Verwalten von Identitäts- und Netzwerkzugriffsfunktionen von Microsoft Entra mithilfe von Microsoft Graph
Wichtig
Die APIs unter der /beta Version in Microsoft Graph können sich ändern. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in v1.0 verfügbar ist, verwenden Sie die Version Selektor.
Mit Microsoft Graph können Sie Identitäts- und Netzwerkzugriffsfunktionen verwalten, von denen die meisten über Microsoft Entra verfügbar sind. Die APIs in Microsoft Graph helfen Ihnen, Identitäts- und Netzwerkzugriffsverwaltungsaufgaben zu automatisieren und in beliebige Anwendungen zu integrieren. Sie sind die programmgesteuerte Alternative zu den Administratorportalen wie dem Microsoft Entra Admin Center.
Microsoft Entra ist eine Familie von Identitäts- und Netzwerkzugriffsfunktionen, die in den folgenden Produkten verfügbar sind. Alle diese Funktionen sind über Microsoft Graph-APIs verfügbar:
- Microsoft Entra ID, die IAM-Funktionen (Identity and Access Management) gruppiert.
- Microsoft Entra ID Governance
- Externe Microsoft Entra-ID
- Microsoft Entra Verified ID
- Microsoft Entra Permissions Management
- Microsoft Entra Internet Access and Network Access
Verwalten von Benutzeridentitäten
Benutzer sind die Wichtigsten Identitäten in jeder Identitäts- und Zugriffslösung. Sie können den gesamten Lebenszyklus von Benutzern in Ihrer Organisation und deren Berechtigungen wie Lizenzen oder Gruppenmitgliedschaften mithilfe von Microsoft Graph-APIs verwalten. Weitere Informationen finden Sie unter Arbeiten mit Benutzern in Microsoft Graph.
Verwalten von Gruppen
Gruppen sind die Container, mit denen Sie die Berechtigungen für Identitäten effizient als Einheit verwalten können. Beispielsweise können Sie Benutzern über eine Gruppe Zugriff auf eine Ressource gewähren, z. B. auf eine SharePoint-Website. Alternativ können Sie ihnen Lizenzen für die Verwendung eines Diensts gewähren. Weitere Informationen finden Sie unter Arbeiten mit Gruppen in Microsoft Graph.
Verwalten von Anwendungen
Sie können Microsoft Graph-APIs verwenden, um Ihre Anwendungen programmgesteuert zu registrieren und zu verwalten, sodass Sie die IAM-Funktionen von Microsoft verwenden können. Weitere Informationen finden Sie unter Verwalten von Microsoft Entra-Anwendungen und -Dienstprinzipalen mithilfe von Microsoft Graph.
Mandantenverwaltung oder Verzeichnisverwaltung
Eine Kernfunktion der Identitäts- und Zugriffsverwaltung ist die Verwaltung Ihrer Mandantenkonfiguration, Administratorrollen und Einstellungen. Microsoft Graph bietet APIs zum Verwalten Ihres Microsoft Entra-Mandanten für die folgenden Szenarien:
| Anwendungsfälle | API-Vorgänge |
|---|---|
| Verwalten Sie Verwaltungseinheiten, einschließlich der folgenden Vorgänge: |
administrativeUnit-Ressourcentyp und die zugehörigen APIs |
| Abrufen von BitLocker-Wiederherstellungsschlüsseln | bitlockerRecoveryKey-Ressourcentyp und die zugehörigen APIs |
| Überwachen von Lizenzen und Abonnements für den Mandanten | |
| Verwalten von benutzerdefinierten Sicherheitsattributen | Weitere Informationen finden Sie unter Übersicht über benutzerdefinierte Sicherheitsattribute mit der Microsoft Graph-API. |
| Verwalten gelöschter Verzeichnisobjekte. Die Funktionalität zum Speichern gelöschter Objekte in einem "Papierkorb" wird für die folgenden Objekte unterstützt: |
|
| Verwalten von Geräten in der Cloud | Geräteressourcentyp und die zugehörigen APIs |
