Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Namespace: microsoft.graph
Ruft eine Liste der zuletzt gelöschten Verzeichnisobjekte ab. Derzeit wird die Funktionalität gelöschter Elemente nur für die Anwendungs-, servicePrincipal-, Gruppen-, Verwaltungseinheit- und Benutzerressourcen unterstützt.
Ruft eine Liste der zuletzt gelöschten Verzeichnisobjekte aus gelöschten Elementen ab. Die folgenden Typen werden unterstützt:
- administrativeUnit
- application
- certificateBasedAuthPki
- certificateAuthorityDetail
- group
- servicePrincipal
- user
Diese API ist in den folgenden nationalen Cloudbereitstellungen verfügbar.
| Weltweiter Service | US Government L4 | US Government L5 (DOD) | China, betrieben von 21Vianet |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Berechtigungen
In der folgenden Tabelle sind die Berechtigungen mit den geringsten Berechtigungen aufgeführt, die zum Aufrufen dieser API für jeden unterstützten Ressourcentyp erforderlich sind. Befolgen Sie bewährte Methoden , um Berechtigungen mit den geringsten Berechtigungen anzufordern. Ausführliche Informationen zu delegierten Berechtigungen und Anwendungsberechtigungen finden Sie unter Berechtigungstypen. Weitere Informationen zu diesen Berechtigungen finden Sie in der Berechtigungsreferenz.
| Unterstützte Ressource | Delegiert (Geschäfts-, Schul- oder Unikonto) | Delegiert (persönliches Microsoft-Konto) | Application |
|---|---|---|---|
| administrativeUnit | AdministrativeUnit.Read.All | Nicht unterstützt | AdministrativeUnit.Read.All |
| application | Application.Read.All | Nicht unterstützt | Application.Read.All |
| certificateBasedAuthPki | PublicKeyInfrastructure.Read.All | Nicht unterstützt | PublicKeyInfrastructure.Read.All |
| certificateAuthorityDetail | PublicKeyInfrastructure.Read.All | Nicht unterstützt | PublicKeyInfrastructure.Read.All |
| group | Group.Read.All | Nicht unterstützt | Group.Read.All |
| servicePrincipal | Application.Read.All | Nicht unterstützt | Application.Read.All |
| user | User.Read.All | Nicht unterstützt | User.Read.All |
Wichtig
Wenn eine Anwendung eine Beziehung abfragt, die eine directoryObject-Typauflistung zurückgibt, wenn sie nicht über die Berechtigung zum Lesen eines bestimmten Ressourcentyps verfügt, werden Member dieses Typs zurückgegeben, aber mit eingeschränkten Informationen. Beispielsweise wird nur die @odata.type-Eigenschaft für den Objekttyp und die ID zurückgegeben, während andere Eigenschaften als nullangegeben werden. Mit diesem Verhalten können Anwendungen die am wenigsten privilegierten Berechtigungen anfordern, die sie benötigen, anstatt sich auf den Satz von Verzeichnis zu verlassen.*Erlaubnisse. Einzelheiten finden Sie unter Eingeschränkte Informationen, die für nicht zugängliche Mitgliedsobjekte zurückgegeben werden.
Wichtig
In delegierten Szenarien mit Geschäfts-, Schul- oder Unikonten muss dem angemeldeten Benutzer eine unterstützte Microsoft Entra Rolle oder eine benutzerdefinierte Rolle mit einer unterstützten Rollenberechtigung zugewiesen werden. Die folgenden Rollen mit den geringsten Berechtigungen werden für diesen Vorgang unterstützt.
- Verwaltungseinheiten: Verzeichnisleser (schreibgeschützt), Globale Leser (schreibgeschützt), Administrator für privilegierte Rollen
- Anwendungen: Hybrididentitätsadministrator, Cloudanwendungsadministrator, Anwendungsadministrator
- Externe Benutzerprofile: Globaler Leser (schreibgeschützt), Skype for Business Administrator, Teams-Administrator
- Gruppen: Gruppenadministrator (mit Ausnahme von Gruppen, die Rollen zugewiesen werden können), Benutzeradministrator (außer Gruppen, die Rollen zugewiesen werden können), Administrator für privilegierte Rollen (Rolle mit den geringsten Berechtigungen für Gruppen, die Rollen zugewiesen werden können)
- Ausstehende externe Benutzerprofile: Globaler Leser (schreibgeschützt), Skype for Business Administrator, Teams-Administrator
- Dienstprinzipale: Hybrididentitätsadministrator, Cloudanwendungsadministrator, Anwendungsadministrator
- Benutzer: Authentifizierungsadministrator, Privilegierter Authentifizierungsadministrator, Benutzeradministrator. So stellen Sie jedoch Benutzer mit privilegierten Administratorrollen wieder her:
- In delegierten Szenarios muss der App die delegierte Berechtigung Directory.AccessAsUser.All zugewiesen werden, und dem aufrufenden Benutzer muss auch eine Administratorrolle mit höheren Berechtigungen zugewiesen werden, wie unter Wer kann vertrauliche Aktionen ausführen? angegeben.
