程序的 replyUrls 对重定向 URI 进行路径匹配。默认值为 false。注意: 需要 1.5 版本，不可为 null。
oauth2Permissions	Collection([OAuth2Permission])	POST、GET、PATCH	Web API（资源）应用程序向客户端应用程序公开的 OAuth 2.0 权限作用域集合。在同意期间，可以向客户端应用程序授予这些权限作用域。注意: 需要 1.5 版本，不可为 null。
oauth2RequiredPostResponse	Edm.Guid	POST、GET、PATCH	指定作为 OAuth 2.0 令牌请求的一部分，Azure AD 是否允许与 GET 请求相反的 POST 请求。默认值为 false，指定仅允许 GET 请求。注意: 需要 1.5 版本，不可为 null。
objectId	Edm.Guid	GET	应用程序的唯一标识符。继承自 [DirectoryObject]。注意: 键不可变、不可为 null 且是唯一的
objectType	Edm.String	GET	用于标识对象类型的字符串。对于应用程序，该值始终为“Application”。继承自 [DirectoryObject]。
passwordCredentials	Collection([PasswordCredential])	POST、GET、PATCH	与应用程序关联的密码凭据的集合。注意: 不可为 null
publicClient	Edm.Boolean	POST、GET	指定此应用程序是否为公共客户端（例如，在移动设备上运行的已安装应用程序）。默认值为 false。
recordConsentConditions	Edm.String	GET	请不要使用。可能会在将来的版本中删除。注意: 需要 1.6 版本。
replyUrls	Collection(Edm.String)	POST、GET、PATCH	指定为了登录而将用户令牌发送到的 URL，或者将 OAuth 2.0 授权代码和访问令牌发送到的重定向 URI。注意: 不可为 null
requiredResourceAccess	Collection([RequiredResourceAccess])	POST、GET、PATCH	指定此应用程序需要访问的资源，以及其中每个资源下它需要的 OAuth 权限作用域和应用程序角色集。所需资源访问权限的这种预先配置驱动了同意体验。注意: 需要 1.5 版本，不可为 null。
samlMetadataUrl	Edm.String	POST、GET、PATCH	应用程序的 SAML 元数据的 URL。

导航属性

Name	收件人	多重性（从/到）	描述
extensionProperties	[ExtensionProperty]	/	与应用程序关联的扩展属性。需要 1.5 或更高版本。
owners	[DirectoryObject]	/	充当应用程序所有者的目录对象。所有者是一组非管理员用户，他们有权修改此对象。需要 2013-11-08 版或更高版本。继承自 [DirectoryObject]。
serviceEndpoints	[ServiceEndpoint]	1/*	服务终结点可发现。有关详细信息，请参阅 [ServiceEndpoint] 主题。 HTTP 方法: POST、GET 和 DELETE。需要 1.6 或更高版本。

**注意: **不支持未列出的继承导航属性。针对不支持的导航属性的请求将返回 400 错误的请求。

支持的操作

支持对应用程序执行以下操作（HTTP 方法位于括号中）：

创建 (POST)
读取 (READ)
更新 (PATCH)
删除 (DELETE)

支持对应用程序导航属性执行以下操作。并非对每个导航属性都支持所有的操作。

读取 (READ)
更新 (POST)
删除 (DELETE)

可对应用程序调用以下操作。

[restore]: 还原已删除的应用程序。需要 1.5 版或更高版本。

AppRoleAssignment 实体

用于记录将用户或组分配到应用程序的时间。在这种情况下，角色分配将导致应用程序磁贴显示在用户的应用程序访问面板上。此实体也可用于授予其他应用程序（建模为服务主体）对特定角色中资源应用程序的访问权限。你可以创建、读取、更新和删除角色分配。继承自 [DirectoryObject]。

重要提示: 已在 1.5 版本中引入。

属性

声明的属性

Name	类型	“支持”	描述
creationTimestamp	Edm.DateTime	GET	创建授权的时间。
deletionTimestamp	Edm.DateTime	GET	此属性对于应用角色分配无效，始终返回 null。继承自 [DirectoryObject]。注意: 需要 1.5 版或更高版本。
ID	Edm.Guid	POST（必需）、GET、PATCH	分配到主体的角色 ID。此角色必须由目标资源应用程序 resourceId 在其 appRoles 属性中声明。如果资源未声明任何权限，则必须指定默认 ID（零 GUID）。注意: 不可为 null。
principalDisplayName	Edm.String	GET	被授予访问权限的主体的显示名称。
objectId	Edm.String	GET	应用程序角色分配的唯一标识符。继承自 [DirectoryObject]。注意: 键，不可变，不可为 null，唯一。
objectType	Edm.String	GET	用于标识对象类型的字符串。对于应用程序角色分配，该值始终为“AppRoleAssignment”。继承自 [DirectoryObject]。
principalId	Edm.Guid	POST（必需）、GET、PATCH	正在向其授予访问权限的主体的唯一标识符（objectId）。注意: 必需。
principalType	Edm.String	GET	主体的类型。可以是“User”、“Group”或“ServicePrincipal”。
resourceDisplayName	Edm.String	GET	向其分配的资源的显示名称。
resourceId	Edm.Guid	POST（必需）、GET、PATCH	为其进行分配的目标资源（服务主体）的唯一标识符（objectId）。

导航属性
无。

**注意: **不支持未列出的继承导航属性。针对不支持的导航属性的请求将返回 400 错误的请求。

Contact 实体

表示组织联系人。继承自 [DirectoryObject]。

组织联系人表示不在公司目录中的用户。他们是启用了邮件的实体，通常表示公司或组织的外部人员。不能使用 Azure AD 对组织联系人进行身份验证，也不能为他们分配许可证。

可以使用 Azure AD Connect 与本地目录进行同步，从而在租户中创建组织联系人，或者通过 Exchange Online 管理门户或 Exchange Online PowerShell cmdlet 之一进行创建。有关 Azure AD Connect 的详细信息，请参阅 Integrating your on-premises identities with Azure Active Directory（使用 Active Directory 集成本地标识符）。有关 Exchange Online 管理工具的详细信息，请参阅 Exchange Online Setup and Administration（Exchange Online 设置和管理）。

你无法使用 Graph API 创建组织联系人。但是你可以更新和删除当前尚未从本地目录进行同步的联系人；即 dirSyncEnabled 属性为 null 或 false 的联系人。不能更新或删除 dirSyncEnabled 属性为 true的联系人。

注意: 组织联系人是表示外部用户的目录实体。不应将他们与 O365 Outlook 个人联系人相混淆。

属性

声明的属性

Name	类型	“支持”	描述
city	Edm.String	GET ($filter)、PATCH	联系人所在的城市。
country	Edm.String	GET ($filter)、PATCH	联系人所在的国家/地区。
deletionTimestamp	Edm.DateTime	GET	此属性对联系人无效，始终返回 null。继承自 [DirectoryObject]。注意: 需要 1.5 版或更高版本。
department	Edm.String	GET ($filter)、PATCH	联系人工作部门的名称。
dirSyncEnabled	Edm.Boolean	GET ($filter)	如果该对象已从本地目录同步，则为 true；如果该对象最初从本地目录同步但已不再同步，则为 false；如果该对象从未从本地目录同步，则为 null（默认值）。
displayName	Edm.String	GET ($filter)、PATCH	联系人的显示名称。
facsimileTelephoneNumber	Edm.String	GET、PATCH	联系人的业务传真机的电话号码。
givenName	Edm.String	GET ($filter)、PATCH	联系人的名字。
jobTitle	Edm.String	GET ($filter)、PATCH	联系人的职务。
lastDirSyncTime	Edm.DateTime	GET ($filter)	指示对象上次与本地目录同步的时间。
mail	Edm.String	GET ($filter)	联系人的 SMTP 地址，例如“jeff@contoso.onmicrosoft.com”。
mailNickname	Edm.String	GET ($filter)、PATCH	联系人的邮件别名。
mobile	Edm.String	GET、PATCH	联系人的主移动电话号码。
objectId	Edm.String	GET	联系人的唯一标识符。继承自 [DirectoryObject]。注意: 键，不可变，不可为 null，唯一。
objectType	Edm.String	GET	用于标识对象类型的字符串。对于联系人，该值始终为“Contact”。继承自 [DirectoryObject]。
physicalDeliveryOfficeName	Edm.String	GET、PATCH	联系人营业场所中的办公地点。
postalCode	Edm.String	GET、PATCH	联系人通信地址的邮政编码。邮政编码特定于联系人的国家/地区。在美国，此属性包含邮政编码。
provisioningErrors	Collection([ProvisioningError])	GET、PATCH	阻止成功设置此联系人的错误详细信息的集合。注意: 不可为 null
proxyAddresses	Collection(Edm.String)	GET ($filter)	注意: 多值属性上的筛选表达式需要唯一且不可为 null 的任意运算符；有关详细信息，请参阅 [Supported Queries, Filters, and Paging Options]。
sipProxyAddress	Edm.String	GET	指定联系人的 IP 语音 (VOIP) 会话发起协议 (SIP) 地址。注意: 需要 1.5 版或更高版本。
state	Edm.String	GET ($filter)、PATCH	联系人地址中的省/市/自治区。
streetAddress	Edm.String	GET、PATCH	联系人营业场所的街道地址。
surname	Edm.String	GET ($filter)、PATCH	联系人的姓氏。
telephoneNumber	Edm.String	GET、PATCH	联系人营业场所的主电话号码。
thumbnailPhoto	Edm.Stream	GET、PATCH	要为联系人显示的缩略图照片。注意: 不可为 null

导航属性

| Name | 收件人 | 多重性
（从/到） | 描述 | |:-----|:---|:----------------------------|:------------| | manager | [DirectoryObject]

（仅支持 [User] 和 [Contact] 对象。） | */0..1 | 作为此联系人的经理的用户或联系人。继承自 [DirectoryObject]。

HTTP 方法: GET、PUT、DELETE | | directReports | [DirectoryObject]

（仅支持 [User] 和 [Contact] 对象。） | */* | 联系人的直接下属。（其 manager 属性设置为此联系人的用户和联系人。）继承自 [DirectoryObject]。

HTTP 方法: GET | | memberOf | [DirectoryObject]

（仅支持 [Group] 对象。） | */* | 此联系人所属的组。继承自 [DirectoryObject]。

HTTP 方法: GET | **注意: **不支持未列出的继承导航属性。针对不支持的导航属性的请求将返回 400 错误的请求。

支持的操作

支持对联系人执行以下操作（用于每种操作的 HTTP 方法位于括号中）:

读取 (GET)
更新 (PATCH): 仅限于尚未从本地目录同步的联系人（dirSyncEnabled 为 null 或 false）。
删除 (DELETE)

支持对联系人导航属性执行以下操作；并非对每个导航属性都支持所有的操作。

读取 (GET)
更新 (PUT): 仅限于尚未从本地目录同步的联系人（dirSyncEnabled 为 null 或 false）上的 manager 属性。
删除 (DELETE): 仅限于尚未从本地目录同步的联系人（dirSyncEnabled 为 null 或 false）上的 manager 属性。

可对联系人调用以下操作和函数：

[checkMemberGroups]: 检查联系人在组列表中的成员身份。此检查是可传递的。
[getMemberGroups]: 返回联系人所属的组的列表。此检查是可传递的。
[isMemberOf]: 检查某个联系人是否为指定组的成员。此检查是可传递的。

