Répertorier les appartenances directes d’un utilisateur

Article
08/01/2024

Espace de noms: microsoft.graph

Obtenir des groupes, des rôles d’annuaire et unités administratives dont l’utilisateur est membre direct. Cette opération n’est pas transitive. Pour récupérer des groupes, des rôles d’annuaire et des unités administratives dont l’utilisateur est membre par le biais d’une appartenance transitive, utilisez l’API List user transitive memberOf .

Cette API est disponible dans les déploiements de cloud national suivants.

Service global	Gouvernement des États-Unis L4	Us Government L5 (DOD)	Chine gérée par 21Vianet
✅	✅	✅	✅

Autorisations

Choisissez l’autorisation ou les autorisations marquées comme moins privilégiées pour cette API. Utilisez une autorisation ou des autorisations privilégiées plus élevées uniquement si votre application en a besoin. Pour plus d’informations sur les autorisations déléguées et d’application, consultez Types d’autorisations. Pour en savoir plus sur ces autorisations, consultez les informations de référence sur les autorisations.

Autorisations pour les appartenances directes de l’utilisateur connecté

Type d’autorisation	Autorisations avec privilèges minimum	Autorisations privilégiées plus élevées
Déléguée (compte professionnel ou scolaire)	User.Read	Directory.Read.All, Directory.ReadWrite.All, GroupMember.Read.All
Déléguée (compte Microsoft personnel)	Non prise en charge.	Non prise en charge.
Application	Non prise en charge.	Non prise en charge.

Autorisations pour les appartenances directes d’un autre utilisateur

Type d’autorisation	Autorisations avec privilèges minimum	Autorisations privilégiées plus élevées
Déléguée (compte professionnel ou scolaire)	User.Read.All	Directory.Read.All, Directory.ReadWrite.All, GroupMember.Read.All
Déléguée (compte Microsoft personnel)	Non prise en charge.	Non prise en charge.
Application	Directory.Read.All	Directory.ReadWrite.All

Importante

Lorsqu’une application interroge une relation qui retourne une collection de types directoryObject , si elle n’a pas l’autorisation de lire un certain type de ressource, les membres de ce type sont retournés, mais avec des informations limitées. Par exemple, seule la propriété @odata.type pour le type d’objet et l’ID est retournée, tandis que les autres propriétés sont indiquées comme null. Avec ce comportement, les applications peuvent demander les autorisations les moins privilégiées dont elles ont besoin, plutôt que de s’appuyer sur l’ensemble de Répertoire.*Autorisations. Pour plus d’informations, consultez Informations limitées retournées pour les objets membres inaccessibles.

Conseil

L’appel du point de terminaison /me/memberOf nécessite un utilisateur connecté et par conséquent une autorisation déléguée. Les autorisations d’application ne sont pas prises en charge lorsque vous utilisez le point de /me/memberOf terminaison.
Pour répertorier les membres d’un groupe dont l’appartenance est masquée, l’autorisation Member.Read.Hidden est requise.

Requête HTTP

GET /me/memberOf

GET /users/{id | userPrincipalName}/memberOf

Paramètres facultatifs de la requête

Cette méthode prend en charge les paramètres de requête OData pour vous aider à personnaliser la réponse, y compris $search, $count et $filter. Le cast OData est également activé ; Par exemple, vous pouvez effectuer un cast pour obtenir uniquement les directoryRoles dont l’utilisateur est membre. Vous pouvez utiliser $search sur la propriété displayName. Les éléments ajoutés ou mis à jour pour cette ressource sont spécialement indexés pour être utilisés avec les paramètres de $count requête et $search . Il peut y avoir un léger délai entre le moment où un élément est ajouté ou mis à jour et le moment où il est disponible dans l’index.

En-têtes de demande

En-tête	Valeur
Autorisation	Porteur {token}. Obligatoire. En savoir plus sur l’authentification et l’autorisation.
ConsistencyLevel	éventuellement. Cet en-tête et `$count` sont requis lorsque vous utilisez les paramètres de requête de `$search`, `$filter`, `$orderby`ou de OData cast. Il utilise un index qui n’est peut-être pas mis à jour avec les modifications récentes apportées à l’objet.

Corps de la demande

N’indiquez pas le corps de la demande pour cette méthode.

Réponse

Si elle réussit, cette méthode renvoie un code de réponse 200 OK et la collection d’objets directoryObject dans le corps de la réponse.

Exemples

Exemple 1 : obtenir des groupes, des rôles d’annuaire et unités administratives dont l’utilisateur est membre direct.

Demande

L’exemple suivant illustre une demande.

