Répertorier les appartenances directes d’un utilisateur

  • Article

Espace de noms: microsoft.graph

Obtenir des groupes, des rôles d’annuaire et unités administratives dont l’utilisateur est membre direct. Cette opération n’est pas transitive. Pour récupérer des groupes, des rôles d’annuaire et des unités administratives dont l’utilisateur est membre par le biais d’une appartenance transitive, utilisez l’API List user transitive memberOf .

Cette API est disponible dans les déploiements de cloud national suivants.

Service global Gouvernement des États-Unis L4 Us Government L5 (DOD) Chine gérée par 21Vianet

Autorisations

Choisissez l’autorisation ou les autorisations marquées comme moins privilégiées pour cette API. Utilisez une autorisation ou des autorisations privilégiées plus élevées uniquement si votre application en a besoin. Pour plus d’informations sur les autorisations déléguées et d’application, consultez Types d’autorisations. Pour en savoir plus sur ces autorisations, consultez les informations de référence sur les autorisations.

Type d’autorisation Autorisations avec privilèges minimum Autorisations privilégiées plus élevées
Déléguée (compte professionnel ou scolaire) User.Read Directory.Read.All, Directory.ReadWrite.All, GroupMember.Read.All
Déléguée (compte Microsoft personnel) Non prise en charge. Non prise en charge.
Application Non prise en charge. Non prise en charge.

Conseil

  • L’appel du point de terminaison /me/memberOf nécessite un utilisateur connecté et par conséquent une autorisation déléguée. Les autorisations d’application ne sont pas prises en charge lorsque vous utilisez le point de /me/memberOf terminaison.
  • Pour répertorier les membres d’un groupe dont l’appartenance est masquée, l’autorisation Member.Read.Hidden est requise.

Lorsqu’une application interroge une relation qui retourne une collection de types directoryObject , si elle n’a pas l’autorisation de lire un certain type dérivé (comme un appareil), les membres de ce type sont retournés, mais avec des informations limitées. Avec ce comportement, les applications peuvent demander les autorisations les moins privilégiées dont elles ont besoin, plutôt que de s’appuyer sur l’ensemble de Répertoire.*Autorisations. Pour plus d’informations, consultez Informations limitées retournées pour les objets membres inaccessibles.

Requête HTTP

GET /me/memberOf
GET /users/{id | userPrincipalName}/memberOf

Paramètres facultatifs de la requête

Cette méthode prend en charge les paramètres de requête OData pour vous aider à personnaliser la réponse, y compris $search, $count et $filter. Le cast OData est également activé ; Par exemple, vous pouvez effectuer un cast pour obtenir uniquement les directoryRoles dont l’utilisateur est membre. Vous pouvez utiliser $search sur la propriété displayName. Les éléments ajoutés ou mis à jour pour cette ressource sont spécialement indexés pour être utilisés avec les paramètres de $count requête et $search . Il peut y avoir un léger délai entre le moment où un élément est ajouté ou mis à jour et le moment où il est disponible dans l’index.

En-têtes de demande

En-tête Valeur
Autorisation Porteur {token}. Obligatoire. En savoir plus sur l’authentification et l’autorisation.
ConsistencyLevel éventuellement. Cet en-tête et $count sont requis lorsque vous utilisez les paramètres de requête de $search, $filter, $orderbyou de OData cast. Il utilise un index qui n’est peut-être pas mis à jour avec les modifications récentes apportées à l’objet.

Corps de la demande

N’indiquez pas le corps de la demande pour cette méthode.

Réponse

Si elle réussit, cette méthode renvoie un code de réponse 200 OK et la collection d’objets directoryObject dans le corps de la réponse.

Exemples

Exemple 1 : obtenir des groupes, des rôles d’annuaire et unités administratives dont l’utilisateur est membre direct.

Demande

L’exemple suivant illustre une demande.

GET https://graph.microsoft.com/v1.0/users/6e7b768e-07e2-4810-8459-485f84f8f204/memberOf

Réponse

L’exemple suivant illustre la réponse.

Remarque : l’objet de réponse affiché ci-après peut être raccourci pour plus de lisibilité.