备注

联系人是启用了邮件的实体，无法使用 Graph API 创建。可以更新他们；不过，仅支持对 dirSyncEnabled 属性设置为 null 或 false 的联系人进行更新。可以删除联系人。

Contract 实体

仅存在于合作伙伴租户中。合作伙伴租户是属于 Microsoft 合作伙伴的 Azure AD 租户，Microsoft 合作伙伴是 Office 365 联合、Microsoft 云解决方案提供商或 Microsoft 顾问合作伙伴计划的一部分。表示合作伙伴租户与客户租户的现有合作关系。只读。继承自 [DirectoryObject]。

重要提示: 已在 1.5 版本中引入。

属性

声明的属性

Name	类型	“支持”	描述
contractType	Edm.String	GET	合约的类型。可能的值有: “SyndicationPartner”，它表示专门为此客户转售和管理 O365 和 Intune 的合作伙伴。他们为客户提供转售和支持。 “BreadthPartner”，它表示该合作伙伴有能力为此客户提供管理支持。但是不允许该合作伙伴向客户进行转售。 “ResellerPartner”，它表示类似于联合合作伙伴的合作伙伴，但此合作伙伴对租户不具有独占访问权限。在联合案例中，客户不能从 Microsoft 或其他合作伙伴购买额外的直接订阅。
customerContextId	Edm.Guid	GET ($filter)	由此合作关系引用的客户租户的唯一标识符。与客户租户的 [TenantDetail] 对象的 objectId 属性相对应。
defaultDomainName	Edm.String	GET ($filter)	客户租户的默认域名的副本。该副本是在与客户建立起合作关系时创建的。如果客户租户的默认域名发生更改，它不会进行自动更新。
deletionTimestamp	Edm.DateTime	GET	此属性对协定无效，始终返回 null。继承自 [DirectoryObject]。注意: 需要 1.5 版或更高版本。
displayName	Edm.String	GET ($filter)	客户租户的显示名称的副本。该副本是在与客户建立起合作关系时创建的。如果客户租户的显示名称发生更改，它不会进行自动更新。
objectType	Edm.String	GET	用于标识对象类型的字符串。此值始终为“Contract”。继承自 [DirectoryObject]。
objectId	Edm.String	GET	合作关系的唯一标识符。继承自 [DirectoryObject]。注意: 键，不可变，不可为 null，唯一。

导航属性
无。

**注意: **不支持未列出的继承导航属性。针对不支持的导航属性的请求将返回 400 错误的请求。

支持的操作

支持对合约执行以下操作（用于每种操作的 HTTP 方法位于括号中）:

读取 (GET)

Device 实体

表示已在目录中注册的设备。继承自 [DirectoryObject]。

属性

声明的属性

Name	类型	“支持”	描述
accountEnabled	Edm.Boolean	POST（必需）、GET ($filter)、PATCH
alternativeSecurityIds	Collection([AlternativeSecurityId])	POST（必需）、GET ($filter)、PATCH	注意: 多值属性上的筛选表达式需要不可为 null 的任意运算符；有关详细信息，请参阅 [Supported Queries, Filters, and Paging Options]。
approximateLastLogonTimeStamp	Edm.DateTime	POST、GET、PATCH
deletionTimestamp	Edm.DateTime	GET	此属性对设备无效，始终返回 null。继承自 [DirectoryObject]。注意: 需要 1.5 版或更高版本。
deviceId	Edm.Guid	POST（必需）、GET ($filter)、PATCH
deviceObjectVersion	Edm.Int32	POST、GET、PATCH
deviceOSType	Edm.String	POST（必需）、GET、PATCH	设备上的操作系统类型。
deviceOSVersion	Edm.String	POST（必需）、GET、PATCH	设备上的操作系统版本
devicePhysicalIds	Collection(Edm.String)	POST、GET ($filter)、PATCH	注意: 不可为 null
dirSyncEnabled	Edm.Boolean	GET ($filter)	如果该对象已从本地目录同步，则为 true；如果该对象最初从本地目录同步但已不再同步，则为 false；如果该对象从未从本地目录同步，则为 null（默认值）。
displayName	Edm.String	POST（必需）、GET ($filter)、PATCH	设备的显示名称。
isCompliant	Edm.Boolean	POST、GET、PATCH	如果设备符合移动设备管理 (MDM) 策略，则为 true；否则为 false
IsManaged	Edm.Boolean	POST、GET、PATCH	如果设备由移动设备管理 (MDM) 应用（如 Intune）管理，则为 true；否则为 false。
lastDirSyncTime	Edm.DateTime	GET ($filter)	对象上次与本地目录同步的时间。
objectId	Edm.String	GET	设备的唯一标识符。继承自 [DirectoryObject]。注意: 键不可变、不可为 null 且是唯一的
objectType	Edm.String	GET	用于标识对象类型的字符串。对于设备，该值始终为“Device”。继承自 [DirectoryObject]

导航属性

Name	收件人	多重性（从/到）	描述
registeredOwners	[User]	/	作为设备的注册所有者的用户。
registeredUsers	[User]	/	作为设备的注册用户的用户。

**注意: **不支持未列出的继承导航属性。针对不支持的导航属性的请求将返回 400 错误的请求。

支持的操作

支持对设备执行以下操作（HTTP 方法位于括号中）：

创建 (CREATE)
读取 (READ)
更新 (PATCH)
删除 (DELETE)

支持对设备导航属性执行以下操作。并非对每个导航属性都支持所有的操作。

读取 (READ)
更新 (PUT)
删除 (DELETE)

设备上不支持任何函数或操作。

DirectoryLinkChange 实体

在差异查询的结果集中返回一个 DirectoryLinkChange 对象，以指示自上次差异查询以来，链接所表示的联系人、用户或组的属性已更改。 DirectoryLinkChange 对象将表示对用户或联系人的 manager 属性或对组的 members 属性的更改。有关差异查询的详细信息，请参阅 [Differential Query]。继承自 [DirectoryObject]。

属性

声明的属性

Name	类型	“支持”	描述
associationType	Edm.String	GET	一个字符串，用于标识更改所应用到的关联类型。该值为“Member”或“Manager”。
deletionTimestamp	Edm.DateTime	GET	此属性对目录链接更改对象无效，始终返回 null。继承自 [DirectoryObject]。注意: 需要 1.5 版或更高版本。
objectId	Edm.String	GET	目录链接更改对象的唯一标识符。对于 DirectoryLinkChange 对象，该值始终为 00000000-0000-0000-0000-000000000000。继承自 [DirectoryObject]。注意: 键，不可变，不可为 null，唯一
objectType	Edm.String	GET	用于标识对象类型的字符串。对于 DirectoryLinkChange 对象，该值始终为“DirectoryLinkChange”。 [DirectoryObject]
sourceObjectId	Edm.String	GET	源对象的对象 ID；例如，“7373b0af-d462-406e-ad26-f2bc96d823d8”。
sourceObjectType	Edm.String	GET	标识源对象类型的字符串；它将为以下值之一: “Group”、“User”或“Contact”。
sourceObjectUri	Edm.String	GET	源对象的 URI；例如，`"https://graph.windows.net/contoso.com/groups/7373b0af-d462-406e-ad26-f2bc96d823d8"`。
targetObjectId	Edm.String	GET	目标对象的对象 ID；例如，“dca803ab-bf26-4753-bf20-e1c56a9c34e2”。
targetObjectType	Edm.String	GET	标识源对象类型的字符串；它将为以下值之一: “Group”、“User”或“Contact”。
targetObjectUri	Edm.String	GET	目标对象的 URI；例如，`"https://graph.windows.net/contoso.com/users/dca803ab-bf26-4753-bf20-e1c56a9c34e2"`。

导航属性
无。

**注意: **不支持未列出的继承导航属性。针对不支持的导航属性的请求将返回 400 错误的请求。

DirectoryObject 实体

表示 Azure Active Directory 对象。 DirectoryObject 类型是其他大多数目录实体类型的基类型。

属性

声明的属性

| Name | 类型 | “支持” | 描述 | |:----|:----|:----------|:----------| | deletionTimestamp | Edm.DateTime | GET | 删除目录对象的时间。它仅适用于可以还原的那些目录对象。当前仅支持已删除的 [Application] 对象；所有其他实体将为此属性返回 null。

注意: 需要 1.5 版或更高版本。 | | objectId | Edm.String | GET | 作为对象的唯一标识符的 Guid；例如，12345678-9abc-def0-1234-56789abcde。

注意: 键，不可变，不可为 null，唯一。 | | objectType | Edm.String | GET | 用于标识对象类型的字符串。例如，对于组，该值始终为“Group”。 | 导航属性

Name	收件人	多重性（从/到）	描述
createdObjects	DirectoryObject	/	当前对象创建的目录对象。只读。需要 2013-11-08 版或更高版本。
createdOnBehalfOf	DirectoryObject	*/0..1	代表其创建此对象的目录对象。只读。需要 2013-11-08 版或更高版本。
manager	DirectoryObject	*/0..1	此对象的经理。对用户和联系人有效。返回用户或联系人。
directReports	DirectoryObject	/	向该对象报告的用户和联系人。对用户和联系人有效。返回用户和联系人。只读。
成员	DirectoryObject	/	作为此对象的成员的对象。对组和角色有效。在组上，返回联系人、用户和组。在角色上，返回用户和服务主体。
memberOf	DirectoryObject	/	该对象是其成员的对象。在联系人、组、服务主体和用户上有效。在联系人上，返回组。在组上，返回组。在用户上，返回组和角色。在服务主体上，返回角色。只读。该属性不可传递。例如，如果用户 A 是组 B 的成员，而组 B 是组 C 的成员，则针对用户 A 的 memberOf 属性将不返回组 C。
ownedObjects	DirectoryObject	/	当前对象拥有的目录对象。只读。需要 2013-11-08 版或更高版本。
owners	DirectoryObject	/	作为当前对象的所有者的目录对象。所有者是一组非管理员用户，他们有权修改此对象。需要 2013-11-08 版或更高版本。

**注意: **不是所有的导航属性都需要在从 DirectoryObject 继承的实体类型上有效。如果发送了对特定实体无效的属性的请求，将返回 400 错误的请求响应。有关哪些导航属性在特定实体上有效的更多信息，请参考针对该实体类型的文档。

支持的操作

下面是对目录对象支持的一组完整的操作（用于每种操作的 HTTP 方法位于括号中）: 创建 (POST)、读取 (GET)、更新 (PATCH) 和删除 (DELETE)。但是，不是在每个实体类型上都支持所有这些操作。目录对象的声明属性是只读的；无法在创建或更新操作中指定它们。

在每个导航属性上支持的潜在一组操作是:

createdObjects: 读取 (GET)。
createdOnBehalfOf: 读取 (GET)。
manager: 读取 (GET)、更新 (PUT) 和删除 (DELETE)。
directReports: 读取 (GET)。
members: 读取 (GET)、更新 (POST) 和删除 (DELETE)。
memberOf: 读取 (GET)。
ownedObjects: 读取 (GET)。
owners: 读取 (GET)、更新 (POST) 和删除 (DELETE)。

不是在每个实体类型上都必须支持所有导航属性，也不是在每个实体类型上都必须支持针对某一导航属性的一组潜在操作。

特定的目录对象是否支持特定的操作或函数取决于目录对象的类型（objectType 属性）。有关哪些对象类型支持哪些函数或操作的信息，请参阅特定对象（例如用户、组等）或特定函数的文档。

