Administración de las funcionalidades de acceso de red e identidad de Microsoft Entra mediante Microsoft Graph
Importante
Las API de la versión /beta de Microsoft Graph están sujetas a cambios. No se admite el uso de estas API en aplicaciones de producción. Para determinar si una API está disponible en la versión 1.0, use el selector de Versión.
Con Microsoft Graph, puede administrar las funcionalidades de acceso de red y identidad, la mayoría de las cuales están disponibles a través de Microsoft Entra. Las API de Microsoft Graph le ayudan a automatizar las tareas de administración de acceso a la red e identidad e integrarse con cualquier aplicación, y son la alternativa mediante programación a los portales de administrador, como el Centro de administración de Microsoft Entra.
Microsoft Entra es una familia de funcionalidades de identidad y acceso a la red que están disponibles en los siguientes productos. Todas estas funcionalidades están disponibles a través de las API de Microsoft Graph:
- Identificador de Microsoft Entra que agrupa las funcionalidades de administración de identidades y acceso (IAM).
- Gobernanza de id. de Microsoft Entra
- Identificador externo de Microsoft Entra
- Identificador verificado de Microsoft Entra
- Administración de permisos de Microsoft Entra
- Acceso a Internet y acceso a la red de Microsoft Entra
Administrar identidades de usuario
Los usuarios son las identidades principales de cualquier solución de identidad y acceso. Puede administrar todo el ciclo de vida de los usuarios de su organización y sus derechos, como licencias o pertenencias a grupos, mediante las API de Microsoft Graph. Para obtener más información, consulte Trabajar con usuarios en Microsoft Graph.
Administrar grupos
Los grupos son los contenedores que permiten administrar de forma eficaz los derechos de las identidades como una unidad. Por ejemplo, a través de un grupo, puede conceder a los usuarios acceso a un recurso, como un sitio de SharePoint. O bien, puede concederles licencias para usar un servicio. Para obtener más información, consulte Trabajar con grupos en Microsoft Graph.
Administrar aplicaciones
Puede usar las API de Microsoft Graph para registrar y administrar las aplicaciones mediante programación, lo que le permite usar las funcionalidades de IAM de Microsoft. Para obtener más información, consulte Administración de aplicaciones y entidades de servicio de Microsoft Entra mediante Microsoft Graph.
Administración de inquilinos o administración de directorios
Una funcionalidad básica de administración de identidades y acceso es administrar la configuración del inquilino, los roles administrativos y la configuración. Microsoft Graph proporciona API para administrar el inquilino de Microsoft Entra en los siguientes escenarios:
| Casos de uso | Operaciones de API |
|---|---|
| Administrar unidades administrativas, incluidas las siguientes operaciones: |
tipo de recurso administrativeUnit y sus API asociadas |
| Recuperación de claves de recuperación de BitLocker | tipo de recurso bitlockerRecoveryKey y sus API asociadas |
| Supervisión de licencias y suscripciones para el inquilino | |
| Administración de atributos de seguridad personalizados | Consulte Introducción a los atributos de seguridad personalizados mediante Microsoft Graph API. |
| Administrar objetos de directorio eliminados. La funcionalidad para almacenar objetos eliminados en una "papelera de reciclaje" es compatible con los siguientes objetos: |
|
| Administración de dispositivos en la nube | tipo de recurso de dispositivo y sus API asociadas |
| Vea la información de credenciales de administrador local para todos los objetos de dispositivo en microsoft entra id. que están habilitados con la solución de contraseña de administrador local (LAPS). Esta característica es la solución LAPS basada en la nube | tipo de recurso deviceLocalCredentialInfo y sus API asociadas |
| Los objetos de directorio son los objetos principales del identificador de Microsoft Entra, como usuarios, grupos y aplicaciones. Puede usar el tipo de recurso directoryObject y sus API asociadas para comprobar la pertenencia de objetos de directorio, realizar un seguimiento de los cambios de varios objetos de directorio o validar que el nombre para mostrar o el alias de correo de un grupo de Microsoft 365 cumple con las directivas de nomenclatura. | tipo de recurso directoryObject y sus API asociadas |
| Los roles de administrador, incluidos los roles de administrador de Microsoft Entra, son uno de los recursos más confidenciales de un inquilino. Puede administrar el ciclo de vida de su asignación en el inquilino, incluida la creación de roles personalizados, la asignación de roles, el seguimiento de los cambios en las asignaciones de roles y la eliminación de los asignados de roles. |
