Управление возможностями Microsoft Entra удостоверений и доступа к сети с помощью Microsoft Graph

Важно!

API версии /beta в Microsoft Graph могут быть изменены. Использование этих API в производственных приложениях не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.

С помощью Microsoft Graph можно управлять возможностями доступа к удостоверениям и сети, большинство из которых доступны через Microsoft Entra. API в Microsoft Graph помогают автоматизировать задачи управления удостоверениями и сетевым доступом и интегрироваться с любым приложением и являются программной альтернативой порталам администрирования, таким как Центр администрирования Microsoft Entra.

Microsoft Entra — это семейство удостоверений и возможностей доступа к сети, доступных в следующих продуктах. Все эти возможности доступны через API Microsoft Graph:

• Microsoft Entra ID группу возможностей управления удостоверениями и доступом (IAM).
• Управление Microsoft Entra ID
• Внешняя идентификация Microsoft Entra
• Проверенные учетные данные Microsoft Entra
• Управление разрешениями Microsoft Entra
• Интернет-доступ Microsoft Entra и сетевой доступ

Управление удостоверениями пользователей

Пользователи — это main удостоверения в любом решении для удостоверений и доступа. Вы можете управлять всем жизненным циклом пользователей в организации, а также их правами, такими как лицензии или членство в группах, с помощью API Microsoft Graph. Дополнительные сведения см. в статье Работа с пользователями в Microsoft Graph.

Управление группами

Группы — это контейнеры, которые позволяют эффективно управлять правами для удостоверений как единое целое. Например, с помощью группы можно предоставить пользователям доступ к ресурсу, например к сайту SharePoint. Или вы можете предоставить им лицензии на использование службы. Дополнительные сведения см. в статье Работа с группами в Microsoft Graph.

Управление приложениями

Api Microsoft Graph можно использовать для программной регистрации приложений и управления ими, что позволяет использовать возможности IAM Корпорации Майкрософт. Дополнительные сведения см. в статье Управление приложениями и субъектами-службами Microsoft Entra с помощью Microsoft Graph.

---

Администрирование клиента или управление каталогом

Основной функцией управления удостоверениями и доступом является управление конфигурацией клиента, административными ролями и параметрами. Microsoft Graph предоставляет API для управления клиентом Microsoft Entra в следующих сценариях:

