Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wichtig
Die APIs unter der /beta Version in Microsoft Graph können sich ändern. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in v1.0 verfügbar ist, verwenden Sie die Version Selektor.
Mit Microsoft Graph können Sie Identitäts- und Netzwerkzugriffsfunktionen verwalten, von denen die meisten über Microsoft Entra verfügbar sind. Die APIs in Microsoft Graph helfen Ihnen, Identitäts- und Netzwerkzugriffsverwaltungsaufgaben zu automatisieren und in jede Anwendung zu integrieren, und sind die programmatische Alternative zu den Administratorportalen wie dem Microsoft Entra Admin Center.
Microsoft Entra ist eine Familie von Identitäts- und Netzwerkzugriffsfunktionen, die in den folgenden Produkten verfügbar sind. Alle diese Funktionen sind über Microsoft Graph-APIs verfügbar:
- Microsoft Entra ID, das IAM-Funktionen (Identity and Access Management) gruppiert.
- Microsoft Entra ID Governance
- Microsoft Entra External ID
- Microsoft Entra Verified ID
- Microsoft Entra Permissions Management
- Microsoft Entra Internet Access und Netzwerkzugriff
Verwalten von Benutzeridentitäten
Benutzer sind die Standard Identitäten in jeder Identitäts- und Zugriffslösung. Sie können den gesamten Lebenszyklus von Benutzern in Ihrem organization, einschließlich Gästen, und deren Berechtigungen wie Lizenzen oder Gruppenmitgliedschaften mithilfe von Microsoft Graph-APIs verwalten. Weitere Informationen finden Sie unter Arbeiten mit Benutzern in Microsoft Graph.
Verwalten von Gruppen
Gruppen sind die Container, mit denen Sie die Berechtigungen für Identitäten effizient als Einheit verwalten können. Beispielsweise können Sie Benutzern über eine Gruppe Zugriff auf eine Ressource gewähren, z. B. auf eine SharePoint-Website. Alternativ können Sie ihnen Lizenzen für die Verwendung eines Diensts gewähren. Weitere Informationen finden Sie unter Arbeiten mit Gruppen in Microsoft Graph.
Verwalten von Anwendungen
Sie können Microsoft Graph-APIs verwenden, um Ihre Anwendungen programmgesteuert zu registrieren und zu verwalten, sodass Sie die IAM-Funktionen von Microsoft verwenden können. Weitere Informationen finden Sie unter Verwalten von Microsoft Entra Anwendungen und Dienstprinzipalen mithilfe von Microsoft Graph.
Mandantenverwaltung oder Verzeichnisverwaltung
Eine Kernfunktion der Identitäts- und Zugriffsverwaltung ist die Verwaltung Ihrer Mandantenkonfiguration, Administratorrollen und Einstellungen. Microsoft Graph bietet APIs zum Verwalten Ihres Microsoft Entra Mandanten für die folgenden Szenarien:
| Anwendungsfälle | API-Vorgänge |
|---|---|
| Verwalten Sie Verwaltungseinheiten, einschließlich der folgenden Vorgänge: |
administrativeUnit-Ressourcentyp und die zugehörigen APIs |
| Gewähren, Widerrufen und Abrufen von App-Rollen für eine Ressourcenanwendung für Benutzer, Gruppen oder Dienstprinzipale | appRoleAssignment-Ressourcentyp und die zugehörigen APIs |
| Abrufen von BitLocker-Wiederherstellungsschlüsseln | bitlockerRecoveryKey-Ressourcentyp und die zugehörigen APIs |
| Verwalten von benutzerdefinierten Sicherheitsattributen | Weitere Informationen finden Sie unter Übersicht über benutzerdefinierte Sicherheitsattribute mit microsoft Graph-API |
| Verwalten gelöschter Verzeichnisobjekte. Die Funktionalität zum Speichern gelöschter Objekte in einem "Papierkorb" wird für die folgenden Objekte unterstützt: |
|
| Verwalten von Geräten in der Cloud | 
deviceTemplate-Ressourcentyp und die zugehörigen APIs |
| Zeigen Sie anmeldeinformationen für lokale Administratoren für alle Geräteobjekte in Microsoft Entra ID an, die mit der Lokalen Admin-Kennwortlösung (LAPS) aktiviert sind. Dieses Feature ist die cloudbasierte LAPS-Lösung. | deviceLocalCredentialInfo-Ressourcentyp und die zugehörigen APIs |
