Verwalten von Microsoft Entra Anwendungen und Dienstprinzipalen mithilfe von Microsoft Graph

  • Artikel

Microsoft Entra ID ist ein IAM-System (Identity and Access Management). Ein Kernbestandteil der Funktionalität ist die Microsoft Identity Platform, die Authentifizierungs- und Autorisierungsdienste für registrierte Anwendungen bereitstellt. Mit Microsoft Graph-APIs können Sie Ihre Anwendungen programmgesteuert registrieren und verwalten, sodass Sie die IAM-Funktionen von Microsoft verwenden können.

Anwendungen und Dienstprinzipale

In Microsoft Entra wird eine Anwendung durch ein Anwendungsobjekt und ein Dienstprinzipalobjekt definiert. Es gibt nur ein Anwendungsobjekt für Ihre Anwendung in Microsoft Entra, aber es können mehrere Dienstprinzipalobjekte für Ihre Anwendung vorhanden sein.

Das Anwendungsobjekt befindet sich in dem Mandanten, in dem die App registriert wurde. Ein Dienstprinzipal wird in jedem Mandanten erstellt, in dem die App installiert und verwendet wird, einschließlich des Mandanten, in dem die App registriert ist. Weitere Informationen finden Sie unter Anwendungs- und Dienstprinzipalobjekte in Microsoft Entra ID.

In Microsoft Graph wird eine Anwendung durch den Anwendungsressourcentyp und ein Dienstprinzipal durch den ServicePrincipal-Ressourcentyp dargestellt. Auf die Details der beiden Objekte kann im Microsoft Entra Admin Center über die Menüs Identitätsanwendungen>>App-Registrierungen bzw. Identitätsanwendungen>>Unternehmensanwendungen zugegriffen werden.

API-Anwendungsfälle für die Verwaltung von Anwendungen

Die folgenden API-Anwendungsfälle werden für die Verwaltung von Anwendungen über den Anwendungsressourcentyp in Microsoft Graph unterstützt.

Anwendungsfälle API-Vorgänge
Registrieren einer Anwendung und Konfigurieren der grundlegenden Eigenschaften Create application
Konfigurieren Sie Eigenschaften für registrierte Anwendungen, einschließlich:
  • Grundlegende Eigenschaften wie Anzeigename, Logo, Tags
  • Berechtigungen
  • Zuweisen von Apps zu Benutzern: Legen Sie die URIs für grundlegende Bezeichner fest.
  • Die von der App unterstützten Microsoft-Konten
  • App-Rollen
    		•  Update application
    Löschen einer Anwendung Delete application
    Verwalten gelöschter Anwendungen
  • DeletedItems auflisten
  • Auflisten von deletedItems-Besitzern nach einem Benutzer
  • Gelöschtes Element abrufen
  • Element endgültig löschen
  • Gelöschtes Element wiederherstellen
    		•
    Verwalten von Kennwortanmeldeinformationen für eine Anwendung
  • application: addPassword
  • application: removePassword
    		•
    Verwalten von Anmeldeinformationen für Verbundidentitäten für eine Anwendung Beginnen Sie mit der Verwaltung von Anmeldeinformationen für Verbundidentitäten mit Microsoft Graph.
    Verwalten zertifikatbasierter Anmeldeinformationen für eine Anwendung
  • application: addKey
  • application: removeKey
  • Aktualisieren der keyCredentials-Eigenschaft über den Api-Vorgang zum Aktualisieren der Anwendung
    		•
    Verwalten von Verzeichniserweiterungen für Anwendungen
  • extensionProperty-Ressourcentyp und die zugehörigen Methoden. Weitere Informationen finden Sie unter Hinzufügen von benutzerdefinierten Daten zu Ressourcen mithilfe von Erweiterungen.
    		•
    Nachverfolgen von Änderungen an einer Anwendung
  • application: delta
  • directoryObject: delta mit folgendem Filter ..?$filter=isof('microsoft.graph.application')
    		•
    Verwalten von Besitzern
  • Besitzer auflisten
  • Besitzer hinzufügen
  • Besitzer entfernen
    		•
    Verwalten der Herausgeberüberprüfung
  • Festlegen von verifiedPublisher
  • Unset verifiedPublisher
    		•

    API-Anwendungsfälle für die Verwaltung von Dienstprinzipalen

    Die folgenden API-Anwendungsfälle werden für die Verwaltung von Dienstprinzipalen über den Ressourcentyp servicePrincipal in Microsoft Graph unterstützt.