Варианты использования	Операции API
Управление административными единицами, включая следующие операции: Создание административных единиц Создание членов и правил членства в административных единицах и управление ими Назначение ролей администратора, которые относятся к административным единицам	Тип ресурса administrativeUnit и связанные с ним API
Предоставление, отзыв и извлечение ролей приложения в приложении ресурсов для пользователей, групп или субъектов-служб	Тип ресурса appRoleAssignment и связанные с ним API
Получение ключей восстановления BitLocker	Тип ресурса bitlockerRecoveryKey и связанные с ним API
Управление настраиваемыми атрибутами безопасности	См. обзор настраиваемых атрибутов безопасности с помощью Microsoft API Graph
Управление удаленными объектами каталога. Функциональность хранения удаленных объектов в корзине поддерживается для следующих объектов: Административные единицы Приложения Профили внешних пользователей Группы Ожидающие внешние профили пользователей Субъекты-службы Пользователи	Получение или вывод списка удаленных объектов Окончательное удаление удаленного объекта Восстановление удаленного элемента Перечисление удаленных элементов, принадлежащих пользователю
Управление устройствами в облаке	Тип ресурса устройства и связанные с ним API
Просмотрите сведения об учетных данных локального администратора для всех объектов устройств в Microsoft Entra ID, которые включены с помощью локального решения Администратор паролей (LAPS). Эта функция является облачным решением LAPS	Тип ресурса deviceLocalCredentialInfo и связанные с ним API
Объекты каталога — это основные объекты в Microsoft Entra ID, например пользователи, группы и приложения. Тип ресурса directoryObject и связанные с ним API можно использовать для проверка членства в объектах каталогов, отслеживания изменений для нескольких объектов каталога или проверки соответствия отображаемого имени или почтового псевдонима группы Microsoft 365 политикам именования.	Тип ресурса directoryObject и связанные с ним API
Роли администратора, включая Microsoft Entra роли администратора, являются одним из наиболее конфиденциальных ресурсов в клиенте. Вы можете управлять жизненным циклом их назначения в клиенте, включая создание настраиваемых ролей, назначение ролей, отслеживание изменений назначений ролей и удаление назначенных из ролей.	тип ресурса directoryRole и тип ресурса directoryRoleTemplate и связанные с ними API Тип ресурса roleManagement и связанные с ним API (рекомендуется) Эти API-интерфейсы позволяют выполнять прямые назначения ролей. Кроме того, можно использовать API-интерфейсы управление привилегированными пользователями для Microsoft Entra ролей и групп для выполнения JIT-назначений ролей с привязкой к времени вместо прямых вечно активных назначений.
Определите следующие конфигурации, которые можно использовать для настройки ограничений и разрешенного поведения для всего клиента и объектов. Параметры для групп Microsoft 365, такие как доступ гостевых пользователей, классификации и политики именования Параметры правил паролей, такие как списки запрещенных паролей и длительность блокировки Запрещенные имена для приложений, зарезервированные слова и блокирование нарушений товарных знаков URL-адрес настраиваемой политики условного доступа Политики согласия, такие как запросы согласия пользователей, согласие конкретной группы и согласие для приложений, рискованных	тип ресурса groupSetting и тип ресурса groupSettingTemplate и связанные с ними API Дополнительные сведения см. в статье Общие сведения о параметрах группы.
Операции управления доменом, такие как: Связывание домена с клиентом получение записей DNS проверка владения доменом Связывание определенных служб с определенными доменами удаление доменов	тип ресурса домена и связанные с ним API
Настройка поэтапного развертывания конкретных функций Microsoft Entra ID и управление ими	тип ресурса featureRolloutPolicy и связанные с ним API
Мониторинг лицензий и подписок для клиента	Тип ресурса companySubscription и связанные с ним API Тип ресурса subscribedSku и связанные с ним API
Настройка параметров, доступных в Microsoft Entra Cloud Sync, например предотвращение случайного удаления и управление обратной записью групп	Тип ресурса onPremisesDirectorySynchronization и связанные с ним API
Управление базовыми параметрами для клиента Microsoft Entra	тип ресурса организации и связанные с ним API
Получите контакты организации, которые могут быть синхронизированы из локальных каталогов или из Exchange Online	Тип ресурса orgContact и связанные с ним API
Основные сведения о других клиентах Microsoft Entra, запросив идентификатор клиента или доменное имя.	Тип ресурса tenantInformation и связанные с ним API
Управление делегированными разрешениями и их назначениями субъектам-службам в клиенте	Тип ресурса oAuth2PermissionGrant и связанные с ним API

