Gérer l’identité Microsoft Entra et l’accès réseau à l’aide de Microsoft Graph
Importante
Les API sous la version /beta
dans Microsoft Graph sont susceptibles d’être modifiées. L’utilisation de ces API dans des applications de production n’est pas prise en charge. Pour déterminer si une API est disponible dans v1.0, utilisez le sélecteur Version .
Avec Microsoft Graph, vous pouvez gérer les fonctionnalités d’identité et d’accès réseau, dont la plupart sont disponibles via Microsoft Entra. Les API de Microsoft Graph vous aident à automatiser les tâches de gestion des identités et de l’accès réseau et à s’intégrer à n’importe quelle application, et constituent l’alternative programmatique aux portails d’administration tels que le Centre d’administration Microsoft Entra.
Microsoft Entra est une famille de fonctionnalités d’identité et d’accès réseau disponibles dans les produits suivants. Toutes ces fonctionnalités sont disponibles via les API Microsoft Graph :
- ID Microsoft Entra qui regroupe les fonctionnalités de gestion des identités et des accès (IAM).
- Gouvernance des ID Microsoft Entra
- ID externe Microsoft Entra
- Id vérifié Microsoft Entra
- Gestion des autorisations Microsoft Entra
- Accès à Internet et accès réseau Microsoft Entra
Gérer les identités des utilisateurs
Les utilisateurs sont les principales identités dans toute solution d’identité et d’accès. Vous pouvez gérer l’ensemble du cycle de vie des utilisateurs de votre organisation, ainsi que leurs droits, comme les licences ou les appartenances à un groupe, à l’aide des API Microsoft Graph. Pour plus d’informations, consultez Utilisation des utilisateurs dans Microsoft Graph.
Gérer les groupes
Les groupes sont les conteneurs qui vous permettent de gérer efficacement les droits pour les identités en tant qu’unité. Par exemple, via un groupe, vous pouvez accorder aux utilisateurs l’accès à une ressource, telle qu’un site SharePoint. Vous pouvez également leur accorder des licences pour utiliser un service. Pour plus d’informations, consultez Utilisation de groupes dans Microsoft Graph.
Gérer les applications
Vous pouvez utiliser les API Microsoft Graph pour inscrire et gérer vos applications par programmation, ce qui vous permet d’utiliser les fonctionnalités IAM de Microsoft. Pour plus d’informations, consultez Gérer les applications Microsoft Entra et les principaux de service à l’aide de Microsoft Graph.
Administration des locataires ou gestion d’annuaires
Une fonctionnalité de base de la gestion des identités et des accès est la gestion de la configuration de votre locataire, des rôles d’administration et des paramètres. Microsoft Graph fournit des API pour gérer votre locataire Microsoft Entra dans les scénarios suivants :
Cas d'utilisation | Opérations d’API |
---|---|
Gérez les unités administratives, notamment les opérations suivantes : |
type de ressource administrativeUnit et ses API associées |
Récupérer les clés de récupération BitLocker | Type de ressource bitlockerRecoveryKey et ses API associées |
Surveiller les licences et les abonnements pour le locataire | |
Gérer les attributs de sécurité personnalisés | Consultez Vue d’ensemble des attributs de sécurité personnalisés à l’aide de l’API Microsoft Graph |
Gérer les objets d’annuaire supprimés. La fonctionnalité permettant de stocker des objets supprimés dans une « corbeille » est prise en charge pour les objets suivants : |
|
Gérer les appareils dans le cloud | type de ressource d’appareil et ses API associées |
Afficher les informations d’identification de l’administrateur local pour tous les objets d’appareil dans l’ID Microsoft Entra activés avec la solution de mot de passe d’administrateur local (LAPS). Cette fonctionnalité est la solution LAPS basée sur le cloud | Type de ressource deviceLocalCredentialInfo et ses API associées |
Les objets d’annuaire sont les objets principaux dans l’ID Microsoft Entra, tels que les utilisateurs, les groupes et les applications. Vous pouvez utiliser le type de ressource directoryObject et ses API associées pour vérifier l’appartenance des objets d’annuaire, suivre les modifications apportées à plusieurs objets d’annuaire ou vérifier que le nom d’affichage ou le surnom de messagerie d’un groupe Microsoft 365 est conforme aux stratégies de nommage | Type de ressource directoryObject et ses API associées |
