Partilhar via


Gerir as capacidades de acesso à rede e identidade do Microsoft Entra com o Microsoft Graph

Importante

As APIs na versão /beta no Microsoft Graph estão sujeitas a alterações. Não há suporte para o uso dessas APIs em aplicativos de produção. Para determinar se uma API está disponível na v1.0, use o seletor Versão.

Com o Microsoft Graph, pode gerir as capacidades de acesso de identidade e de rede, a maioria das quais estão disponíveis através do Microsoft Entra. As APIs no Microsoft Graph ajudam-no a automatizar tarefas de gestão de acesso de identidade e rede e a integrar-se em qualquer aplicação e são a alternativa programática aos portais de administrador, como o centro de administração do Microsoft Entra.

O Microsoft Entra é uma família de capacidades de acesso à rede e identidade que estão disponíveis nos seguintes produtos. Todas estas capacidades estão disponíveis através das APIs do Microsoft Graph:

  • ID do Microsoft Entra que agrupa as capacidades de gestão de identidades e acessos (IAM).
  • Governação do Microsoft Entra ID
  • ID Externo do Microsoft Entra
  • ID Verificado do Microsoft Entra
  • Gestão de Permissões do Microsoft Entra
  • Acesso à Internet e Acesso à Rede do Microsoft Entra

Gerenciar identidades de usuário

Os utilizadores são as principais identidades em qualquer solução de identidade e acesso. Pode gerir todo o ciclo de vida dos utilizadores na sua organização e os respetivos direitos, como licenças ou associações a grupos, através das APIs do Microsoft Graph. Para obter mais informações, consulte Trabalhar com utilizadores no Microsoft Graph.

Gerenciamento de grupos

Os grupos são os contentores que lhe permitem gerir eficientemente os direitos das identidades como uma unidade. Por exemplo, através de um grupo, pode conceder aos utilizadores acesso a um recurso, como um site do SharePoint. Em alternativa, pode conceder-lhes licenças para utilizar um serviço. Para obter mais informações, consulte Trabalhar com grupos no Microsoft Graph.

Gerenciar aplicativos

Pode utilizar as APIs do Microsoft Graph para registar e gerir as suas aplicações programaticamente, permitindo-lhe utilizar as capacidades de IAM da Microsoft. Para obter mais informações, veja Manage Microsoft Entra applications and service principals by using Microsoft Graph (Gerir aplicações e principais de serviço do Microsoft Entra com o Microsoft Graph).


Administração de inquilinos ou gestão de diretórios

Uma das principais funcionalidades da gestão de identidades e acessos é a gestão da configuração do inquilino, das funções administrativas e das definições. O Microsoft Graph fornece APIs para gerir o seu inquilino do Microsoft Entra para os seguintes cenários:

Casos de uso Operações de API
Gerir unidades administrativas, incluindo as seguintes operações:
  • Criar unidades administrativas
  • Criar e gerir membros e regras de associação de unidades administrativas
  • Atribuir funções de administrador que estão confinadas a unidades administrativas
  • administrativeUnit resource type and its associated APIs (tipo de recurso administrativeUnit) e as APIs associadas
    Obter chaves de recuperação BitLocker bitlockerRecoveryKey tipo de recurso e respetivas APIs associadas
    Monitorizar licenças e subscrições do inquilino
  • tipo de recurso companySubscription e respetivas APIs associadas
  • subscribedSku resource type and its associated APIs (Tipo de recurso subscribedSku e respetivas APIs associadas)
  • Gerir atributos de segurança personalizados Veja Descrição geral dos atributos de segurança personalizados com a Microsoft Graph API
    Gerir objetos de diretório eliminados. A funcionalidade para armazenar objetos eliminados numa "reciclagem" é suportada para os seguintes objetos:
  • Unidades administrativas
  • Aplicativos
  • Perfis de utilizador externos
  • Grupos
  • Perfis de utilizador externos pendentes
  • Entidades de serviço
  • Usuários
  • Obter ou Listar objetos eliminados
  • Eliminar permanentemente um objeto eliminado
  • Restaurar um item eliminado
  • Listar itens excluídos pertencentes ao usuário
  • Gerir dispositivos na cloud o tipo de recurso do dispositivo e as respetivas APIs associadas
    Veja as informações de credenciais do administrador local para todos os objetos de dispositivo no Microsoft Entra ID que estão ativados com a Solução de Palavra-passe de Administrador Local (LAPS). Esta funcionalidade é a solução laps baseada na cloud deviceLocalCredentialInfo tipo de recurso e respetivas APIs associadas
    Os objetos de diretório são os objetos principais no ID do Microsoft Entra, como utilizadores, grupos e aplicações. Pode utilizar o tipo de recurso directoryObject e as respetivas APIs associadas para verificar as associações de objetos de diretório, controlar as alterações de múltiplos objetos de diretório ou confirmar que o nome a apresentar ou a alcunha de correio de um grupo do Microsoft 365 está em conformidade com as políticas de nomenclatura tipo de recurso directoryObject e respetivas APIs associadas
    As funções de administrador, incluindo as funções de administrador do Microsoft Entra, são um dos recursos mais confidenciais num inquilino. Pode gerir o ciclo de vida das respetivas atribuições no inquilino, incluindo a criação de funções personalizadas, a atribuição de funções, o controlo de alterações às atribuições de funções e a remoção de atribuições de funções directoryRole resource type and directoryRoleTemplate resource typeand their associated APIs