---

Удостоверение и вход

Варианты использования	Операции API
Настройте прослушиватели, которые отслеживают события, которые должны активировать или вызывать пользовательскую логику, обычно определяемую за пределами Microsoft Entra ID	Тип ресурса authenticationEventListener и связанные с ним API
Управление методами проверки подлинности, поддерживаемыми в Microsoft Entra ID	См. общие сведения об API методов проверки подлинности Microsoft Entra и Microsoft Entra политики API методов проверки подлинности.
Управление методами проверки подлинности или сочетаниями методов проверки подлинности, которые можно применить в качестве элемента управления предоставлением в Microsoft Entra условного доступа	См. общие сведения об API Microsoft Entra надежности проверки подлинности.
Управление политиками авторизации на уровне клиента, например: включение SSPR для учетных записей администратора включение самостоятельного присоединения для гостей ограничение числа гостей, которые могут приглашать гостей могут ли пользователи согласиться на использование рискованных приложений блокировать использование MSOL настройка разрешений пользователя по умолчанию функции частной предварительной версии удостоверений включены Настройка разрешений гостевого пользователя между пользователем, гостевым пользователем и ограниченным гостевым пользователем	Тип ресурса authorizationPolicy и связанные с ним API
Управление политиками для проверки подлинности на основе сертификатов в клиенте	Тип ресурса certificateBasedAuthConfiguration и связанные с ним API
Управление политиками условного доступа Microsoft Entra	Тип ресурса conditionalAccessRoot и связанные с ним API
Управление параметрами доступа между клиентами и управление ограничениями на исходящий трафик, ограничениями для входящих подключений, ограничениями клиентов и межтенантной синхронизацией пользователей в мультитенантных организациях	См. раздел Общие сведения об API параметров доступа между клиентами.
Настройка взаимодействия внешних систем с Microsoft Entra ID во время сеанса проверки подлинности пользователя	Тип ресурса customAuthenticationExtension и связанные с ним API
Управление запросами к данным пользователей в организации, например экспорт персональных данных	Тип ресурса dataPolicyOperation и связанные с ним API
Заставить автоматический вход пропустить экран ввода имени пользователя и автоматически перенаправить пользователей в федеративные конечные точки входа.	Тип ресурса типа ресурса homeRealmDiscoveryPolicy и связанные с ним API
Обнаружение, исследование и устранение рисков на основе удостоверений с помощью Защита Microsoft Entra ID и передача данных в средства управления информационной безопасностью и событиями безопасности (SIEM) для дальнейшего исследования и корреляции	См . раздел Использование API для защиты удостоверений Microsoft Graph.
Управление поставщиками удостоверений для Microsoft Entra ID, Внешняя идентификация Microsoft Entra и Azure AD клиентов B2C. Можно выполнить следующие операции: Управление поставщиками удостоверений для внешних удостоверений, включая поставщиков удостоверений социальных удостоверений, OIDC, Apple, SAML/WS-Fed и встроенных поставщиков Управление конфигурацией для федеративных доменов и проверки маркеров	Тип ресурса identityProviderBase и связанные с ним API
Приглашение внешних пользователей для совместной работы с клиентом с помощью Внешняя идентификация Microsoft Entra	Тип ресурса приглашения и связанные с ним API
Определение группы клиентов, принадлежащих вашей организации, и упрощение совместной работы между клиентами внутри организации	См. общие сведения об API мультитенантной организации.
Настройка пользовательских интерфейсов входа в соответствии с фирменной символике вашей компании, включая применение фирменной символики на основе языка браузера.	Тип ресурса организационного бренда и связанные с ним API
Потоки пользователей для Внешняя идентификация Microsoft Entra в арендаторах рабочей силы	Следующие типы ресурсов и связанные с ними API: b2xIdentityUserFlow для настройки базового потока пользователя и его свойств, таких как поставщики удостоверений identityUserFlowAttribute для управления встроенными и настраиваемыми атрибутами потока пользователя identityUserFlowAttributeAssignment для управления назначениями атрибутов потока пользователя Тип ресурса userFlowLanguageConfiguration для настройки пользовательских языков для потоков пользователей
Потоки пользователей для Внешняя идентификация Microsoft Entra во внешних клиентах	Следующие типы ресурсов и связанные с ними API: authenticationEventsFlow тип ресурса и связанные с ним API identityUserFlowAttribute для управления встроенными и настраиваемыми атрибутами потока пользователя
Управление политиками согласия приложения и наборами условий	Тип ресурса permissionGrantPolicy
Включение или отключение параметров безопасности по умолчанию в Microsoft Entra ID	Тип ресурса identitySecurityDefaultsEnforcementPolicy

---

Управление удостоверениями

Дополнительные сведения см. в статье Обзор Управление Microsoft Entra ID с помощью Microsoft Graph.

Внешняя идентификация Microsoft Entra во внешних клиентах

Для настройки взаимодействия пользователей с клиентскими приложениями поддерживаются следующие варианты использования API. Для администраторов большинство функций, доступных в Microsoft Entra ID, а также поддерживаются для Внешняя идентификация Microsoft Entra во внешних клиентах. Например, управление доменами, управление приложениями и условный доступ.