| Verzeichnisobjekte sind die Kernobjekte in Microsoft Entra ID, z. B. Benutzer, Gruppen und Anwendungen. Sie können den Ressourcentyp directoryObject und die zugehörigen APIs verwenden, um Mitgliedschaften von Verzeichnisobjekten zu überprüfen, Änderungen für mehrere Verzeichnisobjekte nachzuverfolgen oder zu überprüfen, ob der Anzeigename oder E-Mail-Spitzname einer Microsoft 365-Gruppe den Benennungsrichtlinien entspricht. | directoryObject-Ressourcentyp und die zugehörigen APIs |
| Administratorrollen, einschließlich Microsoft Entra Administratorrollen, sind eine der empfindlichsten Ressourcen in einem Mandanten. Sie können den Lebenszyklus ihrer Zuweisung im Mandanten verwalten, einschließlich des Erstellens benutzerdefinierter Rollen, Zuweisen von Rollen, Nachverfolgen von Änderungen an Rollenzuweisungen und Entfernen von Zugewiesenen aus Rollen. |
directoryRole-Ressourcentyp und directoryRoleTemplate-Ressourcentyp und die zugehörigen APIs roleManagement-Ressourcentyp und die zugehörigen APIs (empfohlen) Mit diesen APIs können Sie direkte Rollenzuweisungen vornehmen. Alternativ können Sie Privileged Identity Management-APIs für Microsoft Entra Rollen und Gruppen verwenden, um Just-in-Time- und zeitgebundene Rollenzuweisungen zu erstellen, anstatt direkte, für immer aktive Zuweisungen. |
| Definieren Sie die folgenden Konfigurationen, die verwendet werden können, um die mandantenweiten und objektspezifischen Einschränkungen und das zulässige Verhalten anzupassen. |
directorySetting-Ressourcentyp und directorySettingTemplate-Ressourcentyp und die zugehörigen APIs Weitere Informationen finden Sie unter Übersicht über Gruppeneinstellungen. |
| Domänenverwaltungsvorgänge wie: |
Domänenressourcentyp und zugehörige APIs |
| Verwalten Sie die Profilobjekte für externe Benutzer, die Sie über Teams zur Zusammenarbeit eingeladen werden. Diese APIs ähneln nicht den Einladungs-APIs für Microsoft Entra External ID B2B-Zusammenarbeit
|
externalUserProfile-Ressourcentyp und pendingExternalUserProfile-Ressourcentyp und die zugehörigen APIs |
| Konfigurieren und Verwalten des gestaffelten Rollouts bestimmter Microsoft Entra ID Features | featureRolloutPolicy-Ressourcentyp und die zugehörigen APIs |
| Überwachen von Lizenzen und Abonnements für den Mandanten | |
| Verwalten der Richtlinien für mobile Geräteverwaltung (MDM) und mobile Anwendungsverwaltung (MAM) für Microsoft Entra eingebundene und registrierte Geräte | mobilityManagementPolicy-Ressourcentyp und die zugehörigen APIs |
| Konfigurieren Sie optionen, die in Microsoft Entra Cloudsynchronisierung verfügbar sind, z. B. das Verhindern versehentlicher Löschungen und das Verwalten von Gruppenrückschreiben. | onPremisesDirectorySynchronization-Ressourcentyp und die zugehörigen APIs |
| Verwalten der Basiseinstellungen für Ihren Microsoft Entra Mandanten | organization Ressourcentyp und den zugehörigen APIs |
| Verwalten Sie die mandantenweiten Einstellungen für Ihren Microsoft Entra Mandanten, z. B. ob Personen und Elementerkenntnisse für die organization | organizationSettings-Ressourcentyp und die zugehörigen APIs |
| Rufen Sie die Organisationskontakte ab, die möglicherweise aus lokalen Verzeichnissen oder aus Exchange Online | orgContact-Ressourcentyp und die zugehörigen APIs |
| Ermitteln Sie die grundlegenden Details anderer Microsoft Entra Mandanten, indem Sie die Mandanten-ID oder den Domänennamen abfragen. | tenantInformation-Ressourcentyp und die zugehörigen APIs |
| Verwalten der delegierten Berechtigungen und ihrer Zuweisungen zu Dienstprinzipalen im Mandanten | oAuth2PermissionGrant-Ressourcentyp und die zugehörigen APIs |
Identität und Anmeldung
| Anwendungsfälle | API-Vorgänge |
|---|---|
| Konfigurieren sie Listener, die Ereignisse überwachen, die benutzerdefinierte Logik auslösen oder aufrufen sollen, die in der Regel außerhalb Microsoft Entra ID | authenticationEventListener-Ressourcentyp und die zugehörigen APIs |
