Arbeiten mit Microsoft Entra Ressourcen in Microsoft Graph
Wichtig
Die APIs unter der /beta Version in Microsoft Graph können sich ändern. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in v1.0 verfügbar ist, verwenden Sie die Version Selektor.
Mit Microsoft Graph können Sie auf Microsoft Entra Ressourcen zugreifen, um Szenarien wie das Verwalten von Administratorrollen (Verzeichnisrollen), das Einladen externer Benutzer zu einem organization und, wenn Sie ein Cloud Solution Provider (CSP) sind, die Verwaltung der Daten Ihrer Kunden zu ermöglichen. Microsoft Graph bietet auch Methoden, die Apps verwenden können, um beispielsweise Informationen zu den transitiven Gruppen- und Rollenmitgliedschaften von Benutzern zu ermitteln.
Hinweis: Einige Microsoft Entra Ressourcen sind in anderen Abschnitten der API-Referenz dokumentiert. Weitere Informationen finden Sie unter Benutzer und Gruppen.
Authorization
Um die Microsoft Graph-APIs für Microsoft Entra Ressourcen aufzurufen, benötigt Ihre App die entsprechenden Berechtigungen. Viele der APIs, die auf Microsoft Entra Ressourcen verfügbar gemacht werden, erfordern eine der Verzeichnisberechtigungen. Verzeichnisberechtigungen sind hochprivilegiert und erfordern immer die Zustimmung des Administrators.
Wenn Ihre App im Namen eines Benutzers (delegierte Berechtigungen) handelt, muss dieser Benutzer wahrscheinlich Mitglied einer geeigneten Administratorrolle sein, damit Ihre App viele der Microsoft Entra-APIs erfolgreich aufrufen kann.
Weitere Informationen zu Berechtigungen, einschließlich delegierten und Anwendungsberechtigungen, finden Sie unter Berechtigungen.
Allgemeine Anwendungsfälle
In der folgenden Tabelle sind einige gängige Anwendungsfälle für Microsoft Entra Ressourcen aufgeführt.
| Anwendungsfälle | REST-Ressourcen | Siehe auch |
|---|---|---|
| Verzeichnisobjekt und Methoden | ||
directoryObject ist die Basisklasse, von der viele Verzeichnisressourcen wie Benutzer und Gruppen erben. Microsoft Graph macht mehrere Methoden verfügbar, mit denen Sie Informationen zu Benutzern, Gruppen und anderen Verzeichnisobjekten ermitteln können. Sie können beispielsweise überprüfen, ob eine transitive Mitgliedschaft in einer Liste von Gruppen vorhanden ist, alle Gruppen und Verzeichnisrollen zurückgeben, von denen ein Verzeichnisobjekt ein transitives Mitglied ist, oder alle Ressourcen eines angegebenen Typs (z. B. Benutzer oder Gruppe) aus einer Liste generischer Ressourcen-IDs abrufen. |
directoryObject | – |
| Verwalten von Verzeichnisrollen (Administratorrollen), administrativen Einheiten, Verzeichniseinstellungen und Richtlinien | ||
| Aktivieren Von Verzeichnisrollen in einem Microsoft Entra Mandanten und Verwalten von Benutzermitgliedschaften in Verzeichnisrollen. Verzeichnisrollen werden auch als Administratorrollen bezeichnet. | directoryRole directoryRoleTemplate |
Zuweisen Microsoft Entra Administratorrollen |
| Verwalten von administrativen Einheiten. Verzeichnisrollen delegieren ihren Mitgliedern mandantenweite Administratorrechte. Ein Administrator kann administrative Einheiten erstellen und verwalten, um Benutzern genauer begrenzte Administratorrechte zu delegieren. | administrativeUnit | Verwaltung von Verwaltungseinheiten in Microsoft Entra ID |
| Vordefinierte Verzeichniseinstellungen mandantenweit oder für einzelne Ressourceninstanzen anwenden. Derzeit werden nur die Einstellungen für Microsoft 365-Gruppen unterstützt. Vordefinierte Gruppeneinstellungen mandantenweit oder für einzelne Ressourceninstanzen anwenden. Gruppeneinstellungen steuern Verhalten wie blockierte Wortlisten für Gruppenanzeigenamen, ob Gastbenutzer Gruppenbesitzer sein können und vieles mehr. | directorySetting directorySettingTemplate |
Microsoft Entra Cmdlets zum Konfigurieren von Gruppeneinstellungen |
| Wenden Sie Microsoft Entra Richtlinien auf Anwendungen, Dienstprinzipale, Gruppen oder die gesamte organization an. Es werden Richtlinien für die Zuordnung von Ansprüchen, die Ausstellung von Token, die Tokenlebensdauer, die Startbereichsermittlung (Home Realm Discovery, HDR) und mehr unterstützt. | Verfügbare Richtlinien | – |
| Schützen des privilegierten Zugriffs in Microsoft Entra | ||
