Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Пространство имен: microsoft.graph
Получение списка недавно удаленных объектов каталога из удаленных элементов. Поддерживаются следующие типы:
- administrativeUnit
- application
- agentIdentityBlueprint
- agentIdentity
- agentIdentityBlueprintPrincipal
- agentUser
- certificateBasedAuthPki
- certificateAuthorityDetail
- group
- servicePrincipal
- user
Этот API доступен в следующих национальных облачных развертываниях.
| Глобальная служба | Правительство США L4 | Правительство США L5 (DOD) | Китай управляется 21Vianet |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Разрешения
В следующей таблице показаны наименее привилегированные разрешения или разрешения, необходимые для вызова этого API для каждого поддерживаемого типа ресурсов. Следуйте рекомендациям , чтобы запросить разрешения с наименьшими привилегиями. Дополнительные сведения о делегированных разрешениях и разрешениях приложений см. в разделе Типы разрешений. Дополнительные сведения об этих разрешениях см. в справочнике по разрешениям.
| Поддерживаемый ресурс | Делегированное (рабочая или учебная учетная запись) | Делегированное (личная учетная запись Майкрософт) | Приложение |
|---|---|---|---|
| administrativeUnit | AdministrativeUnit.Read.All | Не поддерживается. | AdministrativeUnit.Read.All |
| application | Application.Read.All | Не поддерживается. | Application.Read.All |
| agentIdentity | AgentIdentity.Read.All | Не поддерживается. | AgentIdentity.Read.All |
| agentIdentityBlueprint | AgentIdentityBlueprint.Read.All | Не поддерживается. | AgentIdentityBlueprint.Read.All |
| agentIdentityBlueprintPrincipal | AgentIdentityBlueprintPrincipal.Read.All | Не поддерживается. | AgentIdentityBlueprintPrincipal.Read.All |
| agentUser | User.ReadBasic.All | Не поддерживается. | User.ReadBasic.All |
| group | Group.Read.All | Не поддерживается. | Group.Read.All |
| servicePrincipal | Application.Read.All | Не поддерживается. | Application.Read.All |
| user | User.Read.All | Не поддерживается. | User.Read.All |
| certificateBasedAuthPki | PublicKeyInfrastructure.Read.All | Не поддерживается. | PublicKeyInfrastructure.Read.All |
| certificateAuthorityDetail | PublicKeyInfrastructure.Read.All | Не поддерживается. | PublicKeyInfrastructure.Read.All |
Важно!
Когда приложение запрашивает связь, которая возвращает коллекцию типов directoryObject , если у него нет разрешения на чтение определенного типа ресурсов, возвращаются члены этого типа, но с ограниченной информацией. Например, возвращается только свойство @odata.type для типа объекта и идентификатор , в то время как другие свойства указываются как null. При таком поведении приложения могут запрашивать необходимые разрешения с наименьшими привилегиями, а не полагаться на набор каталогов.*Разрешения. Сведения см. в разделе Ограниченные сведения, возвращаемые для недоступных объектов member.
Важно!
Для делегированного доступа с использованием рабочих или учебных учетных записей пользователю, выполнившего вход, необходимо назначить поддерживаемую роль Microsoft Entra или пользовательскую роль, которая предоставляет разрешения, необходимые для этой операции. Эта операция поддерживает следующие встроенные роли, которые предоставляют только минимальные необходимые привилегии:
- Удостоверения агента, схемы удостоверений агента и субъекты схемы удостоверений агента: администратор идентификаторов агента
- Административные единицы: читатели каталогов (только для чтения), глобальные читатели (только для чтения), администратор привилегированных ролей
- Приложения: администратор гибридных удостоверений, администратор облачных приложений, администратор приложений
- Внешние профили пользователей: глобальный читатель (только для чтения), Skype для бизнеса администратор, администратор Teams
- Группы: Администратор групп (за исключением групп с возможностью назначения ролей), Администратор пользователей (за исключением групп, назначаемых ролями), Администратор привилегированных ролей (наименее привилегированная роль для групп, назначаемых ролями)
- Ожидающие внешние профили пользователей: глобальный читатель (только для чтения), Skype для бизнеса администратор, администратор Teams
- Субъекты-службы: администратор гибридных удостоверений, администратор облачных приложений, администратор приложений
- Пользователи: администратор проверки подлинности, привилегированный администратор проверки подлинности, администратор пользователей. Однако чтобы восстановить пользователей с привилегированными ролями администратора, выполните следующие действия:
- В делегированных сценариях приложению должно быть назначено делегированное разрешение Directory.AccessAsUser.All , а вызывающему пользователю также должна быть назначена роль администратора с более высоким уровнем привилегий, как указано в разделе Кто может выполнять конфиденциальные действия?.
- В сценариях только для приложений и в дополнение к предоставлению разрешения приложения User.ReadWrite.All приложению должна быть назначена более высокая привилегированная роль администратора, как указано в разделе Кто может выполнять конфиденциальные действия?.
