Arbeiten mit Azure Active Directory-Ressourcen in Microsoft GraphWorking with Azure Active Directory resources in Microsoft Graph

Mit Microsoft Graph können Sie auf Azure Active Directory (Azure AD)-Ressourcen zugreifen, um z. B. folgende Szenarios zu unterstützen: Verwalten von Administratorrollen (Verzeichnisrollen), Einladen von Benutzern, die nicht zu einer Organisation gehören, und als Cloud-Lösungsanbieter (CSP) auch Verwalten der Daten Ihrer Kunden.With Microsoft Graph, you can access Azure Active Directory (Azure AD) resources to enable scenarios like managing administrator (directory) roles, inviting external users to an organization, and, if you are a Cloud Solution Provider (CSP), managing your customer's data. Microsoft Graph bietet auch Methoden, die von Apps verwendet werden können, um beispielsweise Informationen über transitive Gruppen- und Rollenmitgliedschaften zu ermitteln.Microsoft Graph also provides methods that apps can use to, for example, discover information about users' transitive group and role memberships.

Hinweis: Einige Azure AD-Ressourcen sind in anderen Abschnitten der API-Referenz dokumentiert. Weitere Informationen finden Sie unter Benutzer und Gruppen.Note: Some Azure AD resources are documented in other sections of the API reference. For more information, see Users and Groups.

AuthorizationAuthorization

Zum Aufrufen der Microsoft Graph-APIs in Azure AD-Ressourcen benötigt Ihre App die entsprechenden Berechtigungen. Viele der APIs, die in Azure AD-Ressourcen verfügbar gemacht werden, erfordern eine der _Verzeichnis_berechtigungen. Verzeichnisberechtigungen verfügen über hohe Rechte und müssen immer vom Administrator genehmigt werden.To call the Microsoft Graph APIs on Azure AD resources, your app will need the appropriate permissions. Many of the APIs exposed on Azure AD resources require one of the Directory permissions. Directory permissions are highly privileged and always require administrator consent.

Wenn Ihre App im Namen eines Benutzers agiert (delegierte Berechtigungen), muss dieser Benutzer ein Mitglied einer entsprechenden Administratorrolle sein, damit Ihre App viele der Azure AD-APIs erfolgreich aufrufen kann.If your app is acting on behalf of a user (delegated permissions), that user will likely need to be a member of an appropriate administrator role for your app to successfully call many of the Azure AD APIs.

Weitere Informationen zu Berechtigungen, einschließlich delegierten und Anwendungsberechtigungen, finden Sie unter Berechtigungen.For more information about permissions, including delegated and application permissions, see Permissions.

Allgemeine AnwendungsfälleCommon use cases

In der folgenden Tabelle werden einige häufige Anwendungsfälle für Azure AD-Ressourcen aufgelistet.The following table lists some common use cases for Azure AD resources.

AnwendungsfälleUse cases REST-RessourcenREST resources Siehe auchSee also
Verzeichnisobjekt und MethodenDirectory object and methods
directoryObject ist die Basisklasse, von der viele Verzeichnisressourcen, z. B. Benutzer und Gruppen, erben. Microsoft Graph macht mehrere Methoden verfügbar, die Sie verwenden können, um Informationen über Benutzer, Gruppen und andere Verzeichnisobjekte zu ermitteln. Sie können beispielsweise eine transitive Mitgliedschaft in einer Liste von Gruppen überprüfen, alle Gruppen und Verzeichnisrollen zurückgeben, von denen ein Verzeichnisobjekt ein transitives Mitglied ist, oder alle Ressourcen eines bestimmten Typs (z. B. Benutzer oder Gruppe) aus einer Liste allgemeiner Ressourcen-IDs abrufen.directoryObject is the base class that many directory resources, like users and groups, inherit from. Microsoft Graph exposes several methods that you can use to discover information about users, groups, and other directory objects. For example, you can check for transitive membership in a list of groups, return all the groups and directory roles that a directory object is a transitive member of, or get all the resources of a specified type (like user or group) from a list of generic resource IDs. directoryObjectdirectoryObject Nicht zutreffendN/A
Verwalten von Verzeichnisrollen (Administratorrollen)Manage directory (administrator) roles
Aktivieren Sie Verzeichnisrollen in einem Azure AD-Mandanten, und verwalten Sie Benutzermitgliedschaften in Verzeichnisrollen. Verzeichnisrollen werden auch als „Administratorrollen“ bezeichnet.Activate directory roles in an Azure AD tenant and manage user memberships in directory roles. Directory roles are also known as administrator roles. directoryRoledirectoryRole
directoryRoleTemplatedirectoryRoleTemplate
Zuweisen von Administratorrollen in Azure Active DirectoryAssigning administrator roles in Azure Active Directory
Vordefinierte Gruppeneinstellungen mandantenweit oder für einzelne Ressourceninstanzen anwenden.Apply predefined group settings across a tenant or to individual resource instances. Gruppeneinstellungen steuern Verhalten wie blockierte Wortlisten für Gruppenanzeigenamen, ob Gastbenutzer Gruppenbesitzer sein können und vieles mehr.Group settings control behaviors like blocked word lists for group display names, whether guest users are allowed to be group owners, and much more. groupSettinggroupSetting
groupSettingTemplategroupSettingTemplate
Azure Active Directory-Cmdlets für die Konfiguration von GruppeneinstellungenAzure Active Directory cmdlets for configuring group settings
Verwalten von GerätenManage devices
Verwalten Sie Geräte, die in der Organisation registriert sind. Geräte sind für Benutzer registriert und umfassen Elemente wie Laptops, Desktops, Tablets und Mobiltelefone. Geräte werden in der Regel mithilfe des Geräteregistrierungsdiensts oder von Microsoft Intune in der Cloud erstellt. Sie werden von Richtlinien für bedingten Zugriff für mehrstufige Authentifizierung verwendet.Manage devices registered in the organization. Devices are registered to users and include items like laptops, desktops, tablets, and mobile phones. Devices are typically created in the cloud using the Device Registration Service or by Microsoft Intune. They're used by conditional access policies for multifactor authentication. devicedevice Erste Schritte bei der Azure Active Directory-Geräteregistrierung.Getting started with Azure Active Directory device registration.

