Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Важно!
API версии /beta в Microsoft Graph могут быть изменены. Использование этих API в производственных приложениях не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.
С помощью Microsoft Graph можно управлять возможностями доступа к удостоверениям и сети, большинство из которых доступны через Microsoft Entra. API в Microsoft Graph помогают автоматизировать задачи управления удостоверениями и сетевым доступом и интегрироваться с любым приложением и являются программной альтернативой порталам администрирования, таким как Центр администрирования Microsoft Entra.
Microsoft Entra — это семейство удостоверений и возможностей доступа к сети, доступных в следующих продуктах. Все эти возможности доступны через API Microsoft Graph:
- Microsoft Entra ID группу возможностей управления удостоверениями и доступом (IAM).
- Управление Microsoft Entra ID
- Внешняя идентификация Microsoft Entra
- Проверенные учетные данные Microsoft Entra
- Управление разрешениями Microsoft Entra
- Интернет-доступ Microsoft Entra и сетевой доступ
Управление удостоверениями пользователей
Пользователи — это main удостоверения в любом решении для удостоверений и доступа. Вы можете управлять всем жизненным циклом пользователей в организации, включая гостей, и их правами, такими как лицензии или членство в группах, с помощью API Microsoft Graph. Дополнительные сведения см. в статье Работа с пользователями в Microsoft Graph.
Управление группами
Группы — это контейнеры, которые позволяют эффективно управлять правами для удостоверений как единое целое. Например, с помощью группы можно предоставить пользователям доступ к ресурсу, например к сайту SharePoint. Или вы можете предоставить им лицензии на использование службы. Дополнительные сведения см. в статье Работа с группами в Microsoft Graph.
Управление приложениями
Api Microsoft Graph можно использовать для программной регистрации приложений и управления ими, что позволяет использовать возможности IAM Корпорации Майкрософт. Дополнительные сведения см. в статье Управление приложениями и субъектами-службами Microsoft Entra с помощью Microsoft Graph.
Администрирование клиента или управление каталогом
Основной функцией управления удостоверениями и доступом является управление конфигурацией клиента, административными ролями и параметрами. Microsoft Graph предоставляет API для управления клиентом Microsoft Entra в следующих сценариях:
| Варианты использования | Операции API |
|---|---|
| Управление административными единицами, включая следующие операции: |
Тип ресурса administrativeUnit и связанные с ним API |
| Предоставление, отзыв и извлечение ролей приложения в приложении ресурсов для пользователей, групп или субъектов-служб | Тип ресурса appRoleAssignment и связанные с ним API |
| Получение ключей восстановления BitLocker | Тип ресурса bitlockerRecoveryKey и связанные с ним API |
| Управление настраиваемыми атрибутами безопасности | См. обзор настраиваемых атрибутов безопасности с помощью Microsoft API Graph |
| Управление удаленными объектами каталога. Функциональность хранения удаленных объектов в корзине поддерживается для следующих объектов: |
|
| Управление устройствами в облаке | 
Тип ресурса deviceTemplate и связанные с ним API |
| Просмотрите сведения об учетных данных локального администратора для всех объектов устройств в Microsoft Entra ID, которые включены с помощью локального решения Администратор паролей (LAPS). Эта функция является облачным решением LAPS | Тип ресурса deviceLocalCredentialInfo и связанные с ним API |
| Объекты каталога — это основные объекты в Microsoft Entra ID, например пользователи, группы и приложения. Тип ресурса directoryObject и связанные с ним API можно использовать для проверка членства в объектах каталогов, отслеживания изменений для нескольких объектов каталога или проверки соответствия отображаемого имени или почтового псевдонима группы Microsoft 365 политикам именования. | Тип ресурса directoryObject и связанные с ним API |
| Роли администратора, включая Microsoft Entra роли администратора, являются одним из наиболее конфиденциальных ресурсов в клиенте. Вы можете управлять жизненным циклом их назначения в клиенте, включая создание настраиваемых ролей, назначение ролей, отслеживание изменений назначений ролей и удаление назначенных из ролей. |
