Verwalten von Gruppen in Microsoft Graph

Gruppen in Microsoft Graph sind Container für Prinzipale wie Benutzer, Geräte oder Anwendungen, die den Zugriff auf Ressourcen gemeinsam nutzen. Sie vereinfachen die Zugriffsverwaltung, indem Prinzipale gruppiert werden, anstatt sie einzeln zu verwalten.

Der Gruppenressourcentyp in Microsoft Graph stellt APIs zum Erstellen und Verwalten unterstützter Gruppentypen und deren Funktionen bereit.

Hinweis

• Sie können Gruppen nur mit Geschäfts-, Schul- oder Unikonten erstellen. Persönliche Microsoft-Konten unterstützen keine Gruppen.
• Alle gruppenbezogenen Vorgänge in Microsoft Graph benötigen die Zustimmung des Administrators.

In Microsoft Graph unterstützte Gruppentypen

Microsoft Graph unterstützt diese Gruppentypen:

• Microsoft 365-Gruppen
• Sicherheitsgruppen
• E-Mail-aktivierte Sicherheitsgruppen
• Verteilergruppen

Hinweis

Dynamische Verteilergruppen werden in Microsoft Graph nicht unterstützt.

Die folgende Tabelle zeigt, wie Gruppentypen anhand ihrer Eigenschaften identifiziert werden und ob sie über die Microsoft Graph-Gruppen-API verwaltet werden können. Die wichtigsten Unterscheidungsmerkmale sind die Werte in den Eigenschaften groupTypes, mailEnabled und securityEnabled einer Gruppe.

Typ	groupTypes	mailEnabled	securityEnabled	Verwaltet über Microsoft Graph
Microsoft 365-Gruppen	["Unified"]	true	true oder false	Ja
Sicherheitsgruppen	[]	false	true	Ja
E-Mail-aktivierte Sicherheitsgruppen	[]	true	true	Nein (schreibgeschützt)
Verteilergruppen	[]	true	false	Nein (schreibgeschützt)

Weitere Informationen finden Sie unter Vergleichen von Gruppen in Microsoft Entra ID.

Microsoft 365-Gruppen

Microsoft 365-Gruppen sind für die Zusammenarbeit konzipiert und bieten Zugriff auf freigegebene Ressourcen wie:

• Outlook-Unterhaltungen und -Kalender.
• SharePoint-Dateien und Teamwebsite.
• OneNote-Notizbuch.
• Planner Pläne.
• Intune Geräteverwaltung.

Hier sehen Sie ein Beispiel für eine Microsoft 365-Gruppe im JSON-Format:

HTTP/1.1 201 Created
Content-type: application/json

HTTP/1.1 201 Created
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#groups/$entity",
    "id": "4c5ee71b-e6a5-4343-9e2c-4244bc7e0938",
    "displayName": "OutlookGroup101",
    "groupTypes": ["Unified"],
    "mailEnabled": true,
    "securityEnabled": false,
    "mail": "outlookgroup101@service.microsoft.com",
    "visibility": "Public"
}

Weitere Informationen zu Microsoft 365-Gruppen finden Sie unter Übersicht über Microsoft 365-Gruppen in Microsoft Graph.

Sicherheitsgruppen und E-Mail-aktivierte Sicherheitsgruppen

Sicherheitsgruppen steuern den Zugriff auf Ressourcen. Sie können Benutzer, andere Gruppen, Geräte und Dienstprinzipale umfassen.

E-Mail-aktivierte Sicherheitsgruppen funktionieren wie Sicherheitsgruppen, ermöglichen aber auch die E-Mail-Kommunikation. Diese Gruppen sind in Microsoft Graph schreibgeschützt. Weitere Informationen finden Sie unter Verwalten von E-Mail-aktivierten Sicherheitsgruppen.

Beispiel für eine Sicherheitsgruppe im JSON-Format:

HTTP/1.1 201 Created
Content-type: application/json

{
    "@odata.type": "#microsoft.graph.group",
    "id": "f87faa71-57a8-4c14-91f0-517f54645106",
    "displayName": "SecurityGroup101",
    "groupTypes": [],
    "mailEnabled": false,
    "securityEnabled": true
}

Gruppenmitgliedschaft

Gruppen können statische oder dynamische Mitgliedschaften aufweisen. Die dynamische Mitgliedschaft verwendet Regeln, um Elemente basierend auf ihren Eigenschaften automatisch hinzuzufügen oder zu entfernen. Nicht alle Objekttypen können Mitglieder von Microsoft 365 und Sicherheitsgruppen sein.

Die folgende Tabelle zeigt die Typen von Mitgliedern, die entweder Sicherheitsgruppen oder Microsoft 365-Gruppen hinzugefügt werden können.