tipo de recurso directoryRole y tipo de recurso directoryRoleTemplatey sus API asociadas tipo de recurso roleManagement y sus API asociadas Estas API permiten realizar asignaciones de roles directas. Como alternativa, puede usar las API de Privileged Identity Management para roles y grupos de Microsoft Entra para realizar asignaciones de roles just-in-time y con límite de tiempo, en lugar de asignaciones activas para siempre directas. |
| Defina las siguientes configuraciones que se pueden usar para personalizar las restricciones y el comportamiento permitidos específicos del espacio empresarial y del objeto. |
groupSetting resource type y groupSettingTemplate resource type y sus API asociadas Para obtener más información, consulte Información general sobre la configuración del grupo. |
| Operaciones de administración de dominios como: |
tipo de recurso domain y sus API asociadas |
| Configuración y administración del lanzamiento preconfigurado de características específicas de Microsoft Entra ID | tipo de recurso featureRolloutPolicy y sus API asociadas |
| Configurar las opciones que están disponibles en Microsoft Entra Cloud Sync, como evitar eliminaciones accidentales y administrar las escrituras diferida de grupos | tipo de recurso onPremisesDirectorySynchronization y sus API asociadas |
| Administración de la configuración base para el inquilino de Microsoft Entra | tipo de recurso de organización y sus API asociadas |
| Recuperar los contactos de la organización que se pueden sincronizar desde directorios locales o desde Exchange Online | Tipo de recurso orgContact y sus API asociadas |
| Descubra los detalles básicos de otros inquilinos de Microsoft Entra consultando mediante el identificador de inquilino o el nombre de dominio. | tipo de recurso tenantInformation y sus API asociadas |
| Administrar los permisos delegados y sus asignaciones a las entidades de servicio en el inquilino | Tipo de recurso oAuth2PermissionGrant y sus API asociadas |
Identidad e inicio de sesión
| Casos de uso | Operaciones de API |
|---|---|
| Configuración de agentes de escucha que supervisan eventos que deben desencadenar o invocar lógica personalizada, normalmente definidos fuera del identificador de Microsoft Entra | tipo de recurso authenticationEventListener y sus API asociadas |
| Administración de métodos de autenticación admitidos en microsoft entra id. | Consulte Introducción a la API de métodos de autenticación de Microsoft Entra y Introducción a la API de directivas de métodos de autenticación de Microsoft Entra |
| Administrar los métodos de autenticación o combinaciones de métodos de autenticación que puede aplicar como control de concesión en el acceso condicional de Microsoft Entra | Consulte Introducción a la API de puntos fuertes de autenticación de Microsoft Entra |
| Administrar directivas de autorización para todo el inquilino, como: |
tipo de recurso authorizationPolicy y sus API asociadas |
| Administración de las directivas para la autenticación basada en certificados en el inquilino | tipo de recurso certificateBasedAuthConfiguration y sus API asociadas |
| Administración de directivas de acceso condicional de Microsoft Entra | tipo de recurso conditionalAccessRoot y sus API asociadas |
| Administrar la configuración de acceso entre inquilinos y administrar las restricciones de salida, las restricciones de entrada, las restricciones de inquilinos y la sincronización entre inquilinos de los usuarios de organizaciones multiinquilino | Consulte Introducción a la API de configuración de acceso entre inquilinos |
| Configuración de cómo y qué sistemas externos interactúan con el identificador de Microsoft Entra durante una sesión de autenticación de usuario | Tipo de recurso customAuthenticationExtension y sus API asociadas |
| Administración de solicitudes contra datos de usuario en la organización, como la exportación de datos personales | tipo de recurso dataPolicyOperation y sus API asociadas |
| Forzar el inicio de sesión de aceleración automática para omitir la pantalla de entrada de nombre de usuario y reenviar automáticamente los usuarios a los puntos de conexión de inicio de sesión federados | tipo de recurso homeRealmDiscoveryPolicy y sus API asociadas |
| Detectar, investigar y corregir riesgos basados en identidades mediante Microsoft Entra ID Protection y alimentar los datos en herramientas de administración de eventos e información de seguridad (SIEM) para una mayor investigación y correlación | Consulte Uso de las API de protección de identidades de Microsoft Graph. |
| Administre los proveedores de identidades para los inquilinos de Microsoft Entra ID, Microsoft Entra External ID y Azure AD B2C. Puede realizar las siguientes operaciones: |
tipo de recurso identityProviderBase y sus API asociadas |
