Verwalten Microsoft Entra Identitäts- und Netzwerkzugriffsfunktionen mithilfe von Microsoft Graph
Wichtig
Die APIs unter der /beta
Version in Microsoft Graph können sich ändern. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in v1.0 verfügbar ist, verwenden Sie die Version Selektor.
Mit Microsoft Graph können Sie Identitäts- und Netzwerkzugriffsfunktionen verwalten, von denen die meisten über Microsoft Entra verfügbar sind. Die APIs in Microsoft Graph helfen Ihnen, Identitäts- und Netzwerkzugriffsverwaltungsaufgaben zu automatisieren und in jede Anwendung zu integrieren, und sind die programmatische Alternative zu den Administratorportalen wie dem Microsoft Entra Admin Center.
Microsoft Entra ist eine Familie von Identitäts- und Netzwerkzugriffsfunktionen, die in den folgenden Produkten verfügbar sind. Alle diese Funktionen sind über Microsoft Graph-APIs verfügbar:
- Microsoft Entra ID, das IAM-Funktionen (Identity and Access Management) gruppiert.
- Microsoft Entra ID Governance
- Microsoft Entra External ID
- Microsoft Entra Verified ID
- Microsoft Entra Permissions Management
- Microsoft Entra Internet Access und Netzwerkzugriff
Verwalten von Benutzeridentitäten
Benutzer sind die Standard Identitäten in jeder Identitäts- und Zugriffslösung. Sie können den gesamten Lebenszyklus von Benutzern in Ihrem organization und deren Berechtigungen wie Lizenzen oder Gruppenmitgliedschaften mithilfe von Microsoft Graph-APIs verwalten. Weitere Informationen finden Sie unter Arbeiten mit Benutzern in Microsoft Graph.
Verwalten von Gruppen
Gruppen sind die Container, mit denen Sie die Berechtigungen für Identitäten als Einheit effizient verwalten können. Beispielsweise können Sie Benutzern über eine Gruppe Zugriff auf eine Ressource gewähren, z. B. auf eine SharePoint-Website. Alternativ können Sie ihnen Lizenzen für die Verwendung eines Diensts gewähren. Weitere Informationen finden Sie unter Arbeiten mit Gruppen in Microsoft Graph.
Verwalten von Anwendungen
Sie können Microsoft Graph-APIs verwenden, um Ihre Anwendungen programmgesteuert zu registrieren und zu verwalten, sodass Sie die IAM-Funktionen von Microsoft verwenden können. Weitere Informationen finden Sie unter Verwalten von Microsoft Entra Anwendungen und Dienstprinzipalen mithilfe von Microsoft Graph.
Mandantenverwaltung oder Verzeichnisverwaltung
Eine Kernfunktion der Identitäts- und Zugriffsverwaltung ist die Verwaltung Ihrer Mandantenkonfiguration, Administratorrollen und Einstellungen. Microsoft Graph bietet APIs zum Verwalten Ihres Microsoft Entra Mandanten für die folgenden Szenarien:
Anwendungsfälle | API-Vorgänge |
---|---|
Verwalten Sie Verwaltungseinheiten, einschließlich der folgenden Vorgänge: |
administrativeUnit-Ressourcentyp und die zugehörigen APIs |
Abrufen von BitLocker-Wiederherstellungsschlüsseln | bitlockerRecoveryKey-Ressourcentyp und die zugehörigen APIs |
Überwachen von Lizenzen und Abonnements für den Mandanten | |
Verwalten von benutzerdefinierten Sicherheitsattributen | Weitere Informationen finden Sie unter Übersicht über benutzerdefinierte Sicherheitsattribute mit microsoft Graph-API |
Verwalten gelöschter Verzeichnisobjekte. Die Funktionalität zum Speichern gelöschter Objekte in einem "Papierkorb" wird für die folgenden Objekte unterstützt: |
|
Verwalten von Geräten in der Cloud | Geräteressourcentyp und die zugehörigen APIs |
