Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Graph proporciona API REST para administrar las funcionalidades de acceso a la red y la identidad, la mayoría de las cuales están disponibles a través de Microsoft Entra. Estas API le ayudan a automatizar las tareas de administración de acceso a la red e identidad, a integrarse con las aplicaciones y a actuar como la alternativa mediante programación a los portales de administrador, como el Centro de administración Microsoft Entra.
Microsoft Entra es una familia de soluciones de identidad y acceso a la red que incluye los siguientes productos. Todas estas funcionalidades están disponibles a través de las API de Microsoft Graph:
- Microsoft Entra ID que agrupa las funcionalidades de administración de identidades y acceso (IAM).
- Gobierno de Microsoft Entra ID
- Id. externa de Microsoft Entra
- Id. verificada por Microsoft Entra
- Administración de permisos de Microsoft Entra (en desuso)
- Acceso a Internet de Microsoft Entra y acceso a la red
Administrar identidades de usuario
Los usuarios son las identidades principales de cualquier solución de identidad y acceso. Puede administrar todo el ciclo de vida de los usuarios de su organización, incluidos los invitados, y sus derechos, como licencias o pertenencias a grupos, mediante las API de Microsoft Graph. Para obtener más información, consulte Trabajar con usuarios en Microsoft Graph.
Administrar grupos
Los grupos son los contenedores que permiten administrar de forma eficaz los derechos de las identidades como una unidad. Por ejemplo, a través de un grupo, puede conceder a los usuarios acceso a un recurso, como un sitio de SharePoint. O bien, puede concederles licencias para usar un servicio. Para obtener más información, consulte Trabajar con grupos en Microsoft Graph.
Administrar aplicaciones
Puede usar las API de Microsoft Graph para registrar y administrar las aplicaciones mediante programación, lo que le permite usar las funcionalidades de IAM de Microsoft. Para obtener más información, consulte Administración de aplicaciones Microsoft Entra y entidades de servicio mediante Microsoft Graph.
Administración de agentes (versión preliminar)
Los agentes de inteligencia artificial requieren los mismos marcos de identidad, acceso, seguridad y gobernanza que se aplican a los usuarios, aplicaciones y dispositivos de la organización. Para obtener más información sobre el uso de las API de Microsoft Graph para lograr estas funcionalidades para los agentes, consulte Agente de Microsoft Entra ID API en Información general de Microsoft Graph (versión preliminar).
Administración de inquilinos o administración de directorios
Una funcionalidad básica de administración de identidades y acceso es administrar la configuración del inquilino, los roles administrativos y la configuración. Microsoft Graph proporciona API para administrar el inquilino de Microsoft Entra en los siguientes escenarios:
| Casos de uso | Operaciones de API |
|---|---|
Administrar unidades administrativas, incluidas las siguientes operaciones:
|
administrativeUnit y sus API asociadas |
| Recuperación de claves de recuperación de BitLocker | bitlockerRecoveryKey y sus API asociadas |
| Administración de atributos de seguridad personalizados | Consulte Introducción a los atributos de seguridad personalizados mediante microsoft Graph API |
Administrar objetos de directorio eliminados. La funcionalidad para almacenar objetos eliminados en una "papelera de reciclaje" es compatible con los siguientes objetos:
|
|
| Administración de dispositivos en la nube |
|
| Vea la información de credenciales de administrador local para todos los objetos de dispositivo de Microsoft Entra ID que están habilitados con la solución de contraseña de Administración local (LAPS). Esta característica es la solución LAPS basada en la nube | deviceLocalCredentialInfo y sus API asociadas |
| Los objetos de directorio son los objetos principales de Microsoft Entra ID, como usuarios, grupos y aplicaciones. Puede usar el tipo de recurso directoryObject y sus API asociadas para comprobar la pertenencia de objetos de directorio, realizar un seguimiento de los cambios de varios objetos de directorio o validar que el nombre para mostrar o el alias de correo de un grupo de Microsoft 365 cumple con las directivas de nomenclatura. | directoryObject y sus API asociadas |
Administrar roles de administrador, incluidas las siguientes operaciones:
|
Los siguientes recursos y sus API asociadas:
Para las asignaciones de roles just-in-time y con límite de tiempo en lugar de asignaciones activas directas para siempre, use Privileged Identity Management API para Microsoft Entra roles y grupos. |
Defina las siguientes configuraciones que se pueden usar para personalizar las restricciones y el comportamiento permitidos específicos del espacio empresarial y del objeto.
