• Cloud, Guide, Microsoft 365
• 14 Novembre 2020

Microsoft Graph permette di accedere ad una enorme quantità di dati in Microsoft 365, Windows 10 ed Enterprise Mobility + Security. In questo modo abbiamo la possibilità di potenziare l’utilizzo delle risorse e grazie a Microsoft Graph API, Microsoft Graph connectors e Microsoft Graph data connect possiamo accedere in maniera programmatica a tutta la piattaforma di Microsoft 365.

Figura 1: Microsoft Graph e connessioni veros i servizi cloud

Microsoft Graph espone REST API e librerie per poter accedere a moltissimi servizi cloud di Microsoft:

• Servizi di Microsoft 365: Delve, Excel, Microsoft Bookings, Microsoft Teams, OneDrive, OneNote, Outlook/Exchange, Planner, SharePoint, Workplace Analytics.
• Enterprise Mobility and Security services: Advanced Threat Analytics, Advanced Threat Protection, Azure Active Directory, Identity Manager e Intune.
• Windows 10 services: activities, devices, notifications, Universal Print (preview).
• Dynamics 365 Business Central

Qui sotto c’è un breve video che ne illustra le potenzialità:

In questa guida utilizzerò Microsoft Graph Explorer, uno strumento basato sul Web che è possibile usare per compilare e testare le richieste con Microsoft Graph API. È possibile accedere a Microsoft Graph Explorer dall’indirizzo https://developer.microsoft.com/graph/graph-explorer

In particolar modo vi farò vedere come accedere e gestire risorse di Microsoft Intune (ora chiamato Microsoft Endpoint Manager) utilizzando Microsoft Graph Explorer.

La prima operazione da effettuare dopo essersi collegati al portale di Microsoft Graph Explorer è quella di autenticarsi. Nel mio caso mi sono collegato con le credenziali di un Global Administrator. Cliccate sul pulsante Sign in to Graph Explorer e inserite le vostre credenziali.

Figura 2: Login a Microsoft Graph Explorer

Figura 3: Inserimento delle credenziali in Microsoft Graph Explorer

Poiché mi sono autenticato con le credenziali di un Global Admin, posso mettere il segno di spunta su Consenti per conto dell’organizzazione in modo tale che a nessuno degli altri utenti del vostro tenant venga chiesto di confermare le permission dopo la propria autenticazione.

Figura 4: Conferma delle permission di accesso

Dopo esservi autenticati, noterete che nella parte sinistra della console sarà disponibile un Access token. Tutte le richieste che verranno fatte a Microsoft Graph richiedono obbligatoriamente un Access token che può essere rilasciato soltanto da Azure Active Directory. Per questo motivo è necessario utilizzare le credenziali del vostro tenant.

Figura 5: Autenticazione effettuata ed Access token ricevuto

Gestire le policy di compliance dei dispositivi di Microsoft Endpoint Manager utilizzando Microsoft Graph

Come primo esempio voglio farvi vedere come gestire le policy di compliance dei dispositivi di utilizzando Microsoft Graph.

Per avere un’idea dei comandi e degli URLs che sono utilizzati in Microsoft Graph per gestire le policy di compliance vi invito a visitare la pagina ufficiale https://docs.microsoft.com/en-us/graph/api/intune-deviceconfig-devicecompliancepolicy-list?view=graph-rest-1.0

Come si può vedere dalla figura sotto, nel riquadro sono mostrati il comando (in questo caso GET) e l’URL che deve essere scritto per poter ricevere informazioni a proposito delle compliance policy dei dispositivi di Microsoft Endpoint Manager.

