Обзор API Azure AD для управления идентификацией и доступом

  • Статья

Azure Active Directory (Azure AD) помогает централизовать управление идентификацией и доступом и, соответственно, обеспечить безопасный и эффективный доступ между приложениями, устройствами, службами и инфраструктурой. С помощью Azure AD организации могут управлять идентификацией и доступом в локальной, гибридной и облачной средах.

С помощью REST API для Azure AD в Microsoft Graph вы можете создавать уникальные рабочие процессы между ресурсами Azure AD и сторонними службами.

Зачем использовать API Azure AD?

Более 15 миллионов организаций используют Azure AD и при этом имеют подписки на облачные службы Майкрософт, например Microsoft 365, Microsoft Azure и Enterprise Mobility Suite.

С помощью Microsoft Graph корпоративные разработчики могут интегрировать службу управления удостоверениями Azure AD и другие службы для автоматизации рабочих процессов администрирования, например для адаптации сотрудников (и завершения их работы в организации), обслуживания профилей, развертывания лицензий и многого другого.

Многим корпоративным разработчикам Microsoft Graph и Azure AD помогают перенести существующие приложения в облако, ускоряя при этом цифровую трансформацию организации. С помощью Azure AD вы можете добавлять механизмы управления доступом в приложения, в том числе проверку сведений о членстве пользователя в группах, роли каталога или членства в административной единице.

С помощью Microsoft Graph и Azure AD вы можете быстро и просто связаться с более чем 15 миллионами организаций, включая 90 % компаний из списка Fortune 500, которые уже используют службы Azure AD. Интеграция приложений обеспечивает единый вход и позволяет использовать существующие данные организации для создания персонализированных возможностей.

С помощью API Azure AD в Microsoft Graph вы можете запрашивать сведения из профиля пользователя, находить других пользователей, управлять связями в организации, отслеживать назначения или создавать собственные решения, включающие существующие данные организации. Эти API — хорошая основа для беспроблемной интеграции пользовательских бизнес-приложений в существующие цифровые службы организации.

Управление пользователями и группами

С помощью API Azure AD в Microsoft Graph вы можете выполнять указанные ниже действия.

  • Находить сведения в профилях пользователей вашей организации, например имена, фотографии, электронные адреса, должности, расположение офиса и т. д., а также управлять ими.
  • Создавать группы для проектов и групп в вашей организации. Добавлять участников в группы и удалять их из групп, чтобы управлять доступом к ресурсам. (Динамические группы могут автоматически изменять членство на основе значений свойств пользователей.)
  • Проверять наличие транзитивного участия в списке групп или получить все ресурсы указанного типа (например, пользователей или группы) из списка идентификаторов ролевых ресурсов для управления доступом.

Управление ролями каталогов

Вы можете назначать пользователям стандартные административные роли каталога Azure AD, чтобы они могли выполнять определенные задачи.

Управление устройствами

Вы можете управлять устройствами, зарегистрированными в организации. Устройства (ноутбуки, настольные компьютеры, планшеты и мобильные телефоны) зарегистрированы на пользователей. Устройства обычно создаются в облаке с помощью службы регистрации устройств или Microsoft Intune. Они используются в политиках условного доступа для многофакторной аутентификации.

Управление клиентами партнеров

Партнеры Майкрософт, которые перепродают Microsoft Online Services (например, Microsoft 365, Microsoft Azure и CRM Online) и управляют ими, могут просматривать клиенты организаций, которыми они управляют.

Кроме того, вы можете управлять доменами, сопоставленными с клиентом. С помощью операций над доменами партнеры Майкрософт могут автоматизировать регистрацию доменов для служб, например для Microsoft 365.

Управление клиентами

С помощью API Azure AD для управления клиентами вы можете выполнять указанные ниже действия.

  • Получать информацию об организации, например о рабочем адресе, контактах технических специалистов и контактах для уведомлений, активных подписках на службы и сопоставленных с организацией доменах.
  • Получать информацию об SKU служб, на которые подписана компания.
  • Приглашать внешних пользователей (гостей) в организацию.

Отслеживание рисков для удостоверений

Большинство нарушений безопасности возникают в результате похищения удостоверения пользователя злоумышленником. Взломщики научились поразительно эффективно пользоваться уязвимостями сторонних решений, проводить атаки путем распыления пароля и сложные фишинговые атаки. Это означает, что вам нужно защищать все учетные записи пользователей от таких атак и предпринимать меры, препятствующие несанкционированному использованию скомпрометированных удостоверений.

Azure AD использует адаптивные алгоритмы машинного обучения и эвристический анализ, чтобы определять аномалии, указывающие на возможную компрометацию учетных записей. Используя эти данные, Защита идентификации Azure Active Directory защищает пользователей с помощью политик условного доступа на основе оценки рисков, а также создает отчеты и оповещения об обнаруженных угрозах.

Сегодня Microsoft Graph обеспечивает клиентам удобный доступ к Azure AD Premium P2, чтобы запрашивать данные о рискованных событиях, обнаруженных защитой идентификации, включая тип рискованного события, уровень важности, дату, время, место, затронутого пользователя и многое другое. Затем клиенты могут использовать такие события в системах и приложениях безопасности SIEM.

Проверка доступа к ресурсам организации

Проверяйте доступ к группам, приложениям и даже привилегированным ролям в организации. Проверки доступа доступны в Azure AD Premium P2.

Активация привилегированных ролей для пользователей

Используйте API управления привилегированными пользователями (PIM) для активации привилегий администратора по запросу. Применяйте принудительное обоснование активации ролей и многофакторную проверку подлинности для участников с привилегированными ролями.

Справочные материалы по API

Ищете справочные материалы по API для этой службы?

Дальнейшие действия