Работа с пользователями в Microsoft Graph
Важно!
API версии /beta
в Microsoft Graph могут быть изменены. Использование этих API в производственных приложениях не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.
Microsoft Graph можно использовать для создания привлекательных возможностей приложений на основе пользователей и их связей с другими объектами. Например, их отношения с другими пользователями и группами, членство в группах и ресурсы, к которым они обращаются, такие как их почта, календари, файлы и административные роли.
Вы можете получить доступ к пользователям через Microsoft Graph двумя указанными ниже способами.
- По идентификатору или userPrincipalName,
/users/{id}
или/users/{userPrincipalName}
- С помощью псевдонима
/me
(который совпадает с/users/{signed-in user's id}
) для пользователя, вошедшего в систему.
Общие операции API
Path | Описание |
---|---|
/me |
Получение сведений о пользователе, выполнившего вход. |
/users |
Вывод списка пользователей в организации. |
/users/{id} |
Возвращает определенного пользователя по идентификатору. |
/users/{id}/photo/$value |
Получение фотографии профиля пользователя. |
/users/{id}/manager |
Получение сведений о руководителе пользователя. |
/users/{id}/messages |
Вывод списка электронных писем пользователя в его основном почтовом ящике. |
/users/{id}/events |
Вывод списка предстоящих событий пользователя из его календаря. |
/users/{id}/drive |
Получение хранилища файлов OneDrive пользователя. |
/users/{id}/memberOf |
Вывод списка групп, участником которых является пользователь. |
/users/{id}/joinedTeams |
Вывод списка команд Microsoft Teams, участником которых является пользователь. |
Авторизация и привилегии
Microsoft Graph поддерживает использование делегированных разрешений и разрешений приложений для управления операциями пользователей. Дополнительные сведения см. в разделе Делегированные разрешения и разрешения приложений и соответствующую справочную документацию по API для разрешений, необходимых для каждой операции.
Некоторые пользовательские операции могут выполняться вошедшего пользователя с использованием собственных сведений. Для таких операций пользователь может предоставить приложению разрешения Microsoft Graph на доступ к собственным сведениям. Разрешения User.ReadBasic.All, User.Read и User.ReadWrite являются такими разрешениями.
Для других операций, включая управление сведениями для других пользователей, требуются права администратора, предоставляемые с помощью других разрешений Microsoft Graph и Microsoft Entra ролей. Кроме того, некоторые операции считаются конфиденциальными, и их могут выполнять только ограниченные администраторы. Дополнительные сведения см. в разделах Кто может сбрасывать пароли и Кто может обновлять конфиденциальные атрибуты .
Разрешения пользователей по умолчанию в Microsoft Entra ID
В Microsoft Entra ID есть два типа пользователей : участники и гости. Изначально пользователи-члены создаются в клиенте. Гостевые пользователи присоединяются к клиенту путем активации своего приглашения и получают доступ к клиенту в качестве гостей совместной работы "бизнес-бизнес" (B2B).
Набор разрешений по умолчанию зависит от того, является ли пользователь участником или гостевым пользователем. Дополнительные сведения о том, что могут делать пользователи-члены и гостевые пользователи, см. в статье Какие разрешения пользователей по умолчанию в Microsoft Entra ID?.
Разрешения пользователей по умолчанию во внешних клиентах
Существуют также разрешения по умолчанию для клиентов в Microsoft Entra ID во внешних клиентах. В следующей таблице указаны операции API, позволяющие клиентам управлять своим профилем.
Идентификатор пользователя или userPrincipalName всегда является именем пользователя, выполнившего вход.