Zeigen Sie anmeldeinformationen für lokale Administratoren für alle Geräteobjekte in Microsoft Entra ID an, die mit der Lokalen Admin-Kennwortlösung (LAPS) aktiviert sind. Dieses Feature ist die cloudbasierte LAPS-Lösung. | deviceLocalCredentialInfo-Ressourcentyp und die zugehörigen APIs |
Verzeichnisobjekte sind die Kernobjekte in Microsoft Entra ID, z. B. Benutzer, Gruppen und Anwendungen. Sie können den Ressourcentyp directoryObject und die zugehörigen APIs verwenden, um Mitgliedschaften von Verzeichnisobjekten zu überprüfen, Änderungen für mehrere Verzeichnisobjekte nachzuverfolgen oder zu überprüfen, ob der Anzeigename oder E-Mail-Spitzname einer Microsoft 365-Gruppe den Benennungsrichtlinien entspricht. | directoryObject-Ressourcentyp und die zugehörigen APIs |
Administratorrollen, einschließlich Microsoft Entra Administratorrollen, sind eine der empfindlichsten Ressourcen in einem Mandanten. Sie können den Lebenszyklus ihrer Zuweisung im Mandanten verwalten, einschließlich des Erstellens benutzerdefinierter Rollen, Zuweisen von Rollen, Nachverfolgen von Änderungen an Rollenzuweisungen und Entfernen von Zugewiesenen aus Rollen. |
directoryRole-Ressourcentyp und directoryRoleTemplate-Ressourcentypund die zugehörigen APIs roleManagement-Ressourcentyp und die zugehörigen APIs Mit diesen APIs können Sie direkte Rollenzuweisungen vornehmen. Alternativ können Sie Privileged Identity Management-APIs für Microsoft Entra Rollen und Gruppen verwenden, um Just-in-Time- und zeitgebundene Rollenzuweisungen zu erstellen, anstatt direkte, für immer aktive Zuweisungen. |
Definieren Sie die folgenden Konfigurationen, die verwendet werden können, um die mandantenweiten und objektspezifischen Einschränkungen und das zulässige Verhalten anzupassen. |
groupSetting-Ressourcentyp und groupSettingTemplate-Ressourcentyp und die zugehörigen APIs Weitere Informationen finden Sie unter Übersicht über Gruppeneinstellungen. |
Domänenverwaltungsvorgänge wie: |
Domänenressourcentyp und zugehörige APIs |
Konfigurieren und Verwalten des gestaffelten Rollouts bestimmter Microsoft Entra ID Features | featureRolloutPolicy-Ressourcentyp und die zugehörigen APIs |
Konfigurieren von Optionen, die in Microsoft Entra Cloudsynchronisierung verfügbar sind, z. B. Verhindern versehentlicher Löschungen und Verwalten von Gruppenrückschreiben | onPremisesDirectorySynchronization-Ressourcentyp und die zugehörigen APIs |
Verwalten der Basiseinstellungen für Ihren Microsoft Entra Mandanten | organization Ressourcentyp und den zugehörigen APIs |
Rufen Sie die Organisationskontakte ab, die möglicherweise aus lokalen Verzeichnissen oder aus Exchange Online | orgContact-Ressourcentyp und die zugehörigen APIs |
Ermitteln Sie die grundlegenden Details anderer Microsoft Entra Mandanten, indem Sie die Mandanten-ID oder den Domänennamen abfragen. | tenantInformation-Ressourcentyp und die zugehörigen APIs |
Verwalten der delegierten Berechtigungen und ihrer Zuweisungen zu Dienstprinzipalen im Mandanten | oAuth2PermissionGrant-Ressourcentyp und die zugehörigen APIs |
Identität und Anmeldung
Anwendungsfälle | API-Vorgänge |
---|---|
Konfigurieren sie Listener, die Ereignisse überwachen, die benutzerdefinierte Logik auslösen oder aufrufen sollen, die in der Regel außerhalb Microsoft Entra ID | authenticationEventListener-Ressourcentyp und die zugehörigen APIs |
Verwalten von Authentifizierungsmethoden, die in Microsoft Entra ID unterstützt werden | Weitere Informationen finden Sie unter übersicht über Microsoft Entra-Authentifizierungsmethoden-API und Microsoft Entra-Authentifizierungsmethoden-API. |
