Arbeiten mit Azure Active Directory-Ressourcen in Microsoft Graph
Mit Microsoft Graph können Sie auf Azure Active Directory (Azure AD)-Ressourcen zugreifen, um z. B. folgende Szenarios zu unterstützen: Verwalten von Administratorrollen (Verzeichnisrollen), Einladen von Benutzern, die nicht zu einer Organisation gehören, und als Cloud-Lösungsanbieter (CSP) auch Verwalten der Daten Ihrer Kunden. Microsoft Graph bietet auch Methoden, die von Apps verwendet werden können, um beispielsweise Informationen über transitive Gruppen- und Rollenmitgliedschaften zu ermitteln.
Hinweis: Einige Azure AD-Ressourcen sind in anderen Abschnitten der API-Referenz dokumentiert. Weitere Informationen finden Sie unter Benutzer und Gruppen.
Authorization
Zum Aufrufen der Microsoft Graph-APIs für Azure AD-Ressourcen benötigt Ihre App die entsprechenden Berechtigungen. Viele der APIs, die in Azure AD-Ressourcen verfügbar gemacht werden, erfordern eine der Verzeichnisberechtigungen. Verzeichnisberechtigungen sind hochprivilegiert und erfordern immer die Zustimmung des Administrators.
Wenn Ihre App im Namen eines Benutzers agiert (delegierte Berechtigungen), muss dieser Benutzer ein Mitglied einer entsprechenden Administratorrolle sein, damit Ihre App viele der Azure AD-APIs erfolgreich aufrufen kann.
Weitere Informationen zu Berechtigungen, einschließlich delegierten und Anwendungsberechtigungen, finden Sie unter Berechtigungen.
Allgemeine Anwendungsfälle
In der folgenden Tabelle werden einige häufige Anwendungsfälle für Azure AD-Ressourcen aufgelistet.
| Anwendungsfälle | REST-Ressourcen | Siehe auch |
|---|---|---|
| Verzeichnisobjekt und Methoden | ||
directoryObject ist die Basisklasse, von der viele Verzeichnisressourcen wie Benutzer und Gruppen erben. Microsoft Graph macht mehrere Methoden verfügbar, mit denen Sie Informationen zu Benutzern, Gruppen und anderen Verzeichnisobjekten ermitteln können. Sie können beispielsweise überprüfen, ob eine transitive Mitgliedschaft in einer Liste von Gruppen vorhanden ist, alle Gruppen und Verzeichnisrollen zurückgeben, von denen ein Verzeichnisobjekt ein transitives Mitglied ist, oder alle Ressourcen eines angegebenen Typs (z. B. Benutzer oder Gruppe) aus einer Liste generischer Ressourcen-IDs abrufen. |
directoryObject | Nicht zutreffend |
| Verwalten von Verzeichnisrollen (Administratorrollen) | ||
| Aktivieren sie Verzeichnisrollen in einem Azure AD-Mandanten, und verwalten Sie Benutzermitgliedschaften in Verzeichnisrollen. Verzeichnisrollen werden auch als Administratorrollen bezeichnet. | directoryRole directoryRoleTemplate |
Zuweisen von Administratorrollen in Azure Active Directory |
| Vordefinierte Gruppeneinstellungen mandantenweit oder für einzelne Ressourceninstanzen anwenden. Gruppeneinstellungen steuern Verhalten wie blockierte Wortlisten für Gruppenanzeigenamen, ob Gastbenutzer Gruppenbesitzer sein können und vieles mehr. | groupSetting groupSettingTemplate |
Azure Active Directory-Cmdlets für die Konfiguration von Gruppeneinstellungen |
| Verwalten von Geräten | ||
| Verwalten Sie Geräte, die in der Organisation registriert sind. Geräte sind für Benutzer registriert und umfassen Elemente wie Laptops, Desktops, Tablets und Mobiltelefone. Geräte werden in der Regel mithilfe des Geräteregistrierungsdiensts oder von Microsoft Intune in der Cloud erstellt. Sie werden von Richtlinien für bedingten Zugriff für mehrstufige Authentifizierung verwendet. | device | Erste Schritte bei der Azure Active Directory-Geräteregistrierung. Was ist Intune? Registrieren von Geräten für die Verwaltung in Intune |
| Verwaltung von Partnermandanten | ||
| Abrufen von Informationen über Partnerschaften mit Kundenmandanten. Hinweis: Dies gilt nur für Partnermandanten. Partnermandanten sind Azure AD-Mandanten, die Microsoft-Partnern angehören, die entweder Teil des Microsoft Cloud Solution Provider-, Office 365 Syndication- oder Microsoft Advisor-Partnerprogramms sind. |
contract | Aufrufen von Microsoft Graph aus einer Anwendung eines Cloud-Lösungsanbieters |
| Verwalten von Domänen, die einem Mandanten zugeordnet sind. Domänenvorgänge ermöglichen Es Registrierungsstellen, die Domänenzuordnung für Dienste wie Microsoft 365 zu automatisieren. | domain | Hinzufügen eines benutzerdefinierten Domänennamens zu Azure Active Directory |
| Verwaltung von Mandanten | ||
| Rufen Sie Informationen über eine Organisation ab, z. B. die Unternehmensadresse, Kontakte für technische Fragen und Benachrichtigungen, die Dienstpläne, die die Organisation abonniert hat, sowie die Domänen, die mit dieser verknüpft sind. | organization | Nicht zutreffend |
| Ruft Informationen zu den Dienst-SKUs ab, die ein Unternehmen abonniert hat. | subscribedSku | Nicht zutreffend |
| Einladen externer (Gast)Benutzer zu einer Organisation. | invitation | Was ist die Azure AD B2B-Zusammenarbeit? |
| Verwalten Sie das Branding für die Anmeldungserfahrung einer Organisation. | organizationalbranding | Hinzufügen von Branding zur Anmeldeseite Ihrer Organisation bei Azure Active Directory |
| Zustimmungsanforderungen | ||
| Verwalten Sie den Workflow für Zustimmungsanforderungen für Benutzer, die versuchen, auf Apps zuzugreifen, für die Administratorautorisierung erforderlich ist. | API für Zustimmungsanforderungen | Konfigurieren des Workflows zur Administratorzustimmung |
Neuerungen
Informieren Sie sich über die aktuellsten neuen Features und Updates für diesen API-Satz.
Nächste Schritte
Verzeichnisressourcen und APIs können Ihnen neue Möglichkeiten eröffnen, mit Benutzern in Kontakt zu treten und deren Erfahrungen mit Microsoft Graph zu verwalten. So erhalten Sie weitere Informationen:
- Informieren Sie sich ausführlicher über die Methoden und Eigenschaften der Ressourcen, die für Ihr Szenario am hilfreichsten sind.
- Probieren Sie die API im Graph-Tester aus.
Benötigen Sie weitere Ideen? Sehen Sie sich an, wie unsere Partner Microsoft Graph verwenden.