Поделиться через


Добавление участников

Пространство имен: microsoft.graph

Важно!

API версии /beta в Microsoft Graph могут быть изменены. Использование этих API в производственных приложениях не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.

Добавьте участника в группу безопасности или Microsoft 365. При использовании API для добавления нескольких участников в одном запросе можно добавить до 20 участников.

В следующей таблице показаны типы участников, которых можно добавить в группы безопасности или группы Microsoft 365.

Тип объектов Участник группы безопасности Участник группы Microsoft 365
User Может быть участником группы Может быть участником группы
Группа безопасности Может быть участником группы Не может быть участником группы
Группа Microsoft 365 Не может быть участником группы Не может быть участником группы
Устройство Может быть участником группы Не может быть участником группы
Субъект-служба Может быть участником группы Не может быть участником группы
Контакты организации Может быть участником группы Не может быть участником группы

Этот API доступен в следующих национальных облачных развертываниях.

Глобальная служба Правительство США L4 Правительство США L5 (DOD) Китай управляется 21Vianet

Разрешения

В следующей таблице показаны разрешения с наименьшими привилегиями, необходимые каждому типу ресурсов при вызове этого API. Дополнительные сведения, включая сведения о том, как выбрать разрешения, см. в статье Разрешения.

Поддерживаемый ресурс Делегированное (рабочая или учебная учетная запись) Делегированное (личная учетная запись Майкрософт) Для приложений
device GroupMember.ReadWrite.All и Device.ReadWrite.All Не поддерживается. GroupMember.ReadWrite.All и Device.ReadWrite.All
group GroupMember.ReadWrite.All Не поддерживается. GroupMember.ReadWrite.All
orgContact GroupMember.ReadWrite.All и OrgContact.Read.All Не поддерживается. GroupMember.ReadWrite.All и OrgContact.Read.All
servicePrincipal GroupMember.ReadWrite.All и Application.ReadWrite.All Не поддерживается. GroupMember.ReadWrite.All и Application.ReadWrite.All
user GroupMember.ReadWrite.All Не поддерживается. GroupMember.ReadWrite.All

В делегированных сценариях пользователю, выполнившему вход, также должна быть назначена поддерживаемая роль Microsoft Entra или настраиваемая роль с разрешением роли microsoft.directory/groups/members/update . Следующие роли являются наименее привилегированными ролями, которые поддерживаются для этой операции, за исключением групп, назначаемых ролями:

  • Владельцы групп
  • Запись каталогов
  • Администратор групп
  • Администратор управления удостоверениями
  • Администратор пользователей
  • Администратор Exchange — только для групп Microsoft 365
  • Администратор SharePoint — только для групп Microsoft 365
  • Администратор Teams — только для групп Microsoft 365
  • Администратор Yammer — только для групп Microsoft 365
  • Администратор Intune — только для групп безопасности.

Чтобы добавить участников в группу с возможностью назначения ролей, приложению также должно быть назначено разрешение RoleManagement.ReadWrite.Directory , а вызывающему пользователю должна быть назначена поддерживаемая роль Microsoft Entra. Администратор привилегированных ролей — это наименее привилегированная роль, которая поддерживается для этой операции.

HTTP-запрос

POST /groups/{group-id}/members/$ref
POST /groups/{group-id}/members/

Заголовки запросов

Имя Описание
Авторизация Bearer {token}. Обязательно. Дополнительные сведения о проверке подлинности и авторизации.
Content-Type application/json. Обязательно.

Текст запроса

При использовании синтаксиса /groups/{group-id}/members/$ref укажите объект JSON, содержащий свойство @odata.id со ссылкой по идентификатору на поддерживаемый тип объекта-члена группы.

При использовании синтаксиса /groups/{group-id}/members укажите объект JSON, содержащий members@odata.bind свойство с одной или несколькими ссылками по идентификаторам на поддерживаемый тип объекта-члена группы.

Если используется ссылка на directoryObjects , то есть https://graph.microsoft.com/v1.0/directoryObjects/{id}, тип объекта по-прежнему должен быть поддерживаемым типом объекта-члена группы.

Отклик

В случае успешного выполнения этот метод возвращает код отклика 204 No Content. Он возвращает код ответа, 400 Bad Request если объект уже является членом группы или не поддерживается в качестве члена группы. Он возвращает код ответа, 404 Not Found если добавляемый объект не существует.

Пример

Запрос

Ниже показан пример запроса.

POST https://graph.microsoft.com/beta/groups/{group-id}/members/$ref
Content-type: application/json

{
  "@odata.id": "https://graph.microsoft.com/beta/directoryObjects/{id}"
}

В тексте запроса укажите json-представление id объекта directoryObject, user или group , который вы хотите добавить.

Отклик

Ниже показан пример отклика.

HTTP/1.1 204 No Content