Microsoft.Graph 组
重要
Microsoft Graph /beta 版本下的 API 可能会发生更改。 不支持在生产应用程序中使用这些 API。 若要确定 API 是否在 v1.0 中可用,请使用 版本 选择器。
权限
为此 API 选择标记为最低特权的权限。 只有在应用需要它时,才使用更高的特权权限。 有关委派权限和应用程序权限的详细信息,请参阅权限类型。 要了解有关这些权限的详细信息,请参阅 权限参考。
注意
个人Microsoft帐户的权限不能用于部署 Bicep 文件中声明的 Microsoft Graph 资源。
| 权限类型 | 最低特权权限 | 更高特权权限 |
|---|---|---|
| 委派(工作或学校帐户) | Group.ReadWrite.All | Directory.ReadWrite.All |
| 委派(个人 Microsoft 帐户) | 不支持。 | 不支持。 |
| 应用程序 | Group.ReadWrite.All | Directory.ReadWrite.All |
资源格式
若要创建 Microsoft.Graph/groups 资源,请将以下 Bicep 添加到模板。
resource symbolicname 'Microsoft.Graph/groups@beta' = {
classification: 'string'
description: 'string'
displayName: 'string'
groupTypes: [
'string'
]
infoCatalogs: [
'string'
]
isAssignableToRole: bool
mailEnabled: bool
mailNickname: 'string'
members: [
'string'
]
membershipRule: 'string'
membershipRuleProcessingState: 'string'
organizationId: 'string'
owners: [
'string'
]
preferredDataLocation: 'string'
preferredLanguage: 'string'
resourceBehaviorOptions: [
'string'
]
resourceProvisioningOptions: [
'string'
]
securityEnabled: bool
serviceProvisioningErrors: [
{
createdDateTime: 'string'
isResolved: bool
serviceInstance: 'string'
}
]
theme: 'string'
uniqueName: 'string'
visibility: 'string'
writebackConfiguration: {
isEnabled: bool
onPremisesGroupType: 'string'
}
}
属性值
groups
| 名称 | 描述 | 值 |
|---|---|---|
| apiVersion | 资源 API 版本 | “beta”(ReadOnly) |
| 分类 | 描述组的分类(如低、中或高业务影响) | string |
| createdByAppId | 用于创建组的应用的应用 ID。 对于某些组,可以为 null。 只读 | string (ReadOnly) |
| createdDateTime | 创建组时的时间戳。 无法修改该值,并在创建组时自动填充。 时间戳类型表示使用 ISO 8601 格式的日期和时间信息,并且始终采用 UTC 格式。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z。 只读。 | string (ReadOnly) |
| deletedDateTime | 删除此对象的日期和时间。 当对象尚未删除时,始终为 null。 | string (ReadOnly) |
| description | 组的可选说明 | string |
| displayName | 组的显示名称。 必需。 最大长度为 256 个字符 | string (必需) |
| expirationDateTime | 组设置为过期时的时间戳。 安全组为 null,但对于 Microsoft 365 个组,它表示组设置为在 groupLifecyclePolicy 中定义的过期时间。 时间戳类型表示使用 ISO 8601 格式的日期和时间信息,并且始终采用 UTC 格式。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z。 只读。 | string (ReadOnly) |
| groupTypes | 指定组类型及其成员身份。 如果集合包含 Unified,则组为 Microsoft 365 组;否则,它是安全组或通讯组。 有关详细信息,请参阅组概述。如果集合包含 DynamicMembership,则组具有动态成员身份;否则,成员身份为静态 | string[] |
| id | 实体的唯一标识符。 只读。 | string (ReadOnly) |
| infoCatalogs | 标识分配给组的信息段 | string[] |
