Поделиться через

Управление удостоверениями Microsoft Entra и доступом к сети с помощью Microsoft Graph

  • Статья

Важно!

API версии /beta в Microsoft Graph могут быть изменены. Использование этих API в производственных приложениях не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.

С помощью Microsoft Graph можно управлять возможностями удостоверений и доступа к сети, большинство из которых доступны через Microsoft Entra. API в Microsoft Graph помогают автоматизировать задачи управления доступом к удостоверениям и сети и интегрировать их с любым приложением, а также являются программной альтернативой порталам администрирования, таким как Центр администрирования Microsoft Entra.

Microsoft Entra — это семейство удостоверений и возможностей доступа к сети, доступных в следующих продуктах. Все эти возможности доступны через API Microsoft Graph:

  • Идентификатор Microsoft Entra, который объединяет возможности управления удостоверениями и доступом (IAM).
  • Управление идентификаторами Microsoft Entra
  • Внешний идентификатор Microsoft Entra
  • Проверенный идентификатор Microsoft Entra
  • Управление разрешениями Microsoft Entra
  • Доступ к Интернету и сетевой доступ Microsoft Entra

Управление удостоверениями пользователей

Пользователи являются основными удостоверениями в любом решении для удостоверений и доступа. Вы можете управлять всем жизненным циклом пользователей в организации, а также их правами, такими как лицензии или членство в группах, с помощью API Microsoft Graph. Дополнительные сведения см. в статье Работа с пользователями в Microsoft Graph.

Управление группами

Группы — это контейнеры, которые позволяют эффективно управлять правами для удостоверений как единое целое. Например, с помощью группы можно предоставить пользователям доступ к ресурсу, например к сайту SharePoint. Или вы можете предоставить им лицензии на использование службы. Дополнительные сведения см. в статье Работа с группами в Microsoft Graph.

Управление приложениями

Api Microsoft Graph можно использовать для программной регистрации приложений и управления ими, что позволяет использовать возможности IAM Корпорации Майкрософт. Дополнительные сведения см. в статье Управление приложениями и субъектами-службами Microsoft Entra с помощью Microsoft Graph.

Администрирование клиента или управление каталогом

Основной функцией управления удостоверениями и доступом является управление конфигурацией клиента, административными ролями и параметрами. Microsoft Graph предоставляет API для управления клиентом Microsoft Entra в следующих сценариях:

Варианты использования Операции API
Управление административными единицами, включая следующие операции:
  • Создание административных единиц
  • Создание членов и правил членства в административных единицах и управление ими
  • Назначение ролей администратора, которые относятся к административным единицам
    		•  Тип ресурса administrativeUnit и связанные с ним API
    Получение ключей восстановления BitLocker Тип ресурса bitlockerRecoveryKey и связанные с ним API
    Мониторинг лицензий и подписок для клиента
  • Тип ресурса companySubscription и связанные с ним API
  • Тип ресурса subscribedSku и связанные с ним API
    		•
    Управление настраиваемыми атрибутами безопасности См. обзор настраиваемых атрибутов безопасности с помощью API Microsoft Graph.
    Управление удаленными объектами каталога. Функциональность хранения удаленных объектов в корзине поддерживается для следующих объектов:
  • Административные единицы
  • Приложения
  • Профили внешних пользователей
  • Группы
  • Ожидающие внешние профили пользователей
  • Субъекты-службы
  • Пользователи
    		•
  • Получение или вывод списка удаленных объектов
  • Окончательное удаление удаленного объекта
  • Восстановление удаленного элемента
  • Перечисление удаленных элементов, принадлежащих пользователю
    		•
    Управление устройствами в облаке Тип ресурса устройства и связанные с ним API
    Просмотрите учетные данные локального администратора для всех объектов устройств в Microsoft Entra ID, которые включены с помощью решения для локального администратора (LAPS). Эта функция является облачным решением LAPS Тип ресурса deviceLocalCredentialInfo и связанные с ним API
    Объекты каталога — это основные объекты в идентификаторе Microsoft Entra, такие как пользователи, группы и приложения. Тип ресурса directoryObject и связанные с ним API можно использовать для проверки членства в объектах каталога, отслеживания изменений для нескольких объектов каталога или проверки соответствия отображаемого имени или почтового псевдонима группы Microsoft 365 политикам именования. Тип ресурса directoryObject и связанные с ним API
    Роли администраторов, включая роли администратора Microsoft Entra, являются одним из наиболее конфиденциальных ресурсов в клиенте. Вы можете управлять жизненным циклом их назначения в клиенте, включая создание настраиваемых ролей, назначение ролей, отслеживание изменений назначений ролей и удаление назначенных из ролей. тип ресурса directoryRole и тип ресурса directoryRoleTemplateи связанные с ними API

