Ajouter des membres
Espace de noms: microsoft.graph
Importante
Les API sous la version /beta dans Microsoft Graph sont susceptibles d’être modifiées. L’utilisation de ces API dans des applications de production n’est pas prise en charge. Pour déterminer si une API est disponible dans v1.0, utilisez le sélecteur Version .
Ajouter un membre à un groupe de sécurité ou Microsoft 365. Lorsque vous utilisez l’API pour ajouter plusieurs membres dans une même requête, vous ne pouvez ajouter que 20 membres.
Le tableau suivant présente les types de membres qui peuvent être ajoutés à des groupes de sécurité ou à des groupes Microsoft 365.
| Type d’objet | Membre du groupe de sécurité | Membre du groupe Microsoft 365 |
|---|---|---|
| Utilisateur |
|
|
| Groupe de sécurité |
|
|
| Groupe Microsoft 365 |
|
|
| Appareil |
|
|
| Principal de service |
|
|
| Contact de l’organisation |
|
|
Cette API est disponible dans les déploiements de cloud national suivants.
| Service global | Gouvernement des États-Unis L4 | Us Government L5 (DOD) | Chine gérée par 21Vianet |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Autorisations
Le tableau suivant montre l’autorisation la moins privilégiée requise par chaque type de ressource lors de l’appel de cette API. Pour plus d’informations, notamment sur la façon de choisir les autorisations, voir Autorisations.
| Ressource prise en charge | Déléguée (compte professionnel ou scolaire) | Déléguée (compte Microsoft personnel) | Application |
|---|---|---|---|
| appareil | GroupMember.ReadWrite.All et Device.ReadWrite.All | Non prise en charge. | GroupMember.ReadWrite.All et Device.ReadWrite.All |
| groupe | GroupMember.ReadWrite.All | Non prise en charge. | GroupMember.ReadWrite.All |
| orgContact | GroupMember.ReadWrite.All et OrgContact.Read.All | Non prise en charge. | GroupMember.ReadWrite.All et OrgContact.Read.All |
| servicePrincipal | GroupMember.ReadWrite.All et Application.ReadWrite.All | Non prise en charge. | GroupMember.ReadWrite.All et Application.ReadWrite.All |
| utilisateur | GroupMember.ReadWrite.All | Non prise en charge. | GroupMember.ReadWrite.All |
Importante
Dans les scénarios délégués, l’utilisateur connecté doit également se voir attribuer un rôle Microsoft Entra pris en charge ou un rôle personnalisé avec l’autorisation de microsoft.directory/groups/members/update rôle. Les rôles suivants sont les rôles les moins privilégiés pris en charge pour cette opération, à l’exception des groupes assignables à un rôle :
- Propriétaires de groupe
- Rédacteurs d'annuaires
- administrateur Groupes
- Administrateur de gouvernance des identités
- Administrateur d’utilisateurs
- Administrateur Exchange : uniquement pour les groupes Microsoft 365
- Administrateur SharePoint : uniquement pour les groupes Microsoft 365
- Administrateur Teams - uniquement pour les groupes Microsoft 365
- Administrateur Yammer : uniquement pour les groupes Microsoft 365
- administrateur Intune - uniquement pour les groupes de sécurité
Pour ajouter des membres à un groupe assignable à un rôle, l’application doit également recevoir l’autorisation RoleManagement.ReadWrite.Directory et l’utilisateur appelant doit se voir attribuer un rôle Microsoft Entra pris en charge. Administrateur de rôle privilégié est le rôle le moins privilégié pris en charge pour cette opération.
Requête HTTP
POST /groups/{group-id}/members/$ref
PATCH /groups/{group-id}/members
En-têtes de demande
| Nom | Description |
|---|---|
| Autorisation | Porteur {token}. Obligatoire. En savoir plus sur l’authentification et l’autorisation. |
| Content-type | application/json. Obligatoire. |
Corps de la demande
Lorsque vous utilisez la POST /groups/{group-id}/members/$ref syntaxe , fournissez un objet JSON qui contient une propriété @odata.id avec une référence par ID à un type d’objet membre de groupe pris en charge.