| Invitar a usuarios externos a colaborar con el inquilino mediante el identificador externo de Microsoft Entra | tipo de recurso invitation y sus API asociadas |
| Defina un grupo de inquilinos que pertenezcan a su organización y optimice la colaboración entre inquilinos entre organizaciones. | Consulte Introducción a la API de organización multiinquilino |
| Personalice las interfaces de usuario de inicio de sesión para que coincidan con la personalización de marca de su empresa, incluida la aplicación de personalización de marca basada en el idioma del explorador. | tipo de recurso organizationalBranding y sus API asociadas |
| Flujos de usuario para el identificador externo de Microsoft Entra en los inquilinos del personal | Los siguientes tipos de recursos y sus API asociadas: |
| Flujos de usuario para el identificador externo de Microsoft Entra en inquilinos externos | Los siguientes tipos de recursos y sus API asociadas: |
| Administración de directivas de consentimiento de aplicaciones y conjuntos de condiciones | tipo de recurso permissionGrantPolicy |
| Habilitación o deshabilitación de los valores predeterminados de seguridad en Microsoft Entra ID | tipo de recurso identitySecurityDefaultsEnforcementPolicy |
Gobierno de identidad
Para obtener más información, consulte Información general sobre la gobernanza de identificadores de Microsoft Entra mediante Microsoft Graph.
Identificador externo de Microsoft Entra en inquilinos externos
Los siguientes casos de uso de API se admiten para personalizar cómo interactúan los usuarios con las aplicaciones orientadas al cliente. Para los administradores, la mayoría de las características disponibles en Microsoft Entra ID y también se admiten para Microsoft Entra External ID en inquilinos externos. Por ejemplo, administración de dominios, administración de aplicaciones y acceso condicional.
| Casos de uso | Operaciones de API |
|---|---|
| Flujos de usuario para el identificador externo de Microsoft Entra en inquilinos externos y experiencias de registro de autoservicio | tipo de recurso authenticationEventsFlow y sus API asociadas |
| Administrar proveedores de identidades para el identificador externo de Microsoft Entra. Puede identificar los proveedores de identidades que se admiten o configuran en el inquilino. | Consulte el tipo de recurso identityProviderBase y sus API asociadas. |
| Configuración de dominios de dirección URL personalizados en el identificador externo de Microsoft Entra en inquilinos externos | Valor CustomUrlDomain de la propiedad supportedServices del tipo de recurso de dominio y sus API asociadas |
| Personalice las interfaces de usuario de inicio de sesión para que coincidan con la personalización de marca de su empresa, incluida la aplicación de personalización de marca basada en el idioma del explorador. | tipo de recurso organizationalBranding y sus API asociadas |
| Administración de proveedores de identidades para el identificador externo de Microsoft Entra, como identidades sociales | tipo de resoruce identityProviderBase y sus API asociadas |
| Administración de perfiles de usuario en Microsoft Entra External ID para clientes | Para obtener más información, consulte Permisos de usuario predeterminados en inquilinos de clientes. |
| Agregue su propia lógica de negocios a las experiencias de autenticación mediante la integración con sistemas externos a Microsoft Entra ID | tipo de recurso authenticationEventListener y tipo de recurso customAuthenticationExtension y sus API asociadas |
Administración de inquilinos de partners
Microsoft Graph también proporciona las siguientes funcionalidades de identidad y acceso para los asociados de Microsoft en los programas Proveedor de soluciones en la nube (CSP), Revendedor de valor agregado (VAR) o Advisor para ayudar a administrar sus inquilinos de clientes.
| Casos de uso | Operaciones de API |
|---|---|
| Administración de contratos para el asociado con sus clientes | tipo de recurso contract y sus API asociadas |
| Los asociados de Microsoft pueden capacitar a sus clientes para garantizar que los asociados tengan acceso con privilegios mínimos a los inquilinos de sus clientes. Esta característica proporciona control adicional a los clientes sobre su posición de seguridad, al tiempo que les permite recibir soporte técnico de los revendedores de Microsoft. | Consulte Introducción a la API de privilegios de administrador delegados granulares (GDAP) |
Licencias
Las licencias de Microsoft Entra incluyen Microsoft Entra ID Free, P1, P2 y Governance; Microsoft Entra Permissions Management; y el identificador de carga de trabajo de Microsoft Entra.
Para obtener información detallada sobre las licencias para diferentes características, consulte Licencias de Id. de Microsoft Entra.