    Тип ресурса roleManagement и связанные с ним API

    Эти API-интерфейсы позволяют выполнять прямые назначения ролей. Кроме того, можно использовать API-интерфейсы управления привилегированными пользователями для ролей и группMicrosoft Entra, чтобы выполнять JIT-назначения ролей с привязкой к времени вместо прямых вечно активных назначений.
    Определите следующие конфигурации, которые можно использовать для настройки ограничений и разрешенного поведения для всего клиента и объектов.
  • Параметры для групп Microsoft 365, такие как доступ гостевых пользователей, классификации и политики именования
  • Параметры правил паролей, такие как списки запрещенных паролей и длительность блокировки
  • Запрещенные имена для приложений, зарезервированные слова и блокирование нарушений товарных знаков
  • URL-адрес настраиваемой политики условного доступа
  • Политики согласия, такие как запросы согласия пользователей, согласие конкретной группы и согласие для приложений, рискованных
    		•  тип ресурса directorySetting и тип ресурса directorySettingTemplate и связанные с ними API

    Дополнительные сведения см. в статье Общие сведения о параметрах группы.
    Операции управления доменом, такие как:
  • Связывание домена с клиентом
  • получение записей DNS
  • проверка владения доменом
  • Связывание определенных служб с определенными доменами
  • удаление доменов
    		•  тип ресурса домена и связанные с ним API
    Управление объектами профилей для внешних пользователей, которым вы приглашены для совместной работы с помощью Teams. Эти API-интерфейсы не похожи на API-интерфейсы приглашений для совместной работы Microsoft Entra External ID B2B. Тип ресурса externalUserProfile и тип ресурса pendingExternalUserProfile и связанные с ними API
    Настройка поэтапного развертывания определенных функций Microsoft Entra ID и управление ими тип ресурса featureRolloutPolicy и связанные с ним API
    Управление политиками автоматической регистрации для управления мобильными устройствами (MDM) и управления мобильными приложениями (MAM) для устройств, присоединенных к Microsoft Entra и зарегистрированных Тип ресурса mobilityManagementPolicy и связанные с ним API
    Настройте параметры, доступные в Microsoft Entra Cloud Sync, такие как предотвращение случайного удаления и управление обратными записями групп. Тип ресурса onPremisesDirectorySynchronization и связанные с ним API
    Управление базовыми параметрами для клиента Microsoft Entra тип ресурса организации и связанные с ним API
    Управление параметрами на уровне клиента Microsoft Entra, например включение аналитики пользователей и элементов в организации Тип ресурса organizationSettings и связанные с ним API
    Получение контактов организации, которые могут быть синхронизированы из локальных каталогов или из Exchange Online Тип ресурса orgContact и связанные с ним API
    Ознакомьтесь с основными сведениями о других клиентах Microsoft Entra, запросив идентификатор клиента или доменное имя. Тип ресурса tenantInformation и связанные с ним API
    Настройте доверенные центры сертификации для сертификатов, которые можно назначить приложениям и субъектам-службам в клиенте. Тип ресурса certificateBasedApplicationConfiguration и связанные с ним API
    Управление делегированными разрешениями и их назначениями субъектам-службам в клиенте Тип ресурса oAuth2PermissionGrant и связанные с ним API

