Administración de la identidad y el acceso a la red de Microsoft Entra mediante Microsoft Graph
Importante
Las API de la versión /beta de Microsoft Graph están sujetas a cambios. No se admite el uso de estas API en aplicaciones de producción. Para determinar si una API está disponible en la versión 1.0, use el selector de Versión.
Con Microsoft Graph, puede administrar las funcionalidades de acceso de red y identidad, la mayoría de las cuales están disponibles a través de Microsoft Entra. Las API de Microsoft Graph le ayudan a automatizar las tareas de administración de acceso a la red e identidad e integrarse con cualquier aplicación, y son la alternativa mediante programación a los portales de administrador, como el Centro de administración de Microsoft Entra.
Microsoft Entra es una familia de funcionalidades de identidad y acceso a la red que están disponibles en los siguientes productos. Todas estas funcionalidades están disponibles a través de las API de Microsoft Graph:
- Identificador de Microsoft Entra que agrupa las funcionalidades de administración de identidades y acceso (IAM).
- Gobernanza de id. de Microsoft Entra
- Identificador externo de Microsoft Entra
- Identificador verificado de Microsoft Entra
- Administración de permisos de Microsoft Entra
- Acceso a Internet y acceso a la red de Microsoft Entra
Administrar identidades de usuario
Los usuarios son las identidades principales de cualquier solución de identidad y acceso. Puede administrar todo el ciclo de vida de los usuarios de su organización y sus derechos, como licencias o pertenencias a grupos, mediante las API de Microsoft Graph. Para obtener más información, consulte Trabajar con usuarios en Microsoft Graph.
Administrar grupos
Los grupos son los contenedores que permiten administrar de forma eficaz los derechos de las identidades como una unidad. Por ejemplo, a través de un grupo, puede conceder a los usuarios acceso a un recurso, como un sitio de SharePoint. O bien, puede concederles licencias para usar un servicio. Para obtener más información, consulte Trabajar con grupos en Microsoft Graph.
Administrar aplicaciones
Puede usar las API de Microsoft Graph para registrar y administrar las aplicaciones mediante programación, lo que le permite usar las funcionalidades de IAM de Microsoft. Para obtener más información, consulte Administración de aplicaciones y entidades de servicio de Microsoft Entra mediante Microsoft Graph.
Administración de inquilinos o administración de directorios
Una funcionalidad básica de administración de identidades y acceso es administrar la configuración del inquilino, los roles administrativos y la configuración. Microsoft Graph proporciona API para administrar el inquilino de Microsoft Entra en los siguientes escenarios:
| Casos de uso | Operaciones de API |
|---|---|
| Administrar unidades administrativas, incluidas las siguientes operaciones: |
tipo de recurso administrativeUnit y sus API asociadas |
| Recuperación de claves de recuperación de BitLocker | tipo de recurso bitlockerRecoveryKey y sus API asociadas |
| Supervisión de licencias y suscripciones para el inquilino | |
| Administración de atributos de seguridad personalizados | Consulte Introducción a los atributos de seguridad personalizados mediante Microsoft Graph API. |
| Administrar objetos de directorio eliminados. La funcionalidad para almacenar objetos eliminados en una "papelera de reciclaje" es compatible con los siguientes objetos: |
|
| Administración de dispositivos en la nube | tipo de recurso de dispositivo y sus API asociadas |
| Vea la información de credenciales de administrador local para todos los objetos de dispositivo en microsoft entra id. que están habilitados con la solución de contraseña de administrador local (LAPS). Esta característica es la solución LAPS basada en la nube | tipo de recurso deviceLocalCredentialInfo y sus API asociadas |
| Los objetos de directorio son los objetos principales del identificador de Microsoft Entra, como usuarios, grupos y aplicaciones. Puede usar el tipo de recurso directoryObject y sus API asociadas para comprobar la pertenencia de objetos de directorio, realizar un seguimiento de los cambios de varios objetos de directorio o validar que el nombre para mostrar o el alias de correo de un grupo de Microsoft 365 cumple con las directivas de nomenclatura. | tipo de recurso directoryObject y sus API asociadas |
