Ajouter un membre
Espace de noms: microsoft.graph
Utilisez cette API pour ajouter un membre (utilisateur, groupe ou appareil) à une unité administrative. Actuellement, il n’est possible d’ajouter qu’un seul membre à la fois à une unité administrative.
Cette API est disponible dans les déploiements de cloud national suivants.
Service global | Gouvernement des États-Unis L4 | Us Government L5 (DOD) | Chine gérée par 21Vianet |
---|---|---|---|
✅ | ✅ | ✅ | ✅ |
Autorisations
L’une des autorisations suivantes est nécessaire pour appeler cette API. Pour plus d’informations, notamment sur la façon de choisir les autorisations, voir Autorisations.
Autorisations pour ajouter un utilisateur, un groupe ou un appareil existant
Type d’autorisation | Autorisations (de celle qui offre le plus de privilèges à celle qui en offre le moins) |
---|---|
Déléguée (compte professionnel ou scolaire) | AdministrativeUnit.ReadWrite.All |
Déléguée (compte Microsoft personnel) | Non prise en charge. |
Application | AdministrativeUnit.ReadWrite.All |
Importante
Dans les scénarios délégués avec des comptes professionnels ou scolaires, l’utilisateur connecté doit être un utilisateur membre ou se voir attribuer un rôle Microsoft Entra pris en charge ou un rôle personnalisé avec une autorisation de rôle prise en charge. Administrateur de rôle privilégié est le rôle le moins privilégié pris en charge pour cette opération.
Autorisations de création d’un groupe
Type d’autorisation | Autorisations (de celle qui offre le plus de privilèges à celle qui en offre le moins) |
---|---|
Déléguée (compte professionnel ou scolaire) | Group.ReadWrite.All et AdministrativeUnit.Read.All, Directory.ReadWrite.All |
Déléguée (compte Microsoft personnel) | Non prise en charge. |
Application | Group.Create et AdministrativeUnit.Read.All, Group.ReadWrite.All et AdministrativeUnit.Read.All, Directory.ReadWrite.All |
Importante
Pour créer un groupe dans une unité administrative, le principal appelant doit se voir attribuer au moins l’un des rôles Microsoft Entra suivants dans l’étendue de l’unité administrative :
- administrateur Groupes
- Administrateur d’utilisateurs
Pour les scénarios d’application uniquement, en dehors de ces rôles, le principal de service nécessite des autorisations supplémentaires pour lire le répertoire. Ces autorisations peuvent être accordées via l’attribution de rôles de Microsoft Entra pris en charge, tels que le rôle Lecteurs d’annuaire, ou via des autorisations d’application Microsoft Graph qui permettent de lire l’annuaire, telles que Directory.Read.All.
Requête HTTP
La requête suivante ajoute un utilisateur, un groupe ou un appareil existant à l’unité administrative.
POST /directory/administrativeUnits/{id}/members/$ref
La requête suivante crée un groupe au sein de l’unité administrative.
POST /directory/administrativeUnits/{id}/members
En-têtes de demande
Nom | Description |
---|---|
Autorisation | Porteur {token}. Obligatoire. En savoir plus sur l’authentification et l’autorisation. |
Content-type | application/json. Obligatoire. |
Corps de la demande
Ajout d’un utilisateur, d’un groupe ou d’un appareil existant
Dans le corps de la demande, indiquez le id
d’un utilisateur, d’un groupe, d’un appareil ou d’un directoryObject à ajouter.
Création d’un groupe
Le tableau suivant présente les propriétés de la ressource de groupe à spécifier lorsque vous créez un groupe dans l’unité administrative.
