Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Namespace: microsoft.graph
Fügen Sie ein Mitglied zu einer Sicherheits- oder Microsoft 365-Gruppe hinzu. Wenn Sie die API verwenden, um mehrere Mitglieder in einer Anforderung hinzuzufügen, können Sie nur bis zu 20 Mitglieder hinzufügen.
Die folgende Tabelle zeigt die Typen von Mitgliedern, die entweder Sicherheitsgruppen oder Microsoft 365-Gruppen hinzugefügt werden können.
| Objekttyp | Mitglied der Sicherheitsgruppe | Mitglied einer Microsoft 365-Gruppe |
|---|---|---|
| Benutzer |
|
|
| Sicherheitsgruppe |
|
|
| Microsoft 365 Gruppe |
|
|
| Gerät |
|
|
| Dienstprinzipal |
|
|
| Organisationskontakte |
|
|
Diese API ist in den folgenden nationalen Cloudbereitstellungen verfügbar.
| Weltweiter Service | US Government L4 | US Government L5 (DOD) | China, betrieben von 21Vianet |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Berechtigungen
In der folgenden Tabelle sind die Berechtigungen mit den geringsten Berechtigungen aufgeführt, die für jeden Ressourcentyp erforderlich sind, wenn diese API aufgerufen wird. Weitere Informationen, unter anderem zur Auswahl von Berechtigungen, finden Sie unter Berechtigungen.
| Unterstützte Ressource | Delegiert (Geschäfts-, Schul- oder Unikonto) | Delegiert (persönliches Microsoft-Konto) | Application |
|---|---|---|---|
| device | GroupMember.ReadWrite.All und Device.Read.All | Nicht unterstützt | GroupMember.ReadWrite.All und Device.ReadWrite.All |
| Gruppe | GroupMember.ReadWrite.All | Nicht unterstützt | GroupMember.ReadWrite.All |
| orgContact | GroupMember.ReadWrite.All und OrgContact.Read.All | Nicht unterstützt | GroupMember.ReadWrite.All und OrgContact.Read.All |
| servicePrincipal | GroupMember.ReadWrite.All und Application.ReadWrite.All | Nicht unterstützt | GroupMember.ReadWrite.All und Application.ReadWrite.All |
| user | GroupMember.ReadWrite.All | Nicht unterstützt | GroupMember.ReadWrite.All |
Wichtig
In delegierten Szenarien muss dem angemeldeten Benutzer auch eine unterstützte Microsoft Entra Rolle oder eine benutzerdefinierte Rolle mit der microsoft.directory/groups/members/update Rollenberechtigung zugewiesen werden. Die folgenden Rollen sind die Am wenigsten privilegierten Rollen, die für diesen Vorgang unterstützt werden, mit Ausnahme von Gruppen, denen Rollen zugewiesen werden können:
- Gruppenbesitzer
- Verzeichnisautoren
- Gruppenadministrator
- Identity Governance-Administrator
- Benutzeradministrator
- Exchange-Administrator – nur für Microsoft 365-Gruppen
- SharePoint-Administrator – nur für Microsoft 365-Gruppen
- Teams-Administrator – nur für Microsoft 365-Gruppen
- Yammer Administrator – nur für Microsoft 365-Gruppen
- Intune Administrator – nur für Sicherheitsgruppen
Zum Hinzufügen von Mitgliedern zu einer Gruppe mit Rollenzuweisung muss der App außerdem die Berechtigung RoleManagement.ReadWrite.Directory zugewiesen werden, und dem aufrufenden Benutzer muss eine unterstützte Microsoft Entra Rolle zugewiesen werden. Administrator für privilegierte Rollen ist die Rolle mit den geringsten Berechtigungen, die für diesen Vorgang unterstützt wird.
HTTP-Anforderung
POST /groups/{group-id}/members/$ref
PATCH /groups/{group-id}
Anforderungsheader
| Kopfzeile | Wert |
|---|---|
| Authorization | Bearer {token}. Erforderlich. Erfahren Sie mehr über Authentifizierung und Autorisierung. |
| Content-type | application/json. Erforderlich. |
Anforderungstext
Wenn Sie die POST /groups/{group-id}/members/$ref Syntax verwenden, geben Sie ein JSON-Objekt an, das eine @odata.id-Eigenschaft mit einem Verweis nach ID auf einen unterstützten Gruppenmitgliedsobjekttyp enthält.
