使用 Microsoft Graph 管理Microsoft Entra应用程序和服务主体

Microsoft Entra ID是标识和访问管理 (IAM) 系统。 其功能的核心部分是Microsoft 标识平台,它为已注册的应用程序提供身份验证和授权服务。 Microsoft Graph API 允许以编程方式注册和管理应用程序,使你能够使用 Microsoft 的 IAM 功能。

应用程序和服务主体

在 Microsoft Entra 中,应用程序由应用程序对象和服务主体对象定义。 跨Microsoft Entra只有一个应用程序对象,但应用程序可以有多个服务主体对象。

应用程序对象位于注册应用的租户中。 在安装并使用应用的每个租户(包括注册应用的租户)中创建服务主体。 有关详细信息,请参阅 Microsoft Entra ID 中的应用程序和服务主体对象

在 Microsoft Graph 中,应用程序由 应用程序资源类型 表示,服务主体由 servicePrincipal 资源类型表示。 可通过标识应用程序应用注册和标识>应用程序>企业应用程序>菜单Microsoft Entra 管理中心>上访问这两个对象的详细信息。

用于管理应用程序的 API 用例

支持以下 API 用例通过 Microsoft Graph 中的 应用程序资源类型管理应用程序

用例 API 操作
注册应用程序并配置其基本属性 创建应用程序
配置已注册应用程序的属性,包括:
  • 显示名称、徽标、标记等基本属性
  • 权限
  • 将应用分配给用户 - 设置基本标识符 URI
  • 应用支持的 Microsoft 帐户
  • 应用角色
  • 更新应用程序
    删除应用程序 删除应用程序
    管理已删除的应用程序
  • 列出 deletedItems
  • 按用户列出 deletedItems 所有者
  • Get deleted item
  • 永久删除项目
  • Restore deleted item
  • 管理应用程序的密码凭据
  • 应用程序:addPassword
  • 应用程序:removePassword
  • 管理应用程序的联合标识凭据 开始使用 Microsoft Graph 管理联合标识凭据
    管理应用程序的基于证书的凭据
  • application:addKey
  • application:removeKey
  • 通过更新应用程序 API 操作更新keyCredentials 属性
  • 管理应用程序的目录扩展
  • extensionProperty 资源类型 及其关联方法。 有关详细信息,请参阅 使用扩展将自定义数据添加到资源
  • 跟踪对应用程序的更改
  • 应用程序:delta
  • directoryObject: 具有以下筛选器的增量 ..?$filter=isof('microsoft.graph.application')
  • 管理所有者
  • List owners
  • 添加所有者
  • Remove owner
  • 管理发布者验证
  • 设置 verifiedPublisher
  • 取消设置 verifiedPublisher
  • 用于管理服务主体的 API 用例

    支持以下 API 用例通过 Microsoft Graph 中的 servicePrincipal 资源类型 管理服务主体。

    用例 API 操作
    注册服务主体 创建 servicePrincipal
    配置服务主体的属性,包括:
  • 显示名称、徽标等基本属性
  • 权限
  • 配置 SSO 模式
  • 更新 servicePrincipal
    删除服务主体 删除 servicePrincipal
    管理已删除的服务主体 (查看、还原或永久删除)
  • 列出 deletedItems
  • 列出用户拥有的 deletedItems
  • Get deleted item
  • 永久删除项目
  • Restore deleted item
  • 管理服务主体的密码凭据
  • servicePrincipal:addPassword
  • servicePrincipal:removePassword
  • 管理服务主体的基于证书的凭据
  • servicePrincipal:addKey
  • servicePrincipal:removePKey
  • 添加 SAML 令牌签名证书
  • servicePrincipal:addTokenSigningCertificate
  • 跟踪对服务主体的更改
  • servicePrincipal: delta
  • directoryObject: 具有以下筛选器的增量 ..?$filter=isof('microsoft.graph.servicePrincipal')
  • 管理所有者
  • List owners
  • 添加所有者
  • Remove owner
  • 应用程序模板

    应用程序模板是在 Microsoft Entra 应用库中提供的应用。 使用 applicationTemplate 资源类型及其关联方法 可以:

    • 从应用程序库中识别应用
    • 按它们支持的 SSO 模式识别应用
    • 从应用程序库实例化应用和服务主体

    适用于应用程序和服务主体的策略

    策略说明 API 操作 适用对象
    (RDS) 身份验证协议管理Microsoft Entra ID远程桌面服务 remoteDesktopSecurityConfiguration 资源类型及其关联方法 服务主体
    配置 SAML 令牌策略 tokenIssuancePolicy 资源类型及其关联方法 应用程序

    服务主体
    配置访问、SAML 和 ID 令牌的策略 令牌生存期策略 - tokenLifetimePolicy 资源类型及其关联方法

    令牌颁发策略 - tokenIssuancePolicy 资源类型及其关联方法
    应用程序

    服务主体
    管理所有设备类型的 Microsoft 365 Web 应用的空闲会话超时

    注意: 若要仅针对非托管设备触发策略,还需要添加条件访问策略。
    activityBasedTimeoutPolicy 资源类型及其关联方法 Microsoft 365 Web 应用
    管理如何在组织中使用证书和密码机密的策略。 创建租户范围策略或特定于应用的策略,例如阻止使用或限制密码机密或对称密钥的生存期,以及强制实施受信任的证书颁发机构 应用程序身份验证方法策略 应用程序
    管理 WS-Fed、SAML、OAuth 2.0 和 OpenID Connect 协议的声明映射策略,以及策略应用于的应用程序 claimsMappingPolicy 资源类型及其关联方法 服务主体
    管理租户的主领域发现 (HRD) ,并将策略分配给服务主体 homeRealmDiscoveryPolicy 资源类型及其关联方法 服务主体

    标识同步 (预配)

    Microsoft Graph 中的预配 API 允许在以下方案中自动执行和管理标识的预配和取消预配:

    • 从本地 Active Directory到Microsoft Entra ID
    • 从其他云目录到Microsoft Entra ID
    • 从Microsoft Entra ID到云应用程序,例如 Dropbox、Salesforce、ServiceNow 等

    有关详细信息,请参阅Microsoft Entra同步 API 概述