Verwalten von Microsoft Entra Identität und Netzwerkzugriff mithilfe von Microsoft Graph

  • Artikel

Wichtig

Die APIs unter der /beta Version in Microsoft Graph können sich ändern. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in v1.0 verfügbar ist, verwenden Sie die Version Selektor.

Mit Microsoft Graph können Sie Identitäts- und Netzwerkzugriffsfunktionen verwalten, von denen die meisten über Microsoft Entra verfügbar sind. Die APIs in Microsoft Graph helfen Ihnen, Identitäts- und Netzwerkzugriffsverwaltungsaufgaben zu automatisieren und in jede Anwendung zu integrieren, und sind die programmatische Alternative zu den Administratorportalen wie dem Microsoft Entra Admin Center.

Microsoft Entra ist eine Familie von Identitäts- und Netzwerkzugriffsfunktionen, die in den folgenden Produkten verfügbar sind. Alle diese Funktionen sind über Microsoft Graph-APIs verfügbar:

  • Microsoft Entra ID, das IAM-Funktionen (Identity and Access Management) gruppiert.
  • Microsoft Entra ID Governance
  • Microsoft Entra External ID
  • Microsoft Entra Verified ID
  • Microsoft Entra Permissions Management
  • Microsoft Entra-Internetzugriff und Netzwerkzugriff

Verwalten von Benutzeridentitäten

Benutzer sind die Standard Identitäten in jeder Identitäts- und Zugriffslösung. Sie können den gesamten Lebenszyklus von Benutzern in Ihrem organization und deren Berechtigungen wie Lizenzen oder Gruppenmitgliedschaften mithilfe von Microsoft Graph-APIs verwalten. Weitere Informationen finden Sie unter Arbeiten mit Benutzern in Microsoft Graph.

Verwalten von Gruppen

Gruppen sind die Container, mit denen Sie die Berechtigungen für Identitäten als Einheit effizient verwalten können. Beispielsweise können Sie Benutzern über eine Gruppe Zugriff auf eine Ressource gewähren, z. B. auf eine SharePoint-Website. Alternativ können Sie ihnen Lizenzen für die Verwendung eines Diensts gewähren. Weitere Informationen finden Sie unter Arbeiten mit Gruppen in Microsoft Graph.

Verwalten von Anwendungen

Sie können Microsoft Graph-APIs verwenden, um Ihre Anwendungen programmgesteuert zu registrieren und zu verwalten, sodass Sie die IAM-Funktionen von Microsoft verwenden können. Weitere Informationen finden Sie unter Verwalten von Microsoft Entra Anwendungen und Dienstprinzipalen mithilfe von Microsoft Graph.

Mandantenverwaltung oder Verzeichnisverwaltung

Eine Kernfunktion der Identitäts- und Zugriffsverwaltung ist die Verwaltung Ihrer Mandantenkonfiguration, Administratorrollen und Einstellungen. Microsoft Graph bietet APIs zum Verwalten Ihres Microsoft Entra Mandanten für die folgenden Szenarien:

Anwendungsfälle API-Vorgänge
Verwalten Sie Verwaltungseinheiten, einschließlich der folgenden Vorgänge:
  • Create Verwaltungseinheiten
  • Create und Verwalten von Mitgliedern und Mitgliedschaftsregeln von Verwaltungseinheiten
  • Zuweisen von Administratorrollen, die auf Verwaltungseinheiten beschränkt sind
    		•  administrativeUnit-Ressourcentyp und die zugehörigen APIs
    Abrufen von BitLocker-Wiederherstellungsschlüsseln bitlockerRecoveryKey-Ressourcentyp und die zugehörigen APIs
    Überwachen von Lizenzen und Abonnements für den Mandanten
  • companySubscription-Ressourcentyp und die zugehörigen APIs
  • subscribedSku-Ressourcentyp und die zugehörigen APIs
    		•
    Verwalten von benutzerdefinierten Sicherheitsattributen Weitere Informationen finden Sie unter Übersicht über benutzerdefinierte Sicherheitsattribute mit microsoft Graph-API
    Verwalten gelöschter Verzeichnisobjekte. Die Funktionalität zum Speichern gelöschter Objekte in einem "Papierkorb" wird für die folgenden Objekte unterstützt:
  • Verwaltungseinheiten
  • Anwendungen
  • Externe Benutzerprofile
  • Gruppen
  • Ausstehende externe Benutzerprofile
  • Dienstprinzipale
  • Benutzer
    		•
  • Abrufen oder Auflisten gelöschter Objekte
  • Endgültiges Löschen eines gelöschten Objekts
  • Wiederherstellen eines gelöschten Elements
  • Gelöschte Elemente auflisten, die im Besitz des Benutzers sind
    		•
    Verwalten von Geräten in der Cloud Geräteressourcentyp und die zugehörigen APIs
    Zeigen Sie anmeldeinformationen für lokale Administratoren für alle Geräteobjekte in Microsoft Entra ID an, die mit der Lokalen Admin-Kennwortlösung (LAPS) aktiviert sind. Dieses Feature ist die cloudbasierte LAPS-Lösung. deviceLocalCredentialInfo-Ressourcentyp und die zugehörigen APIs
    Verzeichnisobjekte sind die Kernobjekte in Microsoft Entra ID, z. B. Benutzer, Gruppen und Anwendungen. Sie können den Ressourcentyp directoryObject und die zugehörigen APIs verwenden, um Mitgliedschaften von Verzeichnisobjekten zu überprüfen, Änderungen für mehrere Verzeichnisobjekte nachzuverfolgen oder zu überprüfen, ob der Anzeigename oder E-Mail-Spitzname einer Microsoft 365-Gruppe den Benennungsrichtlinien entspricht. directoryObject-Ressourcentyp und die zugehörigen APIs
    Administratorrollen, einschließlich Microsoft Entra Administratorrollen, sind eine der empfindlichsten Ressourcen in einem Mandanten. Sie können den Lebenszyklus ihrer Zuweisung im Mandanten verwalten, einschließlich des Erstellens benutzerdefinierter Rollen, Zuweisen von Rollen, Nachverfolgen von Änderungen an Rollenzuweisungen und Entfernen von Zugewiesenen aus Rollen. directoryRole-Ressourcentyp und directoryRoleTemplate-Ressourcentypund die zugehörigen APIs

    roleManagement-Ressourcentyp und die zugehörigen APIs

    Mit diesen APIs können Sie direkte Rollenzuweisungen vornehmen. Alternativ können Sie Privileged Identity Management-APIs für Microsoft Entra Rollen und Gruppen verwenden, um Just-in-Time- und zeitgebundene Rollenzuweisungen zu erstellen, anstatt direkte, für immer aktive Zuweisungen.
    Definieren Sie die folgenden Konfigurationen, die verwendet werden können, um die mandantenweiten und objektspezifischen Einschränkungen und das zulässige Verhalten anzupassen.
  • Einstellungen für Microsoft 365-Gruppen wie Gastbenutzerzugriff, Klassifizierungen und Benennungsrichtlinien
  • Kennwortregeleinstellungen wie Listen für gesperrte Kennwörter und Sperrdauer
  • Unzulässige Namen für Anwendungen, reservierte Wörter und blockierende Markenverletzungen
  • URL der Benutzerdefinierten Richtlinie für bedingten Zugriff
  • Einwilligungsrichtlinien wie Benutzer-Einwilligungsanforderungen, gruppenspezifische Zustimmung und Zustimmung für riskante Apps
    		•  directorySetting-Ressourcentyp und directorySettingTemplate-Ressourcentyp und die zugehörigen APIs

    Weitere Informationen finden Sie unter Übersicht über Gruppeneinstellungen.
    Domänenverwaltungsvorgänge wie:
  • Zuordnen einer Domäne zu Ihrem Mandanten
  • Abrufen von DNS-Einträgen
  • Überprüfen des Domänenbesitzes
  • Zuordnen bestimmter Dienste zu bestimmten Domänen
  • Löschen von Domänen
    		•  Domänenressourcentyp und zugehörige APIs
    Verwalten Sie die Profilobjekte für externe Benutzer, die Sie über Teams zur Zusammenarbeit eingeladen werden. Diese APIs ähneln nicht den Einladungs-APIs für Microsoft Entra External ID B2B-Zusammenarbeit. externalUserProfile-Ressourcentyp und pendingExternalUserProfile-Ressourcentyp und die zugehörigen APIs
    Konfigurieren und Verwalten des gestaffelten Rollouts bestimmter Microsoft Entra ID Features featureRolloutPolicy-Ressourcentyp und die zugehörigen APIs
    Verwalten der Richtlinien für mobile Geräteverwaltung (MDM) und mobile Anwendungsverwaltung (MAM) für Microsoft Entra eingebundene und registrierte Geräte mobilityManagementPolicy-Ressourcentyp und die zugehörigen APIs
    Konfigurieren Sie optionen, die in Microsoft Entra Cloudsynchronisierung verfügbar sind, z. B. das Verhindern versehentlicher Löschungen und das Verwalten von Gruppenrückschreiben. onPremisesDirectorySynchronization-Ressourcentyp und die zugehörigen APIs
    Verwalten der Basiseinstellungen für Ihren Microsoft Entra Mandanten organization Ressourcentyp und den zugehörigen APIs
    Verwalten Sie die mandantenweiten Einstellungen für Ihren Microsoft Entra Mandanten, z. B. ob Personen und Elementerkenntnisse für die organization organizationSettings-Ressourcentyp und die zugehörigen APIs
    Rufen Sie die Organisationskontakte ab, die möglicherweise aus lokalen Verzeichnissen oder aus Exchange Online orgContact-Ressourcentyp und die zugehörigen APIs
    Ermitteln Sie die grundlegenden Details anderer Microsoft Entra Mandanten, indem Sie die Mandanten-ID oder den Domänennamen abfragen. tenantInformation-Ressourcentyp und die zugehörigen APIs
    Konfigurieren Sie vertrauenswürdige Zertifizierungsstellen für Zertifikate, die Apps und Dienstprinzipalen im Mandanten zugewiesen werden können. certificateBasedApplicationConfiguration-Ressourcentyp und die zugehörigen APIs
    Verwalten der delegierten Berechtigungen und ihrer Zuweisungen zu Dienstprinzipalen im Mandanten oAuth2PermissionGrant-Ressourcentyp und die zugehörigen APIs