| Zeigen Sie Anmeldeinformationen für lokale Administratoranmeldeinformationen für alle Geräteobjekte in Microsoft Entra ID an, die mit der lokalen Administratorkennwortlösung (Local Admin Password Solution, LAPS) aktiviert sind. Dieses Feature ist die cloudbasierte LAPS-Lösung. | deviceLocalCredentialInfo-Ressourcentyp und die zugehörigen APIs |
| Verzeichnisobjekte sind die Kernobjekte in Microsoft Entra ID, z. B. Benutzer, Gruppen und Anwendungen. Sie können den Ressourcentyp directoryObject und die zugehörigen APIs verwenden, um Mitgliedschaften von Verzeichnisobjekten zu überprüfen, Änderungen für mehrere Verzeichnisobjekte nachzuverfolgen oder zu überprüfen, ob der Anzeigename oder E-Mail-Spitzname einer Microsoft 365-Gruppe den Benennungsrichtlinien entspricht. | directoryObject-Ressourcentyp und die zugehörigen APIs |
| Administratorrollen, einschließlich Microsoft Entra-Administratorrollen, sind eine der vertraulichsten Ressourcen in einem Mandanten. Sie können den Lebenszyklus ihrer Zuweisung im Mandanten verwalten, einschließlich des Erstellens benutzerdefinierter Rollen, Zuweisen von Rollen, Nachverfolgen von Änderungen an Rollenzuweisungen und Entfernen von Zugewiesenen aus Rollen. |
directoryRole-Ressourcentyp und directoryRoleTemplate-Ressourcentypund die zugehörigen APIs roleManagement-Ressourcentyp und die zugehörigen APIs Mit diesen APIs können Sie direkte Rollenzuweisungen vornehmen. Alternativ können Sie Privileged Identity Management-APIs für Microsoft Entra-Rollen und -Gruppen verwenden, um Just-in-Time- und zeitgebundene Rollenzuweisungen zu erstellen, anstatt direkte, für immer aktive Zuweisungen. |
| Definieren Sie die folgenden Konfigurationen, die verwendet werden können, um die mandantenweiten und objektspezifischen Einschränkungen und das zulässige Verhalten anzupassen. |
groupSetting-Ressourcentyp und groupSettingTemplate-Ressourcentyp und die zugehörigen APIs Weitere Informationen finden Sie unter Übersicht über Gruppeneinstellungen. |
| Domänenverwaltungsvorgänge wie: |
Domänenressourcentyp und zugehörige APIs |
| Konfigurieren und Verwalten des gestaffelten Rollouts bestimmter Microsoft Entra ID-Features | featureRolloutPolicy-Ressourcentyp und die zugehörigen APIs |
| Konfigurieren Sie optionen, die in Microsoft Entra Cloud Sync verfügbar sind, z. B. das Verhindern von versehentlichen Löschungen und das Verwalten von Gruppenrückschreiben. | onPremisesDirectorySynchronization-Ressourcentyp und die zugehörigen APIs |
| Verwalten der Basiseinstellungen für Ihren Microsoft Entra-Mandanten | Organisationsressourcentyp und die zugehörigen APIs |
| Abrufen der Organisationskontakte, die möglicherweise aus lokalen Verzeichnissen oder aus Exchange Online synchronisiert werden | orgContact-Ressourcentyp und die zugehörigen APIs |
| Ermitteln Sie die grundlegenden Details anderer Microsoft Entra-Mandanten, indem Sie die Mandanten-ID oder den Domänennamen abfragen. | tenantInformation-Ressourcentyp und die zugehörigen APIs |
| Verwalten der delegierten Berechtigungen und ihrer Zuweisungen zu Dienstprinzipalen im Mandanten | oAuth2PermissionGrant-Ressourcentyp und die zugehörigen APIs |
Identität und Anmeldung
| Anwendungsfälle | API-Vorgänge |
|---|---|
| Konfigurieren von Listenern, die Ereignisse überwachen, die benutzerdefinierte Logik auslösen oder aufrufen sollen, die in der Regel außerhalb von Microsoft Entra ID definiert ist | authenticationEventListener-Ressourcentyp und die zugehörigen APIs |
| Verwalten von Authentifizierungsmethoden, die in Microsoft Entra ID unterstützt werden | Weitere Informationen finden Sie unter Übersicht über die Api für Microsoft Entra-Authentifizierungsmethoden und Richtlinien für Microsoft Entra-Authentifizierungsmethoden. |
