使用 Microsoft Graph 管理Microsoft Entra标识和网络访问功能
重要
Microsoft Graph /beta
版本下的 API 可能会发生更改。 不支持在生产应用程序中使用这些 API。 若要确定 API 是否在 v1.0 中可用,请使用 版本 选择器。
使用 Microsoft Graph,可以管理标识和网络访问功能,其中大多数功能可通过Microsoft Entra使用。 Microsoft Graph 中的 API 可帮助你自动执行标识和网络访问管理任务,并与任何应用程序集成,并且是管理员门户(如 Microsoft Entra 管理中心)的编程替代方案。
Microsoft Entra是以下产品中提供的一系列标识和网络访问功能。 所有这些功能都通过 Microsoft Graph API 提供:
- 将标识和访问管理 (IAM) 功能分组Microsoft Entra ID。
- Microsoft Entra ID 治理
- Microsoft Entra 外部 ID
- Microsoft Entra 验证 ID
- Microsoft Entra 权限管理
- Microsoft Entra Internet 访问和网络访问
管理用户标识
用户是任何标识和访问解决方案中的main标识。 可以使用 Microsoft Graph API 管理组织中的用户的整个生命周期及其权利(如许可证或组成员身份)。 有关详细信息,请参阅 在 Microsoft Graph 中使用用户。
管理群组
组是一些容器,使你能够有效地将标识的权利作为一个单元进行管理。 例如,可以通过组向用户授予对资源(如 SharePoint 网站)的访问权限。 或者,可以向他们授予使用服务的许可证。 有关详细信息,请参阅 在 Microsoft Graph 中使用组。
管理应用程序。
可以使用 Microsoft Graph API 以编程方式注册和管理应用程序,从而使用 Microsoft 的 IAM 功能。 有关详细信息,请参阅使用 Microsoft Graph 管理Microsoft Entra应用程序和服务主体。
租户管理或目录管理
标识和访问管理的核心功能是管理租户配置、管理角色和设置。 Microsoft Graph 提供用于管理Microsoft Entra租户的 API,适合以下方案:
用例 | API 操作 |
---|---|
管理管理单元,包括以下操作: |
administrativeUnit 资源类型 及其关联的 API |
检索 BitLocker 恢复密钥 | bitlockerRecoveryKey 资源类型 及其关联的 API |
监视租户的许可证和订阅 | |
管理自定义安全属性 | 请参阅使用Microsoft图形 API的自定义安全属性概述 |
管理已删除的目录对象。 以下对象支持将已删除对象存储在“回收站”中的功能: |
|
管理云中的设备 | 设备资源类型 及其关联的 API |
查看使用本地管理员密码解决方案 (LAPS) 启用的Microsoft Entra ID中所有设备的本地管理员凭据信息。 此功能是基于云的 LAPS 解决方案 | deviceLocalCredentialInfo 资源类型 及其关联的 API |
目录对象是Microsoft Entra ID的核心对象,例如用户、组和应用程序。 可以使用 directoryObject 资源类型及其关联的 API 来检查目录对象的成员身份、跟踪多个目录对象的更改,或验证Microsoft 365 组的显示名称或邮件昵称是否符合命名策略 | directoryObject 资源类型 及其关联的 API |
管理员角色(包括Microsoft Entra管理员角色)是租户中最敏感的资源之一。 可以在租户中管理其分配的生命周期,包括创建自定义角色、分配角色、跟踪对角色分配的更改以及从角色中删除受让人 |
directoryRole 资源类型和directoryRoleTemplate 资源类型及其关联的 API roleManagement 资源类型 及其关联的 API 这些 API 允许进行直接角色分配。 或者,可以为Microsoft Entra角色和组使用Privileged Identity Management API 进行实时和有时限的角色分配,而不是直接永久活动分配。 |
定义以下配置,这些配置可用于自定义租户范围和特定于对象的限制和允许的行为。 |
groupSetting 资源类型和groupSettingTemplate 资源类型 及其关联的 API 有关详细信息,请参阅 组设置概述。 |
域管理操作,例如: |
域资源类型 及其关联的 API |
配置和管理特定Microsoft Entra ID功能的分阶段推出 | featureRolloutPolicy 资源类型 及其关联的 API |
配置 Microsoft Entra Cloud Sync 中可用的选项,例如防止意外删除和管理组写回 | onPremisesDirectorySynchronization 资源类型 及其关联的 API |
管理Microsoft Entra租户的基本设置 | 组织资源类型 及其关联的 API |
检索可能从本地目录或从Exchange Online同步的组织联系人 | orgContact 资源类型 及其关联的 API |
通过使用租户 ID 或域名进行查询,发现其他Microsoft Entra租户的基本详细信息 | tenantInformation 资源类型 及其关联的 API |
管理委托的权限及其对租户中的服务主体的分配 | oAuth2PermissionGrant 资源类型 及其关联的 API |
身份和登录
用例 | API 操作 |
---|---|
配置监视应触发或调用自定义逻辑的事件的侦听器,通常在Microsoft Entra ID | authenticationEventListener 资源类型 及其关联的 API |
管理 Microsoft Entra ID 中支持的身份验证方法 | 请参阅Microsoft Entra身份验证方法 API 概述和Microsoft Entra身份验证方法策略 API 概述 |