|
En beta: directorySetting y directorySettingTemplate y sus API asociadas En v1.0: groupSetting y groupSettingTemplate y sus API asociadas Para obtener más información, consulte Información general sobre la configuración del grupo. |
Operaciones de administración de dominios como:
|
dominio y sus API asociadas |
| Administre los objetos de perfil para los usuarios externos a los que está invitado a colaborar a través de Teams. Estas API no son similares a las API de invitación para Id. externa de Microsoft Entra colaboración B2B
|
externalUserProfile y pendingExternalUserProfile y sus API asociadas |
| Configuración y administración del lanzamiento preconfigurado de características de Microsoft Entra ID específicas | featureRolloutPolicy y sus API asociadas |
| Supervisión de licencias y suscripciones para el inquilino |
|
| Administre las directivas para la inscripción automática de Mobile Administración de dispositivos (MDM) y Mobile Application Management (MAM) para Microsoft Entra dispositivos unidos y registrados
|
Los siguientes recursos y sus API asociadas: > |
| Configure las opciones disponibles en Microsoft Entra Cloud Sync, como evitar eliminaciones accidentales y administrar las reescrituras de grupos. | onPremisesDirectorySynchronization y sus API asociadas |
| Administre la configuración de sincronización de objetos de directorio como usuarios, grupos y contactos de la organización entre Active Directory local y la nube
|
onPremisesSyncBehavior y sus API asociadas |
| Administrar la configuración base del inquilino de Microsoft Entra | organización y sus API asociadas |
| Administre la configuración de todo el inquilino para el inquilino de Microsoft Entra, como si las personas y la información de elementos están habilitadas para la organización
|
organizationSettings y sus API asociadas |
| Recuperar los contactos de la organización que se pueden sincronizar desde directorios locales o desde Exchange Online | orgContact y sus API asociadas |
| Descubra los detalles básicos de otros inquilinos de Microsoft Entra consultando mediante el identificador de inquilino o el nombre de dominio. | tenantInformation y sus API asociadas |
Identidad e inicio de sesión
| Casos de uso | Operaciones de API |
|---|---|
| Concesión, revocación y recuperación de roles de aplicación en una aplicación de recursos para usuarios, grupos o entidades de servicio | appRoleAssignment y sus API asociadas |
| Configurar agentes de escucha que supervisen eventos que deben desencadenar o invocar lógica personalizada, normalmente definidos fuera de Microsoft Entra ID | authenticationEventListener y sus API asociadas |
| Administración de métodos de autenticación admitidos en Microsoft Entra ID | Consulte Microsoft Entra introducción a la API de métodos de autenticación y introducción a la API de directivas de métodos de autenticación de Microsoft Entra |
| Administrar los métodos de autenticación o combinaciones de métodos de autenticación que puede aplicar como control de concesión en Microsoft Entra acceso condicional | Consulte Microsoft Entra introducción a la API de puntos fuertes de autenticación. |
Administrar directivas de autorización para todo el inquilino, como:
|
authorizationPolicy y sus API asociadas |
| Personalice la interfaz de usuario o la experiencia de usuario en Azure AD B2C mediante identity experience framework (IEF)
|
trustFrameworkKeySet y trustFrameworkPolicy y sus API asociadas |
| Administración de las directivas para la autenticación basada en certificados en el inquilino | certificateBasedAuthConfiguration y sus API asociadas |
| Administrar Microsoft Entra directivas de acceso condicional, incluidas las ubicaciones de red como países, direcciones IP y redes compatibles Evaluar el impacto de las directivas de acceso condicional antes de aplicarlas Configure la evaluación de acceso continuo (CAE), que permite revocar los tokens de acceso en función de eventos críticos y la evaluación de directivas, en lugar de basarse en la expiración del token en función de la duración
|
Los siguientes recursos y sus API asociadas: |
