使用 Microsoft Graph 管理Microsoft Entra标识和网络访问

Microsoft Graph 提供用于管理标识和网络访问功能的 REST API，其中大多数可通过 Microsoft Entra 使用。 这些 API 可帮助你自动执行标识和网络访问管理任务，与应用程序集成，并充当管理员门户（如 Microsoft Entra 管理中心）的编程替代项。

Microsoft Entra是一系列标识和网络访问解决方案，其中包括以下产品。 所有这些功能都通过 Microsoft Graph API 提供：

• 将标识和访问管理 (IAM) 功能分组Microsoft Entra ID。
• Microsoft Entra ID 治理
• Microsoft Entra 外部 ID
• Microsoft Entra 验证 ID
• 已弃用Microsoft Entra 权限管理 ()
• Microsoft Entra Internet 访问和网络访问

管理用户标识

用户是任何标识和访问解决方案中的主要标识。 可以使用 Microsoft Graph API 管理组织中的用户的整个生命周期，包括来宾及其权利（如许可证或组成员身份）。 有关详细信息，请参阅 在 Microsoft Graph 中使用用户。

管理群组

组是一个容器，可用于将标识的权利作为一个单元进行有效管理。 例如，可以通过组向用户授予对资源（如 SharePoint 网站）的访问权限。 或者，可以向他们授予使用服务的许可证。 有关详细信息，请参阅 在 Microsoft Graph 中使用组。

管理应用程序。

可以使用 Microsoft Graph API 以编程方式注册和管理应用程序，从而使用 Microsoft 的 IAM 功能。 有关详细信息，请参阅使用 Microsoft Graph 管理Microsoft Entra应用程序和服务主体。

(预览版) 管理代理

AI 代理需要应用于组织中的用户、应用程序和设备的相同标识、访问、安全性和治理框架。 有关使用 Microsoft Graph API 实现代理的这些功能的详细信息，请参阅 Microsoft Graph 概述中的 Microsoft Entra 智能体 ID API 概述 (预览版) 。

租户管理或目录管理

标识和访问管理的核心功能是管理租户配置、管理角色和设置。 Microsoft Graph 提供用于管理Microsoft Entra租户的 API，适合以下方案：

用例	API作
管理管理单元，包括以下作： 创建管理单元 创建和管理管理单元的成员和成员身份规则 分配作用域为管理单元的管理员角色	administrativeUnit 及其关联的 API
检索 BitLocker 恢复密钥	bitlockerRecoveryKey 及其关联的 API
管理自定义安全属性	请参阅使用Microsoft图形 API的自定义安全属性概述
管理已删除的目录对象。 以下对象支持将已删除对象存储在“回收站”中的功能： 管理单元 应用程序 外部用户配置文件 组 挂起的外部用户配置文件 服务主体 用户	获取 或 列出 已删除的对象 永久删除 已删除的对象 还原已删除的项目 列出用户拥有的已删除项目
管理云中的设备	设备 及其关联的 API deviceTemplate 及其关联的 API
查看使用本地管理员密码解决方案 (LAPS) 启用的Microsoft Entra ID中所有设备的本地管理员凭据信息。 此功能是基于云的 LAPS 解决方案	deviceLocalCredentialInfo 及其关联的 API
目录对象是Microsoft Entra ID的核心对象，例如用户、组和应用程序。 可以使用 directoryObject 资源类型及其关联的 API 来检查目录对象的成员身份、跟踪多个目录对象的更改，或验证Microsoft 365 组的显示名称或邮件昵称是否符合命名策略	directoryObject 及其关联的 API
管理管理员角色，包括以下作： 创建自定义角色 将角色分配给用户、组或服务主体 跟踪对角色分配的更改 从角色中删除被分配者	以下资源及其关联的 API： directoryRole 和 directoryRoleTemplate roleManagement (建议) 对于实时和有时间限制的角色分配，而不是直接永久活动分配，请对Microsoft Entra角色和组使用Privileged Identity Management API
定义以下配置，这些配置可用于自定义租户范围和特定于对象的限制和允许的行为。 Microsoft 365 个组的设置，例如来宾用户访问、分类和命名策略 密码规则设置，例如禁止的密码列表和锁定持续时间 禁止应用程序名称、保留字和阻止商标违规 自定义条件访问策略 URL 同意策略，例如用户同意请求、组特定同意和风险应用的同意	在 beta中： directorySetting 和 directorySettingTemplate 及其关联的 API 在 v1.0中： groupSetting 和 groupSettingTemplate 及其关联的 API 有关详细信息，请参阅 组设置概述。
域管理作，例如： 将域与租户关联 检索 DNS 记录 验证域所有权 非托管域的外部管理员接管 将特定服务与特定域关联 删除域	域 及其关联的 API
管理你受邀通过 Teams 进行协作的外部用户的配置文件对象。 这些 API 与的Microsoft Entra 外部 ID B2B 协作邀请 API 不相似。	externalUserProfile 和 pendingExternalUserProfile 及其关联的 API
配置和管理特定Microsoft Entra ID功能的分阶段推出	featureRolloutPolicy 及其关联的 API
监视租户的许可证和订阅	companySubscription 及其关联的 API subscribedSku 及其关联的 API
管理移动设备管理 (MDM) 和移动应用程序管理的策略， (MAM) 自动注册Microsoft Entra仅在	以下资源及其关联的 API： mobileAppManagementPolicy > mobileDeviceManagementPolicy >
配置 Microsoft Entra Cloud Sync 中可用的选项，例如防止意外删除和管理组写回。	onPremisesDirectorySynchronization 及其关联的 API
管理目录对象的同步设置，例如本地 Active Directory与云之间的用户、组和组织联系人，	onPremisesSyncBehavior 及其关联的 API
管理Microsoft Entra租户的基本设置	组织 及其关联的 API
管理Microsoft Entra租户的租户范围设置，例如是否为组织启用了人员和项目见解，	organizationSettings 及其关联的 API
检索可能从本地目录或从Exchange Online同步的组织联系人	orgContact 及其关联的 API
通过使用租户 ID 或域名进行查询，发现其他Microsoft Entra租户的基本详细信息	tenantInformation 及其关联的 API

