Verwalten von Identitäts- und Netzwerkzugriffsfunktionen von Microsoft Entra mithilfe von Microsoft Graph

Wichtig

Die APIs unter der /beta Version in Microsoft Graph können sich ändern. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in v1.0 verfügbar ist, verwenden Sie die Version Selektor.

Mit Microsoft Graph können Sie Identitäts- und Netzwerkzugriffsfunktionen verwalten, von denen die meisten über Microsoft Entra verfügbar sind. Die APIs in Microsoft Graph helfen Ihnen, Identitäts- und Netzwerkzugriffsverwaltungsaufgaben zu automatisieren und in beliebige Anwendungen zu integrieren. Sie sind die programmgesteuerte Alternative zu den Administratorportalen wie dem Microsoft Entra Admin Center.

Microsoft Entra ist eine Familie von Identitäts- und Netzwerkzugriffsfunktionen, die in den folgenden Produkten verfügbar sind. Alle diese Funktionen sind über Microsoft Graph-APIs verfügbar:

  • Microsoft Entra ID, die IAM-Funktionen (Identity and Access Management) gruppiert.
  • Microsoft Entra ID Governance
  • Externe Microsoft Entra-ID
  • Microsoft Entra Verified ID
  • Microsoft Entra Permissions Management
  • Microsoft Entra Internet Access and Network Access

Verwalten von Benutzeridentitäten

Benutzer sind die Wichtigsten Identitäten in jeder Identitäts- und Zugriffslösung. Sie können den gesamten Lebenszyklus von Benutzern in Ihrer Organisation und deren Berechtigungen wie Lizenzen oder Gruppenmitgliedschaften mithilfe von Microsoft Graph-APIs verwalten. Weitere Informationen finden Sie unter Arbeiten mit Benutzern in Microsoft Graph.

Verwalten von Gruppen

Gruppen sind die Container, mit denen Sie die Berechtigungen für Identitäten effizient als Einheit verwalten können. Beispielsweise können Sie Benutzern über eine Gruppe Zugriff auf eine Ressource gewähren, z. B. auf eine SharePoint-Website. Alternativ können Sie ihnen Lizenzen für die Verwendung eines Diensts gewähren. Weitere Informationen finden Sie unter Arbeiten mit Gruppen in Microsoft Graph.

Verwalten von Anwendungen

Sie können Microsoft Graph-APIs verwenden, um Ihre Anwendungen programmgesteuert zu registrieren und zu verwalten, sodass Sie die IAM-Funktionen von Microsoft verwenden können. Weitere Informationen finden Sie unter Verwalten von Microsoft Entra-Anwendungen und -Dienstprinzipalen mithilfe von Microsoft Graph.


Mandantenverwaltung oder Verzeichnisverwaltung

Eine Kernfunktion der Identitäts- und Zugriffsverwaltung ist die Verwaltung Ihrer Mandantenkonfiguration, Administratorrollen und Einstellungen. Microsoft Graph bietet APIs zum Verwalten Ihres Microsoft Entra-Mandanten für die folgenden Szenarien:

Anwendungsfälle API-Vorgänge
Verwalten Sie Verwaltungseinheiten, einschließlich der folgenden Vorgänge:
  • Erstellen von Verwaltungseinheiten
  • Erstellen und Verwalten von Mitgliedern und Mitgliedschaftsregeln von Verwaltungseinheiten
  • Zuweisen von Administratorrollen, die auf Verwaltungseinheiten beschränkt sind
  • administrativeUnit-Ressourcentyp und die zugehörigen APIs
    Abrufen von BitLocker-Wiederherstellungsschlüsseln bitlockerRecoveryKey-Ressourcentyp und die zugehörigen APIs
    Überwachen von Lizenzen und Abonnements für den Mandanten
  • companySubscription-Ressourcentyp und die zugehörigen APIs
  • subscribedSku-Ressourcentyp und die zugehörigen APIs
  • Verwalten von benutzerdefinierten Sicherheitsattributen Weitere Informationen finden Sie unter Übersicht über benutzerdefinierte Sicherheitsattribute mit der Microsoft Graph-API.
    Verwalten gelöschter Verzeichnisobjekte. Die Funktionalität zum Speichern gelöschter Objekte in einem "Papierkorb" wird für die folgenden Objekte unterstützt:
  • Verwaltungseinheiten
  • Anwendungen
  • Externe Benutzerprofile
  • Gruppen
  • Ausstehende externe Benutzerprofile
  • Dienstprinzipale
  • Benutzer
  • Abrufen oder Auflisten gelöschter Objekte
  • Endgültiges Löschen eines gelöschten Objekts
  • Wiederherstellen eines gelöschten Elements
  • Gelöschte Elemente auflisten, die im Besitz des Benutzers sind
  • Verwalten von Geräten in der Cloud Geräteressourcentyp und die zugehörigen APIs
    Zeigen Sie Anmeldeinformationen für lokale Administratoranmeldeinformationen für alle Geräteobjekte in Microsoft Entra ID an, die mit der lokalen Administratorkennwortlösung (Local Admin Password Solution, LAPS) aktiviert sind. Dieses Feature ist die cloudbasierte LAPS-Lösung. deviceLocalCredentialInfo-Ressourcentyp und die zugehörigen APIs
    Verzeichnisobjekte sind die Kernobjekte in Microsoft Entra ID, z. B. Benutzer, Gruppen und Anwendungen. Sie können den Ressourcentyp directoryObject und die zugehörigen APIs verwenden, um Mitgliedschaften von Verzeichnisobjekten zu überprüfen, Änderungen für mehrere Verzeichnisobjekte nachzuverfolgen oder zu überprüfen, ob der Anzeigename oder E-Mail-Spitzname einer Microsoft 365-Gruppe den Benennungsrichtlinien entspricht. directoryObject-Ressourcentyp und die zugehörigen APIs
    Administratorrollen, einschließlich Microsoft Entra-Administratorrollen, sind eine der vertraulichsten Ressourcen in einem Mandanten. Sie können den Lebenszyklus ihrer Zuweisung im Mandanten verwalten, einschließlich des Erstellens benutzerdefinierter Rollen, Zuweisen von Rollen, Nachverfolgen von Änderungen an Rollenzuweisungen und Entfernen von Zugewiesenen aus Rollen. directoryRole-Ressourcentyp und directoryRoleTemplate-Ressourcentypund die zugehörigen APIs