- In Reinen App-Szenarien und zusätzlich zur Gewährung der Anwendungsberechtigung User.ReadWrite.All muss der App eine Administratorrolle mit höheren Berechtigungen zugewiesen werden, wie unter Wer kann vertrauliche Aktionen ausführen? angegeben.
HTTP-Anforderung
GET /directory/deletedItems/microsoft.graph.administrativeUnit
GET /directory/deletedItems/microsoft.graph.application
GET /directory/deletedItems/microsoft.graph.certificateBasedAuthPki
GET /directory/deletedItems/microsoft.graph.certificateAuthorityDetail
GET /directory/deletedItems/microsoft.graph.servicePrincipal
GET /directory/deletedItems/microsoft.graph.group
GET /directory/deletedItems/microsoft.graph.user
Der OData-Umwandlungstyp ist ein erforderlicher Teil des URI, und das Aufrufen GET /directory/deleteditems ohne einen Typ wird nicht unterstützt.
Optionale Abfrageparameter
Diese Methode unterstützt die Abfrageparameter, die von der Ressource unterstützt werden, die von der OData-Umwandlung angegeben wird. Dies sind die $countAbfrageparameter , $expand, $filter, $orderby$search, $selectund $top . Diese API gibt standardmäßig 100 Objekte zurück und unterstützt die Rückgabe von bis zu 999 Objekten pro Seite mithilfe von $top.
Einige Abfragen werden nur unterstützt, wenn Sie die Kopfzeile ConsistencyLevel verwenden, die auf eventual und $count festgelegt ist. Zum Beispiel:
GET https://graph.microsoft.com/beta/directory/deletedItems/microsoft.graph.group?&$count=true&$orderby=deletedDateTime desc&$select=id,displayName,deletedDateTime
ConsistencyLevel: eventual
In diesem Beispiel ist der ConsistencyLevel-Header erforderlich, da die $orderby Abfrageparameter und $count in der Abfrage verwendet werden.
Beispiele für OData-Abfrageparameter $orderby
Der $orderby OData-Abfrageparameter wird für die Eigenschaften deletedDateTime, displayName und userPrincipalName der gelöschten Objekttypen unterstützt. Für die deletedDateTime-Eigenschaft erfordert die Abfrage das Hinzufügen der erweiterten Abfrageparameter (ConsistencyLevel-Header , festgelegt auf eventual und $count=true Abfragezeichenfolge).
| OData-Umwandlung | Eigenschaften, die $orderby unterstützen | Beispiel |
|---|---|---|
| microsoft.graph.user | deletedDateTime, displayName, userPrincipalName | /directory/deletedItems/microsoft.graph.user?$orderby=userPrincipalName |
| microsoft.graph.group | deletedDateTime, displayName | /directory/deletedItems/microsoft.graph.group?$orderby=deletedDateTime asc&$count=true |
| microsoft.graph.application | deletedDateTime, displayName | /directory/deletedItems/microsoft.graph.application?$orderby=displayName |
| microsoft.graph.device | deletedDateTime, displayName | /directory/deletedItems/microsoft.graph.device?$orderby=deletedDateTime&$count=true |
Anforderungsheader
| Name | Beschreibung |
|---|---|
| Authorization | Bearer {token}. Erforderlich. Erfahren Sie mehr über Authentifizierung und Autorisierung. |
| Annehmen | application/json |
Anforderungstext
Geben Sie keinen Anforderungstext für diese Methode an.
Antwort
Wenn die Methode erfolgreich verläuft, werden der Antwortcode 200 OK und eine Sammlung von directoryObject-Objekten im Antworttext zurückgegeben.
Beispiele
Beispiel 1: Abrufen gelöschter Gruppen
Anforderung
GET https://graph.microsoft.com/v1.0/directory/deletedItems/microsoft.graph.group
Antwort
Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.
HTTP/1.1 200 OK
Content-type: application/json
{
"@odata.context":"https://graph.microsoft.com/v1.0/$metadata#groups",
"value": [
{
"id":"46cc6179-19d0-473e-97ad-6ff84347bbbb",
"displayName":"SampleGroup",
"groupTypes":["Unified"],
"mail":"example@contoso.com",
"mailEnabled":true,
"mailNickname":"Example",
"securityEnabled":false,
"visibility":"Public"
}
]
}
Beispiel 2: Abrufen der Anzahl der gelöschten Benutzerobjekte und Sortieren der Ergebnisse nach der deletedDateTime-Eigenschaft
Anforderung
GET https://graph.microsoft.com/v1.0/directory/deletedItems/microsoft.graph.group?$count=true&$orderby=deletedDateTime asc&$select=id,DisplayName,deletedDateTime
ConsistencyLevel: eventual
Antwort
Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.
HTTP/1.1 200 OK
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#groups(id,displayName,deletedDateTime)",
"@odata.count": 2,
"value": [
{
"id": "c31799b8-0683-4d70-9e91-e032c89d3035",
"displayName": "Role assignable group",
"deletedDateTime": "2021-10-26T16:56:36Z"
},
{
"id": "74e45ce0-a52a-4766-976c-7201b0f99370",
"displayName": "Role assignable group",
"deletedDateTime": "2021-10-26T16:58:37Z"
}
]
}