Compartilhar via


Gerenciar Microsoft Entra aplicativos e entidades de serviço usando o Microsoft Graph

Microsoft Entra ID é um sistema IAM (Gerenciamento de Identidade e Acesso). Uma parte central de sua funcionalidade é o plataforma de identidade da Microsoft, que fornece serviços de autenticação e autorização para aplicativos registrados. As APIs do Microsoft Graph permitem que você registre e gerencie seus aplicativos de forma programática, permitindo que você use os recursos de IAM da Microsoft.

Aplicativos e entidades de serviço

Em Microsoft Entra, um aplicativo é definido por um objeto de aplicativo e um objeto de entidade de serviço. Há apenas um objeto de aplicativo para seu aplicativo em Microsoft Entra, mas pode haver vários objetos de entidade de serviço para seu aplicativo.

O objeto do aplicativo está localizado no locatário onde o aplicativo foi registrado. Uma entidade de serviço é criada em cada locatário em que o aplicativo é instalado e usado, incluindo o locatário em que o aplicativo está registrado. Para obter mais informações, consulte Objetos de entidade de serviço e aplicativo no Microsoft Entra ID.

No Microsoft Graph, um aplicativo é representado pelo tipo de recurso do aplicativo e uma entidade de serviço é representada pelo tipo de recurso servicePrincipal. Os detalhes dos dois objetos podem ser acessados no centro de administração do Microsoft Entra por meio dos menus aplicativos Identity>Applications>Registros de aplicativo e Identity>Applications>Enterprise, respectivamente.

Casos de uso de API para gerenciar aplicativos

Os casos de uso da API a seguir têm suporte para gerenciar aplicativos por meio do tipo de recurso de aplicativo no Microsoft Graph.

Casos de uso Operações de API
Registrar um aplicativo e configurar suas propriedades básicas Criar aplicativo
Configurar propriedades para o aplicativo registrado, incluindo:
  • Propriedades básicas, como nome de exibição, logotipo, marcas
  • Permissões
  • Atribuir aplicativos aos usuários: defina as URIs básicas do identificador
  • As contas da Microsoft que o aplicativo dá suporte
  • Funções de aplicativo
  • Atualizar aplicativo
    Excluir um aplicativo Excluir aplicativo
    Gerenciar aplicativos excluídos
  • Lista deletedItems
  • Listar proprietários deletedItems por um usuário
  • Obter item excluído
  • Excluir permanentemente item
  • Restaurar item excluído
  • Gerenciar credenciais de senha para um aplicativo
  • aplicativo: addPassword
  • aplicativo: removePassword
  • Gerenciar credenciais de identidade federadas para um aplicativo Comece a gerenciar credenciais de identidade federadas usando o Microsoft Graph
    Gerenciar credenciais baseadas em certificado para um aplicativo
  • aplicativo: addKey
  • aplicativo: removeKey
  • Atualizar a propriedade keyCredentials por meio da operação de API do aplicativo de atualização
  • Gerenciar extensões de diretório em aplicativos
  • tipo de recurso extensionProperty e seus métodos associados. Para obter mais informações, confira Adicionar dados personalizados aos recursos usando extensões
  • Acompanhar alterações em um aplicativo
  • aplicativo: delta
  • directoryObject: delta com o seguinte filtro ..?$filter=isof('microsoft.graph.application')
  • Gerenciar proprietários
  • Listar proprietários
  • Adicionar proprietário
  • Remover proprietário
  • Gerenciar a verificação do editor
  • Definir verificadoPublisher
  • Desset verifiedPublisher
  • Casos de uso de API para gerenciar entidades de serviço

    Os casos de uso da API a seguir têm suporte para gerenciar entidades de serviço por meio do tipo de recurso servicePrincipal no Microsoft Graph.

