Compartilhar via


Gerir Microsoft Entra identidades e capacidades de acesso à rede com o Microsoft Graph

Importante

As APIs na versão /beta no Microsoft Graph estão sujeitas a alterações. Não há suporte para o uso dessas APIs em aplicativos de produção. Para determinar se uma API está disponível na v1.0, use o seletor Versão.

Com o Microsoft Graph, pode gerir as capacidades de acesso de identidade e de rede, a maioria das quais estão disponíveis através de Microsoft Entra. As APIs no Microsoft Graph ajudam-no a automatizar tarefas de gestão de acesso à rede e identidade e a integrar-se em qualquer aplicação e são a alternativa programática aos portais de administrador, como o centro de administração do Microsoft Entra.

Microsoft Entra é uma família de capacidades de acesso à rede e identidade que estão disponíveis nos seguintes produtos. Todas estas capacidades estão disponíveis através das APIs do Microsoft Graph:

  • Microsoft Entra ID que agrupa as capacidades de gestão de identidades e acessos (IAM).
  • Microsoft Entra ID Governance
  • ID externa do Microsoft Entra
  • ID Verificada do Microsoft Entra
  • Gerenciamento de Permissões do Microsoft Entra
  • Acesso à Internet do Microsoft Entra e Acesso à Rede

Gerenciar identidades de usuário

Os utilizadores são as identidades main em qualquer solução de identidade e acesso. Pode gerir todo o ciclo de vida dos utilizadores na sua organização e os respetivos direitos, como licenças ou associações a grupos, através das APIs do Microsoft Graph. Para obter mais informações, consulte Trabalhar com utilizadores no Microsoft Graph.

Gerenciamento de grupos

Grupos são os contentores que lhe permitem gerir eficientemente os direitos das identidades como uma unidade. Por exemplo, através de um grupo, pode conceder aos utilizadores acesso a um recurso, como um site do SharePoint. Em alternativa, pode conceder-lhes licenças para utilizar um serviço. Para obter mais informações, consulte Trabalhar com grupos no Microsoft Graph.

Gerenciar aplicativos

Pode utilizar as APIs do Microsoft Graph para registar e gerir as suas aplicações programaticamente, permitindo-lhe utilizar as capacidades de IAM da Microsoft. Para obter mais informações, veja Gerir aplicações Microsoft Entra e principais de serviço com o Microsoft Graph.


Administração de inquilinos ou gestão de diretórios

Uma das principais funcionalidades da gestão de identidades e acessos é a gestão da configuração do inquilino, das funções administrativas e das definições. O Microsoft Graph fornece APIs para gerir o seu inquilino Microsoft Entra para os seguintes cenários:

Casos de uso Operações de API
Gerir unidades administrativas, incluindo as seguintes operações:
  • Criar unidades administrativas
  • Criar e gerir membros e regras de associação de unidades administrativas
  • Atribuir funções de administrador que estão confinadas a unidades administrativas
  • administrativeUnit resource type and its associated APIs (tipo de recurso administrativeUnit) e as APIs associadas
    Obter chaves de recuperação BitLocker bitlockerRecoveryKey tipo de recurso e respetivas APIs associadas
    Monitorizar licenças e subscrições do inquilino
  • tipo de recurso companySubscription e respetivas APIs associadas
  • subscribedSku resource type and its associated APIs (Tipo de recurso subscribedSku e respetivas APIs associadas)
  • Gerir atributos de segurança personalizados Veja Descrição geral dos atributos de segurança personalizados com o Microsoft API do Graph
    Gerir objetos de diretório eliminados. A funcionalidade para armazenar objetos eliminados numa "reciclagem" é suportada para os seguintes objetos:
  • Unidades administrativas
  • Aplicativos
  • Perfis de utilizador externos
  • Grupos
  • Perfis de utilizador externos pendentes
  • Entidades de serviço
  • Usuários
  • Obter ou Listar objetos eliminados
  • Eliminar permanentemente um objeto eliminado
  • Restaurar um item eliminado
  • Listar itens excluídos pertencentes ao usuário
  • Gerir dispositivos na cloud o tipo de recurso do dispositivo e as respetivas APIs associadas
    Veja as informações de credenciais de administrador local para todos os objetos de dispositivo no Microsoft Entra ID que estão ativados com a Solução de Palavra-passe de Administração Local (LAPS). Esta funcionalidade é a solução laps baseada na cloud deviceLocalCredentialInfo tipo de recurso e respetivas APIs associadas
    Os objetos de diretório são os objetos principais no Microsoft Entra ID, como utilizadores, grupos e aplicações. Pode utilizar o tipo de recurso directoryObject e as respetivas APIs associadas para marcar associações a objetos de diretório, registar alterações para múltiplos objetos de diretório ou validar que o nome a apresentar ou a alcunha de correio de um grupo do Microsoft 365 está em conformidade com as políticas de nomenclatura tipo de recurso directoryObject e respetivas APIs associadas
    As funções de administrador, incluindo Microsoft Entra funções de administrador, são um dos recursos mais confidenciais num inquilino. Pode gerir o ciclo de vida das respetivas atribuições no inquilino, incluindo a criação de funções personalizadas, a atribuição de funções, o controlo de alterações às atribuições de funções e a remoção de atribuições de funções directoryRole resource type and directoryRoleTemplate resource typeand their associated APIs