    roleManagement resource type and its associated APIs (tipo de recurso roleManagement e respetivas APIs associadas)

    Estas APIs permitem-lhe efetuar atribuições de funções diretas. Em alternativa, pode utilizar AS APIs do Privileged Identity Management para funções e grupos do Microsoft Entra para efetuar atribuições de funções just-in-time e com limite de tempo, em vez de atribuir atribuições diretas para sempre ativas.
    Defina as seguintes configurações que podem ser utilizadas para personalizar as restrições específicas do inquilino e do objeto e o comportamento permitido.
  • Definições para grupos do Microsoft 365, tais como acesso de utilizador convidado, classificações e políticas de nomenclatura
  • Definições de regras de palavra-passe, como listas de palavras-passe banidas e duração do bloqueio
  • Nomes proibidos para aplicações, palavras reservadas e violações de marcas registadas de bloqueio
  • URL de política de acesso condicional personalizado
  • Políticas de consentimento, como pedidos de consentimento do utilizador, consentimento específico do grupo e consentimento para aplicações de risco
  • groupSetting resource type and groupSettingTemplate resource type and their associated APIs

    Para obter mais informações, veja Descrição geral das definições de grupo.
    Operações de gestão de domínios, tais como:
  • associar um domínio ao seu inquilino
  • obter registos DNS
  • verificar a propriedade do domínio
  • associar serviços específicos a domínios específicos
  • eliminar domínios
  • tipo de recurso de domínio e respetivas APIs associadas
    Configurar e gerir a implementação faseada de funcionalidades específicas do Microsoft Entra ID featureRolloutPolicy tipo de recurso e respetivas APIs associadas
    Configurar opções disponíveis no Microsoft Entra Cloud Sync, como impedir eliminações acidentais e gerir repetições de escrita de grupos onPremisesDirectorySynchronization resource type and its associated APIs (Tipo de recurso onPremisesDirectorySynchronization ) e as APIs associadas
    Gerir as definições base do seu inquilino do Microsoft Entra o tipo de recurso da organização e as respetivas APIs associadas
    Obter os contactos organizacionais que podem ser sincronizados a partir de diretórios no local ou do Exchange Online orgContact resource type and its associated APIs (tipo de recurso orgContact ) e respetivas APIs associadas
    Descubra os detalhes básicos de outros inquilinos do Microsoft Entra ao consultar com o ID do inquilino ou o nome de domínio tenantInformation resource type and its associated APIs (tipo de recurso tenantInformation) e as APIs associadas
    Gerir as permissões delegadas e as respetivas atribuições a principais de serviço no inquilino oAuth2PermissionGrant tipo de recurso e respetivas APIs associadas