Lorsque vous utilisez la PATCH /groups/{group-id}/members syntaxe , fournissez un objet JSON qui contient une propriété avec une members@odata.bind ou plusieurs références par ID à un type d’objet membre de groupe pris en charge. C’est:
- Pour les groupes Microsoft 365, uniquement
https://graph.microsoft.com/v1.0/directoryObjects/{id}ethttps://graph.microsoft.com/v1.0/groups/{id}est autorisé, où{id}doit être un utilisateur, car seuls les utilisateurs peuvent être membres de groupes Microsoft 365. - Pour les groupes de sécurité, les références d’ID suivantes sont autorisées :
-
https://graph.microsoft.com/v1.0/directoryObjects/{id}où{id}doit appartenir à un utilisateur, un groupe de sécurité, un appareil, un principal de service ou un contact organisationnel. -
https://graph.microsoft.com/v1.0/groups/{id}où{id}doit appartenir à un autre groupe de sécurité. Les groupes Microsoft 365 ne peuvent pas être membres des groupes de sécurité. -
https://graph.microsoft.com/v1.0/devices/{id}où{id}appartient à un appareil. -
https://graph.microsoft.com/v1.0/servicePrincipal/{id}où{id}appartient à un principal de service. -
https://graph.microsoft.com/v1.0/orgContact/{id}où{id}appartient à un contact organisationnel.
-
Réponse
Si elle réussit, cette méthode renvoie un code de réponse 204 No Content. Elle retourne un 400 Bad Request code de réponse lorsque l’objet est déjà membre du groupe ou n’est pas pris en charge en tant que membre du groupe. Elle retourne un 404 Not Found code de réponse lorsque l’objet ajouté n’existe pas. Il retourne 403 Unauthorized dans l’un des scénarios suivants :
- Vous essayez d’ajouter un membre à un groupe qui ne peut pas être géré via Microsoft Graph. Cette API prend uniquement en charge la sécurité et les groupes Microsoft 365.
- Vous essayez d’ajouter un membre que vous n’avez pas les autorisations nécessaires pour ajouter. Reportez-vous à la section Autorisations précédente pour connaître les autorisations requises pour ajouter différents types de membres.
- Vous essayez d’ajouter un membre à un groupe assignable à un rôle et vous ne disposez pas des autorisations requises.
Exemple
Exemple 1: Ajouter un membre à un groupe
Demande
L’exemple suivant montre une requête qui utilise la référence directoryObjects pour ajouter un membre à un groupe.
POST https://graph.microsoft.com/beta/groups/{group-id}/members/$ref
Content-type: application/json
{
"@odata.id": "https://graph.microsoft.com/beta/directoryObjects/{id}"
}
Réponse
L’exemple suivant illustre la réponse.
HTTP/1.1 204 No Content
Exemple 2 : Ajouter plusieurs membres à un groupe dans une seule demande
Cet exemple montre comment ajouter plusieurs membres à un groupe avec le support de la liaison OData dans une opération de correctif. Jusqu’à 20 membres peuvent être ajoutés dans une seule requête. Si une condition d’erreur existe dans le corps de la demande, nous n’ajouterons aucun membre et renverrons le code de réponse approprié.
Demande
L’exemple suivant illustre une demande.
PATCH https://graph.microsoft.com/beta/groups/{group-id}
Content-type: application/json
{
"members@odata.bind": [
"https://graph.microsoft.com/beta/directoryObjects/{id}",
"https://graph.microsoft.com/beta/directoryObjects/{id}",
"https://graph.microsoft.com/beta/directoryObjects/{id}"
]
}
Réponse
L’exemple suivant illustre la réponse.
HTTP/1.1 204 No Content