使用 Microsoft Graph 管理Microsoft Entra 标识和网络访问功能

重要

Microsoft Graph /beta 版本下的 API 可能会发生更改。 不支持在生产应用程序中使用这些 API。 若要确定 API 是否在 v1.0 中可用,请使用 版本 选择器。

使用 Microsoft Graph,可以管理标识和网络访问功能,其中大多数功能可通过 Microsoft Entra 获得。 Microsoft Graph 中的 API 可帮助你自动执行标识和网络访问管理任务,并与任何应用程序集成,并且是管理员门户(如 Microsoft Entra 管理中心)的编程替代方案。

Microsoft Entra 是以下产品中提供的一系列标识和网络访问功能。 所有这些功能都通过 Microsoft Graph API 提供:

  • Microsoft对标识和访问管理 (IAM) 功能进行分组的 Entra ID。
  • Microsoft Entra ID 治理
  • Microsoft Entra 外部 ID
  • Microsoft Entra 验证 ID
  • Microsoft Entra 权限管理
  • Microsoft Entra Internet 访问和网络访问

管理用户标识

用户是任何标识和访问解决方案中的主要标识。 可以使用 Microsoft Graph API 管理组织中的用户的整个生命周期及其权利(如许可证或组成员身份)。 有关详细信息,请参阅 在 Microsoft Graph 中使用用户

管理群组

组是一个容器,可用于将标识的权利作为一个单元进行有效管理。 例如,可以通过组向用户授予对资源(如 SharePoint 网站)的访问权限。 或者,可以向他们授予使用服务的许可证。 有关详细信息,请参阅 在 Microsoft Graph 中使用组

管理应用程序。

可以使用 Microsoft Graph API 以编程方式注册和管理应用程序,从而使用 Microsoft 的 IAM 功能。 有关详细信息,请参阅 使用 Microsoft Graph 管理 Microsoft Entra 应用程序和服务主体


租户管理或目录管理

标识和访问管理的核心功能是管理租户配置、管理角色和设置。 Microsoft Graph 提供用于管理以下方案的 Microsoft Entra 租户的 API:

用例 API 操作
管理管理单元,包括以下操作:
  • 创建管理单元
  • 创建和管理管理单元的成员和成员身份规则
  • 分配作用域为管理单元的管理员角色
  • administrativeUnit 资源类型 及其关联的 API
    检索 BitLocker 恢复密钥 bitlockerRecoveryKey 资源类型 及其关联的 API
    监视租户的许可证和订阅
  • companySubscription 资源类型 及其关联的 API
  • subscribedSku 资源类型 及其关联的 API
  • 管理自定义安全属性 请参阅 使用 Microsoft 图形 API 的自定义安全属性概述
    管理已删除的目录对象。 以下对象支持将已删除对象存储在“回收站”中的功能:
  • 管理单元
  • 应用程序
  • 外部用户配置文件
  • 挂起的外部用户配置文件
  • 服务主体
  • 用户
  • 获取列出 已删除的对象
  • 永久删除 已删除的对象
  • 还原已删除的项目
  • 列出用户拥有的已删除项目
  • 管理云中的设备 设备资源类型 及其关联的 API
    查看本地管理员密码解决方案 (LAPS) 启用Microsoft Entra ID 中所有设备的本地管理员凭据信息。 此功能是基于云的 LAPS 解决方案 deviceLocalCredentialInfo 资源类型 及其关联的 API
    目录对象是 Entra ID Microsoft的核心对象,例如用户、组和应用程序。 可以使用 directoryObject 资源类型及其关联的 API 来检查目录对象的成员身份、跟踪多个目录对象的更改,或验证Microsoft 365 组的显示名称或邮件昵称是否符合命名策略 directoryObject 资源类型 及其关联的 API
    管理员角色(包括Microsoft Entra 管理员角色)是租户中最敏感的资源之一。 可以在租户中管理其分配的生命周期,包括创建自定义角色、分配角色、跟踪对角色分配的更改以及从角色中删除受让人 directoryRole 资源类型和directoryRoleTemplate 资源类型及其关联的 API

