Общие сведения об API проверки подлинности Microsoft Entra
Пространство имен: microsoft.graph
Надежность проверки подлинности позволяет администраторам требовать определенные сочетания Microsoft Entra методов проверки подлинности для доступа к ресурсу. Каждая надежность проверки подлинности состоит из одного или нескольких сочетаний методов проверки подлинности, где каждое сочетание является одним или несколькими методами проверки подлинности. Когда сила применяется к сценарию в качестве элемента управления предоставлениемв условном доступе, пользователь в область политики должен выполнить одно из этих разрешенных сочетаний при входе, прежде чем он сможет получить доступ к ресурсу. В рамках условного доступа надежность проверки подлинности также может быть связана с другими элементами управления условным доступом, такими как риск для пользователей и расположение.
Например, администратор может потребовать от пользователей пройти проверку подлинности с помощью устойчивых к фишингу методов проверки подлинности, прежде чем они смогут получить доступ к конфиденциальному ресурсу. Администратор также может разрешить пользователям проходить проверку подлинности с помощью менее безопасных сочетаний многофакторной проверки подлинности (MFA), таких как пароль и SMS, для доступа к не конфиденциальным приложениям.
В этой статье представлены API Microsoft Graph, которые позволяют администраторам программно управлять надежностью проверки подлинности.
Политики надежности проверки подлинности
Политики надежности проверки подлинности определяют надежность проверки подлинности, доступные для использования в клиенте. Используйте тип ресурса authenticationStrengthPolicy и связанные с ним методы для определения этих политик и управления ими. Политики включают следующие конфигурации:
- Имя, идентификатор и описание политики.
- Сочетания методов проверки подлинности, которые являются частью политики.
- Можно ли использовать политику при выполнении требований к методу проверки подлинности для удовлетворения утверждения MFA в маркере доступа.
Microsoft Entra ID поддерживает как встроенные, так и пользовательские политики надежности проверки подлинности. Корпорация Майкрософт предоставила следующие три встроенные политики:
- Многофакторная проверка подлинности
- Многофакторная проверка подлинности без пароля
- Устойчивая к фишингу многофакторная проверка подлинности
Вы можете читать только встроенные политики, но вы можете создать до 15 настраиваемых политик в соответствии с вашими требованиями.
Сочетания методов проверки подлинности
Основными для политики являются сочетания методов проверки подлинности. Сочетание состоит из одного или нескольких методов проверки подлинности в списке, разделенном запятыми. Сочетания предварительно определены и используются для определения надежности проверки подлинности. Эти методы проверки подлинности основаны на перечислении authenticationMethodModes , помеченного. Ниже приведены некоторые примеры сочетаний:
| Пример разрешенного сочетания | Описание |
|---|---|
fido2 |
Пользователь должен выполнить вход с помощью ключа безопасности FIDO2, чтобы удовлетворить требования к надежности проверки подлинности. |
password,microsoftAuthenticatorPush |
Пользователь должен войти в систему с помощью пароля и принудительного утверждения Microsoft Authenticator, чтобы удовлетворить требования к надежности проверки подлинности. |
password,softwareOath |
Пользователь должен выполнить вход с помощью пароля и программного токена OATH, чтобы удовлетворить требования к надежности проверки подлинности. |
Microsoft Entra ID предоставляет предопределенные сочетания только для чтения, используя следующие принципы:
- Методы однофакторной проверки подлинности, которые можно использовать в качестве первых факторов, таких как пароль и SMS.
- Сочетания паролей и второго фактора, которые делают допустимое сочетание многофакторной проверки подлинности ("что-то у вас есть" и "что-то, что вы знаете").
- Многофакторные средства проверки подлинности без пароля, такие как FIDO2 и проверка подлинности на основе сертификатов x509.
Встроенные сильные стороны проверки подлинности используют эти сочетания, и их можно использовать в пользовательских проверках подлинности.
Чтобы просмотреть сведения о поддерживаемых методах проверки подлинности и разрешенных сочетаниях, вызовите API List authenticationMethodModes .
Сочетания встроенных политик проверки подлинности доступны только для чтения. Чтобы просмотреть все встроенные политики и их конфигурации, вызовите API List authenticationStrengthPolicies .
Чтобы создать настраиваемую политику надежности проверки подлинности, необходимо настроить сочетания методов проверки подлинности с помощью разрешенных сочетаний.
Конфигурации сочетаний
Вы можете применить дополнительные ограничения на определенные методы проверки подлинности, чтобы определить, какие экземпляры метода пользователь может использовать для проверки подлинности. Эти типы ограничений представляют собой конфигурации сочетания , а также могут быть частью объекта authenticationStrengthPolicy .
Конфигурация сочетания может применяться к одному или нескольким сочетаниям, которые включают конкретный метод проверки подлинности. На сегодняшний день FIDO2 является единственным методом, поддерживающим комбинированные конфигурации.
Например, настраиваемая политика допускает следующие сочетания: password,softwareOath, fido2и x509CertificateMultiFactor. Для этой политики можно ограничить ключи безопасности FIDO2, которые пользователь может использовать для проверки подлинности, настроив конфигурацию сочетания с определенными GUID аттестации аутентификатора (AAGUID).
Политика надежности проверки подлинности имеет ноль или несколько конфигураций сочетаний.
Применение политик надежности проверки подлинности в условном доступе
После определения политики надежности проверки подлинности применяется и применяется к защищенному ресурсу с помощью политик условного доступа Microsoft Entra.
В элементах управления предоставление условного доступа настройте отношение authenticationStrength , назначив объект authenticationStrengthPolicy , который должен быть связан с политикой условного доступа. Если политика условного доступа применяется к входу и эта политика имеет контроль надежности проверки подлинности, пользователю потребуется использовать одно из разрешенных сочетаний методов проверки подлинности для входа. Политики надежности проверки подлинности также могут применяться для гостевых пользователей с помощью политик условного доступа и параметров входящего доверия для межтенантного доступа.
Объект authenticationStrength соответствует элементу управления "Требовать надежность проверки подлинности" пользовательского интерфейса политики условного доступа на Центр администрирования Microsoft Entra.
Вы не можете настроить надежность проверки подлинности и управление предоставлением многофакторной проверки подлинности для одной политики условного доступа.
Дальнейшие действия
- Ознакомьтесь с дополнительными сведениями о надежности проверки подлинности.
- Попробуйте API в Graph Обозреватель.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по