有关对实体支持的操作的详细信息，请参阅特定实体类型的文档。

DirectoryRole 实体

表示 Azure AD 目录角色。 Azure AD 目录角色也被称为管理员角色。有关目录（管理员）角色的详细信息，请参阅在 Azure AD 中分配管理员角色。

使用 Graph API 可以将用户和服务主体分配到目录角色，以授予他们目标角色的权限。你可以读取目录角色对象并更新目录角色的 members 导航属性，但无法删除目录角色或更新其声明的属性。继承自 [DirectoryObject]。

若要读取目录角色或更新其成员，必须首先在租户中激活它。在 1.5 之前的版本中，默认激活所有目录角色。从 1.5 版本开始，默认仅激活公司管理员目录角色。若要激活其他可用的目录角色，请使用目录角色所基于 [DirectoryRoleTemplate] 的 objectId 发送 POST 请求。有关详细信息，请参阅支持的操作和备注。

重要提示: 从 1.5 版本开始，Role 实体类型已重命名为 DirectoryRole。

属性

声明的属性

Name	类型	“支持”	描述
deletionTimestamp	Edm.DateTime	GET	此属性对目录角色无效，始终返回 null。继承自 [DirectoryObject]。注意: 需要 1.5 版或更高版本。
description	Edm.String	GET	目录角色的说明。
displayName	Edm.String	GET	目录角色的显示名称。
isSystem	Edm.Boolean	GET	如果角色为系统角色，则为 true；否则为 false。
objectId	Edm.String	GET	目录角色的唯一标识符。继承自 [DirectoryObject]。注意: 键，不可变，不可为 null，唯一。
objectType	Edm.String	GET	用于标识对象类型的字符串。对于目录角色，该值始终为“DirectoryRole”。继承自 [DirectoryObject]。注意: 在 1.5 之前的版本中，该值为“Role”。
roleDisabled	Edm.Boolean	GET	如果禁用目录角色，则为 true；否则为 false。
roleTemplateId	字符串	POST（必需）、GET	此角色基于 [DirectoryRoleTemplate] 的 objectId。注意: 在 1.5 版之前的版本中，该属性为只读。在 1.5 和更高版本中，当使用 POST 操作激活租户中的目录角色时，必须指定属性。在激活目录角色后，该属性为只读。

导航属性

名称	到	多重性（从/到）	说明
成员	[DirectoryObject] （支持 [User] 和 [ServicePrincipal]。）	/	作为此目录角色的成员的用户和服务主体。继承自 [DirectoryObject]。 HTTP 方法: GET、POST、DELETE

**注意: **不支持未列出的继承导航属性。针对不支持的导航属性的请求将返回 400 错误的请求。

支持的操作

支持对目录角色执行以下操作（用于每种操作的 HTTP 方法位于括号中）:

创建 (POST): 在 1.5 和更高版本中支持该操作。使用由请求中的 roleTemplateId 属性指定的 [DirectoryRoleTemplate] 激活租户中的目录角色。在目录角色激活后，你可以添加用户和服务主体，并从角色中删除用户和服务主体。
读取 (GET)

支持对目录角色导航属性执行以下操作:

读取 (GET)
更新 (POST)
删除 (DELETE)

可能无法对目录角色调用任何函数或操作；但是，可以对 [User] 或 [ServicePrincipal] 调用 [getMemberObjects]，以确定其目录角色成员身份。请注意，对于用户，此函数也会返回其直接的可传递组成员身份。

备注

在 1.5 和更高版本中，默认仅激活（和显示）租户中的公司管理员角色。使用创建 (POST) 操作来激活其他的目录角色。此操作指定请求中的 roleTemplateId 属性。此属性包含与要激活的角色相对应的 [DirectoryRoleTemplate] 实例的 objectId。在激活目录角色后，可以使用 Graph API 从中添加和删除用户和服务主体。在 1.5 之前的版本中，默认激活所有目录角色（由 Role 实体表示），且不支持创建 (POST) 操作。
不能使用 Graph API 删除目录角色。仅支持对 members 属性进行更新。此属性支持添加和删除。
目录角色不支持查询筛选表达式。

DirectoryRoleTemplate 实体

表示目录角色模板。目录角色模板指定目录角色的属性值（[DirectoryRole]）。可在租户中激活的每个目录角色都有一个相关联的目录角色模板对象。继承自 [DirectoryObject]。

若要读取目录角色或更新其成员，必须首先在租户中激活它。在 1.5 之前的版本中，默认激活所有目录角色。从 1.5 版本开始，默认仅激活公司管理员目录角色。若要激活其他可用目录角色，请使用在请求的 roleTemplateId 参数中指定、目录所基于的目录角色模板的 objectId 向 /directoryRoles 终结点发送 POST 请求。有关详细信息，请参阅 [DirectoryRole]。

注意: 目录角色模板对 Users 目录角色公开。 Users 目录角色是隐式角色，对目录客户端不可见。由基础结构为租户中的每个 [User] 分配此角色。该角色已激活。请勿使用此模板。

重要提示: 已在 1.5 版本中引入。

属性

声明的属性

Name	类型	“支持”	描述
description	Edm.String	GET	要为目录角色设置的说明。
deletionTimestamp	Edm.DateTime	GET	此属性对目录角色模板无效，始终返回 null。继承自 [DirectoryObject]。注意: 需要 1.5 版或更高版本。
displayName	Edm.String	GET	要为目录角色设置的显示名称。
objectId	Edm.String	GET	模板的唯一标识符。继承自 [DirectoryObject]。在 1.5 和更高版本中，为 POST 请求中的 roleTemplateId 属性指定目录角色模板的 objectId 将在租户中激活 [DirectoryRole]。注意: 键，不可变，不可为 null，唯一。
objectType	Edm.String	GET	用于标识对象类型的字符串。对于角色模板，该值始终为“RoleTemplate”。继承自 [DirectoryObject]。

导航属性
无。

**注意: **不支持未列出的继承导航属性。针对不支持的导航属性的请求将返回 400 错误的请求。

支持的操作

支持对目录角色模板执行以下操作（HTTP 方法位于括号中）：

读取 (GET)

Domain 实体（预览版）

表示与租户相关联的域。

重要提示: 仅在 beta 版中可用。

属性

声明的属性

Name	类型	“支持”	描述
authenticationType	Edm.String	GET	指示为该域配置的身份验证类型。该值为“Managed”或“Federated”。
availabilityStatus	Edm.String	GET	此属性始终为 null，当使用 [verify] 操作时除外。当使用 [verify] 操作时，将在响应中返回 Domain 实体。响应中 Domain 实体的 availabilityStatus 属性为“AvailableImmediately”或“EmailVerifiedDomainTakeoverScheduled”。
isAdminManaged	Edm.Boolean	GET	如果已将域的 DNS 记录管理委托给 Office 365，则为 false。否则为 true。注意: 不可为 null
isDefault	Edm.Boolean	GET、PATCH	指示此默认域是否为用于用户创建的默认域。每家公司只有一个默认域。注意: 不可为 null
isInitial	Edm.Boolean	GET	指示此初始域是否为 Microsoft Online Services (companyname.onmicrosoft.com) 所创建的初始域。每家公司只有一个初始域。注意: 不可为 null
isRoot	Edm.Boolean	GET	对于子域而言，这表示根域。你只需要验证根域，系统将自动验证所有子域。注意: 不可为 null
isVerified	Edm.Boolean	GET	指示此域是否已完成域所有权验证。注意: 不可为 null
name	Edm.String	POST（必需）、GET ($filter)	域的完全限定名称。注意: 键，不可变，不可为 null，唯一
supportedServices	Collection(Edm.String)	GET、PATCH	分配给域的功能，可以包含以下 0 个、1 个或多个值: “Email” “Sharepoint” “EmailInternalRelayOnly” “OfficeCommunicationsOnline” “SharePointDefaultDomain” “FullRedelegation” “SharePointPublic” “OrgIdAuthentication” “Yammer” “Intune” 这些值大多数为只读。可以使用 Graph API 添加/删除的值包括: “Email” “OfficeCommunicationsOnline” “Yammer” 注意: 不可为 null

导航属性

Name	收件人	多重性（从/到）	描述
serviceConfigurationRecords	[DomainDnsRecord]	/	客户必须将此 DNS 记录添加到域的 DNS 区域文件，Microsoft Online Services 才可使用该域。
verificationDnsRecords	[DomainDnsRecord]	/	客户必须将此 DNS 记录添加到域的 DNS 区域文件，该客户才可向 Azure AD 完成域所有权验证。

DomainDnsRecord 实体（预览版）

对于租户中的每个域，需要将 DNS 记录添加到域的 DNS 区域文件，Microsoft Online 服务才可使用该域。 DomainDnsRecord 实体用于显示此类 DNS 记录。 [DomainDnsCnameRecord]、[DomainDnsMxRecord]、[DomainDnsSrvRecord] 和 [DomainDnsSrvRecord] 实体的基本实体。

重要提示: 仅在 beta 版中可用。

属性

声明的属性

Name	类型	“支持”	描述
dnsRecordId	Edm.Guid	GET	分配给此实体的唯一标识符。注意: 不可为 null
isOptional	Edm.Boolean	GET	指示是否必须由客户在 DNS 主机上配置此记录后 Microsoft Online Services 才能正常使用域。注意: 不可为 null
label	Edm.String	GET	指示在 DNS 主机上配置 DNS 记录的名称时要使用的值。
recordType	Edm.String	GET	指示此实体所表示的 DNS 记录类型。该值可以是下列值之一: “CName” “Mx” “Srv” “Txt” 注意: 键
supportedService	Edm.String	GET	指示依赖于此 DNS 记录的 Microsoft Online Service 或功能。可以是下列值之一: Null “Email” “Sharepoint” “EmailInternalRelayOnly” “OfficeCommunicationsOnline” “SharePointDefaultDomain” “FullRedelegation” “SharePointPublic” “OrgIdAuthentication” “Yammer” “Intune”
ttl	Edm.Int32	GET	指示在 DNS 主机上配置 DNS 记录的 Time-To-Live (TTL) 属性时要使用的值。注意: 不可为 null

DomainDnsCnameRecord 实体（预览版）

表示需要添加到租户中特定域的 DNS 区域文件中的 CNAME 记录。继承自 [DomainDnsRecord] 实体。

重要提示: 仅在 beta 版中可用。

属性

声明的属性

Name	类型	“支持”	描述
canonicalName	Edm.String	GET	指示在 DNS 主机上配置 CNAME 记录的规范名称时要使用的值。
dnsRecordId	Edm.Guid	GET	分配给此实体的唯一标识符。注意: 不可为 null
isOptional	Edm.Boolean	GET	指示是否必须由客户在 DNS 主机上配置此 CNAME 记录后 Microsoft Online Services 才能正常使用域。注意: 不可为 null
label	Edm.String	GET	指示在 DNS 主机上配置 CNAME 记录的名称时要使用的值。
recordType	Edm.String	GET	指示此实体所表示的 DNS 记录类型。该值始终为“CName”。注意: 键
supportedService	Edm.String	GET	指示依赖于此 CNAME 记录的 Microsoft Online Service 或功能。可以是下列值之一: Null “Email” “Sharepoint” “EmailInternalRelayOnly” “OfficeCommunicationsOnline” “SharePointDefaultDomain” “FullRedelegation” “SharePointPublic” “OrgIdAuthentication” “Yammer” “Intune”
ttl	Edm.Int32	GET	指示在 DNS 主机上配置 CNAME 记录的 Time-To-Live (TTL) 属性时要使用的值。注意: 不可为 null