Figura 6: Comandi disponibili per la gestione della compliance di Microsoft Endpoint Manager

Nell pagina di Microsoft Graph Explorer inserite quindi l’URL https://graph.microsoft.com/v1.0/devicemanagement/deviceCompliancePolicies e cliccate su Run query, come mostrato in figura:

Figura 7: Esecuzione della query per ottenere informazioni sulle policy di compliance di Microsoft Endpoint Manager

Come si può vedere nella finestra sotto, ho ricevuto un errore in quanto non possiedo i permessi necessari per poter effettuare questo tipo di operazione. Sarà pertanto necessario modificare i permessi dell’applicazione Graph Explorer cliccando sul nodo Modify permisisons e consentendo i permessi necessari a poter poi successivamente eseguire la query per ottenere le policy di compliance dei nostri dispositivi. Nelle figure sotto sono mostrati tutti i passaggi necessari a consentire, in questo caso, i permessi di DeviceManagementConfiguration.ReadAll e DeviceManagementConfiguration.ReadWriteAll

Figura 8: L’accesso all’applicazione non è consentito in quanto l’utente non possiede tutti permessi necessari

Figura 9: Modifica dei permessi necessari all’esecuzione della query

Figura 10: i permessi necessari sono stati concessi

Dopo aver consentito tutti i permessi necessari all’esecuzione dell’applicazione Graph Explorer, sarà sufficiente rilanciare la query cliccando sul tasto Run query e, come si può vedere dalla figura sotto, l’esecuzione andrà a buon fine.

Figura 11: Con i permessi corretti la query viene eseguita e i risultati sono visibili nella finestra di Microsoft Graph Explorer

Creazione di risorse utilizzando Microsoft Graph

Con Microsoft Graph è anche possibile effettuare creazioni, modifiche, cancellazioni sui nostri oggetti. In questa demo vi faccio vedere come creare una categoria di dispositivi in Microsoft Endpoint Manager.

Come si può vedere dalla figura sotto, in Microsoft Endpoint Manager è già presente una categoria di dispositivi che ho chiamato Dispositivo aziendale

Figura 12: Categorie di dispositivi in Microsoft Endpoint Manager

Se cercate device category nella pagina di riferimento di Graph API https://docs.microsoft.com/en-us/graph/api/overview?view=graph-rest-1.0 avrete la possibilità di visualizzare quelli che sono tutti gli URL necessari per poter effettuare delle modifiche sulle categorie di dispositivi di Microsoft Endpoint Manager

Figura 13: Sito di riferimento di Microsoft Graph REST APIv.10

Figura 14: risultato della ricerca relativa a Device Category

In Microsoft Graph Explorer eseguite la query https://graph.microsoft.com/v1.0/deviceManagement/deviceCategories per ottenere la lista di tutte le categorie di dispositivi che sono già presenti in Microsoft Endpoint Manager. Nella figura sotto si può vedere che la query non è andato a buon fine perché mancano i permessi necessari. Infatti nella pagina di riferimento della documentazione troverete che i permessi obbligatori per poter effettuare query e modifiche devono essere DeviceManagementManagedDevices.Read.All e DeviceManagementManagedDevices.ReadWrite.All

Figura 15: Non è possibile effettuare la query perché l’applicazione Microsoft Graph Explorer non possiede tutti permessi necessari

Ho notato però che in Modify permissions non era disponibile nessun tipo di permission da concedere all’applicazione Microsoft Graph Explorer. È possibile però creare cliccare sull’Access token e dal simbolo dell’ingranaggio scegliere Select permissions per poter modificare i permessi dell’applicazione, come mostrato nella figura sotto:

Figura 16: Modifica dei permessi dell’applicazione Microsoft Graph Explorer

Ho proceduto quindi ad assegnare all’plicazione i permessi richiesti DeviceManagementManagedDevices.Read.All e DeviceManagementManagedDevices.ReadWrite.All, dopo aver effettuato la ricerca nell’apposito campo del blade Permisisons, come mostrato nella figura sotto:

Figura 17: Modifica dei permessi richiesti

Figura 18: Modifica dei permessi richiesti dall’applicazione

A questo punto è stato sufficiente rilanciare la query cliccando sul pulsante Run query per poter ottenere l’elenco di tutte le categorie dei dispositivi già presenti in Microsoft Endpoint Manager

Figura 19: La query viene eseguita senza errori e restituisce l’elenco di tutte le categorie di dispositivi