Objekttyp	Mitglied der Sicherheitsgruppe	Mitglied einer Microsoft 365-Gruppe
Benutzer
Sicherheitsgruppe
Microsoft 365 Gruppe
Gerät
Dienstprinzipal
Organisationskontakte

Dynamische Mitgliedschaft

Dynamische Mitgliedschaft bedeutet, dass Prinzipale der Gruppe basierend auf ihren Eigenschaften hinzugefügt oder daraus entfernt werden. Beispielsweise kann eine Gruppe so festgelegt werden, dass alle Benutzer in der Abteilung "Marketing" enthalten sind. Wenn ein Benutzer dieser Abteilung hinzugefügt wird, wird er automatisch der Gruppe hinzugefügt. Wenn ein Benutzer die Abteilung verlässt, wird er aus der Gruppe entfernt.

Nur Benutzer und Geräte können Mitglieder einer dynamischen Gruppe sein. Die dynamische Mitgliedschaft erfordert eine Microsoft Entra ID P1-Lizenz für jeden eindeutigen Benutzer in einer dynamischen Gruppe.

Die Mitgliedschaftsregel wird mithilfe der Syntax der Microsoft Entra ID dynamischen Gruppenregel definiert.

Beispiel für eine dynamische Mitgliedschaftsregel:

"membershipRule": "user.department -eq \"Marketing\""

Die dynamische Mitgliedschaft erfordert den "DynamicMembership" Wert in der groupTypes-Eigenschaft . Die dynamische Mitgliedschaftsregel kann über die EigenschaftmembershipRuleProcessingState aktiviert oder deaktiviert werden. Sie können eine Gruppe von der statischen Mitgliedschaft in die dynamische Mitgliedschaft aktualisieren.

Beispielanforderung zum Erstellen einer dynamischen Microsoft 365-Gruppe:

HTTP

POST https://graph.microsoft.com/v1.0/groups
Content-type: application/json

{
    "description": "Marketing department folks",
    "displayName": "Marketing department",
    "groupTypes": [
        "Unified",
        "DynamicMembership"
    ],
    "mailEnabled": true,
    "mailNickname": "marketing",
    "securityEnabled": false,
    "membershipRule": "user.department -eq \"Marketing\"",
    "membershipRuleProcessingState": "on"
}

C#

// Code snippets are only available for the latest version. Current version is 5.x

// Dependencies
using Microsoft.Graph.Models;

var requestBody = new Group
{
	Description = "Marketing department folks",
	DisplayName = "Marketing department",
	GroupTypes = new List<string>
	{
		"Unified",
		"DynamicMembership",
	},
	MailEnabled = true,
	MailNickname = "marketing",
	SecurityEnabled = false,
	MembershipRule = "user.department -eq \"Marketing\"",
	MembershipRuleProcessingState = "on",
};

// To initialize your graphClient, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=csharp
var result = await graphClient.Groups.PostAsync(requestBody);

Einzelheiten darüber, wie Sie das SDK zu Ihrem Projekt hinzufügen und eine authProvider-Instanz erstellen, finden Sie in der SDK-Dokumentation.

CLI

mgc groups create --body '{\
    "description": "Marketing department folks",\
    "displayName": "Marketing department",\
    "groupTypes": [\
        "Unified",\
        "DynamicMembership"\
    ],\
    "mailEnabled": true,\
    "mailNickname": "marketing",\
    "securityEnabled": false,\
    "membershipRule": "user.department -eq \"Marketing\"",\
    "membershipRuleProcessingState": "on"\
}\
'

Einzelheiten darüber, wie Sie das SDK zu Ihrem Projekt hinzufügen und eine authProvider-Instanz erstellen, finden Sie in der SDK-Dokumentation.

Go

// Code snippets are only available for the latest major version. Current major version is $v1.*

// Dependencies
import (
	  "context"
	  msgraphsdk "github.com/microsoftgraph/msgraph-sdk-go"
	  graphmodels "github.com/microsoftgraph/msgraph-sdk-go/models"
	  //other-imports
)

requestBody := graphmodels.NewGroup()
description := "Marketing department folks"
requestBody.SetDescription(&description) 
displayName := "Marketing department"
requestBody.SetDisplayName(&displayName) 
groupTypes := []string {
	"Unified",
	"DynamicMembership",
}
requestBody.SetGroupTypes(groupTypes)
mailEnabled := true
requestBody.SetMailEnabled(&mailEnabled) 
mailNickname := "marketing"
requestBody.SetMailNickname(&mailNickname) 
securityEnabled := false
requestBody.SetSecurityEnabled(&securityEnabled) 
membershipRule := "user.department -eq \"Marketing\""
requestBody.SetMembershipRule(&membershipRule) 
membershipRuleProcessingState := "on"
requestBody.SetMembershipRuleProcessingState(&membershipRuleProcessingState) 

// To initialize your graphClient, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=go
groups, err := graphClient.Groups().Post(context.Background(), requestBody, nil)

Einzelheiten darüber, wie Sie das SDK zu Ihrem Projekt hinzufügen und eine authProvider-Instanz erstellen, finden Sie in der SDK-Dokumentation.