тип ресурса directoryRole и тип ресурса directoryRoleTemplate и связанные с ними API Тип ресурса roleManagement и связанные с ним API (рекомендуется) Эти API-интерфейсы позволяют выполнять прямые назначения ролей. Кроме того, можно использовать API-интерфейсы управление привилегированными пользователями для Microsoft Entra ролей и групп для выполнения JIT-назначений ролей с привязкой к времени вместо прямых вечно активных назначений. |
| Определите следующие конфигурации, которые можно использовать для настройки ограничений и разрешенного поведения для всего клиента и объектов. |
тип ресурса directorySetting и тип ресурса directorySettingTemplate и связанные с ними API Дополнительные сведения см. в статье Общие сведения о параметрах группы. |
| Операции управления доменом, такие как: |
тип ресурса домена и связанные с ним API |
| Управление объектами профилей для внешних пользователей, которым вы приглашены для совместной работы с помощью Teams. Эти API-интерфейсы не похожи на API-интерфейсы приглашений для Внешняя идентификация Microsoft Entra совместной работы B2B
|
Тип ресурса externalUserProfile и тип ресурса pendingExternalUserProfile и связанные с ними API |
| Настройка поэтапного развертывания конкретных функций Microsoft Entra ID и управление ими | тип ресурса featureRolloutPolicy и связанные с ним API |
| Мониторинг лицензий и подписок для клиента | |
| Управление политиками для автоматической регистрации мобильных Управление устройствами (MDM) и управления мобильными приложениями (MAM) для Microsoft Entra присоединенных и зарегистрированных устройств | Тип ресурса mobilityManagementPolicy и связанные с ним API |
| Настройте параметры, доступные в Microsoft Entra облачной синхронизации, например предотвращение случайного удаления и управление обратной записью групп. | Тип ресурса onPremisesDirectorySynchronization и связанные с ним API |
| Управление базовыми параметрами для клиента Microsoft Entra | тип ресурса организации и связанные с ним API |
| Управление параметрами на уровне клиента Microsoft Entra, например включение аналитики пользователей и элементов в организации | Тип ресурса organizationSettings и связанные с ним API |
| Получите контакты организации, которые могут быть синхронизированы из локальных каталогов или из Exchange Online | Тип ресурса orgContact и связанные с ним API |
| Основные сведения о других клиентах Microsoft Entra, запросив идентификатор клиента или доменное имя. | Тип ресурса tenantInformation и связанные с ним API |
| Управление делегированными разрешениями и их назначениями субъектам-службам в клиенте | Тип ресурса oAuth2PermissionGrant и связанные с ним API |
Удостоверение и вход
| Варианты использования | Операции API |
|---|---|
| Настройте прослушиватели, которые отслеживают события, которые должны активировать или вызывать пользовательскую логику, обычно определяемую за пределами Microsoft Entra ID | Тип ресурса authenticationEventListener и связанные с ним API |
| Управление методами проверки подлинности, поддерживаемыми в Microsoft Entra ID | См. общие сведения об API методов проверки подлинности Microsoft Entra и Microsoft Entra политики API методов проверки подлинности. |
| Управление методами проверки подлинности или сочетаниями методов проверки подлинности, которые можно применить в качестве элемента управления предоставлением в Microsoft Entra условного доступа | См. общие сведения об API Microsoft Entra надежности проверки подлинности. |
| Настройка пользовательского интерфейса или пользовательского интерфейса в Azure AD B2C с помощью платформы удостоверений (IEF),
|
тип ресурса trustFrameworkKeySet и тип ресурса trustFrameworkPolicy и связанные с ними API |
| Настройте непрерывную оценку доступа (CAE), которая позволяет отзывать маркеры доступа на основе критических событий и оценки политики, а не полагаться на срок действия маркера на основе времени существования
|
Тип ресурса continuousAccessEvaluationPolicy и связанные с ним API |
| Управление политиками для проверки подлинности на основе сертификатов в клиенте | Тип ресурса certificateBasedAuthConfiguration и связанные с ним API |
| Управление политиками условного доступа Microsoft Entra | Тип ресурса conditionalAccessRoot и связанные с ним API |