Les rôles d’administrateur, y compris les rôles d’administrateur Microsoft Entra, sont l’une des ressources les plus sensibles d’un locataire. Vous pouvez gérer le cycle de vie de leur attribution dans le locataire, y compris la création de rôles personnalisés, l’attribution de rôles, le suivi des modifications apportées aux attributions de rôles et la suppression de personnes ayant des attributions de rôles |
Type de ressource directoryRole et type de ressource directoryRoleTemplateet leurs API associées Type de ressource roleManagement et ses API associées Ces API vous permettent d’effectuer des attributions de rôles directes. Vous pouvez également utiliser les API Privileged Identity Management pour les rôles et les groupesMicrosoft Entra afin d’effectuer des attributions de rôles juste-à-temps et limitées dans le temps, au lieu d’attributions actives permanentes directes. |
Définissez les configurations suivantes qui peuvent être utilisées pour personnaliser les restrictions et le comportement autorisé à l’échelle du locataire et de l’objet. |
Type de ressource directorySetting et type de ressource directorySettingTemplate et leurs API associées Pour plus d’informations, consultez Vue d’ensemble des paramètres de groupe. |
Opérations de gestion de domaine telles que : |
type de ressource de domaine et ses API associées |
Gérez les objets de profil pour les utilisateurs externes que vous êtes invité à collaborer via Teams. Ces API ne sont pas similaires aux API d’invitation pour microsoft Entra External ID B2B Collaboration | type de ressource externalUserProfile et type de ressource pendingExternalUserProfile et leurs API associées |
Configurer et gérer le déploiement intermédiaire de fonctionnalités d’ID Microsoft Entra spécifiques | Type de ressource featureRolloutPolicy et ses API associées |
Gérer les stratégies pour la gestion des appareils mobiles (MDM) et la gestion des applications mobiles (GAM) auto-inscription pour les appareils joints et inscrits à Microsoft Entra | Type de ressource mobilityManagementPolicy et ses API associées |
Configurez les options disponibles dans Microsoft Entra Cloud Sync, telles que la prévention des suppressions accidentelles et la gestion des écritures différées de groupe. | Type de ressource onPremisesDirectorySynchronization et ses API associées |
Gérer les paramètres de base de votre locataire Microsoft Entra | type de ressource d’organisation et ses API associées |
Gérer les paramètres à l’échelle du locataire pour votre locataire Microsoft Entra, par exemple si les informations sur les personnes et les éléments sont activées pour l’organisation | Type de ressource organizationSettings et ses API associées |
Récupérer les contacts de l’organisation qui peuvent être synchronisés à partir d’annuaires locaux ou d’Exchange Online | Type de ressource orgContact et ses API associées |
Découvrez les détails de base des autres locataires Microsoft Entra en interrogeant à l’aide de l’ID de locataire ou du nom de domaine | Type de ressource tenantInformation et ses API associées |
Configurez des autorités de certification approuvées pour les certificats qui peuvent être affectés aux applications et aux principaux de service dans le locataire. | Type de ressource certificateBasedApplicationConfiguration et ses API associées |
Gérer les autorisations déléguées et leurs affectations aux principaux de service dans le locataire | Type de ressource oAuth2PermissionGrant et ses API associées |
Identité et connexion
Cas d'utilisation | Opérations d’API |
---|---|
Configurer des écouteurs qui surveillent les événements qui doivent déclencher ou appeler une logique personnalisée, généralement définie en dehors de l’ID Microsoft Entra | type de ressource authenticationEventListener et ses API associées |
Gérer les méthodes d’authentification prises en charge dans l’ID Microsoft Entra | Consultez Vue d’ensemble de l’API des méthodes d’authentification Microsoft Entra et Vue d’ensemble de l’API des méthodes d’authentification Microsoft Entra |
Gérer les méthodes d’authentification ou les combinaisons de méthodes d’authentification que vous pouvez appliquer en tant que contrôle d’octroi dans l’accès conditionnel Microsoft Entra | Consultez Vue d’ensemble de l’API microsoft Entra authentication strengths |
Gérer les stratégies d’autorisation à l’échelle du locataire, telles que : |
Type de ressource authorizationPolicy et ses API associées |
Configurer l’évaluation continue de l’accès (CAE), qui permet de révoquer les jetons d’accès en fonction des événements critiques et de l’évaluation de la stratégie plutôt que de compter sur l’expiration du jeton en fonction de la durée de vie | type de ressource continuousAccessEvaluationPolicy et ses API associées |
