Compartir a través de


Administración de aplicaciones Microsoft Entra y entidades de servicio mediante Microsoft Graph

Microsoft Entra ID es un sistema de administración de identidades y acceso (IAM). Una parte fundamental de su funcionalidad es el Plataforma de identidad de Microsoft, que proporciona servicios de autenticación y autorización para aplicaciones registradas. Las API de Microsoft Graph le permiten registrar y administrar las aplicaciones mediante programación, lo que le permite usar las funcionalidades de IAM de Microsoft.

Aplicaciones y entidades de servicio

En Microsoft Entra, un objeto application y un objeto de entidad de servicio definen una aplicación. Solo hay un objeto de aplicación para la aplicación en Microsoft Entra, pero puede haber varios objetos de entidad de servicio para la aplicación.

El objeto de aplicación se encuentra en el inquilino donde se registró la aplicación. Se crea una entidad de servicio en todos los inquilinos donde se instala y usa la aplicación, incluido el inquilino donde está registrada la aplicación. Para obtener más información, consulte Objetos de aplicación y entidad de servicio en Microsoft Entra ID.

En Microsoft Graph, una aplicación se representa mediante el tipo de recurso de aplicación y una entidad de servicio se representa mediante el tipo de recurso servicePrincipal. Se puede acceder a los detalles de los dos objetos en el Centro de administración Microsoft Entra a través de los menúsAplicaciones> de identidad>Registros de aplicaciones yAplicaciones> de identidad>Aplicaciones empresariales, respectivamente.

Casos de uso de API para administrar aplicaciones

Los siguientes casos de uso de API son compatibles con la administración de aplicaciones a través del tipo de recurso de aplicación en Microsoft Graph.

Casos de uso Operaciones de API
Registro de una aplicación y configuración de sus propiedades básicas Create application
Configure las propiedades de la aplicación registrada, entre las que se incluyen:
  • Propiedades básicas, como el nombre para mostrar, el logotipo, las etiquetas
  • Permissions
  • Asignación de aplicaciones a usuarios: establecimiento de los URI de identificador básico
  • Las cuentas de Microsoft que admite la aplicación
  • Roles de aplicación
  • Update application
    Eliminación de una aplicación Delete application
    Administración de aplicaciones eliminadas
  • Enumerar deletedItems
  • Enumeración de propietarios deletedItems por parte de un usuario
  • Obtener elemento eliminado
  • Eliminar permanentemente
  • Restaurar elemento eliminado
  • Administración de credenciales de contraseña para una aplicación
  • application: addPassword
  • aplicación: removePassword
  • Administración de credenciales de identidad federada para una aplicación Inicio de la administración de credenciales de identidad federada con Microsoft Graph
    Administración de credenciales basadas en certificados para una aplicación
  • application: addKey
  • application: removeKey
  • Actualizar la propiedad keyCredentials mediante la operación de actualización de la API de la aplicación
  • Administración de extensiones de directorio en aplicaciones
  • tipo de recurso extensionProperty y sus métodos asociados. Para obtener más información, consulte Incorporación de datos personalizados a recursos mediante extensiones.
  • Seguimiento de los cambios en una aplicación
  • aplicación: delta
  • directoryObject: delta con el siguiente filtro ..?$filter=isof('microsoft.graph.application')
  • Administración de propietarios
  • Enumerar propietarios
  • Agregar propietario
  • Eliminar propietario
  • Administración de la comprobación del publicador
  • Establecer verifiedPublisher
  • Unset verifiedPublisher
  • Casos de uso de API para administrar entidades de servicio

    Los siguientes casos de uso de API son compatibles con la administración de entidades de servicio a través del tipo de recurso servicePrincipal en Microsoft Graph.