Was ist Intune?What is InTune?

Registrieren von Geräten für die Verwaltung in IntuneEnroll devices for management in InTune
Verwaltung von PartnermandantenPartner tenant management
Abrufen von Informationen über Partnerschaften mit Kundenmandanten.Get information about partnerships with customer tenants.

Hinweis: Dies gilt nur für Partnermandanten. Partnermandanten sind Azure AD-Mandanten, die zu Microsoft-Partnern gehören, die Teil der Partnerprogramme Microsoft Cloud-Lösungsanbieter, Office 365 Syndication oder Microsoft Advisor sind.Note: This applies to partner tenants only. Partner tenants are Azure AD tenants that belong to Microsoft partners who are either part of the Microsoft Cloud Solution Provider, Office 365 Syndication, or Microsoft Advisor partner programs.
contractcontract Aufrufen von Microsoft Graph aus einer Anwendung eines Cloud-LösungsanbietersCall Microsoft Graph from a Cloud Solution Provider application
Verwalten von Domänen, die einem Mandanten zugeordnet sind. Mithilfe von Domänenvorgängen können Registrierungsstellen die Domänenzuweisung für Dienste wie Office 365 automatisieren.Manage domains associated with a tenant. Domain operations enable registrars to automate domain association for services such as Office 365. domaindomain Hinzufügen eines benutzerdefinierten Domänennamens zu Azure Active DirectoryAdd a custom domain name to Azure Active Directory
Verwaltung von MandantenTenant management
Rufen Sie Informationen über eine Organisation ab, z. B. die Unternehmensadresse, Kontakte für technische Fragen und Benachrichtigungen, die Dienstpläne, die die Organisation abonniert hat, sowie die Domänen, die mit dieser verknüpft sind.Get information about an organization, such as its business address, technical and notification contacts, the service plans that it's subscribed to, and the domains associated with it. organizationorganization Nicht zutreffendN/A
Ruft Informationen zu den Dienst-SKUs ab, die ein Unternehmen abonniert hat.Get information about the service SKUs that a company is subscribed to. subscribedSkusubscribedSku Nicht zutreffendN/A
Einladen externer (Gast)Benutzer zu einer Organisation.Invite external (guest) users to an organization. invitationinvitation Was ist die Azure AD B2B-Zusammenarbeit?What is Azure AD B2B collaboration?

Nächste SchritteNext steps

Verzeichnisressourcen und APIs können Ihnen neue Möglichkeiten eröffnen, über die Sie mit Benutzer in Kontakt treten und ihre Erfahrungen mit Microsoft Graph verwalten können. So erhalten Sie weitere Informationen:Directory resources and APIs can open up new ways for you to engage with users and manage their experiences with Microsoft Graph. To learn more:

  • Informieren Sie sich ausführlicher über die Methoden und Eigenschaften der Ressourcen, die für Ihr Szenario am hilfreichsten sind.Drill down on the methods and properties of the resources most helpful to your scenario.
  • Probieren Sie die API im Graph-Tester aus.Try the API in the Graph Explorer.

Benötigen Sie weitere Ideen? Dann sehen Sie sich an, wie unsere Partner Microsoft Graph verwenden.Need more ideas? See how some of our partners are using Microsoft Graph.