Общие сведения об API методов проверки подлинности Microsoft Entra
Пространство имен: microsoft.graph
Методы проверки подлинности — это способы проверки подлинности пользователей в идентификаторе Microsoft Entra. Методы проверки подлинности в Идентификаторе Microsoft Entra включают пароль и телефон (например, SMS и голосовые звонки), которые сегодня можно управлять в бета-версии конечной точки Microsoft Graph, среди многих других, таких как ключи безопасности FIDO2 и приложение Microsoft Authenticator. Способы проверки подлинности используются в ходе основной, двухфакторной проверки подлинности, проверки подлинности повышенного уровня, а также в процессе самостоятельного сброса пароля (SSPR).
API-интерфейсы методов проверки подлинности используются для управления методами проверки подлинности пользователя. Например:
- Вы можете добавить номер телефона для пользователя. Затем пользователь может использовать этот номер телефона для проверки подлинности SMS и голосовых вызовов, если он включен в политику.
- Вы можете обновить этот номер или удалить его у пользователя.
- Вы можете включить или отключить номер для входа в SMS.
- Вы можете получить сведения о ключе безопасности FIDO2 пользователя и удалить его, если пользователь потерял ключ.
- Вы можете получить сведения о регистрации пользователя в Microsoft Authenticator и удалить их, если пользователь потерял телефон.
- Вы можете получить сведения о регистрации Пользователя в Windows Hello для бизнеса и удалить их, если пользователь потерял устройство.
- Вы можете добавить адрес электронной почты для пользователя. Затем пользователь может использовать это сообщение электронной почты в рамках процесса Self-Service сброса пароля (SSPR).
- Вы можете обновить это сообщение электронной почты или удалить его у пользователя.
Возможность использования метода проверки подлинности пользователем регулируется политикой метода проверки подлинности для клиента. Например, только пользователи в отделе R&D могут использовать метод FIDO2, а всем пользователям может быть разрешено использовать Microsoft Authenticator.
Мы не рекомендуем использовать API-интерфейсы методов проверки подлинности для сценариев, в которых необходимо выполнить итерацию по всей вашей совокупности пользователей для аудита или проверки безопасности. Для таких сценариев рекомендуется использовать API регистрации методов проверки подлинности и отчетов об использовании (доступны только в конечной точке beta ).
Какими методами проверки подлинности можно управлять в Microsoft Graph?
| Способ проверки подлинности | Описание | Примеры |
|---|---|---|
| emailAuthenticationMethod | Адрес электронной почты может использоваться пользователем в рамках процесса Self-Service сброса пароля (SSPR). | Просмотрите адрес электронной почты для проверки подлинности пользователя. Добавление, обновление или удаление адреса электронной почты пользователя. |
| fido2AuthenticationMethod | Ключ безопасности FIDO2 может использоваться пользователем для входа в Microsoft Entra ID. | Удаление потерянного ключа безопасности FIDO2. |
| microsoftAuthenticatorAuthenticationMethod | Microsoft Authenticator может использоваться пользователем для входа или выполнения многофакторной проверки подлинности с идентификатором Microsoft Entra ID. | Удалите метод проверки подлинности Microsoft Authenticator. |
| passwordAuthenticationMethod | В настоящее время пароль является основным методом проверки подлинности по умолчанию в Идентификаторе Microsoft Entra. | сбросить пароль пользователя. |
| phoneAuthenticationMethod | Телефон может использоваться пользователем для проверки подлинности с помощью SMS или голосовых вызовов , как это разрешено политикой. | Просмотрите номера телефонов для проверки подлинности пользователя. Добавление, обновление или удаление номера телефона пользователя. Включение или отключение основного мобильного телефона для входа в SMS. |
| softwareOathAuthenticationMethod | Разрешить пользователям выполнять многофакторную проверку подлинности с помощью приложения, которое поддерживает спецификацию OATH TOTP и предоставляет одноразовый код. | Получение и удаление программного токена OATH, назначенного пользователю. |
| temporaryAccessPassAuthenticationMethod | Секретный код, ограниченный по времени, который служит в качестве надежных учетных данных и позволяет подключить учетные данные без пароля. | Создайте и управляйте настраиваемым секретным кодом с заданным временем, который будет использоваться для строгой проверки подлинности или восстановления. |
| windowsHelloForBusinessAuthenticationMethod | Windows Hello для бизнеса — это метод входа без пароля на устройствах Windows. | Просмотрите устройства, на которых пользователь включил вход в Windows Hello для бизнеса. Удаление учетных данных Windows Hello для бизнеса. |
Следующие методы проверки подлинности пока не поддерживаются в Microsoft Graph версии 1.0.
| Способ проверки подлинности | Описание | Примеры |
|---|---|---|
| Метод по умолчанию | Представляет метод, выбранный пользователем по умолчанию для многофакторной проверки подлинности. | Изменение метода MFA пользователя по умолчанию. ЗАМЕТКА: Управление сведениями о методе по умолчанию в настоящее время поддерживается только с помощью командлетов MSOL Get-MsolUser и Set-MsolUser с помощью свойства StrongAuthenticationMethods . |
| Аппаратный токен | Разрешить пользователям выполнять многофакторную проверку подлинности с помощью физического устройства, которое предоставляет одноразовый код. | Получите маркер оборудования, назначенный пользователю. |
| Контрольные вопросы и ответы | Разрешить пользователям проверять свои удостоверения при выполнении самостоятельного сброса пароля. | Удаление контрольного вопроса, зарегистрированного пользователем. |
| Состояния проверки подлинности | Управление настройками входа пользователя и MFA для каждого пользователя | Просмотр или настройка состояния MFA для пользователя. См. или задайте параметр многофакторной проверки подлинности (MFA). |
Требовать повторную регистрацию многофакторной проверки подлинности
Чтобы потребовать от пользователей настроить новую многофакторную проверку подлинности при следующем входе, вызовите отдельные операции метода проверки подлинности DELETE, чтобы удалить каждый из текущих методов проверки подлинности пользователя. Когда у пользователя больше нет методов, ей будет предложено зарегистрировать при следующем входе, где требуется строжная проверка подлинности.
Использование метода проверки подлинности на уровне клиента
Вы можете отслеживать регистрацию и использование методов проверки подлинности на уровне клиента, включая пользователей, зарегистрированных или незарегистрированных для MFA и проверки подлинности без пароля, а также пользователей, зарегистрированных или незарегистрированных для SSPR, с помощью API отчетов об использовании методов проверки подлинности.
Дальнейшие действия
- Просмотрите типы методов проверки подлинности и их различные методы.
- Попробуйте API в Обозревателе Graph.