| Administrar la configuración de acceso entre inquilinos y administrar las restricciones de salida, las restricciones de entrada, las restricciones de inquilinos y la sincronización entre inquilinos de los usuarios de organizaciones multiinquilino | Consulte Introducción a la API de configuración de acceso entre inquilinos |
| Administre los perfiles de usuario que se comparten con usted o con inquilinos externos mediante la conexión directa B2B, incluida la eliminación y exportación de datos personales
|
inboundSharedUserProfile y outboundSharedUserProfile y sus API asociadas |
| Configuración de cómo y qué sistemas externos interactúan con Microsoft Entra ID durante una sesión de autenticación de usuario | customAuthenticationExtension y sus API asociadas |
| Administración de solicitudes contra datos de usuario en la organización, como la exportación de datos personales | dataPolicyOperation y sus API asociadas |
| Configure las directivas para administrar Microsoft Entra unir y registrar Microsoft Entra dispositivos
|
deviceRegistrationPolicy y sus API asociadas |
| Administre la directiva de todo el inquilino que controla si los usuarios externos pueden dejar un inquilino Microsoft Entra a través de controles de autoservicio, por ejemplo, a través del menú organizaciones del portal Mi cuenta
|
externalIdentitiesPolicy y sus API asociadas |
| Forzar el inicio de sesión de aceleración automática para omitir la pantalla de entrada de nombre de usuario y reenviar automáticamente los usuarios a los puntos de conexión de inicio de sesión federados | homeRealmDiscoveryPolicy y sus API asociadas |
| Detecte, investigue y corrija los riesgos basados en identidades mediante Microsoft Entra ID Protection y alimente los datos en herramientas de administración de eventos e información de seguridad (SIEM) para una investigación y correlación adicionales. | Consulte Uso de las API de protección de identidades de Microsoft Graph. |
Administrar proveedores de identidades para Microsoft Entra ID, Id. externa de Microsoft Entra y Azure inquilinos de AD B2C. Puede realizar las siguientes operaciones:
|
identityProviderBase y sus API asociadas |
| Defina un grupo de inquilinos que pertenezcan a su organización y optimice la colaboración entre inquilinos entre organizaciones. | Consulte Introducción a la API de organización multiinquilino |
| Administrar los permisos delegados y sus asignaciones a las entidades de servicio en el inquilino | oAuth2PermissionGrant y sus API asociadas |
| Personalice las interfaces de usuario de inicio de sesión para que coincidan con la personalización de marca de su empresa, incluida la aplicación de personalización de marca basada en el idioma del explorador. | organizationalBranding y sus API asociadas |
| Configure entidades de certificación de confianza para los certificados que se pueden asignar a aplicaciones y entidades de servicio en el inquilino. | certificateBasedApplicationConfiguration y sus API asociadas |
| Flujos de usuario para Id. externa de Microsoft Entra en inquilinos de la fuerza de trabajo | los siguientes recursos y sus API asociadas:
|
| Flujos de usuario para Azure AD B2C
|
los siguientes recursos y sus API asociadas:
|
| Flujos de usuario para Id. externa de Microsoft Entra en inquilinos externos | los siguientes recursos y sus API asociadas:
|
| Administración de directivas de consentimiento de aplicaciones y conjuntos de condiciones | permissionGrantPolicy |
| Administrar directivas de preaplicación de consentimiento de la aplicación
|
permissionGrantPreApprovalPolicy |
| Habilitar o deshabilitar los valores predeterminados de seguridad en Microsoft Entra ID | identitySecurityDefaultsEnforcementPolicy |
Gobierno de identidad
Para obtener más información, consulte Introducción a Gobierno de Microsoft Entra ID con Microsoft Graph.
Id. externa de Microsoft Entra en inquilinos externos
Se admiten los siguientes casos de uso de API para personalizar cómo interactúan los usuarios con las aplicaciones orientadas al cliente. Para los administradores, la mayoría de las características disponibles en Microsoft Entra ID y también se admiten para Id. externa de Microsoft Entra en inquilinos externos. Por ejemplo, administración de dominios, administración de aplicaciones y acceso condicional.