Verwalten der Authentifizierungsmethoden oder Kombinationen von Authentifizierungsmethoden, die Sie als Gewährungssteuerung in Microsoft Entra bedingten Zugriff anwenden können | Siehe übersicht über Microsoft Entra-Authentifizierungsstärken-API |
Verwalten sie mandantenweite Autorisierungsrichtlinien, z. B.: |
authorizationPolicy-Ressourcentyp und die zugehörigen APIs |
Verwalten der Richtlinien für die zertifikatbasierte Authentifizierung im Mandanten | certificateBasedAuthConfiguration-Ressourcentyp und die zugehörigen APIs |
Verwalten Microsoft Entra Richtlinien für bedingten Zugriff | conditionalAccessRoot-Ressourcentyp und die zugehörigen APIs |
Verwalten mandantenübergreifender Zugriffseinstellungen und Verwalten von Ausgangsbeschränkungen, eingehenden Einschränkungen, Mandanteneinschränkungen und mandantenübergreifender Synchronisierung von Benutzern in mehrinstanzenfähigen Organisationen | Weitere Informationen finden Sie unter Übersicht über mandantenübergreifende Zugriffseinstellungen. |
Konfigurieren, wie und welche externen Systeme während einer Benutzerauthentifizierungssitzung mit Microsoft Entra ID interagieren | customAuthenticationExtension-Ressourcentyp und die zugehörigen APIs |
Verwalten von Anforderungen für Benutzerdaten im organization, z. B. Exportieren personenbezogener Daten | dataPolicyOperation-Ressourcentyp und die zugehörigen APIs |
Erzwingen der automatischen Anmeldung, um den Benutzernameneingabebildschirm zu überspringen und Benutzer automatisch an Verbundanmeldungsendpunkte weiterzuleiten | homeRealmDiscoveryPolicy ressourcentyp und die zugehörigen APIs |
Erkennen, Untersuchen und Beheben identitätsbasierter Risiken mithilfe von Microsoft Entra ID Protection und Einspeisung der Daten in SIEM-Tools (Security Information and Event Management) zur weiteren Untersuchung und Korrelation | Weitere Informationen finden Sie unter Verwenden der Microsoft Graph Identity Protection-APIs. |
Verwalten von Identitätsanbietern für Microsoft Entra ID-, Microsoft Entra External ID- und Azure AD B2C-Mandanten Sie können die folgenden Vorgänge ausführen: |
identityProviderBase-Ressourcentyp und die zugehörigen APIs |
Einladen externer Benutzer zur Zusammenarbeit mit Ihrem Mandanten mithilfe von Microsoft Entra External ID | invitation-Ressourcentyp und die zugehörigen APIs |
Definieren Sie eine Gruppe von Mandanten, die zu Ihrem organization gehört, und optimieren Sie die organization mandantenübergreifende Zusammenarbeit. | Weitere Informationen finden Sie unter Übersicht über mehrinstanzenfähige organization-API. |
Anpassen der Anmeldebenutzeroberfläche an Ihr Unternehmensbranding, einschließlich anwenden eines Brandings, das auf der Browsersprache basiert | organizationalBranding-Ressourcentyp und die zugehörigen APIs |
Benutzerflows für Microsoft Entra External ID in Mitarbeitermandanten | Die folgenden Ressourcentypen und die zugehörigen APIs: |
Benutzerflows für Microsoft Entra External ID in externen Mandanten | Die folgenden Ressourcentypen und die zugehörigen APIs: |
Verwalten von App-Zustimmungsrichtlinien und -bedingungssätzen | Ressourcen-Typ „permissionGrantPolicy“ |
Aktivieren oder Deaktivieren von Sicherheitsstandards in Microsoft Entra ID | identitySecurityDefaultsEnforcementPolicy-Ressourcentyp |
Identity Governance
Weitere Informationen finden Sie unter Übersicht über Microsoft Entra ID Governance mit Microsoft Graph.