| Verwalten und überwachen des zeitgebundenen privilegierten Zugriff auf Verzeichnis- und Azure-Ressourcen für Administratoren und IT-Mitarbeiter mit Privileged Identity Management (PIM). | Privileged Identity Management-APIs | Was ist Microsoft Entra Privileged Identity Management? |
| Überwachen von Identitätsrisikoereignissen, z. B. dass sich Benutzer auf mit Schadsoftware infizierten Geräten oder von unüblichen Orten aus anmelden. | Identity Protection-Dienst-API | Microsoft Entra ID Protection Microsoft Entra Risikoereignisse |
| Verwalten von Geräten | ||
| Verwalten Sie Geräte, die in der Organisation registriert sind. Geräte sind für Benutzer registriert und umfassen Elemente wie Laptops, Desktops, Tablets und Mobiltelefone. Geräte werden in der Regel mithilfe des Geräteregistrierungsdiensts oder von Microsoft Intune in der Cloud erstellt. Sie werden von Richtlinien für bedingten Zugriff für mehrstufige Authentifizierung verwendet. | device | Erste Schritte mit Microsoft Entra Geräteregistrierung. Was ist Intune? Registrieren von Geräten für die Verwaltung in Intune |
| App-Verwaltung | ||
| Verwalten der App-Konfiguration in einem Entwicklermandanten. | application | Anwendungs- und Dienstprinzipalobjekte in Microsoft Entra ID |
| Verwalten der auf einem Mandanten installierten Apps. | servicePrinicpal | Anwendungs- und Dienstprinzipalobjekte in Microsoft Entra ID |
| Verwalten von Berechtigungen, die von Benutzern und Administratoren genehmigt wurden, in Apps, die auf einem Mandanten installiert sind. | oAuth2PermissionGrant | – |
| Verwalten von Benutzer-, Gruppen- und Dienstprinzipal-Rollenmitgliedschaften in Apps, die auf einem Mandanten installiert sind. | appRoleAssignment | – |
| Verwaltung von Partnermandanten | ||
| Abrufen von Informationen über Partnerschaften mit Kundenmandanten. Hinweis: Dies gilt nur für Partnermandanten. Partnermandanten sind Microsoft Entra Mandanten, die Microsoft-Partnern angehören, die entweder Teil des Microsoft Cloud Solution Provider-, Office 365 Syndication- oder Microsoft Advisor-Partnerprogramms sind. |
contract | Aufrufen von Microsoft Graph aus einer Anwendung eines Cloud-Lösungsanbieters |
| Verwalten von Domänen, die einem Mandanten zugeordnet sind. Domänenvorgänge ermöglichen Es Registrierungsstellen, die Domänenzuordnung für Dienste wie Microsoft 365 zu automatisieren. | domain | Hinzufügen eines benutzerdefinierten Domänennamens zu Microsoft Entra ID |
| Verwaltung von Mandanten | ||
| Rufen Sie Informationen über eine Organisation ab, z. B. die Unternehmensadresse, Kontakte für technische Fragen und Benachrichtigungen, die Dienstpläne, die die Organisation abonniert hat, sowie die Domänen, die mit dieser verknüpft sind. | organization | Nicht zutreffend |
| Ruft Informationen zu den Dienst-SKUs ab, die ein Unternehmen abonniert hat. | subscribedSku | Nicht zutreffend |
| Einladen externer (Gast)Benutzer zu einer Organisation. | invitation | Was ist Microsoft Entra B2B-Zusammenarbeit? |
| Verwalten Sie das Branding für die Anmeldungserfahrung einer Organisation. | organizationalbranding | Hinzufügen von Branding zur Microsoft Entra Anmeldeseite Ihres organization |
| Zugriffsüberprüfungen | ||
| Überprüfen Sie mit Zugriffsüberprüfungen, dass Gruppenmitgliedschaften und Zugriffsrechte für die Anwendung korrekt sind. | Zugriffsüberprüfungs-API | Microsoft Entra Zugriffsüberprüfungen |
| Zustimmungsanforderungen | ||
| Verwalten Sie den Workflow für Zustimmungsanforderungen für Benutzer, die versuchen, auf Apps zuzugreifen, für die Administratorautorisierung erforderlich ist. | API für Zustimmungsanforderungen | Konfigurieren des Workflows zur Administratorzustimmung |
Nächste Schritte
Verzeichnisressourcen und APIs können Ihnen neue Möglichkeiten eröffnen, mit Benutzern in Kontakt zu treten und deren Erfahrungen mit Microsoft Graph zu verwalten. So erhalten Sie weitere Informationen:
- Informieren Sie sich ausführlicher über die Methoden und Eigenschaften der Ressourcen, die für Ihr Szenario am hilfreichsten sind.
- Probieren Sie die API im Graph-Tester aus.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter: https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für