GET https://graph.microsoft.com/v1.0/users/6e7b768e-07e2-4810-8459-485f84f8f204/memberOf


// Code snippets are only available for the latest version. Current version is 5.x

// To initialize your graphClient, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=csharp
var result = await graphClient.Users["{user-id}"].MemberOf.GetAsync();



mgc users member-of list --user-id {user-id}



// Code snippets are only available for the latest major version. Current major version is $v1.*

// Dependencies
import (
	  "context"
	  msgraphsdk "github.com/microsoftgraph/msgraph-sdk-go"
	  //other-imports
)


// To initialize your graphClient, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=go
memberOf, err := graphClient.Users().ByUserId("user-id").MemberOf().Get(context.Background(), nil)


// Code snippets are only available for the latest version. Current version is 6.x

GraphServiceClient graphClient = new GraphServiceClient(requestAdapter);

DirectoryObjectCollectionResponse result = graphClient.users().byUserId("{user-id}").memberOf().get();


const options = {
	authProvider,
};

const client = Client.init(options);

let memberOf = await client.api('/users/6e7b768e-07e2-4810-8459-485f84f8f204/memberOf')
	.get();


<?php
use Microsoft\Graph\GraphServiceClient;


$graphServiceClient = new GraphServiceClient($tokenRequestContext, $scopes);


$result = $graphServiceClient->users()->byUserId('user-id')->memberOf()->get()->wait();


Import-Module Microsoft.Graph.Users

Get-MgUserMemberOf -UserId $userId


# Code snippets are only available for the latest version. Current version is 1.x
from msgraph import GraphServiceClient
# To initialize your graph_client, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=python

result = await graph_client.users.by_user_id('user-id').member_of.get()

Réponse

L’exemple suivant illustre la réponse.

HTTP/1.1 200 OK
Content-type: application/json

{
  "value": [
    {
      "@odata.type": "#microsoft.graph.group",
      "displayName": "All Users",
      "mailEnabled": false,
      "securityEnabled": true
    }
  ]
}

Exemple 2 : obtenir uniquement un nombre de groupes, des rôles d’annuaire et unités administratives dont l’utilisateur est membre direct.

Demande

L’exemple suivant illustre une demande.

GET https://graph.microsoft.com/v1.0/users/{id}/memberOf/$count
ConsistencyLevel: eventual

Réponse

L’exemple suivant illustre la réponse.

HTTP/1.1 200 OK
Content-type: text/plain

17

Exemple 3 : utiliser un cast OData pour obtenir un nombre d’appartenances au groupe uniquement

Demande

L’exemple suivant illustre une demande.

GET https://graph.microsoft.com/v1.0/users/{id}/memberOf/microsoft.graph.group/$count
ConsistencyLevel: eventual

Réponse

L’exemple suivant illustre la réponse.

HTTP/1.1 200 OK
Content-type: text/plain

16

Exemple 4 : utiliser $searchand la conversion OData pour obtenir l’appartenance aux groupes contenant des noms complets contenant les lettres « niveau », y compris un nombre d’objets retournés

Demande

L’exemple suivant illustre une demande.

GET https://graph.microsoft.com/v1.0/users/{id}/memberOf/microsoft.graph.group?$count=true&$orderby=displayName&$search="displayName:tier"&$select=displayName,id
ConsistencyLevel: eventual

Réponse

L’exemple suivant illustre la réponse.

HTTP/1.1 200 OK
Content-type: application/json

{
  "@odata.context":"https://graph.microsoft.com/v1.0/$metadata#groups(displayName,id)",
  "@odata.count":7,
  "value":[
    {
      "displayName":"Contoso-tier Query Notification",
      "id":"11111111-2222-3333-4444-555555555555"
    }
  ]
}

Exemple 5 : utiliser un cast $filter et OData pour obtenir les groupes avec un nom complet qui commence par « a », avec un nombre d’objets retournés

Demande

L’exemple suivant illustre une demande.

GET https://graph.microsoft.com/v1.0/users/{id}/memberOf/microsoft.graph.group?$count=true&$orderby=displayName&$filter=startswith(displayName, 'a')
ConsistencyLevel: eventual

Réponse

L’exemple suivant illustre la réponse.

HTTP/1.1 200 OK
Content-type: application/json

{
  "@odata.context":"https://graph.microsoft.com/v1.0/$metadata#groups",
  "@odata.count":76,
  "value":[
    {
      "displayName":"AAD Contoso Users",
      "mail":"AADContoso_Users@contoso.com",
      "mailEnabled":true,
      "mailNickname":"AADContoso_Users",
      "securityEnabled":true
    }
  ]
}

Exemple 6 : utiliser $filter et la conversion OData pour obtenir des groupes avec au moins une attribution de rôle d’application

Demande

L’exemple suivant illustre une demande.

