Mitglied hinzufügen
Namespace: microsoft.graph
Wichtig
Die APIs unter der /beta
Version in Microsoft Graph können sich ändern. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in v1.0 verfügbar ist, verwenden Sie die Version Selektor.
Verwenden Sie diese API, um einer Verwaltungseinheit ein Mitglied (Benutzer, Gruppe oder Gerät) hinzuzufügen oder eine neue Gruppe innerhalb einer Verwaltungseinheit zu erstellen. Alle Gruppentypen können innerhalb einer Verwaltungseinheit erstellt werden.
Anmerkung: Derzeit ist es nur möglich, einer Verwaltungseinheit jeweils ein Mitglied hinzuzufügen."
Diese API ist in den folgenden nationalen Cloudbereitstellungen verfügbar.
Weltweiter Service | US Government L4 | US Government L5 (DOD) | China, betrieben von 21Vianet |
---|---|---|---|
✅ | ✅ | ✅ | ✅ |
Berechtigungen
Eine der nachfolgenden Berechtigungen ist erforderlich, um diese API aufrufen zu können. Weitere Informationen, unter anderem zur Auswahl von Berechtigungen, finden Sie unter Berechtigungen.
Berechtigungen zum Hinzufügen eines vorhandenen Benutzers, einer Gruppe oder eines vorhandenen Geräts
Berechtigungstyp | Berechtigungen (von der Berechtigung mit den wenigsten Rechten zu der mit den meisten Rechten) |
---|---|
Delegiert (Geschäfts-, Schul- oder Unikonto) | AdministrativeUnit.ReadWrite.All |
Delegiert (persönliches Microsoft-Konto) | Nicht unterstützt |
Anwendung | AdministrativeUnit.ReadWrite.All |
Wichtig
In delegierten Szenarien mit Geschäfts-, Schul- oder Unikonten muss der angemeldete Benutzer mitglied sein oder einer unterstützten Microsoft Entra Rolle oder einer benutzerdefinierten Rolle mit einer unterstützten Rollenberechtigung zugewiesen sein. Administrator für privilegierte Rollen ist die Rolle mit den geringsten Berechtigungen, die für diesen Vorgang unterstützt wird.
Berechtigungen zum Erstellen einer neuen Gruppe
Berechtigungstyp | Berechtigungen (von der Berechtigung mit den wenigsten Rechten zu der mit den meisten Rechten) |
---|---|
Delegiert (Geschäfts-, Schul- oder Unikonto) | Group.ReadWrite.All und AdministrativeUnit.Read.All, Directory.ReadWrite.All |
Delegiert (persönliches Microsoft-Konto) | Nicht unterstützt |
Anwendung | Group.Create und AdministrativeUnit.Read.All, Group.ReadWrite.All und AdministrativeUnit.Read.All, Directory.ReadWrite.All |
Wichtig
Um eine neue Gruppe in einer Verwaltungseinheit zu erstellen, muss dem aufrufenden Prinzipal mindestens eine der folgenden Microsoft Entra Rollen im Bereich der Verwaltungseinheit zugewiesen werden:
- Gruppen Administrator
- Benutzeradministrator
Für Reine-App-Szenarien : Abgesehen von diesen Rollen benötigt der Dienstprinzipal zusätzliche Berechtigungen zum Lesen des Verzeichnisses. Diese Berechtigungen können über die Zuweisung unterstützter Microsoft Entra Rollen erteilt werden, z. B. die Rolle "Verzeichnisleser", oder sie können über Microsoft Graph-Anwendungsberechtigungen erteilt werden, die das Lesen des Verzeichnisses ermöglichen, z. B. Directory.Read.All.
HTTP-Anforderung
Die folgende Anforderung fügt der Verwaltungseinheit einen vorhandenen Benutzer, eine vorhandene Gruppe oder ein vorhandenes Gerät hinzu.
POST /administrativeUnits/{id}/members/$ref
Die folgende Anforderung erstellt eine neue Gruppe innerhalb der Verwaltungseinheit.
POST /administrativeUnits/{id}/members
Anforderungsheader
Name | Beschreibung |
---|---|
Authorization | Bearer {token}. Erforderlich. Erfahren Sie mehr über Authentifizierung und Autorisierung. |
Content-type | application/json. Erforderlich. |
Hinzufügen eines vorhandenen Benutzers oder einer vorhandenen Gruppe
Geben Sie im Anforderungstext die id
eines hinzuzufügenden Benutzers, einer Gruppe, eines Geräts oder eines directoryObject an. Wenn die Verwaltungseinheit eine eingeschränkte Verwaltungseinheit (isMemberManagementRestricted
=true) ist, muss der Gruppentyp eine Microsoft Entra Sicherheitsgruppe sein. Es werden nur nicht vereinheitlichte Gruppen unterstützt, für die sicherheit, nicht E-Mail aktiviert und keine lokale Synchronisierung aktiviert ist.
Erstellen einer neuen Gruppe
In der folgenden Tabelle sind die Eigenschaften der Gruppenressource aufgeführt, die beim Erstellen einer Gruppe in der Verwaltungseinheit angegeben werden sollen.
