Übersicht über die Azure AD-Authentifizierungsmethoden-API

Namespace: microsoft.graph

Authentifizierungsmethoden sind die Möglichkeiten, wie Benutzer sich in Azure Active Directory (AD) authentifizieren. Authentifizierungsmethoden in Azure AD umfassen Kennwort und Telefon (z. B. SMS und Sprachanrufe), die heute im Beta-Endpunkt von Microsoft Graph verwaltet werden können, unter anderem FIDO2-Sicherheitsschlüssel und die Microsoft Authenticator-App. Authentifizierungsmethoden werden bei der primären, Zwei-Faktor- und Step-Up-Authentifizierung sowie beim SSPR-Verfahren (Self-Service-Kennwortzurücksetzung) verwendet.

Die Authentifizierungsmethoden-APIs werden verwendet, um die Authentifizierungsmethoden eines Benutzers zu verwalten. Beispiel:

  • Sie können Details des FIDO2-Sicherheitsschlüssels eines Benutzers abrufen und löschen, wenn der Benutzer den Schlüssel verloren hat.
  • Sie können Details zur Microsoft Authenticator-Registrierung eines Benutzers abrufen und löschen, wenn der Benutzer das Telefon verloren hat.

Welche Authentifizierungsmethoden können in Microsoft Graph verwaltet werden?

Authentifizierungsmethode Beschreibung Beispiele
fido2AuthenticationMethod Ein FIDO2-Sicherheitsschlüssel kann von einem Benutzer verwendet werden, um sich bei Azure AD anzumelden. Löschen Sie einen verlorenen FIDO2-Sicherheitsschlüssel.
microsoftAuthenticatorAuthenticationMethod Microsoft Authenticator kann von einem Benutzer verwendet werden, um sich anzumelden oder die mehrstufige Authentifizierung bei Azure AD durchzuführen. Löschen einer Microsoft Authenticator-Authentifizierungsmethode.
temporaryAccessPassAuthenticationMethod Eine zeitlich begrenzte Kennung, die als sichere Anmeldeinformationen dient und das Onboarding kennwortloser Anmeldeinformationen ermöglicht.
windowsHelloForBusinessAuthenticationMethod Windows Hello for Business ist eine kennwortlose Anmeldemethode auf Windows-Geräten. Anzeigen von Geräten, auf denen ein Benutzer die Windows Hello for Business-Anmeldung aktiviert hat. Löschen Sie eine Windows Hello for Business-Anmeldeinformationen.

Die folgenden Authentifizierungsmethoden werden in Microsoft Graph v1.0 noch nicht unterstützt.

Authentifizierungsmethode Beschreibung Beispiele
Kennwort Ein Kennwort ist derzeit die standardmäßige primäre Authentifizierungsmethode in Azure AD. Setzen Sie das Kennwort eines Benutzers zurück.
phoneAuthenticationMethod (noch nicht unterstützt) Ein Telefon kann von einem Benutzer verwendet werden, um sich per SMS oder Sprachanruf zu authentifizieren (wie in der Richtlinie zulässig). Anzeigen der Authentifizierungstelefonnummern eines Benutzers. Hinzufügen, Aktualisieren oder Entfernen einer Telefonnummer zu einem Benutzer. Aktivieren oder deaktivieren Sie ein primäres Mobiltelefon für die SMS-Anmeldung.
E-Mail Eine E-Mail-Adresse kann von einem Benutzer im Rahmen des SSPR-Prozesses (Self-Service Password Reset) verwendet werden. Anzeigen der Authentifizierungs-E-Mail-Adresse eines Benutzers. Hinzufügen, Aktualisieren oder Entfernen einer E-Mail-Adresse zu einem Benutzer.
Hardwaretoken Ermöglichen Sie Benutzern die mehrstufige Authentifizierung mithilfe eines physischen Geräts, das einen einmaligen Code bereitstellt. Abrufen eines Hardwaretokens, das einem Benutzer zugewiesen ist.
Softwaretoken Ermöglichen Sie Benutzern die mehrstufige Authentifizierung mithilfe einer Anwendung, die die OAUTH-Spezifikation unterstützt und einen einmaligen Code bereitstellt. Abrufen und Löschen eines Softwaretokens, das einem Benutzer zugewiesen ist.
Sicherheitsfragen und -antworten Benutzern erlauben, ihre Identität zu überprüfen, wenn sie eine Self-Service-Kennwortzurücksetzung durchführen. Löschen einer Sicherheitsfrage, die ein Benutzer registriert hat.
Standardmethode Stellt die Methode dar, die der Benutzer als Standard für die Mehrstufige Authentifizierung ausgewählt hat. Ändern sie die MFA-Standardmethode eines Benutzers.
HINWEIS: Das Verwalten der Details der Standardmethode wird derzeit nur über MSOL Get-MsolUser und Set-MsolUser Cmdlets mithilfe der StrongAuthenticationMethods-Eigenschaft unterstützt.
Erneute Registrierung der MFA erforderlich Stellt eine Konfiguration dar, die erfordert, dass Benutzer, die sich das nächste Mal anmelden, aufgefordert werden, eine neue MFA-Authentifizierungsmethode einzurichten. Zulassen, dass der Benutzer neue MFA-Methoden einrichtet, z. B. wenn er sein Authentifizierungsgerät geändert hat.
HINWEIS: Dieses Feature wird derzeit nur über das MSOL-CmdletSet-MsolUser unter Verwendung der StrongAuthenticationMethods-Eigenschaft unterstützt.

Nächste Schritte

  • Überprüfen Sie die Authentifizierungsmethodentypen und ihre verschiedenen Methoden.
  • Testen Sie die API im Graph-Explorer.