Partager via


Vue d’ensemble de l’API des méthodes d’authentification Microsoft Entra

Espace de noms: microsoft.graph

Les méthodes d’authentification sont les façons dont les utilisateurs s’authentifient dans l’ID Microsoft Entra. Les méthodes d’authentification dans l’ID Microsoft Entra incluent le mot de passe et le téléphone (par exemple, sms et appels vocaux), qui sont aujourd’hui gérables dans le point de terminaison bêta de Microsoft Graph, entre autres les clés de sécurité FIDO2 et l’application Microsoft Authenticator. Les méthodes d'authentification sont utilisées dans l'authentification primaire, secondaire et progressive, ainsi que dans le processus de réinitialisation du mot de passe en libre-service (SSPR).

Les API de méthode d’authentification sont utilisées pour gérer les méthodes d’authentification d’un utilisateur. Par exemple :

  • Vous pouvez ajouter un numéro de téléphone à un utilisateur. L’utilisateur peut ensuite utiliser ce numéro de téléphone pour l’authentification par SMS et appel vocal s’il est activé pour l’utiliser par stratégie.
    • Vous pouvez mettre à jour ce numéro ou le supprimer de l’utilisateur.
    • Vous pouvez activer ou désactiver le numéro de connexion PAR SMS.
  • Vous pouvez récupérer les détails de la clé de sécurité FIDO2 d’un utilisateur et la supprimer si l’utilisateur a perdu la clé.
  • Vous pouvez récupérer les détails de l’inscription Microsoft Authenticator d’un utilisateur et les supprimer si l’utilisateur a perdu le téléphone.
  • Vous pouvez récupérer les détails de l’inscription Windows Hello Entreprise d’un utilisateur et les supprimer si l’utilisateur a perdu l’appareil.
  • Vous pouvez ajouter une adresse e-mail à un utilisateur. L’utilisateur peut ensuite utiliser cet e-mail dans le cadre du processus de réinitialisation de mot de passe Self-Service (SSPR).
    • Vous pouvez mettre à jour cet e-mail ou le supprimer de l’utilisateur.

La possibilité pour un utilisateur d’utiliser une méthode d’authentification est régie par la stratégie de méthode d’authentification pour le locataire. Par exemple, seuls les utilisateurs du service R&D peuvent être autorisés à utiliser la méthode FIDO2, tandis que tous les utilisateurs peuvent être autorisés à utiliser Microsoft Authenticator.

Nous vous déconseillons d’utiliser les API de méthodes d’authentification pour les scénarios où vous devez itérer sur l’ensemble de votre population d’utilisateurs à des fins d’audit ou de vérification de sécurité. Pour ces types de scénarios, nous vous recommandons d’utiliser les API de création de rapports d’inscription et d’utilisation des méthodes d’authentification (disponibles sur le point de beta terminaison uniquement).

Quelles méthodes d’authentification peuvent être gérées dans Microsoft Graph ?

Méthode d’authentification Description Exemples
emailAuthenticationMethod Une adresse e-mail peut être utilisée par un utilisateur dans le cadre du processus de réinitialisation de mot de passe Self-Service (SSPR). Consultez l’adresse e-mail d’authentification d’un utilisateur. Ajouter, mettre à jour ou supprimer une adresse e-mail pour un utilisateur.
fido2AuthenticationMethod Une clé de sécurité FIDO2 peut être utilisée par un utilisateur pour se connecter à l’ID Microsoft Entra. Supprimez une clé de sécurité FIDO2 perdue.
microsoftAuthenticatorAuthenticationMethod Microsoft Authenticator peut être utilisé par un utilisateur pour se connecter ou effectuer une authentification multifacteur auprès de l’ID Microsoft Entra Supprimer une méthode d’authentification Microsoft Authenticator.
passwordAuthenticationMethod Un mot de passe est actuellement la méthode d’authentification principale par défaut dans l’ID Microsoft Entra. Réinitialiser le mot de passe d'un utilisateur
phoneAuthenticationMethod Un téléphone peut être utilisé par un utilisateur pour s’authentifier à l’aide de SMS ou d’appels vocaux , comme autorisé par la stratégie. Consultez les numéros de téléphone d’authentification d’un utilisateur. Ajouter, mettre à jour ou supprimer un numéro de téléphone pour un utilisateur. Activer ou désactiver un téléphone mobile principal pour la connexion PAR SMS.
softwareOathAuthenticationMethod Autoriser les utilisateurs à effectuer une authentification multifacteur à l’aide d’une application qui prend en charge la spécification OATH TOTP et fournit un code à usage unique. Obtenez et supprimez un jeton OATH logiciel affecté à un utilisateur.
temporaryAccessPassAuthenticationMethod Code secret à durée limitée qui sert d’informations d’identification fortes et autorise l’intégration d’informations d’identification sans mot de passe. Créez et gérez un code secret personnalisé à durée limitée pour un utilisateur donné à utiliser pour l’authentification forte ou la récupération.
windowsHelloForBusinessAuthenticationMethod Windows Hello Entreprise est une méthode de connexion sans mot de passe sur les appareils Windows. Consultez les appareils sur lesquels un utilisateur a activé la connexion Windows Hello Entreprise. Supprimer des informations d’identification Windows Hello Entreprise.

Les méthodes d’authentification suivantes ne sont pas encore prises en charge dans Microsoft Graph v1.0.

Méthode d’authentification Description Exemples
Méthode par défaut Représente la méthode que l’utilisateur a sélectionnée par défaut pour effectuer l’authentification multifacteur. Modifier la méthode MFA par défaut d’un utilisateur.
NOTE: La gestion des détails de la méthode par défaut est actuellement prise en charge uniquement par le biais de MSOL Get-MsolUser et Set-MsolUser des applets de commande, à l’aide de la propriété StrongAuthenticationMethods .
Jeton matériel Autoriser les utilisateurs à effectuer une authentification multifacteur à l’aide d’un appareil physique qui fournit un code à usage unique. Obtenir un jeton matériel attribué à un utilisateur.
Questions et réponses sur la sécurité Autoriser les utilisateurs à valider leur identité lors de l’exécution d’une réinitialisation de mot de passe en libre-service. Supprimer une question de sécurité inscrite par un utilisateur.
États d’authentification Gérer les préférences de connexion d’un utilisateur et l’authentification multifacteur par utilisateur Consultez ou définissez l’état de l’authentification multifacteur pour un utilisateur. Consultez ou définissez le paramètre d’authentification multifacteur (MFA) préféré par le système.

Exiger la réinscription de l’authentification multifacteur

Pour demander aux utilisateurs de configurer une nouvelle authentification multifacteur la prochaine fois qu’ils se connectent, appelez les opérations de méthode d’authentification DELETE individuelles pour supprimer chacune des méthodes d’authentification actuelles de l’utilisateur. Une fois que l’utilisateur n’a plus de méthodes, il est invité à s’inscrire la prochaine fois qu’il se connecte quand une authentification forte est requise.

Utilisation de la méthode d’authentification au niveau du locataire

Vous pouvez surveiller l’inscription et l’utilisation des méthodes d’authentification au niveau du locataire, y compris les utilisateurs inscrits ou non inscrits pour l’authentification MFA et sans mot de passe, et les utilisateurs inscrits ou non inscrits pour SSPR à l’aide des API de rapport d’utilisation des méthodes d’authentification.

Étapes suivantes

  • Passez en revue les types de méthodes d’authentification et leurs différentes méthodes.
  • Essayez l’API dans l’Explorateur Graph.