Добавление участника
Пространство имен: microsoft.graph
Важно!
API версии /beta в Microsoft Graph могут быть изменены. Использование этих API в производственных приложениях не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.
Используйте этот API, чтобы добавить участника (пользователя, группу или устройство) в административную единицу или создать новую группу в административной единице. Все типы групп можно создать в административной единице.
Заметка: В настоящее время в административную единицу можно добавить только одного участника за раз.
Этот API доступен в следующих национальных облачных развертываниях.
| Глобальная служба | Правительство США L4 | Правительство США L5 (DOD) | Китай управляется 21Vianet |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Разрешения
Для вызова этого API требуется одно из следующих разрешений. Дополнительные сведения, включая сведения о том, как выбрать разрешения, см. в статье Разрешения.
Разрешения на добавление существующего пользователя, группы или устройства
| Тип разрешения | Разрешения (в порядке повышения привилегий) |
|---|---|
| Делегированные (рабочая или учебная учетная запись) | AdministrativeUnit.ReadWrite.All |
| Делегированные (личная учетная запись Майкрософт) | Не поддерживается. |
| Приложение | AdministrativeUnit.ReadWrite.All |
Важно!
В делегированных сценариях с рабочими или учебными учетными записями вошедшего пользователя должен быть участником или ему должна быть назначена поддерживаемая роль Microsoft Entra или настраиваемая роль с разрешением поддерживаемой роли. Администратор привилегированных ролей — это наименее привилегированная роль, поддерживаемая для этой операции.
Разрешения на создание новой группы
| Тип разрешения | Разрешения (в порядке повышения привилегий) |
|---|---|
| Делегированные (рабочая или учебная учетная запись) | Group.ReadWrite.All и AdministrativeUnit.Read.All, Directory.ReadWrite.All |
| Делегированные (личная учетная запись Майкрософт) | Не поддерживается. |
| Приложение | Group.Create и AdministrativeUnit.Read.All, Group.ReadWrite.All и AdministrativeUnit.Read.All, Directory.ReadWrite.All |
Важно!
Чтобы создать новую группу в административной единице, вызывающему субъекту необходимо назначить по крайней мере одну из следующих Microsoft Entra ролей в область административной единицы:
- Администратор Группы
- Администратор пользователей
В сценариях только для приложений, помимо этих ролей, субъекту-службе требуются дополнительные разрешения на чтение каталога. Эти разрешения могут быть предоставлены путем назначения поддерживаемых Microsoft Entra ролей, таких как роль читателей каталогов; или с помощью разрешений приложения Microsoft Graph, которые позволяют читать каталог, например Directory.Read.All.
HTTP-запрос
Следующий запрос добавляет существующего пользователя, группу или устройство в административную единицу.
POST /administrativeUnits/{id}/members/$ref
Следующий запрос создает новую группу в административной единице.
POST /administrativeUnits/{id}/members
Заголовки запросов
| Имя | Описание |
|---|---|
| Авторизация | Bearer {token}. Обязательно. Дополнительные сведения о проверке подлинности и авторизации. |
| Content-Type | application/json. Обязательно. |
Добавление существующего пользователя или группы
В тексте запроса укажите idпользователя, группу, устройство или каталогObject для добавления. Если административная единица является административной единицей управления с ограниченным доступом (isMemberManagementRestricted=true), тип группы должен быть Microsoft Entra группой безопасности. Поддерживаются только не унифицированные группы, для которых включена безопасность, не включена почта и не включена локальная синхронизация.