DomainDnsMxRecord 实体（预览版）

表示需要添加到租户中特定域的 DNS 区域文件的 MX 记录。继承自 [DomainDnsRecord] 实体。

重要提示: 仅在 beta 版中可用。

属性

声明的属性

Name	类型	“支持”	描述
dnsRecordId	Edm.Guid	GET	分配给此实体的唯一标识符。注意: 不可为 null
isOptional	Edm.Boolean	GET	指示是否必须由客户在 DNS 主机上配置此 MX 记录后 Microsoft Online Services 才能正常使用域。注意: 不可为 null
label	Edm.String	GET	在 DNS 主机上配置 MX 记录的 Alias/Host/Name 属性时要使用的值。
mailExchange	Edm.String	GET	在 DNS 主机上配置 MX 记录的 Answer/Destination/Value 时要使用的值。
recordType	Edm.String	GET	指示此实体所表示的 DNS 记录类型。该值始终为“Mx”。注意: 键
preference	Edm.Int32	GET	在 DNS 主机上配置 MX 记录的 Preference/Priority 属性时要使用的值。
supportedService	Edm.String	GET	指示依赖于此 CNAME 记录的 Microsoft Online Service 或功能。可以是下列值之一: Null “Email” “Sharepoint” “EmailInternalRelayOnly” “OfficeCommunicationsOnline” “SharePointDefaultDomain” “FullRedelegation” “SharePointPublic” “OrgIdAuthentication” “Yammer” “Intune”
ttl	Edm.Int32	GET	在 DNS 主机上配置 MX 记录的 Time-To-Live (TTL) 属性时要使用的值。注意: 不可为 null

DomainDnsSrvRecord 实体（预览版）

表示需要添加到租户中特定域的 DNS 区域文件的 SRV 记录。继承自 [DomainDnsRecord] 实体。

重要提示: 仅在 beta 版中可用。

属性

声明的属性

Name	类型	“支持”	描述
dnsRecordId	Edm.Guid	GET	分配给此实体的唯一标识符。注意: 不可为 null
isOptional	Edm.Boolean	GET	指示是否必须由客户在 DNS 主机上配置此 SRV 记录后 Microsoft Online Services 才能正常使用域。注意: 不可为 null
label	Edm.String	GET	在 DNS 主机上配置 SRV 记录的 Name 属性时要使用的值。
nameTarget	Edm.String	GET	在 DNS 主机上配置 SRV 记录的 Target 属性时要使用的值。
port	Edm.Int32	GET	在 DNS 主机上配置 SRV 记录的 Port 属性时要使用的值。
priority	Edm.Int32	GET	在 DNS 主机上配置 SRV 记录的 Priority 属性时要使用的值。
protocol	Edm.String	GET	在 DNS 主机上配置 SRV 记录的 Protocol 属性时要使用的值。
recordType	Edm.String	GET	指示此实体所表示的 DNS 记录类型。该值始终为“Srv”。注意: 键
服务	Edm.String	GET	在 DNS 主机上配置 SRV 记录的 Service 属性时要使用的值。
supportedService	Edm.String	GET	指示依赖于此 SRV 记录的 Microsoft Online Service 或功能。可以是下列值之一: Null “Email” “Sharepoint” “EmailInternalRelayOnly” “OfficeCommunicationsOnline” “SharePointDefaultDomain” “FullRedelegation” “SharePointPublic” “OrgIdAuthentication” “Yammer” “Intune”
ttl	Edm.Int32	GET	在 DNS 主机上配置 SRV 记录的 Time-To-Live 属性时要使用的值。注意: 不可为 null
weight	Edm.Int32	GET	在 DNS 主机上配置 SRV 记录的 Weight 属性时要使用的值。

DomainDnsTxtRecord 实体（预览版）

表示需要添加到租户中特定域的 DNS 区域文件的 TXT 记录。继承自 [DomainDnsRecord] 实体。

重要提示: 仅在 beta 版中可用。

属性

声明的属性

Name	类型	“支持”	描述
dnsRecordId	Edm.Guid	GET	分配给此实体的唯一标识符。注意: 不可为 null
isOptional	Edm.Boolean	GET	指示是否必须由客户在 DNS 主机上配置此 MX 记录后 Microsoft Online Services 才能正常使用域。注意: 不可为 null
label	Edm.String	GET	在 DNS 主机上配置 MX 记录的 Alias/Host/Name 属性时要使用的值。
recordType	Edm.String	GET	指示此实体所表示的 DNS 记录类型。该值始终为“Mx”。注意: 键
supportedService	Edm.String	GET	指示依赖于此 CNAME 记录的 Microsoft Online Service 或功能。可以是下列值之一: Null “Email” “Sharepoint” “EmailInternalRelayOnly” “OfficeCommunicationsOnline” “SharePointDefaultDomain” “FullRedelegation” “SharePointPublic” “OrgIdAuthentication” “Yammer” “Intune”
text	Edm.String	GET
ttl	Edm.Int32	GET	在 DNS 主机上配置 TXT 记录的 Time-To-Live 属性时要使用的值（秒）。注意: 不可为 null

DomainDnsUnavailableRecord 实体（预览版）

继承自 [DomainDnsRecord] 实体。查询 [Domain] 实体的导航属性 serviceConfigurationRecords 时，可能会返回一个或多个 [DomainDnsCnameRecord]、[DomainDnsMxRecord]、[DomainDnsSrvRecord] 和/或 [DomainDnsTxtRecord] 实体。这些实体指示这样的 DNS 记录，你必须将其添加到域的区域文件后 Microsoft Online Services 才可使用该域。当不能生成此类实体时，将改为返回 DomainDnsUnavailableRecord 实体。

重要提示: 仅在 beta 版中可用。

属性

声明的属性

Name	类型	“支持”	描述
description	Edm.String	GET	提供返回 DomainDnsUnavailableRecord 实体的原因。

ExtensionProperty 实体

允许应用程序在不需要外部数据存储的情况下，定义和使用一组可添加到目录对象（用户、组、租户详细信息、设备、应用程序和服务主体）的附加属性。有关扩展属性的详细信息，请参阅 [Directory Schema Extensions]。继承自 [DirectoryObject]。

重要提示: ExtensionProperty 已在 1.5 版本中引入。

属性

声明的属性

Name	类型	“支持”	描述
appDisplayName	Edm.String	GET
dataType	Edm.String	POST、GET、PATCH	指定所添加的目录扩展属性的类型。支持的类型有: Integer、LargeInteger、DateTime（必须以 ISO 8601 格式指定 - DateTime 以 UTC 存储）、Binary、Boolean 和 String。
deletionTimestamp	Edm.DateTime	GET	此属性对扩展属性无效，始终返回 null。继承自 [DirectoryObject]。
objectId	Edm.String	GET	扩展属性的唯一标识符。继承自 [DirectoryObject]。注意: 键，不可变，不可为 null，唯一。
objectType	Edm.String	GET	用于标识对象类型的字符串。对于扩展属性，该值始终为“ExtensionProperty”。继承自 [DirectoryObject]。
name	Edm.String	POST、GET、PATCH	指定目录扩展属性的显示名称。注意: 不可为 null。
isSyncedFromOnPremises	Edm.Boolean	GET	指示扩展属性是否已从本地目录同步。注意: 不可为 null。
targetObjects	Collection(Edm.String)	POST、GET、PATCH	目录扩展属性正在添加到的目录对象。支持的可扩展目录实体有: “User”、“Group”、“TenantDetail”、“Device”、“Application”和“ServicePrincipal” 注意: 不可为 null。

导航属性
无。

**注意: **不支持未列出的继承导航属性。针对不支持的导航属性的请求将返回 400 错误的请求。

组实体

表示 Azure Active Directory 组。继承自 [DirectoryObject]。

属性

声明的属性

Name	类型	“支持”	描述
deletionTimestamp	Edm.DateTime	GET	此属性对组无效，始终返回 null。继承自 [DirectoryObject]。注意: 需要 1.5 版或更高版本。
description	Edm.String	POST、GET、PATCH	组的可选说明。
dirSyncEnabled	Edm.Boolean	GET ($filter)	如果该对象已从本地目录同步，则为 true；如果该对象最初从本地目录同步但已不再同步，则为 false；如果该对象从未从本地目录同步，则为 null（默认值）。
displayName	Edm.String	POST（必需）、GET ($filter)、PATCH	组的显示名称。此属性在创建组时是必需的，不能在更新过程中清除。
lastDirSyncTime	Edm.DateTime	GET ($filter)	指示对象上次与本地目录同步的时间。
mail	Edm.String	GET ($filter)	组的 SMTP 地址，例如“serviceadmins@contoso.onmicrosoft.com”。
mailEnabled	Edm.Boolean	POST（必需）、GET、PATCH	指定组是否启用了邮件。如果 securityEnabled 属性也为 true，则该组是启用了邮件的安全组；否则它是 Microsoft Exchange 通讯组。使用 Azure AD Graph 只能创建（纯）安全组。因此，在创建组时必须将该属性设置为 false，且不能使用 Azure AD Graph 来更新它。
mailNickname	Edm.String	POST（必需）、GET ($filter)、PATCH	组的邮件别名。在创建组时必须指定此属性。
objectId	Edm.String	GET	组的唯一标识符。继承自 [DirectoryObject]。注意: 键，不可变，不可为 null，唯一。
objectType	Edm.String	GET	用于标识对象类型的字符串。对于组，该值始终为“Group”。继承自 [DirectoryObject]。
onPremisesSecurityIdentifier	字符串	GET	包含从本地同步到云的组的本地安全标识符 (SID)。注意: 需要 1.5 版或更高版本。
provisioningErrors	Collection([ProvisioningError])	GET	阻止成功设置此组的错误详细信息的集合。注意: 不可为 null。
proxyAddresses	Collection(Edm.String)	GET ($filter)	注意: 多值属性上的筛选表达式需要不可为 null 的任意运算符；有关详细信息，请参阅 [Supported Queries, Filters, and Paging Options]。
securityEnabled	Edm.Boolean	POST（必需）、GET ($filter)、PATCH	指定该组是否为安全组。如果 mailEnabled 属性也为 true，则该组是启用了邮件的安全组；否则它是安全组。使用 Azure AD Graph 只能创建（纯）安全组。因此，在创建组时该属性必须设置为 true。

导航属性

Name	收件人	目标多重性	描述
成员	[DirectoryObject] （仅支持 [Contact]、[Group]、[ServicePrincipal] 和 [User] 对象。）	/	作为此目录角色的成员的用户和服务主体。继承自 [DirectoryObject]。 HTTP 方法: GET（适用于所有组），POST（适用于安全组和启用了邮件的安全组），DELETE（仅适用于安全组）
memberOf	[DirectoryObject] （仅支持 [Group] 对象）	/	此组所属的组。继承自 [DirectoryObject]。 HTTP 方法: GET（适用于所有组）
owners	[DirectoryObject]	/	组的所有者。所有者是一组非管理员用户，他们有权修改此对象。需要 2013-11-08 版或更高版本。继承自 [DirectoryObject]。 HTTP 方法: GET（适用于所有组），POST（适用于安全组和启用了邮件的安全组），DELETE（仅适用于安全组）
appRoleAssignments	[DirectoryObject]	/	包含组分配到的应用程序集。注意: 需要 1.5 版或更高版本。
extensionProperties	[DirectoryObject]	/	包含与应用程序关联的扩展属性。注意: 需要 1.5 版或更高版本。