| isAssignableToRole | 指示是否可以将此组分配给 Microsoft Entra 角色。 可选。 只能在创建组时设置此属性,并且是不可变的。 如果设置为 true,则 securityEnabled 属性也必须设置为 true,可见性必须为 Hidden,并且该组不能是动态组(即 groupTypes 不能包含 DynamicMembership)。 只有至少具有特权角色管理员角色的调用方才能设置此属性。 还必须为调用方分配 RoleManagement.ReadWrite.Directory 权限才能设置此属性或更新此类组的成员身份。 有关详细信息,请参阅使用组管理 Microsoft Entra 角色分配。使用此功能需要Microsoft Entra ID P1 许可证 | 布尔 |
| isManagementRestricted | 指示组是否是受限管理单元的成员,在这种情况下,它需要限定为受限管理单元管理的角色。 默认值为 false。 只读。 若要管理受限管理单元的组成员,必须向调用应用分配 Directory.Write.Restricted 权限。 对于委派方案,管理员还必须在受限的管理单元范围内显式分配受支持的角色。 | bool (ReadOnly) |
| 组的 SMTP 地址,例如“serviceadmins@contoso.com”。 只读 | string (ReadOnly) | |
| mailEnabled | 指定组是否启用邮件。 必须 | bool (必需) |
| mailNickname | 组的邮件别名,对于组织中Microsoft 365 个组是唯一的。 最大长度为 64个字符。 此属性只能包含 ASCII 字符集 0 - 127 中的字符,但以下情况除外: @ () / [] ' ;: <> 、SPACE | string (必需) |
| members | 直接组成员,可以是用户、设备、其他组或服务主体。 支持列表成员、添加成员和删除成员操作。 Nullable | string[] |
| membershipRule | 如果组是动态组(groupTypes 包含 DynamicMembership),则确定此组的成员的规则。 有关成员资格规则语法的详细信息,请参阅成员资格规则语法 | string |
| membershipRuleProcessingState | 指示动态成员身份处理是打开还是暂停。 可能的值为 On 或 Paused | string |
| onPremisesDomainName | 包含从本地目录同步的本地域 FQDN,也称为 dnsDomainName。 只读。 | string (ReadOnly) |
| onPremisesLastSyncDateTime | 指示该组与本地目录同步的最后一次。时间戳类型表示使用 ISO 8601 格式的日期和时间信息,并且始终采用 UTC 格式。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z。 只读 | string (ReadOnly) |
| onPremisesNetBiosName | 包含从本地目录同步的本地 netBios 名称。 只读。 | string (ReadOnly) |
| onPremisesProvisioningErrors | 预配期间使用Microsoft同步产品时出错 | MicrosoftGraphOnPremisesProvisioningError[] (ReadOnly) |
| onPremisesSamAccountName | 包含从本地目录同步的本地 SAM 帐户名称。 只读。 | string (ReadOnly) |
| onPremisesSecurityIdentifier | 包含从本地同步到云的组的本地安全标识符(SID)。 只读。 只读。 | string (ReadOnly) |
| onPremisesSyncEnabled | 如果此组从本地目录同步,则为 true;如果此组最初从本地目录同步,但不再同步,则为 false;如果从未从本地目录同步此对象(默认值),则为 null。 只读 | bool (ReadOnly) |
| organizationId | string | |
| owners | 可以是用户或服务主体的组的所有者。 Nullable。 如果在创建Microsoft 365 组时未指定此属性,则呼叫用户将自动分配为组所有者 | string[] |
| preferredDataLocation | Microsoft 365 组的首选数据位置。 默认情况下,组继承组创建者的首选数据位置。 若要设置此属性,必须向调用应用授予 Directory.ReadWrite.All 权限,并且至少为用户分配以下Microsoft Entra 角色之一:用户帐户管理员目录编写者 Exchange SharePoint 管理员有关此属性的详细信息,请参阅 OneDrive Online 多地理位置并创建具有特定 PDL 的 Microsoft 365 组。 Nullable | string |
| preferredLanguage | Microsoft 365 组的首选语言。 应遵循 ISO 639-1 代码;例如,en-US | string |
| proxyAddresses | 定向到同一组邮箱的组的电子邮件地址。 例如:['SMTP: bob@contoso.com', 'smtp: bob@sales.contoso.com']。 筛选多值属性上的表达式需要任何运算符。 只读。 不可为 null | string[] (ReadOnly) |
