Управление возможностями Microsoft Entra удостоверений и доступа к сети с помощью Microsoft Graph

  • Статья

Важно!

API версии /beta в Microsoft Graph могут быть изменены. Использование этих API в производственных приложениях не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.

С помощью Microsoft Graph можно управлять возможностями доступа к удостоверениям и сети, большинство из которых доступны через Microsoft Entra. API в Microsoft Graph помогают автоматизировать задачи управления удостоверениями и сетевым доступом и интегрироваться с любым приложением и являются программной альтернативой порталам администрирования, таким как Центр администрирования Microsoft Entra.

Microsoft Entra — это семейство удостоверений и возможностей доступа к сети, доступных в следующих продуктах. Все эти возможности доступны через API Microsoft Graph:

  • Microsoft Entra ID группу возможностей управления удостоверениями и доступом (IAM).
  • Управление Microsoft Entra ID
  • Внешняя идентификация Microsoft Entra
  • Проверенные учетные данные Microsoft Entra
  • Управление разрешениями Microsoft Entra
  • Интернет-доступ Microsoft Entra и сетевой доступ

Управление удостоверениями пользователей

Пользователи — это main удостоверения в любом решении для удостоверений и доступа. Вы можете управлять всем жизненным циклом пользователей в организации, а также их правами, такими как лицензии или членство в группах, с помощью API Microsoft Graph. Дополнительные сведения см. в статье Работа с пользователями в Microsoft Graph.

Управление группами

Группы — это контейнеры, которые позволяют эффективно управлять правами для удостоверений как единое целое. Например, с помощью группы можно предоставить пользователям доступ к ресурсу, например к сайту SharePoint. Или вы можете предоставить им лицензии на использование службы. Дополнительные сведения см. в статье Работа с группами в Microsoft Graph.

Управление приложениями

Api Microsoft Graph можно использовать для программной регистрации приложений и управления ими, что позволяет использовать возможности IAM Корпорации Майкрософт. Дополнительные сведения см. в статье Управление приложениями и субъектами-службами Microsoft Entra с помощью Microsoft Graph.

Администрирование клиента или управление каталогом

Основной функцией управления удостоверениями и доступом является управление конфигурацией клиента, административными ролями и параметрами. Microsoft Graph предоставляет API для управления клиентом Microsoft Entra в следующих сценариях:

Варианты использования Операции API
Управление административными единицами, включая следующие операции:
  • Create административных единиц
  • Create и управление членами и правилами членства в административных единицах
  • Назначение ролей администратора, которые относятся к административным единицам
    		•  Тип ресурса administrativeUnit и связанные с ним API
    Получение ключей восстановления BitLocker Тип ресурса bitlockerRecoveryKey и связанные с ним API
    Мониторинг лицензий и подписок для клиента Тип ресурса subscribedSku и связанные с ним API
    Управление настраиваемыми атрибутами безопасности См. обзор настраиваемых атрибутов безопасности с помощью Microsoft API Graph
    Управление удаленными объектами каталога. Функциональность хранения удаленных объектов в корзине поддерживается для следующих объектов:
  • Административные единицы
  • Приложения
  • Профили внешних пользователей
  • Группы
  • Ожидающие внешние профили пользователей
  • Субъекты-службы
  • Пользователи
    		•
  • Получение или вывод списка удаленных объектов
  • Окончательное удаление удаленного объекта
  • Восстановление удаленного элемента
  • Перечисление удаленных элементов, принадлежащих пользователю
    		•
    Управление устройствами в облаке Тип ресурса устройства и связанные с ним API
    Просмотрите сведения об учетных данных локального администратора для всех объектов устройств в Microsoft Entra ID, которые включены с помощью локального решения Администратор паролей (LAPS). Эта функция является облачным решением LAPS Тип ресурса deviceLocalCredentialInfo и связанные с ним API
    Объекты каталога — это основные объекты в Microsoft Entra ID, например пользователи, группы и приложения. Тип ресурса directoryObject и связанные с ним API можно использовать для проверка членства в объектах каталогов, отслеживания изменений для нескольких объектов каталога или проверки соответствия отображаемого имени или почтового псевдонима группы Microsoft 365 политикам именования. Тип ресурса directoryObject и связанные с ним API
    Роли администратора, включая Microsoft Entra роли администратора, являются одним из наиболее конфиденциальных ресурсов в клиенте. Вы можете управлять жизненным циклом их назначения в клиенте, включая создание настраиваемых ролей, назначение ролей, отслеживание изменений назначений ролей и удаление назначенных из ролей. тип ресурса directoryRole и тип ресурса directoryRoleTemplateи связанные с ними API