| Verwalten der Authentifizierungsmethoden oder Kombinationen von Authentifizierungsmethoden, die Sie als Gewährungssteuerung in Microsoft Entra Conditional Access anwenden können | Siehe Übersicht über die Microsoft Entra-Authentifizierungsstärken-API |
| Verwalten sie mandantenweite Autorisierungsrichtlinien, z. B.: |
authorizationPolicy-Ressourcentyp und die zugehörigen APIs |
| Verwalten der Richtlinien für die zertifikatbasierte Authentifizierung im Mandanten | certificateBasedAuthConfiguration-Ressourcentyp und die zugehörigen APIs |
| Verwalten von Microsoft Entra-Richtlinien für bedingten Zugriff | conditionalAccessRoot-Ressourcentyp und die zugehörigen APIs |
| Verwalten mandantenübergreifender Zugriffseinstellungen und Verwalten von Ausgangsbeschränkungen, eingehenden Einschränkungen, Mandanteneinschränkungen und mandantenübergreifender Synchronisierung von Benutzern in mehrinstanzenfähigen Organisationen | Weitere Informationen finden Sie unter Übersicht über mandantenübergreifende Zugriffseinstellungen. |
| Konfigurieren, wie und welche externen Systeme während einer Benutzerauthentifizierungssitzung mit microsoft Entra ID interagieren | customAuthenticationExtension-Ressourcentyp und die zugehörigen APIs |
| Verwalten von Anforderungen für Benutzerdaten in der Organisation, z. B. Exportieren personenbezogener Daten | dataPolicyOperation-Ressourcentyp und die zugehörigen APIs |
| Erzwingen der automatischen Anmeldung, um den Benutzernameneingabebildschirm zu überspringen und Benutzer automatisch an Verbundanmeldungsendpunkte weiterzuleiten | homeRealmDiscoveryPolicy ressourcentyp und die zugehörigen APIs |
| Erkennen, Untersuchen und Beheben identitätsbasierter Risiken mithilfe von Microsoft Entra ID Protection und Einspeisung der Daten in SIEM-Tools (Security Information and Event Management) zur weiteren Untersuchung und Korrelation | Weitere Informationen finden Sie unter Verwenden der Microsoft Graph Identity Protection-APIs. |
| Verwalten von Identitätsanbietern für Microsoft Entra ID, Externe Microsoft Entra-ID und Azure AD B2C-Mandanten. Sie können die folgenden Vorgänge ausführen: |
identityProviderBase-Ressourcentyp und die zugehörigen APIs |
| Einladen externer Benutzer zur Zusammenarbeit mit Ihrem Mandanten mithilfe der externen Microsoft Entra-ID | invitation-Ressourcentyp und die zugehörigen APIs |
| Definieren sie eine Gruppe von Mandanten, die zu Ihrer Organisation gehören, und optimieren Sie die mandantenübergreifende Zusammenarbeit innerhalb der Organisation. | Weitere Informationen finden Sie unter Übersicht über die API für mehrinstanzenfähige Organisationen. |
| Anpassen der Anmeldebenutzeroberfläche an Ihr Unternehmensbranding, einschließlich anwenden eines Brandings, das auf der Browsersprache basiert | organizationalBranding-Ressourcentyp und die zugehörigen APIs |
| Benutzerflows für die externe Microsoft Entra-ID in Mitarbeitermandanten | Die folgenden Ressourcentypen und die zugehörigen APIs: |
| Benutzerflows für die externe Microsoft Entra-ID in externen Mandanten | Die folgenden Ressourcentypen und die zugehörigen APIs: |
| Verwalten von App-Zustimmungsrichtlinien und -bedingungssätzen | Ressourcen-Typ „permissionGrantPolicy“ |
| Aktivieren oder Deaktivieren von Sicherheitsstandards in Microsoft Entra ID | identitySecurityDefaultsEnforcementPolicy-Ressourcentyp |
Identity Governance
Weitere Informationen finden Sie unter Übersicht über Microsoft Entra ID Governance mit Microsoft Graph.
