Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Espace de noms: microsoft.graph
Les méthodes d’authentification sont les façons dont les utilisateurs s’authentifient dans Microsoft Entra ID. Les méthodes d’authentification dans Microsoft Entra ID incluent le mot de passe et le téléphone (par exemple, sms et appels vocaux), qui sont aujourd’hui gérables dans le point de terminaison bêta de Microsoft Graph, parmi beaucoup d’autres, comme les clés de sécurité FIDO2 et l’application Microsoft Authenticator. Les méthodes d'authentification sont utilisées dans l'authentification primaire, secondaire et progressive, ainsi que dans le processus de réinitialisation du mot de passe en libre-service (SSPR).
Les API de méthode d’authentification sont utilisées pour gérer les méthodes d’authentification d’un utilisateur. Par exemple :
- Vous pouvez ajouter un numéro de téléphone à un utilisateur. L’utilisateur peut ensuite utiliser ce numéro de téléphone pour l’authentification par SMS et appel vocal s’il est activé pour l’utiliser par stratégie.
- Vous pouvez mettre à jour ce numéro ou le supprimer de l’utilisateur.
- Vous pouvez activer ou désactiver le numéro de connexion PAR SMS.
- Vous pouvez récupérer les détails de la clé de sécurité FIDO2 d’un utilisateur et la supprimer si l’utilisateur a perdu la clé.
- Vous pouvez récupérer les détails de l’inscription Microsoft Authenticator d’un utilisateur et les supprimer si l’utilisateur a perdu le téléphone.
- Vous pouvez récupérer les détails de l’inscription Windows Hello Entreprise d’un utilisateur et le supprimer si l’utilisateur a perdu l’appareil.
- Vous pouvez ajouter une adresse e-mail à un utilisateur. L’utilisateur peut ensuite utiliser cet e-mail dans le cadre du processus de réinitialisation de mot de passe Self-Service (SSPR).
- Vous pouvez mettre à jour cet e-mail ou le supprimer de l’utilisateur.
Certaines API prennent en charge les opérations en libre-service qui permettent aux utilisateurs de gérer leurs propres méthodes d’authentification. Par exemple, les utilisateurs peuvent ajouter, mettre à jour ou supprimer leurs propres numéros de téléphone et adresses e-mail utilisés pour l’authentification et la réinitialisation SSPR.
Importante
À compter du 26 janvier 2026, les opérations de gestion des informations d’identification en libre-service exigent que les utilisateurs effectuent l’authentification multifacteur (MFA) s’ils se sont authentifiés pour la dernière fois il y a plus de 10 minutes dans la session active. Cette modification s’applique aux utilisateurs finaux et aux administrateurs qui gèrent les informations d’identification et peut entraîner des invites MFA plus fréquentes pour les utilisateurs qui sont déjà inscrits pour l’authentification multifacteur. Lors de l’appel des API de gestion des informations d’identification, votre application doit gérer les réponses 403 Interdit de manière appropriée :
- Détecter la réponse 403 : lorsque l’API retourne un code 403 status, l’utilisateur doit effectuer l’authentification multifacteur.
-
Demander une nouvelle authentification multifacteur : créez une requête OAuth2 interactive avec le paramètre de revendications suivant :
{"access_token":{"amr":{"essential":true,"values":["ngcmfa"]}}} - L’utilisateur termine l’authentification multifacteur : pendant la requête OAuth2 interactive, les utilisateurs avec des méthodes MFA inscrites doivent effectuer l’authentification. Les informations d’identification MFA restent valides pendant 10 minutes.
- Réessayer avec un nouveau jeton : utilisez le jeton d’accès nouvellement obtenu pour réessayer la demande de gestion des informations d’identification.
Pour plus d’informations sur l’implémentation des défis liés aux revendications dans votre application, consultez :
La possibilité pour un utilisateur d’utiliser une méthode d’authentification est régie par la stratégie de méthode d’authentification pour le locataire. Par exemple, seuls les utilisateurs du service R&D peuvent être autorisés à utiliser la méthode FIDO2, tandis que tous les utilisateurs peuvent être autorisés à utiliser Microsoft Authenticator.
Nous vous déconseillons d’utiliser les API de méthodes d’authentification pour les scénarios où vous devez itérer sur l’ensemble de votre population d’utilisateurs à des fins d’audit ou de sécurité case activée. Pour ces types de scénarios, nous vous recommandons d’utiliser les API de création de rapports d’inscription et d’utilisation des méthodes d’authentification (disponibles sur le point de beta terminaison uniquement).
Remarque
Les demandes adressées aux API des méthodes d’authentification expirent après 60 secondes.
Quelles méthodes d’authentification peuvent être gérées dans Microsoft Graph ?
