Управление возможностями Microsoft Entra удостоверений и доступа к сети с помощью Microsoft Graph

Microsoft Graph предоставляет REST API для управления возможностями доступа к удостоверениям и сети, большинство из которых доступны через Microsoft Entra. Эти API помогают автоматизировать задачи управления удостоверениями и сетевым доступом, интегрироваться с приложениями и выступать в качестве программной альтернативы порталам администрирования, таким как Центр администрирования Microsoft Entra.

Microsoft Entra — это семейство решений для удостоверений и доступа к сети, включающее следующие продукты. Все эти возможности доступны через API Microsoft Graph:

• Microsoft Entra ID группу возможностей управления удостоверениями и доступом (IAM).
• Управление Microsoft Entra ID
• Внешняя идентификация Microsoft Entra
• Проверенные учетные данные Microsoft Entra
• Управление разрешениями Microsoft Entra (не рекомендуется)
• Интернет-доступ Microsoft Entra и сетевой доступ

Управление удостоверениями пользователей

Пользователи являются основными удостоверениями в любом решении для удостоверений и доступа. Вы можете управлять всем жизненным циклом пользователей в организации, включая гостей, и их правами, такими как лицензии или членство в группах, с помощью API Microsoft Graph. Дополнительные сведения см. в статье Работа с пользователями в Microsoft Graph.

Управление группами

Группы — это контейнеры, которые позволяют эффективно управлять правами для удостоверений как единое целое. Например, с помощью группы можно предоставить пользователям доступ к ресурсу, например к сайту SharePoint. Или вы можете предоставить им лицензии на использование службы. Дополнительные сведения см. в статье Работа с группами в Microsoft Graph.

Управление приложениями

Api Microsoft Graph можно использовать для программной регистрации приложений и управления ими, что позволяет использовать возможности IAM Корпорации Майкрософт. Дополнительные сведения см. в статье Управление приложениями и субъектами-службами Microsoft Entra с помощью Microsoft Graph.

Управление агентами (предварительная версия)

Для агентов ИИ требуются те же платформы идентификации, доступа, безопасности и управления, которые применяются к пользователям, приложениям и устройствам в вашей организации. Дополнительные сведения об использовании API Microsoft Graph для реализации этих возможностей для агентов см. в разделе Microsoft Entra ID для агентов API в обзоре Microsoft Graph (предварительная версия).

Администрирование клиента или управление каталогом

Основной функцией управления удостоверениями и доступом является управление конфигурацией клиента, административными ролями и параметрами. Microsoft Graph предоставляет API для управления клиентом Microsoft Entra в следующих сценариях:

Варианты использования	Операции API
Управление административными единицами, включая следующие операции: Создание административных единиц Создание членов и правил членства в административных единицах и управление ими Назначение ролей администратора, которые относятся к административным единицам	administrativeUnit и связанные с ним API
Получение ключей восстановления BitLocker	bitlockerRecoveryKey и связанные с ним API
Управление настраиваемыми атрибутами безопасности	См. обзор настраиваемых атрибутов безопасности с помощью Microsoft API Graph
Управление удаленными объектами каталога. Функциональность хранения удаленных объектов в корзине поддерживается для следующих объектов: Административные единицы Приложения Профили внешних Группы Ожидающие внешние профили Субъекты-службы Пользователи	Получение или вывод списка удаленных объектов Окончательное удаление удаленного объекта Восстановление удаленного элемента Перечисление удаленных элементов, принадлежащих пользователю
Управление устройствами в облаке	устройство и связанные с ним API deviceTemplate и связанные с ним API
Просмотрите сведения об учетных данных локального администратора для всех объектов устройств в Microsoft Entra ID, которые включены с помощью локального решения Администратор паролей (LAPS). Эта функция является облачным решением LAPS	deviceLocalCredentialInfo и связанные с ним API
Объекты каталога — это основные объекты в Microsoft Entra ID, например пользователи, группы и приложения. Тип ресурса directoryObject и связанные с ним API можно использовать для проверка членства в объектах каталогов, отслеживания изменений для нескольких объектов каталога или проверки соответствия отображаемого имени или почтового псевдонима группы Microsoft 365 политикам именования.	directoryObject и связанные с ним API
Управление ролями администратора, включая следующие операции: Создание настраиваемых ролей Назначение ролей пользователям, группам или субъектам-службам Отслеживание изменений назначений ролей Удаление назначенных пользователей из ролей	Следующие ресурсы и связанные с ними API: directoryRole и directoryRoleTemplate roleManagement (рекомендуется) Для JIT-назначений ролей и назначений ролей с привязкой к времени вместо прямых вечно активных назначений используйте API-интерфейсы управление привилегированными пользователями для Microsoft Entra ролей и групп.
Определите следующие конфигурации, которые можно использовать для настройки ограничений и разрешенного поведения для всего клиента и объектов. Параметры для групп Microsoft 365, такие как доступ гостевых пользователей, классификации и политики именования Параметры правил паролей, такие как списки запрещенных паролей и длительность блокировки Запрещенные имена для приложений, зарезервированные слова и блокирование нарушений товарных знаков URL-адрес настраиваемой политики условного доступа Политики согласия, такие как запросы согласия пользователей, согласие конкретной группы и согласие для приложений, рискованных	В beta: directorySetting и directorySettingTemplate и связанные с ними API В v1.0: groupSetting и groupSettingTemplate и связанные с ними API Дополнительные сведения см. в статье Общие сведения о параметрах группы.
Операции управления доменом, такие как: Связывание домена с клиентом получение записей DNS проверка владения доменом Переход неуправляемых доменов внешним администратором Связывание определенных служб с определенными доменами удаление доменов	домен и связанные с ним API
Управление объектами профилей для внешних пользователей, которым вы приглашены для совместной работы с помощью Teams. Эти API-интерфейсы не похожи на API-интерфейсы приглашений для Внешняя идентификация Microsoft Entra совместной работы B2B	externalUserProfile и pendingExternalUserProfile и связанные с ними API
Настройка поэтапного развертывания конкретных функций Microsoft Entra ID и управление ими	featureRolloutPolicy и связанные с ним API
Мониторинг лицензий и подписок для клиента	companySubscription и связанные с ней API subscribedSku и связанные с ним API
Управление политиками для автоматической регистрации мобильных Управление устройствами (MDM) и управления мобильными приложениями (MAM) для Microsoft Entra присоединенных и зарегистрированных устройств	Следующие ресурсы и связанные с ними API: mobileAppManagementPolicy mobileDeviceManagementPolicy
Настройте параметры, доступные в Microsoft Entra облачной синхронизации, например предотвращение случайного удаления и управление обратной записью групп.	onPremisesDirectorySynchronization и связанные с ней API
Управление параметрами синхронизации для объектов каталога, таких как пользователи, группы и контакты организации, между локальная служба Active Directory и	onPremisesSyncBehavior и связанные с ним API
Управление базовыми параметрами для клиента Microsoft Entra	организация и связанные с ней API
Управление параметрами на уровне клиента Microsoft Entra, например включение аналитики пользователей и элементов для организации	organizationSettings и связанные с ней API
Получите контакты организации, которые могут быть синхронизированы из локальных каталогов или из Exchange Online	orgContact и связанные с ней API
Основные сведения о других клиентах Microsoft Entra, запросив идентификатор клиента или доменное имя.	tenantInformation и связанные с ним API

