Partager via


Gérer Microsoft Entra applications et principaux de service à l’aide de Microsoft Graph

Microsoft Entra ID est un système de gestion des identités et des accès (IAM). L’un des principaux composants de ses fonctionnalités est le Plateforme d'identités Microsoft, qui fournit des services d’authentification et d’autorisation pour les applications inscrites. Les API Microsoft Graph vous permettent d’inscrire et de gérer vos applications par programmation, ce qui vous permet d’utiliser les fonctionnalités IAM de Microsoft.

Applications et principaux de service

Dans Microsoft Entra, une application est définie par un objet application et un objet principal de service. Il n’y a qu’un seul objet d’application pour votre application dans Microsoft Entra, mais il peut y avoir plusieurs objets de principal de service pour votre application.

L’objet d’application se trouve dans le locataire où l’application a été inscrite. Un principal de service est créé dans chaque locataire où l’application est installée et utilisée, y compris dans le locataire où l’application est inscrite. Pour plus d’informations, consultez Objets application et principal de service dans Microsoft Entra ID.

Dans Microsoft Graph, une application est représentée par le type de ressource d’application et un principal de service est représenté par le type de ressource servicePrincipal. Les détails des deux objets sont accessibles sur le centre d'administration Microsoft Entra via les menusApplications>d’identité>inscriptions d'applications etApplications>d’identité>d’entreprise, respectivement.

Cas d’utilisation d’API pour la gestion des applications

Les cas d’utilisation d’API suivants sont pris en charge pour la gestion des applications via le type de ressource d’application dans Microsoft Graph.

Cas d'utilisation Opérations d’API
Inscrire une application et configurer ses propriétés de base Créer une application
Configurez les propriétés de l’application inscrite, notamment :
  • Propriétés de base telles que le nom d’affichage, le logo, les étiquettes
  • Autorisations
  • Attribuer des applications à des utilisateurs : définir les URI d’identificateur de base
  • Les comptes Microsoft pris en charge par l’application
  • Rôles d’application
  • Mettre à jour une application
    Supprimer une application Supprimer l’application
    Gérer les applications supprimées
  • Répertorier les éléments supprimés
  • Répertorier les propriétaires d’éléments supprimés par un utilisateur
  • Get deleted item
  • Supprimer définitivement l’élément
  • Restore deleted item
  • Gérer les informations d’identification de mot de passe pour une application
  • application : addPassword
  • application : removePassword
  • Gérer les informations d’identification d’identité fédérée pour une application Commencer à gérer les informations d’identification d’identité fédérée à l’aide de Microsoft Graph
    Gérer les informations d’identification basées sur les certificats pour une application
  • application : addKey
  • application : removeKey
  • Mettre à jour la propriété keyCredentials via l’opération de mise à jour de l’API d’application
  • Gérer les extensions d’annuaire sur les applications
  • Type de ressource extensionProperty et ses méthodes associées. Pour plus d’informations, consultez Ajouter des données personnalisées à des ressources à l’aide d’extensions.
  • Suivre les modifications apportées à une application
  • application : delta
  • directoryObject : delta avec le filtre suivant ..?$filter=isof('microsoft.graph.application')
  • Gérer les propriétaires
  • Liste des propriétaires
  • Ajouter un propriétaire
  • Supprimer un propriétaire
  • Gérer la vérification de l’éditeur
  • Définir verifiedPublisher
  • Annuler l’ensemble de verifiedPublisher
  • Cas d’utilisation d’API pour la gestion des principaux de service

    Les cas d’utilisation d’API suivants sont pris en charge pour la gestion des principaux de service via le type de ressource servicePrincipal dans Microsoft Graph.