    Тип ресурса roleManagement и связанные с ним API

    Эти API-интерфейсы позволяют выполнять прямые назначения ролей. Кроме того, можно использовать API-интерфейсы управление привилегированными пользователями для Microsoft Entra ролей и групп для выполнения JIT-назначений ролей с привязкой к времени вместо прямых вечно активных назначений.
    Определите следующие конфигурации, которые можно использовать для настройки ограничений и разрешенного поведения для всего клиента и объектов.
  • Параметры для групп Microsoft 365, такие как доступ гостевых пользователей, классификации и политики именования
  • Параметры правил паролей, такие как списки запрещенных паролей и длительность блокировки
  • Запрещенные имена для приложений, зарезервированные слова и блокирование нарушений товарных знаков
  • URL-адрес настраиваемой политики условного доступа
  • Политики согласия, такие как запросы согласия пользователей, согласие конкретной группы и согласие для приложений, рискованных
    		•  тип ресурса groupSetting и тип ресурса groupSettingTemplate и связанные с ними API

    Дополнительные сведения см. в статье Общие сведения о параметрах группы.
    Операции управления доменом, такие как:
  • Связывание домена с клиентом
  • получение записей DNS
  • проверка владения доменом
  • Связывание определенных служб с определенными доменами
  • удаление доменов
    		•  тип ресурса домена и связанные с ним API
    Настройка поэтапного развертывания конкретных функций Microsoft Entra ID и управление ими тип ресурса featureRolloutPolicy и связанные с ним API
    Настройка параметров, доступных в Microsoft Entra Cloud Sync, например предотвращение случайного удаления и управление обратной записью групп Тип ресурса onPremisesDirectorySynchronization и связанные с ним API
    Управление базовыми параметрами для клиента Microsoft Entra тип ресурса организации и связанные с ним API
    Получите контакты организации, которые могут быть синхронизированы из локальных каталогов или из Exchange Online Тип ресурса orgContact и связанные с ним API
    Основные сведения о других клиентах Microsoft Entra, запросив идентификатор клиента или доменное имя. Тип ресурса tenantInformation и связанные с ним API
    Управление делегированными разрешениями и их назначениями субъектам-службам в клиенте Тип ресурса oAuth2PermissionGrant и связанные с ним API

    Удостоверение и вход

    Варианты использования Операции API
    Настройте прослушиватели, которые отслеживают события, которые должны активировать или вызывать пользовательскую логику, обычно определяемую за пределами Microsoft Entra ID Тип ресурса authenticationEventListener и связанные с ним API
    Управление методами проверки подлинности, поддерживаемыми в Microsoft Entra ID См. общие сведения об API методов проверки подлинности Microsoft Entra и Microsoft Entra политики API методов проверки подлинности.
    Управление методами проверки подлинности или сочетаниями методов проверки подлинности, которые можно применить в качестве элемента управления предоставлением в Microsoft Entra условного доступа См. общие сведения об API Microsoft Entra надежности проверки подлинности.
    Управление политиками авторизации на уровне клиента, например:
  • включение SSPR для учетных записей администратора
  • включение самостоятельного присоединения для гостей
  • ограничение числа гостей, которые могут приглашать гостей
  • могут ли пользователи согласиться на использование рискованных приложений
  • блокировать использование MSOL
  • настройка разрешений пользователя по умолчанию
  • функции частной предварительной версии удостоверений включены
  • Настройка разрешений гостевого пользователя между пользователем, гостевым пользователем и ограниченным гостевым пользователем
    		•  Тип ресурса authorizationPolicy и связанные с ним API
    Управление политиками для проверки подлинности на основе сертификатов в клиенте Тип ресурса certificateBasedAuthConfiguration и связанные с ним API
    Управление политиками условного доступа Microsoft Entra Тип ресурса conditionalAccessRoot и связанные с ним API
    Управление параметрами доступа между клиентами и управление ограничениями на исходящий трафик, ограничениями для входящих подключений, ограничениями клиентов и межтенантной синхронизацией пользователей в мультитенантных организациях См. раздел Общие сведения об API параметров доступа между клиентами.
    Настройка взаимодействия внешних систем с Microsoft Entra ID во время сеанса проверки подлинности пользователя Тип ресурса customAuthenticationExtension и связанные с ним API
    Управление запросами к данным пользователей в организации, например экспорт персональных данных Тип ресурса dataPolicyOperation и связанные с ним API
    Заставить автоматический вход пропустить экран ввода имени пользователя и автоматически перенаправить пользователей в федеративные конечные точки входа. Тип ресурса типа ресурса homeRealmDiscoveryPolicy и связанные с ним API
    Обнаружение, исследование и устранение рисков на основе удостоверений с помощью Защита Microsoft Entra ID и передача данных в средства управления информационной безопасностью и событиями безопасности (SIEM) для дальнейшего исследования и корреляции См . раздел Использование API для защиты удостоверений Microsoft Graph.
    Управление поставщиками удостоверений для Microsoft Entra ID, Внешняя идентификация Microsoft Entra и Azure AD клиентов B2C. Можно выполнить следующие операции:
  • Управление поставщиками удостоверений для внешних удостоверений, включая поставщиков удостоверений социальных удостоверений, OIDC, Apple, SAML/WS-Fed и встроенных поставщиков
  • Управление конфигурацией для федеративных доменов и проверки маркеров
    		•  Тип ресурса identityProviderBase и связанные с ним API
    Приглашение внешних пользователей для совместной работы с клиентом с помощью Внешняя идентификация Microsoft Entra Тип ресурса приглашения и связанные с ним API
    Определение группы клиентов, принадлежащих вашей организации, и упрощение совместной работы между клиентами внутри организации См. общие сведения об API мультитенантной организации.
    Настройка пользовательских интерфейсов входа в соответствии с фирменной символике вашей компании, включая применение фирменной символики на основе языка браузера. Тип ресурса организационного бренда и связанные с ним API
    Потоки пользователей для Внешняя идентификация Microsoft Entra для сотрудников Следующие типы ресурсов и связанные с ними API:
  • b2xIdentityUserFlow для настройки базового потока пользователя и его свойств, таких как поставщики удостоверений
  • identityUserFlowAttribute для управления встроенными и настраиваемыми атрибутами потока пользователя
  • identityUserFlowAttributeAssignment для управления назначениями атрибутов потока пользователя
  • Тип ресурса userFlowLanguageConfiguration для настройки пользовательских языков для потоков пользователей
    		•
    Управление политиками согласия приложения и наборами условий Тип ресурса permissionGrantPolicy
    Включение или отключение параметров безопасности по умолчанию в Microsoft Entra ID Тип ресурса identitySecurityDefaultsEnforcementPolicy

