Administración de Microsoft Entra identidad y acceso a la red mediante Microsoft Graph
Importante
Las API de la versión /beta de Microsoft Graph están sujetas a cambios. No se admite el uso de estas API en aplicaciones de producción. Para determinar si una API está disponible en la versión 1.0, use el selector de Versión.
Con Microsoft Graph, puede administrar las funcionalidades de acceso de red y identidad, la mayoría de las cuales están disponibles a través de Microsoft Entra. Las API de Microsoft Graph le ayudan a automatizar las tareas de administración de acceso a la red e identidad e integrarse con cualquier aplicación, y son la alternativa mediante programación a los portales de administrador, como el Centro de administración Microsoft Entra.
Microsoft Entra es una familia de funcionalidades de acceso de red e identidades que están disponibles en los siguientes productos. Todas estas funcionalidades están disponibles a través de las API de Microsoft Graph:
- Microsoft Entra ID que agrupa las funcionalidades de administración de identidades y acceso (IAM).
- Gobierno de Microsoft Entra ID
- Id. externa de Microsoft Entra
- Id. verificada por Microsoft Entra
- Administración de permisos de Microsoft Entra
- Acceso a Internet de Microsoft Entra y acceso a la red
Administrar identidades de usuario
Los usuarios son las identidades principales de cualquier solución de identidad y acceso. Puede administrar todo el ciclo de vida de los usuarios de su organización y sus derechos, como licencias o pertenencias a grupos, mediante las API de Microsoft Graph. Para obtener más información, consulte Trabajar con usuarios en Microsoft Graph.
Administrar grupos
Grupos son los contenedores que permiten administrar eficazmente los derechos de las identidades como una unidad. Por ejemplo, a través de un grupo, puede conceder a los usuarios acceso a un recurso, como un sitio de SharePoint. O bien, puede concederles licencias para usar un servicio. Para obtener más información, consulte Trabajar con grupos en Microsoft Graph.
Administrar aplicaciones
Puede usar las API de Microsoft Graph para registrar y administrar las aplicaciones mediante programación, lo que le permite usar las funcionalidades de IAM de Microsoft. Para obtener más información, consulte Administración de aplicaciones Microsoft Entra y entidades de servicio mediante Microsoft Graph.
Administración de inquilinos o administración de directorios
Una funcionalidad básica de administración de identidades y acceso es administrar la configuración del inquilino, los roles administrativos y la configuración. Microsoft Graph proporciona API para administrar el inquilino de Microsoft Entra en los siguientes escenarios:
| Casos de uso | Operaciones de API |
|---|---|
| Administrar unidades administrativas, incluidas las siguientes operaciones: |
tipo de recurso administrativeUnit y sus API asociadas |
| Recuperación de claves de recuperación de BitLocker | tipo de recurso bitlockerRecoveryKey y sus API asociadas |
| Supervisión de licencias y suscripciones para el inquilino | |
| Administración de atributos de seguridad personalizados | Consulte Introducción a los atributos de seguridad personalizados mediante microsoft Graph API |
| Administrar objetos de directorio eliminados. La funcionalidad para almacenar objetos eliminados en una "papelera de reciclaje" es compatible con los siguientes objetos: |
|
| Administración de dispositivos en la nube | tipo de recurso de dispositivo y sus API asociadas |
| Vea la información de credenciales de administrador local para todos los objetos de dispositivo de Microsoft Entra ID que están habilitados con la solución de contraseña de Administración local (LAPS). Esta característica es la solución LAPS basada en la nube | tipo de recurso deviceLocalCredentialInfo y sus API asociadas |
| Los objetos de directorio son los objetos principales de Microsoft Entra ID, como usuarios, grupos y aplicaciones. Puede usar el tipo de recurso directoryObject y sus API asociadas para comprobar la pertenencia de objetos de directorio, realizar un seguimiento de los cambios de varios objetos de directorio o validar que el nombre para mostrar o el alias de correo de un grupo de Microsoft 365 cumple con las directivas de nomenclatura. | tipo de recurso directoryObject y sus API asociadas |