| Los roles de administrador, incluidos los roles de administrador de Microsoft Entra, son uno de los recursos más confidenciales de un inquilino. Puede administrar el ciclo de vida de su asignación en el inquilino, incluida la creación de roles personalizados, la asignación de roles, el seguimiento de los cambios en las asignaciones de roles y la eliminación de los asignados de roles. |
tipo de recurso directoryRole y tipo de recurso directoryRoleTemplatey sus API asociadas tipo de recurso roleManagement y sus API asociadas Estas API permiten realizar asignaciones de roles directas. Como alternativa, puede usar las API de Privileged Identity Management para roles y grupos de Microsoft Entra para realizar asignaciones de roles just-in-time y con límite de tiempo, en lugar de asignaciones activas para siempre directas. |
| Defina las siguientes configuraciones que se pueden usar para personalizar las restricciones y el comportamiento permitidos específicos del espacio empresarial y del objeto. |
directorySetting resource type y directorySettingTemplate resource type y sus API asociadas Para obtener más información, consulte Información general sobre la configuración del grupo. |
| Operaciones de administración de dominios como: |
tipo de recurso domain y sus API asociadas |
| Administre los objetos de perfil para los usuarios externos a los que está invitado a colaborar a través de Teams. Estas API no son similares a las API de invitación para la colaboración B2B del identificador externo de Microsoft Entra | tipo de recurso externalUserProfile y pendingExternalUserProfile y sus API asociadas |
| Configuración y administración del lanzamiento preconfigurado de características específicas de Microsoft Entra ID | tipo de recurso featureRolloutPolicy y sus API asociadas |
| Administrar las directivas para la administración de dispositivos móviles (MDM) y la inscripción automática de Administración de aplicaciones móviles (MAM) para dispositivos unidos y registrados a Microsoft Entra | tipo de recurso mobilityManagementPolicy y sus API asociadas |
| Configure las opciones disponibles en Microsoft Entra Cloud Sync, como la prevención de eliminaciones accidentales y la administración de escritura diferida de grupos. | tipo de recurso onPremisesDirectorySynchronization y sus API asociadas |
| Administración de la configuración base para el inquilino de Microsoft Entra | tipo de recurso de organización y sus API asociadas |
| Administrar la configuración de todo el inquilino para el inquilino de Microsoft Entra, como si las personas y la información de elementos están habilitados para la organización | tipo de recurso organizationSettings y sus API asociadas |
| Recuperar los contactos de la organización que se pueden sincronizar desde directorios locales o desde Exchange Online | Tipo de recurso orgContact y sus API asociadas |
| Descubra los detalles básicos de otros inquilinos de Microsoft Entra consultando mediante el identificador de inquilino o el nombre de dominio. | tipo de recurso tenantInformation y sus API asociadas |
| Configure entidades de certificación de confianza para los certificados que se pueden asignar a aplicaciones y entidades de servicio en el inquilino. | tipo de recurso certificateBasedApplicationConfiguration y sus API asociadas |
| Administrar los permisos delegados y sus asignaciones a las entidades de servicio en el inquilino | Tipo de recurso oAuth2PermissionGrant y sus API asociadas |
Identidad e inicio de sesión
| Casos de uso | Operaciones de API |
|---|---|
| Configuración de agentes de escucha que supervisan eventos que deben desencadenar o invocar lógica personalizada, normalmente definidos fuera del identificador de Microsoft Entra | tipo de recurso authenticationEventListener y sus API asociadas |
| Administración de métodos de autenticación admitidos en microsoft entra id. | Consulte Introducción a la API de métodos de autenticación de Microsoft Entra y Introducción a la API de directivas de métodos de autenticación de Microsoft Entra |
| Administrar los métodos de autenticación o combinaciones de métodos de autenticación que puede aplicar como control de concesión en el acceso condicional de Microsoft Entra | Consulte Introducción a la API de puntos fuertes de autenticación de Microsoft Entra |
| Administrar directivas de autorización para todo el inquilino, como: |
tipo de recurso authorizationPolicy y sus API asociadas |
| Configuración de la evaluación de acceso continuo (CAE), que permite revocar tokens de acceso en función de eventos críticos y evaluación de directivas en lugar de basarse en la expiración del token en función de la duración | tipo de recurso continuousAccessEvaluationPolicy y sus API asociadas |