Microsoft Entra External ID in externen Mandanten
Die folgenden API-Anwendungsfälle werden unterstützt, um anzupassen, wie Benutzer mit Ihren kundenorientierten Anwendungen interagieren. Für Administratoren sind die meisten Features in Microsoft Entra ID verfügbar und werden auch für Microsoft Entra External ID in externen Mandanten unterstützt. Beispiel: Domänenverwaltung, Anwendungsverwaltung und bedingter Zugriff.
Anwendungsfälle | API-Vorgänge |
---|---|
Benutzerflows für Microsoft Entra External ID in externen Mandanten und Self-Service-Registrierungsumgebungen | authenticationEventsFlow-Ressourcentyp und die zugehörigen APIs |
Verwalten von Identitätsanbietern für Microsoft Entra External ID. Sie können die Identitätsanbieter identifizieren, die im Mandanten unterstützt oder konfiguriert werden. | Weitere Informationen finden Sie unter identityProviderBase-Ressourcentyp und den zugehörigen APIs. |
Konfigurieren von benutzerdefinierten URL-Domänen in Microsoft Entra External ID in externen Mandanten | Der CustomUrlDomain Wert für die supportedServices-Eigenschaft des Domänenressourcentyps und der zugehörigen APIs. |
Anpassen der Anmeldebenutzeroberfläche an Ihr Unternehmensbranding, einschließlich anwenden eines Brandings, das auf der Browsersprache basiert | organizationalBranding-Ressourcentyp und die zugehörigen APIs |
Verwalten von Identitätsanbietern für Microsoft Entra External ID, z. B. Identitäten in sozialen Netzwerken | identityProviderBase-Resoruce-Typ und die zugehörigen APIs |
Verwalten von Benutzerprofilen in Microsoft Entra External ID für Kunden | Weitere Informationen finden Sie unter Standardbenutzerberechtigungen in Kundenmandanten. |
Fügen Sie den Authentifizierungserfahrungen Ihre eigene Geschäftslogik hinzu, indem Sie in Systeme integrieren, die außerhalb von Microsoft Entra ID | authenticationEventListener-Ressourcentyp und customAuthenticationExtension-Ressourcentyp und die zugehörigen APIs |
Verwaltung von Partnermandanten
Microsoft Graph bietet auch die folgenden Identitäts- und Zugriffsfunktionen für Microsoft-Partner in den Programmen Cloud Solution Provider (CSP), Value Added Reseller (VAR) oder Advisor, um ihre Kundenmandanten zu verwalten.
Anwendungsfälle | API-Vorgänge |
---|---|
Verwalten von Verträgen für den Partner mit seinen Kunden | contract-Ressourcentyp und die zugehörigen APIs |
Microsoft-Partner können es ihren Kunden ermöglichen, sicherzustellen, dass die Partner den geringsten Zugriff auf die Mandanten ihrer Kunden haben. Dieses Feature bietet Kunden zusätzliche Kontrolle über ihren Sicherheitsstatus und ermöglicht es ihnen, Support von den Microsoft-Vertriebspartnern zu erhalten. | Siehe Übersicht über granulare delegierte Administratorrechte (GDAP) API |
Zero Trust
Dieses Feature hilft Organisationen, ihre Mandanten an den drei Leitprinzipien einer Zero Trust-Architektur auszurichten:
- Explizit verifizieren
- Verwenden der geringsten Rechte
- Gehe von einem Verstoß aus
Weitere Informationen zu Zero Trust und anderen Möglichkeiten, Ihre organization an den Leitprinzipien auszurichten, finden Sie im Zero Trust Guidance Center.
Lizenzierung
Microsoft Entra Lizenzen umfassen Microsoft Entra ID Free, P1, P2 und Governance; Microsoft Entra Permissions Management und Microsoft Entra Workload ID.
Ausführliche Informationen zur Lizenzierung für verschiedene Features finden Sie unter Microsoft Entra ID Lizenzierung.
Verwandte Inhalte
- Implementieren von Identitätsstandards mit Microsoft Entra ID
- Microsoft Entra ID Leitfaden für unabhängige Softwareentwickler
- Lesen Sie die Microsoft Entra Bereitstellungspläne, um Ihren Plan zum Bereitstellen der Microsoft Entra Suite von Funktionen zu erstellen.