Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этом руководстве содержатся общие сведения о ключевых понятиях, вариантах использования API и ресурсах, которые помогут автоматизировать управление жизненным циклом Microsoft Entra приложений.
Приложения и субъекты-службы
В Microsoft Entra приложение определяется объектом приложения и объектом субъекта-службы. Существует только один объект приложения для приложения в Microsoft Entra, но для приложения может быть несколько объектов субъекта-службы.
Объект приложения находится в клиенте, где зарегистрировано приложение. Субъект-служба создается в клиенте, где зарегистрировано приложение, и в каждом клиенте, где оно установлено и используется. Дополнительные сведения см. в статье Объекты приложений и субъектов-служб в Microsoft Entra ID.
В Microsoft Graph приложение представлено типом ресурса приложения, а субъект-служба — типом ресурса servicePrincipal. Сведения о двух объектах можно получить на Центр администрирования Microsoft Entra через меню Entra ID>Регистрация приложений и Entra ID>Центр приложения соответственно.
Варианты использования API для управления приложениями
Следующие варианты использования API поддерживаются для управления приложениями с помощью типа ресурса приложения в Microsoft Graph.
| Варианты использования | Операции API |
|---|---|
| Регистрация приложения и настройка его основных свойств | Создание приложения |
Настройте свойства для зарегистрированного приложения, в том числе:
|
Обновление приложения |
| Удаление приложения | Удаление приложения |
| Управление удаленными приложениями | |
| Управление учетными данными паролей для приложения | |
| Управление учетными данными федеративного удостоверения для приложения | Начало управления учетными данными федеративного удостоверения с помощью Microsoft Graph |
| Управление учетными данными на основе сертификатов для приложения |
|
| Управление расширениями каталогов в приложениях |
|
| Отслеживание изменений в приложении |
|
| Управление владельцами | |
| Управление проверкой издателя |
Варианты использования API для управления субъектами-службами
Следующие варианты использования API поддерживаются для управления субъектами-службами с помощью типа ресурса servicePrincipal в Microsoft Graph.
| Варианты использования | Операции API |
|---|---|
| Регистрация субъекта-службы | Создать servicePrincipal |
| Настройте свойства для субъекта-службы, в том числе: — Базовые свойства, такие как отображаемое имя и логотип -Разрешения — Настройка режима единого входа |
Обновить servicePrincipal |
| Удаление субъекта-службы | Удалить servicePrincipal |
| Управление удаленными субъектами-службами: просмотр, восстановление или окончательное удаление | - Вывод списка удаленных элементов - Вывод списка удаленных элементов, принадлежащих пользователю - Получение удаленного элемента - Окончательное удаление элемента - Восстановление удаленного элемента |
| Управление учетными данными паролей для субъекта-службы | - servicePrincipal: addPassword - servicePrincipal: removePassword |
| Управление учетными данными на основе сертификатов для субъекта-службы | - servicePrincipal: addKey - servicePrincipal: removeKey |
| Добавление сертификата подписи токена SAML | servicePrincipal: addTokenSigningCertificate |
| Отслеживание изменений в субъекте-службе | - servicePrincipal: delta - directoryObject: delta со следующим фильтром: ..?$filter=isof('microsoft.graph.servicePrincipal') |
| Управление владельцами | - Список владельцев - Добавление владельца - Удаление владельца |
Шаблоны приложений
Шаблоны приложений — это приложения, доступные в коллекции приложений Microsoft Entra. Используйте тип ресурса applicationTemplate и связанные с ним методы , чтобы:
- Определение приложений из коллекции приложений.
- Определите приложения по режиму единого входа, который они поддерживают.
- Создание экземпляра приложения и субъекта-службы из коллекции приложений.
Политики, применимые к приложениям и субъектам-службам
| Описание политики | Операции API | Сфера применения |
|---|---|---|
| Управление протоколом проверки подлинности служб удаленных рабочих столов (RDS) Microsoft Entra ID | Тип ресурса remoteDesktopSecurityConfiguration и связанные с ним методы | Субъекты-службы |
| Настройка политики токенов SAML | тип ресурса tokenIssuancePolicy и связанные с ним методы | Приложения Субъекты-службы |
| Настройка политик для доступа, SAML и маркеров идентификаторов | Политика времени существования маркера — тип ресурса tokenLifetimePolicy и связанные с ним методы Политика выдачи маркеров — тип ресурса tokenIssuancePolicy и связанные с ним методы |
Приложения Субъекты-службы |
| Управление временем ожидания сеанса простоя для веб-приложений Microsoft 365 для всех типов устройств Заметка: Чтобы активировать политику только для неуправляемых устройств, необходимо также добавить политику условного доступа. |
Тип ресурса activityBasedTimeoutPolicy и связанные с ним методы | Веб-приложения Microsoft 365 |
| Управление политиками для использования сертификатов и секретов паролей в организации. Создание политик на уровне клиента или политик для конкретных приложений, таких как блокирование или ограничение времени существования секретов паролей или симметричного ключа, а также применение доверенных центров сертификации | Политики методов проверки подлинности приложений | Приложения |
| Управление политиками сопоставления утверждений для протоколов WS-Fed, SAML, OAuth 2.0 и OpenID Connect, а также приложений, к которым применяются политики | Тип ресурса claimsMappingPolicy и связанные с ним методы | Субъекты-службы |
| Управление обнаружением домашней области (HRD) для клиента и назначение политики субъекту-службе | Тип ресурса homeRealmDiscoveryPolicy и связанные с ним методы | Субъекты-службы |
Синхронизация удостоверений (подготовка)
API-интерфейсы подготовки в Microsoft Graph позволяют автоматизировать подготовку и отзыв удостоверений и управлять ими в следующих сценариях:
- От локальная служба Active Directory до Microsoft Entra ID
- Из других облачных каталогов в Microsoft Entra ID
- От Microsoft Entra ID до облачных приложений, таких как Dropbox, Salesforce, ServiceNow и т. д.
Дополнительные сведения см. в статье Общие сведения об API синхронизации Microsoft Entra.