Microsoft Entra身份验证方法 API 概述
命名空间:microsoft.graph
身份验证方法是用户在 Microsoft Entra ID 中进行身份验证的方式。 Microsoft Entra ID中的身份验证方法包括密码和电话 (例如短信和语音呼叫) (目前可在 Microsoft Graph beta 终结点中管理),以及 FIDO2 安全密钥和 Microsoft Authenticator 应用等许多其他方法。 身份验证方法用于主要、双重因素和分步身份验证,此外还适用于自助式密码重置 (SSPR) 流程。
身份验证方法 API 用于管理用户的身份验证方法。 例如:
- 可以向用户添加电话号码。 然后,如果用户能够按策略使用该电话号码,则可以使用该电话号码进行短信和语音呼叫身份验证。
- 可以更新该号码,也可以将其从用户中删除。
- 可以启用或禁用短信登录的号码。
- 可以检索用户的 FIDO2 安全密钥的详细信息,并在用户丢失密钥时将其删除。
- 可以检索用户的 Microsoft Authenticator 注册的详细信息,并在用户丢失手机时将其删除。
- 可以检索用户Windows Hello 企业版注册的详细信息,并在用户丢失设备时将其删除。
- 可以向用户添加电子邮件地址。 然后,用户可以使用该电子邮件作为 Self-Service 密码重置 (SSPR) 过程的一部分。
- 可以更新该电子邮件,也可以将其从用户中删除。
对于出于审核或安全检查目的而需要循环访问整个用户群的方案,建议不要使用身份验证方法 API。 对于这些类型的方案,我们建议使用 身份验证方法注册和使用情况报告 API (仅在终结点上可用 beta) 。
可以在 Microsoft Graph 中管理哪些身份验证方法?
| 身份验证方法 | 说明 | 示例 |
|---|---|---|
| emailAuthenticationMethod | 用户可以将电子邮件地址用作 Self-Service 密码重置 (SSPR) 过程的一部分。 | 查看用户的身份验证电子邮件地址。 向用户添加、更新或删除电子邮件地址。 |
| fido2AuthenticationMethod | 用户可以使用 FIDO2 安全密钥登录到Microsoft Entra ID。 | 删除丢失的 FIDO2 安全密钥。 |
| microsoftAuthenticatorAuthenticationMethod | 用户可以使用 Microsoft Authenticator 登录或执行多重身份验证以Microsoft Entra ID | 删除 Microsoft Authenticator 身份验证方法。 |
| passwordAuthenticationMethod | 密码当前是 Microsoft Entra ID 中默认的主要身份验证方法。 | 重置用户密码 |
| phoneAuthenticationMethod | 用户可以根据策略允许使用 短信或语音呼叫 对电话进行身份验证。 | 查看用户的身份验证电话号码。 为用户添加、更新或删除电话号码。 启用或禁用用于短信登录的主移动电话。 |
| softwareOathAuthenticationMethod | 允许用户使用支持 OATH TOTP 规范并提供一次性代码的应用程序执行多重身份验证。 | 获取并删除分配给用户的软件 OATH 令牌。 |
| temporaryAccessPassAuthenticationMethod | 充当强凭据并允许载入无密码凭据的限时密码。 | 为给定用户创建和管理自定义的时限密码,以用于强身份验证或恢复。 |
| windowsHelloForBusinessAuthenticationMethod | Windows Hello 企业版是 Windows 设备上的无密码登录方法。 | 查看用户已启用Windows Hello 企业版登录的设备。 删除Windows Hello 企业版凭据。 |
Microsoft Graph v1.0 中尚不支持以下身份验证方法。
| 身份验证方法 | 说明 | 示例 |
|---|---|---|
| 默认方法 | 表示用户选择作为默认执行多重身份验证的方法。 | 更改用户的默认 MFA 方法。 注意:目前仅支持使用 StrongAuthenticationMethods 属性通过 MSOL Get-MsolUser 和 Set-MsolUser cmdlet 管理默认方法的详细信息。 |
| 硬件令牌 | 允许用户使用提供一次性代码的物理设备执行多重身份验证。 | 获取分配给用户的硬件令牌。 |
| 安全问题和解答 | 允许用户在执行自助式密码重置时验证其标识。 | 删除用户注册的安全问题。 |
要求重新注册多重身份验证
若要要求用户在下次登录时设置新的多重身份验证,请调用单个 DELETE 身份验证方法操作以删除用户的当前身份验证方法。 用户不再使用方法后,系统会提示他们在下次登录时注册,需要强身份验证。
后续步骤
- 查看身份验证方法类型及其各种方法。
- 在 Graph 资源管理器中试用 API。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