**注意: **不支持未列出的继承导航属性。针对不支持的导航属性的请求将返回 400 错误的请求。

支持的操作

支持对用户执行以下操作（用于每种操作的 HTTP 方法位于括号中）:

创建 (POST): 仅适用于安全组。
读取 (GET): 适用于所有组。
更新 (PATCH): 仅适用于安全组和启用了邮件的安全组。只能更新其中的一些属性。
删除 (DELETE): 仅适用于安全组。

支持对组导航属性执行以下操作:

读取 (GET): 适用于所有组。
更新 (POST): 仅适用于安全组和启用了邮件的安全组。（仅成员和所有者）
删除 (DELETE): 仅适用于安全组。（仅成员和所有者）

可对组调用以下操作和函数：

[checkMemberGroups]: 检查组在组列表中的成员身份。此检查是可传递的。
[getAvailableExtensionProperties]: 返回已为组注册的扩展属性的列表。需要 1.5 版或更高版本。
[getMemberGroups]: 返回组是其成员的组的列表。此检查是可传递的。
[isMemberOf]: 检查某个组是否为指定组的成员。此检查是可传递的。

备注

有三类组: 邮件通讯组（mailEnabled 属性为 true 且 securityEnabled 属性为 false）；启用了邮件的安全组（mailEnabled 属性为 true 且 securityEnabled 属性为 true）；和（纯）安全组（mailEnabled 属性为 false 且 securityEnabled 属性为 true）。
使用 Graph API 只能创建安全组（不能创建启用了邮件的安全组或邮件通讯组）。因此，在创建组时必须将 mailEnabled 属性设置为 false 并将 securityEnabled 属性设置为 true。
在使用 Graph API 创建安全组时必须指定标记为“必需”的所有属性。这些属性是: displayName、mailNickname、mailEnabled（false）、securityEnabled（true）。
不能使用 Graph API 将组从安全组更新为启用了邮件的安全组或邮件通讯组。

LicenseDetail 实体

包含有关分配给用户的许可证的详细信息。

[User] 实体的 licenseDetails 属性的类型为 LicenseDetail。

重要提示: 已在 1.6 版本中引入。

属性

声明的属性

属性	类型	“支持”	描述
objectId	Edm.String	GET	许可证详细信息对象的唯一标识符。注意: 键，不可为 null。
servicePlans	Collection([ServicePlanInfo])	GET	有关分配了许可证的服务计划的详细信息。注意: 不可为 null。
skuId	Edm.Guid	GET	服务 SKU 的唯一标识符 (GUID)。等于相关 [SubscribedSku] 对象上的 skuId 属性。
skuPartNumber	Edm.String	GET	唯一的 SKU 显示名称。等于相关 [SubscribedSku] 对象上的 skuPartNumber；例如: “AAD_Premium”。

导航属性
无。

**注意: **不支持未列出的继承导航属性。针对不支持的导航属性的请求将返回 400 错误的请求。

支持的操作

支持对许可证详细信息执行以下操作（用于每种操作的 HTTP 方法位于括号中）:

创建 (POST)
读取 (GET)
更新 (PATCH)
删除 (DELETE)

不能对许可证详细信息调用任何函数或操作。

OAuth2PermissionGrant 实体

表示在执行用户或管理员同意过程中，向应用程序（由服务主体表示）授予的 OAuth 2.0 委托权限作用域。

重要提示: 从 1.5 版开始，Permission 实体类型已重命名为 OAuth2PermissionGrant。在 1.5 之前的版本中，在同意期间创建的权限会添加到用户或服务主体的 permissions 属性中。

属性

声明的属性

属性	类型	“支持”	描述
clientId	Edm.String	POST、GET	指定在访问资源（以 resourceId 表示）授予同意模拟用户的服务主体的 objectId。
consentType	Edm.String	POST、GET	指定许可是由管理员代表组织提供的，还是由个人提供的。可能的值为“AllPrincipals”或“Principal”。
expiryTime	Edm.DateTime	POST、GET、PATCH	保留。返回 null。请不要使用。
objectId	Edm.String	GET	权限作用域的唯一标识符。注意: 键，不可为 null。
principalId	Edm.String	POST、GET	如果 consentType 为“AllPrincipals”，则此值为 null，并且同意将应用到组织中的所有用户。如果 consentType 为“Principal”，则此属性指定授予同意的用户的 objectId，并且只应用到该用户。
resourceId	Edm.String	POST、GET	指定向其授予了访问权限的资源服务主体的 objectId。
scope	Edm.String	POST、GET、PATCH	指定资源应用程序应在 OAuth 2.0 访问令牌中收到的作用域声明的值。
startTime	Edm.DateTime	POST、GET	保留。返回 null。请不要使用。

导航属性
无。

**注意: **不支持未列出的继承导航属性。针对不支持的导航属性的请求将返回 400 错误的请求。

支持的操作

支持对权限作用域执行以下操作（用于每种操作的 HTTP 方法位于括号中）:

创建 (POST)
读取 (GET)
更新 (PATCH): 仅限于 scope 属性。
删除 (DELETE)

不能对权限作用域调用任何函数或操作。

备注

在 1.5 和更高版本中，User 实体和 ServicePrincipal 实体的 oauth2PermissionGrants 导航属性返回与用户或服务主体关联的 OAuth2PermissionGrant 对象。
在 1.5 之前的版本中，User 实体和 ServicePrincipal 实体的 permissions 导航属性返回与用户或服务主体关联的 Permission 对象。

ServiceEndpoint 实体

服务终结点实体包含了服务发现信息。继承自 [DirectoryObject]。

[Application] 和 [ServicePrincipal] 实体的 serviceEndpoints 属性的类型为 ServiceEndpoint。其他服务可以使用存储在 ServiceEndpoint 实体中的信息来查找此服务及其可寻址终结点。

重要提示: 已在 1.6 版本中引入。

属性

声明的属性

属性	类型	“支持”	描述
功能	Edm.String	POST（必需）、GET	服务功能的文本标识符。例如“Documents”和“Mail”。
deletionTimestamp	Edm.DateTime	GET	此属性对服务终结点无效，始终返回 null。继承自 [DirectoryObject]。
objectId	Edm.String	GET	服务终结点的唯一标识符。继承自 [DirectoryObject]。注意: 键，不可变，不可为 null，唯一。
objectType	Edm.String	GET	用于标识对象类型的字符串。对于服务终结点，该值始终为“ServiceEndpoint”。继承自 [DirectoryObject]。
serviceId	Edm.String	POST、GET	服务的标识符
serviceName	Edm.String	POST、GET	服务的显示名称。
Uri	Edm.String	POST（必需）、GET	服务终结点的 URI。
resourceId	Edm.String	POST、GET	服务内特定资源的标识符。

导航属性
无。

**注意: **不支持未列出的继承导航属性。针对不支持的导航属性的请求将返回 400 错误的请求。

支持的操作

不可对服务终结点执行任何直接操作。仅可通过 [Application] 或 [ServicePrincipal] 上的 serviceEndpoints 属性访问它们。支持执行以下操作（用于每种操作的 HTTP 方法位于括号中）:

创建 (POST) -- 仅限对于 [Application] 的 serviceEndpoints 导航属性。
读取 (GET) -- 对于 [Application] 或 [ServicePrincipal] 的 serviceEndpoints 导航属性。
删除 (DELETE) - 仅限对于 [Application] 的 serviceEndpoints 属性。

不能对服务终结点调用任何函数或操作。

备注

在将服务终结点添加到 [Application] 中时，需要 capability 和 uri 属性。

ServicePrincipal 实体

表示目录中某个应用程序的实例。继承自 [DirectoryObject]。

属性

声明的属性

Name	类型	“支持”	描述
accountEnabled	Edm.Boolean	POST、GET ($filter)、PATCH	如果启用了服务主体帐户，则为 true；否则为 false。
addIns	Collection([AddIn])	GET	定义自定义行为，使用服务可使用该行为在特定上下文中调用应用。例如，可以呈现文件流的应用程序可以为其“FileHandler”功能设置 addIns 属性。这将让 Office 365 等服务能够在用户正在使用的文档的上下文中调用应用程序。注意: 需要 1.6 版本。
appDisplayName	Edm.String	GET	关联的应用程序公开的显示名称。
appId	Edm.Guid	POST（必需）、GET ($filter)、PATCH	关联的应用程序的唯一标识符（其 appId 属性）。
appOwnerTenantId	Edm.Guid	GET
appRoleAssignmentRequired	Edm.Boolean	POST、GET、PATCH	指定在 Azure AD 向应用程序分发用户或访问令牌之前，是否需要对用户或组执行 AppRoleAssignment。注意: 需要 1.5 或更高版本，不可为 null。
appRoles	Collection([AppRole])	GET	关联的应用程序公开的应用程序角色。有关详细信息，请参阅 [Application] 实体上的 appRoles 属性定义注意: 需要 1.5 或更高版本，不可为 null。
authenticationPolicy	[ServicePrincipalAuthenticationPolicy]	GET	保留给内部使用。请不要使用。已从版本 1.5 中删除。注意: 仅在 2013-11-08 版中可用。
deletionTimestamp	Edm.DateTime	GET	此属性对服务主体无效，始终返回 null。继承自 [DirectoryObject]。注意: 需要 1.5 版或更高版本。
displayName	Edm.String	POST、GET ($filter)、PATCH	服务主体的显示名称。
errorUrl	Edm.String	POST、GET、PATCH
主页	Edm.String	POST、GET、PATCH	关联的应用程序主页的 URL。
keyCredentials	Collection([KeyCredential])	POST、GET、PATCH	与服务主体关联的密钥凭据的集合。注意: 不可为 null。
logoutUrl	Edm.String	POST、GET、PATCH
oauth2Permissions	Collection([OAuth2Permission])	GET	关联的应用程序公开的 OAuth 2.0 权限。有关详细信息，请参阅 [Application] 实体上的 oauth2Permissions 属性定义。注意: 需要 1.5 或更高版本，不可为 null。
objectId	Edm.String	GET	服务主体的唯一标识符。继承自 [DirectoryObject]。注意: 键，不可变，不可为 null，唯一。
objectType	Edm.String	GET	用于标识对象类型的字符串。对于服务主体，该值始终为“ServicePrincipal”。继承自 [DirectoryObject]。
passwordCredentials	Collection([PasswordCredential])	POST、GET、PATCH	与服务主体关联的密码凭据的集合。注意: 不可为 null。
preferredTokenSigningKeyThumbprint	Edm.String	GET	保留给内部使用。请不要编写或依赖于此属性。可能会在将来的版本中删除。注意: 需要 1.5 版或更高版本。
publisherName	Edm.String	POST、GET ($filter)、PATCH	在其中指定了关联应用程序的租户的显示名称。
replyUrls	Collection(Edm.String)	POST、GET、PATCH	为了使用关联的应用程序登录而将用户令牌发送到的 URL，或者针对关联的应用程序将 OAuth 2.0 授权代码和访问令牌发送到的重定向 URI。注意: 不可为 null。
samlMetadataUrl	Edm.String	POST、GET、PATCH
servicePrincipalNames	Collection(Edm.String)	POST、GET ($filter)、PATCH	用于标识关联应用程序的 URI。有关详细信息，请参阅 Application Objects and Service Principal Objects（应用程序对象和服务主体对象）。注意: 多值属性上的筛选表达式需要不可为 null 的任意运算符；有关详细信息，请参阅 [Supported Queries, Filters, and Paging Options]。
tags	Collection(Edm.String)	POST、GET ($filter)、PATCH	注意: 不可为 null。