    Identität und Anmeldung

    Anwendungsfälle API-Vorgänge
    Konfigurieren sie Listener, die Ereignisse überwachen, die benutzerdefinierte Logik auslösen oder aufrufen sollen, die in der Regel außerhalb Microsoft Entra ID authenticationEventListener-Ressourcentyp und die zugehörigen APIs
    Verwalten von Authentifizierungsmethoden, die in Microsoft Entra ID unterstützt werden Weitere Informationen finden Sie unter übersicht über Microsoft Entra-Authentifizierungsmethoden-API und Microsoft Entra-Authentifizierungsmethoden-API.
    Verwalten der Authentifizierungsmethoden oder Kombinationen von Authentifizierungsmethoden, die Sie als Gewährungssteuerung in Microsoft Entra bedingten Zugriff anwenden können Siehe übersicht über Microsoft Entra-Authentifizierungsstärken-API
    Verwalten sie mandantenweite Autorisierungsrichtlinien, z. B.:
  • Aktivieren von SSPR für Administratorkonten
  • Aktivieren des Self-Service-Joins für Gäste
  • einschränken, wer Gäste einladen kann
  • Ob Benutzer riskanten Apps zustimmen können
  • Blockieren der Verwendung von MSOL
  • Anpassen der Standardbenutzerberechtigungen
  • Private Preview-Features für Identitäten aktiviert
  • Anpassen der Gastbenutzerberechtigungen zwischen Benutzer, Gastbenutzer und eingeschränktem Gastbenutzer
    		•  authorizationPolicy-Ressourcentyp und die zugehörigen APIs
    Konfigurieren der fortlaufenden Zugriffsauswertung (Continuous Access Evaluation, CAE), mit der Zugriffstoken basierend auf kritischen Ereignissen und Richtlinienauswertung widerrufen werden können, anstatt sich auf den Tokenablauf basierend auf der Lebensdauer zu verlassen continuousAccessEvaluationPolicy-Ressourcentyp und die zugehörigen APIs
    Verwalten der Richtlinien für die zertifikatbasierte Authentifizierung im Mandanten certificateBasedAuthConfiguration-Ressourcentyp und die zugehörigen APIs
    Verwalten Microsoft Entra Richtlinien für bedingten Zugriff conditionalAccessRoot-Ressourcentyp und die zugehörigen APIs
    Verwalten mandantenübergreifender Zugriffseinstellungen und Verwalten von Ausgangsbeschränkungen, eingehenden Einschränkungen, Mandanteneinschränkungen und mandantenübergreifender Synchronisierung von Benutzern in mehrinstanzenfähigen Organisationen Weitere Informationen finden Sie unter Übersicht über mandantenübergreifende Zugriffseinstellungen.
    Verwalten der Benutzerprofile, die für Sie oder externe Mandanten freigegeben werden, mithilfe der direkten B2B-Verbindung, einschließlich Entfernen und Exportieren personenbezogener Daten inboundSharedUserProfile-Ressourcentyp und outboundSharedUserProfile-Ressourcentyp und die zugehörigen APIs
    Konfigurieren, wie und welche externen Systeme während einer Benutzerauthentifizierungssitzung mit Microsoft Entra ID interagieren customAuthenticationExtension-Ressourcentyp und die zugehörigen APIs
    Verwalten von Anforderungen für Benutzerdaten im organization, z. B. Exportieren personenbezogener Daten dataPolicyOperation-Ressourcentyp und die zugehörigen APIs
    Konfigurieren der Richtlinien zum Verwalten Microsoft Entra Einbinden und Microsoft Entra Registrieren von Geräten deviceRegistrationPolicy-Ressourcentyp und die zugehörigen APIs
    Verwalten der mandantenweiten Richtlinie, die steuert, ob externe Benutzer einen Microsoft Entra Mandanten über Self-Service-Steuerelemente verlassen können, z. B. über das Organisationsmenü des Portals "Mein Konto". externalIdentitiesPolicy-Ressourcentyp und die zugehörigen APIs
