Solucionar problemas de erro 403 ao adicionar um usuário a um grupo usando a API do Microsoft Graph

Este artigo fornece diretrizes para solucionar um erro "403 Authorization_RequestDenied" que ocorre quando você tenta adicionar um usuário a um grupo usando a API do Microsoft Graph.

Sintomas

Ao tentar adicionar um usuário a um grupo usando a API do Microsoft Graph, você recebe a seguinte mensagem de erro "403":

{
"error": {
"code": "Authorization_RequestDenied",
"message": "Insufficient privileges to complete the operation.",
"innerError": {
"date": "2024-05-07T15:39:39",
"request-id": "aa324f0f-b4a3-4af6-9c4f-996e195xxxx",
"client-request-id": "aa324f0f-b4a3-4af6-9c4f-996e1959074e"
}
}
}

Motivo

Esse problema ocorrerá se o grupo ao qual você tentou adicionar o usuário não puder ser gerenciado pelo Microsoft Graph. O Microsoft Graph dá suporte apenas a grupos do Microsoft 365 e grupos de segurança.

Solução

Etapa 1: verificar o tipo de grupo

Verifique se o grupo que você está tentando modificar tem suporte do Microsoft Graph.

1. No Microsoft Graph, o tipo de grupo pode ser determinado pelas configurações de suas propriedades groupTypes, mailEnabled e securityEnabled. Use o Explorador do Microsoft Graph para verificar os atributos do grupo:

   https://graph.microsoft.com/v1.0/groups/<Group Object ID>?$select=displayName,groupTypes,mailEnabled,securityEnable
   

   Resposta de exemplo:

       {
        "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#groups(displayName,groupTypes,mailEnabled,securityEnabled)/$entity",
       "displayName": "Test group A",
       "groupTypes": [],
       "mailEnabled": true,
       "securityEnabled": false
       }
   
   

2. Examine a tabela a seguir para verificar se o tipo de grupo é compatível com a API do Microsoft Graph. Na resposta de exemplo, o grupo "Grupo de teste A" é um grupo de distribuição que não pode ser suportado pelo Microsoft Graph. Para obter mais informações, consulte Trabalhar com grupos no Microsoft Graph.

   Tipo	tipos_de_grupo	habilitado para e-mail	Segurança Ativada	Pode ser gerenciado usando APIs do Microsoft Graph
   Grupos do Microsoft 365	["Unified"]	true	true ou false	Sim
   Grupos de segurança	[]	false	true	Sim
   Grupos de segurança habilitados para email	[]	true	true	Não; só de leitura através do Microsoft Graph
   Grupos de distribuição	[]	true	false	Não; só de leitura através do Microsoft Graph

   Observação

   • O tipo de grupo não pode ser alterado após a criação. Para obter mais informações, consulte Editar configurações de grupo.
   • A associação de um grupo dinâmico (groupTypes contém "DynamicMembership") não pode ser gerenciada por meio do Microsoft Graph.

Etapa 2: verificar as permissões necessárias

Diferentes tipos de membros do grupo requerem permissões específicas. Para associação de tipo de usuário, verifique se o aplicativo ou a conta que executa a operação tem a GroupMember.ReadWrite.All permissão.

Para obter requisitos de permissão detalhados, consulte a documentação de adicionar membros.

Etapa 3: Verificar se o grupo é um grupo atribuível a função

1. Os grupos atribuíveis a funções exigem permissões extras para gerenciar seus membros. Você pode verificar se o grupo pode ser atribuído à função usando o portal do Azure ou o Microsoft Graph Explorer:

   Portal do Azure

   1. No portal do Azure, acesse a ID do Microsoft Entra, selecione Grupos e, em seguida, selecione Todos os grupos.
   2. Localize o grupo de destino, selecione Propriedades e verifique se a função do Microsoft Entra pode ser atribuída ao grupo está definido como Sim.

   Explorador do Microsoft Graph

   Para verificar o isAssignableToRoles valor, execute a seguinte solicitação:

   GET https://graph.microsoft.com/v1.0/groups/<group object="" id="">?$select=displayName,groupTypes,mailEnabled,securityEnabled,isAssignableToRole
   

   Resposta de exemplo:

    {
        "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#groups(displayName,groupTypes,mailEnabled,securityEnabled,isAssignableToRole)/$entity",
       "displayName": "Test group B",
       "groupTypes": [],
       "mailEnabled": false,
       "securityEnabled": true,
       "isAssignableToRole": true
       }
   

2. Se o grupo puder ter funções atribuídas, você precisará da permissão RoleManagement.ReadWrite.Directory além de GroupMember.ReadWrite.All. Para obter mais informações, consulte a documentação sobre adição de membros.

Entre em contato conosco para obter ajuda

Se você tiver dúvidas ou precisar de ajuda, crie uma solicitação de suporte ou peça ajuda à comunidade de suporte do Azure. Você também pode enviar comentários sobre o produto para a comunidade de comentários do Azure.