Gérer des groupes dans Microsoft Graph

Les groupes dans Microsoft Graph sont des conteneurs pour les principaux tels que les utilisateurs, les appareils ou les applications qui partagent l’accès aux ressources. Ils facilitent la gestion des accès en regroupant les principaux au lieu de les gérer individuellement.

Le type de ressource de groupe dans Microsoft Graph fournit des API pour créer et gérer les types de groupes pris en charge et leurs fonctionnalités.

Remarque

• Vous pouvez uniquement créer des groupes à l’aide de comptes professionnels ou scolaires. Les comptes Microsoft personnels ne prennent pas en charge les groupes.
• Toutes les opérations liées aux groupes dans Microsoft Graph nécessitent le consentement de l’administrateur.

Types de groupes pris en charge dans Microsoft Graph

Microsoft Graph prend en charge ces types de groupes :

• Groupes Microsoft 365
• Groupes de sécurité
• Groupes de sécurité à extension messagerie
• Groupes de distribution

Remarque

Les groupes de distribution dynamiques ne sont pas pris en charge dans Microsoft Graph.

Le tableau suivant montre comment identifier les types de groupes à l’aide de leurs propriétés et s’ils peuvent être gérés via l’API de groupes Microsoft Graph. Les principaux différateurs sont les valeurs des propriétés groupTypes, mailEnabled et securityEnabled d’un groupe.

Type	groupTypes	mailEnabled	securityEnabled	Géré via Microsoft Graph
Groupes Microsoft 365	["Unified"]	true	true ou false	Oui
Groupes de sécurité	[]	false	true	Oui
Groupes de sécurité à extension messagerie	[]	true	true	Non (lecture seule)
Groupes de distribution	[]	true	false	Non (lecture seule)

Pour plus d’informations, consultez Comparer des groupes dans Microsoft Entra ID.

Groupes Microsoft 365

Groupes Microsoft 365 sont conçues pour la collaboration et fournissent l’accès à des ressources partagées telles que :

• Conversations et calendrier Outlook.
• Fichiers SharePoint et site d’équipe.
• Bloc-notes OneNote.
• Planificateur plans.
• Intune la gestion des appareils.

Voici un exemple de groupe Microsoft 365 au format JSON :

HTTP/1.1 201 Created
Content-type: application/json

HTTP/1.1 201 Created
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#groups/$entity",
    "id": "4c5ee71b-e6a5-4343-9e2c-4244bc7e0938",
    "displayName": "OutlookGroup101",
    "groupTypes": ["Unified"],
    "mailEnabled": true,
    "securityEnabled": false,
    "mail": "outlookgroup101@service.microsoft.com",
    "visibility": "Public"
}

Pour en savoir plus sur Groupes Microsoft 365, consultez Vue d’ensemble de Groupes Microsoft 365 dans Microsoft Graph.

Groupes de sécurité et groupes de sécurité à extension messagerie

Les groupes de sécurité contrôlent l’accès aux ressources. Ils peuvent inclure des utilisateurs, d’autres groupes, des appareils et des principaux de service.

Les groupes de sécurité à extension messagerie fonctionnent comme les groupes de sécurité, mais autorisent également la communication par e-mail. Ces groupes sont en lecture seule dans Microsoft Graph. Pour plus d'informations, voir Gérer les groupes de sécurité à extension de messagerie.

Exemple de groupe de sécurité au format JSON :

HTTP/1.1 201 Created
Content-type: application/json

{
    "@odata.type": "#microsoft.graph.group",
    "id": "f87faa71-57a8-4c14-91f0-517f54645106",
    "displayName": "SecurityGroup101",
    "groupTypes": [],
    "mailEnabled": false,
    "securityEnabled": true
}

Appartenance aux groupes

Les groupes peuvent avoir des appartenances statiques ou dynamiques. L’appartenance dynamique utilise des règles pour ajouter ou supprimer automatiquement des membres en fonction de leurs propriétés. Tous les types d’objets ne peuvent pas être membres de Microsoft 365 et de groupes de sécurité.

Le tableau suivant présente les types de membres qui peuvent être ajoutés à des groupes de sécurité ou à des groupes Microsoft 365.