    Erzwingen der automatischen Anmeldung, um den Benutzernameneingabebildschirm zu überspringen und Benutzer automatisch an Verbundanmeldungsendpunkte weiterzuleiten homeRealmDiscoveryPolicy ressourcentyp und die zugehörigen APIs
    Erkennen, Untersuchen und Beheben identitätsbasierter Risiken mithilfe von Microsoft Entra ID Protection und Einspeisung der Daten in SIEM-Tools (Security Information and Event Management) zur weiteren Untersuchung und Korrelation Weitere Informationen finden Sie unter Verwenden der Microsoft Graph Identity Protection-APIs.
    Verwalten von Identitätsanbietern für Microsoft Entra ID-, Microsoft Entra External ID- und Azure AD B2C-Mandanten Sie können die folgenden Vorgänge ausführen:
  • Verwalten von Identitätsanbietern für externe Identitäten, einschließlich Identitätsanbieter für soziale Netzwerke, OIDC, Apple, SAML/WS-Fed und integrierte Anbieter
  • Verwalten der Konfiguration für Verbunddomänen und Tokenüberprüfung
    		•  identityProviderBase-Ressourcentyp und die zugehörigen APIs
    Einladen externer Benutzer zur Zusammenarbeit mit Ihrem Mandanten mithilfe von Microsoft Entra External ID invitation-Ressourcentyp und die zugehörigen APIs
    Definieren Sie eine Gruppe von Mandanten, die zu Ihrem organization gehört, und optimieren Sie die organization mandantenübergreifende Zusammenarbeit. Weitere Informationen finden Sie unter Übersicht über mehrinstanzenfähige organization-API.
    Anpassen der Anmeldebenutzeroberfläche an Ihr Unternehmensbranding, einschließlich anwenden eines Brandings, das auf der Browsersprache basiert organizationalBranding-Ressourcentyp und die zugehörigen APIs
    Anpassen der Benutzeroberfläche/Benutzeroberfläche in Azure AD B2C mithilfe des Identity Experience Framework (IEF) trustFrameworkKeySet-Ressourcentyp und trustFrameworkPolicy-Ressourcentyp und die zugehörigen APIs
    Benutzerflows für Microsoft Entra External ID für Mitarbeiter Die folgenden Ressourcentypen und die zugehörigen APIs:
  • b2xIdentityUserFlow zum Konfigurieren des Basisbenutzerflows und seiner Eigenschaften wie Identitätsanbieter
  • identityUserFlowAttribute zum Verwalten integrierter und benutzerdefinierter Benutzerflowattribute
  • identityUserFlowAttributeAssignment zum Verwalten von Benutzerflowattributzuweisungen
  • userFlowLanguageConfiguration-Ressourcentyp zum Konfigurieren benutzerdefinierter Sprachen für Benutzerflows
    		•
    Benutzerflows für Azure AD B2C Die folgenden Ressourcentypen und die zugehörigen APIs:
  • b2cIdentityUserFlow zum Konfigurieren des Basisbenutzerflows und seiner Eigenschaften wie Identitätsanbieter
  • identityUserFlowAttribute zum Verwalten integrierter und benutzerdefinierter Benutzerflowattribute
  • identityUserFlowAttributeAssignment zum Verwalten von Benutzerflowattributzuweisungen
  • userFlowLanguageConfiguration-Ressourcentyp zum Konfigurieren benutzerdefinierter Sprachen für Benutzerflows
    		•
    Benutzerflows für Microsoft Entra External ID für externe Mandanten authenticationEventsFlow-Ressourcentyp und die zugehörigen APIs
    Verwalten von App-Zustimmungsrichtlinien und -bedingungssätzen Ressourcen-Typ „permissionGrantPolicy“
    Verwalten von Vorabgenehmigungsrichtlinien für die App-Zustimmung permissionGrantPreApprovalPolicy-Ressourcentyp
    Aktivieren oder Deaktivieren von Sicherheitsstandards in Microsoft Entra ID identitySecurityDefaultsEnforcementPolicy-Ressourcentyp

    Identity Governance

    Weitere Informationen finden Sie unter Übersicht über Microsoft Entra ID Governance mit Microsoft Graph.

