Microsoft Entra 标识和网络访问 API 概述
Microsoft Entra 系列标识和网络访问解决方案可帮助你保护任何标识并安全访问任何资源。 可以使用 Microsoft Entra 服务的 Microsoft Graph API 来自动执行标识和访问管理任务,并与任何应用程序集成。
若要直接跳到 API 参考,请参阅 Microsoft Entra 功能的 Microsoft Graph API。
为何使用 Microsoft Entra API?
应用程序开发人员通过 Microsoft Graph 与 Microsoft Entra API 集成,以自动执行操作,并与自定义解决方案的第三方应用程序集成。
例如,企业开发人员可以使用 Microsoft Graph 自动执行管理工作流,例如员工从加入到退出的生命周期、配置文件维护、许可证部署、与来宾协作、与 SIEM 工具集成等。 另一方面,面向使用者的应用程序的开发人员可以使用 Microsoft Graph 来集成登录选项、自助服务注册和帐户管理。
管理用户标识并控制对应用、数据和资源的访问权限
数百万客户和组织订阅Microsoft云服务,例如 Microsoft 365、Microsoft Azure 和 Enterprise Mobile + Security 套件产品。 这些服务使用Microsoft Entra ID 作为其标识和访问管理解决方案。 还可以将 Microsoft Entra ID 集成到自定义应用程序中。
可以使用 Microsoft Graph 集成到应用的一些Microsoft Entra ID 功能包括:
- 用户管理 - 在租户中查找和管理用户配置文件、许可证分配、成员身份和特权。 管理组织关系、跟踪分配或创建包含现有组织数据的原始解决方案。 管理用户的身份验证方法。
- 组管理 - 创建组来管理用户和控制对资源的访问。 使用管理单元来组织组、用户和设备,以便于管理和委派管理。
- 应用程序管理 - 注册云应用程序、管理应用程序权限和特权,以及可以登录的用户。 提供对本地应用程序的安全远程访问。
- 管理 管理角色,这些角色授予执行特定任务的权限。
- 自动预配和管理用户需要访问的其他 SaaS 应用的用户标识和角色。
租户管理
Microsoft用于租户管理的 Entra API 允许:
- 获取有关 组织 (租户) 的信息,例如其业务地址、技术和通知联系人、活动服务订阅以及与它关联的域。
- 获取公司订阅的服务 SKU 的相关信息。
- 设置 跨租户同步 以在组织拥有的多个Microsoft Entra 租户之间同步用户帐户。
- 确定有关其他Microsoft Entra 租户的基本信息。
合作伙伴租户管理
转售和管理 Microsoft Online Services(如 Microsoft 365 和 azure Microsoft)Microsoft合作伙伴可以查看他们当前管理 的组织租户 。 他们还可以使用 精细委派的管理权限 ,以最小特权访问当前管理的租户。
作为Microsoft合作伙伴,还可以管理与租户关联的 域 。 借助域操作,Microsoft 合作伙伴可以对 Microsoft 365 等服务自动执行域注册。
保护、监视和审核对关键资产的访问
使用 Microsoft Entra ID 治理 API,以确保合适的人员在正确的时间有权访问正确的应用和服务。
- 使用 权利管理 API 自动向内部和外部用户授予对资源的访问权限。 强制职责分离,以避免发生冲突的访问。
- 定期评审对组织中的组、应用程序和特权角色的访问权限。 有关详细信息,请参阅 访问评审 API。
- 使用 生命周期工作流 API 自动执行员工入职、内部移动和离职。
- 对 Microsoft Entra 角色 API 使用特权标识管理,按需激活具有时间限制的管理员权限、强制实施角色激活的强制理由,以及对特权角色中的执行组件进行多重身份验证。
- 对组 API 使用特权标识管理来管理对资源具有特权访问权限的组的访问。
增强标识的安全性
使用 Microsoft Entra ID 保护 API 和 Microsoft Entra 工作负载 ID API 来检测和缓解基于标识的风险,以免造成损害。
- 使用 身份验证方法 API 配置多重身份验证,包括防钓鱼多重身份验证方法,以减少与凭据泄露相关的风险。
- 强制实施基于风险 的条件访问策略 ,以近乎实时地适应风险条件。
- 检测、报告和响应指示帐户可能遭到入侵的异常。
- 检测 人为和非人类的风险。
保护对外部标识的应用的访问
对于许多组织来说,与客户和业务合作伙伴等外部用户协作是日常业务的常见部分。 Microsoft Entra 外部 ID API 允许你:
- 邀请外部用户 加入组织。
- 对于 客户,自定义其登录和注册体验,允许他们将自己的标识 (BYOI) 引入应用程序,从而保护对面向客户的应用程序的访问。
- 对于 业务合作伙伴,管理与其他Microsoft Entra ID 租户 的协作 ,保护他们对应用程序的访问,并管理他们对组织中资源的访问的生命周期。
管理多云部署中的权限
使用 Microsoft Entra 权限管理 API 发现、修正和监视多云基础结构中的权限,包括Microsoft Azure、Amazon Web Services (AWS) 和 Google Cloud Platform (GCP) 。
使用以标识为中心的配置来增强网络流量
对以标识为中心的配置使用 全局安全访问 API 来保护对专用应用和资源的访问;保护对 Internet 的访问、SaaS) (软件即服务以及Microsoft 365 个应用和资源。
零信任
此功能可帮助组织将其 标识 与零信任体系结构的三个指导原则保持一致:
- 显式验证
- 使用最低特权
- 假定漏洞
若要详细了解零信任以及使组织符合指导原则的其他方法,请参阅 零信任指导中心。
API 参考
在查找此服务的 API 参考?
- 使用 Microsoft Graph v1.0 管理Microsoft Entra 标识和网络访问功能
- 使用 Microsoft Graph beta 版管理Microsoft Entra 标识和网络访问功能