Gerir Microsoft Entra identidades e capacidades de acesso à rede com o Microsoft Graph
Importante
As APIs na versão /beta
no Microsoft Graph estão sujeitas a alterações. Não há suporte para o uso dessas APIs em aplicativos de produção. Para determinar se uma API está disponível na v1.0, use o seletor Versão.
Com o Microsoft Graph, pode gerir as capacidades de acesso de identidade e de rede, a maioria das quais estão disponíveis através de Microsoft Entra. As APIs no Microsoft Graph ajudam-no a automatizar tarefas de gestão de acesso à rede e identidade e a integrar-se em qualquer aplicação e são a alternativa programática aos portais de administrador, como o centro de administração do Microsoft Entra.
Microsoft Entra é uma família de capacidades de acesso à rede e identidade que estão disponíveis nos seguintes produtos. Todas estas capacidades estão disponíveis através das APIs do Microsoft Graph:
- Microsoft Entra ID que agrupa as capacidades de gestão de identidades e acessos (IAM).
- Microsoft Entra ID Governance
- ID externa do Microsoft Entra
- ID Verificada do Microsoft Entra
- Gerenciamento de Permissões do Microsoft Entra
- Acesso à Internet do Microsoft Entra e Acesso à Rede
Gerenciar identidades de usuário
Os utilizadores são as identidades main em qualquer solução de identidade e acesso. Pode gerir todo o ciclo de vida dos utilizadores na sua organização e os respetivos direitos, como licenças ou associações a grupos, através das APIs do Microsoft Graph. Para obter mais informações, consulte Trabalhar com utilizadores no Microsoft Graph.
Gerenciamento de grupos
Grupos são os contentores que lhe permitem gerir eficientemente os direitos das identidades como uma unidade. Por exemplo, através de um grupo, pode conceder aos utilizadores acesso a um recurso, como um site do SharePoint. Em alternativa, pode conceder-lhes licenças para utilizar um serviço. Para obter mais informações, consulte Trabalhar com grupos no Microsoft Graph.
Gerenciar aplicativos
Pode utilizar as APIs do Microsoft Graph para registar e gerir as suas aplicações programaticamente, permitindo-lhe utilizar as capacidades de IAM da Microsoft. Para obter mais informações, veja Gerir aplicações Microsoft Entra e principais de serviço com o Microsoft Graph.
Administração de inquilinos ou gestão de diretórios
Uma das principais funcionalidades da gestão de identidades e acessos é a gestão da configuração do inquilino, das funções administrativas e das definições. O Microsoft Graph fornece APIs para gerir o seu inquilino Microsoft Entra para os seguintes cenários:
Casos de uso | Operações de API |
---|---|
Gerir unidades administrativas, incluindo as seguintes operações: |
administrativeUnit resource type and its associated APIs (tipo de recurso administrativeUnit) e as APIs associadas |
Obter chaves de recuperação BitLocker | bitlockerRecoveryKey tipo de recurso e respetivas APIs associadas |
Monitorizar licenças e subscrições do inquilino | |
Gerir atributos de segurança personalizados | Veja Descrição geral dos atributos de segurança personalizados com o Microsoft API do Graph |
Gerir objetos de diretório eliminados. A funcionalidade para armazenar objetos eliminados numa "reciclagem" é suportada para os seguintes objetos: |
|
Gerir dispositivos na cloud | o tipo de recurso do dispositivo e as respetivas APIs associadas |
Veja as informações de credenciais de administrador local para todos os objetos de dispositivo no Microsoft Entra ID que estão ativados com a Solução de Palavra-passe de Administração Local (LAPS). Esta funcionalidade é a solução laps baseada na cloud | deviceLocalCredentialInfo tipo de recurso e respetivas APIs associadas |
Os objetos de diretório são os objetos principais no Microsoft Entra ID, como utilizadores, grupos e aplicações. Pode utilizar o tipo de recurso directoryObject e as respetivas APIs associadas para marcar associações a objetos de diretório, registar alterações para múltiplos objetos de diretório ou validar que o nome a apresentar ou a alcunha de correio de um grupo do Microsoft 365 está em conformidade com as políticas de nomenclatura | tipo de recurso directoryObject e respetivas APIs associadas |
As funções de administrador, incluindo Microsoft Entra funções de administrador, são um dos recursos mais confidenciais num inquilino. Pode gerir o ciclo de vida das respetivas atribuições no inquilino, incluindo a criação de funções personalizadas, a atribuição de funções, o controlo de alterações às atribuições de funções e a remoção de atribuições de funções |
directoryRole resource type and directoryRoleTemplate resource typeand their associated APIs roleManagement resource type and its associated APIs (tipo de recurso roleManagement e respetivas APIs associadas) Estas APIs permitem-lhe efetuar atribuições de funções diretas. Em alternativa, pode utilizar Privileged Identity Management APIs para Microsoft Entra funções e grupos para efetuar atribuições de funções just-in-time e com limite de tempo, em vez de atribuições diretas para sempre ativas. |
Defina as seguintes configurações que podem ser utilizadas para personalizar as restrições específicas do inquilino e do objeto e o comportamento permitido. |
groupSetting resource type and groupSettingTemplate resource type and their associated APIs Para obter mais informações, veja Descrição geral das definições de grupo. |
Operações de gestão de domínios, tais como: |
tipo de recurso de domínio e respetivas APIs associadas |