Remarque
Pour gérer l’authentification basée sur les certificats (CBA), consultez x509CertificateAuthenticationMethodConfiguration
| Méthode d’authentification | Description | Exemples |
|---|---|---|
| emailAuthenticationMethod | Un utilisateur peut utiliser une adresse e-mail dans le cadre du processus de réinitialisation de mot de passe Self-Service (SSPR). | Consultez l’adresse e-mail d’authentification d’un utilisateur. Ajouter, mettre à jour ou supprimer une adresse e-mail pour un utilisateur. |
| externalAuthenticationMethod | Un utilisateur peut utiliser un fournisseur d’identité externe pour se connecter à Microsoft Entra ID. | Supprimer l’authentification multifacteur externe d’un utilisateur. |
| fido2AuthenticationMethod | Un utilisateur peut utiliser une clé de sécurité FIDO2 pour se connecter à Microsoft Entra ID. | Supprimez une clé de sécurité FIDO2 perdue. |
| microsoftAuthenticatorAuthenticationMethod | Un utilisateur peut utiliser l’application Microsoft Authenticator pour se connecter ou effectuer une authentification multifacteur pour Microsoft Entra ID | Supprimer une méthode d’authentification Microsoft Authenticator. |
| passwordAuthenticationMethod | Un mot de passe est actuellement la méthode d’authentification principale par défaut dans Microsoft Entra ID. | Réinitialiser le mot de passe d'un utilisateur |
| phoneAuthenticationMethod | Un utilisateur peut utiliser un téléphone pour s’authentifier à l’aide de SMS ou d’appels vocaux , comme autorisé par la stratégie. | Consultez les numéros de téléphone d’authentification d’un utilisateur. Ajouter, mettre à jour ou supprimer un numéro de téléphone pour un utilisateur. Activer ou désactiver un téléphone mobile principal pour la connexion PAR SMS. |
| platformCredentialAuthenticationMethod | Un utilisateur peut utiliser des informations d’identification de plateforme pour se connecter à Microsoft Entra ID. | Supprimer une méthode d’authentification d’informations d’identification de plateforme perdue. |
| qrCodePinAuthenticationMethod | Un employé de première ligne peut utiliser une combinaison de code QR et de code confidentiel pour s’authentifier auprès de Microsoft Entra ID. Le code QR est imprimé sur un badge et l’utilisateur entre un code confidentiel après la numérisation. | Créez une méthode d’authentification par code QR, gérez les codes QR standard et temporaires et réinitialisez les codes CONFIDENTIELs utilisateur. |
| softwareOathAuthenticationMethod | Autoriser les utilisateurs à effectuer une authentification multifacteur à l’aide d’une application qui prend en charge la spécification OATH TOTP et fournit un code à usage unique. | Obtenez et supprimez un jeton OATH logiciel affecté à un utilisateur. |
| temporaryAccessPassAuthenticationMethod | Code secret à durée limitée qui sert d’informations d’identification fortes et autorise l’intégration d’informations d’identification sans mot de passe. | Créez et gérez un code secret personnalisé à durée limitée pour un utilisateur donné à utiliser pour l’authentification forte ou la récupération. |
| windowsHelloForBusinessAuthenticationMethod | Windows Hello Entreprise est une méthode de connexion sans mot de passe sur les appareils Windows. | Consultez les appareils sur lesquels un utilisateur a activé Windows Hello Entreprise connexion. Supprimez les informations d’identification d’un Windows Hello Entreprise. |
Les méthodes d’authentification suivantes ne sont pas encore prises en charge dans Microsoft Graph v1.0.
| Méthode d’authentification | Description | Exemples |
|---|---|---|
| Méthode par défaut | Représente la méthode que l’utilisateur a sélectionnée par défaut pour effectuer l’authentification multifacteur. | Modifier la méthode MFA par défaut d’un utilisateur. |
| Jeton matériel | Autoriser les utilisateurs à effectuer une authentification multifacteur à l’aide d’un appareil physique qui fournit un code à usage unique. | Obtenir un jeton matériel attribué à un utilisateur. |
| Questions et réponses sur la sécurité | Autoriser les utilisateurs à valider leur identité lors de l’exécution d’une réinitialisation de mot de passe en libre-service. | Supprimer une question de sécurité inscrite par un utilisateur. |
| États d’authentification | Gérer les préférences de connexion d’un utilisateur et l’authentification multifacteur par utilisateur | Consultez ou définissez l’état de l’authentification multifacteur pour un utilisateur. Consultez ou définissez le paramètre d’authentification multifacteur (MFA) préféré par le système. |
Exiger la réinscription de l’authentification multifacteur
Pour demander aux utilisateurs de configurer une nouvelle authentification multifacteur la prochaine fois qu’ils se connectent, appelez les opérations de méthode d’authentification DELETE individuelles pour supprimer chacune des méthodes d’authentification actuelles de l’utilisateur. Une fois que l’utilisateur n’a plus de méthodes, il est invité à s’inscrire la prochaine fois qu’il se connecte quand une authentification forte est requise.
Utilisation de la méthode d’authentification au niveau du locataire
Vous pouvez surveiller l’inscription et l’utilisation des méthodes d’authentification au niveau du locataire, y compris les utilisateurs inscrits ou non inscrits pour l’authentification MFA et sans mot de passe, et les utilisateurs inscrits ou non inscrits pour SSPR à l’aide des API de rapport d’utilisation des méthodes d’authentification.
Étapes suivantes
- Passez en revue les types de méthodes d’authentification et leurs différentes méthodes.
- Essayez l’API dans graph Explorer.