Type d’objet	Membre du groupe de sécurité	Membre du groupe Microsoft 365
Utilisateur
Groupe de sécurité
Groupe Microsoft 365
Appareil
Principal de service
Contact de l’organisation

Appartenance dynamique

L’appartenance dynamique signifie que les principaux sont ajoutés ou supprimés du groupe en fonction de leurs propriétés. Par exemple, un groupe peut être défini pour inclure tous les utilisateurs dans le service « Marketing ». Lorsqu’un utilisateur est ajouté à ce service, il est automatiquement ajouté au groupe. De même, si un utilisateur quitte le service, il est supprimé du groupe.

Seuls les utilisateurs et les appareils peuvent être membres d’un groupe dynamique. L’appartenance dynamique nécessite une licence Microsoft Entra ID P1 pour chaque utilisateur unique dans un groupe dynamique.

La règle d’appartenance est définie à l’aide de la syntaxe de règle de groupe dynamique Microsoft Entra ID.

Exemple de règle d’appartenance dynamique :

"membershipRule": "user.department -eq \"Marketing\""

L’appartenance dynamique nécessite la "DynamicMembership" valeur dans la propriété groupTypes . La règle d’appartenance dynamique peut être activée ou désactivée via la propriété membershipRuleProcessingState. Vous pouvez mettre à jour un groupe de l’appartenance statique à l’appartenance dynamique.

Exemple de demande de création d’un groupe Microsoft 365 dynamique :

HTTP

POST https://graph.microsoft.com/v1.0/groups
Content-type: application/json

{
    "description": "Marketing department folks",
    "displayName": "Marketing department",
    "groupTypes": [
        "Unified",
        "DynamicMembership"
    ],
    "mailEnabled": true,
    "mailNickname": "marketing",
    "securityEnabled": false,
    "membershipRule": "user.department -eq \"Marketing\"",
    "membershipRuleProcessingState": "on"
}

C#

// Code snippets are only available for the latest version. Current version is 5.x

// Dependencies
using Microsoft.Graph.Models;

var requestBody = new Group
{
	Description = "Marketing department folks",
	DisplayName = "Marketing department",
	GroupTypes = new List<string>
	{
		"Unified",
		"DynamicMembership",
	},
	MailEnabled = true,
	MailNickname = "marketing",
	SecurityEnabled = false,
	MembershipRule = "user.department -eq \"Marketing\"",
	MembershipRuleProcessingState = "on",
};

// To initialize your graphClient, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=csharp
var result = await graphClient.Groups.PostAsync(requestBody);

Pour plus d’informations sur la façon d'ajouter le Kit de développement logiciel (SDK) à votre projet et créer une instance authProvider, consultez la documentation du Kit de développement logiciel (SDK).

CLI

mgc groups create --body '{\
    "description": "Marketing department folks",\
    "displayName": "Marketing department",\
    "groupTypes": [\
        "Unified",\
        "DynamicMembership"\
    ],\
    "mailEnabled": true,\
    "mailNickname": "marketing",\
    "securityEnabled": false,\
    "membershipRule": "user.department -eq \"Marketing\"",\
    "membershipRuleProcessingState": "on"\
}\
'

Pour plus d’informations sur la façon d'ajouter le Kit de développement logiciel (SDK) à votre projet et créer une instance authProvider, consultez la documentation du Kit de développement logiciel (SDK).

Go

// Code snippets are only available for the latest major version. Current major version is $v1.*

// Dependencies
import (
	  "context"
	  msgraphsdk "github.com/microsoftgraph/msgraph-sdk-go"
	  graphmodels "github.com/microsoftgraph/msgraph-sdk-go/models"
	  //other-imports
)

requestBody := graphmodels.NewGroup()
description := "Marketing department folks"
requestBody.SetDescription(&description) 
displayName := "Marketing department"
requestBody.SetDisplayName(&displayName) 
groupTypes := []string {
	"Unified",
	"DynamicMembership",
}
requestBody.SetGroupTypes(groupTypes)
mailEnabled := true
requestBody.SetMailEnabled(&mailEnabled) 
mailNickname := "marketing"
requestBody.SetMailNickname(&mailNickname) 
securityEnabled := false
requestBody.SetSecurityEnabled(&securityEnabled) 
membershipRule := "user.department -eq \"Marketing\""
requestBody.SetMembershipRule(&membershipRule) 
membershipRuleProcessingState := "on"
requestBody.SetMembershipRuleProcessingState(&membershipRuleProcessingState) 

// To initialize your graphClient, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=go
groups, err := graphClient.Groups().Post(context.Background(), requestBody, nil)

Pour plus d’informations sur la façon d'ajouter le Kit de développement logiciel (SDK) à votre projet et créer une instance authProvider, consultez la documentation du Kit de développement logiciel (SDK).