| Управление параметрами доступа между клиентами и управление ограничениями на исходящий трафик, ограничениями для входящих подключений, ограничениями клиентов и межтенантной синхронизацией пользователей в мультитенантных организациях | См. раздел Общие сведения об API параметров доступа между клиентами. |
| Управление профилями пользователей, которые предоставляются вам или внешним клиентам, с помощью прямого подключения B2B, включая удаление и экспорт персональных данных
|
тип ресурса inboundSharedUserProfile и тип ресурса outboundSharedUserProfile и связанные с ними API |
| Настройка взаимодействия внешних систем с Microsoft Entra ID во время сеанса проверки подлинности пользователя | Тип ресурса customAuthenticationExtension и связанные с ним API |
| Управление запросами к данным пользователей в организации, например экспорт персональных данных | Тип ресурса dataPolicyOperation и связанные с ним API |
| Настройте политики для управления Microsoft Entra присоединением и Microsoft Entra регистрации устройств
|
Тип ресурса deviceRegistrationPolicy и связанные с ним API |
| Управление политикой на уровне клиента, которая определяет, могут ли внешние пользователи покидать клиент Microsoft Entra с помощью элементов управления самообслуживания, например с помощью меню "Организации" портала "Моя учетная запись
|
Тип ресурса externalIdentitiesPolicy и связанные с ним API |
| Заставить автоматический вход пропустить экран ввода имени пользователя и автоматически перенаправить пользователей в федеративные конечные точки входа. | Тип ресурса типа ресурса homeRealmDiscoveryPolicy и связанные с ним API |
| Обнаружение, исследование и устранение рисков на основе удостоверений с помощью Защита Microsoft Entra ID и передача данных в средства управления информационной безопасностью и событиями безопасности (SIEM) для дальнейшего исследования и корреляции | См . раздел Использование API для защиты удостоверений Microsoft Graph. |
| Управление поставщиками удостоверений для Microsoft Entra ID, Внешняя идентификация Microsoft Entra и Azure AD клиентов B2C. Можно выполнить следующие операции: |
Тип ресурса identityProviderBase и связанные с ним API |
| Будьте в курсе Microsoft Entra обновлений жизненного цикла продукта, включая дорожную карту продукта и объявления об изменениях
|
Видеть |
| Определение группы клиентов, принадлежащих вашей организации, и упрощение совместной работы между клиентами внутри организации | См. общие сведения об API мультитенантной организации. |
| Настройка пользовательских интерфейсов входа в соответствии с фирменной символике вашей компании, включая применение фирменной символики на основе языка браузера. | Тип ресурса организационного бренда и связанные с ним API |
| Настройте доверенные центры сертификации для сертификатов, которые можно назначить приложениям и субъектам-службам в клиенте. | Тип ресурса certificateBasedApplicationConfiguration и связанные с ним API |
| Потоки пользователей для Внешняя идентификация Microsoft Entra в арендаторах рабочей силы | Следующие типы ресурсов и связанные с ними API: |
| Потоки пользователей для Azure AD B2C | Следующие типы ресурсов и связанные с ними API: |
| Потоки пользователей для Внешняя идентификация Microsoft Entra во внешних клиентах | Следующие типы ресурсов и связанные с ними API: |
| Другие политики | |
| Управление политиками авторизации на уровне клиента, например: |
Тип ресурса authorizationPolicy и связанные с ним API |
| Управление политиками согласия приложения и наборами условий | Тип ресурса permissionGrantPolicy |
| Управление политиками предварительного предоставления согласия приложения
|
Тип ресурса permissionGrantPreApprovalPolicy |
| Включение или отключение параметров безопасности по умолчанию в Microsoft Entra ID | Тип ресурса identitySecurityDefaultsEnforcementPolicy |
Управление удостоверениями
Дополнительные сведения см. в статье Обзор Управление Microsoft Entra ID с помощью Microsoft Graph.
Внешняя идентификация Microsoft Entra во внешних клиентах
Для настройки взаимодействия пользователей с клиентскими приложениями поддерживаются следующие варианты использования API. Для администраторов большинство функций, доступных в Microsoft Entra ID, а также поддерживаются для Внешняя идентификация Microsoft Entra во внешних клиентах. Например, управление доменами, управление приложениями и условный доступ.
