Группы Microsoft.Graph
Внимание
API версии /beta в Microsoft Graph могут быть изменены. Использование этих API в производственных приложениях не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.
Разрешения
Выберите разрешение или разрешения, помеченные как наименее привилегированные для этого API. Используйте более высокий уровень привилегий или разрешений только в том случае, если приложение требует его. Дополнительные сведения о делегированных и разрешениях приложений см. в разделе "Типы разрешений". Дополнительные сведения об этих разрешениях см. в справочнике по разрешениям.
Примечание.
Разрешения для личных учетных записей Майкрософт нельзя использовать для развертывания ресурсов Microsoft Graph, объявленных в файлах Bicep.
| Тип разрешения | Минимальные привилегированные разрешения | Более высокие привилегированные разрешения |
|---|---|---|
| Делегированные (рабочая или учебная учетная запись) | Group.ReadWrite.All | Directory.ReadWrite.All |
| Делегированные (личная учетная запись Майкрософт) | Не поддерживается. | Не поддерживается. |
| Приложение | Group.ReadWrite.All | Directory.ReadWrite.All |
Формат ресурсов
Чтобы создать ресурс Microsoft.Graph/groups, добавьте следующий Bicep в шаблон.
resource symbolicname 'Microsoft.Graph/groups@beta' = {
classification: 'string'
description: 'string'
displayName: 'string'
groupTypes: [
'string'
]
infoCatalogs: [
'string'
]
isAssignableToRole: bool
mailEnabled: bool
mailNickname: 'string'
members: [
'string'
]
membershipRule: 'string'
membershipRuleProcessingState: 'string'
organizationId: 'string'
owners: [
'string'
]
preferredDataLocation: 'string'
preferredLanguage: 'string'
resourceBehaviorOptions: [
'string'
]
resourceProvisioningOptions: [
'string'
]
securityEnabled: bool
serviceProvisioningErrors: [
{
createdDateTime: 'string'
isResolved: bool
serviceInstance: 'string'
}
]
theme: 'string'
uniqueName: 'string'
visibility: 'string'
writebackConfiguration: {
isEnabled: bool
onPremisesGroupType: 'string'
}
}
Значения свойств
группы
| Имя | Описание | Значение |
|---|---|---|
| версия_API | Версия API ресурсов | "beta" (ReadOnly) |
| классификация данных | Описывает классификацию для группы (например, низкое, среднее или высокое влияние на бизнес) | строка |
| createdByAppId | Идентификатор приложения, используемого для создания группы. Может иметь значение NULL для некоторых групп. Только для чтения | string (ReadOnly) |
| createdDateTime | Метка времени создания группы. Значение нельзя изменить и автоматически заполняется при создании группы. Тип метки времени представляет сведения о дате и времени с использованием формата ISO 8601 и всегда находится в формате UTC. Например, полночь UTC 1 января 2014 г. — 2014-01-01T00:00:00Z. Только чтение. | string (ReadOnly) |
| deletedDateTime | Дата и время удаления этого объекта. Всегда значение NULL, если объект не был удален. | string (ReadOnly) |
| описание | Необязательное описание группы | строка |
| displayName | Отображаемое имя группы. Обязательный. Максимальная длина — 256 символов | строка (обязательный) |
| dateDateTime | Метка времени истечения срока действия группы. Он имеет значение NULL для групп безопасности, но для групп Microsoft 365 он представляет, когда группа истекает, как определено в groupLifecyclePolicy. Тип метки времени представляет сведения о дате и времени с использованием формата ISO 8601 и всегда находится в формате UTC. Например, полночь UTC 1 января 2014 г. — 2014-01-01T00:00:00Z. Только чтение. | string (ReadOnly) |
| groupTypes | Указывает тип группы и его членство. Если коллекция содержит единую, группа является группой Microsoft 365; в противном случае это группа безопасности или группа рассылки. Дополнительные сведения см. в обзоре групп. Если коллекция включает DynamicMembership, группа имеет динамическое членство; в противном случае членство является статическим | string[] |
| id | Уникальный идентификатор сущности. Только чтение. | string (ReadOnly) |
| infoCatalogs | Определяет сегменты сведений, назначенные группе | string[] |
| isAssignableToRole | Указывает, может ли эта группа быть назначена роли Microsoft Entra. Необязательно. Это свойство можно задать только при создании группы и неизменяемо. Если задано значение true, свойство securityEnabled также должно иметь значение true, видимость должна быть скрытой, а группа не может быть динамической группой (то есть groupTypes не может содержать DynamicMembership). Только вызывающие объекты с ролью "Администратор привилегированных ролей" могут задать это свойство. Вызывающий объект также должен быть назначен разрешение RoleManagement.ReadWrite.Directory, чтобы задать это свойство или обновить членство таких групп. Дополнительные сведения см. в статье "Использование группы для управления назначениями ролей Microsoft EntraUsing" для этой функции требуется лицензия Microsoft Entra ID P1 | bool |