导航属性

Name	收件人	多重性（从/到）	描述
appRoleAssignedTo	[AppRoleAssignment]	/	分配给此服务主体的主体（用户、组和服务主体）。需要 1.5 版或更高版本。
appRoleAssignments	[AppRoleAssignment]	/	将服务主体分配到的应用程序。需要 1.5 版或更高版本。
createdObjects	[DirectoryObject]	/	此服务主体创建的目录对象。继承自 [DirectoryObject]。需要 2013-11-08 版或更高版本。
memberOf	[DirectoryObject] （仅支持 [DirectoryRole] 和 [Group] 对象）	/	此服务主体是其直接成员的角色和组。继承自 [DirectoryObject]。 HTTP 方法: GET
oauth2PermissionGrants	[OAuth2PermissionGrant]	/	与此服务主体关联的用户模拟授予。需要 1.5 版或更高版本。
ownedObjects	[DirectoryObject]	/	此服务主体拥有的目录对象。继承自 [DirectoryObject]。需要 2013-11-08 版或更高版本。
owners	[DirectoryObject]	/	充当此服务主体的所有者的目录对象。所有者是一组非管理员用户，他们有权修改此对象。继承自 [DirectoryObject]。需要 2013-11-08 版或更高版本。
权限	权限	/	在 1.5 和更高版本中已重命名为 oauth2PermissionGrants。在以前的版本中，指向与服务主体关联的权限。有关 Permission 实体类型的详细信息，请参阅 [OAuth2PermissionGrant]。
serviceEndpoints	[ServiceEndpoint]	1/*	服务终结点可发现。有关详细信息，请参阅 [ServiceEndpoint] 主题。 HTTP 方法: GET。需要 1.6 或更高版本。

**注意: **不支持未列出的继承导航属性。针对不支持的导航属性的请求将返回 400 错误的请求。

支持的操作

支持对服务主体执行以下操作（用于每种操作的 HTTP 方法位于括号中）:

创建 (POST)
读取 (GET)
更新 (PATCH)
删除 (DELETE)

支持对导航属性执行以下操作：

读取 (GET)

可对组调用以下操作和函数：

[checkMemberGroups]: 检查服务主体在组列表中的成员身份。此检查是可传递的。
[getMemberGroups]: 返回服务主体是其成员的组的列表。此检查是可传递的。
[getMemberObjects]: 返回服务主体是其成员的组和目录角色的列表。此检查是可传递的。

主体必须属于公司管理员角色才能对服务主体执行操作。

备注

在创建服务主体时，必须将 appId 属性设置为目录中应用程序的 ID。

SubscribedSku 实体

包含有关公司订阅的服务 SKU 的详细信息。

订阅的 SKU 仅支持读取操作；不支持创建、更新和删除操作。不支持查询筛选表达式。

属性

声明的属性

属性	类型	支持	说明
appliesTo	Edm.String	GET	例如，“User”或者“Company”。注意: 需要 1.6 版本。
capabilityStatus	Edm.String	GET	例如，“Enabled”。
consumedUnits	Edm.Int32	GET	已分配的许可证的数量。
objectId	Edm.String	GET	订阅的 sku 对象的唯一标识符。注意: 键，不可为 null。
prepaidUnits	[LicenseUnitsDetail]	GET	有关预付许可证的数量和状态的详细信息。
servicePlans	Collection([ServicePlanInfo])	GET	有关适用于 SKU 的服务计划的详细信息。注意: 不可为 null。
skuId	Edm.Guid	GET	服务 SKU 的唯一标识符 (GUID)。
skuPartNumber	Edm.String	GET	SKU 产品编号；例如: “AAD_PREMIUM”或“RMSBASIC”。

导航属性
无。

**注意: **不支持未列出的继承导航属性。针对不支持的导航属性的请求将返回 400 错误的请求。

支持的操作

支持对订阅的 SKU 执行以下操作（用于每种操作的 HTTP 方法位于括号中）：

读取 (GET)

订阅的 Sku 不公开任何导航属性。

不能对订阅的 SKU 调用任何函数或操作。

TenantDetail 实体

表示 Azure Active Directory 租户。租户仅支持读取和更新操作；不支持创建和删除操作。继承自 [DirectoryOjbect]。

属性

声明的属性

Name	类型	“支持”	描述
assignedPlans	Collection([AssignedPlan])	GET	与租户关联的服务计划的集合。注意: 不可为 null。
city	Edm.String	GET
companyLastDirSyncTime	Edm.DateTime	GET	租户上次与本地目录同步的时间和日期。
country	Edm.String	GET
countryLetterCode	Edm.String	GET
deletionTimestamp	Edm.DateTime	GET	此属性对租户无效，始终返回 null。继承自 [DirectoryObject]。注意: 需要 1.5 版或更高版本。
dirSyncEnabled	Edm.Boolean	GET	如果该对象已从本地目录同步，则为 true；如果该对象最初从本地目录同步但已不再同步，则为 false；如果该对象从未从本地目录同步，则为 null（默认值）。
displayName	Edm.String	GET	租户的显示名称。
marketingNotificationEmails	Collection(Edm.String)	GET、PATCH	注意: 不可为 null。
objectId	Edm.String	GET	租户的唯一标识符。继承自 [DirectoryObject]。注意: 键，不可变，不可为 null，唯一。
objectType	Edm.String	GET	用于标识对象类型的字符串。对于租户，值始终为“Company”。继承自 [DirectoryObject]。
postalCode	Edm.String	GET
preferredLanguage	Edm.String	GET
provisionedPlans	Collection([ProvisionedPlan])	GET	注意: 不可为 null。
provisioningErrors	Collection([ProvisioningError])	GET	注意: 不可为 null。
state	Edm.String	GET
street	Edm.String	GET
technicalNotificationMails	Collection(Edm.String)	GET、PATCH	注意: 不可为 null。
telephoneNumber	Edm.String	GET
tenantType	Edm.String	GET	注意: 已在 1.5 和更高版本中被删除。
verifiedDomains	Collection([VerifiedDomain])	GET	与此租户关联的域的集合。注意: 不可为 null。

导航属性

Name	收件人	目标多重性	描述
trustedCAsForPasswordlessAuth	[TrustedCAsForPasswordlessAuth]	1/1	在执行无密码身份验证时用于验证信任链的一组证书颁发机构。有关详细信息，请参阅备注注意: 需要 1.6 或更高版本。

**注意: **不支持未列出的继承导航属性。针对不支持的导航属性的请求将返回 400 错误的请求。

支持的操作

支持对租户执行以下操作（用于每种操作的 HTTP 方法位于括号中）:

读取 (GET)
更新 (PATCH)；使用 Graph API 仅可更新 marketingNotificationMails 和 technicalNotificationMails 属性。

支持对租户导航属性执行以下操作:

读取 (GET)
更新 (POST)
删除 (DELETE)

不能对租户调用任何函数或操作。

备注

你不能使用 Graph API 创建或删除租户。
使用 Graph API 仅可更新 marketingNotificationMails 和 technicalNotificationMails 属性。
受信任的证书颁发机构允许联合租户中的用户使用基于证书的身份验证进行登录。若要启用此方案，请通过设置 trustedCAsForPasswordlessAuth 导航属性为信任其登录的证书颁发机构配置公用证书。
租户不支持查询筛选表达式。

TrustedCAsForPasswordlessAuth 实体

表示在执行无密码身份验证时用于验证信任链的一组证书颁发机构。

[TenantDetail] 实体的 trustedCAsForPasswordlessAuth 导航属性是 trustedCAsForPasswordlessAuth 的集合。为了能够让联合租户中的用户使用基于证书的身份验证进行登录，客户端可以使用此属性为信任其登录的颁发机构配置公用证书。

重要提示: 已在 1.6 版本中引入。

属性

声明的属性

Name	类型	“支持”	描述
ID	Edm.String	GET	唯一标识符。注意: 键，不可为 null。
certificateAuthorities	Collection([CertificateAuthorityInformation])	POST（必需）、GET、PATCH	证书颁发机构信息的集合。

导航属性
无。

支持的操作

支持对受信任的证书颁发机构执行以下操作（用于每种操作的 HTTP 方法位于括号中）:

创建 (POST)；仅可指定 certificateAuthorities 属性。
读取 (GET)
更新 (PATCH)；仅限于 certificateAuthorities 属性