| Los roles de administrador, incluidos Microsoft Entra roles de administrador, son uno de los recursos más confidenciales de un inquilino. Puede administrar el ciclo de vida de su asignación en el inquilino, incluida la creación de roles personalizados, la asignación de roles, el seguimiento de los cambios en las asignaciones de roles y la eliminación de los asignados de roles. | tipo de recurso directoryRole y tipo de recurso directoryRoleTemplatey sus API asociadas tipo de recurso roleManagement y sus API asociadas Estas API permiten realizar asignaciones de roles directas. Como alternativa, puede usar Privileged Identity Management API para Microsoft Entra roles y grupos para realizar asignaciones de roles just-in-time y con límite de tiempo, en lugar de asignaciones activas directas para siempre. |
| Defina las siguientes configuraciones que se pueden usar para personalizar las restricciones y el comportamiento permitidos específicos del espacio empresarial y del objeto. |
directorySetting resource type y directorySettingTemplate resource type y sus API asociadas Para obtener más información, consulte Información general sobre la configuración del grupo. |
| Operaciones de administración de dominios como: |
tipo de recurso domain y sus API asociadas |
| Administre los objetos de perfil para los usuarios externos a los que está invitado a colaborar a través de Teams. Estas API no son similares a las API de invitación para Id. externa de Microsoft Entra colaboración B2B | tipo de recurso externalUserProfile y pendingExternalUserProfile y sus API asociadas |
| Configuración y administración del lanzamiento preconfigurado de características de Microsoft Entra ID específicas | tipo de recurso featureRolloutPolicy y sus API asociadas |
| Administrar las directivas para la inscripción automática de Mobile Administración de dispositivos (MDM) y Administración de aplicaciones móviles (MAM) para dispositivos unidos y registrados Microsoft Entra | tipo de recurso mobilityManagementPolicy y sus API asociadas |
| Configure las opciones disponibles en Microsoft Entra Cloud Sync, como evitar eliminaciones accidentales y administrar las reescrituras de grupos. | tipo de recurso onPremisesDirectorySynchronization y sus API asociadas |
| Administrar la configuración base del inquilino de Microsoft Entra | tipo de recurso de organización y sus API asociadas |
| Administrar la configuración de todo el inquilino para el inquilino de Microsoft Entra, como si las personas y la información de elementos están habilitados para la organización | tipo de recurso organizationSettings y sus API asociadas |
| Recuperar los contactos de la organización que se pueden sincronizar desde directorios locales o desde Exchange Online | Tipo de recurso orgContact y sus API asociadas |
| Descubra los detalles básicos de otros inquilinos de Microsoft Entra consultando mediante el identificador de inquilino o el nombre de dominio. | tipo de recurso tenantInformation y sus API asociadas |
| Configure entidades de certificación de confianza para los certificados que se pueden asignar a aplicaciones y entidades de servicio en el inquilino. | tipo de recurso certificateBasedApplicationConfiguration y sus API asociadas |
| Administrar los permisos delegados y sus asignaciones a las entidades de servicio en el inquilino | Tipo de recurso oAuth2PermissionGrant y sus API asociadas |
Identidad e inicio de sesión
| Casos de uso | Operaciones de API |
|---|---|
| Configurar agentes de escucha que supervisen eventos que deben desencadenar o invocar lógica personalizada, normalmente definidos fuera de Microsoft Entra ID | tipo de recurso authenticationEventListener y sus API asociadas |
| Administración de métodos de autenticación admitidos en Microsoft Entra ID | Consulte Microsoft Entra introducción a la API de métodos de autenticación y introducción a la API de directivas de métodos de autenticación de Microsoft Entra |
| Administrar los métodos de autenticación o combinaciones de métodos de autenticación que puede aplicar como control de concesión en Microsoft Entra acceso condicional | Consulte Microsoft Entra introducción a la API de puntos fuertes de autenticación. |
| Administrar directivas de autorización para todo el inquilino, como: |
tipo de recurso authorizationPolicy y sus API asociadas |
| Configuración de la evaluación de acceso continuo (CAE), que permite revocar tokens de acceso en función de eventos críticos y evaluación de directivas en lugar de basarse en la expiración del token en función de la duración | tipo de recurso continuousAccessEvaluationPolicy y sus API asociadas |
