Microsoft.Graph 组
权限
为此 API 选择标记为最低特权的权限。 只有在应用需要它时,才使用更高的特权权限。 有关委派权限和应用程序权限的详细信息,请参阅权限类型。 要了解有关这些权限的详细信息,请参阅 权限参考。
注意
个人Microsoft帐户的权限不能用于部署 Bicep 文件中声明的 Microsoft Graph 资源。
| 权限类型 | 最低特权权限 | 更高特权权限 |
|---|---|---|
| 委派(工作或学校帐户) | Group.ReadWrite.All | Directory.ReadWrite.All |
| 委派(个人 Microsoft 帐户) | 不支持。 | 不支持。 |
| 应用程序 | Group.ReadWrite.All | Directory.ReadWrite.All |
资源格式
若要创建 Microsoft.Graph/groups 资源,请将以下 Bicep 添加到模板。
resource symbolicname 'Microsoft.Graph/groups@v1.0' = {
classification: 'string'
description: 'string'
displayName: 'string'
groupTypes: [
'string'
]
isAssignableToRole: bool
mailEnabled: bool
mailNickname: 'string'
members: [
'string'
]
membershipRule: 'string'
membershipRuleProcessingState: 'string'
owners: [
'string'
]
preferredDataLocation: 'string'
preferredLanguage: 'string'
securityEnabled: bool
serviceProvisioningErrors: [
{
createdDateTime: 'string'
isResolved: bool
serviceInstance: 'string'
}
]
theme: 'string'
uniqueName: 'string'
visibility: 'string'
}
属性值
groups
| 名称 | 描述 | 值 |
|---|---|---|
| apiVersion | 资源 API 版本 | “v1.0” (ReadOnly) |
| 分类 | 描述组的分类(如低、中或高业务影响) | string |
| createdDateTime | 创建组时的时间戳。 无法修改该值,并在创建组时自动填充。 时间戳类型表示使用 ISO 8601 格式的日期和时间信息,并且始终采用 UTC 时间。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z。 只读。 | string (ReadOnly) |
| deletedDateTime | 删除此对象的日期和时间。 当对象尚未删除时,始终为 null。 | string (ReadOnly) |
| description | 组的可选说明 | string |
| displayName | 组的显示名称。 创建组且在更新期间无法清除时,此属性是必需的。 最大长度为 256 个字符 | string (必需) |
| expirationDateTime | 组设置为过期时的时间戳。 安全组为 null,但对于 Microsoft 365 个组,它表示组设置为在 groupLifecyclePolicy 中定义的过期时间。 时间戳类型表示使用 ISO 8601 格式的日期和时间信息,并且始终采用 UTC 格式。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z。 只读。 | string (ReadOnly) |
| groupTypes | 指定组类型及其成员身份。 如果集合包含 Unified,则组为 Microsoft 365 组;否则,它是安全组或通讯组。 有关详细信息,请参阅组概述。如果集合包含 DynamicMembership,则组具有动态成员身份;否则,成员身份为静态 | string[] |
| id | 实体的唯一标识符。 只读。 | string (ReadOnly) |
| isAssignableToRole | 指示是否可以将此组分配给 Microsoft Entra 角色。 可选。 只能在创建组时设置此属性,并且是不可变的。 如果设置为 true,则 securityEnabled 属性也必须设置为 true,可见性必须为 Hidden,并且组不能是动态组(即 groupTypes 不能包含 DynamicMembership)。 只有至少具有特权角色管理员角色的调用方才能设置此属性。 还必须为调用方分配 RoleManagement.ReadWrite.Directory 权限才能设置此属性或更新此类组的成员身份。 有关详细信息,请参阅使用组管理 Microsoft Entra 角色分配。使用此功能需要Microsoft Entra ID P1 许可证 | 布尔 |
| 组的 SMTP 地址,例如“serviceadmins@contoso.com”。 只读 | string (ReadOnly) | |
| mailEnabled | 指定组是否启用邮件。 必须 | bool (必需) |
| mailNickname | 组的邮件别名,对于组织中Microsoft 365 个组是唯一的。 最大长度为 64个字符。 此属性只能包含 ASCII 字符集 0 - 127 中的字符,但以下字符除外: @ () / [] ' ;: <> 、SPACE。 必须 | string (必需) |
| 成员 | 此组的成员,可以是用户、设备、其他组或服务主体。 支持列表成员、添加成员和删除成员操作。 Nullable | string[] |
| membershipRule | 如果组是动态组(groupTypes 包含 DynamicMembership),则确定此组的成员的规则。 有关成员资格规则语法的详细信息,请参阅成员资格规则语法 | string |