身份和登录

用例	API作
在资源应用程序上为用户、组或服务主体授予、撤销和检索应用角色	appRoleAssignment 及其关联的 API
配置监视应触发或调用自定义逻辑的事件的侦听器，通常在Microsoft Entra ID	authenticationEventListener 及其关联的 API
管理 Microsoft Entra ID 中支持的身份验证方法	请参阅Microsoft Entra身份验证方法 API 概述和Microsoft Entra身份验证方法策略 API 概述
管理可在Microsoft Entra条件访问中作为授权控制的身份验证方法或身份验证方法的组合	请参阅Microsoft Entra身份验证强度 API 概述
管理租户范围的授权策略，例如： 为管理员帐户启用 SSPR 为来宾启用自助加入 限制可以邀请来宾的人员 用户是否可以同意有风险的应用 阻止使用 MSOL 自定义默认用户权限 已启用标识专用预览功能 自定义用户、来宾用户和受限来宾用户之间的来宾用户权限	authorizationPolicy 及其关联的 API
使用标识体验框架 (IEF) ，自定义 Azure AD B2C 中的 UI/UX。	trustFrameworkKeySet 和 trustFrameworkPolicy 及其关联的 API
在租户中管理基于证书的身份验证策略	certificateBasedAuthConfiguration 及其关联的 API
管理Microsoft Entra条件访问策略，包括国家/地区、IP 地址和合规网络等网络位置 在强制实施条件访问策略之前评估它们的影响 配置持续访问评估 (CAE) ，这允许根据关键事件和策略评估撤销访问令牌，而不是依赖于生存期的令牌过期。	以下资源及其关联的 API： conditionalAccessPolicy conditionalAccessTemplate authenticationContextClassReference namedLocation whatIfAnalysisResult continuousAccessEvaluationPolicy
管理跨租户访问设置，并管理多租户组织中用户的出站限制、入站限制、租户限制和跨租户同步	请参阅 跨租户访问设置 API 概述
使用 B2B 直连管理与你或外部租户共享的用户配置文件，包括删除和导出	inboundSharedUserProfile 和 outboundSharedUserProfile 及其关联的 API
配置在用户身份验证会话期间如何以及哪些外部系统与Microsoft Entra ID交互	customAuthenticationExtension 及其关联的 API
管理针对组织中用户数据的请求，例如导出个人数据	dataPolicyOperation 及其关联的 API
配置策略以管理Microsoft Entra加入和Microsoft Entra注册仅在	deviceRegistrationPolicy 及其关联的 API
管理租户范围的策略，该策略控制外部用户是否可以通过自助服务控件离开Microsoft Entra租户，例如，通过“我的帐户”门户的“组织”菜单，	externalIdentitiesPolicy 及其关联的 API
强制自动登录以跳过用户名输入屏幕，并自动将用户转发到联合登录终结点	homeRealmDiscoveryPolicy 及其关联的 API
使用Microsoft Entra ID保护检测、调查和修正基于标识的风险，并将数据馈送到安全信息和事件管理中， (SIEM) 工具进行进一步调查和关联	请参阅 使用 Microsoft Graph 标识保护 API
管理Microsoft Entra ID、Microsoft Entra 外部 ID和Azure AD B2C 租户的标识提供者。 可以执行以下作： 管理外部标识的标识提供者，包括社交标识提供者、OIDC、Apple、SAML/WS-Fed 和内置提供程序 管理联合域和令牌验证的配置	identityProviderBase 及其关联的 API
定义属于组织的一组租户并简化组织内部跨租户协作	请参阅 多租户组织 API 概述
管理委托的权限及其对租户中的服务主体的分配	oAuth2PermissionGrant 及其关联的 API
自定义登录 UI 以匹配公司品牌，包括应用基于浏览器语言的品牌打造	organizationalBranding 及其关联的 API
为可分配给租户中的应用和服务主体的证书配置受信任的证书颁发机构。	certificateBasedApplicationConfiguration 及其关联的 API
劳动力租户中Microsoft Entra 外部 ID的用户流	以下资源及其关联的 API： b2xIdentityUserFlow 用于配置基本用户流及其属性（如标识提供者） identityUserFlowAttribute 用于管理内置和自定义用户流属性 identityUserFlowAttributeAssignment 用于管理用户流属性分配 userFlowLanguageConfiguration 为用户流配置自定义语言
Azure AD B2C 的用户流	以下资源及其关联的 API： b2cIdentityUserFlow 用于配置基本用户流及其属性（如标识提供者） identityUserFlowAttribute 用于管理内置和自定义用户流属性 identityUserFlowAttributeAssignment 用于管理用户流属性分配 userFlowLanguageConfiguration 为用户流配置自定义语言
外部租户中Microsoft Entra 外部 ID的用户流	以下资源及其关联的 API： authenticationEventsFlow 及其关联的 API identityUserFlowAttribute 用于管理内置和自定义用户流属性
管理应用同意策略和条件集	permissionGrantPolicy
管理应用同意预批准策略。	permissionGrantPreApprovalPolicy
在 Microsoft Entra ID 中启用或禁用安全默认值	identitySecurityDefaultsEnforcementPolicy