| Administración de las directivas para la autenticación basada en certificados en el inquilino | tipo de recurso certificateBasedAuthConfiguration y sus API asociadas |
| Administración de directivas de acceso condicional Microsoft Entra | tipo de recurso conditionalAccessRoot y sus API asociadas |
| Administrar la configuración de acceso entre inquilinos y administrar las restricciones de salida, las restricciones de entrada, las restricciones de inquilinos y la sincronización entre inquilinos de los usuarios de organizaciones multiinquilino | Consulte Introducción a la API de configuración de acceso entre inquilinos |
| Administrar los perfiles de usuario que se comparten con usted o con inquilinos externos mediante la conexión directa B2B, incluida la eliminación y exportación de datos personales | Tipo de recurso inboundSharedUserProfile y tipo de recurso outboundSharedUserProfile y sus API asociadas |
| Configuración de cómo y qué sistemas externos interactúan con Microsoft Entra ID durante una sesión de autenticación de usuario | Tipo de recurso customAuthenticationExtension y sus API asociadas |
| Administración de solicitudes contra datos de usuario en la organización, como la exportación de datos personales | tipo de recurso dataPolicyOperation y sus API asociadas |
| Configuración de las directivas para administrar Microsoft Entra unir y registrar dispositivos Microsoft Entra | tipo de recurso deviceRegistrationPolicy y sus API asociadas |
| Administrar la directiva de todo el inquilino que controla si los usuarios externos pueden dejar un inquilino Microsoft Entra a través de controles de autoservicio, por ejemplo, a través del menú organizaciones del portal Mi cuenta | tipo de recurso externalIdentitiesPolicy y sus API asociadas |
| Forzar el inicio de sesión de aceleración automática para omitir la pantalla de entrada de nombre de usuario y reenviar automáticamente los usuarios a los puntos de conexión de inicio de sesión federados | tipo de recurso homeRealmDiscoveryPolicy y sus API asociadas |
| Detectar, investigar y corregir riesgos basados en identidades mediante Protección de Microsoft Entra ID y alimentar los datos en herramientas de administración de eventos e información de seguridad (SIEM) para una investigación y correlación adicionales | Consulte Uso de las API de protección de identidades de Microsoft Graph. |
| Administrar proveedores de identidades para inquilinos de Microsoft Entra ID, Id. externa de Microsoft Entra y Azure AD B2C. Puede realizar las siguientes operaciones: |
tipo de recurso identityProviderBase y sus API asociadas |
| Invitar a usuarios externos a colaborar con el inquilino mediante Id. externa de Microsoft Entra | tipo de recurso invitation y sus API asociadas |
| Defina un grupo de inquilinos que pertenezcan a su organización y optimice la colaboración entre inquilinos entre organizaciones. | Consulte Introducción a la API de organización multiinquilino |
| Personalice las interfaces de usuario de inicio de sesión para que coincidan con la personalización de marca de su empresa, incluida la aplicación de personalización de marca basada en el idioma del explorador. | tipo de recurso organizationalBranding y sus API asociadas |
| Personalización de la interfaz de usuario o experiencia de usuario en Azure AD B2C mediante Identity Experience Framework (IEF) | tipo de recurso trustFrameworkKeySet y tipo de recurso trustFrameworkPolicy y sus API asociadas |
| Flujos de usuario para Id. externa de Microsoft Entra para los empleados | Los siguientes tipos de recursos y sus API asociadas: |
| Flujos de usuario para Azure AD B2C | Los siguientes tipos de recursos y sus API asociadas: |
| Flujos de usuario para Id. externa de Microsoft Entra para inquilinos externos | tipo de recurso authenticationEventsFlow y sus API asociadas |
| Administración de directivas de consentimiento de aplicaciones y conjuntos de condiciones | tipo de recurso permissionGrantPolicy |
| Administración de directivas de preaplicación de consentimiento de aplicaciones | tipo de recurso permissionGrantPreApprovalPolicy |
| Habilitar o deshabilitar los valores predeterminados de seguridad en Microsoft Entra ID | tipo de recurso identitySecurityDefaultsEnforcementPolicy |
Gobierno de identidad
Para obtener más información, consulte Introducción a Gobierno de Microsoft Entra ID con Microsoft Graph.