GET https://graph.microsoft.com/v1.0/users/{id}/memberOf/microsoft.graph.group?$filter=appRoleAssignments/$count gt 0&$select=id,displayName


// Code snippets are only available for the latest version. Current version is 5.x

// To initialize your graphClient, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=csharp
var result = await graphClient.Users["{user-id}"].MemberOf.GraphGroup.GetAsync((requestConfiguration) =>
{
	requestConfiguration.QueryParameters.Filter = "appRoleAssignments/$count gt 0";
	requestConfiguration.QueryParameters.Select = new string []{ "id","displayName" };
});



mgc users member-of graph-group get --user-id {user-id} --filter "appRoleAssignments/$count gt 0" --select "id,displayName"



// Code snippets are only available for the latest major version. Current major version is $v1.*

// Dependencies
import (
	  "context"
	  msgraphsdk "github.com/microsoftgraph/msgraph-sdk-go"
	  graphusers "github.com/microsoftgraph/msgraph-sdk-go/users"
	  //other-imports
)


requestFilter := "appRoleAssignments/$count gt 0"

requestParameters := &graphusers.UserItemMemberOfGraph.groupRequestBuilderGetQueryParameters{
	Filter: &requestFilter,
	Select: [] string {"id","displayName"},
}
configuration := &graphusers.UserItemMemberOfGraph.groupRequestBuilderGetRequestConfiguration{
	QueryParameters: requestParameters,
}

// To initialize your graphClient, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=go
graphGroup, err := graphClient.Users().ByUserId("user-id").MemberOf().GraphGroup().Get(context.Background(), configuration)


// Code snippets are only available for the latest version. Current version is 6.x

GraphServiceClient graphClient = new GraphServiceClient(requestAdapter);

GroupCollectionResponse result = graphClient.users().byUserId("{user-id}").memberOf().graphGroup().get(requestConfiguration -> {
	requestConfiguration.queryParameters.filter = "appRoleAssignments/$count gt 0";
	requestConfiguration.queryParameters.select = new String []{"id", "displayName"};
});


const options = {
	authProvider,
};

const client = Client.init(options);

let group = await client.api('/users/{id}/memberOf/microsoft.graph.group')
	.filter('appRoleAssignments/$count gt 0')
	.select('id,displayName')
	.get();


<?php
use Microsoft\Graph\GraphServiceClient;
use Microsoft\Graph\Generated\Users\Item\MemberOf\Graph\Group\GroupRequestBuilderGetRequestConfiguration;


$graphServiceClient = new GraphServiceClient($tokenRequestContext, $scopes);

$requestConfiguration = new GraphGroupRequestBuilderGetRequestConfiguration();
$queryParameters = GraphGroupRequestBuilderGetRequestConfiguration::createQueryParameters();
$queryParameters->filter = "appRoleAssignments/\$count gt 0";
$queryParameters->select = ["id","displayName"];
$requestConfiguration->queryParameters = $queryParameters;


$result = $graphServiceClient->users()->byUserId('user-id')->memberOf()->graphGroup()->get($requestConfiguration)->wait();


Import-Module Microsoft.Graph.Users

Get-MgUserMemberOfAsGroup -UserId $userId -Filter "appRoleAssignments/`$count gt 0" -Property "id,displayName"


# Code snippets are only available for the latest version. Current version is 1.x
from msgraph import GraphServiceClient
from msgraph.generated.users.item.member_of.graph.group.group_request_builder import GroupRequestBuilder
from kiota_abstractions.base_request_configuration import RequestConfiguration
# To initialize your graph_client, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=python
query_params = GroupRequestBuilder.GroupRequestBuilderGetQueryParameters(
		filter = "appRoleAssignments/$count gt 0",
		select = ["id","displayName"],
)

request_configuration = RequestConfiguration(
query_parameters = query_params,
)

result = await graph_client.users.by_user_id('user-id').member_of.graph_group.get(request_configuration = request_configuration)

Réponse

L’exemple suivant illustre la réponse.

HTTP/1.1 200 OK
Content-type: application/json

{
  "@odata.context":"https://graph.microsoft.com/v1.0/$metadata#groups",
  "value":[
    {
      "id": "c11b732b-0e16-46c1-b0fa-bd32c8a42455",
      "displayName":"All users"
    },
    {
      "id": "3f927b40-06f8-4352-b8e4-37a7ba04b7ff",
      "displayName":"AAD Contoso Users"
    }
  ]
}

Partager via

Répertorier les appartenances directes d’un utilisateur

Autorisations

Autorisations pour les appartenances directes de l’utilisateur connecté

Autorisations pour les appartenances directes d’un autre utilisateur

Requête HTTP

Paramètres facultatifs de la requête

En-têtes de demande

Corps de la demande

Réponse

Exemples

Exemple 1 : obtenir des groupes, des rôles d’annuaire et unités administratives dont l’utilisateur est membre direct.

Demande

Réponse

Exemple 2 : obtenir uniquement un nombre de groupes, des rôles d’annuaire et unités administratives dont l’utilisateur est membre direct.

Demande

Réponse

Exemple 3 : utiliser un cast OData pour obtenir un nombre d’appartenances au groupe uniquement

Demande

Réponse

Exemple 4 : utiliser $searchand la conversion OData pour obtenir l’appartenance aux groupes contenant des noms complets contenant les lettres « niveau », y compris un nombre d’objets retournés

Demande

Réponse

Exemple 5 : utiliser un cast $filter et OData pour obtenir les groupes avec un nom complet qui commence par « a », avec un nombre d’objets retournés

Demande

Réponse

Exemple 6 : utiliser $filter et la conversion OData pour obtenir des groupes avec au moins une attribution de rôle d’application

Demande

Réponse

Commentaires

Ressources supplémentaires