    Cas d'utilisation Opérations d’API
    Inscrire le principal de service Créer servicePrincipal
    Configurer les propriétés d’un principal de service, notamment :
  • Propriétés de base telles que le nom d’affichage, le logo
  • Autorisations
  • Configurer le mode SSO
  • Mettre à jour servicePrincipal
    Supprimer un principal de service Supprimer servicePrincipal
    Gérer les principaux de service supprimés (afficher, restaurer ou supprimer définitivement)
  • Répertorier les éléments supprimés
  • Répertorier les éléments supprimés appartenant à un utilisateur
  • Get deleted item
  • Supprimer définitivement l’élément
  • Restore deleted item
  • Gérer les informations d’identification de mot de passe pour un principal de service
  • servicePrincipal : addPassword
  • servicePrincipal : removePassword
  • Gérer les informations d’identification basées sur un certificat pour un principal de service
  • servicePrincipal : addKey
  • servicePrincipal : removePKey
  • Ajouter un certificat de signature de jeton SAML
  • servicePrincipal : addTokenSigningCertificate
  • Suivre les modifications apportées à un principal de service
  • servicePrincipal : delta
  • directoryObject : delta avec le filtre suivant ..?$filter=isof('microsoft.graph.servicePrincipal')
  • Gérer les propriétaires
  • Liste des propriétaires
  • Ajouter un propriétaire
  • Supprimer un propriétaire
  • Modèles de l'application

    Les modèles d’application sont des applications disponibles dans la galerie d’applications Microsoft Entra. Utilisez le type de ressource applicationTemplate et ses méthodes associées pour :

    • Identifier les applications à partir de la galerie d’applications
    • Identifier les applications par le mode d’authentification unique qu’elles prennent en charge
    • Instancier une application et un principal de service à partir d’une galerie d’applications

    Stratégies applicables aux applications et aux principaux de service

    Description de la stratégie Opérations d’API S’applique à
    Gérer Microsoft Entra ID protocole d’authentification des services Bureau à distance (RDS) Type de ressource remoteDesktopSecurityConfiguration et méthodes associées Principaux de service
    Configurer la stratégie de jetons SAML Type de ressource tokenIssuancePolicy et ses méthodes associées Applications

    Principaux de service
    Configurer des stratégies pour les jetons d’accès, SAML et ID Stratégie de durée de vie des jetons : type de ressource tokenLifetimePolicy et méthodes associées

    Stratégie d’émission de jeton : type de ressource tokenIssuancePolicy et ses méthodes associées
    Applications

    Principaux de service
    Gérer le délai d’expiration des sessions inactives pour les applications web Microsoft 365, pour tous les types d’appareils

    Note: Pour déclencher la stratégie uniquement pour les appareils non gérés, vous devez également ajouter une stratégie d’accès conditionnel.
    Type de ressource activityBasedTimeoutPolicy et ses méthodes associées Applications web Microsoft 365
    Gérez des stratégies pour la façon dont les certificats et les secrets de mot de passe peuvent être utilisés dans votre organization. Créer des stratégies à l’échelle du locataire ou des stratégies spécifiques à l’application, telles que le blocage de l’utilisation ou la restriction de la durée de vie des secrets de mot de passe ou des clés symétriques, et l’application d’autorités de certification approuvées Stratégies de méthodes d’authentification d’application Applications
    Gérer les stratégies de mappage de revendications pour les protocoles WS-Fed, SAML, OAuth 2.0 et OpenID Connect, ainsi que les applications auxquelles les stratégies s’appliquent Type de ressource claimsMappingPolicy et ses méthodes associées Principaux de service
    Gérer la découverte du domaine d’accueil (HRD) pour le locataire et l’affectation de la stratégie à un principal de service Type de ressource homeRealmDiscoveryPolicy et ses méthodes associées Principaux de service

    Synchronisation des identités (approvisionnement)

    Les API d’approvisionnement dans Microsoft Graph vous permettent d’automatiser et de gérer l’approvisionnement et le déprovisionnement des identités dans les scénarios suivants :

    • De votre Active Directory local à Microsoft Entra ID
    • À partir d’autres répertoires cloud vers Microsoft Entra ID
    • Du Microsoft Entra ID aux applications cloud telles que Dropbox, Salesforce, ServiceNow, etc.

    Pour plus d’informations, consultez vue d’ensemble de l’API de synchronisation Microsoft Entra.