Übersicht über die Azure AD-Authentifizierungsmethoden-API
Namespace: microsoft.graph
Authentifizierungsmethoden sind die Möglichkeiten, wie Benutzer sich in Azure Active Directory (AD) authentifizieren. Authentifizierungsmethoden in Azure AD umfassen Kennwort und Telefon (z. B. SMS und Sprachanrufe), die heute im Beta-Endpunkt von Microsoft Graph verwaltet werden können, unter anderem FIDO2-Sicherheitsschlüssel und die Microsoft Authenticator-App. Authentifizierungsmethoden werden bei der primären, Zwei-Faktor- und Step-Up-Authentifizierung sowie beim SSPR-Verfahren (Self-Service-Kennwortzurücksetzung) verwendet.
Die Authentifizierungsmethoden-APIs werden verwendet, um die Authentifizierungsmethoden eines Benutzers zu verwalten. Beispiel:
- Sie können Details des FIDO2-Sicherheitsschlüssels eines Benutzers abrufen und löschen, wenn der Benutzer den Schlüssel verloren hat.
- Sie können Details zur Microsoft Authenticator-Registrierung eines Benutzers abrufen und löschen, wenn der Benutzer das Telefon verloren hat.
Welche Authentifizierungsmethoden können in Microsoft Graph verwaltet werden?
| Authentifizierungsmethode | Beschreibung | Beispiele |
|---|---|---|
| fido2AuthenticationMethod | Ein FIDO2-Sicherheitsschlüssel kann von einem Benutzer verwendet werden, um sich bei Azure AD anzumelden. | Löschen Sie einen verlorenen FIDO2-Sicherheitsschlüssel. |
| microsoftAuthenticatorAuthenticationMethod | Microsoft Authenticator kann von einem Benutzer verwendet werden, um sich anzumelden oder die mehrstufige Authentifizierung bei Azure AD durchzuführen. | Löschen einer Microsoft Authenticator-Authentifizierungsmethode. |
| temporaryAccessPassAuthenticationMethod | Eine zeitlich begrenzte Kennung, die als sichere Anmeldeinformationen dient und das Onboarding kennwortloser Anmeldeinformationen ermöglicht. | |
| windowsHelloForBusinessAuthenticationMethod | Windows Hello for Business ist eine kennwortlose Anmeldemethode auf Windows-Geräten. | Anzeigen von Geräten, auf denen ein Benutzer die Windows Hello for Business-Anmeldung aktiviert hat. Löschen Sie eine Windows Hello for Business-Anmeldeinformationen. |
Die folgenden Authentifizierungsmethoden werden in Microsoft Graph v1.0 noch nicht unterstützt.
| Authentifizierungsmethode | Beschreibung | Beispiele |
|---|---|---|
| Kennwort | Ein Kennwort ist derzeit die standardmäßige primäre Authentifizierungsmethode in Azure AD. | Setzen Sie das Kennwort eines Benutzers zurück. |
| phoneAuthenticationMethod (noch nicht unterstützt) | Ein Telefon kann von einem Benutzer verwendet werden, um sich per SMS oder Sprachanruf zu authentifizieren (wie in der Richtlinie zulässig). | Anzeigen der Authentifizierungstelefonnummern eines Benutzers. Hinzufügen, Aktualisieren oder Entfernen einer Telefonnummer zu einem Benutzer. Aktivieren oder deaktivieren Sie ein primäres Mobiltelefon für die SMS-Anmeldung. |
| Eine E-Mail-Adresse kann von einem Benutzer im Rahmen des SSPR-Prozesses (Self-Service Password Reset) verwendet werden. | Anzeigen der Authentifizierungs-E-Mail-Adresse eines Benutzers. Hinzufügen, Aktualisieren oder Entfernen einer E-Mail-Adresse zu einem Benutzer. | |
| Hardwaretoken | Ermöglichen Sie Benutzern die mehrstufige Authentifizierung mithilfe eines physischen Geräts, das einen einmaligen Code bereitstellt. | Abrufen eines Hardwaretokens, das einem Benutzer zugewiesen ist. |
| Softwaretoken | Ermöglichen Sie Benutzern die mehrstufige Authentifizierung mithilfe einer Anwendung, die die OAUTH-Spezifikation unterstützt und einen einmaligen Code bereitstellt. | Abrufen und Löschen eines Softwaretokens, das einem Benutzer zugewiesen ist. |
| Sicherheitsfragen und -antworten | Benutzern erlauben, ihre Identität zu überprüfen, wenn sie eine Self-Service-Kennwortzurücksetzung durchführen. | Löschen einer Sicherheitsfrage, die ein Benutzer registriert hat. |
| Standardmethode | Stellt die Methode dar, die der Benutzer als Standard für die Mehrstufige Authentifizierung ausgewählt hat. | Ändern sie die MFA-Standardmethode eines Benutzers. HINWEIS: Das Verwalten der Details der Standardmethode wird derzeit nur über MSOL Get-MsolUser und Set-MsolUser Cmdlets mithilfe der StrongAuthenticationMethods-Eigenschaft unterstützt. |
| Erneute Registrierung der MFA erforderlich | Stellt eine Konfiguration dar, die erfordert, dass Benutzer, die sich das nächste Mal anmelden, aufgefordert werden, eine neue MFA-Authentifizierungsmethode einzurichten. | Zulassen, dass der Benutzer neue MFA-Methoden einrichtet, z. B. wenn er sein Authentifizierungsgerät geändert hat. HINWEIS: Dieses Feature wird derzeit nur über das MSOL-Cmdlet Set-MsolUser unter Verwendung der StrongAuthenticationMethods-Eigenschaft unterstützt. |
Nächste Schritte
- Überprüfen Sie die Authentifizierungsmethodentypen und ihre verschiedenen Methoden.
- Testen Sie die API im Graph-Explorer.
Feedback
Feedback senden und anzeigen für