Удостоверение и вход

Варианты использования	Операции API
Предоставление, отзыв и извлечение ролей приложения в приложении ресурсов для пользователей, групп или субъектов-служб	appRoleAssignment и связанные с ним API
Настройте прослушиватели, которые отслеживают события, которые должны активировать или вызывать пользовательскую логику, обычно определяемую за пределами Microsoft Entra ID	authenticationEventListener и связанные с ним API
Управление методами проверки подлинности, поддерживаемыми в Microsoft Entra ID	См. общие сведения об API методов проверки подлинности Microsoft Entra и Microsoft Entra политики API методов проверки подлинности.
Управление методами проверки подлинности или сочетаниями методов проверки подлинности, которые можно применить в качестве элемента управления предоставлением в Microsoft Entra условного доступа	См. общие сведения об API Microsoft Entra надежности проверки подлинности.
Управление политиками авторизации на уровне клиента, например: включение SSPR для учетных записей администратора включение самостоятельного присоединения для гостей ограничение числа гостей, которые могут приглашать гостей могут ли пользователи согласиться на использование рискованных приложений блокировать использование MSOL настройка разрешений пользователя по умолчанию функции частной предварительной версии удостоверений включены Настройка разрешений гостевого пользователя между пользователем, гостевым пользователем и ограниченным гостевым пользователем	authorizationPolicy и связанные с ней API
Настройка пользовательского интерфейса или пользовательского интерфейса в Azure AD B2C с помощью платформы удостоверений (IEF),	trustFrameworkKeySet и trustFrameworkPolicy и связанные с ними API
Управление политиками для проверки подлинности на основе сертификатов в клиенте	certificateBasedAuthConfiguration и связанные с ней API
Управление политиками условного доступа Microsoft Entra, включая сетевые расположения, такие как страны, IP-адреса и соответствующие требованиям сети. Оценка влияния политик условного доступа перед их применением Настройте непрерывную оценку доступа (CAE), которая позволяет отзывать маркеры доступа на основе критических событий и оценки политики, а не полагаться на срок действия маркера на основе времени существования	Следующие ресурсы и связанные с ними API: conditionalAccessPolicy conditionalAccessTemplate authenticationContextClassReference namedLocation whatIfAnalysisResult continuousAccessEvaluationPolicy
Управление параметрами доступа между клиентами и управление ограничениями на исходящий трафик, ограничениями для входящих подключений, ограничениями клиентов и межтенантной синхронизацией пользователей в мультитенантных организациях	См. раздел Общие сведения об API параметров доступа между клиентами.
Управление профилями пользователей, которые предоставляются вам или внешним клиентам, с помощью прямого подключения B2B, включая удаление и экспорт персональных данных	inboundSharedUserProfile и outboundSharedUserProfile и связанные с ними API
Настройка взаимодействия внешних систем с Microsoft Entra ID во время сеанса проверки подлинности пользователя	customAuthenticationExtension и связанные с ним API
Управление запросами к данным пользователей в организации, например экспорт персональных данных	dataPolicyOperation и связанные с ней API
Настройте политики для управления Microsoft Entra присоединением и Microsoft Entra регистрации устройств	deviceRegistrationPolicy и связанные с ним API
Управление политикой на уровне клиента, которая определяет, могут ли внешние пользователи покидать клиент Microsoft Entra с помощью элементов управления самообслуживания, например с помощью меню "Организации" портала "Моя учетная запись	externalIdentitiesPolicy и связанные с ним API
Заставить автоматический вход пропустить экран ввода имени пользователя и автоматически перенаправить пользователей в федеративные конечные точки входа.	homeRealmDiscoveryPolicy и связанные с ней API
Обнаружение, исследование и устранение рисков на основе удостоверений с помощью защиты Microsoft Entra ID и передача данных в средства управления информационной безопасностью и событиями безопасности (SIEM) для дальнейшего исследования и корреляции	См . раздел Использование API для защиты удостоверений Microsoft Graph.
Управление поставщиками удостоверений для Microsoft Entra ID, Внешняя идентификация Microsoft Entra и Azure AD клиентов B2C. Можно выполнить следующие операции: Управление поставщиками удостоверений для внешних удостоверений, включая поставщиков удостоверений социальных удостоверений, OIDC, Apple, SAML/WS-Fed и встроенных поставщиков Управление конфигурацией для федеративных доменов и проверки маркеров	identityProviderBase и связанные с ней API
Определение группы клиентов, принадлежащих вашей организации, и упрощение совместной работы между клиентами внутри организации	См. общие сведения об API мультитенантной организации.
Управление делегированными разрешениями и их назначениями субъектам-службам в клиенте	oAuth2PermissionGrant и связанные с ним API
Настройка пользовательских интерфейсов входа в соответствии с фирменной символике вашей компании, включая применение фирменной символики на основе языка браузера.	организационный брендинг и связанные с ним API
Настройте доверенные центры сертификации для сертификатов, которые можно назначить приложениям и субъектам-службам в клиенте.	certificateBasedApplicationConfiguration и связанные с ней API
Потоки пользователей для Внешняя идентификация Microsoft Entra в арендаторах рабочей силы	следующие ресурсы и связанные с ними API: b2xIdentityUserFlow для настройки базового потока пользователя и его свойств, таких как поставщики удостоверений identityUserFlowAttribute для управления встроенными и настраиваемыми атрибутами потока пользователя identityUserFlowAttributeAssignment для управления назначениями атрибутов потока пользователя userFlowLanguageConfiguration для настройки пользовательских языков для потоков пользователей
Потоки пользователей для Azure AD B2C	следующие ресурсы и связанные с ними API: b2cIdentityUserFlow для настройки базового потока пользователей и его свойств, таких как поставщики удостоверений identityUserFlowAttribute для управления встроенными и настраиваемыми атрибутами потока пользователя identityUserFlowAttributeAssignment для управления назначениями атрибутов потока пользователя userFlowLanguageConfiguration для настройки пользовательских языков для потоков пользователей
Потоки пользователей для Внешняя идентификация Microsoft Entra во внешних клиентах	следующие ресурсы и связанные с ними API: authenticationEventsFlow и связанные с ним API identityUserFlowAttribute для управления встроенными и настраиваемыми атрибутами потока пользователя
Управление политиками согласия приложения и наборами условий	permissionGrantPolicy
Управление политиками предварительного предоставления согласия приложения	permissionGrantPreApprovalPolicy
Включение или отключение параметров безопасности по умолчанию в Microsoft Entra ID	identitySecurityDefaultsEnforcementPolicy