    Удостоверение и вход

    Варианты использования Операции API
    Настройка прослушивателей, отслеживающих события, которые должны активировать или вызывать пользовательскую логику, обычно определяемую вне идентификатора Microsoft Entra Тип ресурса authenticationEventListener и связанные с ним API
    Управление методами проверки подлинности, поддерживаемыми в Идентификаторе Microsoft Entra См . общие сведения об API методов проверки подлинности Microsoft Entra и общие сведения об API методов проверки подлинности Microsoft Entra.
    Управление методами проверки подлинности или сочетаниями методов проверки подлинности, которые можно применить в качестве элемента управления предоставлением в условном доступе Microsoft Entra См. обзор API для проверки подлинности Microsoft Entra
    Управление политиками авторизации на уровне клиента, например:
  • включение SSPR для учетных записей администратора
  • включение самостоятельного присоединения для гостей
  • ограничение числа гостей, которые могут приглашать гостей
  • могут ли пользователи согласиться на использование рискованных приложений
  • блокировать использование MSOL
  • настройка разрешений пользователя по умолчанию
  • функции частной предварительной версии удостоверений включены
  • Настройка разрешений гостевого пользователя между пользователем, гостевым пользователем и ограниченным гостевым пользователем
    		•  Тип ресурса authorizationPolicy и связанные с ним API
    Настройка непрерывной оценки доступа (CAE), которая позволяет отзывать маркеры доступа на основе критических событий и оценки политики, а не полагаться на истечение срока действия маркера в зависимости от времени существования. Тип ресурса continuousAccessEvaluationPolicy и связанные с ним API
    Управление политиками для проверки подлинности на основе сертификатов в клиенте Тип ресурса certificateBasedAuthConfiguration и связанные с ним API
    Управление политиками условного доступа Microsoft Entra Тип ресурса conditionalAccessRoot и связанные с ним API
    Управление параметрами доступа между клиентами и управление ограничениями на исходящий трафик, ограничениями для входящих подключений, ограничениями клиентов и межтенантной синхронизацией пользователей в мультитенантных организациях См. раздел Общие сведения об API параметров доступа между клиентами.
    Управление профилями пользователей, которые предоставляются вам или внешним клиентам, с помощью прямого подключения B2B, включая удаление и экспорт персональных данных тип ресурса inboundSharedUserProfile и тип ресурса outboundSharedUserProfile и связанные с ними API
    Настройка взаимодействия внешних систем с Идентификатором Microsoft Entra во время сеанса проверки подлинности пользователя Тип ресурса customAuthenticationExtension и связанные с ним API
    Управление запросами к данным пользователей в организации, например экспорт персональных данных Тип ресурса dataPolicyOperation и связанные с ним API
    Настройка политик для управления присоединением к Microsoft Entra и регистрация устройств Microsoft Entra Тип ресурса deviceRegistrationPolicy и связанные с ним API
    Управление политикой на уровне клиента, которая определяет, могут ли внешние пользователи покинуть клиент Microsoft Entra с помощью элементов управления самообслуживанием, например с помощью меню "Организации" на портале "Моя учетная запись" Тип ресурса externalIdentitiesPolicy и связанные с ним API
    Заставить автоматический вход пропустить экран ввода имени пользователя и автоматически перенаправить пользователей в федеративные конечные точки входа. Тип ресурса типа ресурса homeRealmDiscoveryPolicy и связанные с ним API
    Обнаружение, исследование и устранение рисков на основе удостоверений с помощью Защиты идентификаторов Microsoft Entra и передача данных в средства управления информационной безопасностью и событиями безопасности (SIEM) для дальнейшего исследования и корреляции См . раздел Использование API для защиты удостоверений Microsoft Graph.
    Управление поставщиками удостоверений для Microsoft Entra ID, Microsoft Entra External ID и клиентов Azure AD B2C. Можно выполнить следующие операции:
  • Управление поставщиками удостоверений для внешних удостоверений, включая поставщиков удостоверений социальных удостоверений, OIDC, Apple, SAML/WS-Fed и встроенных поставщиков
  • Управление конфигурацией для федеративных доменов и проверки маркеров
    		•  Тип ресурса identityProviderBase и связанные с ним API
    Приглашение внешних пользователей для совместной работы с клиентом с помощью внешнего идентификатора Microsoft Entra Тип ресурса приглашения и связанные с ним API
    Определение группы клиентов, принадлежащих вашей организации, и упрощение совместной работы между клиентами внутри организации См. общие сведения об API мультитенантной организации.
    Настройка пользовательских интерфейсов входа в соответствии с фирменной символике вашей компании, включая применение фирменной символики на основе языка браузера. Тип ресурса организационного бренда и связанные с ним API
    Настройка пользовательского интерфейса и пользовательского интерфейса в Azure AD B2C с помощью платформы идентификации (IEF) тип ресурса trustFrameworkKeySet и тип ресурса trustFrameworkPolicy и связанные с ними API
    Потоки пользователей для внешнего идентификатора Microsoft Entra в арендаторах рабочей силы Следующие типы ресурсов и связанные с ними API:
  • b2xIdentityUserFlow для настройки базового потока пользователя и его свойств, таких как поставщики удостоверений
  • identityUserFlowAttribute для управления встроенными и настраиваемыми атрибутами потока пользователя
  • identityUserFlowAttributeAssignment для управления назначениями атрибутов потока пользователя
  • Тип ресурса userFlowLanguageConfiguration для настройки пользовательских языков для потоков пользователей
    		•
    Потоки пользователей для Azure AD B2C Следующие типы ресурсов и связанные с ними API:
  • b2cIdentityUserFlow для настройки базового потока пользователей и его свойств, таких как поставщики удостоверений
  • identityUserFlowAttribute для управления встроенными и настраиваемыми атрибутами потока пользователя
  • identityUserFlowAttributeAssignment для управления назначениями атрибутов потока пользователя
  • Тип ресурса userFlowLanguageConfiguration для настройки пользовательских языков для потоков пользователей
    		•
    Потоки пользователей для внешнего идентификатора Microsoft Entra во внешних клиентах Следующие типы ресурсов и связанные с ними API:
  • authenticationEventsFlow тип ресурса и связанные с ним API
  • identityUserFlowAttribute для управления встроенными и настраиваемыми атрибутами потока пользователя
    		•
    Управление политиками согласия приложения и наборами условий Тип ресурса permissionGrantPolicy
    Управление политиками предварительного подтверждения согласия приложения Тип ресурса permissionGrantPreApprovalPolicy
    Включение или отключение значений безопасности по умолчанию в Идентификаторе Microsoft Entra Тип ресурса identitySecurityDefaultsEnforcementPolicy

