Arbeiten mit Azure Active Directory-Ressourcen in Microsoft Graph
Wichtig
APIs unter der /beta Version in Microsoft Graph können geändert werden. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in Version 1.0 verfügbar ist, verwenden Sie die Versionsauswahl .
Mit Microsoft Graph können Sie auf Azure Active Directory (Azure AD)-Ressourcen zugreifen, um z. B. folgende Szenarios zu unterstützen: Verwalten von Administratorrollen (Verzeichnisrollen), Einladen von Benutzern, die nicht zu einer Organisation gehören, und als Cloud-Lösungsanbieter (CSP) auch Verwalten der Daten Ihrer Kunden. Microsoft Graph bietet auch Methoden, die Apps verwenden können, um beispielsweise Informationen zu den transitiven Gruppen- und Rollenmitgliedschaften von Benutzern zu ermitteln.
Hinweis: Einige Azure AD-Ressourcen sind in anderen Abschnitten der API-Referenz dokumentiert. Weitere Informationen finden Sie unter Benutzer und Gruppen.
Authorization
Zum Aufrufen der Microsoft Graph-APIs in Azure AD-Ressourcen benötigt Ihre App die entsprechenden Berechtigungen. Viele der APIs, die in Azure AD-Ressourcen verfügbar gemacht werden, erfordern eine der Verzeichnis berechtigungen. Verzeichnisberechtigungen verfügen über hohe Rechte und müssen immer vom Administrator genehmigt werden.
Wenn Ihre App im Namen eines Benutzers agiert (delegierte Berechtigungen), muss dieser Benutzer ein Mitglied einer entsprechenden Administratorrolle sein, damit Ihre App viele der Azure AD-APIs erfolgreich aufrufen kann.
Weitere Informationen zu Berechtigungen, einschließlich delegierten und Anwendungsberechtigungen, finden Sie unter Berechtigungen.
Allgemeine Anwendungsfälle
In der folgenden Tabelle werden einige häufige Anwendungsfälle für Azure AD-Ressourcen aufgelistet.
| Anwendungsfälle | REST-Ressourcen | Siehe auch |
|---|---|---|
| Verzeichnisobjekt und Methoden | ||
directoryObject ist die Basisklasse, von der viele Verzeichnisressourcen, z. B. Benutzer und Gruppen, erben. Microsoft Graph macht mehrere Methoden verfügbar, die Sie verwenden können, um Informationen über Benutzer, Gruppen und andere Verzeichnisobjekte zu ermitteln. Sie können beispielsweise eine transitive Mitgliedschaft in einer Liste von Gruppen überprüfen, alle Gruppen und Verzeichnisrollen zurückgeben, von denen ein Verzeichnisobjekt ein transitives Mitglied ist, oder alle Ressourcen eines bestimmten Typs (z. B. Benutzer oder Gruppe) aus einer Liste allgemeiner Ressourcen-IDs abrufen. |
directoryObject | – |
| Verwalten von Verzeichnisrollen (Administratorrollen), administrativen Einheiten, Verzeichniseinstellungen und Richtlinien | ||
| Aktivieren Sie Verzeichnisrollen in einem Azure AD-Mandanten, und verwalten Sie Benutzermitgliedschaften in Verzeichnisrollen. Verzeichnisrollen werden auch als „Administratorrollen“ bezeichnet. | directoryRole directoryRoleTemplate |
Zuweisen von Administratorrollen in Azure Active Directory |
| Verwalten von administrativen Einheiten. Verzeichnisrollen delegieren ihren Mitgliedern mandantenweite Administratorrechte. Ein Administrator kann administrative Einheiten erstellen und verwalten, um Benutzern genauer begrenzte Administratorrechte zu delegieren. | administrativeUnit | Verwaltung von administrativen Einheiten in Azure AD |
| Vordefinierte Verzeichniseinstellungen mandantenweit oder für einzelne Ressourceninstanzen anwenden. Derzeit werden nur die Einstellungen für Microsoft 365-Gruppen unterstützt. Vordefinierte Gruppeneinstellungen mandantenweit oder für einzelne Ressourceninstanzen anwenden. Gruppeneinstellungen steuern Verhalten wie blockierte Wortlisten für Gruppenanzeigenamen, ob Gastbenutzer Gruppenbesitzer sein können und vieles mehr. | directorySetting directorySettingTemplate |
Azure Active Directory-Cmdlets für die Konfiguration von Gruppeneinstellungen |
| Azure AD-Richtlinien auf Anwendungen, Dienstprinzipale, Gruppen oder auf die gesamte Organisation anwenden. Es werden Richtlinien für die Zuordnung von Ansprüchen, die Ausstellung von Token, die Tokenlebensdauer, die Startbereichsermittlung (Home Realm Discovery, HDR) und mehr unterstützt. | Verfügbare Richtlinien | – |
| Schützen von privilegiertem Zugriff auf Azure AD | ||