Java

// Code snippets are only available for the latest version. Current version is 6.x

GraphServiceClient graphClient = new GraphServiceClient(requestAdapter);

Group group = new Group();
group.setDescription("Marketing department folks");
group.setDisplayName("Marketing department");
LinkedList<String> groupTypes = new LinkedList<String>();
groupTypes.add("Unified");
groupTypes.add("DynamicMembership");
group.setGroupTypes(groupTypes);
group.setMailEnabled(true);
group.setMailNickname("marketing");
group.setSecurityEnabled(false);
group.setMembershipRule("user.department -eq \"Marketing\"");
group.setMembershipRuleProcessingState("on");
Group result = graphClient.groups().post(group);

Pour plus d’informations sur la façon d'ajouter le Kit de développement logiciel (SDK) à votre projet et créer une instance authProvider, consultez la documentation du Kit de développement logiciel (SDK).

JavaScript

const options = {
	authProvider,
};

const client = Client.init(options);

const group = {
    description: 'Marketing department folks',
    displayName: 'Marketing department',
    groupTypes: [
        'Unified',
        'DynamicMembership'
    ],
    mailEnabled: true,
    mailNickname: 'marketing',
    securityEnabled: false,
    membershipRule: 'user.department -eq \"Marketing\"',
    membershipRuleProcessingState: 'on'
};

await client.api('/groups')
	.post(group);

Pour plus d’informations sur la façon d'ajouter le Kit de développement logiciel (SDK) à votre projet et créer une instance authProvider, consultez la documentation du Kit de développement logiciel (SDK).

PHP

<?php
use Microsoft\Graph\GraphServiceClient;
use Microsoft\Graph\Generated\Models\Group;


$graphServiceClient = new GraphServiceClient($tokenRequestContext, $scopes);

$requestBody = new Group();
$requestBody->setDescription('Marketing department folks');
$requestBody->setDisplayName('Marketing department');
$requestBody->setGroupTypes(['Unified', 'DynamicMembership', 	]);
$requestBody->setMailEnabled(true);
$requestBody->setMailNickname('marketing');
$requestBody->setSecurityEnabled(false);
$requestBody->setMembershipRule('user.department -eq \"Marketing\"');
$requestBody->setMembershipRuleProcessingState('on');

$result = $graphServiceClient->groups()->post($requestBody)->wait();

Pour plus d’informations sur la façon d'ajouter le Kit de développement logiciel (SDK) à votre projet et créer une instance authProvider, consultez la documentation du Kit de développement logiciel (SDK).

PowerShell

Import-Module Microsoft.Graph.Groups

$params = @{
	description = "Marketing department folks"
	displayName = "Marketing department"
	groupTypes = @(
	"Unified"
"DynamicMembership"
)
mailEnabled = $true
mailNickname = "marketing"
securityEnabled = $false
membershipRule = "user.department -eq "Marketing""
membershipRuleProcessingState = "on"
}

New-MgGroup -BodyParameter $params

Pour plus d’informations sur la façon d'ajouter le Kit de développement logiciel (SDK) à votre projet et créer une instance authProvider, consultez la documentation du Kit de développement logiciel (SDK).

Python

# Code snippets are only available for the latest version. Current version is 1.x
from msgraph import GraphServiceClient
from msgraph.generated.models.group import Group
# To initialize your graph_client, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=python
request_body = Group(
	description = "Marketing department folks",
	display_name = "Marketing department",
	group_types = [
		"Unified",
		"DynamicMembership",
	],
	mail_enabled = True,
	mail_nickname = "marketing",
	security_enabled = False,
	membership_rule = "user.department -eq \"Marketing\"",
	membership_rule_processing_state = "on",
)

result = await graph_client.groups.post(request_body)

Pour plus d’informations sur la façon d'ajouter le Kit de développement logiciel (SDK) à votre projet et créer une instance authProvider, consultez la documentation du Kit de développement logiciel (SDK).

La requête retourne un 201 Created code de réponse et l’objet groupe nouvellement créé dans le corps de la réponse.

Remarque : l’objet de réponse affiché ci-après peut être raccourci pour plus de lisibilité.