    Identidade e entrada

    Casos de uso Operações de API
    Configurar serviços de escuta que monitorizam eventos que devem acionar ou invocar lógica personalizada, normalmente definida fora do ID do Microsoft Entra authenticationEventListener resource type and its associated APIs (tipo de recurso authenticationEventListener ) e as APIs associadas
    Gerir métodos de autenticação suportados no Microsoft Entra ID Veja Descrição geral da API de métodos de autenticação do Microsoft Entra e Descrição geral das políticas da API de métodos de autenticação do Microsoft Entra
    Gerir os métodos de autenticação ou combinações de métodos de autenticação que pode aplicar como controlo de concessão no Acesso Condicional do Microsoft Entra Veja Descrição geral da API de pontos fortes de autenticação do Microsoft Entra
    Gerir políticas de autorização ao nível do inquilino, tais como:
  • ativar a SSPR para contas de administrador
  • ativar a associação self-service para convidados
  • limitar quem pode convidar convidados
  • se os utilizadores podem consentir aplicações de risco
  • bloquear a utilização do MSOL
  • personalizar as permissões de utilizador predefinidas
  • funcionalidades de pré-visualização privada de identidade ativadas
  • Personalizar as permissões de utilizador convidado entre Utilizador, Utilizador Convidado e Utilizador Convidado Restrito
  • authorizationPolicy resource type and its associated APIs (tipo de recurso authorizationPolicy e respetivas APIs associadas)
    Gerir as políticas de autenticação baseada em certificados no inquilino certificateBasedAuthConfiguration resource type and its associated APIs (tipo de recurso certificateBasedAuthConfiguration ) e as APIs associadas
    Gerir políticas de acesso condicional do Microsoft Entra conditionalAccessRoot resource type and its associated APIs (tipo de recurso conditionalAccessRoot ) e as APIs associadas
    Gerir definições de acesso entre inquilinos e gerir restrições de saída, restrições de entrada, restrições de inquilinos e sincronização entre inquilinos de utilizadores em organizações multi-inquilino Veja Descrição geral da API de definições de acesso entre inquilinos
    Configurar como e que sistemas externos interagem com o Microsoft Entra ID durante uma sessão de autenticação de utilizador customAuthenticationExtension tipo de recurso e respetivas APIs associadas
    Gerir pedidos de dados de utilizador na organização, como exportar dados pessoais dataPolicyOperation tipo de recurso e respetivas APIs associadas
    Forçar o início de sessão de gestão automática para ignorar o ecrã de entrada de nome de utilizador e reencaminhar automaticamente os utilizadores para pontos finais de início de sessão federados homeRealmDiscovery Tipo de recurso Do tipo de recursoPolicy e respetivas APIs associadas
    Detetar, investigar e remediar riscos baseados na identidade com a Proteção do Microsoft Entra ID e alimentar os dados em ferramentas de gestão de informações e eventos de segurança (SIEM) para uma investigação e correlação mais aprofundadas Veja Utilizar as APIs de proteção de identidade do Microsoft Graph
    Gerir fornecedores de identidade para inquilinos do Microsoft Entra ID, Microsoft Entra External ID e Azure AD B2C. Pode realizar as seguintes operações:
  • Gerir fornecedores de identidade para identidades externas, incluindo fornecedores de identidade social, OIDC, Apple, SAML/WS-Fed e fornecedores incorporados
  • Gerir a configuração de domínios federados e validação de tokens
  • identityProviderBase resource type and its associated APIs (tipo de recurso identityProviderBase e as respetivas APIs associadas)
    Convidar utilizadores externos para colaborar com o seu inquilino com o ID Externo do Microsoft Entra tipo de recurso de convite e respetivas APIs associadas
    Definir um grupo de inquilinos pertencentes à sua organização e simplificar a colaboração entre inquilinos intra-organização Veja Descrição geral da API da organização multi-inquilino
    Personalizar UIs de início de sessão para corresponder à imagem corporativa da sua empresa, incluindo a aplicação de imagem corporativa baseada no idioma do browser organizationalBranding resource type and its associated APIs (tipo de recurso organizationalBranding ) e as APIs associadas
    Fluxos de utilizador para o ID Externo do Microsoft Entra em inquilinos da força de trabalho Os seguintes tipos de recursos e as respetivas APIs associadas:
  • b2xIdentityUserFlow para configurar o fluxo de utilizador base e as respetivas propriedades, como fornecedores de identidade
  • identityUserFlowAttribute para gerir atributos de fluxo de utilizador incorporados e personalizados
  • identityUserFlowAttributeAssignment para gerir atribuições de atributos de fluxo de utilizador
  • userFlowLanguageConfiguration tipo de recurso para configurar idiomas personalizados para fluxos de utilizador
  • Fluxos de utilizador para o ID Externo do Microsoft Entra em inquilinos externos Os seguintes tipos de recursos e as respetivas APIs associadas:
  • authenticationEventsFlow tipo de recurso e respetivas APIs associadas
  • identityUserFlowAttribute para gerir atributos de fluxo de utilizador incorporados e personalizados
  • Gerir políticas de consentimento de aplicações e conjuntos de condições tipo de recurso permissionGrantPolicy
    Ativar ou desativar as predefinições de segurança no Microsoft Entra ID identitySecurityDefaultsEnforcementPolicy resource type (tipo de recurso identitySecurityDefaultsEnforcementPolicy)