| isManagementRestricted | Указывает, является ли группа членом административной единицы ограниченного управления, в этом случае для управления ролью, ограниченной административной единицей. По умолчанию используется значение false. Только чтение. Чтобы управлять членом группы ограниченной административной единицы, вызывающее приложение должно быть назначено разрешение Directory.Write.Restricted. Для делегированных сценариев администраторы также должны быть явно назначены поддерживаемые роли в области ограниченной административной единицы. | bool (ReadOnly) |
| SMTP-адрес группы, например "serviceadmins@contoso.com". Только для чтения | string (ReadOnly) | |
| mailEnabled | Указывает, включена ли группа. Обязательное поле | bool (обязательно) |
| mailNickname | Псевдоним почты для группы, уникальный для групп Microsoft 365 в организации. Максимальная длина — 64 символа. Это свойство может содержать только символы в наборе символов ASCII 0 – 127, за исключением следующих: @ () / [] ; : <> , ПРОБЕЛ | строка (обязательный) |
| members | Прямые члены группы, которые могут быть пользователями, устройствами, другими группами или субъектами-службами. Поддерживает операции "Список", "Добавить участника" и "Удалить". Допускает значение NULL | string[] |
| membershipRule | Правило, определяющее участников для этой группы, если группа является динамической группой (groupTypes содержит DynamicMembership). Дополнительные сведения о синтаксисе правила членства см. в синтаксисе правил членства. | строка |
| membershipRuleProcessingState | Указывает, включена ли или приостановлена обработка динамического членства. Возможные значения: включено или приостановлено | строка |
| onPremisesDomainName | Содержит полное доменное имя локального домена, которое также называется dnsDomainName, синхронизированное из локального каталога. Только чтение. | string (ReadOnly) |
| onPremisesLastSyncDateTime | Указывает последний раз, когда группа была синхронизирована с локальным каталогом. Тип метки времени представляет сведения о дате и времени с использованием формата ISO 8601 и всегда находится в формате UTC. Например, полночь UTC 1 января 2014 г. — 2014-01-01T00:00:00Z. Только для чтения | string (ReadOnly) |
| onPremisesNetBiosName | Содержит локальное имя netBios, синхронизированное из локального каталога. Только чтение. | string (ReadOnly) |
| onPremisesProvisioningErrors | Ошибки при использовании продукта синхронизации Майкрософт во время подготовки | MicrosoftGraphOnPremisesProvisioningError[] (ReadOnly) |
| onPremisesSamAccountName | Содержит имя локальной учетной записи SAM, синхронизированное из локального каталога. Только чтение. | string (ReadOnly) |
| onPremisesSecurityIdentifier; | Содержит локальный идентификатор безопасности (SID) для группы, синхронизированной из локальной среды в облако. Только для чтения | string (ReadOnly) |
| onPremisesSyncEnabled | Значение true, если эта группа синхронизирована из локального каталога; Значение false, если эта группа была изначально синхронизирована из локального каталога, но больше не синхронизирована; Значение NULL, если этот объект никогда не синхронизирован из локального каталога (по умолчанию). Только для чтения | bool (ReadOnly) |
| organizationId | строка | |
| owners | Владельцы группы, которые могут быть пользователями или субъектами-службами. Допускает значение NULL. Если это свойство не указано при создании группы Microsoft 365, вызывающий пользователь автоматически назначается в качестве владельца группы. | string[] |
| preferredDataLocation | Предпочтительное расположение данных для группы Microsoft 365. По умолчанию группа наследует предпочтительное расположение данных создателя группы. Чтобы задать это свойство, вызывающее приложение должно быть предоставлено разрешение Directory.ReadWrite.All и пользователю назначено по крайней мере одно из следующих ролей Microsoft Entra: администратор Exchange SharePoint администратора каталога учетных записей учетных записей администратора Exchange SharePoint Для получения дополнительных сведений об этом свойстве см. статью OneDrive Online Multi-Geo и создание группы Microsoft 365 с определенным PDL. Допускает значение NULL | строка |
| preferredLanguage | Предпочтительный язык для группы Microsoft 365. Должен соответствовать коду ISO 639-1; например, en-US | строка |
| proxyAddresses | Адреса электронной почты для группы, которая направляется в тот же почтовый ящик группы. Например: ['SMTP: bob@contoso.com', smtp: bob@sales.contoso.com']. Любой оператор необходим для выражений фильтра в многозначных свойствах. Только чтение. Недопустимое значение NULL | string[] (ReadOnly) |