    roleManagement-Ressourcentyp und die zugehörigen APIs

    Mit diesen APIs können Sie direkte Rollenzuweisungen vornehmen. Alternativ können Sie Privileged Identity Management-APIs für Microsoft Entra-Rollen und -Gruppen verwenden, um Just-in-Time- und zeitgebundene Rollenzuweisungen zu erstellen, anstatt direkte, für immer aktive Zuweisungen.
    Definieren Sie die folgenden Konfigurationen, die verwendet werden können, um die mandantenweiten und objektspezifischen Einschränkungen und das zulässige Verhalten anzupassen.
  • Einstellungen für Microsoft 365-Gruppen wie Gastbenutzerzugriff, Klassifizierungen und Benennungsrichtlinien
  • Kennwortregeleinstellungen wie Listen für gesperrte Kennwörter und Sperrdauer
  • Unzulässige Namen für Anwendungen, reservierte Wörter und blockierende Markenverletzungen
  • URL der Benutzerdefinierten Richtlinie für bedingten Zugriff
  • Einwilligungsrichtlinien wie Benutzer-Einwilligungsanforderungen, gruppenspezifische Zustimmung und Zustimmung für riskante Apps
  • groupSetting-Ressourcentyp und groupSettingTemplate-Ressourcentyp und die zugehörigen APIs

    Weitere Informationen finden Sie unter Übersicht über Gruppeneinstellungen.
    Domänenverwaltungsvorgänge wie:
  • Zuordnen einer Domäne zu Ihrem Mandanten
  • Abrufen von DNS-Einträgen
  • Überprüfen des Domänenbesitzes
  • Zuordnen bestimmter Dienste zu bestimmten Domänen
  • Löschen von Domänen
  • Domänenressourcentyp und zugehörige APIs
    Konfigurieren und Verwalten des gestaffelten Rollouts bestimmter Microsoft Entra ID-Features featureRolloutPolicy-Ressourcentyp und die zugehörigen APIs
    Konfigurieren Sie optionen, die in Microsoft Entra Cloud Sync verfügbar sind, z. B. das Verhindern von versehentlichen Löschungen und das Verwalten von Gruppenrückschreiben. onPremisesDirectorySynchronization-Ressourcentyp und die zugehörigen APIs
    Verwalten der Basiseinstellungen für Ihren Microsoft Entra-Mandanten Organisationsressourcentyp und die zugehörigen APIs
    Abrufen der Organisationskontakte, die möglicherweise aus lokalen Verzeichnissen oder aus Exchange Online synchronisiert werden orgContact-Ressourcentyp und die zugehörigen APIs
    Ermitteln Sie die grundlegenden Details anderer Microsoft Entra-Mandanten, indem Sie die Mandanten-ID oder den Domänennamen abfragen. tenantInformation-Ressourcentyp und die zugehörigen APIs
    Verwalten der delegierten Berechtigungen und ihrer Zuweisungen zu Dienstprinzipalen im Mandanten oAuth2PermissionGrant-Ressourcentyp und die zugehörigen APIs