HTTP-запрос
GET /directory/deletedItems/microsoft.graph.application
GET /directory/deletedItems/microsoft.graph.servicePrincipal
GET /directory/deletedItems/microsoft.graph.group
GET /directory/deletedItems/microsoft.graph.user
GET /directory/deletedItems/microsoft.graph.administrativeUnit
GET /directory/deletedItems/microsoft.graph.certificateBasedAuthPki
GET /directory/deletedItems/microsoft.graph.certificateAuthorityDetail
Важно!
Для обратимо удаленных групп безопасности свойство securityEnabled возвращает false вместо из-за известного true ограничения.
Чтобы определить тип группы, используйте свойство groupTypes :
-
["Unified"]указывает группу Microsoft 365. - Пустой массив (
[]) указывает на группу безопасности.
Тип приведения OData является обязательной частью URI, и вызов GET /directory/deletedItems без типа не поддерживается.
Необязательные параметры запросов
Этот метод поддерживает параметры запроса, поддерживаемые ресурсом, заданным приведением OData. То есть параметры $countзапроса , $expand, $filter, $search$orderby, , $selectи $top . Этот API возвращает 100 объектов по умолчанию и поддерживает возврат до 999 объектов на страницу с помощью $top.
Некоторые запросы поддерживаются только при использовании заголовка ConsistencyLevel с присвоенным значением eventual и $count. Например, вы можете:
https://graph.microsoft.com/v1.0/directory/deletedItems/microsoft.graph.group?&$count=true&$orderby=deletedDateTime desc&$select=id,displayName,deletedDateTime
ConsistencyLevel: eventual
В этом примере требуется заголовок ConsistencyLevel , так как $orderby в запросе используются параметры запроса и $count .
примеры параметров запроса OData $orderby
Параметр $orderby запроса OData поддерживается в свойствах deletedDateTime, displayName и userPrincipalName удаленных типов объектов. В свойстве deletedDateTime запрос требует добавления дополнительных параметров запроса (для заголовка ConsistencyLevel задано значение eventual и $count=true строка запроса).
| Приведение OData | Свойства, поддерживающие $orderby | Пример |
|---|---|---|
| microsoft.graph.user | deletedDateTime, displayName, userPrincipalName | /directory/deletedItems/microsoft.graph.user?$orderby=userPrincipalName |
| microsoft.graph.group | deletedDateTime, displayName | /directory/deletedItems/microsoft.graph.group?$orderby=deletedDateTime asc&$count=true |
| microsoft.graph.application | deletedDateTime, displayName | /directory/deletedItems/microsoft.graph.application?$orderby=displayName |
| microsoft.graph.device | deletedDateTime, displayName | /directory/deletedItems/microsoft.graph.device?$orderby=deletedDateTime&$count=true |
Заголовки запросов
| Имя | Описание |
|---|---|
| Авторизация | Bearer {token}. Обязательно. Дополнительные сведения о проверке подлинности и авторизации. |
| Accept | application/json |
Текст запроса
Не указывайте текст запроса для этого метода.
Отклик
В случае успеха этот метод возвращает код отклика 200 OK и коллекцию объектов directoryObject в тексте отклика.
Примеры
Пример 1. Получение удаленных групп
Запрос
GET https://graph.microsoft.com/v1.0/directory/deletedItems/microsoft.graph.group
Отклик
Примечание. Объект отклика, показанный здесь, может быть сокращен для удобочитаемости.
HTTP/1.1 200 OK
Content-type: application/json
{
"@odata.context":"https://graph.microsoft.com/v1.0/$metadata#groups",
"value": [
{
"id":"46cc6179-19d0-473e-97ad-6ff84347bbbb",
"displayName":"SampleGroup",
"groupTypes":["Unified"],
"mail":"example@contoso.com",
"mailEnabled":true,
"mailNickname":"Example",
"securityEnabled":false,
"visibility":"Public"
}
]
}
Пример 2. Получение количества удаленных пользовательских объектов и упорядочивание результатов по свойству deletedDateTime
Запрос
GET https://graph.microsoft.com/v1.0/directory/deletedItems/microsoft.graph.group?$count=true&$orderby=deletedDateTime asc&$select=id,displayName,deletedDateTime
ConsistencyLevel: eventual
Отклик
Примечание. Объект отклика, показанный здесь, может быть сокращен для удобочитаемости.
HTTP/1.1 200 OK
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#groups(id,displayName,deletedDateTime)",
"@odata.count": 2,
"value": [
{
"id": "c31799b8-0683-4d70-9e91-e032c89d3035",
"displayName": "Role assignable group",
"deletedDateTime": "2021-10-26T16:56:36Z"
},
{
"id": "74e45ce0-a52a-4766-976c-7201b0f99370",
"displayName": "Role assignable group",
"deletedDateTime": "2021-10-26T16:58:37Z"
}
]
}