Gérer Microsoft Entra applications et principaux de service à l’aide de Microsoft Graph
Microsoft Entra ID est un système de gestion des identités et des accès (IAM). L’un des principaux composants de ses fonctionnalités est le Plateforme d'identités Microsoft, qui fournit des services d’authentification et d’autorisation pour les applications inscrites. Les API Microsoft Graph vous permettent d’inscrire et de gérer vos applications par programmation, ce qui vous permet d’utiliser les fonctionnalités IAM de Microsoft.
Applications et principaux de service
Dans Microsoft Entra, une application est définie par un objet application et un objet principal de service. Il n’y a qu’un seul objet d’application pour votre application dans Microsoft Entra, mais il peut y avoir plusieurs objets de principal de service pour votre application.
L’objet d’application se trouve dans le locataire où l’application a été inscrite. Un principal de service est créé dans chaque locataire où l’application est installée et utilisée, y compris dans le locataire où l’application est inscrite. Pour plus d’informations, consultez Objets application et principal de service dans Microsoft Entra ID.
Dans Microsoft Graph, une application est représentée par le type de ressource d’application et un principal de service est représenté par le type de ressource servicePrincipal. Les détails des deux objets sont accessibles sur le centre d'administration Microsoft Entra via les menusApplications>d’identité>inscriptions d'applications etApplications>d’identité>d’entreprise, respectivement.
Cas d’utilisation d’API pour la gestion des applications
Les cas d’utilisation d’API suivants sont pris en charge pour la gestion des applications via le type de ressource d’application dans Microsoft Graph.
| Cas d'utilisation | Opérations d’API |
|---|---|
| Inscrire une application et configurer ses propriétés de base | Créer une application |
| Configurez les propriétés de l’application inscrite, notamment : |
Mettre à jour une application |
| Supprimer une application | Supprimer l’application |
| Gérer les applications supprimées | |
| Gérer les informations d’identification de mot de passe pour une application | |
| Gérer les informations d’identification d’identité fédérée pour une application | Commencer à gérer les informations d’identification d’identité fédérée à l’aide de Microsoft Graph |
| Gérer les informations d’identification basées sur les certificats pour une application | |
| Gérer les extensions d’annuaire sur les applications | |
| Suivre les modifications apportées à une application | ..?$filter=isof('microsoft.graph.application') |
| Gérer les propriétaires | |
| Gérer la vérification de l’éditeur |
Cas d’utilisation d’API pour la gestion des principaux de service
Les cas d’utilisation d’API suivants sont pris en charge pour la gestion des principaux de service via le type de ressource servicePrincipal dans Microsoft Graph.
| Cas d'utilisation | Opérations d’API |
|---|---|
| Inscrire le principal de service | Créer servicePrincipal |
| Configurer les propriétés d’un principal de service, notamment : |
Mettre à jour servicePrincipal |
| Supprimer un principal de service | Supprimer servicePrincipal |
| Gérer les principaux de service supprimés (afficher, restaurer ou supprimer définitivement) | |
| Gérer les informations d’identification de mot de passe pour un principal de service | |
| Gérer les informations d’identification basées sur un certificat pour un principal de service | |
| Ajouter un certificat de signature de jeton SAML | |
| Suivre les modifications apportées à un principal de service | ..?$filter=isof('microsoft.graph.servicePrincipal') |
| Gérer les propriétaires |
Modèles de l'application
Les modèles d’application sont des applications disponibles dans la galerie d’applications Microsoft Entra. Utilisez le type de ressource applicationTemplate et ses méthodes associées pour :
- Identifier les applications à partir de la galerie d’applications
- Identifier les applications par le mode d’authentification unique qu’elles prennent en charge
- Instancier une application et un principal de service à partir d’une galerie d’applications
Stratégies applicables aux applications et aux principaux de service
| Description de la stratégie | Opérations d’API | S’applique à |
|---|---|---|
| Gérer Microsoft Entra ID protocole d’authentification des services Bureau à distance (RDS) | Type de ressource remoteDesktopSecurityConfiguration et méthodes associées | Principaux de service |
| Configurer la stratégie de jetons SAML | Type de ressource tokenIssuancePolicy et ses méthodes associées | Applications Principaux de service |
| Configurer des stratégies pour les jetons d’accès, SAML et ID | Stratégie de durée de vie des jetons : type de ressource tokenLifetimePolicy et méthodes associées Stratégie d’émission de jeton : type de ressource tokenIssuancePolicy et ses méthodes associées |
Applications Principaux de service |
| Gérer le délai d’expiration des sessions inactives pour les applications web Microsoft 365, pour tous les types d’appareils Note: Pour déclencher la stratégie uniquement pour les appareils non gérés, vous devez également ajouter une stratégie d’accès conditionnel. |
Type de ressource activityBasedTimeoutPolicy et ses méthodes associées | Applications web Microsoft 365 |
| Gérez des stratégies pour la façon dont les certificats et les secrets de mot de passe peuvent être utilisés dans votre organization. Créer des stratégies à l’échelle du locataire ou des stratégies spécifiques à l’application, telles que le blocage de l’utilisation ou la restriction de la durée de vie des secrets de mot de passe ou des clés symétriques, et l’application d’autorités de certification approuvées | Stratégies de méthodes d’authentification d’application | Applications |
| Gérer les stratégies de mappage de revendications pour les protocoles WS-Fed, SAML, OAuth 2.0 et OpenID Connect, ainsi que les applications auxquelles les stratégies s’appliquent | Type de ressource claimsMappingPolicy et ses méthodes associées | Principaux de service |
| Gérer la découverte du domaine d’accueil (HRD) pour le locataire et l’affectation de la stratégie à un principal de service | Type de ressource homeRealmDiscoveryPolicy et ses méthodes associées | Principaux de service |
Synchronisation des identités (approvisionnement)
Les API d’approvisionnement dans Microsoft Graph vous permettent d’automatiser et de gérer l’approvisionnement et le déprovisionnement des identités dans les scénarios suivants :
- De votre Active Directory local à Microsoft Entra ID
- À partir d’autres répertoires cloud vers Microsoft Entra ID
- Du Microsoft Entra ID aux applications cloud telles que Dropbox, Salesforce, ServiceNow, etc.
Pour plus d’informations, consultez vue d’ensemble de l’API de synchronisation Microsoft Entra.