| Casos de uso | Operaciones de API |
|---|---|
| Flujos de usuario para Id. externa de Microsoft Entra en inquilinos externos y experiencias de registro de autoservicio | authenticationEventsFlow y sus API asociadas |
| Administrar proveedores de identidades para Id. externa de Microsoft Entra. Puede identificar los proveedores de identidades que se admiten o configuran en el inquilino. | Consulte identityProviderBase y sus API asociadas. |
| Configuración de dominios de dirección URL personalizados en Id. externa de Microsoft Entra en inquilinos externos | Valor CustomUrlDomain de la propiedad supportedServices del dominio y sus API asociadas |
| Personalice las interfaces de usuario de inicio de sesión para que coincidan con la personalización de marca de su empresa, incluida la aplicación de personalización de marca basada en el idioma del explorador o para aplicar la personalización de marca basada en la aplicación
|
organizationalBranding y sus API asociadas |
| Administración de proveedores de identidades para Id. externa de Microsoft Entra, como identidades sociales | identityProviderBase y sus API asociadas |
| Inicie sesión con un alias o un nombre de usuario
|
signInIdentifierBase y sus API asociadas |
| Administración de perfiles de usuario en Id. externa de Microsoft Entra para clientes | Para obtener más información, consulte Permisos de usuario predeterminados en inquilinos de clientes. |
| Agregue su propia lógica de negocios a las experiencias de autenticación mediante la integración con sistemas externos a Microsoft Entra ID | authenticationEventListener y customAuthenticationExtension y sus API asociadas |
| Integre con proveedores de Web Application Firewall como Akamai y Cloudflare
|
webApplicationFirewallProvider y sus API asociadas |
Administración de permisos multinube (en desuso)
Para obtener más información, consulte Detección, corrección y supervisión de permisos en infraestructuras multinube mediante api de administración de permisos.
Administración del acceso a la red
Para obtener más información, consulte Protección del acceso a aplicaciones en la nube, públicas y privadas mediante las API de acceso a red de Microsoft Graph.
Administración de inquilinos de partners
Microsoft Graph también proporciona las siguientes funcionalidades de identidad y acceso para los asociados de Microsoft en los programas Proveedor de soluciones en la nube (CSP), Revendedor de valor agregado (VAR) o Advisor para ayudar a administrar sus inquilinos de clientes.
| Casos de uso | Operaciones de API |
|---|---|
| Administración de contratos para el asociado con sus clientes | contrato y sus API asociadas |
| Los asociados de Microsoft pueden capacitar a sus clientes para garantizar que los asociados tengan acceso con privilegios mínimos a los inquilinos de sus clientes. Esta característica proporciona control adicional a los clientes sobre su posición de seguridad, al tiempo que les permite recibir soporte técnico de los revendedores de Microsoft. | Consulte Introducción a la API de privilegios de administrador delegados granulares (GDAP) |
| Obtenga detecciones y alertas de seguridad para el abuso de entidades no autorizadas, las tomas de cuenta y el uso anómalo de suscripciones de Azure en los inquilinos del cliente de los que es responsable.
|
Consulte Uso de la API de alertas de seguridad de asociados en Microsoft Graph |
Informes de identidad y acceso
Microsoft Entra registra todas las actividades del inquilino y genera informes y registros de auditoría que puede analizar para la supervisión, el cumplimiento y la solución de problemas. Los registros de estas actividades también están disponibles a través de las API de informes y registros de auditoría de Microsoft Graph, que le permiten analizar las actividades con Azure Supervisar registros y Log Analytics, o transmitirlos a herramientas SIEM de terceros para realizar investigaciones adicionales. Para obtener más información, consulte Información general sobre la API de informes de identidad y acceso.
Confianza cero
Esta característica ayuda a las organizaciones a alinear sus inquilinos con los tres principios rectores de una arquitectura de Confianza cero:
- Comprobar de forma explícita.
- Uso de privilegios mínimos
- Asumir la vulneración.
Para obtener más información sobre Confianza cero y otras formas de alinear su organización con los principios rectores, consulte el Centro de orientación de Confianza cero.
Licencias
Microsoft Entra licencias incluyen Microsoft Entra ID Free, P1, P2 y Governance; Administración de permisos de Microsoft Entra y Id. de carga de trabajo de Microsoft Entra.
Para obtener información detallada sobre las licencias para distintas características, consulte Microsoft Entra ID licencias.
Contenido relacionado
- Implementación de estándares de identidad con Microsoft Entra ID
- Guía de Microsoft Entra ID para desarrolladores de software independientes
- Revise los planes de implementación de Microsoft Entra para ayudarle a crear el plan para implementar el conjunto de funcionalidades Microsoft Entra.