    roleManagement resource type and its associated APIs (tipo de recurso roleManagement e respetivas APIs associadas)

    Estas APIs permitem-lhe efetuar atribuições de funções diretas. Em alternativa, pode utilizar Privileged Identity Management APIs para Microsoft Entra funções e grupos para efetuar atribuições de funções just-in-time e com limite de tempo, em vez de atribuições diretas para sempre ativas.
    Defina as seguintes configurações que podem ser utilizadas para personalizar as restrições específicas do inquilino e do objeto e o comportamento permitido.
  • Definições para grupos do Microsoft 365, tais como acesso de utilizador convidado, classificações e políticas de nomenclatura
  • Definições de regras de palavra-passe, como listas de palavras-passe banidas e duração do bloqueio
  • Nomes proibidos para aplicações, palavras reservadas e violações de marcas registadas de bloqueio
  • URL de política de acesso condicional personalizado
  • Políticas de consentimento, como pedidos de consentimento do utilizador, consentimento específico do grupo e consentimento para aplicações de risco
  • groupSetting resource type and groupSettingTemplate resource type and their associated APIs

    Para obter mais informações, veja Descrição geral das definições de grupo.
    Operações de gestão de domínios, tais como:
  • associar um domínio ao seu inquilino
  • obter registos DNS
  • verificar a propriedade do domínio
  • associar serviços específicos a domínios específicos
  • eliminar domínios
  • tipo de recurso de domínio e respetivas APIs associadas
    Configurar e gerir a implementação faseada de funcionalidades de Microsoft Entra ID específicas featureRolloutPolicy tipo de recurso e respetivas APIs associadas
    Configurar opções disponíveis no Microsoft Entra Cloud Sync, como impedir eliminações acidentais e gerir repetições de escrita de grupos onPremisesDirectorySynchronization resource type and its associated APIs (Tipo de recurso onPremisesDirectorySynchronization ) e as APIs associadas
    Gerir as definições base do seu inquilino Microsoft Entra o tipo de recurso da organização e as respetivas APIs associadas
    Obter os contactos organizacionais que podem ser sincronizados a partir de diretórios no local ou de Exchange Online orgContact resource type and its associated APIs (tipo de recurso orgContact ) e respetivas APIs associadas
    Descubra os detalhes básicos de outros inquilinos Microsoft Entra ao consultar com o ID do inquilino ou o nome de domínio tenantInformation resource type and its associated APIs (tipo de recurso tenantInformation) e as APIs associadas
    Gerir as permissões delegadas e as respetivas atribuições a principais de serviço no inquilino oAuth2PermissionGrant tipo de recurso e respetivas APIs associadas

