Microsoft Entra标识和访问 API 概述

  • 项目

Microsoft Entra系列标识和网络访问解决方案可帮助你保护任何标识并保护对任何资源的访问。 可以使用 Microsoft Graph 中的Microsoft Entra REST API 自动执行标识和访问管理任务,并与任何应用程序集成。

为何使用 Microsoft Entra API?

应用程序开发人员通过 Microsoft Graph 与 Microsoft Entra API 集成,以自动执行操作,并与自定义解决方案的第三方应用程序集成。

例如,企业开发人员可以使用 Microsoft Graph 自动执行管理工作流,例如从加入到退出的员工生命周期、配置文件维护、许可证部署、与来宾协作、与 SIEM 工具集成等。 另一方面,面向消费者的应用程序的开发人员可以使用 Microsoft Graph 来集成登录选项、自助注册和帐户管理。

管理用户标识并控制对应用、数据和资源的访问权限

数百万客户和组织订阅 Microsoft 云服务(如 Microsoft 365、Microsoft Azure 和企业移动 + 安全)产品套件。 这些服务使用 Microsoft Entra ID 作为其标识和访问管理解决方案。 还可以将Microsoft Entra ID集成到自定义应用程序中。

可以使用 Microsoft Graph 集成到应用的一些Microsoft Entra ID功能包括:

  • 用户管理 - 在租户中查找和管理用户配置文件、许可证分配、成员身份和特权。 管理组织关系、跟踪分配或创建包含现有组织数据的原始解决方案。 管理用户的身份验证方法。
  • 组管理 - 创建组来管理用户和控制对资源的访问。 使用管理单元来组织组、用户和设备,以便于管理和委派管理。
  • 应用程序管理 - 注册云应用程序、管理应用程序权限和特权,以及可以登录的用户。 提供对本地应用程序的安全远程访问。
  • 管理 管理角色,这些角色授予执行特定任务的权限。
  • 自动预配和管理用户需要访问的其他 SaaS 应用的用户标识和角色。

租户管理

Microsoft Entra租户管理的 API 允许你:

  • 获取有关 组织 (租户) 的信息,例如其业务地址、技术和通知联系人、活动服务订阅以及与它关联的域。
  • 获取公司订阅的服务 SKU 的相关信息。
  • 设置跨租户同步,以在组织拥有的多个Microsoft Entra租户之间同步用户帐户。
  • 确定有关其他Microsoft Entra租户的基本信息。

合作伙伴租户管理

转售和管理 Microsoft Online Services(如 Microsoft 365 和 Microsoft Azure)的 Microsoft 合作伙伴可以查看他们当前管理 的组织租户 。 他们还可以使用 精细委派的管理权限 ,以最小特权访问当前管理的租户。

作为 Microsoft 合作伙伴,还可以管理与租户关联的 。 借助域操作,Microsoft 合作伙伴可以对 Microsoft 365 等服务自动执行域注册。

保护、监视和审核对关键资产的访问

使用 Microsoft Entra ID 治理 API 来确保合适的人员在正确的时间拥有对正确的应用和服务的访问权限。

  • 使用 权利管理 API 自动向内部和外部用户授予对资源的访问权限。 强制职责分离,以避免发生冲突的访问。
  • 定期评审对组织中的组、应用程序和特权角色的访问权限。 有关详细信息,请参阅 访问评审 API。
  • 使用 生命周期工作流 API 自动执行员工入职、内部移动和离职。
  • 对Microsoft Entra角色 API 使用特权标识管理,按需激活有时间限制的管理员权限、强制实施角色激活的强制理由,以及对特权角色中的执行组件进行多重身份验证。
  • 对组 API 使用特权标识管理来管理对资源具有特权访问权限的组的访问。

增强标识的安全性

使用Microsoft Entra ID 保护 API 和Microsoft Entra Workload ID API 在基于标识的风险造成损害之前检测和缓解这些风险。

  • 使用 身份验证方法 API 配置多重身份验证,包括防钓鱼多重身份验证方法,以减少与凭据泄露相关的风险。
  • 强制实施基于风险 的条件访问策略 ,以近乎实时地适应风险条件。
  • 检测、报告和响应指示帐户可能遭到入侵的异常。
  • 检测 人为和非人类的风险。

保护对外部标识的应用的访问

对于许多组织来说,与客户和业务合作伙伴等外部用户协作是日常业务的常见部分。 Microsoft Entra 外部 ID API 允许:

  • 邀请外部用户 加入组织。
  • 对于 客户,自定义其登录和注册体验,允许他们将自己的标识 (BYOI) 引入应用程序,从而保护对面向客户的应用程序的访问。
  • 对于业务合作伙伴,管理与其他Microsoft Entra ID租户的协作,保护他们对应用程序的访问,并管理他们对组织中资源的访问的生命周期。

管理多云部署中的权限

使用 Microsoft Entra 权限管理 API 发现、修正和监视多云基础结构中的权限,包括 Microsoft Azure、Amazon Web Services (AWS) 和 Google Cloud Platform (GCP) 。

使用以标识为中心的配置来增强网络流量

对以标识为中心的配置使用 全局安全访问 API 来保护对专用应用和资源的访问;保护对 Internet 的访问、软件即服务 (SaaS) 以及 Microsoft 365 应用和资源。

零信任

此功能可帮助组织将其标识与零信任体系结构的三个指导原则保持一致:

  • 显式验证
  • 使用最低特权
  • 假定漏洞

若要详细了解零信任和其他使组织符合指导原则的方法,请参阅零信任指导中心

API 参考

在查找此服务的 API 参考?

后续步骤

Microsoft Entra REST API 和功能以及相关的 Microsoft Graph 资源