    Casos de uso Operações de API
    Registrar entidade de serviço Criar servicePrincipal
    Configurar propriedades para uma entidade de serviço, incluindo:
  • Propriedades básicas, como nome de exibição, logotipo
  • Permissões
  • Configurar o modo SSO
  • Atualizar servicePrincipal
    Excluir uma entidade de serviço Excluir servicePrincipal
    Gerenciar entidades de serviço excluídas (exibir, restaurar ou excluir permanentemente)
  • Lista deletedItems
  • Lista deletedItems de propriedade de um usuário
  • Obter item excluído
  • Excluir permanentemente item
  • Restaurar item excluído
  • Gerenciar credenciais de senha para uma entidade de serviço
  • servicePrincipal: addPassword
  • servicePrincipal: removePassword
  • Gerenciar credenciais baseadas em certificado para uma entidade de serviço
  • servicePrincipal: addKey
  • servicePrincipal: removePKey
  • Adicionar um certificado de assinatura de token SAML
  • servicePrincipal: addTokenSigningCertificate
  • Acompanhar alterações em uma entidade de serviço
  • servicePrincipal: delta
  • directoryObject: delta com o seguinte filtro ..?$filter=isof('microsoft.graph.servicePrincipal')
  • Gerenciar proprietários
  • Listar proprietários
  • Adicionar proprietário
  • Remover proprietário
  • Modelos de aplicativo

    Modelos de aplicativo são aplicativos que estão disponíveis na galeria de aplicativos Microsoft Entra. Use o tipo de recurso applicationTemplate e seus métodos associados para:

    • Identificar aplicativos da galeria de aplicativos
    • Identificar aplicativos pelo modo SSO que eles dão suporte
    • Instanciar um aplicativo e uma entidade de serviço de uma galeria de aplicativos

    Políticas aplicáveis a aplicativos e entidades de serviço

    Descrição da política Operações de API Aplicável a
    Gerenciar Microsoft Entra ID protocolo de autenticação RDS (Remote Desktop Services) tipo de recurso remoteDesktopSecurityConfiguration e seus métodos associados Entidades de serviço
    Configurar a política de tokens SAML tokenIssuancePolicy tipo de recurso e seus métodos associados Aplicativos

    Entidades de serviço
    Configurar políticas para tokens de acesso, SAML e ID Política de tempo de vida do token – tipo de recurso tokenLifetimePolicy e seus métodos associados

    Política de emissão de token – tokenIssuancePolicy tipo de recurso e seus métodos associados
    Aplicativos

    Entidades de serviço
    Gerenciar o tempo limite de sessão ocioso para aplicativos Web do Microsoft 365, para todos os tipos de dispositivo

    Nota: Para disparar a política somente para dispositivos não gerenciados, você também precisa adicionar uma política de Acesso Condicional.
    tipo de recurso activityBasedTimeoutPolicy e seus métodos associados Aplicativos Web do Microsoft 365
    Gerencie políticas de como certificados e segredos de senha podem ser usados em sua organização. Criar políticas em todo o locatário ou políticas específicas do aplicativo, como bloquear o uso ou restringir o tempo de vida de segredos de senha ou chaves simétricas e impor autoridades de certificado confiáveis Políticas de métodos de autenticação de aplicativo Aplicativos
    Gerenciar políticas de mapeamento de declarações para protocolos WS-Fed, SAML, OAuth 2.0 e OpenID Connect e os aplicativos aos quais as políticas se aplicam tipo de recurso claimsMappingPolicy e seus métodos associados Entidades de serviço
    Gerenciar o HRD (Home Realm Discovery) para o locatário e a atribuição da política a uma entidade de serviço homeRealmDiscoveryPolicy tipo de recurso e seus métodos associados Entidades de serviço

    Sincronização de identidade (provisionamento)

    O provisionamento de APIs no Microsoft Graph permite automatizar e gerenciar o provisionamento e a desprovisionamento de identidades nos seguintes cenários:

    • Do Active Directory local ao Microsoft Entra ID
    • De outros diretórios de nuvem a Microsoft Entra ID
    • De Microsoft Entra ID a aplicativos de nuvem, como Dropbox, Salesforce, ServiceNow e muito mais

    Para obter mais informações, consulte Microsoft Entra visão geral da API de sincronização.