Gérer les stratégies pour l’authentification basée sur les certificats dans le locataire | Type de ressource certificateBasedAuthConfiguration et ses API associées |
Gérer les stratégies d’accès conditionnel Microsoft Entra | Type de ressource conditionalAccessRoot et ses API associées |
Gérer les paramètres d’accès interlocataire et gérer les restrictions de trafic sortant, les restrictions entrantes, les restrictions de locataire et la synchronisation entre locataires des utilisateurs dans les organisations multilocataires | Consultez Vue d’ensemble de l’API des paramètres d’accès interlocataire |
Gérer les profils utilisateur qui sont partagés avec vous ou des locataires externes à l’aide de la connexion directe B2B, y compris la suppression et l’exportation de données personnelles | type de ressource inboundSharedUserProfile et type de ressource outboundSharedUserProfile et leurs API associées |
Configurer comment et quels systèmes externes interagissent avec l’ID Microsoft Entra pendant une session d’authentification utilisateur | Type de ressource customAuthenticationExtension et ses API associées |
Gérer les demandes sur les données utilisateur dans l’organisation, telles que l’exportation de données personnelles | Type de ressource dataPolicyOperation et ses API associées |
Configurer les stratégies de gestion des appareils de jonction Microsoft Entra et d’inscription Microsoft Entra | Type de ressource deviceRegistrationPolicy et ses API associées |
Gérer la stratégie à l’échelle du locataire qui contrôle si les utilisateurs externes peuvent quitter un locataire Microsoft Entra via des contrôles en libre-service, par exemple, via le menu organisations du portail Mon compte | Type de ressource externalIdentitiesPolicy et ses API associées |
Forcer la connexion à l’accélération automatique pour ignorer l’écran d’entrée de nom d’utilisateur et transférer automatiquement les utilisateurs vers des points de terminaison de connexion fédérés | type de ressource homeRealmDiscoveryPolicy et ses API associées |
Détecter, examiner et corriger les risques basés sur l’identité à l’aide de Microsoft Entra ID Protection et alimenter les données dans les outils SIEM (Security Information and Event Management) pour approfondir l’examen et la corrélation | Consultez Utiliser les API de protection des identités Microsoft Graph. |
Gérer les fournisseurs d’identité pour l’ID Microsoft Entra, l’ID externe Microsoft Entra et les locataires Azure AD B2C. Vous pouvez effectuer les opérations suivantes : |
type de ressource identityProviderBase et ses API associées |
Inviter des utilisateurs externes à collaborer avec votre locataire à l’aide de l’ID externe Microsoft Entra | type de ressource invitation et ses API associées |
Définir un groupe de locataires appartenant à votre organisation et simplifier la collaboration interlocataire intra-organisation | Voir Vue d’ensemble de l’API d’organisation multilocataire |
Personnaliser les interfaces utilisateur de connexion pour qu’elles correspondent à la marque de votre entreprise, y compris l’application d’une personnalisation basée sur la langue du navigateur | type de ressource organizationalBranding et ses API associées |
Personnaliser l’interface utilisateur/l’expérience utilisateur dans Azure AD B2C à l’aide d’Identity Experience Framework (IEF) | Type de ressource trustFrameworkKeySet et type de ressource trustFrameworkPolicy et leurs API associées |
Flux d’utilisateurs pour l’ID externe Microsoft Entra dans les locataires du personnel | Les types de ressources suivants et leurs API associées : |
Flux d’utilisateurs pour Azure AD B2C | Les types de ressources suivants et leurs API associées : |
Flux d’utilisateurs pour l’ID externe Microsoft Entra dans les locataires externes | Les types de ressources suivants et leurs API associées : |
Gérer les stratégies de consentement d’application et les ensembles de conditions | Type de ressource permissionGrantPolicy |
Gérer les stratégies de pré-approbation du consentement de l’application | Type de ressource permissionGrantPreApprovalPolicy |
Activer ou désactiver les paramètres de sécurité par défaut dans l’ID Microsoft Entra | type de ressource identitySecurityDefaultsEnforcementPolicy |
Gouvernance des identités
Pour plus d’informations, consultez Vue d’ensemble de la gouvernance des ID Microsoft Entra à l’aide de Microsoft Graph.