Wenn Sie die PATCH /groups/{group-id} Syntax verwenden, geben Sie ein JSON-Objekt an, das eine members@odata.bind Eigenschaft mit mindestens einem Verweis durch IDs auf einen unterstützten Gruppenmitgliedsobjekttyp enthält. Das heißt:
- Für Microsoft 365-Gruppen ist nur
https://graph.microsoft.com/v1.0/directoryObjects/{id}undhttps://graph.microsoft.com/v1.0/groups/{id}zulässig, wobei{id}ein Benutzer sein muss, da nur Benutzer Mitglieder von Microsoft 365-Gruppen sein können. - Für Sicherheitsgruppen sind die folgenden ID-Verweise zulässig:
-
https://graph.microsoft.com/v1.0/directoryObjects/{id}wobei{id}zu einem Benutzer, einer Sicherheitsgruppe, einem Gerät, einem Dienstprinzipal oder einem Organisationskontakt gehören muss. -
https://graph.microsoft.com/v1.0/groups/{id}wobei{id}zu einer anderen Sicherheitsgruppe gehören muss. Microsoft 365 Gruppen dürfen keine Mitglieder von Sicherheitsgruppen sein. -
https://graph.microsoft.com/v1.0/devices/{id}wobei{id}zu einem Gerät gehört. -
https://graph.microsoft.com/v1.0/servicePrincipal/{id}wobei{id}zu einem Dienstprinzipal gehört. -
https://graph.microsoft.com/v1.0/orgContact/{id}wobei{id}zu einem Organisationskontakt gehört.
-
Antwort
Wenn die Methode erfolgreich verläuft, wird der Antwortcode 204 No Content zurückgegeben. Es gibt einen 400 Bad Request Antwortcode zurück, wenn das Objekt bereits Mitglied der Gruppe ist oder nicht als Gruppenmitglied unterstützt wird. Er gibt einen 404 Not Found Antwortcode zurück, wenn das hinzugefügte Objekt nicht vorhanden ist. Es wird in einem der folgenden Szenarien zurückgegeben 403 Unauthorized :
- Sie versuchen, ein Mitglied zu einer Gruppe hinzuzufügen, die nicht über Microsoft Graph verwaltet werden kann. Diese API unterstützt nur Sicherheits- und Microsoft 365-Gruppen.
- Sie versuchen, ein Mitglied hinzuzufügen, das Sie nicht hinzufügen können. Informationen zu den Berechtigungen, die zum Hinzufügen verschiedener Membertypen erforderlich sind, finden Sie im vorherigen Abschnitt Berechtigungen .
- Sie versuchen, ein Mitglied zu einer Gruppe hinzuzufügen, der Rollen zugewiesen werden können, und sie verfügen nicht über die erforderlichen Berechtigungen.
Beispiele
Beispiel 1: Hinzufügen eines Mitglieds zu einer Gruppe
Anforderung
Das folgende Beispiel zeigt eine Anforderung, die den directoryObjects-Verweis verwendet, um einer Gruppe ein Mitglied hinzuzufügen.
POST https://graph.microsoft.com/v1.0/groups/{group-id}/members/$ref
Content-type: application/json
{
"@odata.id": "https://graph.microsoft.com/v1.0/directoryObjects/{id}"
}
Antwort
Das folgende Beispiel zeigt die Antwort.
HTTP/1.1 204 No Content
Beispiel 2: Hinzufügen von mehreren Mitgliedern zu einer Gruppe im Rahmen einer einzigen Anforderung
In diesem Beispiel wird gezeigt, wie Sie einer Gruppe mit OData-Bindungsunterstützung mehrere Mitglieder hinzufügen. In einer einzelnen Anforderung können bis zu 20 Mitglieder hinzugefügt werden. Wenn eine Fehlerbedingung im Hauptteil der Anforderung vorliegt, werden keine Mitglieder hinzugefügt, und der entsprechende Antwortcode wird zurückgegeben.
Anforderung
Das folgende Beispiel zeigt eine Anfrage.
PATCH https://graph.microsoft.com/v1.0/groups/{group-id}
Content-type: application/json
{
"members@odata.bind": [
"https://graph.microsoft.com/v1.0/directoryObjects/{id}",
"https://graph.microsoft.com/v1.0/directoryObjects/{id}",
"https://graph.microsoft.com/v1.0/directoryObjects/{id}"
]
}
Geben Sie im Anforderungstext eine JSON-Darstellung der ID des directoryObject-, user- oder group-Objekts an, das hinzugefügt werden soll.
Antwort
Das folgende Beispiel zeigt die Antwort.
HTTP/1.1 204 No Content