通过 API 将用户添加到 Exchange 管理员角色组？

Question

是否可以通过 API 将用户/成员添加到 Exchange 管理员角色组？等效的 PowerShell cmdlet 是 Add-RoleGroupMember，我希望添加到的特定组是 View-only Organization Management。

Microsoft Graph 有一个到 add to directory roles 的端点，但是我似乎找不到在我的租户的 DirectoryRoles 或 DirectoryRoleTemplates 中列出的“仅查看组织管理”组，所以我怀疑 MS Graph 无法访问这些交换角色组。对 Outlook API 的探索也没有以用户/成员函数的形式显示太多。

进一步探索添加的额外信息

我运行了这个 PowerShell cmdlet：

Add-RoleGroupMember -身份“View-only Organization Management” -成员“user@domain.onmicrosoft.com”

然后跑：

Get-RoleGroupMember -identity "仅查看组织管理"

确认用户确实已添加到其中。然后我运行了以下 MS Graph 调用：

获取https://graph.microsoft.com/v1.0/users/user@domain.onmicrosoft.com/memberOf

它返回了 zip：

{
  "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#directoryObjects",
  "value": []
}

所以看起来这个特定的 View-only Organization Management 角色组无法通过 MS Graph 访问？是否有任何其他 API 可以让我添加到此角色组？

Answer 1

所以https://graph.microsoft.com/v1.0/directoryRoleTemplates 列出了您可以设置的可用开箱即用“目录”角色。我将 Directory 放在引号中，因为这些角色确实包括 Exchange、SharePoint 和 Skype 服务管理员（以及其他角色）。这里要注意的是，从一开始就只有“隐式”用户角色和公司管理员角色可用。如果您希望其他人出现并使用它们，则需要启用/激活它们。此处对此进行了描述：https://graph.microsoft.io/en-us/docs/api-reference/v1.0/resources/directoryrole。 激活“Exchange 服务管理员”角色后，您应该可以使用 https://graph.microsoft.io/en-us/docs/api-reference/v1.0/api/directoryrole_post_members 将用户分配给该角色。

如果您希望使用 Azure AD PowerShell，也可以使用此功能。您可以在此处找到有关 V2 Azure AD PowerShell https://docs.microsoft.com/en-us/powershell/azuread/v2/azureactivedirectory 的信息。在搜索类型“DirectoryRole”中，您将找到所有 DirectoryRole cmdlet。