Propriété | Type | Description |
---|---|---|
displayName | chaîne | Nom à afficher dans le carnet d’adresses pour le groupe. Obligatoire. |
description | string | Description du groupe. Facultatif. |
isAssignableToRole | Boolean | Définissez la valeur true pour permettre au groupe d’être affecté à un rôle Microsoft Entra. Administrateur de rôle privilégié est le rôle le moins privilégié pour définir la valeur de cette propriété. Facultatif. |
mailEnabled | Boolean | Défini sur true pour les groupes à extension messagerie. Obligatoire. |
mailNickname | chaîne | Alias de messagerie du groupe. Ces caractères ne peuvent pas être utilisés dans mailNickName : @()\[]";:.<>,SPACE . Obligatoire. |
securityEnabled | Boolean | Définissez true pour les groupes prenant en charge la sécurité, y compris les groupes Microsoft 365. Obligatoire. |
Propriétaires | collection directoryObject | Cette propriété représente les propriétaires du groupe au moment de la création. Facultatif. |
membres | collection directoryObject | Cette propriété représente les membres du groupe au moment de la création. Facultatif. |
visibility | String | Spécifie la visibilité d’un groupe Microsoft 365. Les valeurs possibles sont les suivantes : Private , Public , HiddenMembership ou vide (qui est interprété comme étant Public ). |
Réponse
En cas de réussite, l’ajout d’un objet existant (à l’aide $ref
de ) retourne 204 No Content
le code de réponse. Il ne retourne rien dans le corps de la réponse.
Lors de la création d’un groupe (sans $ref
), cette méthode retourne un 201 Created
code de réponse et un objet group dans le corps de la réponse. La réponse inclut uniquement les propriétés par défaut du groupe. Vous devez fournir la "@odata.type" : "#microsoft.graph.group"
ligne dans le corps de la demande pour identifier explicitement le nouveau membre en tant que groupe. Un corps de requête sans le correct @odata.type retourne un 400 Bad Request
message d’erreur.
Exemples
Exemple 1 : Ajouter un utilisateur ou un groupe existant
La requête suivante ajoute un utilisateur ou un groupe existant à une unité administrative.
Demande
L’exemple suivant illustre une demande.
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{id}/members/$ref
Content-type: application/json
{
"@odata.id":"https://graph.microsoft.com/v1.0/groups/{id}"
}
Dans le corps de la demande, indiquez le id
de l’objet utilisateur ou groupe que vous souhaitez ajouter.
Réponse
L’exemple suivant illustre la réponse.
HTTP/1.1 204 No Content
Exemple 2 : Créer un groupe
L’exemple suivant crée un groupe dans l’unité administrative. Vous devez fournir la "@odata.type" : "#microsoft.graph.group"
ligne dans le corps de la demande pour identifier explicitement le nouveau membre en tant que groupe. Un corps de requête sans le correct @odata.type retourne un 400 Bad Request
message d’erreur.
Demande
L’exemple suivant illustre une demande.
POST https://graph.microsoft.com/v1.0/directory/administrativeUnits/{id}/members
Content-type: application/json
{
"@odata.type": "#microsoft.graph.group",
"description": "Self help community for golf",
"displayName": "Golf Assist",
"groupTypes": [
"Unified"
],
"mailEnabled": true,
"mailNickname": "golfassist",
"securityEnabled": false
}
Dans le corps de la demande, indiquez les propriétés de l’objet group que vous souhaitez ajouter.
Réponse
L’exemple suivant illustre la réponse.
Remarque : l’objet de réponse affiché ci-après peut être raccourci pour plus de lisibilité.
HTTP/1.1 201 Created
Content-type: application/json
{
"@odata.context": "https://graph.microsoft.com/v1.0/$metadata#groups/$entity",
"id": "45b7d2e7-b882-4a80-ba97-10b7a63b8fa4",
"deletedDateTime": null,
"classification": null,
"createdDateTime": "2018-12-22T02:21:05Z",
"description": "Self help community for golf",
"displayName": "Golf Assist",
"expirationDateTime": null,
"groupTypes": [
"Unified"
],
"isAssignableToRole": null,
"mail": "golfassist@contoso.com",
"mailEnabled": true,
"mailNickname": "golfassist",
"membershipRule": null,
"membershipRuleProcessingState": null,
"onPremisesLastSyncDateTime": null,
"onPremisesSecurityIdentifier": null,
"onPremisesSyncEnabled": null,
"preferredDataLocation": "CAN",
"preferredLanguage": null,
"proxyAddresses": [
"SMTP:golfassist@contoso.com"
],
"renewedDateTime": "2018-12-22T02:21:05Z",
"resourceBehaviorOptions": [],
"resourceProvisioningOptions": [],
"securityEnabled": false,
"securityIdentifier": "S-1-12-1-1753967289-1089268234-832641959-555555555",
"theme": null,
"visibility": "Public",
"onPremisesProvisioningErrors": []
}