Поделиться через

Управление приложениями и субъектами-службами Microsoft Entra с помощью Microsoft Graph

  • Статья

Microsoft Entra ID — это система управления удостоверениями и доступом (IAM). Основной частью его функциональности является платформа удостоверений Майкрософт, которая предоставляет службы проверки подлинности и авторизации для зарегистрированных приложений. API Microsoft Graph позволяют регистрировать приложения и управлять ими программными средствами, позволяя использовать возможности IAM Корпорации Майкрософт.

Приложения и субъекты-службы

В Microsoft Entra приложение определяется объектом приложения и объектом субъекта-службы. Существует только один объект приложения для приложения в Microsoft Entra, но для приложения может быть несколько объектов субъекта-службы.

Объект приложения находится в клиенте, где было зарегистрировано приложение. Субъект-служба создается в каждом клиенте, где установлено и используется приложение, включая клиент, в котором зарегистрировано приложение. Дополнительные сведения см. в статье Объекты приложений и субъектов-служб в Microsoft Entra ID.

В Microsoft Graph приложение представлено типом ресурса приложения , а субъект-служба — типом ресурса servicePrincipal. Сведения о двух объектах можно получить на Центр администрирования Microsoft Entra с помощью менюПриложения>удостоверений>Регистрация приложений иПриложения>удостоверений>Корпоративные приложения соответственно.

Варианты использования API для управления приложениями

Следующие варианты использования API поддерживаются для управления приложениями с помощью типа ресурса приложения в Microsoft Graph.

Варианты использования Операции API
Регистрация приложения и настройка его основных свойств Создание приложения
Настройте свойства для зарегистрированного приложения, в том числе:
  • Основные свойства, такие как отображаемое имя, логотип, теги
  • Разрешения
  • Назначение приложений пользователям— задайте базовые URI идентификаторов
  • Учетные записи Майкрософт, поддерживаемые приложением
  • Роли приложений
    		•  Обновление приложения
    Удаление приложения Удаление приложения
    Управление удаленными приложениями
  • Вывод списка удаленных элементов
  • Вывод списка владельцев deletedItems пользователем
  • Получение удаленного элемента
  • Удаление элемента без возможности восстановления
  • Восстановление удаленного элемента
    		•
    Управление учетными данными паролей для приложения
  • приложение: addPassword
  • приложение: removePassword
    		•
    Управление учетными данными федеративного удостоверения для приложения Начало управления учетными данными федеративного удостоверения с помощью Microsoft Graph
    Управление учетными данными на основе сертификатов для приложения
  • приложение: addKey
  • application: removeKey
  • Обновление свойства keyCredentials с помощью операции api обновления приложения
    		•
    Управление расширениями каталогов в приложениях
  • тип ресурса extensionProperty и связанные с ним методы. Дополнительные сведения см. в статье Добавление пользовательских данных в ресурсы с помощью расширений.
    		•
    Отслеживание изменений в приложении
  • приложение: delta
  • directoryObject: delta со следующим фильтром ..?$filter=isof('microsoft.graph.application')
    		•
    Управление владельцами
  • Список владельцев
  • Добавление владельца
  • Удаление владельца
    		•
    Управление проверкой издателя
  • Установка verifiedPublisher
  • Unset verifiedPublisher
    		•

    Варианты использования API для управления субъектами-службами

    Следующие варианты использования API поддерживаются для управления субъектами-службами с помощью типа ресурса servicePrincipal в Microsoft Graph.

    Варианты использования Операции API
    Регистрация субъекта-службы Создать servicePrincipal
    Настройте свойства для субъекта-службы, в том числе:
  • Основные свойства, такие как отображаемое имя, логотип
  • Разрешения
  • Настройка режима единого входа
    		•  Обновить servicePrincipal
    Удаление субъекта-службы Удалить servicePrincipal
    Управление удаленными субъектами-службами (просмотр, восстановление или окончательное удаление)
  • Вывод списка удаленных элементов
  • Вывод списка удаленных элементов, принадлежащих пользователю
  • Получение удаленного элемента
  • Удаление элемента без возможности восстановления
  • Восстановление удаленного элемента
    		•
    Управление учетными данными паролей для субъекта-службы
  • servicePrincipal: addPassword
  • servicePrincipal: removePassword
    		•
    Управление учетными данными на основе сертификатов для субъекта-службы
  • servicePrincipal: addKey
  • servicePrincipal: removePKey
    		•
    Добавление сертификата подписи токена SAML
  • servicePrincipal: addTokenSigningCertificate
    		•
    Отслеживание изменений в субъекте-службе
  • servicePrincipal: delta
  • directoryObject: delta со следующим фильтром ..?$filter=isof('microsoft.graph.servicePrincipal')
    		•
    Управление владельцами
  • Список владельцев
  • Добавление владельца
  • Удаление владельца
    		•

    Шаблоны приложений

    Шаблоны приложений — это приложения, доступные в коллекции приложений Microsoft Entra. Используйте тип ресурса applicationTemplate и связанные с ним методы , чтобы:

    • Определение приложений из коллекции приложений
    • Определение приложений по режиму единого входа, который они поддерживают
    • Создание экземпляра приложения и субъекта-службы из коллекции приложений

    Политики, применимые к приложениям и субъектам-службам

    Описание политики Операции API Сфера применения
    Управление протоколом проверки подлинности служб удаленных рабочих столов (RDS) Microsoft Entra ID Тип ресурса remoteDesktopSecurityConfiguration и связанные с ним методы Субъекты-службы
    Настройка политики токенов SAML тип ресурса tokenIssuancePolicy и связанные с ним методы Приложения

    Субъекты-службы
    Настройка политик для доступа, SAML и маркеров идентификаторов Политика времени существования маркера — тип ресурса tokenLifetimePolicy и связанные с ним методы

    Политика выдачи маркеров — тип ресурса tokenIssuancePolicy и связанные с ним методы    		 Приложения

    Субъекты-службы
    Управление временем ожидания сеанса простоя для веб-приложений Microsoft 365 для всех типов устройств

    Примечание: Чтобы активировать политику только для неуправляемых устройств, необходимо также добавить политику условного доступа.    		 Тип ресурса activityBasedTimeoutPolicy и связанные с ним методы Веб-приложения Microsoft 365
    Управление политиками для использования сертификатов и секретов паролей в организации. Создание политик на уровне клиента или политик для конкретных приложений, таких как блокирование или ограничение времени существования секретов паролей или симметричного ключа, а также применение доверенных центров сертификации Политики методов проверки подлинности приложений Приложения
    Управление политиками сопоставления утверждений для протоколов WS-Fed, SAML, OAuth 2.0 и OpenID Connect, а также приложений, к которым применяются политики Тип ресурса claimsMappingPolicy и связанные с ним методы Субъекты-службы
    Управление обнаружением домашней области (HRD) для клиента и назначение политики субъекту-службе Тип ресурса homeRealmDiscoveryPolicy и связанные с ним методы Субъекты-службы

    Синхронизация удостоверений (подготовка)

    API-интерфейсы подготовки в Microsoft Graph позволяют автоматизировать подготовку и отзыв удостоверений и управлять ими в следующих сценариях:

    • От локальная служба Active Directory до Microsoft Entra ID
    • Из других облачных каталогов в Microsoft Entra ID
    • От Microsoft Entra ID до облачных приложений, таких как Dropbox, Salesforce, ServiceNow и т. д.

    Дополнительные сведения см. в статье Общие сведения об API синхронизации Microsoft Entra.

    Связанные материалы