Java

// Code snippets are only available for the latest version. Current version is 6.x

GraphServiceClient graphClient = new GraphServiceClient(requestAdapter);

Group group = new Group();
group.setDescription("Marketing department folks");
group.setDisplayName("Marketing department");
LinkedList<String> groupTypes = new LinkedList<String>();
groupTypes.add("Unified");
groupTypes.add("DynamicMembership");
group.setGroupTypes(groupTypes);
group.setMailEnabled(true);
group.setMailNickname("marketing");
group.setSecurityEnabled(false);
group.setMembershipRule("user.department -eq \"Marketing\"");
group.setMembershipRuleProcessingState("on");
Group result = graphClient.groups().post(group);

Einzelheiten darüber, wie Sie das SDK zu Ihrem Projekt hinzufügen und eine authProvider-Instanz erstellen, finden Sie in der SDK-Dokumentation.

JavaScript

const options = {
	authProvider,
};

const client = Client.init(options);

const group = {
    description: 'Marketing department folks',
    displayName: 'Marketing department',
    groupTypes: [
        'Unified',
        'DynamicMembership'
    ],
    mailEnabled: true,
    mailNickname: 'marketing',
    securityEnabled: false,
    membershipRule: 'user.department -eq \"Marketing\"',
    membershipRuleProcessingState: 'on'
};

await client.api('/groups')
	.post(group);

Einzelheiten darüber, wie Sie das SDK zu Ihrem Projekt hinzufügen und eine authProvider-Instanz erstellen, finden Sie in der SDK-Dokumentation.

PHP

<?php
use Microsoft\Graph\GraphServiceClient;
use Microsoft\Graph\Generated\Models\Group;


$graphServiceClient = new GraphServiceClient($tokenRequestContext, $scopes);

$requestBody = new Group();
$requestBody->setDescription('Marketing department folks');
$requestBody->setDisplayName('Marketing department');
$requestBody->setGroupTypes(['Unified', 'DynamicMembership', 	]);
$requestBody->setMailEnabled(true);
$requestBody->setMailNickname('marketing');
$requestBody->setSecurityEnabled(false);
$requestBody->setMembershipRule('user.department -eq \"Marketing\"');
$requestBody->setMembershipRuleProcessingState('on');

$result = $graphServiceClient->groups()->post($requestBody)->wait();

Einzelheiten darüber, wie Sie das SDK zu Ihrem Projekt hinzufügen und eine authProvider-Instanz erstellen, finden Sie in der SDK-Dokumentation.

PowerShell

Import-Module Microsoft.Graph.Groups

$params = @{
	description = "Marketing department folks"
	displayName = "Marketing department"
	groupTypes = @(
	"Unified"
"DynamicMembership"
)
mailEnabled = $true
mailNickname = "marketing"
securityEnabled = $false
membershipRule = "user.department -eq "Marketing""
membershipRuleProcessingState = "on"
}

New-MgGroup -BodyParameter $params

Einzelheiten darüber, wie Sie das SDK zu Ihrem Projekt hinzufügen und eine authProvider-Instanz erstellen, finden Sie in der SDK-Dokumentation.

Python

# Code snippets are only available for the latest version. Current version is 1.x
from msgraph import GraphServiceClient
from msgraph.generated.models.group import Group
# To initialize your graph_client, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=python
request_body = Group(
	description = "Marketing department folks",
	display_name = "Marketing department",
	group_types = [
		"Unified",
		"DynamicMembership",
	],
	mail_enabled = True,
	mail_nickname = "marketing",
	security_enabled = False,
	membership_rule = "user.department -eq \"Marketing\"",
	membership_rule_processing_state = "on",
)

result = await graph_client.groups.post(request_body)

Einzelheiten darüber, wie Sie das SDK zu Ihrem Projekt hinzufügen und eine authProvider-Instanz erstellen, finden Sie in der SDK-Dokumentation.

Die Anforderung gibt einen 201 Created Antwortcode und das neu erstellte Gruppenobjekt im Antworttext zurück.

Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.