| Administración de las directivas para la autenticación basada en certificados en el inquilino | tipo de recurso certificateBasedAuthConfiguration y sus API asociadas |
| Administración de directivas de acceso condicional de Microsoft Entra | tipo de recurso conditionalAccessRoot y sus API asociadas |
| Administrar la configuración de acceso entre inquilinos y administrar las restricciones de salida, las restricciones de entrada, las restricciones de inquilinos y la sincronización entre inquilinos de los usuarios de organizaciones multiinquilino | Consulte Introducción a la API de configuración de acceso entre inquilinos |
| Administrar los perfiles de usuario que se comparten con usted o con inquilinos externos mediante la conexión directa B2B, incluida la eliminación y exportación de datos personales | Tipo de recurso inboundSharedUserProfile y tipo de recurso outboundSharedUserProfile y sus API asociadas |
| Configuración de cómo y qué sistemas externos interactúan con el identificador de Microsoft Entra durante una sesión de autenticación de usuario | Tipo de recurso customAuthenticationExtension y sus API asociadas |
| Administración de solicitudes contra datos de usuario en la organización, como la exportación de datos personales | tipo de recurso dataPolicyOperation y sus API asociadas |
| Configuración de las directivas para administrar dispositivos de registro de Microsoft Entra y unión a Microsoft Entra | tipo de recurso deviceRegistrationPolicy y sus API asociadas |
| Administrar la directiva de todo el inquilino que controla si los usuarios externos pueden dejar un inquilino de Microsoft Entra a través de controles de autoservicio, por ejemplo, a través del menú organizaciones del portal Mi cuenta | tipo de recurso externalIdentitiesPolicy y sus API asociadas |
| Forzar el inicio de sesión de aceleración automática para omitir la pantalla de entrada de nombre de usuario y reenviar automáticamente los usuarios a los puntos de conexión de inicio de sesión federados | tipo de recurso homeRealmDiscoveryPolicy y sus API asociadas |
| Detectar, investigar y corregir riesgos basados en identidades mediante Microsoft Entra ID Protection y alimentar los datos en herramientas de administración de eventos e información de seguridad (SIEM) para una mayor investigación y correlación | Consulte Uso de las API de protección de identidades de Microsoft Graph. |
| Administre los proveedores de identidades para los inquilinos de Microsoft Entra ID, Microsoft Entra External ID y Azure AD B2C. Puede realizar las siguientes operaciones: |
tipo de recurso identityProviderBase y sus API asociadas |
| Invitar a usuarios externos a colaborar con el inquilino mediante el identificador externo de Microsoft Entra | tipo de recurso invitation y sus API asociadas |
| Defina un grupo de inquilinos que pertenezcan a su organización y optimice la colaboración entre inquilinos entre organizaciones. | Consulte Introducción a la API de organización multiinquilino |
| Personalice las interfaces de usuario de inicio de sesión para que coincidan con la personalización de marca de su empresa, incluida la aplicación de personalización de marca basada en el idioma del explorador. | tipo de recurso organizationalBranding y sus API asociadas |
| Personalización de la interfaz de usuario o experiencia de usuario en Azure AD B2C mediante Identity Experience Framework (IEF) | tipo de recurso trustFrameworkKeySet y tipo de recurso trustFrameworkPolicy y sus API asociadas |
| Flujos de usuario para el identificador externo de Microsoft Entra en los inquilinos del personal | Los siguientes tipos de recursos y sus API asociadas: |
| Flujos de usuario para Azure AD B2C | Los siguientes tipos de recursos y sus API asociadas: |
| Flujos de usuario para el identificador externo de Microsoft Entra en inquilinos externos | Los siguientes tipos de recursos y sus API asociadas: |
| Administración de directivas de consentimiento de aplicaciones y conjuntos de condiciones | tipo de recurso permissionGrantPolicy |
| Administración de directivas de preaplicación de consentimiento de aplicaciones | tipo de recurso permissionGrantPreApprovalPolicy |
| Habilitación o deshabilitación de los valores predeterminados de seguridad en Microsoft Entra ID | tipo de recurso identitySecurityDefaultsEnforcementPolicy |
Gobierno de identidad
Para obtener más información, consulte Información general sobre la gobernanza de identificadores de Microsoft Entra mediante Microsoft Graph.