    Anwendungsfälle API-Vorgänge
    Registrieren eines Dienstprinzipals Create servicePrincipal
    Konfigurieren Sie Eigenschaften für einen Dienstprinzipal, einschließlich:
  • Grundlegende Eigenschaften wie Anzeigename, Logo
  • Berechtigungen
  • Konfigurieren des SSO-Modus
    		•  Update servicePrincipal
    Löschen eines Dienstprinzipals Delete servicePrincipal
    Verwalten gelöschter Dienstprinzipale (Anzeigen, Wiederherstellen oder endgültiges Löschen)
  • DeletedItems auflisten
  • Auflisten von deletedItems im Besitz eines Benutzers
  • Gelöschtes Element abrufen
  • Element endgültig löschen
  • Gelöschtes Element wiederherstellen
    		•
    Verwalten von Kennwortanmeldeinformationen für einen Dienstprinzipal
  • servicePrincipal: addPassword
  • servicePrincipal: removePassword
    		•
    Verwalten zertifikatbasierter Anmeldeinformationen für einen Dienstprinzipal
  • servicePrincipal: addKey
  • servicePrincipal: removePKey
    		•
    Hinzufügen eines SAML-Tokensignaturzertifikats
  • servicePrincipal: addTokenSigningCertificate
    		•
    Nachverfolgen von Änderungen an einem Dienstprinzipal
  • servicePrincipal: delta
  • directoryObject: delta mit folgendem Filter ..?$filter=isof('microsoft.graph.servicePrincipal')
    		•
    Verwalten von Besitzern
  • Besitzer auflisten
  • Besitzer hinzufügen
  • Besitzer entfernen
    		•

    Anwendungsvorlagen

    Anwendungsvorlagen sind Apps, die im Microsoft Entra App-Katalog verfügbar sind. Verwenden Sie den Ressourcentyp applicationTemplate und die zugehörigen Methoden für Folgendes:

    • Identifizieren von Apps aus dem Anwendungskatalog
    • Identifizieren von Apps nach dem unterstützten SSO-Modus
    • Instanziieren einer App und eines Dienstprinzipals aus einem Anwendungskatalog

    Richtlinien für Anwendungen und Dienstprinzipale

    Richtlinienbeschreibung API-Vorgänge Gilt für
    Verwalten Microsoft Entra ID RDS-Authentifizierungsprotokolls (Remotedesktopdienste) remoteDesktopSecurityConfiguration-Ressourcentyp und die zugehörigen Methoden Dienstprinzipale
    Konfigurieren der SAML-Tokenrichtlinie tokenIssuancePolicy-Ressourcentyp und die zugehörigen Methoden Anwendungen

    Dienstprinzipale
    Konfigurieren von Richtlinien für Zugriffs-, SAML- und ID-Token Tokengültigkeitsdauerrichtlinie: tokenLifetimePolicy-Ressourcentyp und die zugehörigen Methoden

    Tokenausstellungsrichtlinie: tokenIssuancePolicy-Ressourcentyp und zugehörige Methoden    		 Anwendungen

    Dienstprinzipale
    Verwalten des Leerlaufsitzungstimeouts für Microsoft 365-Web-Apps für alle Gerätetypen

    Hinweis: Um die Richtlinie nur für nicht verwaltete Geräte auszulösen, müssen Sie auch eine Richtlinie für bedingten Zugriff hinzufügen.    		 activityBasedTimeoutPolicy-Ressourcentyp und zugehörige Methoden Microsoft 365-Web-Apps
    Verwalten Sie Richtlinien dafür, wie Zertifikate und Kennwortgeheimnisse in Ihrer organization verwendet werden können. Erstellen Sie mandantenweite Richtlinien oder app-spezifische Richtlinien, z. B. blockieren oder die Lebensdauer von Kennwortgeheimnissen oder symmetrischen Schlüsseln einschränken und vertrauenswürdige Zertifizierungsstellen erzwingen Richtlinien für Anwendungsauthentifizierungsmethoden Anwendungen
    Verwalten von Anspruchszuordnungsrichtlinien für die Protokolle WS-Fed, SAML, OAuth 2.0 und OpenID Connect sowie die Anwendungen, für die die Richtlinien gelten claimsMappingPolicy-Ressourcentyp und die zugehörigen Methoden Dienstprinzipale
    Verwalten der Home Realm Discovery (HRD) für den Mandanten und Zuweisen der Richtlinie zu einem Dienstprinzipal homeRealmDiscoveryPolicy-Ressourcentyp und die zugehörigen Methoden Dienstprinzipale

    Identitätssynchronisierung (Bereitstellung)

    Mit Bereitstellungs-APIs in Microsoft Graph können Sie die Bereitstellung und Aufhebung der Bereitstellung von Identitäten in den folgenden Szenarien automatisieren und verwalten:

    • Von Lokales Active Directory zu Microsoft Entra ID
    • Von anderen Cloudverzeichnissen zu Microsoft Entra ID
    • Von Microsoft Entra ID bis hin zu Cloudanwendungen wie Dropbox, Salesforce, ServiceNow und mehr

    Weitere Informationen finden Sie unter übersicht über Microsoft Entra Synchronisierungs-API.

    Verwandte Inhalte