| Verwalten von Authentifizierungsmethoden, die in Microsoft Entra ID unterstützt werden | Weitere Informationen finden Sie unter übersicht über Microsoft Entra-Authentifizierungsmethoden-API und Microsoft Entra-Authentifizierungsmethoden-API. |
| Verwalten der Authentifizierungsmethoden oder Kombinationen von Authentifizierungsmethoden, die Sie als Gewährungssteuerung in Microsoft Entra bedingten Zugriff anwenden können | Siehe übersicht über Microsoft Entra-Authentifizierungsstärken-API |
| Passen Sie die Benutzeroberfläche/Benutzeroberfläche in Azure AD B2C mithilfe des Identity Experience Framework (IEF) an, das
|
trustFrameworkKeySet-Ressourcentyp und trustFrameworkPolicy-Ressourcentyp und die zugehörigen APIs |
| Konfigurieren Sie die fortlaufende Zugriffsauswertung (Continuous Access Evaluation, CAE), mit der Zugriffstoken basierend auf kritischen Ereignissen und richtlinienbasierter Auswertung widerrufen werden können, anstatt sich auf den Tokenablauf basierend auf der Lebensdauer zu verlassen
|
continuousAccessEvaluationPolicy-Ressourcentyp und die zugehörigen APIs |
| Verwalten der Richtlinien für die zertifikatbasierte Authentifizierung im Mandanten | certificateBasedAuthConfiguration-Ressourcentyp und die zugehörigen APIs |
| Verwalten Microsoft Entra Richtlinien für bedingten Zugriff | conditionalAccessRoot-Ressourcentyp und die zugehörigen APIs |
| Verwalten mandantenübergreifender Zugriffseinstellungen und Verwalten von Ausgangsbeschränkungen, eingehenden Einschränkungen, Mandanteneinschränkungen und mandantenübergreifender Synchronisierung von Benutzern in mehrinstanzenfähigen Organisationen | Weitere Informationen finden Sie unter Übersicht über mandantenübergreifende Zugriffseinstellungen. |
| Verwalten Sie die Benutzerprofile, die für Sie oder externe Mandanten freigegeben werden, mithilfe der direkten B2B-Verbindung, einschließlich des Entfernens und Exportierens personenbezogener Daten
|
inboundSharedUserProfile-Ressourcentyp und outboundSharedUserProfile-Ressourcentyp und die zugehörigen APIs |
| Konfigurieren, wie und welche externen Systeme während einer Benutzerauthentifizierungssitzung mit Microsoft Entra ID interagieren | customAuthenticationExtension-Ressourcentyp und die zugehörigen APIs |
| Verwalten von Anforderungen für Benutzerdaten im organization, z. B. Exportieren personenbezogener Daten | dataPolicyOperation-Ressourcentyp und die zugehörigen APIs |
| Konfigurieren Sie die Richtlinien zum Verwalten Microsoft Entra Joins und Microsoft Entra Registrieren von Geräten
|
deviceRegistrationPolicy-Ressourcentyp und die zugehörigen APIs |
| Verwalten Sie die mandantenweite Richtlinie, die steuert, ob externe Benutzer einen Microsoft Entra Mandanten über Self-Service-Steuerelemente verlassen können, z. B. über das Organisationsmenü des Portals "Mein Konto
|
externalIdentitiesPolicy-Ressourcentyp und die zugehörigen APIs |
| Erzwingen der automatischen Anmeldung, um den Benutzernameneingabebildschirm zu überspringen und Benutzer automatisch an Verbundanmeldungsendpunkte weiterzuleiten | homeRealmDiscoveryPolicy ressourcentyp und die zugehörigen APIs |
| Erkennen, Untersuchen und Beheben identitätsbasierter Risiken mithilfe von Microsoft Entra ID Protection und Einspeisung der Daten in SIEM-Tools (Security Information and Event Management) zur weiteren Untersuchung und Korrelation | Weitere Informationen finden Sie unter Verwenden der Microsoft Graph Identity Protection-APIs. |
| Verwalten von Identitätsanbietern für Microsoft Entra ID-, Microsoft Entra External ID- und Azure AD B2C-Mandanten Sie können die folgenden Vorgänge ausführen: |
identityProviderBase-Ressourcentyp und die zugehörigen APIs |
| Bleiben Sie über Microsoft Entra Produktlebenszyklusupdates auf dem Laufenden, einschließlich der Produktroadmap und Änderungsankündigungen
|
Finden Sie unter |