HTTP/1.1 201 Created
Content-type: application/json

{
    "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#groups/$entity",
    "id": "6f7cd676-5445-47c4-9c2b-c47da4671da2",
    "createdDateTime": "2023-01-20T07:00:31Z",
    "description": "Marketing department folks",
    "displayName": "Marketing department",
    "groupTypes": [
        "Unified",
        "DynamicMembership"
    ],
    "mail": "marketing@contoso.com",
    "mailEnabled": true,
    "mailNickname": "marketing",
    "membershipRule": "user.department -eq \"Marketing\"",
    "membershipRuleProcessingState": "On"
}

Autres paramètres de groupe

Vous pouvez configurer d’autres paramètres pour les groupes, tels que :

Setting	S’applique à
Expiration du groupe	Groupes Microsoft 365
Paramètres de groupe	Groupes Microsoft 365
Paramètres de synchronisation locale	Sécurité et Groupes Microsoft 365

Limitations de la recherche de groupe pour les invités dans les organisations

Les applications peuvent rechercher des groupes dans le répertoire d’un organization en interrogeant la /groups ressource (par exemple, https://graph.microsoft.com/beta/groups). Cette fonctionnalité est disponible pour les administrateurs et les membres, mais pas pour les invités.

Les invités, en fonction des autorisations accordées à l’application, peuvent afficher le profil d’un groupe spécifique (par exemple, https://graph.microsoft.com/beta/group/fc06287e-d082-4aab-9d5e-d6fd0ed7c8bc). Toutefois, ils ne peuvent pas effectuer de requêtes sur la /groups ressource qui retournent plusieurs résultats.

Les membres ont généralement un accès plus large aux ressources du groupe, tandis que les invités disposent d’autorisations restreintes, ce qui limite leur accès à certaines fonctionnalités de groupe. Pour plus d’informations, consultez Comparer les autorisations par défaut des membres et des invités.

Avec les autorisations appropriées, les applications peuvent accéder aux profils de groupe via des propriétés de navigation, telles que /groups/{id}/members.

Gestion des licences en fonction des groupes

Les licences basées sur les groupes vous permettent d’attribuer une ou plusieurs licences de produit à un groupe Microsoft Entra. Les membres du groupe, y compris les nouveaux membres, héritent automatiquement des licences. Lorsque les membres quittent le groupe, leurs licences sont automatiquement supprimées. Cette fonctionnalité est disponible uniquement pour les groupes de sécurité et les Groupes Microsoft 365 avec securityEnabled défini sur true.

Pour plus d’informations, consultez Qu’est-ce que les licences basées sur les groupes dans Microsoft Entra ID ?.

Propriétés stockées en dehors du magasin de données main

La plupart des données de ressources de groupe sont stockées dans Microsoft Entra ID, mais certaines propriétés, telles que autoSubscribeNewMembers et allowExternalSenders, sont stockées dans Microsoft Exchange. Ces propriétés ne peuvent pas être incluses dans le même corps de demande de création ou de mise à jour que les autres propriétés de groupe.

En outre, les propriétés stockées en dehors du magasin de données main ne sont pas prises en charge pour le suivi des modifications. Les modifications apportées à ces propriétés n’apparaissent pas dans les réponses aux requêtes delta.

Les propriétés de groupe suivantes sont stockées en dehors du magasin de données main :
accessType, allowExternalSenders, autoSubscribeNewMembers, cloudLicensing, hideFromAddressLists, hideFromOutlookClients, isFavorite, isSubscribeByMail, unseenConversationsCount, unseenCount, unseenMessagesCount, membershipRuleProcessingStatus, isArchived.

Cas d’usage courants pour l’API de groupes

L’API groupes Microsoft Graph prend en charge les opérations courantes suivantes :

Cas d’utilisation	Opérations d’API
Créer et gérer des groupes	Créer, lister, mettre à jour et supprimer
Gestion de l’appartenance aux groupes	Répertorier les membres, ajouter un membre et supprimer un membre
Gérer la propriété du groupe	Répertorier les propriétaires, ajouter un propriétaire et supprimer le propriétaire
Fonctionnalités de groupe Microsoft 365	Gérer les conversations, les événements de calendrier, les blocs-notes OneNote et activer pour Teams

Microsoft Entra rôles pour la gestion des groupes

Pour gérer les groupes, l’utilisateur connecté doit disposer des autorisations Microsoft Graph appropriées et se voir attribuer un rôle de Microsoft Entra pris en charge.

Les rôles les moins privilégiés pour la gestion des groupes sont les suivants :

• Rédacteurs d'annuaires
• Administrateur de groupes
• Administrateur d’utilisateurs

Pour plus d’informations, consultez Rôles avec privilèges minimum pour gérer les groupes.

Étape suivante

Commencer à travailler avec des groupes