HTTP/1.1 201 Created
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#groups/$entity",
    "id": "6f7cd676-5445-47c4-9c2b-c47da4671da2",
    "createdDateTime": "2023-01-20T07:00:31Z",
    "description": "Marketing department folks",
    "displayName": "Marketing department",
    "groupTypes": [
        "Unified",
        "DynamicMembership"
    ],
    "mail": "marketing@contoso.com",
    "mailEnabled": true,
    "mailNickname": "marketing",
    "membershipRule": "user.department -eq \"Marketing\"",
    "membershipRuleProcessingState": "On"
}

Andere Gruppeneinstellungen

Sie können andere Einstellungen für Gruppen konfigurieren, z. B.:

Einstellung	Gilt für
Gruppenablauf	Microsoft 365-Gruppen
Gruppeneinstellungen	Microsoft 365-Gruppen
Einstellungen für die lokale Synchronisierung	Sicherheit und Microsoft 365-Gruppen

Einschränkungen der Gruppensuche für Gäste in Organisationen

Apps können nach Gruppen im Verzeichnis eines organization suchen, https://graph.microsoft.com/beta/groupsindem sie die /groups Ressource abfragen (z. B. ). Diese Funktion ist für Administratoren und Mitglieder verfügbar, aber nicht für Gäste.

Gäste können abhängig von den Berechtigungen, die der App gewährt werden, das Profil einer bestimmten Gruppe anzeigen (z. B https://graph.microsoft.com/beta/group/fc06287e-d082-4aab-9d5e-d6fd0ed7c8bc. ). Sie können jedoch keine Abfragen für die Ressource ausführen, die /groups mehrere Ergebnisse zurückgeben.

Mitglieder haben in der Regel einen breiteren Zugriff auf Gruppenressourcen, während Gäste über eingeschränkte Berechtigungen verfügen, wodurch ihr Zugriff auf bestimmte Gruppenfeatures eingeschränkt wird. Weitere Informationen finden Sie unter Vergleichen von Standardberechtigungen für Member und Gast.

Mit entsprechenden Berechtigungen können Apps über Navigationseigenschaften wie auf /groups/{id}/membersGruppenprofile zugreifen.

Gruppenbasierte Lizenzierung

Mit der gruppenbasierten Lizenzierung können Sie einer Microsoft Entra Gruppe eine oder mehrere Produktlizenzen zuweisen. Gruppenmitglieder, einschließlich aller neuen Mitglieder, erben automatisch die Lizenzen. Wenn Mitglieder die Gruppe verlassen, werden ihre Lizenzen automatisch entfernt. Dieses Feature ist nur für Sicherheitsgruppen und Microsoft 365-Gruppen verfügbar, bei denen securityEnabled auf truefestgelegt ist.

Weitere Informationen finden Sie unter Was ist die gruppenbasierte Lizenzierung in Microsoft Entra ID?.

Außerhalb des Standard Datenspeichers gespeicherte Eigenschaften

Die meisten Gruppenressourcendaten werden in Microsoft Entra ID gespeichert, aber einige Eigenschaften wie autoSubscribeNewMembers und allowExternalSenders werden in Microsoft Exchange gespeichert. Diese Eigenschaften können nicht im gleichen Create- oder Update-Anforderungstext wie andere Gruppeneigenschaften enthalten sein.

Darüber hinaus werden Eigenschaften, die außerhalb des Standard Datenspeichers gespeichert sind, für die Änderungsnachverfolgung nicht unterstützt. Änderungen an diesen Eigenschaften werden in Deltaabfrageantworten nicht angezeigt.

Die folgenden Gruppeneigenschaften werden außerhalb des Standard Datenspeichers gespeichert:
accessType, allowExternalSenders, autoSubscribeNewMembers, cloudLicensing, hideFromAddressLists, hideFromOutlookClients, isFavorite, isSubscribedByMail, unseenConversationsCount, unseenCount, unseenMessagesCount, membershipRuleProcessingStatus, isArchived.

Häufige Anwendungsfälle für die Gruppen-API

Die Microsoft Graph-Gruppen-API unterstützt diese allgemeinen Vorgänge:

Anwendungsfall	API-Vorgänge
Erstellen und Verwalten von Gruppen	Erstellen, Auflisten, Aktualisieren und Löschen
Gruppenmitgliedschaft verwalten	Mitglieder auflisten, Mitglied hinzufügen und Mitglied entfernen
Verwalten des Gruppenbesitzes	Besitzer auflisten, Besitzer hinzufügen und Besitzer entfernen
Microsoft 365-Gruppenfunktionalität	Verwalten von Unterhaltungen, Kalenderereignissen, OneNote-Notizbüchern und Aktivieren für Teams

Microsoft Entra Rollen zum Verwalten von Gruppen

Zum Verwalten von Gruppen muss der angemeldete Benutzer über die entsprechenden Microsoft Graph-Berechtigungen verfügen und einer unterstützten Microsoft Entra Rolle zugewiesen werden.

Die am wenigsten privilegierten Rollen zum Verwalten von Gruppen sind:

• Verzeichnisautoren
• Gruppenadministrator
• Benutzeradministrator

Weitere Informationen finden Sie unter Am wenigsten privilegierte Rollen zum Verwalten von Gruppen.

Nächster Schritt

Beginnen Sie mit der Arbeit mit Gruppen