    Casos de uso Operaciones de API
    Registro de la entidad de servicio Crear servicePrincipal
    Configure las propiedades de una entidad de servicio, entre las que se incluyen:
  • Propiedades básicas, como el nombre para mostrar, el logotipo
  • Permissions
  • Configuración del modo sso
  • Actualizar servicePrincipal
    Eliminación de una entidad de servicio Eliminar servicePrincipal
    Administrar entidades de servicio eliminadas (ver, restaurar o eliminar permanentemente)
  • Enumerar deletedItems
  • Enumeración de elementos eliminados propiedad de un usuario
  • Obtener elemento eliminado
  • Eliminar permanentemente
  • Restaurar elemento eliminado
  • Administración de credenciales de contraseña para una entidad de servicio
  • servicePrincipal: addPassword
  • servicePrincipal: removePassword
  • Administración de credenciales basadas en certificados para una entidad de servicio
  • servicePrincipal: addKey
  • servicePrincipal: removePKey
  • Adición de un certificado de firma de token SAML
  • servicePrincipal: addTokenSigningCertificate
  • Seguimiento de los cambios en una entidad de servicio
  • servicePrincipal: delta
  • directoryObject: delta con el siguiente filtro ..?$filter=isof('microsoft.graph.servicePrincipal')
  • Administración de propietarios
  • Enumerar propietarios
  • Agregar propietario
  • Eliminar propietario
  • Plantillas de aplicación

    Las plantillas de aplicación son aplicaciones que están disponibles en la galería de aplicaciones de Microsoft Entra. Use el tipo de recurso applicationTemplate y sus métodos asociados para:

    • Identificación de aplicaciones desde la galería de aplicaciones
    • Identificación de aplicaciones por el modo sso que admiten
    • Creación de instancias de una aplicación y una entidad de servicio desde una galería de aplicaciones

    Directivas aplicables a aplicaciones y entidades de servicio

    Descripción de la directiva Operaciones de API Se aplica a
    Administrar Microsoft Entra ID protocolo de autenticación de Servicios de Escritorio remoto (RDS) tipo de recurso remoteDesktopSecurityConfiguration y sus métodos asociados Entidades de servicio
    Configuración de la directiva de tokens saml tipo de recurso tokenIssuancePolicy y sus métodos asociados Aplicaciones

    Entidades de servicio
    Configuración de directivas para tokens de acceso, SAML e id. Directiva de duración del token: tipo de recurso tokenLifetimePolicy y sus métodos asociados

    Directiva de emisión de tokens: tipo de recurso tokenIssuancePolicy y sus métodos asociados
    Aplicaciones

    Entidades de servicio
    Administración del tiempo de espera de sesión inactiva para aplicaciones web de Microsoft 365 para todos los tipos de dispositivo

    Nota: Para desencadenar la directiva solo para dispositivos no administrados, también debe agregar una directiva de acceso condicional.
    tipo de recurso activityBasedTimeoutPolicy y sus métodos asociados Aplicaciones web de Microsoft 365
    Administre las directivas para saber cómo se pueden usar los certificados y los secretos de contraseña en su organización. Cree directivas para todo el inquilino o directivas específicas de la aplicación, como bloquear el uso o restringir la duración de los secretos de contraseña o claves simétricas y aplicar entidades de certificación de confianza. Directivas de métodos de autenticación de aplicaciones Aplicaciones
    Administrar directivas de asignación de notificaciones para los protocolos WS-Fed, SAML, OAuth 2.0 y OpenID Connect, y las aplicaciones a las que se aplican las directivas tipo de recurso claimsMappingPolicy y sus métodos asociados Entidades de servicio
    Administrar la detección de dominio principal (HRD) para el inquilino y la asignación de la directiva a una entidad de servicio tipo de recurso homeRealmDiscoveryPolicy y sus métodos asociados Entidades de servicio

    Sincronización de identidades (aprovisionamiento)

    Las API de aprovisionamiento en Microsoft Graph le permiten automatizar y administrar el aprovisionamiento y desaprovisionamiento de identidades en los siguientes escenarios:

    • De la Active Directory local a la Microsoft Entra ID
    • Desde otros directorios en la nube hasta Microsoft Entra ID
    • Desde Microsoft Entra ID a aplicaciones en la nube como Dropbox, Salesforce, ServiceNow, etc.

    Para obtener más información, consulte Microsoft Entra introducción a la API de sincronización.