| Verwalten und überwachen des zeitgebundenen privilegierten Zugriff auf Verzeichnis- und Azure-Ressourcen für Administratoren und IT-Mitarbeiter mit Privileged Identity Management (PIM). | Privileged Identity Management-APIs | Was ist Azure AD Privileged Identity Management? |
| Überwachen von Identitätsrisikoereignissen, z. B. dass sich Benutzer auf mit Schadsoftware infizierten Geräten oder von unüblichen Orten aus anmelden. | Identity Protection-Dienst-API | Azure Active Directory Identity Protection Azure Active Directory-Risikoereignisse |
| Verwalten von Geräten | ||
| Verwalten Sie Geräte, die in der Organisation registriert sind. Geräte sind für Benutzer registriert und umfassen Elemente wie Laptops, Desktops, Tablets und Mobiltelefone. Geräte werden in der Regel mithilfe des Geräteregistrierungsdiensts oder von Microsoft Intune in der Cloud erstellt. Sie werden von Richtlinien für bedingten Zugriff für mehrstufige Authentifizierung verwendet. | device | Erste Schritte bei der Azure Active Directory-Geräteregistrierung |
| App-Verwaltung | ||
| Verwalten der App-Konfiguration in einem Entwicklermandanten. | application | Anwendungs- und Dienstprinzipalobjekte in Azure Active Directory |
| Verwalten der auf einem Mandanten installierten Apps. | servicePrinicpal | Anwendungs- und Dienstprinzipalobjekte in Azure Active Directory |
| Verwalten von Berechtigungen, die von Benutzern und Administratoren genehmigt wurden, in Apps, die auf einem Mandanten installiert sind. | oAuth2PermissionGrant | – |
| Verwalten von Benutzer-, Gruppen- und Dienstprinzipal-Rollenmitgliedschaften in Apps, die auf einem Mandanten installiert sind. | appRoleAssignment | – |
| Verwaltung von Partnermandanten | ||
| Abrufen von Informationen über Partnerschaften mit Kundenmandanten. Hinweis: Dies gilt nur für Partnermandanten. Partnermandanten sind Azure AD-Mandanten, die zu Microsoft-Partnern gehören, die Teil der Partnerprogramme Microsoft Cloud-Lösungsanbieter, Office 365 Syndication oder Microsoft Advisor sind. |
contract | Aufrufen von Microsoft Graph aus einer Anwendung eines Cloud-Lösungsanbieters |
| Verwalten von Domänen, die einem Mandanten zugeordnet sind. Mithilfe von Domänenvorgängen können Registrierungsstellen die Domänenzuordnung für Dienste wie Microsoft 365 automatisieren. | domain | Hinzufügen eines benutzerdefinierten Domänennamens zu Azure Active Directory |
| Verwaltung von Mandanten | ||
| Rufen Sie Informationen über eine Organisation ab, z. B. die Unternehmensadresse, Kontakte für technische Fragen und Benachrichtigungen, die Dienstpläne, die die Organisation abonniert hat, sowie die Domänen, die mit dieser verknüpft sind. | organization | Nicht zutreffend |
| Ruft Informationen zu den Dienst-SKUs ab, die ein Unternehmen abonniert hat. | subscribedSku | Nicht zutreffend |
| Einladen externer (Gast)Benutzer zu einer Organisation. | invitation | Was ist die Azure AD B2B-Zusammenarbeit? |
| Verwalten Sie das Branding für die Anmeldungserfahrung einer Organisation. | organizationalbranding | Hinzufügen von Branding zur Anmeldeseite Ihrer Organisation bei Azure Active Directory |
| Zugriffsüberprüfungen | ||
| Überprüfen Sie mit Zugriffsüberprüfungen, dass Gruppenmitgliedschaften und Zugriffsrechte für die Anwendung korrekt sind. | Zugriffsüberprüfungs-API | Zugriffsüberprüfungen in Azure AD |
| Zustimmungsanforderungen | ||
| Verwalten Sie den Workflow für Zustimmungsanforderungen für Benutzer, die versuchen, auf Apps zuzugreifen, für die Administratorautorisierung erforderlich ist. | API für Zustimmungsanforderungen | Konfigurieren des Workflows zur Administratorzustimmung |
Neuerungen
Informieren Sie sich über die aktuellsten neuen Features und Updates für diesen API-Satz.
Nächste Schritte
Verzeichnisressourcen und APIs können Ihnen neue Möglichkeiten eröffnen, über die Sie mit Benutzer in Kontakt treten und ihre Erfahrungen mit Microsoft Graph verwalten können. So erhalten Sie weitere Informationen:
- Informieren Sie sich ausführlicher über die Methoden und Eigenschaften der Ressourcen, die für Ihr Szenario am hilfreichsten sind.
- Probieren Sie die API im Graph-Tester aus.
Benötigen Sie weitere Ideen? Dann sehen Sie sich an, wie unsere Partner Microsoft Graph verwenden.
Feedback
Feedback senden und anzeigen für