    Identidade e entrada

    Casos de uso Operações de API
    Configurar serviços de escuta que monitorizam eventos que devem acionar ou invocar lógica personalizada, normalmente definida fora Microsoft Entra ID authenticationEventListener resource type and its associated APIs (tipo de recurso authenticationEventListener ) e as APIs associadas
    Gerir métodos de autenticação suportados no Microsoft Entra ID Veja descrição geral da API dos métodos de autenticação Microsoft Entra e Microsoft Entra de políticas de autenticação da API
    Gerir os métodos de autenticação ou combinações de métodos de autenticação que pode aplicar como controlo de concessão no Acesso Condicional Microsoft Entra Veja descrição geral da API de pontos fortes de autenticação Microsoft Entra
    Gerir políticas de autorização ao nível do inquilino, tais como:
  • ativar a SSPR para contas de administrador
  • ativar a associação self-service para convidados
  • limitar quem pode convidar convidados
  • se os utilizadores podem consentir aplicações de risco
  • bloquear a utilização do MSOL
  • personalizar as permissões de utilizador predefinidas
  • funcionalidades de pré-visualização privada de identidade ativadas
  • Personalizar as permissões de utilizador convidado entre Utilizador, Utilizador Convidado e Utilizador Convidado Restrito
  • authorizationPolicy resource type and its associated APIs (tipo de recurso authorizationPolicy e respetivas APIs associadas)
    Gerir as políticas de autenticação baseada em certificados no inquilino certificateBasedAuthConfiguration resource type and its associated APIs (tipo de recurso certificateBasedAuthConfiguration ) e as APIs associadas
    Gerir Microsoft Entra políticas de acesso condicional conditionalAccessRoot resource type and its associated APIs (tipo de recurso conditionalAccessRoot ) e as APIs associadas
    Gerir definições de acesso entre inquilinos e gerir restrições de saída, restrições de entrada, restrições de inquilinos e sincronização entre inquilinos de utilizadores em organizações multi-inquilino Veja Descrição geral da API de definições de acesso entre inquilinos
    Configurar como e que sistemas externos interagem com Microsoft Entra ID durante uma sessão de autenticação de utilizador customAuthenticationExtension tipo de recurso e respetivas APIs associadas
    Gerir pedidos de dados de utilizador na organização, como exportar dados pessoais dataPolicyOperation tipo de recurso e respetivas APIs associadas
    Forçar o início de sessão de gestão automática para ignorar o ecrã de entrada de nome de utilizador e reencaminhar automaticamente os utilizadores para pontos finais de início de sessão federados homeRealmDiscovery Tipo de recurso Do tipo de recursoPolicy e respetivas APIs associadas
    Detetar, investigar e remediar riscos baseados em identidade com Microsoft Entra ID Protection e alimentar os dados em ferramentas de gestão de informações e eventos de segurança (SIEM) para uma investigação e correlação mais aprofundadas Veja Utilizar as APIs de proteção de identidade do Microsoft Graph
    Gerir fornecedores de identidade para inquilinos Microsoft Entra ID, ID externa do Microsoft Entra e Azure AD B2C. Pode realizar as seguintes operações:
  • Gerir fornecedores de identidade para identidades externas, incluindo fornecedores de identidade social, OIDC, Apple, SAML/WS-Fed e fornecedores incorporados
  • Gerir a configuração de domínios federados e validação de tokens
  • identityProviderBase resource type and its associated APIs (tipo de recurso identityProviderBase e as respetivas APIs associadas)
    Convidar utilizadores externos para colaborar com o seu inquilino com ID externa do Microsoft Entra tipo de recurso de convite e respetivas APIs associadas
    Definir um grupo de inquilinos pertencentes à sua organização e simplificar a colaboração entre inquilinos intra-organização Veja Descrição geral da API da organização multi-inquilino
    Personalizar UIs de início de sessão para corresponder à imagem corporativa da sua empresa, incluindo a aplicação de imagem corporativa baseada no idioma do browser organizationalBranding resource type and its associated APIs (tipo de recurso organizationalBranding ) e as APIs associadas
    Fluxos de utilizador para ID externa do Microsoft Entra em inquilinos da força de trabalho Os seguintes tipos de recursos e as respetivas APIs associadas:
  • b2xIdentityUserFlow para configurar o fluxo de utilizador base e as respetivas propriedades, como fornecedores de identidade
  • identityUserFlowAttribute para gerir atributos de fluxo de utilizador incorporados e personalizados
  • identityUserFlowAttributeAssignment para gerir atribuições de atributos de fluxo de utilizador
  • userFlowLanguageConfiguration tipo de recurso para configurar idiomas personalizados para fluxos de utilizador
  • Fluxos de utilizador para ID externa do Microsoft Entra em inquilinos externos Os seguintes tipos de recursos e as respetivas APIs associadas:
  • authenticationEventsFlow tipo de recurso e respetivas APIs associadas
  • identityUserFlowAttribute para gerir atributos de fluxo de utilizador incorporados e personalizados
  • Gerir políticas de consentimento de aplicações e conjuntos de condições tipo de recurso permissionGrantPolicy
    Ativar ou desativar as predefinições de segurança no Microsoft Entra ID identitySecurityDefaultsEnforcementPolicy resource type (tipo de recurso identitySecurityDefaultsEnforcementPolicy)