    Identität und Anmeldung

    Anwendungsfälle API-Vorgänge
    Konfigurieren von Listenern, die Ereignisse überwachen, die benutzerdefinierte Logik auslösen oder aufrufen sollen, die in der Regel außerhalb von Microsoft Entra ID definiert ist authenticationEventListener-Ressourcentyp und die zugehörigen APIs
    Verwalten von Authentifizierungsmethoden, die in Microsoft Entra ID unterstützt werden Weitere Informationen finden Sie unter Übersicht über die Api für Microsoft Entra-Authentifizierungsmethoden und Richtlinien für Microsoft Entra-Authentifizierungsmethoden.
    Verwalten der Authentifizierungsmethoden oder Kombinationen von Authentifizierungsmethoden, die Sie als Gewährungssteuerung in Microsoft Entra Conditional Access anwenden können Siehe Übersicht über die Microsoft Entra-Authentifizierungsstärken-API
    Verwalten sie mandantenweite Autorisierungsrichtlinien, z. B.:
  • Aktivieren von SSPR für Administratorkonten
  • Aktivieren des Self-Service-Joins für Gäste
  • einschränken, wer Gäste einladen kann
  • Ob Benutzer riskanten Apps zustimmen können
  • Blockieren der Verwendung von MSOL
  • Anpassen der Standardbenutzerberechtigungen
  • Private Preview-Features für Identitäten aktiviert
  • Anpassen der Gastbenutzerberechtigungen zwischen Benutzer, Gastbenutzer und eingeschränktem Gastbenutzer
  • authorizationPolicy-Ressourcentyp und die zugehörigen APIs
    Verwalten der Richtlinien für die zertifikatbasierte Authentifizierung im Mandanten certificateBasedAuthConfiguration-Ressourcentyp und die zugehörigen APIs
    Verwalten von Microsoft Entra-Richtlinien für bedingten Zugriff conditionalAccessRoot-Ressourcentyp und die zugehörigen APIs
    Verwalten mandantenübergreifender Zugriffseinstellungen und Verwalten von Ausgangsbeschränkungen, eingehenden Einschränkungen, Mandanteneinschränkungen und mandantenübergreifender Synchronisierung von Benutzern in mehrinstanzenfähigen Organisationen Weitere Informationen finden Sie unter Übersicht über mandantenübergreifende Zugriffseinstellungen.
    Konfigurieren, wie und welche externen Systeme während einer Benutzerauthentifizierungssitzung mit microsoft Entra ID interagieren customAuthenticationExtension-Ressourcentyp und die zugehörigen APIs
    Verwalten von Anforderungen für Benutzerdaten in der Organisation, z. B. Exportieren personenbezogener Daten dataPolicyOperation-Ressourcentyp und die zugehörigen APIs
    Erzwingen der automatischen Anmeldung, um den Benutzernameneingabebildschirm zu überspringen und Benutzer automatisch an Verbundanmeldungsendpunkte weiterzuleiten homeRealmDiscoveryPolicy ressourcentyp und die zugehörigen APIs
    Erkennen, Untersuchen und Beheben identitätsbasierter Risiken mithilfe von Microsoft Entra ID Protection und Einspeisung der Daten in SIEM-Tools (Security Information and Event Management) zur weiteren Untersuchung und Korrelation Weitere Informationen finden Sie unter Verwenden der Microsoft Graph Identity Protection-APIs.
    Verwalten von Identitätsanbietern für Microsoft Entra ID, Externe Microsoft Entra-ID und Azure AD B2C-Mandanten. Sie können die folgenden Vorgänge ausführen:
  • Verwalten von Identitätsanbietern für externe Identitäten, einschließlich Identitätsanbieter für soziale Netzwerke, OIDC, Apple, SAML/WS-Fed und integrierte Anbieter
  • Verwalten der Konfiguration für Verbunddomänen und Tokenüberprüfung
  • identityProviderBase-Ressourcentyp und die zugehörigen APIs
    Einladen externer Benutzer zur Zusammenarbeit mit Ihrem Mandanten mithilfe der externen Microsoft Entra-ID invitation-Ressourcentyp und die zugehörigen APIs
    Definieren sie eine Gruppe von Mandanten, die zu Ihrer Organisation gehören, und optimieren Sie die mandantenübergreifende Zusammenarbeit innerhalb der Organisation. Weitere Informationen finden Sie unter Übersicht über die API für mehrinstanzenfähige Organisationen.
    Anpassen der Anmeldebenutzeroberfläche an Ihr Unternehmensbranding, einschließlich anwenden eines Brandings, das auf der Browsersprache basiert organizationalBranding-Ressourcentyp und die zugehörigen APIs
    Benutzerflows für die externe Microsoft Entra-ID in Mitarbeitermandanten Die folgenden Ressourcentypen und die zugehörigen APIs:
  • b2xIdentityUserFlow zum Konfigurieren des Basisbenutzerflows und seiner Eigenschaften wie Identitätsanbieter
  • identityUserFlowAttribute zum Verwalten integrierter und benutzerdefinierter Benutzerflowattribute
  • identityUserFlowAttributeAssignment zum Verwalten von Benutzerflowattributzuweisungen
  • userFlowLanguageConfiguration-Ressourcentyp zum Konfigurieren benutzerdefinierter Sprachen für Benutzerflows
  • Benutzerflows für die externe Microsoft Entra-ID in externen Mandanten Die folgenden Ressourcentypen und die zugehörigen APIs:
  • authenticationEventsFlow-Ressourcentyp und die zugehörigen APIs
  • identityUserFlowAttribute zum Verwalten integrierter und benutzerdefinierter Benutzerflowattribute
  • Verwalten von App-Zustimmungsrichtlinien und -bedingungssätzen Ressourcen-Typ „permissionGrantPolicy“
    Aktivieren oder Deaktivieren von Sicherheitsstandards in Microsoft Entra ID identitySecurityDefaultsEnforcementPolicy-Ressourcentyp

