Общие сведения об API методов проверки подлинности Microsoft Entra
Пространство имен: microsoft.graph
Методы проверки подлинности — это способы проверки подлинности пользователей в Microsoft Entra идентификаторе. Методы проверки подлинности в идентификаторе Microsoft Entra включают пароль и телефон (например, SMS и голосовые звонки), которые сегодня можно управлять в бета-версии конечной точки Microsoft Graph, среди многих других, таких как ключи безопасности FIDO2 и приложение Microsoft Authenticator. Способы проверки подлинности используются в ходе основной, двухфакторной проверки подлинности, проверки подлинности повышенного уровня, а также в процессе самостоятельного сброса пароля (SSPR).
API-интерфейсы методов проверки подлинности используются для управления методами проверки подлинности пользователя. Например:
- Вы можете добавить номер телефона для пользователя. Затем пользователь может использовать этот номер телефона для проверки подлинности SMS и голосовых вызовов, если он включен в политику.
- Вы можете обновить этот номер или удалить его у пользователя.
- Вы можете включить или отключить номер для входа в SMS.
- Вы можете получить сведения о ключе безопасности FIDO2 пользователя и удалить его, если пользователь потерял ключ.
- Вы можете получить сведения о регистрации пользователя в Microsoft Authenticator и удалить их, если пользователь потерял телефон.
- Вы можете получить сведения о регистрации Windows Hello для бизнеса пользователя и удалить их, если пользователь потерял устройство.
- Вы можете добавить адрес электронной почты для пользователя. Затем пользователь может использовать это сообщение электронной почты в рамках процесса Self-Service сброса пароля (SSPR).
- Вы можете обновить это сообщение электронной почты или удалить его у пользователя.
Мы не рекомендуем использовать API-интерфейсы методов проверки подлинности для сценариев, в которых необходимо выполнить итерацию по всей вашей совокупности пользователей для аудита или обеспечения безопасности проверка целях. Для таких сценариев рекомендуется использовать API регистрации методов проверки подлинности и отчетов об использовании (доступны только в конечной точке beta ).
Какими методами проверки подлинности можно управлять в Microsoft Graph?
| Способ проверки подлинности | Описание | Примеры |
|---|---|---|
| emailAuthenticationMethod | Адрес электронной почты может использоваться пользователем в рамках процесса Self-Service сброса пароля (SSPR). | Просмотрите адрес электронной почты для проверки подлинности пользователя. Добавление, обновление или удаление адреса электронной почты пользователя. |
| fido2AuthenticationMethod | Ключ безопасности FIDO2 может использоваться пользователем для входа в Microsoft Entra идентификатор. | Удаление потерянного ключа безопасности FIDO2. |
| microsoftAuthenticatorAuthenticationMethod | Microsoft Authenticator может использоваться пользователем для входа или выполнения многофакторной проверки подлинности для Microsoft Entra идентификатора. | Удалите метод проверки подлинности Microsoft Authenticator. |
| passwordAuthenticationMethod | В настоящее время пароль является основным методом проверки подлинности по умолчанию в идентификаторе Microsoft Entra. | сбросить пароль пользователя. |
| phoneAuthenticationMethod | Телефон может использоваться пользователем для проверки подлинности с помощью SMS или голосовых вызовов , как это разрешено политикой. | Просмотрите номера телефонов для проверки подлинности пользователя. Добавление, обновление или удаление номера телефона пользователя. Включение или отключение основного мобильного телефона для входа в SMS. |
| softwareOathAuthenticationMethod | Разрешить пользователям выполнять многофакторную проверку подлинности с помощью приложения, которое поддерживает спецификацию OATH TOTP и предоставляет одноразовый код. | Получение и удаление программного токена OATH, назначенного пользователю. |
| temporaryAccessPassAuthenticationMethod | Секретный код, ограниченный по времени, который служит в качестве надежных учетных данных и позволяет подключить учетные данные без пароля. | Создайте и управляйте настраиваемым секретным кодом с заданным временем, который будет использоваться для строгой проверки подлинности или восстановления. |
| windowsHelloForBusinessAuthenticationMethod | Windows Hello для бизнеса — это метод входа без пароля на устройствах Windows. | См. сведения об устройствах, на которых пользователь включил Windows Hello для бизнеса вход. Удалите учетные данные Windows Hello для бизнеса. |
Следующие методы проверки подлинности пока не поддерживаются в Microsoft Graph версии 1.0.
| Способ проверки подлинности | Описание | Примеры |
|---|---|---|
| Метод по умолчанию | Представляет метод, выбранный пользователем по умолчанию для многофакторной проверки подлинности. | Изменение метода MFA пользователя по умолчанию. ПРИМЕЧАНИЕ: Управление сведениями о методе по умолчанию в настоящее время поддерживается только с помощью командлетов MSOL Get-MsolUser и Set-MsolUser с помощью свойства StrongAuthenticationMethods . |
| Аппаратный токен | Разрешить пользователям выполнять многофакторную проверку подлинности с помощью физического устройства, которое предоставляет одноразовый код. | Получите маркер оборудования, назначенный пользователю. |
| Контрольные вопросы и ответы | Разрешить пользователям проверять свои удостоверения при выполнении самостоятельного сброса пароля. | Удаление контрольного вопроса, зарегистрированного пользователем. |
Требовать повторную регистрацию многофакторной проверки подлинности
Чтобы потребовать от пользователей настроить новую многофакторную проверку подлинности при следующем входе, вызовите отдельные операции метода проверки подлинности DELETE, чтобы удалить каждый из текущих методов проверки подлинности пользователя. Когда у пользователя больше нет методов, ей будет предложено зарегистрировать при следующем входе, где требуется строжная проверка подлинности.
Дальнейшие действия
- Просмотрите типы методов проверки подлинности и их различные методы.
- Попробуйте API в Graph Обозреватель.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по