| membershipRuleProcessingState | 指示动态成员身份处理是打开还是暂停。 可能的值为 On 或 Paused | string |
| onPremisesDomainName | string (ReadOnly) | |
| onPremisesLastSyncDateTime | 指示该组与本地目录同步的最后一次。 时间戳类型表示使用 ISO 8601 格式的日期和时间信息,并且始终采用 UTC 时间。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z。 只读 | string (ReadOnly) |
| onPremisesNetBiosName | string (ReadOnly) | |
| onPremisesProvisioningErrors | 预配期间使用Microsoft同步产品时出错 | MicrosoftGraphOnPremisesProvisioningError[] (ReadOnly) |
| onPremisesSamAccountName | 包含从本地目录同步的本地 SAM 帐户名称。 只读。 | string (ReadOnly) |
| onPremisesSecurityIdentifier | 包含从本地同步到云的组的本地安全标识符(SID)。 只读 | string (ReadOnly) |
| onPremisesSyncEnabled | 如果此组从本地目录同步,则为 true;如果此组最初从本地目录同步,但不再同步,则为 false;如果此对象从未从本地目录同步(默认值),则为 null。 只读 | bool (ReadOnly) |
| owners | 组的所有者。 限制为 100 个所有者。 Nullable。 如果在创建Microsoft 365 组时未指定此属性,则呼叫用户将自动分配为组所有者 | string[] |
| preferredDataLocation | Microsoft 365 组的首选数据位置。 默认情况下,组继承组创建者的首选数据位置。 若要设置此属性,必须向调用应用授予 Directory.ReadWrite.All 权限,并且用户至少分配以下Microsoft Entra 角色之一:用户帐户管理员目录编写者 Exchange SharePoint 管理员 SharePoint 管理员有关此属性的详细信息,请参阅 OneDrive Online 多地理位置。 Nullable | string |
| preferredLanguage | Microsoft 365 组的首选语言。 应遵循 ISO 639-1 代码;例如,en-US | string |
| proxyAddresses | 定向到同一组邮箱的组的电子邮件地址。 例如:['SMTP: bob@contoso.com', 'smtp: bob@sales.contoso.com']。 筛选多值属性上的表达式需要任何运算符。 只读。 不可为 null | string[] (ReadOnly) |
| renewedDateTime | 上次续订组的时间戳。 此值不能直接修改,只能通过续订服务操作进行更新。 时间戳类型表示使用 ISO 8601 格式的日期和时间信息,并且始终采用 UTC 格式。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z。 只读。 | string (ReadOnly) |
| securityEnabled | 指定组是否为安全组。 必须 | bool (必需) |
| securityIdentifier | 在 Windows 方案中使用的组的安全标识符。 只读 | string (ReadOnly) |
| serviceProvisioningErrors | 联合服务发布的错误,描述有关组对象中的属性或链接的非跨服务错误 | MicrosoftGraphServiceProvisioningError[] |
| theme | 指定Microsoft 365 组的颜色主题。 可能的值为 Teal、紫色、绿色、蓝色、粉红、橙色或红色 | string |
| type | 资源类型 | “Microsoft.Graph/groups”(ReadOnly) |
| uniqueName | 可分配给组并用作备用键的唯一标识符。 不可变 | string (必需) |
| 可见性 | 指定组的组策略和组内容可见性。 可能的值为:Private、Public 或 HiddenMembership。 创建组时,只能为 Microsoft 365 个组设置 HiddenMembership。 以后无法更新它。 组创建后,可以更新其他可见性值。 如果在 Microsoft Graph 上的组创建期间未指定可见性值,则默认情况下会创建安全组,Microsoft 365 组为 Public。 可分配给角色的组始终是专用的。 若要了解详细信息,请参阅组可见性选项。 Nullable。 | string |
MicrosoftGraphOnPremisesProvisioningError
| 名称 | 描述 | 值 |
|---|---|---|
| category | 预配错误的类别。 注意:目前只有一个可能的值。 可能的值:PropertyConflict - 指示属性值不唯一。 其他对象包含该属性的相同值。 | string |
| occurredDateTime | 发生错误的日期和时间。 | string |
| propertyCausingError | 导致错误的目录属性的名称。 当前可能的值:UserPrincipalName 或 ProxyAddress | string |
| value | 导致错误的属性的值。 | string |
MicrosoftGraphServiceProvisioningError
| 名称 | 描述 | 值 |
|---|---|---|
| createdDateTime | 发生错误的日期和时间。 | string |
| isResolved | 指示错误是否已得到处理。 | 布尔 |
| serviceInstance | 已发布服务错误信息的限定服务实例(例如“SharePoint/Dublin”)。 | string |