ID externe Microsoft Entra dans les locataires externes
Les cas d’utilisation d’API suivants sont pris en charge pour personnaliser la façon dont les utilisateurs interagissent avec vos applications orientées client. Pour les administrateurs, la plupart des fonctionnalités disponibles dans l’ID Microsoft Entra et également prises en charge pour l’ID externe Microsoft Entra dans les locataires externes. Par exemple, la gestion de domaine, la gestion des applications et l’accès conditionnel.
Cas d'utilisation | Opérations d’API |
---|---|
Flux d’utilisateurs pour l’ID externe Microsoft Entra dans les locataires externes et les expériences d’inscription en libre-service | Type de ressource authenticationEventsFlow et ses API associées |
Gérer les fournisseurs d’identité pour l’ID externe Microsoft Entra. Vous pouvez identifier les fournisseurs d’identité pris en charge ou configurés dans le locataire | Consultez le type de ressource identityProviderBase et ses API associées |
Configuration de domaines d’URL personnalisés dans l’ID externe Microsoft Entra dans les locataires externes | Valeur CustomUrlDomain de la propriété supportedServices du type de ressource de domaine et de ses API associées |
Personnaliser les interfaces utilisateur de connexion pour qu’elles correspondent à la marque de votre entreprise, y compris l’application d’une personnalisation basée sur la langue du navigateur | type de ressource organizationalBranding et ses API associées |
Gérer les fournisseurs d’identité pour l’ID externe Microsoft Entra, tels que les identités sociales | identityProviderBase résoruce type et ses API associées |
Gérer les profils utilisateur dans l’ID externe Microsoft Entra pour les clients | Pour plus d’informations, consultez Autorisations utilisateur par défaut dans les locataires clients. |
Ajouter votre propre logique métier aux expériences d’authentification en l’intégrant à des systèmes externes à l’ID Microsoft Entra | type de ressource authenticationEventListener et typede ressource customAuthenticationExtension et leurs API associées |
Gestion des autorisations multicloud
Pour plus d’informations, consultez Découvrir, corriger et surveiller les autorisations dans les infrastructures multicloud à l’aide des API de gestion des autorisations.
Gestion de l’accès réseau
Pour plus d’informations, consultez Sécuriser l’accès aux applications cloud, publiques et privées à l’aide des API d’accès réseau Microsoft Graph.
Gérez les clients partenaires
Microsoft Graph fournit également les fonctionnalités d’identité et d’accès suivantes pour les partenaires Microsoft dans les programmes Fournisseur de solutions Cloud (CSP), VAR (Value Added Reseller) ou Advisor pour aider à gérer leurs locataires clients.
Cas d'utilisation | Opérations d’API |
---|---|
Gérer les contrats du partenaire avec ses clients | type de ressource de contrat et ses API associées |
Les partenaires Microsoft peuvent permettre à leurs clients de s’assurer qu’ils ont le moins de privilèges d’accès aux locataires de leurs clients. Cette fonctionnalité donne un contrôle supplémentaire aux clients sur leur posture de sécurité tout en leur permettant de recevoir le support des revendeurs Microsoft | Consultez Vue d’ensemble de l’API GDAP (Granular Delegated Admin Privileges) |
Obtenez des détections et des alertes de sécurité pour les abus non autorisés, les prise de contrôle de compte et l’utilisation anormale des abonnements Azure dans les locataires clients dont vous êtes responsable. | Consultez Utiliser l’API d’alerte de sécurité du partenaire dans Microsoft Graph |
Licences
Les licences Microsoft Entra incluent Microsoft Entra ID Free, P1, P2 et Gouvernance ; Gestion des autorisations Microsoft Entra ; et ID de charge de travail Microsoft Entra.
Pour plus d’informations sur la gestion des licences pour différentes fonctionnalités, consultez Gestion des licences d’ID Microsoft Entra.
Contenu connexe
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultezEnvoyer et afficher des commentaires pour