Creazione di una nuova categoria di dispositivi in Microsoft Endpoint Manager utilizzando Graph API

Per creare una nuova categoria di dispositivi in Microsoft endpoint manager è sufficiente utilizzare i comandi presenti alla pagina https://docs.microsoft.com/en-us/graph/api/intune-shared-devicecategory-create?view=graphrest-1.0

Figura 20: Pagina di riferimento per i comandi di gestione delle categorie di dispositivi in Microsoft Endpoint Manager

L’URL da utilizzare in Graph Explorer sarà https://graph.microsoft.com/v1.0/deviceManagement/deviceCategories e nel Request Body sarà necessario inserire:

Ricordatevi di modificare da GET a POST il tipo di comando da inviare e fate clic sul pulsante Run query

Figura 21: Creazione di una nuova categoria di dispositivi in Microsoft Endpoint Manager utilizzando Graph Explorer

Dopo l’esecuzione del comando potrete notare che nel pannello di gestione Microsoft Endpoint Manager admin center è stata creata la nuova categoria di dispositivi, come mostrato nella figura sotto:

Figura 22: Creazione della nuova categoria di dispositivi effettuata con successo

Per poter aggiornare una categoria di dispositivi esistente è possibile fare riferimento ai comandi che trovate alla pagina https://docs.microsoft.com/en-us/graph/api/intune-shared-devicecategory-update?view=graph-rest-1.0

Figura 23: Comandi per l’aggiornamento di una categoria di dispositivi

Procuratevi quindi il category ID della categoria che volete modificare e in Graph Explorer eseguite la query https://graph.microsoft.com/v1.0/deviceManagement/deviceCategories/{deviceCategoryId}

Nel mio caso ho eseguito la query https://graph.microsoft.com/v1.0/deviceManagement/deviceCategories/be9dd4fb-4de9-4e1c-80ae-4d9bc3e6cabc e in Request body ho aggiunto la configurazione:

Ricordatevi di modificare da GET a PATCH il tipo di comando da inviare e fate clic sul pulsante Run query

Figura 24: Esecuzione della query di modifica della categoria del dispositivo

Dopo l’esecuzione del comando potrete notare che nel pannello di gestione Microsoft Endpoint Manager admin center è stata modificata la categoria di dispositivi esistente, come mostrato nella figura sotto:

Figura 25: Modifica della categoria dei dispositivi effettuata con successo

Cancellazione di una categoria di dispositivi di Microsoft endpoint manager utilizzando Microsoft Graph Explorer

per cancellare una categoria di dispositivi è possibile utilizzare i comandi disponibili alla pagina https://docs.microsoft.com/en-us/graph/api/intune-shared-devicecategory-delete?view=graph-rest-1.0

Figura 26: Comandi per la cancellazione di una categoria di dispositivi

Procuratevi quindi il category ID della categoria che volete cancellare e in Graph Explorer eseguite la query https://graph.microsoft.com/v1.0/deviceManagement/deviceCategories/

Nel mio caso ho eseguito la query https://graph.microsoft.com/v1.0/deviceManagement/deviceCategories/be9dd4fb-4de9-4e1c-80ae-4d9bc3e6cabc e ho utilizzato il comando DELETE, come mostrato nella figura sotto:

Figura 27: Esecuzione della query di cancellazione della categoria dei dispositivi

Dopo l’esecuzione del comando potrete notare che nel pannello di gestione Microsoft Endpoint Manager admin center è stata cancellata la categoria di dispositivi scelta, come mostrato nella figura sotto:

Figura 28: Cancellazione della categoria dei dispositivi effettuata con successo

Ovviamente questi sono solo alcuni esempi di gestione dei diversi elementi del cloud Microsoft che è possibile effettuare tramite Graph API e tramite il tool Microsoft Graph Explorer. Vi invito quindi a visitare la pagina https://docs.microsoft.com/en-us/graph/api/overview?view=graph-rest-1.0 dove troverete sia gli scenari di utilizzo sia tutte le informazioni necessarie per poter poi lavorare con i diversi oggetti del cloud Microsoft