Microsoft Entra身份验证强度 API 概述

命名空间:microsoft.graph

重要

Microsoft Graph /beta 版本下的 API 可能会发生更改。 不支持在生产应用程序中使用这些 API。 若要确定 API 是否在 v1.0 中可用,请使用 版本 选择器。

身份验证强度允许管理员要求Microsoft Entra身份验证方法的特定组合来访问资源。 每个身份验证强度包括一个或多个身份验证方法的组合,其中每个组合都是一个或多个身份验证方法。 当强度作为条件访问中的授权控制应用于方案时,策略范围内的用户需要在登录时满足其中一个允许的组合,然后才能访问资源。 作为条件访问的一部分,身份验证强度还可以与其他条件访问控制(例如用户风险和位置)配对。

例如,管理员可以要求用户使用防钓鱼身份验证方法进行身份验证,然后才能访问敏感资源。 管理员还可以允许用户使用安全性较低的多重身份验证 (MFA) 组合(如密码和短信)进行身份验证,以便访问非敏感应用程序。

本文介绍允许管理员以编程方式管理身份验证强度的 Microsoft Graph API。

身份验证强度策略

身份验证强度策略定义可用于租户的身份验证强度。 使用 authenticationStrengthPolicy 资源类型及其关联方法来定义和管理这些策略。 这些策略包括以下配置:

  • 策略的名称、标识符和说明。
  • 属于策略的身份验证方法组合。
  • 在满足身份验证方法要求时,策略是否可用于满足访问令牌中的 MFA 声明。

Microsoft Entra ID支持内置和自定义身份验证强度策略。 Microsoft 提供了以下三个内置策略:

  • 多重身份验证
  • 无密码多重身份验证
  • 防钓鱼多重身份验证

只能读取内置策略,但最多可以创建 15 个自定义策略以满足你的要求。

身份验证方法组合

策略的核心是身份验证方法组合。 组合由逗号分隔列表中的一个或多个身份验证方法组成。 组合是预定义的,用于定义身份验证强度。 这些身份验证方法基于 authenticationMethodModes 标志枚举。 一些示例组合包括:

允许的组合示例 说明
fido2 用户必须使用 FIDO2 安全密钥登录,才能满足身份验证强度要求。
password,microsoftAuthenticatorPush 用户 必须使用密码和 Microsoft Authenticator 推送批准登录,才能满足身份验证强度要求。
password,softwareOath 用户 必须使用密码和 软件 OATH 令牌登录,才能满足身份验证强度要求。

Microsoft Entra ID使用以下原则提供预定义的只读组合:

  • 可用作密码和短信等第一因素的单因素身份验证方法。
  • 密码和第二个因素的组合,使有效的多重身份验证组合 (“你拥有的东西”和“你知道的东西”) 。
  • 无密码多重身份验证器,例如 FIDO2 和 x509 证书身份验证。

内置身份验证强度使用这些组合,并且组合可用于自定义身份验证强度。

若要查看支持的身份验证方法和允许的组合的详细信息,请调用 List authenticationMethodModes API。

内置策略的身份验证组合是只读的。 若要查看所有内置策略及其配置,请调用 List authenticationStrengthPolicies API。

若要创建自定义身份验证强度策略,必须使用允许的组合配置身份验证方法组合。

组合配置

可以对某些身份验证方法应用进一步限制,以控制用户可用于进行身份验证的方法的实例。 这些类型的限制是 组合配置 ,也可以是 authenticationStrengthPolicy 对象的一部分。

组合配置可能适用于包含特定身份验证方法的一个或多个组合。 目前, FIDO2 是唯一支持组合配置的方法。

例如,自定义策略允许以下组合: password,softwareOathfido2x509CertificateMultiFactor。 对于此策略,可以通过使用特定的 Authenticator 证明 GUID 配置组合配置来限制用户可用于进行身份验证的 FIDO2 安全密钥, (AAGUIDs) 。

身份验证强度策略具有零个或多个组合配置。

在条件访问中应用身份验证强度策略

定义身份验证强度策略后,使用Microsoft Entra条件访问策略对受保护资源应用并强制实施该策略。

在条件访问授予控件中,通过分配应与条件访问策略关联的 authenticationStrengthPolicy 对象来配置 authenticationStrength 关系。 当条件访问策略应用于登录并且该策略具有身份验证强度授予控制时,用户将需要使用允许的身份验证方法组合之一进行登录。 还可以通过条件访问策略和 跨租户访问入站信任设置为来宾用户强制实施身份验证强度策略。

authenticationStrength 对象对应于Microsoft Entra 管理中心上条件访问策略的 UX 的“需要身份验证强度”控制。

不能在同一条件访问策略上配置身份验证强度和多重身份验证授予控制。

后续步骤