Identificador externo de Microsoft Entra en inquilinos externos
Los siguientes casos de uso de API se admiten para personalizar cómo interactúan los usuarios con las aplicaciones orientadas al cliente. Para los administradores, la mayoría de las características disponibles en Microsoft Entra ID y también se admiten para Microsoft Entra External ID en inquilinos externos. Por ejemplo, administración de dominios, administración de aplicaciones y acceso condicional.
| Casos de uso | Operaciones de API |
|---|---|
| Flujos de usuario para el identificador externo de Microsoft Entra en inquilinos externos y experiencias de registro de autoservicio | tipo de recurso authenticationEventsFlow y sus API asociadas |
| Administrar proveedores de identidades para el identificador externo de Microsoft Entra. Puede identificar los proveedores de identidades que se admiten o configuran en el inquilino. | Consulte el tipo de recurso identityProviderBase y sus API asociadas. |
| Configuración de dominios de dirección URL personalizados en el identificador externo de Microsoft Entra en inquilinos externos | Valor CustomUrlDomain de la propiedad supportedServices del tipo de recurso de dominio y sus API asociadas |
| Personalice las interfaces de usuario de inicio de sesión para que coincidan con la personalización de marca de su empresa, incluida la aplicación de personalización de marca basada en el idioma del explorador. | tipo de recurso organizationalBranding y sus API asociadas |
| Administración de proveedores de identidades para el identificador externo de Microsoft Entra, como identidades sociales | tipo de resoruce identityProviderBase y sus API asociadas |
| Administración de perfiles de usuario en Microsoft Entra External ID para clientes | Para obtener más información, consulte Permisos de usuario predeterminados en inquilinos de clientes. |
| Agregue su propia lógica de negocios a las experiencias de autenticación mediante la integración con sistemas externos a Microsoft Entra ID | tipo de recurso authenticationEventListener y tipo de recurso customAuthenticationExtension y sus API asociadas |
Administración de permisos multinube
Para obtener más información, consulte Detección, corrección y supervisión de permisos en infraestructuras multinube mediante api de administración de permisos.
Administración del acceso a la red
Para obtener más información, consulte Protección del acceso a aplicaciones en la nube, públicas y privadas mediante las API de acceso a red de Microsoft Graph.
Administración de inquilinos de partners
Microsoft Graph también proporciona las siguientes funcionalidades de identidad y acceso para los asociados de Microsoft en los programas Proveedor de soluciones en la nube (CSP), Revendedor de valor agregado (VAR) o Advisor para ayudar a administrar sus inquilinos de clientes.
| Casos de uso | Operaciones de API |
|---|---|
| Administración de contratos para el asociado con sus clientes | tipo de recurso contract y sus API asociadas |
| Los asociados de Microsoft pueden capacitar a sus clientes para garantizar que los asociados tengan acceso con privilegios mínimos a los inquilinos de sus clientes. Esta característica proporciona control adicional a los clientes sobre su posición de seguridad, al tiempo que les permite recibir soporte técnico de los revendedores de Microsoft. | Consulte Introducción a la API de privilegios de administrador delegados granulares (GDAP) |
| Obtenga detecciones y alertas de seguridad para el abuso de entidades no autorizadas, las tomas de cuenta y el uso anómalo de las suscripciones de Azure en los inquilinos del cliente de los que es responsable. | Consulte Uso de la API de alertas de seguridad de asociados en Microsoft Graph |
Licencias
Las licencias de Microsoft Entra incluyen Microsoft Entra ID Free, P1, P2 y Governance; Microsoft Entra Permissions Management; y el identificador de carga de trabajo de Microsoft Entra.
Para obtener información detallada sobre las licencias para diferentes características, consulte Licencias de Id. de Microsoft Entra.