次の方法で共有

Microsoft Graph API を使用してユーザーをグループに追加するときの 403 エラーのトラブルシューティング

この記事では、Microsoft Graph API を使用してユーザーをグループに追加しようとしたときに発生する "403 Authorization_RequestDenied" エラーのトラブルシューティングに関するガイダンスを提供します。

症状

Microsoft Graph API を使用してユーザーをグループに追加しようとすると、次の "403" エラー メッセージが表示されます。

{
"error": {
"code": "Authorization_RequestDenied",
"message": "Insufficient privileges to complete the operation.",
"innerError": {
"date": "2024-05-07T15:39:39",
"request-id": "aa324f0f-b4a3-4af6-9c4f-996e195xxxx",
"client-request-id": "aa324f0f-b4a3-4af6-9c4f-996e1959074e"
}
}
}

原因

この問題は、ユーザーを追加しようとしたグループが Microsoft Graph で管理できない場合に発生します。 Microsoft Graph は、Microsoft 365 グループとセキュリティ グループのみをサポートします。

解決策

ステップ 1: グループの種類を確認する

変更しようとしているグループが Microsoft Graph でサポートされていることを確認します。

  1. Microsoft Graph では、グループの種類は、 groupTypesmailEnabledsecurityEnabled プロパティの設定によって決定できます。 Microsoft Graph エクスプローラーを使用して、グループの属性を確認します。

    https://graph.microsoft.com/v1.0/groups/<Group Object ID>?$select=displayName,groupTypes,mailEnabled,securityEnable

    応答の例:

        {
     "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#groups(displayName,groupTypes,mailEnabled,securityEnabled)/$entity",
    "displayName": "Test group A",
    "groupTypes": [],
    "mailEnabled": true,
    "securityEnabled": false
    }

  2. 次の表を確認して、グループの種類が Microsoft Graph API でサポートされていることを確認します。 応答の例では、"Test group A" グループは、Microsoft Graph でサポートできない配布グループです。 詳細については、「Microsoft Graph でのグループの操作」を参照してください。

    タイプ グループタイプ メールが有効な セキュリティ有効 Microsoft Graph API を使用して管理できます
    Microsoft 365 グループ ["Unified"] true true または false イエス
    セキュリティ グループ [] false true イエス
    メールが有効なセキュリティ グループ [] true true いいえ;Microsoft Graph を使用した読み取り専用
    配布グループ [] true false いいえ;Microsoft Graph を使用した読み取り専用

    • グループの種類は、作成後に変更することはできません。 詳細については、「 グループ設定の編集」を参照してください。
    • 動的グループ (groupTypes に "DynamicMembership" が含まれています) のメンバーシップは、Microsoft Graph では管理できません。

ステップ 2: 必要な権限を確認する

グループメンバーの種類ごとに、特定の権限が必要です。 ユーザータイプのメンバーシップの場合は、操作を実行するアプリケーションまたはアカウントに GroupMember.ReadWrite.All 権限があることを確認してください。

アクセス許可の要件の詳細については、 メンバーの追加に関するドキュメントを参照してください。

ステップ 3: グループがロール割り当て可能なグループであるかどうかを確認する

  1. ロール割り当て可能なグループでは、メンバーを管理するための追加の権限が必要です。 グループがロール割り当て可能かどうかを確認するには、Azure portal または Microsoft Graph Explorer を使用します。

    Azure Portal

    1. Azure portal で、Microsoft Entra ID に移動し、 [グループ] を選択して、 [すべてのグループ] を選択します。
    2. ターゲット グループを見つけて [プロパティ] を選択し、 グループに Microsoft Entra ロールを割り当てることができるかどうかが[はい] に設定されていることを確認します。

    Microsoft Graph エクスプローラー

    isAssignableToRoles値を確認するには、次の要求を実行します。

    GET https://graph.microsoft.com/v1.0/groups/<group object="" id="">?$select=displayName,groupTypes,mailEnabled,securityEnabled,isAssignableToRole

    応答の例:

     {
     "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#groups(displayName,groupTypes,mailEnabled,securityEnabled,isAssignableToRole)/$entity",
    "displayName": "Test group B",
    "groupTypes": [],
    "mailEnabled": false,
    "securityEnabled": true,
    "isAssignableToRole": true
    }

  2. グループがロール割り当て可能な場合は、GroupMember.ReadWrite.Allに加えてRoleManagement.ReadWrite.Directory権限が必要です。 詳細については、 メンバーの追加に関するドキュメントを参照してください。

お問い合わせはこちらから

質問がある場合やヘルプが必要な場合は、 サポートリクエストを作成するか、 Azure コミュニティ サポートに問い合わせてください。 Azure フィードバック コミュニティに製品フィードバックを送信することもできます。