Управление удостоверениями

Дополнительные сведения см. в статье Обзор Управление Microsoft Entra ID с помощью Microsoft Graph.

Внешняя идентификация Microsoft Entra во внешних клиентах

Для настройки взаимодействия пользователей с клиентскими приложениями поддерживаются следующие варианты использования API. Для администраторов большинство функций, доступных в Microsoft Entra ID, а также поддерживаются для Внешняя идентификация Microsoft Entra во внешних клиентах. Например, управление доменами, управление приложениями и условный доступ.

Варианты использования	Операции API
Потоки пользователей для Внешняя идентификация Microsoft Entra во внешних клиентах и возможности самостоятельной регистрации	authenticationEventsFlow и связанные с ним API
Управление поставщиками удостоверений для Внешняя идентификация Microsoft Entra. Вы можете определить поставщиков удостоверений, которые поддерживаются или настроены в клиенте.	См . раздел identityProviderBase и связанные с ней API.
Настройка личных доменов URL-адресов в Внешняя идентификация Microsoft Entra во внешних клиентах	Значение CustomUrlDomain свойства supportedServicesдомена и связанных с ним API
Настройте пользовательские интерфейсы входа в соответствии с фирменной символике вашей компании, включая применение фирменной символики на основе языка браузера или применение фирменной символики на основе	организационный брендинг и связанные с ним API
Управление поставщиками удостоверений для Внешняя идентификация Microsoft Entra, например удостоверениями социальных сетей	identityProviderBase и связанные с ней API
Войдите с псевдонимом или именем пользователя	signInIdentifierBase и связанные с ней API
Управление профилями пользователей в Внешняя идентификация Microsoft Entra для клиентов	Дополнительные сведения см. в статье Разрешения пользователей по умолчанию в клиентах клиентов.
Добавьте собственную бизнес-логику в интерфейс проверки подлинности путем интеграции с системами, которые являются внешними для Microsoft Entra ID	authenticationEventListener и customAuthenticationExtension и связанные с ними API
Интеграция с поставщиками защиты от мошенничества, чтобы предотвратить регистрацию поддельных учетных записей и атак ботов во время регистрации пользователя. Поддерживаемые поставщики включают Arkose Labs и HUMAN Security.	fraudProtectionProvider и onFraudProtectionLoadStartListener и связанные с ними API
Интеграция с поставщиками Брандмауэр веб-приложений, такими как Akamai и Cloudflare	webApplicationFirewallProvider и связанные с ним API

