使用 Microsoft Graph 管理Microsoft Entra标识和网络访问功能

重要

Microsoft Graph /beta 版本下的 API 可能会发生更改。 不支持在生产应用程序中使用这些 API。 若要确定 API 是否在 v1.0 中可用,请使用 版本 选择器。

使用 Microsoft Graph,可以管理标识和网络访问功能,其中大多数功能可通过Microsoft Entra使用。 Microsoft Graph 中的 API 可帮助你自动执行标识和网络访问管理任务,并与任何应用程序集成,并且是管理员门户(如 Microsoft Entra 管理中心)的编程替代方案。

Microsoft Entra是以下产品中提供的一系列标识和网络访问功能。 所有这些功能都通过 Microsoft Graph API 提供:

  • 将标识和访问管理 (IAM) 功能分组Microsoft Entra ID。
  • Microsoft Entra ID 治理
  • Microsoft Entra 外部 ID
  • Microsoft Entra 验证 ID
  • Microsoft Entra 权限管理
  • Microsoft Entra Internet 访问和网络访问

管理用户标识

用户是任何标识和访问解决方案中的main标识。 可以使用 Microsoft Graph API 管理组织中的用户的整个生命周期及其权利(如许可证或组成员身份)。 有关详细信息,请参阅 在 Microsoft Graph 中使用用户

管理群组

组是一些容器,使你能够有效地将标识的权利作为一个单元进行管理。 例如,可以通过组向用户授予对资源(如 SharePoint 网站)的访问权限。 或者,可以向他们授予使用服务的许可证。 有关详细信息,请参阅 在 Microsoft Graph 中使用组

管理应用程序。

可以使用 Microsoft Graph API 以编程方式注册和管理应用程序,从而使用 Microsoft 的 IAM 功能。 有关详细信息,请参阅使用 Microsoft Graph 管理Microsoft Entra应用程序和服务主体


租户管理或目录管理

标识和访问管理的核心功能是管理租户配置、管理角色和设置。 Microsoft Graph 提供用于管理Microsoft Entra租户的 API,适合以下方案:

用例 API 操作
管理管理单元,包括以下操作:
  • 创建管理单元
  • 创建和管理管理单元的成员和成员身份规则
  • 分配作用域为管理单元的管理员角色
  • administrativeUnit 资源类型 及其关联的 API
    检索 BitLocker 恢复密钥 bitlockerRecoveryKey 资源类型 及其关联的 API
    监视租户的许可证和订阅
  • companySubscription 资源类型 及其关联的 API
  • subscribedSku 资源类型 及其关联的 API
  • 管理自定义安全属性 请参阅使用Microsoft图形 API的自定义安全属性概述
    管理已删除的目录对象。 以下对象支持将已删除对象存储在“回收站”中的功能:
  • 管理单元
  • 应用程序
  • 外部用户配置文件
  • 挂起的外部用户配置文件
  • 服务主体
  • 用户
  • 获取列出 已删除的对象
  • 永久删除 已删除的对象
  • 还原已删除的项目
  • 列出用户拥有的已删除项目
  • 管理云中的设备 设备资源类型 及其关联的 API
    查看使用本地管理员密码解决方案 (LAPS) 启用的Microsoft Entra ID中所有设备的本地管理员凭据信息。 此功能是基于云的 LAPS 解决方案 deviceLocalCredentialInfo 资源类型 及其关联的 API
    目录对象是Microsoft Entra ID的核心对象,例如用户、组和应用程序。 可以使用 directoryObject 资源类型及其关联的 API 来检查目录对象的成员身份、跟踪多个目录对象的更改,或验证Microsoft 365 组的显示名称或邮件昵称是否符合命名策略 directoryObject 资源类型 及其关联的 API
    管理员角色(包括Microsoft Entra管理员角色)是租户中最敏感的资源之一。 可以在租户中管理其分配的生命周期,包括创建自定义角色、分配角色、跟踪对角色分配的更改以及从角色中删除受让人 directoryRole 资源类型和directoryRoleTemplate 资源类型及其关联的 API