| renewedDateTime | Метка времени последнего продления группы. Это нельзя изменить напрямую и обновляется только с помощью действия обновления службы. Тип метки времени представляет сведения о дате и времени с использованием формата ISO 8601 и всегда находится в формате UTC. Например, полночь UTC 1 января 2014 г. — 2014-01-01T00:00:00Z. Только чтение. | string (ReadOnly) |
| resourceBehaviorOptions | Указывает поведение группы, которое можно задать для группы Microsoft 365 во время создания. Это свойство можно задать только как часть создания (POST). Список возможных значений см. в разделе о поведении групп Microsoft 365 и параметрах подготовки. | string[] |
| resourceProvisioningOptions | Указывает ресурсы группы, связанные с группой Microsoft 365. Возможное значение — Team. Дополнительные сведения см. в статье о поведении групп Microsoft 365 и параметрах подготовки | string[] |
| securityEnabled | Указывает, является ли группа группой безопасности | bool (обязательно) |
| securityIdentifier | Идентификатор безопасности группы, используемый в сценариях Windows. Только для чтения | string (ReadOnly) |
| serviceProvisioningErrors | Ошибки, опубликованные федеративной службой, описывающей не временную ошибку для конкретной службы относительно свойств или ссылок из объекта группы. | MicrosoftGraphServiceProvisioningError[] |
| тема | Задает цветовую тему группы Microsoft 365. Возможные значения: тель, фиолетовый, зеленый, синий, розовый, оранжевый или красный | строка |
| type | Тип ресурса | "Microsoft.Graph/groups" (ReadOnly) |
| uniqueName | Уникальный идентификатор, который можно назначить группе и использовать в качестве альтернативного ключа. Неизменяемые | строка (обязательный) |
| видимость | Указывает политику объединения групп и видимость содержимого группы для групп. Возможные значения: Private, Public или HiddenMembership. HiddenMembership можно задать только для групп Microsoft 365 при создании групп. Его нельзя обновить позже. Другие значения видимости можно обновить после создания группы. Если значение видимости не указано во время создания группы в Microsoft Graph, группа безопасности создается как частная по умолчанию, а группа Microsoft 365 — общедоступная. Группы, назначаемые ролям, всегда являются частными. Дополнительные сведения см. в разделе "Параметры видимости группы". Допускает значение NULL. | строка |
| writebackConfiguration | Указывает, настроена ли группа для записи свойств объекта обратной группы в локальная служба Active Directory. Эти свойства используются при настройке обратной записи группы в клиенте синхронизации Microsoft Entra Connect. | MicrosoftGraphGroupWritebackConfiguration |
MicrosoftGraphOnPremisesProvisioningError
| Имя | Описание | Значение |
|---|---|---|
| Категория | Категория ошибки подготовки. Примечание. В настоящее время существует только одно возможное значение. Возможное значение: PropertyConflict — указывает, что значение свойства не является уникальным. Другие объекты содержат то же значение для свойства. | строка |
| произошлоDateTime | Дата и время возникновения ошибки. | строка |
| propertyCausingError | Имя свойства каталога, вызывающего ошибку. Текущие возможные значения: UserPrincipalName или ProxyAddress | строка |
| значение | Значение свойства, вызывающего ошибку. | строка |
MicrosoftGraphServiceProvisioningError
| Имя | Описание | Значение |
|---|---|---|
| createdDateTime | Дата и время возникновения ошибки. | строка |
| isResolved | Указывает, присутствовала ли ошибка. | bool |
| serviceInstance | Квалифицированный экземпляр службы (например, SharePoint/Дублин), публикующий сведения об ошибке службы. | строка |
MicrosoftGraphGroupWritebackConfiguration
| Имя | Описание | Значение |
|---|---|---|
| isEnabled | Указывает, включена ли обратная запись облачных групп в локальную службу Active Directory. Значение по умолчанию имеет значение true для групп Microsoft 365 и false для групп безопасности. | bool |
| onPremisesGroupType | Указывает целевой локальный тип группы, в который записывается облачный объект. Допускает значение NULL. Возможные значения: universalDistributionGroup, universalSecurityGroup, universalMailEnabledSecurityGroup.Если облачная группа является единой группой (Microsoft 365), это свойство может быть одним из следующих свойств: universalDistributionGroup, universalSecurityGroup, universalMailEnabledSecurityGroup. Группы безопасности Microsoft Entra можно записать как universalSecurityGroup. Если параметр группы isEnabled или NewUnifiedGroupWritebackDefault имеет значение true, но это свойство не настроено явно: группы Microsoft 365 записываются обратно в качестве универсальных группDistributionGroup по умолчанию записываются как universalSecurityGroup по умолчанию. | строка |