你遇到的Request_BadRequest错误，核心原因是目标组并非当前Azure AD租户原生创建，而是由外部服务生成并同步过来的。这类组的成员管理权限被其源服务（比如本地Active Directory、跨租户同步系统、Teams外部共享团队等）控制，当前租户无法直接通过Graph API的组成员接口修改其成员列表。

从错误提示"无法更新源自外部服务的对象的指定属性"也能看出来：该组的属性（包括成员关系）的修改入口被锁定在了创建它的源系统，而非当前租户的Graph API。

针对不同来源的组，对应的处理方式不同，你可以先通过调用GET /groups/{id}接口查看组的关键属性，再选择对应方案：

1. 组是本地AD同步过来的（onPremisesSyncEnabled属性为true） #

这类组的成员关系完全由本地Active Directory管控，Azure AD只是同步本地的数据：

• 不要通过Graph API修改成员，直接在本地AD服务器中添加目标用户到对应组
• 等待Azure AD与本地AD的同步周期完成（默认30分钟，也可手动触发同步），成员就会自动同步到Azure AD的组中

2. 组是跨租户共享/外部租户创建的 #

如果该组是从其他Azure AD租户同步过来的，或者是外部租户共享的团队组：

• 联系组的源租户管理员，在源租户中完成成员添加操作，之后同步到当前租户
• 若跨租户同步配置了权限委托，可确认是否允许当前租户管理该组成员，再尝试操作

3. 组是Teams外部共享团队对应的组 #

这类组的成员管理与Teams的共享绑定，建议使用Teams专属的API来添加成员：

• 调用POST /teams/{team-id}/members接口，请求体示例：

  {
    "@odata.type": "#microsoft.graph.aadUserConversationMember",
    "roles": ["owner", "member"],
    "user@odata.bind": "https://graph.microsoft.com/v1.0/users/xxx@yyy.com"
  }
  

• 也可以直接在Teams客户端中通过团队设置添加成员，操作会同步到组的成员列表

额外检查 #

虽然这个错误不是权限问题，但还是建议确认调用API的身份（用户或应用）已拥有Group.ReadWrite.All或Directory.ReadWrite.All的权限，避免其他潜在问题。

内容的提问来源于stack exchange，提问作者user1660344