Добавление участников
Пространство имен: microsoft.graph
Важно!
API версии /beta
в Microsoft Graph могут быть изменены. Использование этих API в производственных приложениях не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.
Добавьте участника в группу безопасности или Microsoft 365. При использовании API для добавления нескольких участников в одном запросе можно добавить до 20 участников.
В следующей таблице показаны типы участников, которых можно добавить в группы безопасности или группы Microsoft 365.
Тип объектов | Участник группы безопасности | Участник группы Microsoft 365 |
---|---|---|
User | ||
Группа безопасности | ||
Группа Microsoft 365 | ||
Устройство | ||
Субъект-служба | ||
Контакты организации |
Этот API доступен в следующих национальных облачных развертываниях.
Глобальная служба | Правительство США L4 | Правительство США L5 (DOD) | Китай управляется 21Vianet |
---|---|---|---|
✅ | ✅ | ✅ | ✅ |
Разрешения
В следующей таблице показаны разрешения с наименьшими привилегиями, необходимые каждому типу ресурсов при вызове этого API. Дополнительные сведения, включая сведения о том, как выбрать разрешения, см. в статье Разрешения.
Поддерживаемый ресурс | Делегированное (рабочая или учебная учетная запись) | Делегированное (личная учетная запись Майкрософт) | Для приложений |
---|---|---|---|
device | GroupMember.ReadWrite.All и Device.ReadWrite.All | Не поддерживается. | GroupMember.ReadWrite.All и Device.ReadWrite.All |
group | GroupMember.ReadWrite.All | Не поддерживается. | GroupMember.ReadWrite.All |
orgContact | GroupMember.ReadWrite.All и OrgContact.Read.All | Не поддерживается. | GroupMember.ReadWrite.All и OrgContact.Read.All |
servicePrincipal | GroupMember.ReadWrite.All и Application.ReadWrite.All | Не поддерживается. | GroupMember.ReadWrite.All и Application.ReadWrite.All |
user | GroupMember.ReadWrite.All | Не поддерживается. | GroupMember.ReadWrite.All |
В делегированных сценариях пользователю, выполнившему вход, также должна быть назначена поддерживаемая роль Microsoft Entra или настраиваемая роль с разрешением роли microsoft.directory/groups/members/update
. Следующие роли являются наименее привилегированными ролями, которые поддерживаются для этой операции, за исключением групп, назначаемых ролями:
- Владельцы групп
- Запись каталогов
- Администратор групп
- Администратор управления удостоверениями
- Администратор пользователей
- Администратор Exchange — только для групп Microsoft 365
- Администратор SharePoint — только для групп Microsoft 365
- Администратор Teams — только для групп Microsoft 365
- Администратор Yammer — только для групп Microsoft 365
- Администратор Intune — только для групп безопасности.
Чтобы добавить участников в группу с возможностью назначения ролей, приложению также должно быть назначено разрешение RoleManagement.ReadWrite.Directory , а вызывающему пользователю должна быть назначена поддерживаемая роль Microsoft Entra. Администратор привилегированных ролей — это наименее привилегированная роль, которая поддерживается для этой операции.
HTTP-запрос
POST /groups/{group-id}/members/$ref
POST /groups/{group-id}/members/
Заголовки запросов
Имя | Описание |
---|---|
Авторизация | Bearer {token}. Обязательно. Дополнительные сведения о проверке подлинности и авторизации. |
Content-Type | application/json. Обязательно. |
Текст запроса
При использовании синтаксиса /groups/{group-id}/members/$ref
укажите объект JSON, содержащий свойство @odata.id со ссылкой по идентификатору на поддерживаемый тип объекта-члена группы.
При использовании синтаксиса /groups/{group-id}/members
укажите объект JSON, содержащий members@odata.bind свойство с одной или несколькими ссылками по идентификаторам на поддерживаемый тип объекта-члена группы.
Если используется ссылка на directoryObjects , то есть https://graph.microsoft.com/v1.0/directoryObjects/{id}
, тип объекта по-прежнему должен быть поддерживаемым типом объекта-члена группы.
Отклик
В случае успешного выполнения этот метод возвращает код отклика 204 No Content
. Он возвращает код ответа, 400 Bad Request
если объект уже является членом группы или не поддерживается в качестве члена группы. Он возвращает код ответа, 404 Not Found
если добавляемый объект не существует.
Пример
Запрос
Ниже показан пример запроса.
POST https://graph.microsoft.com/beta/groups/{group-id}/members/$ref
Content-type: application/json
{
"@odata.id": "https://graph.microsoft.com/beta/directoryObjects/{id}"
}
В тексте запроса укажите json-представление id
объекта directoryObject, user или group , который вы хотите добавить.
Отклик
Ниже показан пример отклика.
HTTP/1.1 204 No Content