Управление удостоверений Microsoft Entra и возможностями доступа к сети с помощью Microsoft Graph

Важно!

API версии /beta в Microsoft Graph могут быть изменены. Использование этих API в производственных приложениях не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.

С помощью Microsoft Graph можно управлять возможностями удостоверений и доступа к сети, большинство из которых доступны через Microsoft Entra. API в Microsoft Graph помогают автоматизировать задачи управления доступом к удостоверениям и сети и интегрировать их с любым приложением, а также являются программной альтернативой порталам администрирования, таким как Центр администрирования Microsoft Entra.

Microsoft Entra — это семейство удостоверений и возможностей доступа к сети, доступных в следующих продуктах. Все эти возможности доступны через API Microsoft Graph:

• Идентификатор Microsoft Entra, который объединяет возможности управления удостоверениями и доступом (IAM).
• Управление идентификаторами Microsoft Entra
• Внешний идентификатор Microsoft Entra
• Проверенный идентификатор Microsoft Entra
• Управление разрешениями Microsoft Entra
• Доступ к Интернету и сетевой доступ Microsoft Entra

Управление удостоверениями пользователей

Пользователи являются основными удостоверениями в любом решении для удостоверений и доступа. Вы можете управлять всем жизненным циклом пользователей в организации, а также их правами, такими как лицензии или членство в группах, с помощью API Microsoft Graph. Дополнительные сведения см. в статье Работа с пользователями в Microsoft Graph.

Управление группами

Группы — это контейнеры, которые позволяют эффективно управлять правами для удостоверений как единое целое. Например, с помощью группы можно предоставить пользователям доступ к ресурсу, например к сайту SharePoint. Или вы можете предоставить им лицензии на использование службы. Дополнительные сведения см. в статье Работа с группами в Microsoft Graph.

Управление приложениями

Api Microsoft Graph можно использовать для программной регистрации приложений и управления ими, что позволяет использовать возможности IAM Корпорации Майкрософт. Дополнительные сведения см. в статье Управление приложениями и субъектами-службами Microsoft Entra с помощью Microsoft Graph.

---

Администрирование клиента или управление каталогом

Основной функцией управления удостоверениями и доступом является управление конфигурацией клиента, административными ролями и параметрами. Microsoft Graph предоставляет API для управления клиентом Microsoft Entra в следующих сценариях:

Варианты использования	Операции API
Управление административными единицами, включая следующие операции: Создание административных единиц Создание членов и правил членства в административных единицах и управление ими Назначение ролей администратора, которые относятся к административным единицам	Тип ресурса administrativeUnit и связанные с ним API
Получение ключей восстановления BitLocker	Тип ресурса bitlockerRecoveryKey и связанные с ним API
Мониторинг лицензий и подписок для клиента	Тип ресурса companySubscription и связанные с ним API Тип ресурса subscribedSku и связанные с ним API
Управление настраиваемыми атрибутами безопасности	См. обзор настраиваемых атрибутов безопасности с помощью API Microsoft Graph.
Управление удаленными объектами каталога. Функциональность хранения удаленных объектов в корзине поддерживается для следующих объектов: Административные единицы Приложения Профили внешних пользователей Группы Ожидающие внешние профили пользователей Субъекты-службы Пользователи	Получение или вывод списка удаленных объектов Окончательное удаление удаленного объекта Восстановление удаленного элемента Перечисление удаленных элементов, принадлежащих пользователю
Управление устройствами в облаке	Тип ресурса устройства и связанные с ним API
Просмотрите учетные данные локального администратора для всех объектов устройств в Microsoft Entra ID, которые включены с помощью решения для локального администратора (LAPS). Эта функция является облачным решением LAPS	Тип ресурса deviceLocalCredentialInfo и связанные с ним API
Объекты каталога — это основные объекты в идентификаторе Microsoft Entra, такие как пользователи, группы и приложения. Тип ресурса directoryObject и связанные с ним API можно использовать для проверки членства в объектах каталога, отслеживания изменений для нескольких объектов каталога или проверки соответствия отображаемого имени или почтового псевдонима группы Microsoft 365 политикам именования.	Тип ресурса directoryObject и связанные с ним API
Роли администраторов, включая роли администратора Microsoft Entra, являются одним из наиболее конфиденциальных ресурсов в клиенте. Вы можете управлять жизненным циклом их назначения в клиенте, включая создание настраиваемых ролей, назначение ролей, отслеживание изменений назначений ролей и удаление назначенных из ролей.	тип ресурса directoryRole и тип ресурса directoryRoleTemplateи связанные с ними API Тип ресурса roleManagement и связанные с ним API Эти API-интерфейсы позволяют выполнять прямые назначения ролей. Кроме того, можно использовать API-интерфейсы управления привилегированными пользователями для ролей и группMicrosoft Entra, чтобы выполнять JIT-назначения ролей с привязкой к времени вместо прямых вечно активных назначений.
Определите следующие конфигурации, которые можно использовать для настройки ограничений и разрешенного поведения для всего клиента и объектов. Параметры для групп Microsoft 365, такие как доступ гостевых пользователей, классификации и политики именования Параметры правил паролей, такие как списки запрещенных паролей и длительность блокировки Запрещенные имена для приложений, зарезервированные слова и блокирование нарушений товарных знаков URL-адрес настраиваемой политики условного доступа Политики согласия, такие как запросы согласия пользователей, согласие конкретной группы и согласие для приложений, рискованных	тип ресурса groupSetting и тип ресурса groupSettingTemplate и связанные с ними API Дополнительные сведения см. в статье Общие сведения о параметрах группы.
Операции управления доменом, такие как: Связывание домена с клиентом получение записей DNS проверка владения доменом Связывание определенных служб с определенными доменами удаление доменов	тип ресурса домена и связанные с ним API
Настройка поэтапного развертывания определенных функций Microsoft Entra ID и управление ими	тип ресурса featureRolloutPolicy и связанные с ним API
Настройка параметров, доступных в Microsoft Entra Cloud Sync, таких как предотвращение случайного удаления и управление обратной записью групп	Тип ресурса onPremisesDirectorySynchronization и связанные с ним API
Управление базовыми параметрами для клиента Microsoft Entra	тип ресурса организации и связанные с ним API
Получение контактов организации, которые могут быть синхронизированы из локальных каталогов или из Exchange Online	Тип ресурса orgContact и связанные с ним API
Ознакомьтесь с основными сведениями о других клиентах Microsoft Entra, запросив идентификатор клиента или доменное имя.	Тип ресурса tenantInformation и связанные с ним API
Управление делегированными разрешениями и их назначениями субъектам-службам в клиенте	Тип ресурса oAuth2PermissionGrant и связанные с ним API