Configurar e gerir a implementação faseada de funcionalidades de Microsoft Entra ID específicas | featureRolloutPolicy tipo de recurso e respetivas APIs associadas |
Configurar opções disponíveis no Microsoft Entra Cloud Sync, como impedir eliminações acidentais e gerir repetições de escrita de grupos | onPremisesDirectorySynchronization resource type and its associated APIs (Tipo de recurso onPremisesDirectorySynchronization ) e as APIs associadas |
Gerir as definições base do seu inquilino Microsoft Entra | o tipo de recurso da organização e as respetivas APIs associadas |
Obter os contactos organizacionais que podem ser sincronizados a partir de diretórios no local ou de Exchange Online | orgContact resource type and its associated APIs (tipo de recurso orgContact ) e respetivas APIs associadas |
Descubra os detalhes básicos de outros inquilinos Microsoft Entra ao consultar com o ID do inquilino ou o nome de domínio | tenantInformation resource type and its associated APIs (tipo de recurso tenantInformation) e as APIs associadas |
Gerir as permissões delegadas e as respetivas atribuições a principais de serviço no inquilino | oAuth2PermissionGrant tipo de recurso e respetivas APIs associadas |
Identidade e entrada
Casos de uso | Operações de API |
---|---|
Configurar serviços de escuta que monitorizam eventos que devem acionar ou invocar lógica personalizada, normalmente definida fora Microsoft Entra ID | authenticationEventListener resource type and its associated APIs (tipo de recurso authenticationEventListener ) e as APIs associadas |
Gerir métodos de autenticação suportados no Microsoft Entra ID | Veja descrição geral da API dos métodos de autenticação Microsoft Entra e Microsoft Entra de políticas de autenticação da API |
Gerir os métodos de autenticação ou combinações de métodos de autenticação que pode aplicar como controlo de concessão no Acesso Condicional Microsoft Entra | Veja descrição geral da API de pontos fortes de autenticação Microsoft Entra |
Gerir políticas de autorização ao nível do inquilino, tais como: |
authorizationPolicy resource type and its associated APIs (tipo de recurso authorizationPolicy e respetivas APIs associadas) |
Gerir as políticas de autenticação baseada em certificados no inquilino | certificateBasedAuthConfiguration resource type and its associated APIs (tipo de recurso certificateBasedAuthConfiguration ) e as APIs associadas |
Gerir Microsoft Entra políticas de acesso condicional | conditionalAccessRoot resource type and its associated APIs (tipo de recurso conditionalAccessRoot ) e as APIs associadas |
Gerir definições de acesso entre inquilinos e gerir restrições de saída, restrições de entrada, restrições de inquilinos e sincronização entre inquilinos de utilizadores em organizações multi-inquilino | Veja Descrição geral da API de definições de acesso entre inquilinos |
Configurar como e que sistemas externos interagem com Microsoft Entra ID durante uma sessão de autenticação de utilizador | customAuthenticationExtension tipo de recurso e respetivas APIs associadas |
Gerir pedidos de dados de utilizador na organização, como exportar dados pessoais | dataPolicyOperation tipo de recurso e respetivas APIs associadas |
Forçar o início de sessão de gestão automática para ignorar o ecrã de entrada de nome de utilizador e reencaminhar automaticamente os utilizadores para pontos finais de início de sessão federados | homeRealmDiscovery Tipo de recurso Do tipo de recursoPolicy e respetivas APIs associadas |
Detetar, investigar e remediar riscos baseados em identidade com Microsoft Entra ID Protection e alimentar os dados em ferramentas de gestão de informações e eventos de segurança (SIEM) para uma investigação e correlação mais aprofundadas | Veja Utilizar as APIs de proteção de identidade do Microsoft Graph |
Gerir fornecedores de identidade para inquilinos Microsoft Entra ID, ID externa do Microsoft Entra e Azure AD B2C. Pode realizar as seguintes operações: |
identityProviderBase resource type and its associated APIs (tipo de recurso identityProviderBase e as respetivas APIs associadas) |
Convidar utilizadores externos para colaborar com o seu inquilino com ID externa do Microsoft Entra | tipo de recurso de convite e respetivas APIs associadas |
Definir um grupo de inquilinos pertencentes à sua organização e simplificar a colaboração entre inquilinos intra-organização | Veja Descrição geral da API da organização multi-inquilino |
Personalizar UIs de início de sessão para corresponder à imagem corporativa da sua empresa, incluindo a aplicação de imagem corporativa baseada no idioma do browser | organizationalBranding resource type and its associated APIs (tipo de recurso organizationalBranding ) e as APIs associadas |
Fluxos de utilizador para ID externa do Microsoft Entra em inquilinos da força de trabalho | Os seguintes tipos de recursos e as respetivas APIs associadas: |
Fluxos de utilizador para ID externa do Microsoft Entra em inquilinos externos | Os seguintes tipos de recursos e as respetivas APIs associadas: |
Gerir políticas de consentimento de aplicações e conjuntos de condições | tipo de recurso permissionGrantPolicy |
Ativar ou desativar as predefinições de segurança no Microsoft Entra ID | identitySecurityDefaultsEnforcementPolicy resource type (tipo de recurso identitySecurityDefaultsEnforcementPolicy) |
Governança de identidade
Para obter mais informações, consulte Descrição geral de Microsoft Entra ID Governance com o Microsoft Graph.