Варианты использования	Операции API
Потоки пользователей для Внешняя идентификация Microsoft Entra во внешних клиентах и возможности самостоятельной регистрации	authenticationEventsFlow тип ресурса и связанные с ним API
Управление поставщиками удостоверений для Внешняя идентификация Microsoft Entra. Вы можете определить поставщиков удостоверений, которые поддерживаются или настроены в клиенте.	См. сведения о типе ресурса identityProviderBase и связанных с ним API
Настройка личных доменов URL-адресов в Внешняя идентификация Microsoft Entra во внешних клиентах	Значение CustomUrlDomain свойства supportedServicesтипа ресурса домена и связанных с ним API
Настройка пользовательских интерфейсов входа в соответствии с фирменной символике вашей компании, включая применение фирменной символики на основе языка браузера.	Тип ресурса организационного бренда и связанные с ним API
Управление поставщиками удостоверений для Внешняя идентификация Microsoft Entra, например удостоверениями социальных сетей	Тип resoruce identityProviderBase и связанные с ним API
Управление профилями пользователей в Внешняя идентификация Microsoft Entra для клиентов	Дополнительные сведения см. в статье Разрешения пользователей по умолчанию в клиентах клиентов.
Добавьте собственную бизнес-логику в интерфейс проверки подлинности путем интеграции с системами, которые являются внешними для Microsoft Entra ID	Тип ресурса authenticationEventListener и тип ресурса customAuthenticationExtension и связанные с ними API

Управление клиентами партнеров

Microsoft Graph также предоставляет следующие возможности идентификации и доступа для партнеров Майкрософт в программах поставщика облачных решений (CSP), торгового посредника с добавленной стоимостью (VAR) или Помощника для управления клиентами своих клиентов.

Варианты использования	Операции API
Управление контрактами для партнера со своими клиентами	тип ресурса contract и связанные с ним API
Партнеры Майкрософт могут предоставить своим клиентам возможность обеспечить партнерам минимальный привилегированный доступ к клиентам своих клиентов. Эта функция обеспечивает дополнительный контроль над состоянием безопасности клиентов, позволяя им получать поддержку от торговых посредников Майкрософт	См . раздел Общие сведения об API делегированных делегированных прав администратора (GDAP)

---

Отчеты об удостоверениях и доступе

Microsoft Entra записывает все действия в клиенте и создает отчеты и журналы аудита, которые можно проанализировать для мониторинга, соответствия требованиям и устранения неполадок. Записи об этих действиях также доступны через API-интерфейсы отчетов и журналов аудита Microsoft Graph, которые позволяют анализировать действия с помощью журналов Azure Monitor и Log Analytics или передавать данные в сторонние средства SIEM для дальнейшего изучения. Дополнительные сведения см. в статье Общие сведения об API отчетов об удостоверениях и доступе.

"Никому не доверяй"

Эта функция помогает организациям согласовать свои клиенты с тремя руководящими принципами архитектуры "Никому не доверяй":

• Выполняйте проверку явным образом.
• Использование минимальных привилегий
• Предполагайте наличие бреши в системе безопасности

Дополнительные сведения о принципах "Никому не доверяй" и других способах согласования организации с руководящими принципами см. в центре руководства по принципу "Никому не доверяй".

Лицензирование

Microsoft Entra лицензии: Microsoft Entra ID Free, P1, P2 и Governance; Управление разрешениями Microsoft Entra и Идентификация рабочей нагрузки Microsoft Entra.

Подробные сведения о лицензировании для различных функций см. в разделе лицензирование Microsoft Entra ID.

Связанные материалы

• Реализация стандартов удостоверений с помощью Microsoft Entra ID
• Руководство по Microsoft Entra ID для независимых разработчиков программного обеспечения
• Ознакомьтесь с Microsoft Entra планами развертывания, чтобы создать план развертывания Microsoft Entra набора возможностей.