Создание новой группы
В следующей таблице показаны свойства ресурса группы , которые необходимо указать при создании группы в административной единице.
| Свойство | Тип | Описание |
|---|---|---|
| displayName | string | Имя, которое следует отобразить в адресной книге для группы. Обязательный. |
| description | строка | Описание группы. Необязательно. |
| isAssignableToRole | Логическое | Задайте значение true, чтобы назначить группу Microsoft Entra роли. Администратор привилегированных ролей — это наименее привилегированная роль для задания значения этого свойства. Необязательно. |
| mailEnabled | Логический | Установите значение true для групп, поддерживающих почту. Обязательно. |
| mailNickname | string | Почтовый псевдоним для группы. Такие символы нельзя использовать в mailNickName: @()\[]";:.<>,SPACE. Обязательный. |
| securityEnabled | Логический | Значение true для групп безопасности, включая группы Microsoft 365. Обязательный. |
| owners | Коллекция directoryObject | Это свойство представляет владельцев группы на момент создания. Необязательный параметр. |
| members | Коллекция directoryObject | Это свойство представляет участников группы на момент создания. Необязательно. |
| visibility | String | Определяет видимость группы Microsoft 365. Возможные значения: Private, Public, HiddenMembership или пустое значение (обрабатывается как Public). |
Отклик
В случае успешного добавления существующего объекта (с помощью $ref) возвращается 204 No Content код ответа. Он не возвращает ничего в теле ответа.
При создании новой группы (без $ref) этот метод возвращает код отклика 201 Created и объект группы в теле отклика. Отклик включает в себя только свойства по умолчанию для группы. Необходимо указать "@odata.type" : "#microsoft.graph.group" строку в тексте запроса, чтобы явно определить нового участника в качестве группы. Текст запроса без правильного @odata.type возвращает сообщение об ошибке 400 Bad Request .
Примеры
Пример 1. Добавление существующего пользователя или группы
Ниже будет добавлен существующий пользователь или группа в административную единицу.
Запрос
Ниже показан пример запроса.
POST https://graph.microsoft.com/beta/administrativeUnits/{id}/members/$ref
Content-type: application/json
{
"@odata.id":"https://graph.microsoft.com/beta/groups/{id}"
}
В тексте запроса укажите idобъект пользователя, группы или устройства , который требуется добавить.
Отклик
Ниже показан пример отклика.
HTTP/1.1 204 No Content
Пример 2. Создание группы
В следующем примере создается новая группа в административной единице. Необходимо указать "@odata.type" : "#microsoft.graph.group" строку в тексте запроса, чтобы явно определить нового участника в качестве группы. Текст запроса без правильного @odata.type возвращает сообщение об ошибке 400 Bad Request .
Запрос
Ниже показан пример запроса.
POST https://graph.microsoft.com/beta/administrativeUnits/{id}/members
Content-type: application/json
{
"@odata.type": "#microsoft.graph.group",
"description": "Self help community for golf",
"displayName": "Golf Assist",
"groupTypes": [
"Unified"
],
"mailEnabled": true,
"mailNickname": "golfassist",
"securityEnabled": false
}
В тексте запроса укажите свойства объекта группы , который требуется добавить.
Отклик
Ниже показан пример отклика.
Примечание. Объект отклика, показанный здесь, может быть сокращен для удобочитаемости.
HTTP/1.1 201 Created
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#groups/$entity",
"id": "45b7d2e7-b882-4a80-ba97-10b7a63b8fa4",
"deletedDateTime": null,
"classification": null,
"createdDateTime": "2018-12-22T02:21:05Z",
"description": "Self help community for golf",
"displayName": "Golf Assist",
"expirationDateTime": null,
"groupTypes": [
"Unified"
],
"isAssignableToRole": null,
"mail": "golfassist@contoso.com",
"mailEnabled": true,
"mailNickname": "golfassist",
"membershipRule": null,
"membershipRuleProcessingState": null,
"onPremisesLastSyncDateTime": null,
"onPremisesSecurityIdentifier": null,
"onPremisesSyncEnabled": null,
"preferredDataLocation": "CAN",
"preferredLanguage": null,
"proxyAddresses": [
"SMTP:golfassist@contoso.com"
],
"renewedDateTime": "2018-12-22T02:21:05Z",
"resourceBehaviorOptions": [],
"resourceProvisioningOptions": [],
"securityEnabled": false,
"securityIdentifier": "S-1-12-1-1753967289-1089268234-832641959-555555555",
"theme": null,
"visibility": "Public",
"onPremisesProvisioningErrors": []
}