ID externa do Microsoft Entra em inquilinos externos
Os seguintes casos de utilização da API são suportados para personalizar a forma como os utilizadores interagem com as aplicações destinadas ao cliente. Para administradores, a maioria das funcionalidades disponíveis no Microsoft Entra ID e também suportadas para ID externa do Microsoft Entra em inquilinos externos. Por exemplo, gestão de domínios, gestão de aplicações e acesso condicional.
Casos de uso | Operações de API |
---|---|
Fluxos de utilizador para ID externa do Microsoft Entra em inquilinos externos e experiências de inscrição self-service | authenticationEventsFlow tipo de recurso e respetivas APIs associadas |
Gerir fornecedores de identidade para ID externa do Microsoft Entra. Pode identificar os fornecedores de identidade suportados ou configurados no inquilino | Veja identityProviderBase resource type (Tipo de recurso identityProviderBase ) e as APIs associadas |
Configurar domínios de URL personalizados no ID externa do Microsoft Entra em inquilinos externos | O CustomUrlDomain valor para a propriedade supportedServices do tipo de recurso de domínio e as respetivas APIs associadas |
Personalizar UIs de início de sessão para corresponder à imagem corporativa da sua empresa, incluindo a aplicação de imagem corporativa baseada no idioma do browser | organizationalBranding resource type and its associated APIs (tipo de recurso organizationalBranding ) e as APIs associadas |
Gerir fornecedores de identidade para ID externa do Microsoft Entra, como identidades sociais | identityProviderBase tipo de resoruce e respetivas APIs associadas |
Gerir perfis de utilizador no ID externa do Microsoft Entra para clientes | Para obter mais informações, veja Permissões de utilizador predefinidas nos inquilinos do cliente |
Adicione a sua própria lógica de negócio às experiências de autenticação ao integrar com sistemas externos a Microsoft Entra ID | authenticationEventListener tipo de recurso e tipo de recurso customAuthenticationExtension e respetivas APIs associadas |
Gerenciamento de locatário do parceiro
O Microsoft Graph também fornece as seguintes capacidades de identidade e acesso para parceiros da Microsoft nos programas Fornecedor de Soluções Cloud (CSP), Revendedor de Valores Adicionados (VAR) ou Assistente para ajudar a gerir os inquilinos dos clientes.
Casos de uso | Operações de API |
---|---|
Gerir contratos para o parceiro com os respetivos clientes | tipo de recurso de contrato e respetivas APIs associadas |
Os parceiros da Microsoft podem capacitar os seus clientes para garantir que os parceiros têm menos acesso privilegiado aos inquilinos dos seus clientes. Esta funcionalidade dá controlo adicional aos clientes sobre a sua postura de segurança, permitindo-lhes receber suporte dos revendedores da Microsoft | Veja Descrição geral da API de privilégios de administrador delegados granulares (GDAP) |
Confiança Zero
Esta funcionalidade ajuda as organizações a alinhar os respetivos inquilinos com os três princípios de orientação de uma arquitetura Confiança Zero:
- Verificar explicitamente
- Utilizar menos privilégios
- Assumir violação
Para saber mais sobre Confiança Zero e outras formas de alinhar a sua organização com os princípios de orientação, consulte o Centro de Orientação do Confiança Zero.
Licenciamento
Microsoft Entra licenças incluem Microsoft Entra ID Gratuito, P1, P2 e Governação; Gerenciamento de Permissões do Microsoft Entra e ID de carga de trabalho do Microsoft Entra.
Para obter informações detalhadas sobre o licenciamento para diferentes funcionalidades, veja licenciamento Microsoft Entra ID.
Conteúdo relacionado
- Implementar normas de identidade com Microsoft Entra ID
- Microsoft Entra ID Guide for independent software developers (Guia do Microsoft Entra ID para programadores independentes de software)
- Reveja os planos de implementação Microsoft Entra para o ajudar a criar o seu plano para implementar o conjunto de capacidades Microsoft Entra.