    roleManagement 资源类型 及其关联的 API

    这些 API 允许进行直接角色分配。 或者,可以使用 Microsoft Entra 角色 的 Privileged Identity Management API 进行实时和有时间限制的角色分配,而不是直接永远处于活动状态的分配。
    定义以下配置,这些配置可用于自定义租户范围和特定于对象的限制和允许的行为。
  • Microsoft 365 个组的设置,例如来宾用户访问、分类和命名策略
  • 密码规则设置,例如禁止的密码列表和锁定持续时间
  • 禁止应用程序名称、保留字和阻止商标违规
  • 自定义条件访问策略 URL
  • 同意策略,例如用户同意请求、组特定同意和风险应用的同意
  • groupSetting 资源类型和groupSettingTemplate 资源类型 及其关联的 API

    有关详细信息,请参阅 组设置概述
    域管理操作,例如:
  • 将域与租户关联
  • 检索 DNS 记录
  • 验证域所有权
  • 将特定服务与特定域关联
  • 删除域
  • 域资源类型 及其关联的 API
    配置和管理特定Microsoft Entra ID 功能的分阶段推出 featureRolloutPolicy 资源类型 及其关联的 API
    配置 Microsoft Entra Cloud Sync 中可用的选项,例如防止意外删除和管理组写回 onPremisesDirectorySynchronization 资源类型 及其关联的 API
    管理 Microsoft Entra 租户的基本设置 组织资源类型 及其关联的 API
    检索可能从本地目录或 Exchange Online 同步的组织联系人 orgContact 资源类型 及其关联的 API
    通过使用租户 ID 或域名进行查询,发现其他Microsoft Entra 租户的基本详细信息 tenantInformation 资源类型 及其关联的 API
    管理委托的权限及其对租户中的服务主体的分配 oAuth2PermissionGrant 资源类型 及其关联的 API

    身份和登录

    用例 API 操作
    配置监视应触发或调用自定义逻辑的事件的侦听器,这些事件通常在 Entra ID Microsoft外部定义 authenticationEventListener 资源类型 及其关联的 API
    管理 Microsoft Entra ID 中支持的身份验证方法 请参阅 Microsoft Entra 身份验证方法 API 概述Microsoft Entra 身份验证方法策略 API 概述
    管理身份验证方法或身份验证方法的组合,可以在 Microsoft Entra 条件访问中作为授予控制 请参阅 Microsoft Entra 身份验证强度 API 概述
    管理租户范围的授权策略,例如:
  • 为管理员帐户启用 SSPR
  • 为来宾启用自助加入
  • 限制可以邀请来宾的人员
  • 用户是否可以同意有风险的应用
  • 阻止使用 MSOL
  • 自定义默认用户权限
  • 已启用标识专用预览功能
  • 自定义用户、来宾用户和受限来宾用户之间的来宾用户权限
  • authorizationPolicy 资源类型 及其关联的 API
    在租户中管理基于证书的身份验证策略 certificateBasedAuthConfiguration 资源类型 及其关联的 API
    管理Microsoft Entra 条件访问策略 conditionalAccessRoot 资源类型 及其关联的 API
    管理跨租户访问设置,并管理多租户组织中用户的出站限制、入站限制、租户限制和跨租户同步 请参阅 跨租户访问设置 API 概述
    配置在用户身份验证会话期间如何以及哪些外部系统与 Microsoft Entra ID 交互 customAuthenticationExtension 资源类型 及其关联的 API
    管理针对组织中用户数据的请求,例如导出个人数据 dataPolicyOperation 资源类型 及其关联的 API
    强制自动登录以跳过用户名输入屏幕,并自动将用户转发到联合登录终结点 homeRealmDiscoveryPolicy 资源类型 资源类型及其关联的 API
    使用 Microsoft Entra ID Protection 检测、调查和修正基于标识的风险,并将数据馈送到安全信息和事件管理中, (SIEM) 工具进行进一步调查和关联 请参阅 使用 Microsoft Graph 标识保护 API
    管理 Microsoft Entra ID、Microsoft Entra 外部 ID 和 Azure AD B2C 租户的标识提供者。 可以执行以下操作:
  • 管理外部标识的标识提供者,包括社交标识提供者、OIDC、Apple、SAML/WS-Fed 和内置提供程序
  • 管理联合域和令牌验证的配置
  • identityProviderBase 资源类型 及其关联的 API
    使用 Microsoft Entra 外部 ID 邀请外部用户与租户协作 邀请资源类型 及其关联的 API
    定义属于组织的一组租户并简化组织内部跨租户协作 请参阅 多租户组织 API 概述
    自定义登录 UI 以匹配公司品牌,包括应用基于浏览器语言的品牌打造 组织品牌资源类型 及其关联的 API
    员工租户中Microsoft Entra 外部 ID 的用户流 以下资源类型及其关联的 API:
  • b2xIdentityUserFlow 用于配置基本用户流及其属性(如标识提供者)
  • identityUserFlowAttribute 用于管理内置和自定义用户流属性
  • identityUserFlowAttributeAssignment 用于管理用户流属性分配
  • userFlowLanguageConfiguration 资源类型 ,用于为用户流配置自定义语言
  • 外部租户中Microsoft Entra 外部 ID 的用户流 以下资源类型及其关联的 API:
  • authenticationEventsFlow 资源类型 及其关联的 API
  • identityUserFlowAttribute 用于管理内置和自定义用户流属性
  • 管理应用同意策略和条件集 permissionGrantPolicy 资源类型
    在 Entra ID Microsoft中启用或禁用安全默认值 identitySecurityDefaultsEnforcementPolicy 资源类型

