Общие сведения об API удостоверений и доступа Microsoft Entra

  • Статья

Семейство Microsoft Entra решений для доступа к сети и удостоверений помогает защитить любое удостоверение и безопасный доступ к любому ресурсу. Вы можете использовать Microsoft Entra REST API в Microsoft Graph для автоматизации задач управления удостоверениями и доступом и интеграции с любым приложением.

Зачем использовать API Microsoft Entra?

Разработчики приложений интегрируются с MICROSOFT ENTRA API через Microsoft Graph для автоматизации операций и интеграции со сторонними приложениями для пользовательских решений.

Например, корпоративные разработчики могут использовать Microsoft Graph для автоматизации административных рабочих процессов, таких как жизненный цикл сотрудников от адаптации до выхода, обслуживание профилей, развертывание лицензий, совместная работа с гостями, интеграция со средствами SIEM и многое другое. С другой стороны, разработчики пользовательских приложений могут использовать Microsoft Graph для интеграции параметров входа, самостоятельной регистрации и управления учетными записями.

Управление удостоверениями пользователей и управление доступом к приложениям, данным и ресурсам

Миллионы клиентов и организаций подписываются на облачные службы Майкрософт, такие как Microsoft 365, Microsoft Azure и набор продуктов Enterprise Mobile + Security. Эти службы используют Microsoft Entra ID в качестве решения для управления удостоверениями и доступом. Вы также можете интегрировать Microsoft Entra ID в пользовательские приложения.

Некоторые Microsoft Entra ID возможности, которые можно интегрировать в приложения с помощью Microsoft Graph:

  • Управление пользователями . Поиск профилей пользователей, назначение лицензий, членство и привилегии в клиенте и управление ими. Управление организационными связями, отслеживание назначений или создание оригинальных решений, включающих существующие организационные данные. Управление методами проверки подлинности для пользователей.
  • Управление группами . Создание групп для управления пользователями и управления доступом к ресурсам. Используйте административные единицы для организации групп, пользователей и устройств для упрощения управления и делегированного администрирования.
  • Управление приложениями . Регистрация облачных приложений, управление разрешениями и привилегиями приложений, а также пользователи, которые могут выполнять вход. Обеспечьте безопасный удаленный доступ к локальным приложениям.
  • Управление административными ролями, которые предоставляют разрешение на выполнение определенных задач.
  • Автоматическая подготовка удостоверений пользователей и ролей и управление ими для других приложений SaaS, к которым пользователям требуется доступ.

Управление клиентами

Microsoft Entra API для управления клиентом позволяют:

  • Получение сведений об организации (клиенте), таких как ее бизнес-адрес, технические контакты и контакты с уведомлениями, активные подписки на службы и связанные с ней домены.
  • Получать информацию об SKU служб, на которые подписана компания.
  • Настройте синхронизацию между клиентами для синхронизации учетных записей пользователей между несколькими клиентами Microsoft Entra, принадлежащими вашей организации.
  • Определите основные сведения о других клиентах Microsoft Entra.

Управление клиентами партнеров

Партнеры Майкрософт, которые перепродают веб-службы Майкрософт и управляют ими, например Microsoft 365 и Microsoft Azure, могут просматривать клиенты организации, которыми они управляют в настоящее время. Они также могут использовать детализированные делегированные административные привилегии для доступа с минимальными привилегиями к клиентам, которыми они управляют в настоящее время.

Как партнер Майкрософт вы также можете управлять доменами , связанными с клиентом. С помощью операций над доменами партнеры Майкрософт могут автоматизировать регистрацию доменов для служб, например для Microsoft 365.

Защита, мониторинг и аудит доступа к критически важным ресурсам

Используйте API Управление Microsoft Entra ID, чтобы обеспечить правильный доступ к нужным приложениям и службам в нужное время.

  • Автоматическое предоставление доступа внутренним и внешним пользователям к ресурсам с помощью API управления правами . Принудительное разделение обязанностей, чтобы избежать конфликтов в доступе.
  • Регулярно проверяйте доступ к группам, приложениям и привилегированным ролям в организации. Дополнительные сведения см. в разделе API проверки доступа .
  • Автоматизируйте адаптацию сотрудников, внутреннее перемещение и отключение с помощью API рабочих процессов жизненного цикла .
  • Используйте привилегированное управление удостоверениями для API ролей Microsoft Entra для активации ограниченных по времени прав администратора по запросу, принудительного обоснования активации роли и многофакторной проверки подлинности для субъектов в привилегированных ролях.
  • Используйте привилегированное управление удостоверениями для API-интерфейсов групп , чтобы управлять доступом к группам с привилегированным доступом к ресурсам.

Повышение безопасности удостоверений

Используйте API Защита Microsoft Entra ID и API Идентификация рабочей нагрузки Microsoft Entra для обнаружения и снижения рисков на основе удостоверений, прежде чем они причинят ущерб.

  • Используйте методы проверки подлинности API Настройка многофакторной проверки подлинности, включая устойчивые к фишингу многофакторные методы проверки подлинности, чтобы снизить риски, связанные с скомпрометацией учетных данных.
  • Применяйте политики условного доступа на основе рисков, чтобы адаптироваться к условиям риска практически в режиме реального времени.
  • Обнаружение, создание отчетов и реагирование на аномалии, которые указывают на потенциально скомпрометированные учетные записи.
  • Обнаружение рисков как для человека, так и для нечеловеческих людей.

Безопасный доступ к приложениям для внешних удостоверений

Совместная работа с внешними пользователями, такими как клиенты и бизнес-партнеры, является общей частью повседневной деятельности для многих организаций. API Внешняя идентификация Microsoft Entra позволяют:

  • Пригласите внешних пользователей в организацию.
  • Для клиентов настройте свои возможности входа и регистрации, разрешите им использовать собственное удостоверение (BYOI) в вашем приложении, обеспечивая безопасный доступ к клиентским приложениям.
  • Бизнес-партнеры могут управлять совместной работой с другими клиентами Microsoft Entra ID, защищать их доступ к приложениям и управлять жизненным циклом доступа к ресурсам в организации.

Управление разрешениями в многооблачных развертываниях

Используйте API управления разрешениями Microsoft Entra для обнаружения, исправления и мониторинга разрешений в многооблачных инфраструктурах, включая Microsoft Azure, Amazon Web Services (AWS) и Google Cloud Platform (GCP).

Использование конфигураций, ориентированных на идентификацию, для усиления сетевого трафика

Используйте API-интерфейсы глобального безопасного доступа для конфигураций, ориентированных на идентификацию, для защиты доступа к частным приложениям и ресурсам; защита доступа к Интернету, приложениям и ресурсам Microsoft 365 (программное обеспечение как услуга) (SaaS).

"Никому не доверяй"

Эта функция помогает организациям согласовать свои удостоверения с тремя руководящими принципами архитектуры "Никому не доверяй":

  • Выполняйте проверку явным образом.
  • Использование минимальных привилегий
  • Предполагайте наличие бреши в системе безопасности

Дополнительные сведения о принципах "Никому не доверяй" и других способах согласования организации с руководящими принципами см. в центре руководства по принципу "Никому не доверяй".

Справочные материалы по API

Ищете справочные материалы по API для этой службы?

Следующее действие

Microsoft Entra rest API и функций, а также связанные ресурсы Microsoft Graph