    Управление удостоверениями

    Дополнительные сведения см. в статье Обзор Управление Microsoft Entra ID с помощью Microsoft Graph.

    Внешняя идентификация Microsoft Entra для внешних клиентов

    Для настройки взаимодействия пользователей с клиентскими приложениями поддерживаются следующие варианты использования API. Для администраторов большинство функций, доступных в Microsoft Entra ID, а также поддерживаются для Внешняя идентификация Microsoft Entra для внешних клиентов. Например, управление доменами, управление приложениями и условный доступ.

    Варианты использования Операции API
    Управление поставщиками удостоверений для Внешняя идентификация Microsoft Entra. Вы можете определить поставщиков удостоверений, которые поддерживаются или настроены в клиенте. См. раздел тип resoruce identityProviderBase и связанные с ним API.
    Настройка пользовательских интерфейсов входа в соответствии с фирменной символике вашей компании, включая применение фирменной символики на основе языка браузера. Тип ресурса организационного бренда и связанные с ним API
    Управление поставщиками удостоверений для Внешняя идентификация Microsoft Entra, например удостоверениями социальных сетей Тип resoruce identityProviderBase и связанные с ним API
    Управление профилями пользователей в Внешняя идентификация Microsoft Entra для клиентов Дополнительные сведения см. в статье Разрешения пользователей по умолчанию в клиентах клиентов.
    Добавьте собственную бизнес-логику в интерфейс проверки подлинности путем интеграции с системами, которые являются внешними для Microsoft Entra ID Тип ресурса authenticationEventListener и тип ресурса customAuthenticationExtension и связанные с ними API

    Управление клиентами партнеров

    С помощью Microsoft Graph вы можете получить доступ к Microsoft Entra ресурсам для реализации таких сценариев, как управление ролями администратора (каталога), приглашение внешних пользователей в организацию и, если вы являетесь поставщиком облачных решений (CSP), управление данными клиента. Microsoft Graph также предоставляет методы, которые могут использоваться приложениями, например для поиска информации о транзитивных группах и ролях пользователей.

    Варианты использования Операции API
    Управление контрактами для партнера со своими клиентами тип ресурса contract и связанные с ним API
    Партнеры Майкрософт в программах поставщика облачных решений (CSP), торгового посредника с добавленной стоимостью (VAR) или Помощника могут предоставить своим клиентам возможность обеспечить партнерам минимальный привилегированный доступ к клиентам своих клиентов. Эта функция обеспечивает дополнительный контроль над состоянием безопасности клиентов, позволяя им получать поддержку от торговых посредников Майкрософт См . раздел Общие сведения об API делегированных делегированных прав администратора (GDAP)

    Лицензирование

    Microsoft Entra лицензии: Microsoft Entra ID Free, P1, P2 и Governance; Управление разрешениями Microsoft Entra и Идентификация рабочей нагрузки Microsoft Entra.

    Подробные сведения о лицензировании для различных функций см. в разделе лицензирование Microsoft Entra ID.

    Связанные материалы