    Identity Governance

    Weitere Informationen finden Sie unter Übersicht über Microsoft Entra ID Governance mit Microsoft Graph.

    Externe Microsoft Entra-ID in externen Mandanten

    Die folgenden API-Anwendungsfälle werden unterstützt, um anzupassen, wie Benutzer mit Ihren kundenorientierten Anwendungen interagieren. Für Administratoren sind die meisten Features in Microsoft Entra ID verfügbar und werden auch für externe Microsoft Entra-ID in externen Mandanten unterstützt. Beispiel: Domänenverwaltung, Anwendungsverwaltung und bedingter Zugriff.

    Anwendungsfälle API-Vorgänge
    Benutzerflows für externe Microsoft Entra-ID in externen Mandanten und Self-Service-Registrierungsfunktionen authenticationEventsFlow-Ressourcentyp und die zugehörigen APIs
    Verwalten von Identitätsanbietern für die externe Microsoft Entra-ID. Sie können die Identitätsanbieter identifizieren, die im Mandanten unterstützt oder konfiguriert werden. Weitere Informationen finden Sie unter identityProviderBase-Ressourcentyp und den zugehörigen APIs.
    Konfigurieren benutzerdefinierter URL-Domänen in der externen Microsoft Entra-ID in externen Mandanten Der CustomUrlDomain Wert für die supportedServices-Eigenschaft des Domänenressourcentyps und der zugehörigen APIs.
    Anpassen der Anmeldebenutzeroberfläche an Ihr Unternehmensbranding, einschließlich anwenden eines Brandings, das auf der Browsersprache basiert organizationalBranding-Ressourcentyp und die zugehörigen APIs
    Verwalten von Identitätsanbietern für externe Microsoft Entra-ID, z. B. Social Media-Identitäten identityProviderBase-Resoruce-Typ und die zugehörigen APIs
    Verwalten von Benutzerprofilen in der externen Microsoft Entra-ID für Kunden Weitere Informationen finden Sie unter Standardbenutzerberechtigungen in Kundenmandanten.
    Hinzufügen Ihrer eigenen Geschäftslogik zu den Authentifizierungserfahrungen durch Integration in Systeme, die außerhalb von Microsoft Entra ID sind authenticationEventListener-Ressourcentyp und customAuthenticationExtension-Ressourcentyp und die zugehörigen APIs

    Verwaltung von Partnermandanten

    Microsoft Graph bietet auch die folgenden Identitäts- und Zugriffsfunktionen für Microsoft-Partner in den Programmen Cloud Solution Provider (CSP), Value Added Reseller (VAR) oder Advisor, um ihre Kundenmandanten zu verwalten.

    Anwendungsfälle API-Vorgänge
    Verwalten von Verträgen für den Partner mit seinen Kunden contract-Ressourcentyp und die zugehörigen APIs
    Microsoft-Partner können es ihren Kunden ermöglichen, sicherzustellen, dass die Partner den geringsten Zugriff auf die Mandanten ihrer Kunden haben. Dieses Feature bietet Kunden zusätzliche Kontrolle über ihren Sicherheitsstatus und ermöglicht es ihnen, Support von den Microsoft-Vertriebspartnern zu erhalten. Siehe Übersicht über granulare delegierte Administratorrechte (GDAP) API

    Lizenzierung

    Microsoft Entra-Lizenzen umfassen Microsoft Entra ID Free, P1, P2 und Governance. Microsoft Entra Permissions Management; und Microsoft Entra-Workload-ID.

    Ausführliche Informationen zur Lizenzierung für verschiedene Features finden Sie unter Microsoft Entra ID-Lizenzierung.