    身份管理

    有关详细信息,请参阅 使用 Microsoft Graph Microsoft Entra ID 治理概述

    Microsoft外部租户中的 Entra 外部 ID

    支持以下 API 用例来自定义用户与面向客户的应用程序交互的方式。 对于管理员,大多数功能在 Microsoft Entra ID 中可用,也支持在外部租户中Microsoft Entra 外部 ID。 例如,域管理、应用程序管理和条件访问。

    用例 API 操作
    外部租户中的 Microsoft Entra 外部 ID 的用户流和自助注册体验 authenticationEventsFlow 资源类型 及其关联的 API
    管理 Microsoft Entra 外部 ID 的标识提供者。 可以标识租户中支持或配置的标识提供者 请参阅 identityProviderBase 资源类型 及其关联的 API
    在外部租户中的 Microsoft Entra 外部 ID 中配置自定义 URL 域 CustomUrlDomain 域资源类型及其关联 API 的 supportedServices 属性的值
    自定义登录 UI 以匹配公司品牌,包括应用基于浏览器语言的品牌打造 组织品牌资源类型 及其关联的 API
    管理 Microsoft Entra 外部 ID 的标识提供者,例如社交标识 identityProviderBase resoruce 类型 及其关联的 API
    管理客户Microsoft Entra 外部 ID 中的用户配置文件 有关详细信息,请参阅 客户租户中的默认用户权限
    通过与 Entra ID 外部的系统集成,将自己的业务逻辑 Microsoft添加到身份验证体验 authenticationEventListener 资源类型和customAuthenticationExtension 资源类型 及其关联的 API

    合作伙伴租户管理

    Microsoft Graph 还为云解决方案提供商中的Microsoft合作伙伴提供以下标识和访问功能, (CSP) 、增值经销商 (VAR) 或顾问计划,以帮助管理其客户租户。

    用例 API 操作
    管理合作伙伴与其客户的合同 协定资源类型 及其关联的 API
    Microsoft合作伙伴可以为其客户授权,以确保合作伙伴对其客户的租户具有最低特权访问权限。 此功能可让客户对其安全状况进行额外的控制,同时允许他们从Microsoft经销商获得支持 请参阅 (GDAP) API 概述的精细委派管理员权限

    授权

    Microsoft Entra 许可证包括Microsoft Entra ID Free、P1、P2 和治理;Microsoft Entra 权限管理;和 Microsoft Entra 工作负载 ID。

    有关不同功能许可的详细信息,请参阅 Microsoft Entra ID 许可