    roleManagement 资源类型 及其关联的 API

    这些 API 允许进行直接角色分配。 或者,可以为Microsoft Entra角色和使用Privileged Identity Management API 进行实时和有时限的角色分配,而不是直接永久活动分配。
    定义以下配置,这些配置可用于自定义租户范围和特定于对象的限制和允许的行为。
  • Microsoft 365 个组的设置,例如来宾用户访问、分类和命名策略
  • 密码规则设置,例如禁止的密码列表和锁定持续时间
  • 禁止应用程序名称、保留字和阻止商标违规
  • 自定义条件访问策略 URL
  • 同意策略,例如用户同意请求、组特定同意和风险应用的同意
  • groupSetting 资源类型和groupSettingTemplate 资源类型 及其关联的 API

    有关详细信息,请参阅 组设置概述
    域管理操作,例如:
  • 将域与租户关联
  • 检索 DNS 记录
  • 验证域所有权
  • 将特定服务与特定域关联
  • 删除域
  • 域资源类型 及其关联的 API
    配置和管理特定Microsoft Entra ID功能的分阶段推出 featureRolloutPolicy 资源类型 及其关联的 API
    配置 Microsoft Entra Cloud Sync 中可用的选项,例如防止意外删除和管理组写回 onPremisesDirectorySynchronization 资源类型 及其关联的 API
    管理Microsoft Entra租户的基本设置 组织资源类型 及其关联的 API
    检索可能从本地目录或从Exchange Online同步的组织联系人 orgContact 资源类型 及其关联的 API
    通过使用租户 ID 或域名进行查询,发现其他Microsoft Entra租户的基本详细信息 tenantInformation 资源类型 及其关联的 API
    管理委托的权限及其对租户中的服务主体的分配 oAuth2PermissionGrant 资源类型 及其关联的 API

    身份和登录

    用例 API 操作
    配置监视应触发或调用自定义逻辑的事件的侦听器,通常在Microsoft Entra ID authenticationEventListener 资源类型 及其关联的 API
    管理 Microsoft Entra ID 中支持的身份验证方法 请参阅Microsoft Entra身份验证方法 API 概述Microsoft Entra身份验证方法策略 API 概述
    管理可在Microsoft Entra条件访问中作为授权控制的身份验证方法或身份验证方法的组合 请参阅Microsoft Entra身份验证强度 API 概述
    管理租户范围的授权策略,例如:
  • 为管理员帐户启用 SSPR
  • 为来宾启用自助加入
  • 限制可以邀请来宾的人员
  • 用户是否可以同意有风险的应用
  • 阻止使用 MSOL
  • 自定义默认用户权限
  • 已启用标识专用预览功能
  • 自定义用户、来宾用户和受限来宾用户之间的来宾用户权限
  • authorizationPolicy 资源类型 及其关联的 API
    在租户中管理基于证书的身份验证策略 certificateBasedAuthConfiguration 资源类型 及其关联的 API
    管理Microsoft Entra条件访问策略 conditionalAccessRoot 资源类型 及其关联的 API
    管理跨租户访问设置,并管理多租户组织中用户的出站限制、入站限制、租户限制和跨租户同步 请参阅 跨租户访问设置 API 概述
    配置在用户身份验证会话期间如何以及哪些外部系统与Microsoft Entra ID交互 customAuthenticationExtension 资源类型 及其关联的 API
    管理针对组织中用户数据的请求,例如导出个人数据 dataPolicyOperation 资源类型 及其关联的 API
    强制自动登录以跳过用户名输入屏幕,并自动将用户转发到联合登录终结点 homeRealmDiscoveryPolicy 资源类型 资源类型及其关联的 API
    使用Microsoft Entra ID 保护检测、调查和修正基于标识的风险,并将数据馈送到安全信息和事件管理中, (SIEM) 工具进行进一步调查和关联 请参阅 使用 Microsoft Graph 标识保护 API
    管理Microsoft Entra ID、Microsoft Entra 外部 ID和 Azure AD B2C 租户的标识提供者。 可以执行以下操作:
  • 管理外部标识的标识提供者,包括社交标识提供者、OIDC、Apple、SAML/WS-Fed 和内置提供程序
  • 管理联合域和令牌验证的配置
  • identityProviderBase 资源类型 及其关联的 API
    使用 Microsoft Entra 外部 ID 邀请外部用户与租户协作 邀请资源类型 及其关联的 API
    定义属于组织的一组租户并简化组织内部跨租户协作 请参阅 多租户组织 API 概述
    自定义登录 UI 以匹配公司品牌,包括应用基于浏览器语言的品牌打造 组织品牌资源类型 及其关联的 API
    劳动力租户中Microsoft Entra 外部 ID的用户流 以下资源类型及其关联的 API:
  • b2xIdentityUserFlow 用于配置基本用户流及其属性(如标识提供者)
  • identityUserFlowAttribute 用于管理内置和自定义用户流属性
  • identityUserFlowAttributeAssignment 用于管理用户流属性分配
  • userFlowLanguageConfiguration 资源类型 ,用于为用户流配置自定义语言
  • 外部租户中Microsoft Entra 外部 ID的用户流 以下资源类型及其关联的 API:
  • authenticationEventsFlow 资源类型 及其关联的 API
  • identityUserFlowAttribute 用于管理内置和自定义用户流属性
  • 管理应用同意策略和条件集 permissionGrantPolicy 资源类型
    在 Microsoft Entra ID 中启用或禁用安全默认值 identitySecurityDefaultsEnforcementPolicy 资源类型