| renewedDateTime | 上次续订组的时间戳。 这不能直接修改,只能通过续订服务操作进行更新。 时间戳类型表示使用 ISO 8601 格式的日期和时间信息,并且始终采用 UTC 格式。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z。 只读。 | string (ReadOnly) |
| resourceBehaviorOptions | 指定可在创建期间为 Microsoft 365 组设置的组行为。 此属性只能设置为创建(POST)的一部分。 有关可能值的列表,请参阅Microsoft 365 组行为和预配选项。 | string[] |
| resourceProvisioningOptions | 指定与 Microsoft 365 组关联的组资源。 可能的值为 Team。 有关详细信息,请参阅Microsoft 365 组行为和预配选项 | string[] |
| securityEnabled | 指定组是否为安全组 | bool (必需) |
| securityIdentifier | 在 Windows 方案中使用的组的安全标识符。 只读 | string (ReadOnly) |
| serviceProvisioningErrors | 联合服务发布的错误,描述有关组对象中的属性或链接的非暂时性特定于服务的错误。 | MicrosoftGraphServiceProvisioningError[] |
| theme | 指定Microsoft 365 组的颜色主题。 可能的值为 Teal、紫色、绿色、蓝色、粉红色、橙色或红色 | string |
| type | 资源类型 | “Microsoft.Graph/groups”(ReadOnly) |
| uniqueName | 可分配给组并用作备用键的唯一标识符。 不可变 | string (必需) |
| 可见性 | 指定组的组策略和组内容可见性。 可能的值为:Private、Public 或 HiddenMembership。 创建组时,只能为 Microsoft 365 个组设置 HiddenMembership。 以后无法更新它。 组创建后,可以更新其他可见性值。 如果在 Microsoft Graph 上的组创建期间未指定可见性值,则默认情况下会创建安全组为“专用”,Microsoft 365 组为 Public。 可分配给角色的组始终是专用的。 若要了解详细信息,请参阅组可见性选项。 Nullable。 | string |
| writebackConfiguration | 指定是否将组配置为将组对象属性写回本地 Active Directory。 在 Microsoft Entra Connect 同步客户端中配置组写回时,将使用这些属性。 | MicrosoftGraphGroupWritebackConfiguration |
MicrosoftGraphOnPremisesProvisioningError
| 名称 | 描述 | 值 |
|---|---|---|
| category | 预配错误的类别。 注意:目前只有一个可能的值。 可能的值:PropertyConflict - 指示属性值不唯一。 其他对象包含该属性的相同值。 | string |
| occurredDateTime | 发生错误的日期和时间。 | string |
| propertyCausingError | 导致错误的目录属性的名称。 当前可能的值:UserPrincipalName 或 ProxyAddress | string |
| value | 导致错误的属性的值。 | string |
MicrosoftGraphServiceProvisioningError
| 名称 | 描述 | 值 |
|---|---|---|
| createdDateTime | 发生错误的日期和时间。 | string |
| isResolved | 指示错误是否已处理。 | 布尔 |
| serviceInstance | 已发布服务错误信息的限定服务实例(例如“SharePoint/Dublin”)。 | string |
MicrosoftGraphGroupWritebackConfiguration
| 名称 | 描述 | 值 |
|---|---|---|
| isEnabled | 指示是否启用了云组到本地 Active Directory 的写回。 Microsoft 365 个组的默认值为 true,安全组的默认值为 false。 | 布尔 |
| onPremisesGroupType | 指示云对象写回的目标本地组类型。 Nullable。 可能的值包括:universalDistributionGroup、universalSecurityGroup、universalMailEnabledSecurityGroup。如果云组是统一的(Microsoft 365)组,此属性可以是下列属性之一:universalDistributionGroup、universalSecurityGroup、universalMailEnabledSecurityGroup。 Microsoft Entra 安全组可以写回为 universalSecurityGroup。 如果 isEnabled 或 NewUnifiedGroupWritebackDefault 组设置为 true,但未显式配置此属性:默认情况下,Microsoft 365 个组作为 universalDistributionGroup 默认写回通用SecurityGroup | string |
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