Операция пользователя | Операция API | Необходимые разрешения |
---|---|---|
Профиль чтения |
GET /me или GET /users/{id or userPrincipalName} |
User.Read |
Обновление профиля |
PATCH /me или PATCH /users/{id or userPrincipalName} Обновляемые свойства: city, country, displayName, givenName, jobTitle, postalCode, state, streetAddress, surname и preferredLanguage |
User.ReadWrite |
Смена пароля | POST /me/changePassword |
Directory.AccessAsUser.All |
Базовый профиль пользователей
Разрешение User.ReadBasic.All ограничивает доступ приложения к чтению ограниченного набора свойств для рабочих или учебных учетных записей других пользователей. Этот базовый профиль содержит только следующие свойства:
- displayName
- givenName;
- id
- mail;
- photo;
- securityIdentifier
- surname;
- userPrincipalName.
Кроме того, следующие разрешения, относящиеся к сценарию, также позволяют приложениям читать базовый профиль пользователя, который содержит в основном свойства, связанные с идентификаторами: User-Mail.ReadWrite.All, User-PasswordProfile.ReadWrite.All, User-Phone.ReadWrite.All, User-LifeCycleInfo.Read.All, User-LifeCycleInfo.ReadWrite.All.
Конфиденциальные действия
Следующие действия с объектом пользователя считаются конфиденциальными и могут быть заблокированы только определенными администраторами. Все пользователи могут считывать конфиденциальные свойства.
Конфиденциальное действие | Имя конфиденциального свойства |
---|---|
Отключение или включение пользователей | accountEnabled |
Обновление бизнес-телефона | businessPhones |
Обновление мобильного телефона | mobilePhone; |
Обновление локального неизменяемого идентификатора | onPremisesImmutableId |
Обновление других сообщений электронной почты | otherMails |
Обновление профиля пароля | passwordProfile |
Обновление имени участника-пользователя | userPrincipalName. |
Удаление или восстановление пользователей | Неприменимо |
Кто может выполнять конфиденциальные действия
Некоторые администраторы могут выполнять предыдущие конфиденциальные действия для некоторых пользователей.
В следующей таблице в столбцах перечислены роли, которые могут выполнять конфиденциальные действия. В строках перечислены роли, для которых может выполняться конфиденциальное действие.
В следующей таблице приведены роли, назначенные в область клиента. Для ролей, назначенных на область административной единицы, применяются дополнительные ограничения.
Роль, с которой может выполняться конфиденциальное действие | Проверка подлинности Администратор | Администратор пользователя | Привилегированная проверка подлинности Администратор | Глобальный администратор |
---|---|---|---|---|
Проверка подлинности Администратор | ✅ | ✅ | ✅ | |
Читатели каталогов | ✅ | ✅ | ✅ | ✅ |
Глобальный администратор | ✅ | ✅ | ||
Группы Администратор | ✅ | ✅ | ✅ | |
Приглашающий гостей | ✅ | ✅ | ✅ | ✅ |
Администратор службы поддержки | ✅ | ✅ | ✅ | |
Читатель центра сообщений | ✅ | ✅ | ✅ | ✅ |
Пароль Администратор | ✅ | ✅ | ✅ | ✅ |
Привилегированная проверка подлинности Администратор | ✅ | ✅ | ||
Администратор привилегированных ролей | ✅ | ✅ | ||
Читатель отчетов | ✅ | ✅ | ✅ | ✅ |
Пользователь (без роли администратора) |
✅ | ✅ | ✅ | ✅ |
Пользователь (нет роли администратора, но член или владелец группы с возможностью назначения ролей) |
✅ | ✅ | ||
Пользователь с ролью, ограниченной административной единицей управления | ✅ | ✅ | ||
Администратор пользователя | ✅ | ✅ | ✅ | |
Средство чтения сводки об использовании | ✅ | ✅ | ✅ | ✅ |
Все настраиваемые роли | ✅ | ✅ |
Кто может сбрасывать пароли
В следующей таблице в столбцах перечислены роли, которые могут сбрасывать пароли и отменять маркеры обновления. В строках перечислены роли, для которых можно сбросить пароль. Например, администратор паролей может сбросить пароль для читателей каталогов, приглашенного гостя, администратора паролей и пользователей без роли администратора. Если пользователю назначена какая-либо другая роль, администратор паролей не может сбросить пароль.