受信任的证书不会公开任何导航属性。

不能对受信任的证书颁发机构调用任何函数或操作。

User 实体

表示 Azure AD 用户帐户。继承自 [DirectoryObject]。

属性

声明的属性

Name	类型	“支持”	描述
accountEnabled	Edm.Boolean	POST（必需）、GET ($filter)、PATCH	如果启用帐户，则为 true；否则为 false。此属性在创建用户时是必需的。
assignedLicenses	Collection([AssignedLicense])	POST、GET、PATCH	分配给用户的许可证。注意: 不可为 null。
assignedPlans	Collection([AssignedPlan])	GET	分配给用户的计划。注意: 不可为 null。
city	Edm.String	POST、GET ($filter)、PATCH	用户所在的城市。
country	Edm.String	POST、GET ($filter)、PATCH	用户所在国家/地区。例如，“US”或“UK”。
creationType	Edm.String	POST（本地帐户所需），GET ($filter)	指示用户帐户是否为 Azure Active Directory B2C 租户的本地帐户。可能的值为“LocalAccount”和 null。创建本地帐户时，该属性是必需的并且必须将其设置为“LocalAccount”。创建工作或学校帐户时，不指定该属性或者将其设置为 null。有关 Azure Active Directory B2C 的详细信息，请参阅 Azure Active Directory B2C 文档。注意: 需要 1.6 或更高版本。在 beta 版中，将该值指定为“NameCoexistence”而不是“LocalAccount”。
deletionTimestamp	Edm.DateTime	GET	此属性对于用户无效，始终返回 null。继承自 [DirectoryObject]。注意: 需要 1.5 版或更高版本。
department	Edm.String	POST、GET ($filter)、PATCH	用户工作所在部门的名称。
dirSyncEnabled	Edm.Boolean	GET ($filter)	如果该对象已从本地目录同步，则为 true；如果该对象最初从本地目录同步但已不再同步，则为 false；如果该对象从未从本地目录同步，则为 null（默认值）。
displayName	Edm.String	POST（必需）、GET ($filter)、PATCH（但无法清除）	在用户的通讯簿中显示的姓名。这通常是用户的名字、中间名首字母和姓氏的组合。此属性在创建用户时是必需的，不能在更新过程中清除。
facsimileTelephoneNumber	Edm.String	POST、GET、PATCH	用户的业务传真机的电话号码。
givenName	Edm.String	POST、GET ($filter)、PATCH	用户的给定名称（名字）。
immutableId	Edm.String	POST（如果为 UPN 使用联合域，则为必需）、GET ($filter)、PATCH	此属性用于将本地 Active Directory 用户帐户关联到其 Azure AD 用户对象。如果你要对用户的 userPrincipalName (UPN) 属性使用联盟域，则在 Graph 中创建新的用户帐户时，必须指定此属性。重要提示: 指定此属性时，不能使用 $ 和 _ 字符。注意: 需要 2013-11-08 或更高版本。
jobTitle	Edm.String	POST、GET ($filter)、PATCH	用户的职务。
lastDirSyncTime	Edm.DateTime	GET ($filter)	指示对象上次与本地目录同步的时间；例如: “2013-02-16T03:04:54Z”
mail	Edm.String	POST，GET ($filter)	用户的 SMTP 地址，例如“jeff@contoso.onmicrosoft.com”。
mailNickname	Edm.String	POST（对于工作或学校帐户为必需）、GET ($filter)、PATCH	用户的邮件别名。创建工作或学校帐户时，此属性为必需属性；创建本地帐户时，此属性为可选属性。
mobile	Edm.String	POST、GET、PATCH	用户的主移动电话号码。
objectId	Edm.Guid	GET	用户的唯一标识符。继承自 [DirectoryObject]。注意: 键，不可变，不可为 null，唯一。
objectType	Edm.String	GET	用于标识对象类型的字符串。对于用户，该值始终为“User”。继承自 [DirectoryObject]。
onPremisesSecurityIdentifier	Edm.String	GET	包含从本地同步到云的用户的本地安全标识符 (SID)。注意: 需要 1.5 版或更高版本。
otherMails	Collection(Edm.String)	POST、GET ($filter)、PATCH	用户的其他电子邮件地址的列表；例如: [“bob@contoso.com”、“Robert@fabrikam.com”]。注意: 多值属性上的筛选表达式需要不可为 null 的任意运算符；有关详细信息，请参阅 [Supported Queries, Filters, and Paging Options]。
passwordPolicies	Edm.String	POST、GET、PATCH	为用户指定密码策略。此值是一个枚举，其中一个可能值为“DisableStrongPassword”，该值允许指定比默认策略更弱的密码。还可以指定“DisablePasswordExpiration”。可同时指定二者；例如: “DisablePasswordExpiration, DisableStrongPassword”。
passwordProfile	[PasswordProfile]	POST（必需）、GET、PATCH	为用户指定密码配置文件。该配置文件包含用户的密码。此属性在创建用户时是必需的。该配置文件中的密码必须满足 passwordPolicies 属性指定的最低要求。默认情况下，需要强密码。有关强密码必须满足的约束的详细信息，请参阅 Microsoft Office 365 帮助页中更改密码下的密码策略。
physicalDeliveryOfficeName	Edm.String	POST、GET、PATCH	用户营业场所的办公地点。
postalCode	Edm.String	POST、GET、PATCH	用户通信地址的邮政编码。邮政编码特定于用户的国家/地区。在美国，此属性包含邮政编码。
preferredLanguage	Edm.String	POST、GET、PATCH	用户的首选语言。应使用 ISO 639-1 代码；例如，“zh-CN”。
provisionedPlans	Collection([ProvisionedPlan])	GET	为用户设置的计划。注意: 不可为 null。
provisioningErrors	Collection([ProvisioningError])	GET	阻止成功设置此用户的错误详细信息的集合。
proxyAddresses	Collection(Edm.String)	GET ($filter)	例如: [“SMTP: bob@contoso.com”、“smtp: bob@sales.contoso.com”] 注意: 多值属性上的筛选表达式需要唯一且不可为 null 的任意运算符；有关详细信息，请参阅 [Supported Queries, Filters, and Paging Options]。
signInNames	Collection([SignInName])	POST（本地帐户所需），GET ($filter)	在 Azure Active Directory B2C 租户中为本地帐户指定登录名称的集合。在公司/租户内每个登录名称必须是唯一的。创建本地帐户时必须指定该属性；创建工作或学校帐户时请勿指定它。有关 Azure Active Directory B2C 的详细信息，请参阅 Azure Active Directory B2C 文档。注意: 需要 1.6 或更高版本。在 beta 版中，重命名自 alternativeSignInNameInfo。
sipProxyAddress	Edm.String	GET	指定用户的 IP 语音 (VOIP) 会话发起协议 (SIP) 地址。注意: 需要 1.5 版或更高版本。
state	Edm.String	POST、GET ($filter)、PATCH	用户地址中的省/市/自治区。
streetAddress	Edm.String	POST、GET、PATCH	用户营业场所的街道地址。
surname	Edm.String	POST、GET ($filter)、PATCH	用户的姓氏（家族名称或姓）。注意: 可筛选。
telephoneNumber	Edm.String	POST、GET、PATCH	用户营业场所的主电话号码。
thumbnailPhoto	Edm.Stream	POST、GET、PATCH	要为用户显示的缩略图照片。注意: 不可为 null。
usageLocation	Edm.String	POST、GET ($filter)、PATCH	双字母国家/地区代码（ISO 标准 3166）。对于根据法律要求需向其分配许可证的用户，这是检查服务在相应国家/地区的可用性所必需的。示例包括: “US”、“JP”和“GB”。注意: 不可为 null。
userPrincipalName	Edm.String	POST（对于工作或学校帐户为必需）、GET ($filter)、PATCH	用户的用户主体名称 (UPN)。 UPN 是用户的 Internet 样式登录名，基于 Internet 标准 RFC 822。按照惯例，这应映射到用户的电子邮件名称。常规格式为“alias@domain”。对于工作或学校帐户，域必须存在于租户的已验证的域的集合中。创建工作或学校帐户时，此属性是必需属性；创建本地帐户时，此属性为可选属性。租户的已验证域可以从 [TenantDetail] 的 VerifiedDomains 属性中进行访问。注意: 键，唯一。
userType	Edm.String	POST、GET ($filter)、PATCH	可用于对目录中用户类型进行分类的字符串值，如“Member”和“Guest”。注意: 需要 2013-11-08 或更高版本。

导航属性

Name	收件人	多重性（从/到）	描述
manager	[DirectoryObject] （仅支持 User 和 [Contact] 对象。）	*/0..1	作为此用户的经理的用户或联系人。继承自 [DirectoryObject]。 HTTP 方法: GET、PUT、DELETE
directReports	[DirectoryObject] （仅支持 User 和 [Contact] 对象。）	/	向用户报告的用户和联系人。（其 manager 属性设置为此用户的用户和联系人。）继承自 [DirectoryObject]。 HTTP 方法: GET
licenseDetails	[LicenseDetail]	/	注意: 需要 1.6 或更高版本。
memberOf	[DirectoryObject] （仅支持 [Group] 和 [DirectoryRole] 对象。）	/	用户所属的组和目录角色。继承自 [DirectoryObject]。 HTTP 方法: GET
ownedDevices	[设备]	/	用户所拥有的设备。
权限	权限	/	与用户关联的权限。在 1.5 和更高版本中，该属性已重命名为 oauth2PermissionGrants，Permission 实体已重命名为 [OAuth2PermissionGrant]。有关 Permission 实体类型的文档，请参阅 OAuth2PermssionGrant 文档。
registeredDevices	[设备]	/	为用户注册的设备。
createdObjects	[DirectoryObject]	/	用户已创建的目录对象。需要 2013-11-08 版或更高版本。
ownedObjects	[DirectoryObject]	/	用户所拥有的目录对象。需要 2013-11-08 版或更高版本。
appRoleAssignments	[AppRoleAssignment]	/	此用户将分配到的应用程序集。需要 1.5 版或更高版本。 HTTP 方法: GET、POST、DELETE
oauth2PermissionGrants	[OAuth2PermissionGrant]	/	授权同意模拟此用户的应用程序集。需要 1.5 版或更高版本。 HTTP 方法: GET、POST、DELETE

**注意: **不支持未列出的继承导航属性。针对不支持的导航属性的请求将返回 400 错误的请求。

支持的操作

支持对用户执行以下操作（用于每种操作的 HTTP 方法位于括号中）:

创建 (POST)
读取 (GET)
更新 (PATCH)
删除 (DELETE)

支持对用户导航属性执行以下操作: 对于每个导航属性，并非支持所有这些操作。

读取 (GET)
更新 (PUT)
删除 (DELETE)

可对用户调用以下操作和函数：

[assignLicense]: 分配指定的许可证列表和/或从用户中删除指定的许可证列表。需要 2013-11-08 版或更高版本。
[checkMemberGroups]: 检查用户在组列表中的成员身份。此检查是可传递的。
[getAvailableExtensionProperties]: 返回已为用户注册的扩展属性的列表。需要 1.5 版或更高版本。
[getMemberGroups]: 返回用户是其成员的组的列表。此检查是可传递的。
[getMemberObjects]: 返回用户是其成员的组和目录角色的列表。此检查是可传递的。
[isMemberOf]: 检查用户是否为指定组的成员。此检查是可传递的。

备注

创建工作或学校帐户所需的属性有: accountEnabled、displayName、mailNickname、passwordProfile 和 userPrincipalName。 passwordProfile 属性中指定的密码必须满足租户的密码复杂性要求。有关详细信息，请参阅 passwordPolicies 属性。
创建本地帐户所需的属性有: accountEnabled、creationType（必须设置为“LocalAccount”）、displayName、passwordProfile 和 signInNames。 passwordProfile 属性中指定的密码必须满足租户的密码复杂性要求。有关详细信息，请参阅 passwordPolicies 属性。
在 2013-11-08 以及更高版本中，如果你要对用户的 userPrincipalName (UPN) 属性使用联合域，则在 Graph 中创建新的用户帐户时，必须指定 immutableId 属性。
displayName 属性不能在更新时清除。
passwordProfile 属性始终返回 null。这是为了防止显示用户密码。可以通过更新 passwordProfile 属性来重置用户的密码。
除了可用于所有目录实体的标准寻址外，用户可能会通过使用 userPrincipalName 属性来进行寻址；例如，https://graph.windows.net/contoso.onmicrosoft.com/users/john@contoso.onmicrosoft.com?api-version=1.5。

复杂类型参考

AddIn 类型

定义自定义行为，使用服务可使用该行为在特定上下文中调用应用。例如，可以呈现文件流的应用程序可以为其“FileHandler”功能设置 addIns 属性。这会使服务（如 Office 365）能够调用用户正在使用的文档的上下文中的应用程序。 [Application] 和 [ServicePrincipal] 实体的 addins 属性是 AddIn 的集合。

重要提示: 已在 1.6 版本中引入。

属性

Name	类型	读/写	描述
ID	Edm.Guid	读	特定 [Application] 上 addins 集合内的唯一标识符。
类型	Edm.String	RW	由应用程序所公开的功能的唯一名称。
属性	Collection([KeyValue])	RW（写入时为必须）	定义使用服务可使用或调用的参数的键值对的集合。对 addIns 集合执行 POST 或 PATCH 操作时，必须指定此属性。

AlternativeSecurityId 类型

包含与设备关联的备用安全 ID。 [Device] 实体的 alternativeSecurityIds 属性是 AlternativeSecurityId 的集合。

属性

Name	类型	读/写	描述
identityProvider	Edm.String
key	Edm.Binary
类型	Edm.Int32

AppRole 类型

表示调用其他应用程序的客户端应用程序可请求的应用程序角色，或者可用于向某个指定的应用程序角色中的用户或组分配应用程序的应用程序角色。 [ServicePrincipal] 实体和 [Application] 实体的 appRoles 属性是 AppRole 的集合。

重要提示: 需要 1.5版或更高版本。

属性

Name	类型	读/写	描述
allowedMemberTypes	Collection(Edm.String)	RW	指定是否可通过设置为“User”将此应用角色定义分配给用户和组，和/或通过设置为“Application”将其分配给其他应用程序（在后台服务方案中访问此应用程序的应用程序）。注意: 不可为 null。
description	Edm.String	RW	显示在管理员应用程序和同意分配体验中的权限帮助文本。
displayName	Edm.String	RW	管理员同意和应用程序分配体验中的权限的显示名称。
ID	Edm.Guid	RW	appRoles 集合中的唯一角色标识符。
isEnabled	Edm.Boolean	RW	在创建或更新角色定义时，必须将此属性设置为 true（默认值）。若要删除角色，首先必须将此属性设置为 false。此时，可以在后续调用中删除此角色。
value	Edm.String	RW	指定应用程序应在身份验证和访问令牌中收到的角色声明的值。

