本指南概述了关键概念、API 用例和资源,以帮助自动执行Microsoft Entra应用程序的生命周期管理。
应用程序和服务主体
在 Microsoft Entra 中,应用程序由应用程序对象和服务主体对象定义。 跨Microsoft Entra只有一个应用程序对象,但应用程序可以有多个服务主体对象。
应用程序对象位于注册应用的租户中。 在注册应用的租户以及安装并使用的每个租户中创建服务主体。 有关详细信息,请参阅 Microsoft Entra ID 中的应用程序和服务主体对象。
在 Microsoft Graph 中,应用程序由 应用程序资源类型表示,服务主体由 servicePrincipal 资源类型表示。 可通过Entra ID应用注册和> Entra ID企业应用程序菜单在Microsoft Entra 管理中心>上访问这两个对象的详细信息。
服务主体从其关联的应用注册继承特定属性。 这些属性从应用注册同步,但同步不是立即或连续的。 有时,更新服务主体可能会提示目录从应用注册刷新属性,从而导致不属于原始请求的更新。
用于管理应用程序的 API 用例
支持以下 API 用例通过 Microsoft Graph 中的 应用程序资源类型管理应用程序 。
| 用例 | API作 |
|---|---|
| 注册应用程序并配置其基本属性 | 创建应用程序 |
配置已注册应用程序的属性,包括:
|
更新应用程序 |
| 删除应用程序 | 删除应用程序 |
| 管理已删除的应用程序 | |
| 管理应用程序的密码凭据 | |
| 管理应用程序的联合标识凭据 | 开始使用 Microsoft Graph 管理联合标识凭据 |
| 管理应用程序的基于证书的凭据 |
|
| 管理应用程序的目录扩展 |
|
| 跟踪对应用程序的更改 |
|
| 管理所有者 | |
| 管理发布者验证 |
用于管理服务主体的 API 用例
支持以下 API 用例通过 Microsoft Graph 中的 servicePrincipal 资源类型 管理服务主体。
| 用例 | API作 |
|---|---|
| 注册服务主体 | 创建 servicePrincipal |
| 配置服务主体的属性,包括: - 显示名称和徽标等基本属性 -权限 - 配置 SSO 模式 |
更新 servicePrincipal |
| 删除服务主体 | 删除 servicePrincipal |
| 管理已删除的服务主体:查看、还原或永久删除 | - 列出 deletedItems - 列出用户拥有的 deletedItems - 获取已删除的项目 - 永久删除项目 - 还原已删除的项目 |
| 管理服务主体的密码凭据 | - servicePrincipal:addPassword - servicePrincipal:removePassword |
| 管理服务主体的基于证书的凭据 | - servicePrincipal:addKey - servicePrincipal:removeKey |
| 添加 SAML 令牌签名证书 | servicePrincipal:addTokenSigningCertificate |
| 跟踪对服务主体的更改 | - servicePrincipal: delta - directoryObject: 具有以下筛选器的增量: ..?$filter=isof('microsoft.graph.servicePrincipal') |
| 管理所有者 | - 列表所有者 - 添加所有者 - 删除所有者 |
应用程序模板
应用程序模板是Microsoft Entra应用库中提供的应用。 使用 applicationTemplate 资源类型及其关联方法 可以:
- 从应用程序库中标识应用。
- 按他们支持的 SSO 模式标识应用。
- 从应用程序库实例化应用和服务主体。
适用于应用程序和服务主体的策略
| 策略说明 | API作 | 适用对象 |
|---|---|---|
| (RDS) 身份验证协议管理Microsoft Entra ID远程桌面服务 | remoteDesktopSecurityConfiguration 资源类型及其关联方法 | 服务主体 |
| 配置 SAML 令牌策略 | tokenIssuancePolicy 资源类型及其关联方法 | 应用程序 服务主体 |
| 配置访问、SAML 和 ID 令牌的策略 | 令牌生存期策略 - tokenLifetimePolicy 资源类型及其关联方法 令牌颁发策略 - tokenIssuancePolicy 资源类型及其关联方法 |
应用程序 服务主体 |
| 管理所有设备类型的 Microsoft 365 Web 应用的空闲会话超时 注意: 若要仅针对非托管设备触发策略,还需要添加条件访问策略。 |
activityBasedTimeoutPolicy 资源类型及其关联方法 | Microsoft 365 个 Web 应用 |
| 管理如何在组织中使用证书和密码机密的策略。 创建租户范围策略或特定于应用的策略,例如阻止使用或限制密码机密或对称密钥的生存期,以及强制实施受信任的证书颁发机构 | 应用程序身份验证方法策略 | 应用程序 |
| 管理 WS-Fed、SAML、OAuth 2.0 和 OpenID Connect 协议的声明映射策略,以及策略应用于的应用程序 | claimsMappingPolicy 资源类型及其关联方法 | 服务主体 |
| 管理租户的主领域发现 (HRD) ,并将策略分配给服务主体 | homeRealmDiscoveryPolicy 资源类型及其关联方法 | 服务主体 |
标识同步 (预配)
通过 Microsoft Graph 中的预配 API,可以自动执行和管理这些方案中标识的预配和取消预配:
- 从本地 Active Directory到Microsoft Entra ID
- 从其他云目录到Microsoft Entra ID
- 从Microsoft Entra ID到 Dropbox、Salesforce、ServiceNow 等云应用程序
有关详细信息,请参阅Microsoft Entra同步 API 概述。