    身份管理

    有关详细信息,请参阅使用 Microsoft Graph 的Microsoft Entra ID 治理概述

    外部租户中的Microsoft Entra 外部 ID

    支持以下 API 用例来自定义用户与面向客户的应用程序交互的方式。 对于管理员,大多数功能在 Microsoft Entra ID 中可用,也支持外部租户中的Microsoft Entra 外部 ID。 例如,域管理、应用程序管理和条件访问。

    用例 API 操作
    外部租户中的Microsoft Entra 外部 ID的用户流和自助注册体验 authenticationEventsFlow 资源类型 及其关联的 API
    管理Microsoft Entra 外部 ID的标识提供者。 可以标识租户中支持或配置的标识提供者 请参阅 identityProviderBase 资源类型 及其关联的 API
    在外部租户的 Microsoft Entra 外部 ID 中配置自定义 URL 域 CustomUrlDomain 域资源类型及其关联 API 的 supportedServices 属性的值
    自定义登录 UI 以匹配公司品牌,包括应用基于浏览器语言的品牌打造 组织品牌资源类型 及其关联的 API
    管理Microsoft Entra 外部 ID的标识提供者,例如社交标识 identityProviderBase resoruce 类型 及其关联的 API
    在客户Microsoft Entra 外部 ID中管理用户配置文件 有关详细信息,请参阅 客户租户中的默认用户权限
    通过与外部的系统集成,将自己的业务逻辑添加到身份验证体验Microsoft Entra ID authenticationEventListener 资源类型和customAuthenticationExtension 资源类型 及其关联的 API

    合作伙伴租户管理

    Microsoft Graph 还为云解决方案提供商中的Microsoft合作伙伴提供以下标识和访问功能, (CSP) 、增值经销商 (VAR) 或顾问计划,以帮助管理其客户租户。

    用例 API 操作
    管理合作伙伴与其客户的合同 协定资源类型 及其关联的 API
    Microsoft合作伙伴可以为其客户授权,以确保合作伙伴对其客户的租户具有最低特权访问权限。 此功能可让客户对其安全状况进行额外的控制,同时允许他们从Microsoft经销商获得支持 请参阅 (GDAP) API 概述的精细委派管理员权限

    授权

    Microsoft Entra许可证包括 Microsoft Entra ID Free、P1、P2 和 Governance;Microsoft Entra 权限管理; 和 Microsoft Entra Workload ID。

    有关不同功能许可的详细信息,请参阅Microsoft Entra ID许可