AssignedLicense 类型

表示分配给用户的许可证。 [User] 实体的 assignedLicenses 属性是 AssignedLicense 的集合。

属性

Name	类型	读/写	描述
disabledPlans	Collection(Edm.Guid)	读	已禁用的计划的唯一标识符集合。注意: 不可为 null。
skuId	Edm.Guid	读	服务 SKU 的唯一标识符。与相关 [SubscribedSku] 对象的 skuId 属性相同的值。

AssignedPlan 类型

[User] 实体和 [TenantDetail] 实体的 assignedPlans 属性都是 AssignedPlan 的集合。

属性

Name	类型	读/写	描述
assignedTimestamp	Edm.DateTime	读	分配计划时的日期和时间；例如: 2013-01-02T19:32:30Z。
capabilityStatus	Edm.String	读	例如，“Enabled”。
服务	Edm.String	读	服务的名称；例如，“SharePoint”、“MicrosoftOffice”或“Exchange”。
servicePlanId	Edm.Guid	读	用于标识服务计划的 GUID。

CertificateAuthorityInformation 类型

表示在执行无密码身份验证时用于验证信任链的证书颁发机构。 [TrustedCAsForPasswordlessAuth] 实体的 certificateAuthorities 属性是 CertificateAuthorityInformation 的集合。

重要提示: 已在 1.6 版本中引入。

属性

Name	类型	读/写	描述
authorityType	Edm.String	RW（执行 POST 操作时为必需）	必需。必须设置为以下两个可能值之一: “RootAuthority”或“IntermediateAuthority”。它在身份验证过程中验证证书时使用。
crlDistributionPoint	Edm.String	RW	证书吊销列表 (CRL) 分发点保存这样的文件，它们存储所有已吊销证书的序列号。通常为 URI。
deltaCrlDistributionPoint	Edm.String	RW	一个 URI，它包含自上次创建完整 CRL 后所有已吊销证书的列表。
trustedCertificate	Edm.Binary	RW（执行 POST 操作时为必需）	必需。二进制格式的公用证书。
trustedIssuer	Edm.String	读	只读。从 trustedCertificate 值计算的。
trustedIssuerSki	Edm.String	读	只读。从 trustedCertificate 值计算的使用者密钥标识符。

KeyCredential 类型

包含与应用程序或服务主体关联的密钥凭据。 [Application] 和 [ServicePrincipal] 实体的 keyCredentials 属性是 KeyCredential 类型的集合。

属性

Name	类型	描述
customKeyIdentifier	Edm.Binary
endDate	Edm.DateTime	凭据过期的日期和时间。
keyId	Edm.Guid	密钥的唯一标识符 (GUID)。
startDate	Edm.DateTime	凭据生效的日期和时间。
类型	Edm.String	密钥凭据的类型；例如，“Symmetric”。
使用情况	Edm.String	用于描述密钥用途的字符串；例如，“Verify”。
value	Edm.String

KeyValue 类型

包含键值对，该键值对定义使用服务可以使用或可以调用在 [AddIn] 中指定的应用程序的参数。 [AddIn] 类型的 properties 属性是 KeyValue 的集合。

重要提示: 已在 1.6 版本中引入。

属性

Name	类型	读/写	描述
key	Edm.String	RW	键值对中的键。
value	Edm.String	RW	键值对的值。

LicenseUnitsDetail 类型

包含有关公司订阅的服务 SKU 的预付单位的详细信息和状态。

[SubscribedSku] 实体的 prepaidUnits 属性的类型为 LicenseUnitsDetail。

属性

Name	类型	读/写	描述
enabled	Edm.Int32	读	已启用的单元数。
suspended	Edm.Int32	读	已暂停的单元数。
warning	Edm.Int32	读	处于警告状态中的单元数。

OAuth2Permission 类型

表示 OAuth 2.0 委托的权限作用域。在调用资源应用程序时，客户端应用程序可能（通过 [Application] 对象上的 requiredResourceAccess 集合）请求指定的 OAuth 2.0 委托的权限作用域。 [ServicePrincipal] 实体和 [Application] 实体的 oauth2Permissions 属性是 OAuth2Permission 的集合。

重要提示: 需要 1.5版或更高版本。

属性

Name	类型	读/写	描述
adminConsentDescription	Edm.String	RW	显示在管理员同意和应用程序分配体验中的权限帮助文本。
adminConsentDisplayName	Edm.String	RW	管理员同意和应用程序分配体验中的权限的显示名称。
ID	Edm。 Guid	RW	oauth2Permissions 集合中的唯一作用域权限标识符。
isEnabled	Edm.Boolean	RW	创建或更新权限时，必须将此属性设置为 true（默认值）。若要删除权限，首先必须将此属性设置为 false。此时，可以在后续调用中删除该权限。注意: 不可为 null。
类型	Edm.String	RW	指定此作用域权限是否可由最终用户同意，或者它是否是必须由公司管理员同意的租户范围权限。可能的值为“User”或“Admin”。
userConsentDescription	Edm.String	RW	显示在最终用户同意体验中的权限帮助文本。
userConsentDisplayName	Edm.String	RW	最终用户同意体验中的权限的显示名称。
value	Edm.String	RW	资源应用程序应在 OAuth 2.0 访问令牌中收到的作用域声明的值。

PasswordCredential 类型

包含与应用程序或服务主体关联的密码凭据。 [ServicePrincipal] 实体和 [Application] 实体的 passwordCredentials 属性是 PasswordCredential 的集合。

属性

Name	类型	描述
customKeyIdentifier	Edm.Binary
endDate	Edm.DateTime	密码过期的日期和时间。
keyId	Edm.Guid
startDate	Edm.DateTime	密码生效的日期和时间。
value	Edm.String

PasswordProfile 类型

包含与用户关联的密码配置文件。 [User] 实体的 passwordProfile 属性是 PasswordProfile 对象。

属性

Name	类型	注意	描述
password	Edm.String	RW	用户的密码。此属性在创建用户时是必需的。此属性可以更新，但会要求用户在下次登录时更改密码。密码必须满足用户的 PasswordPolicies 属性所指定的最低要求。默认情况下，需要强密码。
forceChangePasswordNextLogin	Edm.Boolean	RW	如果用户必须在下次登录时更改其密码，则为 true；否则为 false。

ProvisionedPlan 类型

[User] 实体和 [TenantDetail] 实体的 provisionedPlans 属性是 ProvisionedPlan 的集合。

属性

Name	类型	读/写	描述
capabilityStatus	Edm.String	读	例如“Enabled”或“Deleted”。
provisioningStatus	Edm.String	读	例如“Success”。
服务	Edm.String	读	服务的名称；例如，“SharePoint”、“MicrosoftOffice”或“Exchange”。

ProvisioningError 类型

[Contact]、[User] 和 [Group] 实体的 provisioningErrors 属性是 ProvisioningError 的集合。

属性

Name	类型	读/写	描述
errorDetail	Edm.String	读	错误的说明。
resolved	Edm.Boolean	读	如果错误已解决，则为 true；否则为 false。
serviceInstance	Edm.String	读	出错的服务实例。
timestamp	Edm.DateTime	读	出错时的日期和时间。

RequiredResourceAccess 类型

指定应用程序需要访问的指定资源下的 OAuth 2.0 权限作用域和应用角色集。在调用资源应用程序时，客户端应用程序可能（通过 requiredResourceAccess 集合）请求指定的 OAuth 2.0 权限作用域。 [Application] 实体的 requiredResourceAccess 属性是 ReqiredResourceAccess 的集合。

重要提示: 需要 1.5版或更高版本。

属性

Name	类型	读/写	描述
resourceAppId	Edm.String	RW	应用程序需要访问的资源的唯一标识符。它应等于目标资源应用程序上声明的 appId。
resourceAccess	Collection([ResourceAccess])	RW	指定的资源中应用程序所需的 OAuth2.0 权限作用域和应用程序角色的列表。注意: 不可为 null。

ResourceAccess 类型

指定应用程序所需的 OAuth 2.0 权限作用域或应用角色。 [RequiredResourceAccess] 类型的 resourceAccess 属性是 ResourceAccess 的集合。

重要提示: 需要 1.5版或更高版本。

属性

Name	类型	读/写	描述
ID	Edm.Guid	RW	资源应用程序公开的某个 [OAuth2Permission] 或[AppRole] 实例的唯一标识符。注意: 不可为 null。
类型	Edm.String	RW	指定 id 属性是否引用 [OAuth2Permission] 或 [AppRole]。可能的值为“scope”或“role”。

ServicePlanInfo 类型

包含有关与订阅的 SKU 或分配给用户的许可证相关联的服务计划的详细信息。 [SubscribedSku] 和 [LicenseDetail] 实体的 servicePlans 属性是 ServicePlanInfo 的集合。

属性

Name	类型	读/写	描述
appliesTo	Edm.String	读	例如“User”或“Company”。注意: 需要 1.6 版本。
provisioningStatus	Edm.String	读	例如“Success”或“Disabled”。注意: 需要 1.6 版本。
servicePlanId	Edm.Guid	读	服务计划的唯一标识符 (GUID)。
servicePlanName	Edm.String	读	服务计划的名称。例如“MFA_PREMIUM”、“AAD_PREMIUM”或“RMS_S_BASIC”。

ServicePrincipalAuthenticationPolicy 类型

包含服务主体的身份验证策略。

重要提示: 仅在 2013-11-08 版中可用；但是它仅保留供内部使用，且在 1.5 以及更高版本中已删除。

属性

Name	类型	读/写	描述
defaultPolicy	Edm.String	RW	保留给内部使用。请不要使用。已从版本 1.5 中删除。
allowedPolicies	Collection(Edm.String)	RW	保留给内部使用。请不要使用。已从版本 1.5 中删除。注意: 不可为 null。

SignInName 类型

包含有关 Azure Active Directory B2C 租户中本地帐户用户的登录名的详细信息。 [User] 实体的 signInNames 属性是 SignInName 的集合。有关 Azure Active Directory B2C 的详细信息，请参阅 Azure Active Directory B2C 文档。

重要提示: 已在 1.6 版本中引入。在 beta 版中，重命名自 LogonIdentifier。

属性

Name	类型	读/写	描述
类型	Edm.String	RW	目录中可用于对用户登录类型进行分类的字符串值，例如“emailAddress”或“userName”。
value	Edm.String	RW	本地帐户使用的登录名。在公司/租户中必须是唯一的。例如“johnc@example.com”。

VerifiedDomain 类型

指定租户的域。 [TenantDetail] 实体的 verifiedDomains 属性是 VerifiedDomain 的集合。

属性

Name	类型	读/写	描述
capabilities	Edm.String	读	例如“Email”、“OfficeCommunicationsOnline”。
default	Edm.Boolean	读	如果这是与租户相关联的默认域，则为 true；否则为 false。
ID	Edm.String	读	例如“00057FFE80187238”。
初始	Edm.Boolean	读
name	Edm.String	读	域名，例如“contoso.onmicrosoft.com”
类型	Edm.String	读	例如“Managed”。

其他资源

在 Graph API 概念中了解有关 Graph API 支持的特性、功能和预览功能的详细信息