    Управление удостоверениями

    Дополнительные сведения см. в статье Обзор управления идентификаторами Microsoft Entra с помощью Microsoft Graph.

    Внешний идентификатор Microsoft Entra во внешних клиентах

    Для настройки взаимодействия пользователей с клиентскими приложениями поддерживаются следующие варианты использования API. Для администраторов большинство функций, доступных в Идентификаторе Microsoft Entra, а также поддерживаются для внешнего идентификатора Microsoft Entra во внешних клиентах. Например, управление доменами, управление приложениями и условный доступ.

    Варианты использования Операции API
    Потоки пользователей для внешнего идентификатора Microsoft Entra во внешних клиентах и возможности самостоятельной регистрации authenticationEventsFlow тип ресурса и связанные с ним API
    Управление поставщиками удостоверений для внешнего идентификатора Microsoft Entra. Вы можете определить поставщиков удостоверений, которые поддерживаются или настроены в клиенте. См. сведения о типе ресурса identityProviderBase и связанных с ним API
    Настройка личных доменов URL-адресов во внешнем идентификаторе Microsoft Entra во внешних клиентах Значение CustomUrlDomain свойства supportedServicesтипа ресурса домена и связанных с ним API
    Настройка пользовательских интерфейсов входа в соответствии с фирменной символике вашей компании, включая применение фирменной символики на основе языка браузера. Тип ресурса организационного бренда и связанные с ним API
    Управление поставщиками удостоверений для внешнего идентификатора Microsoft Entra, например удостоверениями социальных сетей Тип resoruce identityProviderBase и связанные с ним API
    Управление профилями пользователей в Microsoft Entra External ID для клиентов Дополнительные сведения см. в статье Разрешения пользователей по умолчанию в клиентах клиентов.
    Добавление собственной бизнес-логики в интерфейс проверки подлинности путем интеграции с системами, которые являются внешними для Microsoft Entra ID Тип ресурса authenticationEventListener и тип ресурса customAuthenticationExtension и связанные с ними API

    Управление многооблачными разрешениями

    Дополнительные сведения см. в статье Обнаружение, исправление и мониторинг разрешений в многооблачных инфраструктурах с помощью API управления разрешениями.

    Управление доступом к сети

    Дополнительные сведения см. в статье Безопасный доступ к облачным, общедоступным и частным приложениям с помощью API доступа к сети Microsoft Graph.

    Управление клиентами партнеров

    Microsoft Graph также предоставляет следующие возможности идентификации и доступа для партнеров Майкрософт в программах поставщика облачных решений (CSP), торгового посредника с добавленной стоимостью (VAR) или Помощника для управления клиентами своих клиентов.

    Варианты использования Операции API
    Управление контрактами для партнера со своими клиентами тип ресурса contract и связанные с ним API
    Партнеры Майкрософт могут предоставить своим клиентам возможность обеспечить партнерам минимальный привилегированный доступ к клиентам своих клиентов. Эта функция обеспечивает дополнительный контроль над состоянием безопасности клиентов, позволяя им получать поддержку от торговых посредников Майкрософт См . раздел Общие сведения об API делегированных делегированных прав администратора (GDAP)
    Получайте сведения об обнаружении и оповещениях системы безопасности о несанкционированном злоупотреблении стороной, переключениях учетных записей и аномальном использовании подписок Azure в клиентах клиента, за которые вы несете ответственность. См . раздел Использование API оповещений системы безопасности партнера в Microsoft Graph.

    Лицензирование

    Лицензии Microsoft Entra включают Microsoft Entra ID Free, P1, P2 и governance; Управление разрешениями Microsoft Entra; и идентификатор рабочей нагрузки Microsoft Entra.

    Подробные сведения о лицензировании различных функций см. в разделе Лицензирование Идентификатора Microsoft Entra.

    Связанные материалы