HTTP/1.1 200 OK
Content-type: application/json

{
  "value": [
    {
      "@odata.type": "#microsoft.graph.group",
      "displayName": "All Users",
      "mailEnabled": false,
      "securityEnabled": true
    }
  ]
}

Exemple 2 : obtenir uniquement un nombre de groupes, des rôles d’annuaire et unités administratives dont l’utilisateur est membre direct.

Demande

L’exemple suivant illustre une demande.

GET https://graph.microsoft.com/v1.0/users/{id}/memberOf/$count
ConsistencyLevel: eventual

Réponse

L’exemple suivant illustre la réponse.

Remarque : l’objet de réponse affiché ci-après peut être raccourci pour plus de lisibilité.

HTTP/1.1 200 OK
Content-type: text/plain

17

Exemple 3 : utiliser un cast OData pour obtenir un nombre d’appartenances au groupe uniquement

Demande

L’exemple suivant illustre une demande.

GET https://graph.microsoft.com/v1.0/users/{id}/memberOf/microsoft.graph.group/$count
ConsistencyLevel: eventual

Réponse

L’exemple suivant illustre la réponse.

HTTP/1.1 200 OK
Content-type: text/plain

16

Exemple 4 : utiliser $searchand la conversion OData pour obtenir l’appartenance aux groupes contenant des noms complets contenant les lettres « niveau », y compris un nombre d’objets retournés

Demande

L’exemple suivant illustre une demande.

GET https://graph.microsoft.com/v1.0/users/{id}/memberOf/microsoft.graph.group?$count=true&$orderby=displayName&$search="displayName:tier"&$select=displayName,id
ConsistencyLevel: eventual

Réponse

L’exemple suivant illustre la réponse.

Remarque : l’objet de réponse affiché ci-après peut être raccourci pour plus de lisibilité.

HTTP/1.1 200 OK
Content-type: application/json

{
  "@odata.context":"https://graph.microsoft.com/v1.0/$metadata#groups(displayName,id)",
  "@odata.count":7,
  "value":[
    {
      "displayName":"Contoso-tier Query Notification",
      "id":"11111111-2222-3333-4444-555555555555"
    }
  ]
}

Exemple 5 : utiliser un cast $filter et OData pour obtenir les groupes avec un nom complet qui commence par « a », avec un nombre d’objets retournés

Demande

L’exemple suivant illustre une demande.

GET https://graph.microsoft.com/v1.0/users/{id}/memberOf/microsoft.graph.group?$count=true&$orderby=displayName&$filter=startswith(displayName, 'a')
ConsistencyLevel: eventual

Réponse

L’exemple suivant illustre la réponse.

Remarque : l’objet de réponse affiché ci-après peut être raccourci pour plus de lisibilité.

HTTP/1.1 200 OK
Content-type: application/json

{
  "@odata.context":"https://graph.microsoft.com/v1.0/$metadata#groups",
  "@odata.count":76,
  "value":[
    {
      "displayName":"AAD Contoso Users",
      "mail":"AADContoso_Users@contoso.com",
      "mailEnabled":true,
      "mailNickname":"AADContoso_Users",
      "securityEnabled":true
    }
  ]
}

Exemple 6 : utiliser $filter et la conversion OData pour obtenir des groupes avec au moins une attribution de rôle d’application

Demande

L’exemple suivant illustre une demande.

GET https://graph.microsoft.com/v1.0/users/{id}/memberOf/microsoft.graph.group?$filter=appRoleAssignments/$count gt 0&$select=id,displayName

Réponse

L’exemple suivant illustre la réponse.

Remarque : l’objet de réponse affiché ci-après peut être raccourci pour plus de lisibilité.

HTTP/1.1 200 OK
Content-type: application/json

{
  "@odata.context":"https://graph.microsoft.com/v1.0/$metadata#groups",
  "value":[
    {
      "id": "c11b732b-0e16-46c1-b0fa-bd32c8a42455",
      "displayName":"All users"
    },
    {
      "id": "3f927b40-06f8-4352-b8e4-37a7ba04b7ff",
      "displayName":"AAD Contoso Users"
    }
  ]
}