---

Удостоверение и вход

Варианты использования	Операции API
Настройка прослушивателей, отслеживающих события, которые должны активировать или вызывать пользовательскую логику, обычно определяемую вне идентификатора Microsoft Entra	Тип ресурса authenticationEventListener и связанные с ним API
Управление методами проверки подлинности, поддерживаемыми в Идентификаторе Microsoft Entra	См . общие сведения об API методов проверки подлинности Microsoft Entra и общие сведения об API методов проверки подлинности Microsoft Entra.
Управление методами проверки подлинности или сочетаниями методов проверки подлинности, которые можно применить в качестве элемента управления предоставлением в условном доступе Microsoft Entra	См. обзор API для проверки подлинности Microsoft Entra
Управление политиками авторизации на уровне клиента, например: включение SSPR для учетных записей администратора включение самостоятельного присоединения для гостей ограничение числа гостей, которые могут приглашать гостей могут ли пользователи согласиться на использование рискованных приложений блокировать использование MSOL настройка разрешений пользователя по умолчанию функции частной предварительной версии удостоверений включены Настройка разрешений гостевого пользователя между пользователем, гостевым пользователем и ограниченным гостевым пользователем	Тип ресурса authorizationPolicy и связанные с ним API
Управление политиками для проверки подлинности на основе сертификатов в клиенте	Тип ресурса certificateBasedAuthConfiguration и связанные с ним API
Управление политиками условного доступа Microsoft Entra	Тип ресурса conditionalAccessRoot и связанные с ним API
Управление параметрами доступа между клиентами и управление ограничениями на исходящий трафик, ограничениями для входящих подключений, ограничениями клиентов и межтенантной синхронизацией пользователей в мультитенантных организациях	См. раздел Общие сведения об API параметров доступа между клиентами.
Настройка взаимодействия внешних систем с Идентификатором Microsoft Entra во время сеанса проверки подлинности пользователя	Тип ресурса customAuthenticationExtension и связанные с ним API
Управление запросами к данным пользователей в организации, например экспорт персональных данных	Тип ресурса dataPolicyOperation и связанные с ним API
Заставить автоматический вход пропустить экран ввода имени пользователя и автоматически перенаправить пользователей в федеративные конечные точки входа.	Тип ресурса типа ресурса homeRealmDiscoveryPolicy и связанные с ним API
Обнаружение, исследование и устранение рисков на основе удостоверений с помощью Защиты идентификаторов Microsoft Entra и передача данных в средства управления информационной безопасностью и событиями безопасности (SIEM) для дальнейшего исследования и корреляции	См . раздел Использование API для защиты удостоверений Microsoft Graph.
Управление поставщиками удостоверений для Microsoft Entra ID, Microsoft Entra External ID и клиентов Azure AD B2C. Можно выполнить следующие операции: Управление поставщиками удостоверений для внешних удостоверений, включая поставщиков удостоверений социальных удостоверений, OIDC, Apple, SAML/WS-Fed и встроенных поставщиков Управление конфигурацией для федеративных доменов и проверки маркеров	Тип ресурса identityProviderBase и связанные с ним API
Приглашение внешних пользователей для совместной работы с клиентом с помощью внешнего идентификатора Microsoft Entra	Тип ресурса приглашения и связанные с ним API
Определение группы клиентов, принадлежащих вашей организации, и упрощение совместной работы между клиентами внутри организации	См. общие сведения об API мультитенантной организации.
Настройка пользовательских интерфейсов входа в соответствии с фирменной символике вашей компании, включая применение фирменной символики на основе языка браузера.	Тип ресурса организационного бренда и связанные с ним API
Потоки пользователей для внешнего идентификатора Microsoft Entra в арендаторах рабочей силы	Следующие типы ресурсов и связанные с ними API: b2xIdentityUserFlow для настройки базового потока пользователя и его свойств, таких как поставщики удостоверений identityUserFlowAttribute для управления встроенными и настраиваемыми атрибутами потока пользователя identityUserFlowAttributeAssignment для управления назначениями атрибутов потока пользователя Тип ресурса userFlowLanguageConfiguration для настройки пользовательских языков для потоков пользователей
Потоки пользователей для внешнего идентификатора Microsoft Entra во внешних клиентах	Следующие типы ресурсов и связанные с ними API: authenticationEventsFlow тип ресурса и связанные с ним API identityUserFlowAttribute для управления встроенными и настраиваемыми атрибутами потока пользователя
Управление политиками согласия приложения и наборами условий	Тип ресурса permissionGrantPolicy
Включение или отключение значений безопасности по умолчанию в Идентификаторе Microsoft Entra	Тип ресурса identitySecurityDefaultsEnforcementPolicy