    Governança de identidade

    Para obter mais informações, consulte Descrição geral de Microsoft Entra ID Governance com o Microsoft Graph.

    ID externa do Microsoft Entra em inquilinos externos

    Os seguintes casos de utilização da API são suportados para personalizar a forma como os utilizadores interagem com as aplicações destinadas ao cliente. Para administradores, a maioria das funcionalidades disponíveis no Microsoft Entra ID e também suportadas para ID externa do Microsoft Entra em inquilinos externos. Por exemplo, gestão de domínios, gestão de aplicações e acesso condicional.

    Casos de uso Operações de API
    Fluxos de utilizador para ID externa do Microsoft Entra em inquilinos externos e experiências de inscrição self-service authenticationEventsFlow tipo de recurso e respetivas APIs associadas
    Gerir fornecedores de identidade para ID externa do Microsoft Entra. Pode identificar os fornecedores de identidade suportados ou configurados no inquilino Veja identityProviderBase resource type (Tipo de recurso identityProviderBase ) e as APIs associadas
    Configurar domínios de URL personalizados no ID externa do Microsoft Entra em inquilinos externos O CustomUrlDomain valor para a propriedade supportedServices do tipo de recurso de domínio e as respetivas APIs associadas
    Personalizar UIs de início de sessão para corresponder à imagem corporativa da sua empresa, incluindo a aplicação de imagem corporativa baseada no idioma do browser organizationalBranding resource type and its associated APIs (tipo de recurso organizationalBranding ) e as APIs associadas
    Gerir fornecedores de identidade para ID externa do Microsoft Entra, como identidades sociais identityProviderBase tipo de resoruce e respetivas APIs associadas
    Gerir perfis de utilizador no ID externa do Microsoft Entra para clientes Para obter mais informações, veja Permissões de utilizador predefinidas nos inquilinos do cliente
    Adicione a sua própria lógica de negócio às experiências de autenticação ao integrar com sistemas externos a Microsoft Entra ID authenticationEventListener tipo de recurso e tipo de recurso customAuthenticationExtension e respetivas APIs associadas

    Gerenciamento de locatário do parceiro

    O Microsoft Graph também fornece as seguintes capacidades de identidade e acesso para parceiros da Microsoft nos programas Fornecedor de Soluções Cloud (CSP), Revendedor de Valores Adicionados (VAR) ou Assistente para ajudar a gerir os inquilinos dos clientes.

    Casos de uso Operações de API
    Gerir contratos para o parceiro com os respetivos clientes tipo de recurso de contrato e respetivas APIs associadas
    Os parceiros da Microsoft podem capacitar os seus clientes para garantir que os parceiros têm menos acesso privilegiado aos inquilinos dos seus clientes. Esta funcionalidade dá controlo adicional aos clientes sobre a sua postura de segurança, permitindo-lhes receber suporte dos revendedores da Microsoft Veja Descrição geral da API de privilégios de administrador delegados granulares (GDAP)

    Confiança Zero

    Esta funcionalidade ajuda as organizações a alinhar os respetivos inquilinos com os três princípios de orientação de uma arquitetura Confiança Zero:

    • Verificar explicitamente
    • Utilizar menos privilégios
    • Assumir violação

    Para saber mais sobre Confiança Zero e outras formas de alinhar a sua organização com os princípios de orientação, consulte o Centro de Orientação do Confiança Zero.

    Licenciamento

    Microsoft Entra licenças incluem Microsoft Entra ID Gratuito, P1, P2 e Governação; Gerenciamento de Permissões do Microsoft Entra e ID de carga de trabalho do Microsoft Entra.

    Para obter informações detalhadas sobre o licenciamento para diferentes funcionalidades, veja licenciamento Microsoft Entra ID.