身份管理

有关详细信息，请参阅使用 Microsoft Graph 的Microsoft Entra ID 治理概述。

外部租户中的Microsoft Entra 外部 ID

支持以下 API 用例来自定义用户与面向客户的应用程序交互的方式。 对于管理员，大多数功能在 Microsoft Entra ID 中可用，也支持外部租户中的Microsoft Entra 外部 ID。 例如，域管理、应用程序管理和条件访问。

用例	API作
外部租户中的Microsoft Entra 外部 ID的用户流和自助注册体验	authenticationEventsFlow 及其关联的 API
管理Microsoft Entra 外部 ID的标识提供者。 可以标识租户中支持或配置的标识提供者	请参阅 identityProviderBase 及其关联的 API
在外部租户的 Microsoft Entra 外部 ID 中配置自定义 URL 域	CustomUrlDomain 域及其关联 API 的 supportedServices 属性的值
自定义登录 UI 以匹配公司品牌，包括应用基于浏览器语言的品牌，或应用基于应用的品牌。	organizationalBranding 及其关联的 API
管理Microsoft Entra 外部 ID的标识提供者，例如社交标识	identityProviderBase 及其关联的 API
使用别名或用户名登录。	signInIdentifierBase 及其关联的 API
在客户Microsoft Entra 外部 ID中管理用户配置文件	有关详细信息，请参阅 客户租户中的默认用户权限
通过与外部的系统集成，将自己的业务逻辑添加到身份验证体验Microsoft Entra ID	authenticationEventListener 和 customAuthenticationExtension 及其关联的 API
与Web 应用程序防火墙提供商（例如 Akamai 和 Cloudflare	webApplicationFirewallProvider 及其关联的 API

多云权限管理 (弃用)

有关详细信息，请参阅 使用权限管理 API 发现、修正和监视多云基础结构中的权限。

网络访问管理

有关详细信息，请参阅 使用 Microsoft Graph 网络访问 API 保护对云、公共和专用应用的访问。

合作伙伴租户管理

Microsoft Graph 还为云解决方案提供商中的Microsoft合作伙伴提供以下标识和访问功能， (CSP) 、增值经销商 (VAR) 或顾问计划，以帮助管理其客户租户。

用例	API作
管理合作伙伴与其客户的合同	contract 及其关联的 API
Microsoft合作伙伴可以为其客户授权，以确保合作伙伴对其客户的租户具有最低特权访问权限。 此功能可让客户对其安全状况进行额外的控制，同时允许他们从Microsoft经销商获得支持	请参阅 (GDAP) API 概述的精细委派管理员权限
获取针对你负责的客户租户中未经授权方滥用、帐户接管和异常使用Azure订阅的检测和安全警报。	请参阅 在 Microsoft Graph 中使用合作伙伴安全警报 API

标识和访问报告

Microsoft Entra记录租户中的每个活动，并生成报告和审核日志，你可以分析这些日志以进行监视、合规性和故障排除。 这些活动的记录也可通过 Microsoft Graph 报告和审核日志 API 获取，这些 API 允许使用 Azure Monitor 日志和 Log Analytics 分析活动，或流式传输到第三方 SIEM 工具进行进一步调查。 有关详细信息，请参阅 标识和访问报告 API 概述。

零信任

此功能可帮助组织使其租户与零信任体系结构的三个指导原则保持一致：

• 显式验证
• 使用最低特权
• 假定漏洞

若要详细了解零信任和其他使组织符合指导原则的方法，请参阅零信任指导中心。

授权

Microsoft Entra许可证包括 Microsoft Entra ID Free、P1、P2 和 Governance;Microsoft Entra 权限管理; 和 Microsoft Entra Workload ID。

有关不同功能许可的详细信息，请参阅Microsoft Entra ID许可。

相关内容

• 使用 Microsoft Entra ID 实现标识标准
• 面向独立软件开发人员的Microsoft Entra ID指南
• 查看Microsoft Entra部署计划，以帮助你制定部署Microsoft Entra功能套件的计划。