Управление многооблачными разрешениями (не рекомендуется)

Дополнительные сведения см. в статье Обнаружение, исправление и мониторинг разрешений в многооблачных инфраструктурах с помощью API управления разрешениями.

Управление доступом к сети

Дополнительные сведения см. в статье Безопасный доступ к облачным, общедоступным и частным приложениям с помощью API доступа к сети Microsoft Graph.

Управление клиентами партнеров

Microsoft Graph также предоставляет следующие возможности идентификации и доступа для партнеров Майкрософт в программах поставщика облачных решений (CSP), торгового посредника с добавленной стоимостью (VAR) или Помощника для управления клиентами своих клиентов.

Варианты использования	Операции API
Управление контрактами для партнера со своими клиентами	contract и связанные с ним API
Партнеры Майкрософт могут предоставить своим клиентам возможность обеспечить партнерам минимальный привилегированный доступ к клиентам своих клиентов. Эта функция обеспечивает дополнительный контроль над состоянием безопасности клиентов, позволяя им получать поддержку от торговых посредников Майкрософт	См . раздел Общие сведения об API делегированных делегированных прав администратора (GDAP)
Получайте сведения об обнаружении и оповещениях системы безопасности о несанкционированном злоупотреблении стороной, поглощении учетных записей и аномальном использовании Azure подписок в клиентах, за которые вы несете ответственность.	См . раздел Использование API оповещений системы безопасности партнера в Microsoft Graph.

Отчеты об удостоверениях и доступе

Microsoft Entra записывает все действия в клиенте и создает отчеты и журналы аудита, которые можно проанализировать для мониторинга, соответствия требованиям и устранения неполадок. Записи об этих действиях также доступны через API-интерфейсы отчетов и журналов аудита Microsoft Graph, которые позволяют анализировать действия с помощью журналов Azure Monitor и Log Analytics или передавать данные в сторонние средства SIEM для дальнейшего изучения. Дополнительные сведения см. в статье Общие сведения об API отчетов об удостоверениях и доступе.

"Никому не доверяй"

Эта функция помогает организациям согласовать свои клиенты с тремя руководящими принципами архитектуры "Никому не доверяй":

• Выполняйте проверку явным образом.
• Использование минимальных привилегий
• Предполагайте наличие бреши в системе безопасности

Дополнительные сведения о принципах "Никому не доверяй" и других способах согласования организации с руководящими принципами см. в центре руководства по принципу "Никому не доверяй".

Лицензирование

Microsoft Entra лицензии: Microsoft Entra ID Free, P1, P2 и Governance; Управление разрешениями Microsoft Entra и Идентификация рабочей нагрузки Microsoft Entra.

Подробные сведения о лицензировании для различных функций см. в разделе лицензирование Microsoft Entra ID.

Связанные материалы

• Реализация стандартов удостоверений с помощью Microsoft Entra ID
• Руководство по Microsoft Entra ID для независимых разработчиков программного обеспечения
• Ознакомьтесь с Microsoft Entra планами развертывания, чтобы создать план развертывания Microsoft Entra набора возможностей.