---

Управление удостоверениями

Дополнительные сведения см. в статье Обзор управления идентификаторами Microsoft Entra с помощью Microsoft Graph.

Внешний идентификатор Microsoft Entra во внешних клиентах

Для настройки взаимодействия пользователей с клиентскими приложениями поддерживаются следующие варианты использования API. Для администраторов большинство функций, доступных в Идентификаторе Microsoft Entra, а также поддерживаются для внешнего идентификатора Microsoft Entra во внешних клиентах. Например, управление доменами, управление приложениями и условный доступ.

Варианты использования	Операции API
Потоки пользователей для внешнего идентификатора Microsoft Entra во внешних клиентах и возможности самостоятельной регистрации	authenticationEventsFlow тип ресурса и связанные с ним API
Управление поставщиками удостоверений для внешнего идентификатора Microsoft Entra. Вы можете определить поставщиков удостоверений, которые поддерживаются или настроены в клиенте.	См. сведения о типе ресурса identityProviderBase и связанных с ним API
Настройка личных доменов URL-адресов во внешнем идентификаторе Microsoft Entra во внешних клиентах	Значение CustomUrlDomain свойства supportedServicesтипа ресурса домена и связанных с ним API
Настройка пользовательских интерфейсов входа в соответствии с фирменной символике вашей компании, включая применение фирменной символики на основе языка браузера.	Тип ресурса организационного бренда и связанные с ним API
Управление поставщиками удостоверений для внешнего идентификатора Microsoft Entra, например удостоверениями социальных сетей	Тип resoruce identityProviderBase и связанные с ним API
Управление профилями пользователей в Microsoft Entra External ID для клиентов	Дополнительные сведения см. в статье Разрешения пользователей по умолчанию в клиентах клиентов.
Добавление собственной бизнес-логики в интерфейс проверки подлинности путем интеграции с системами, которые являются внешними для Microsoft Entra ID	Тип ресурса authenticationEventListener и тип ресурса customAuthenticationExtension и связанные с ними API

Управление клиентами партнеров

Microsoft Graph также предоставляет следующие возможности идентификации и доступа для партнеров Майкрософт в программах поставщика облачных решений (CSP), торгового посредника с добавленной стоимостью (VAR) или Помощника для управления клиентами своих клиентов.

Варианты использования	Операции API
Управление контрактами для партнера со своими клиентами	тип ресурса contract и связанные с ним API
Партнеры Майкрософт могут предоставить своим клиентам возможность обеспечить партнерам минимальный привилегированный доступ к клиентам своих клиентов. Эта функция обеспечивает дополнительный контроль над состоянием безопасности клиентов, позволяя им получать поддержку от торговых посредников Майкрософт	См . раздел Общие сведения об API делегированных делегированных прав администратора (GDAP)

---

Лицензирование

Лицензии Microsoft Entra включают Microsoft Entra ID Free, P1, P2 и governance; Управление разрешениями Microsoft Entra; и идентификатор рабочей нагрузки Microsoft Entra.

Подробные сведения о лицензировании различных функций см. в разделе Лицензирование Идентификатора Microsoft Entra.

Связанные материалы

• Реализация стандартов удостоверений с помощью Идентификатора Microsoft Entra
• Руководство по идентификатору Microsoft Entra для независимых разработчиков программного обеспечения