    Microsoft Entra External ID für externe Mandanten

    Die folgenden API-Anwendungsfälle werden unterstützt, um anzupassen, wie Benutzer mit Ihren kundenorientierten Anwendungen interagieren. Für Administratoren sind die meisten Features in Microsoft Entra ID verfügbar und werden auch für Microsoft Entra External ID für externe Mandanten unterstützt. Beispiel: Domänenverwaltung, Anwendungsverwaltung und bedingter Zugriff.

    Anwendungsfälle API-Vorgänge
    Benutzerflows für Microsoft Entra External ID für externe Mandanten und Self-Service-Registrierungsfunktionen authenticationEventsFlow-Ressourcentyp und die zugehörigen APIs
    Verwalten von Identitätsanbietern für Microsoft Entra External ID. Sie können die Identitätsanbieter identifizieren, die im Mandanten unterstützt oder konfiguriert werden. Weitere Informationen finden Sie unter identityProviderBase-Resoruce-Typ und den zugehörigen APIs.
    Anpassen der Anmeldebenutzeroberfläche an Ihr Unternehmensbranding, einschließlich anwenden eines Brandings, das auf der Browsersprache basiert organizationalBranding-Ressourcentyp und die zugehörigen APIs
    Verwalten von Identitätsanbietern für Microsoft Entra External ID, z. B. Identitäten in sozialen Netzwerken identityProviderBase-Resoruce-Typ und die zugehörigen APIs
    Verwalten von Benutzerprofilen in Microsoft Entra External ID für Kunden Weitere Informationen finden Sie unter Standardbenutzerberechtigungen in Kundenmandanten.
    Fügen Sie den Authentifizierungserfahrungen Ihre eigene Geschäftslogik hinzu, indem Sie in Systeme integrieren, die außerhalb von Microsoft Entra ID authenticationEventListener-Ressourcentyp und customAuthenticationExtension-Ressourcentyp und die zugehörigen APIs

    Verwaltung von Multicloudberechtigungen

    Weitere Informationen finden Sie unter Ermitteln, Korrigieren und Überwachen von Berechtigungen in Multicloudinfrastrukturen mithilfe von Berechtigungsverwaltungs-APIs.

    Netzwerkzugriffsverwaltung

    Weitere Informationen finden Sie unter Schützen des Zugriffs auf cloudbasierte, öffentliche und private Apps mithilfe von Microsoft Graph-Netzwerkzugriffs-APIs.

    Verwaltung von Partnermandanten

    Mit Microsoft Graph können Sie auf Microsoft Entra Ressourcen zugreifen, um Szenarien wie das Verwalten von Administratorrollen (Verzeichnisrollen), das Einladen externer Benutzer zu einem organization und, wenn Sie ein Cloud Solution Provider (CSP) sind, die Verwaltung der Daten Ihrer Kunden zu ermöglichen. Microsoft Graph bietet auch Methoden, die Apps verwenden können, um beispielsweise Informationen zu den transitiven Gruppen- und Rollenmitgliedschaften von Benutzern zu ermitteln.

    Anwendungsfälle API-Vorgänge
    Verwalten von Verträgen für den Partner mit seinen Kunden contract-Ressourcentyp und die zugehörigen APIs
    Microsoft-Partner in den Programmen Cloud Solution Provider (CSP), Value Added Reseller (VAR) oder Advisor können es ihren Kunden ermöglichen, sicherzustellen, dass die Partner den geringsten Zugriff auf die Mandanten ihrer Kunden haben. Dieses Feature bietet Kunden zusätzliche Kontrolle über ihren Sicherheitsstatus und ermöglicht es ihnen, Support von den Microsoft-Vertriebspartnern zu erhalten. Siehe Übersicht über granulare delegierte Administratorrechte (GDAP) API

    Lizenzierung

    Microsoft Entra Lizenzen umfassen Microsoft Entra ID Free, P1, P2 und Governance; Microsoft Entra Permissions Management und Microsoft Entra Workload ID.

    Ausführliche Informationen zur Lizenzierung für verschiedene Features finden Sie unter Microsoft Entra ID Lizenzierung.

    Verwandte Inhalte