    Governança de identidade

    Para obter mais informações, veja Overview of Microsoft Entra ID Governance using Microsoft Graph (Descrição geral da Governação do Microsoft Entra ID com o Microsoft Graph).

    ID Externo do Microsoft Entra em inquilinos externos

    Os seguintes casos de utilização da API são suportados para personalizar a forma como os utilizadores interagem com as aplicações destinadas ao cliente. Para administradores, a maioria das funcionalidades disponíveis no Microsoft Entra ID e também suportadas para o ID Externo do Microsoft Entra em inquilinos externos. Por exemplo, gestão de domínios, gestão de aplicações e acesso condicional.

    Casos de uso Operações de API
    Fluxos de utilizador para o ID Externo do Microsoft Entra em inquilinos externos e experiências de inscrição self-service authenticationEventsFlow tipo de recurso e respetivas APIs associadas
    Gerir fornecedores de identidade para o ID Externo do Microsoft Entra. Pode identificar os fornecedores de identidade suportados ou configurados no inquilino Veja identityProviderBase resource type (Tipo de recurso identityProviderBase ) e as APIs associadas
    Configurar domínios de URL personalizados no ID Externo do Microsoft Entra em inquilinos externos O CustomUrlDomain valor para a propriedade supportedServices do tipo de recurso de domínio e as respetivas APIs associadas
    Personalizar UIs de início de sessão para corresponder à imagem corporativa da sua empresa, incluindo a aplicação de imagem corporativa baseada no idioma do browser organizationalBranding resource type and its associated APIs (tipo de recurso organizationalBranding ) e as APIs associadas
    Gerir fornecedores de identidade para o ID Externo do Microsoft Entra, como identidades sociais identityProviderBase tipo de resoruce e respetivas APIs associadas
    Gerir perfis de utilizador no ID Externo do Microsoft Entra para clientes Para obter mais informações, veja Permissões de utilizador predefinidas nos inquilinos do cliente
    Adicione a sua própria lógica de negócio às experiências de autenticação ao integrar com sistemas externos ao Microsoft Entra ID authenticationEventListener tipo de recurso e tipo de recurso customAuthenticationExtension e respetivas APIs associadas

    Gerenciamento de locatário do parceiro

    O Microsoft Graph também fornece as seguintes capacidades de identidade e acesso para parceiros da Microsoft nos programas Fornecedor de Soluções Cloud (CSP), Revendedor de Valores Adicionados (VAR) ou Assistente para ajudar a gerir os inquilinos dos clientes.

    Casos de uso Operações de API
    Gerir contratos para o parceiro com os respetivos clientes tipo de recurso de contrato e respetivas APIs associadas
    Os parceiros da Microsoft podem capacitar os seus clientes para garantir que os parceiros têm menos acesso privilegiado aos inquilinos dos seus clientes. Esta funcionalidade dá controlo adicional aos clientes sobre a sua postura de segurança, permitindo-lhes receber suporte dos revendedores da Microsoft Veja Descrição geral da API de privilégios de administrador delegados granulares (GDAP)

    Licenciamento

    As licenças do Microsoft Entra incluem Microsoft Entra ID Gratuito, P1, P2 e Governação; Gestão de Permissões do Microsoft Entra; e ID da Carga de Trabalho do Microsoft Entra.

    Para obter informações detalhadas sobre o licenciamento para diferentes funcionalidades, consulte Licenciamento do Microsoft Entra ID.