Eigenschaft | Typ | Beschreibung |
---|---|---|
displayName | string | Der Name der Gruppe, der im Adressbuch angezeigt wird. Erforderlich. |
description | Zeichenfolge | Eine Beschreibung für die Gruppe. Optional. |
isAssignableToRole | Boolesch | Legen Sie diesen Wert auf true fest, damit die Gruppe einer Microsoft Entra Rolle zugewiesen werden kann. Administrator für privilegierte Rollen ist die Rolle mit den geringsten Berechtigungen zum Festlegen des Werts dieser Eigenschaft. Optional. |
mailEnabled | Boolesch | true für E-Mail-aktivierte Gruppen. Erforderlich. |
mailNickname | string | Der E-Mail-Alias für die Gruppe. Diese Zeichen können nicht in der mailNickname: @()\[]";:.<>,SPACE verwendet werden. Erforderlich. |
securityEnabled | Boolean | Für sicherheitsrelevante Gruppen, einschließlich Microsoft 365-Gruppen, auf true gesetzt. Erforderlich. |
owners | directoryObject collection | Diese Eigenschaft stellt die Besitzer für die Gruppe zum Zeitpunkt der Erstellung dar. Optional. |
members | directoryObject collection | Diese Eigenschaft stellt die Mitglieder der Gruppe zum Zeitpunkt der Erstellung dar. Optional. |
visibility | String | Gibt die Sichtbarkeit einer Microsoft 365-Gruppe an. Die folgenden Werte sind möglich: Private , Public , HiddenMembership , oder leer (als Public interpretiert). |
Antwort
Wenn dies erfolgreich ist, gibt das Hinzufügen eines vorhandenen Objekts (mit $ref
) den Antwortcode zurück 204 No Content
. Es gibt nichts im Antworttext zurück.
Beim Erstellen einer neuen Gruppe (ohne $ref
) gibt diese Methode einen 201 Created
Antwortcode und ein Gruppenobjekt im Antworttext zurück. Die Antwort enthält nur die Standardeigenschaften der Gruppe. Sie müssen die "@odata.type" : "#microsoft.graph.group"
Zeile im Anforderungstext angeben, um das neue Mitglied explizit als Gruppe zu identifizieren. Ein Anforderungstext ohne den richtigen @odata.type gibt eine 400 Bad Request
Fehlermeldung zurück.
Beispiele
Beispiel 1: Hinzufügen eines vorhandenen Benutzers oder einer vorhandenen Gruppe
Im Folgenden wird der Verwaltungseinheit ein vorhandener Benutzer oder eine vorhandene Gruppe hinzugefügt.
Anforderung
Das folgende Beispiel zeigt eine Anfrage.
POST https://graph.microsoft.com/beta/administrativeUnits/{id}/members/$ref
Content-type: application/json
{
"@odata.id":"https://graph.microsoft.com/beta/groups/{id}"
}
Geben Sie im Anforderungstext den id
des Benutzers, der Gruppe oder des Geräteobjekts an, das Sie hinzufügen möchten.
Antwort
Das folgende Beispiel zeigt die Antwort.
HTTP/1.1 204 No Content
Beispiel 2: Erstellen einer neuen Gruppe
Im folgenden Beispiel wird eine neue Gruppe in der Verwaltungseinheit erstellt. Sie müssen die "@odata.type" : "#microsoft.graph.group"
Zeile im Anforderungstext angeben, um das neue Mitglied explizit als Gruppe zu identifizieren. Ein Anforderungstext ohne den richtigen @odata.type gibt eine 400 Bad Request
Fehlermeldung zurück.
Anforderung
Das folgende Beispiel zeigt eine Anfrage.
POST https://graph.microsoft.com/beta/administrativeUnits/{id}/members
Content-type: application/json
{
"@odata.type": "#microsoft.graph.group",
"description": "Self help community for golf",
"displayName": "Golf Assist",
"groupTypes": [
"Unified"
],
"mailEnabled": true,
"mailNickname": "golfassist",
"securityEnabled": false
}
Geben Sie im Anforderungstext die Eigenschaften des Gruppenobjekts an, das Sie hinzufügen möchten.
Antwort
Das folgende Beispiel zeigt die Antwort.
Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.
HTTP/1.1 201 Created
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#groups/$entity",
"id": "45b7d2e7-b882-4a80-ba97-10b7a63b8fa4",
"deletedDateTime": null,
"classification": null,
"createdDateTime": "2018-12-22T02:21:05Z",
"description": "Self help community for golf",
"displayName": "Golf Assist",
"expirationDateTime": null,
"groupTypes": [
"Unified"
],
"isAssignableToRole": null,
"mail": "golfassist@contoso.com",
"mailEnabled": true,
"mailNickname": "golfassist",
"membershipRule": null,
"membershipRuleProcessingState": null,
"onPremisesLastSyncDateTime": null,
"onPremisesSecurityIdentifier": null,
"onPremisesSyncEnabled": null,
"preferredDataLocation": "CAN",
"preferredLanguage": null,
"proxyAddresses": [
"SMTP:golfassist@contoso.com"
],
"renewedDateTime": "2018-12-22T02:21:05Z",
"resourceBehaviorOptions": [],
"resourceProvisioningOptions": [],
"securityEnabled": false,
"securityIdentifier": "S-1-12-1-1753967289-1089268234-832641959-555555555",
"theme": null,
"visibility": "Public",
"onPremisesProvisioningErrors": []
}