Id. externa de Microsoft Entra para inquilinos externos
Los siguientes casos de uso de API se admiten para personalizar cómo interactúan los usuarios con las aplicaciones orientadas al cliente. Para los administradores, la mayoría de las características disponibles en Microsoft Entra ID y también se admiten para Id. externa de Microsoft Entra para inquilinos externos. Por ejemplo, administración de dominios, administración de aplicaciones y acceso condicional.
| Casos de uso | Operaciones de API |
|---|---|
| Flujos de usuario para Id. externa de Microsoft Entra para inquilinos externos y experiencias de registro de autoservicio | tipo de recurso authenticationEventsFlow y sus API asociadas |
| Administrar proveedores de identidades para Id. externa de Microsoft Entra. Puede identificar los proveedores de identidades que se admiten o configuran en el inquilino. | Consulte identityProviderBase resoruce type (Tipo de resoruce de identityProviderBase ) y sus API asociadas |
| Personalice las interfaces de usuario de inicio de sesión para que coincidan con la personalización de marca de su empresa, incluida la aplicación de personalización de marca basada en el idioma del explorador. | tipo de recurso organizationalBranding y sus API asociadas |
| Administración de proveedores de identidades para Id. externa de Microsoft Entra, como identidades sociales | tipo de resoruce identityProviderBase y sus API asociadas |
| Administración de perfiles de usuario en Id. externa de Microsoft Entra para clientes | Para obtener más información, consulte Permisos de usuario predeterminados en inquilinos de clientes. |
| Agregue su propia lógica de negocios a las experiencias de autenticación mediante la integración con sistemas externos a Microsoft Entra ID | tipo de recurso authenticationEventListener y tipo de recurso customAuthenticationExtension y sus API asociadas |
Administración de permisos multinube
Para obtener más información, consulte Detección, corrección y supervisión de permisos en infraestructuras multinube mediante api de administración de permisos.
Administración del acceso a la red
Para obtener más información, consulte Protección del acceso a aplicaciones en la nube, públicas y privadas mediante las API de acceso a red de Microsoft Graph.
Administración de inquilinos de partners
Con Microsoft Graph, puede acceder a Microsoft Entra recursos para habilitar escenarios como administrar roles de administrador (directorio), invitar a usuarios externos a una organización y, si es proveedor de soluciones en la nube (CSP), administrar los datos del cliente. Microsoft Graph también ofrece métodos que las aplicaciones pueden usar para, por ejemplo, descubrir información sobre las pertenencias a roles y grupos transitivos de los usuarios.
| Casos de uso | Operaciones de API |
|---|---|
| Administración de contratos para el asociado con sus clientes | tipo de recurso contract y sus API asociadas |
| Los asociados de Microsoft en los programas Proveedor de soluciones en la nube (CSP), Revendedor de valor agregado (VAR) o Advisor pueden capacitar a sus clientes para garantizar que los asociados tengan acceso con privilegios mínimos a los inquilinos de sus clientes. Esta característica proporciona control adicional a los clientes sobre su posición de seguridad, al tiempo que les permite recibir soporte técnico de los revendedores de Microsoft. | Consulte Introducción a la API de privilegios de administrador delegados granulares (GDAP) |
Licencias
Microsoft Entra licencias incluyen Microsoft Entra ID Free, P1, P2 y Governance; Administración de permisos de Microsoft Entra y Id. de carga de trabajo de Microsoft Entra.
Para obtener información detallada sobre las licencias para distintas características, consulte Microsoft Entra ID licencias.
Contenido relacionado
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de