В следующей таблице приведены роли, назначенные в область клиента. Для ролей, назначенных на область административной единицы, применяются дополнительные ограничения.
Роль, которую можно сбросить пароль | Пароль Администратор | Администратор службы поддержки | Проверка подлинности Администратор | Администратор пользователя | Привилегированная проверка подлинности Администратор | Глобальный администратор |
---|---|---|---|---|---|---|
Проверка подлинности Администратор | ✅ | ✅ | ✅ | |||
Читатели каталогов | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
Глобальный администратор | ✅ | ✅* | ||||
Группы Администратор | ✅ | ✅ | ✅ | |||
Приглашающий гостей | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
Администратор службы поддержки | ✅ | ✅ | ✅ | ✅ | ||
Читатель центра сообщений | ✅ | ✅ | ✅ | ✅ | ✅ | |
Пароль Администратор | ✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
Привилегированная проверка подлинности Администратор | ✅ | ✅ | ||||
Администратор привилегированных ролей | ✅ | ✅ | ||||
Читатель отчетов | ✅ | ✅ | ✅ | ✅ | ✅ | |
Пользователь (без роли администратора) |
✅ | ✅ | ✅ | ✅ | ✅ | ✅ |
Пользователь (нет роли администратора, но член или владелец группы с возможностью назначения ролей) |
✅ | ✅ | ||||
Пользователь с ролью, ограниченной административной единицей управления | ✅ | ✅ | ||||
Администратор пользователя | ✅ | ✅ | ✅ | |||
Средство чтения сводки об использовании | ✅ | ✅ | ✅ | ✅ | ✅ | |
Все настраиваемые роли | ✅ | ✅ |
Возможность сброса пароля включает в себя возможность обновления следующих конфиденциальных свойств, необходимых для самостоятельного сброса пароля:
- businessPhones
- mobilePhone;
- otherMails
Ограничения на поиск пользователей и групп для гостевых пользователей в организациях
Функции поиска пользователей и групп позволяют приложению найти любого пользователя и любую группу в каталоге организации с помощью запросов для набора ресурсов /users
или /groups
(например, https://graph.microsoft.com/v1.0/users
). Эту возможность имеют как администраторы, так и пользователи, являющиеся участниками; однако гостевые пользователи этого не сделали.
Если пользователь вошел как гость, в зависимости от предоставленных приложению разрешений оно может прочитать профиль определенного пользователя или определенной группы (например, https://graph.microsoft.com/v1.0/users/241f22af-f634-44c0-9a15-c8cd2cea5531
). Но оно не может отправлять набору ресурсов /users
или /groups
запросы, способные возвращать несколько ресурсов.
При наличии подходящих разрешений приложение может считывать профили пользователей и групп, которые оно получает благодаря ссылкам в свойствах навигации (например, /users/{id}/directReports
или /groups/{id}/members
).
Свойства, не возвращенные по умолчанию
Некоторые свойства объекта user не возвращаются по умолчанию и должны быть указаны в параметре $select
запроса. Например, день рождения и навыки. См. таблицу свойств сущности пользователя , чтобы определить свойства, возвращаемые только в том случае, если вы $select
.
Свойства, хранящиеся за пределами хранилища данных main
Хотя данные пользовательского ресурса в основном хранятся в Microsoft Entra ID, некоторые из его свойств, например навыки, хранятся в SharePoint Online. В большинстве случаев эти свойства нельзя указать в том же тексте запроса на создание или обновление, что и другие свойства пользователя.
Свойства, хранящиеся за пределами хранилища данных main, также не поддерживаются в рамках отслеживания изменений. Таким образом, изменение любого из этих свойств не приводит к отображению объекта в ответе разностного запроса.
Следующие свойства объекта пользователя хранятся вне хранилища данных main: signInActivity, cloudLicensing, mailboxSettings, deviceEnrollmentLimit, print, aboutMe, birthday, hireDate, interests, mySite, pastProjects, preferredName, круг обязанностей, учебных заведений, навыков.