| Definieren Sie eine Gruppe von Mandanten, die zu Ihrem organization gehört, und optimieren Sie die organization mandantenübergreifende Zusammenarbeit. | Weitere Informationen finden Sie unter Übersicht über mehrinstanzenfähige organization-API. |
| Anpassen der Anmeldebenutzeroberfläche an Ihr Unternehmensbranding, einschließlich anwenden eines Brandings, das auf der Browsersprache basiert | organizationalBranding-Ressourcentyp und die zugehörigen APIs |
| Konfigurieren Sie vertrauenswürdige Zertifizierungsstellen für Zertifikate, die Apps und Dienstprinzipalen im Mandanten zugewiesen werden können. | certificateBasedApplicationConfiguration-Ressourcentyp und die zugehörigen APIs |
| Benutzerflows für Microsoft Entra External ID in Mitarbeitermandanten | Die folgenden Ressourcentypen und die zugehörigen APIs: |
| Benutzerflows für Azure AD B2C | Die folgenden Ressourcentypen und die zugehörigen APIs: |
| Benutzerflows für Microsoft Entra External ID in externen Mandanten | Die folgenden Ressourcentypen und die zugehörigen APIs: |
| Andere Richtlinien | |
| Verwalten sie mandantenweite Autorisierungsrichtlinien, z. B.: |
authorizationPolicy-Ressourcentyp und die zugehörigen APIs |
| Verwalten von App-Zustimmungsrichtlinien und -bedingungssätzen | Ressourcen-Typ „permissionGrantPolicy“ |
| Verwalten von Vorabgenehmigungsrichtlinien für die
|
permissionGrantPreApprovalPolicy-Ressourcentyp |
| Aktivieren oder Deaktivieren von Sicherheitsstandards in Microsoft Entra ID | identitySecurityDefaultsEnforcementPolicy-Ressourcentyp |
Identity Governance
Weitere Informationen finden Sie unter Übersicht über Microsoft Entra ID Governance mit Microsoft Graph.
Microsoft Entra External ID in externen Mandanten
Die folgenden API-Anwendungsfälle werden unterstützt, um anzupassen, wie Benutzer mit Ihren kundenorientierten Anwendungen interagieren. Für Administratoren sind die meisten Features in Microsoft Entra ID verfügbar und werden auch für Microsoft Entra External ID in externen Mandanten unterstützt. Beispiel: Domänenverwaltung, Anwendungsverwaltung und bedingter Zugriff.
| Anwendungsfälle | API-Vorgänge |
|---|---|
| Benutzerflows für Microsoft Entra External ID in externen Mandanten und Self-Service-Registrierungsumgebungen | authenticationEventsFlow-Ressourcentyp und die zugehörigen APIs |
| Verwalten von Identitätsanbietern für Microsoft Entra External ID. Sie können die Identitätsanbieter identifizieren, die im Mandanten unterstützt oder konfiguriert werden. | Weitere Informationen finden Sie unter identityProviderBase-Ressourcentyp und den zugehörigen APIs. |
| Konfigurieren von benutzerdefinierten URL-Domänen in Microsoft Entra External ID in externen Mandanten | Der CustomUrlDomain Wert für die supportedServices-Eigenschaft des Domänenressourcentyps und der zugehörigen APIs. |
| Anpassen der Anmeldebenutzeroberfläche an Ihr Unternehmensbranding, einschließlich anwenden eines Brandings, das auf der Browsersprache basiert | organizationalBranding-Ressourcentyp und die zugehörigen APIs |
| Verwalten von Identitätsanbietern für Microsoft Entra External ID, z. B. Identitäten in sozialen Netzwerken | identityProviderBase-Resoruce-Typ und die zugehörigen APIs |
| Verwalten von Benutzerprofilen in Microsoft Entra External ID für Kunden | Weitere Informationen finden Sie unter Standardbenutzerberechtigungen in Kundenmandanten. |
| Fügen Sie den Authentifizierungserfahrungen Ihre eigene Geschäftslogik hinzu, indem Sie in Systeme integrieren, die außerhalb von Microsoft Entra ID | authenticationEventListener-Ressourcentyp und customAuthenticationExtension-Ressourcentyp und die zugehörigen APIs |
Verwaltung von Multicloudberechtigungen
Weitere Informationen finden Sie unter Ermitteln, Korrigieren und Überwachen von Berechtigungen in Multicloudinfrastrukturen mithilfe von Berechtigungsverwaltungs-APIs.