管理可在Microsoft Entra条件访问中作为授权控制的身份验证方法或身份验证方法的组合 | 请参阅Microsoft Entra身份验证强度 API 概述 |
管理租户范围的授权策略,例如: |
authorizationPolicy 资源类型 及其关联的 API |
在租户中管理基于证书的身份验证策略 | certificateBasedAuthConfiguration 资源类型 及其关联的 API |
管理Microsoft Entra条件访问策略 | conditionalAccessRoot 资源类型 及其关联的 API |
管理跨租户访问设置,并管理多租户组织中用户的出站限制、入站限制、租户限制和跨租户同步 | 请参阅 跨租户访问设置 API 概述 |
配置在用户身份验证会话期间如何以及哪些外部系统与Microsoft Entra ID交互 | customAuthenticationExtension 资源类型 及其关联的 API |
管理针对组织中用户数据的请求,例如导出个人数据 | dataPolicyOperation 资源类型 及其关联的 API |
强制自动登录以跳过用户名输入屏幕,并自动将用户转发到联合登录终结点 | homeRealmDiscoveryPolicy 资源类型 资源类型及其关联的 API |
使用Microsoft Entra ID 保护检测、调查和修正基于标识的风险,并将数据馈送到安全信息和事件管理中, (SIEM) 工具进行进一步调查和关联 | 请参阅 使用 Microsoft Graph 标识保护 API |
管理Microsoft Entra ID、Microsoft Entra 外部 ID和 Azure AD B2C 租户的标识提供者。 可以执行以下操作: |
identityProviderBase 资源类型 及其关联的 API |
使用 Microsoft Entra 外部 ID 邀请外部用户与租户协作 | 邀请资源类型 及其关联的 API |
定义属于组织的一组租户并简化组织内部跨租户协作 | 请参阅 多租户组织 API 概述 |
自定义登录 UI 以匹配公司品牌,包括应用基于浏览器语言的品牌打造 | 组织品牌资源类型 及其关联的 API |
劳动力租户中Microsoft Entra 外部 ID的用户流 | 以下资源类型及其关联的 API: |
外部租户中Microsoft Entra 外部 ID的用户流 | 以下资源类型及其关联的 API: |
管理应用同意策略和条件集 | permissionGrantPolicy 资源类型 |
在 Microsoft Entra ID 中启用或禁用安全默认值 | identitySecurityDefaultsEnforcementPolicy 资源类型 |
身份管理
有关详细信息,请参阅使用 Microsoft Graph 的Microsoft Entra ID 治理概述。
外部租户中的Microsoft Entra 外部 ID
支持以下 API 用例来自定义用户与面向客户的应用程序交互的方式。 对于管理员,大多数功能在 Microsoft Entra ID 中可用,也支持外部租户中的Microsoft Entra 外部 ID。 例如,域管理、应用程序管理和条件访问。
用例 | API 操作 |
---|---|
外部租户中的Microsoft Entra 外部 ID的用户流和自助注册体验 | authenticationEventsFlow 资源类型 及其关联的 API |
管理Microsoft Entra 外部 ID的标识提供者。 可以标识租户中支持或配置的标识提供者 | 请参阅 identityProviderBase 资源类型 及其关联的 API |
在外部租户的 Microsoft Entra 外部 ID 中配置自定义 URL 域 |
CustomUrlDomain
域资源类型及其关联 API 的 supportedServices 属性的值 |
自定义登录 UI 以匹配公司品牌,包括应用基于浏览器语言的品牌打造 | 组织品牌资源类型 及其关联的 API |
管理Microsoft Entra 外部 ID的标识提供者,例如社交标识 | identityProviderBase resoruce 类型 及其关联的 API |
在客户Microsoft Entra 外部 ID中管理用户配置文件 | 有关详细信息,请参阅 客户租户中的默认用户权限 |
通过与外部的系统集成,将自己的业务逻辑添加到身份验证体验Microsoft Entra ID | authenticationEventListener 资源类型和customAuthenticationExtension 资源类型 及其关联的 API |
合作伙伴租户管理
Microsoft Graph 还为云解决方案提供商中的Microsoft合作伙伴提供以下标识和访问功能, (CSP) 、增值经销商 (VAR) 或顾问计划,以帮助管理其客户租户。
用例 | API 操作 |
---|---|
管理合作伙伴与其客户的合同 | 协定资源类型 及其关联的 API |
Microsoft合作伙伴可以为其客户授权,以确保合作伙伴对其客户的租户具有最低特权访问权限。 此功能可让客户对其安全状况进行额外的控制,同时允许他们从Microsoft经销商获得支持 | 请参阅 (GDAP) API 概述的精细委派管理员权限 |
零信任
此功能可帮助组织使其租户与零信任体系结构的三个指导原则保持一致:
- 显式验证
- 使用最低特权
- 假定漏洞
若要详细了解零信任和其他使组织符合指导原则的方法,请参阅零信任指导中心。
授权
Microsoft Entra许可证包括 Microsoft Entra ID Free、P1、P2 和 Governance;Microsoft Entra 权限管理; 和 Microsoft Entra Workload ID。
有关不同功能许可的详细信息,请参阅Microsoft Entra ID许可。
相关内容
- 使用 Microsoft Entra ID 实现标识标准
- 面向独立软件开发人员的Microsoft Entra ID指南
- 查看Microsoft Entra部署计划,以帮助你制定部署Microsoft Entra功能套件的计划。