| Варианты использования | Операции API |
|---|---|
| Потоки пользователей для Внешняя идентификация Microsoft Entra во внешних клиентах и возможности самостоятельной регистрации | authenticationEventsFlow тип ресурса и связанные с ним API |
| Управление поставщиками удостоверений для Внешняя идентификация Microsoft Entra. Вы можете определить поставщиков удостоверений, которые поддерживаются или настроены в клиенте. | См. сведения о типе ресурса identityProviderBase и связанных с ним API |
| Настройка личных доменов URL-адресов в Внешняя идентификация Microsoft Entra во внешних клиентах | Значение CustomUrlDomain свойства supportedServicesтипа ресурса домена и связанных с ним API |
| Настройка пользовательских интерфейсов входа в соответствии с фирменной символике вашей компании, включая применение фирменной символики на основе языка браузера. | Тип ресурса организационного бренда и связанные с ним API |
| Управление поставщиками удостоверений для Внешняя идентификация Microsoft Entra, например удостоверениями социальных сетей | Тип resoruce identityProviderBase и связанные с ним API |
| Управление профилями пользователей в Внешняя идентификация Microsoft Entra для клиентов | Дополнительные сведения см. в статье Разрешения пользователей по умолчанию в клиентах клиентов. |
| Добавьте собственную бизнес-логику в интерфейс проверки подлинности путем интеграции с системами, которые являются внешними для Microsoft Entra ID | Тип ресурса authenticationEventListener и тип ресурса customAuthenticationExtension и связанные с ними API |
Управление многооблачными разрешениями
Дополнительные сведения см. в статье Обнаружение, исправление и мониторинг разрешений в многооблачных инфраструктурах с помощью API управления разрешениями.
Управление доступом к сети
Дополнительные сведения см. в статье Безопасный доступ к облачным, общедоступным и частным приложениям с помощью API доступа к сети Microsoft Graph.
Управление клиентами партнеров
Microsoft Graph также предоставляет следующие возможности идентификации и доступа для партнеров Майкрософт в программах поставщика облачных решений (CSP), торгового посредника с добавленной стоимостью (VAR) или Помощника для управления клиентами своих клиентов.
| Варианты использования | Операции API |
|---|---|
| Управление контрактами для партнера со своими клиентами | тип ресурса contract и связанные с ним API |
| Партнеры Майкрософт могут предоставить своим клиентам возможность обеспечить партнерам минимальный привилегированный доступ к клиентам своих клиентов. Эта функция обеспечивает дополнительный контроль над состоянием безопасности клиентов, позволяя им получать поддержку от торговых посредников Майкрософт | См . раздел Общие сведения об API делегированных делегированных прав администратора (GDAP) |
| Получайте сведения об обнаружении и оповещениях системы безопасности о несанкционированном злоупотреблении стороной, переключениях учетных записей и аномальном использовании подписок Azure в клиентах клиента, за которые вы несете ответственность.
|
См . раздел Использование API оповещений системы безопасности партнера в Microsoft Graph. |
Отчеты об удостоверениях и доступе
Microsoft Entra записывает все действия в клиенте и создает отчеты и журналы аудита, которые можно проанализировать для мониторинга, соответствия требованиям и устранения неполадок. Записи об этих действиях также доступны через API-интерфейсы отчетов и журналов аудита Microsoft Graph, которые позволяют анализировать действия с помощью журналов Azure Monitor и Log Analytics или передавать данные в сторонние средства SIEM для дальнейшего изучения. Дополнительные сведения см. в статье Общие сведения об API отчетов об удостоверениях и доступе.
"Никому не доверяй"
Эта функция помогает организациям согласовать свои клиенты с тремя руководящими принципами архитектуры "Никому не доверяй":
- Выполняйте проверку явным образом.
- Использование минимальных привилегий
- Предполагайте наличие бреши в системе безопасности
Дополнительные сведения о принципах "Никому не доверяй" и других способах согласования организации с руководящими принципами см. в центре руководства по принципу "Никому не доверяй".
Лицензирование
Microsoft Entra лицензии: Microsoft Entra ID Free, P1, P2 и Governance; Управление разрешениями Microsoft Entra и Идентификация рабочей нагрузки Microsoft Entra.
Подробные сведения о лицензировании для различных функций см. в разделе лицензирование Microsoft Entra ID.
Связанные материалы
- Реализация стандартов удостоверений с помощью Microsoft Entra ID
- Руководство по Microsoft Entra ID для независимых разработчиков программного обеспечения
- Ознакомьтесь с Microsoft Entra планами развертывания, чтобы создать план развертывания Microsoft Entra набора возможностей.