Netzwerkzugriffsverwaltung
Weitere Informationen finden Sie unter Schützen des Zugriffs auf cloudbasierte, öffentliche und private Apps mithilfe von Microsoft Graph-Netzwerkzugriffs-APIs.
Verwaltung von Partnermandanten
Microsoft Graph bietet auch die folgenden Identitäts- und Zugriffsfunktionen für Microsoft-Partner in den Programmen Cloud Solution Provider (CSP), Value Added Reseller (VAR) oder Advisor, um ihre Kundenmandanten zu verwalten.
| Anwendungsfälle | API-Vorgänge |
|---|---|
| Verwalten von Verträgen für den Partner mit seinen Kunden | contract-Ressourcentyp und die zugehörigen APIs |
| Microsoft-Partner können es ihren Kunden ermöglichen, sicherzustellen, dass die Partner den geringsten Zugriff auf die Mandanten ihrer Kunden haben. Dieses Feature bietet Kunden zusätzliche Kontrolle über ihren Sicherheitsstatus und ermöglicht es ihnen, Support von den Microsoft-Vertriebspartnern zu erhalten. | Siehe Übersicht über granulare delegierte Administratorrechte (GDAP) API |
| Erhalten Sie Erkennungen und Sicherheitswarnungen für Missbrauch nicht autorisierter Parteien, Kontoübernahmen und anomale Nutzung von Azure-Abonnements in den Kundenmandanten, für die Sie verantwortlich sind.
|
Weitere Informationen finden Sie unter Verwenden der Partner-Sicherheitswarnungs-API in Microsoft Graph. |
Identitäts- und Zugriffsberichte
Microsoft Entra zeichnet jede Aktivität in Ihrem Mandanten auf und erstellt Berichte und Überwachungsprotokolle, die Sie für Überwachung, Compliance und Problembehandlung analysieren können. Aufzeichnungen dieser Aktivitäten sind auch über Microsoft Graph-APIs für Berichterstellung und Überwachungsprotokolle verfügbar, mit denen Sie die Aktivitäten mit Azure Monitor-Protokollen und Log Analytics analysieren oder für weitere Untersuchungen an SIEM-Tools von Drittanbietern streamen können. Weitere Informationen finden Sie unter Api-Übersicht über Identitäts- und Zugriffsberichte.
Zero Trust
Dieses Feature hilft Organisationen, ihre Mandanten an den drei Leitprinzipien einer Zero Trust-Architektur auszurichten:
- Explizit verifizieren
- Verwenden der geringsten Rechte
- Gehe von einem Verstoß aus
Weitere Informationen zu Zero Trust und anderen Möglichkeiten, Ihre organization an den Leitprinzipien auszurichten, finden Sie im Zero Trust Guidance Center.
Lizenzierung
Microsoft Entra Lizenzen umfassen Microsoft Entra ID Free, P1, P2 und Governance; Microsoft Entra Permissions Management und Microsoft Entra Workload ID.
Ausführliche Informationen zur Lizenzierung für verschiedene Features finden Sie unter Microsoft Entra ID Lizenzierung.
Verwandte Inhalte
- Implementieren von Identitätsstandards mit Microsoft Entra ID
- Microsoft Entra ID Leitfaden für unabhängige Softwareentwickler
- Lesen Sie die Microsoft Entra Bereitstellungspläne, um Ihren Plan zum Bereitstellen der Microsoft Entra Suite von Funktionen zu erstellen.