Externe Microsoft Entra-ID in externen Mandanten
Die folgenden API-Anwendungsfälle werden unterstützt, um anzupassen, wie Benutzer mit Ihren kundenorientierten Anwendungen interagieren. Für Administratoren sind die meisten Features in Microsoft Entra ID verfügbar und werden auch für externe Microsoft Entra-ID in externen Mandanten unterstützt. Beispiel: Domänenverwaltung, Anwendungsverwaltung und bedingter Zugriff.
| Anwendungsfälle | API-Vorgänge |
|---|---|
| Benutzerflows für externe Microsoft Entra-ID in externen Mandanten und Self-Service-Registrierungsfunktionen | authenticationEventsFlow-Ressourcentyp und die zugehörigen APIs |
| Verwalten von Identitätsanbietern für die externe Microsoft Entra-ID. Sie können die Identitätsanbieter identifizieren, die im Mandanten unterstützt oder konfiguriert werden. | Weitere Informationen finden Sie unter identityProviderBase-Ressourcentyp und den zugehörigen APIs. |
| Konfigurieren benutzerdefinierter URL-Domänen in der externen Microsoft Entra-ID in externen Mandanten | Der CustomUrlDomain Wert für die supportedServices-Eigenschaft des Domänenressourcentyps und der zugehörigen APIs. |
| Anpassen der Anmeldebenutzeroberfläche an Ihr Unternehmensbranding, einschließlich anwenden eines Brandings, das auf der Browsersprache basiert | organizationalBranding-Ressourcentyp und die zugehörigen APIs |
| Verwalten von Identitätsanbietern für externe Microsoft Entra-ID, z. B. Social Media-Identitäten | identityProviderBase-Resoruce-Typ und die zugehörigen APIs |
| Verwalten von Benutzerprofilen in der externen Microsoft Entra-ID für Kunden | Weitere Informationen finden Sie unter Standardbenutzerberechtigungen in Kundenmandanten. |
| Hinzufügen Ihrer eigenen Geschäftslogik zu den Authentifizierungserfahrungen durch Integration in Systeme, die außerhalb von Microsoft Entra ID sind | authenticationEventListener-Ressourcentyp und customAuthenticationExtension-Ressourcentyp und die zugehörigen APIs |
Verwaltung von Partnermandanten
Microsoft Graph bietet auch die folgenden Identitäts- und Zugriffsfunktionen für Microsoft-Partner in den Programmen Cloud Solution Provider (CSP), Value Added Reseller (VAR) oder Advisor, um ihre Kundenmandanten zu verwalten.
| Anwendungsfälle | API-Vorgänge |
|---|---|
| Verwalten von Verträgen für den Partner mit seinen Kunden | contract-Ressourcentyp und die zugehörigen APIs |
| Microsoft-Partner können es ihren Kunden ermöglichen, sicherzustellen, dass die Partner den geringsten Zugriff auf die Mandanten ihrer Kunden haben. Dieses Feature bietet Kunden zusätzliche Kontrolle über ihren Sicherheitsstatus und ermöglicht es ihnen, Support von den Microsoft-Vertriebspartnern zu erhalten. | Siehe Übersicht über granulare delegierte Administratorrechte (GDAP) API |
Lizenzierung
Microsoft Entra-Lizenzen umfassen Microsoft Entra ID Free, P1, P2 und Governance. Microsoft Entra Permissions Management; und Microsoft Entra-Workload-ID.
Ausführliche Informationen zur Lizenzierung für verschiedene Features finden Sie unter Microsoft Entra ID-Lizenzierung.