Introducción a la API de métodos de autenticación de Microsoft Entra
Espacio de nombres: microsoft.graph
Importante
Las API de la versión /beta
de Microsoft Graph están sujetas a cambios. No se admite el uso de estas API en aplicaciones de producción. Para determinar si una API está disponible en la versión 1.0, use el selector de Versión.
Los métodos de autenticación son las maneras en que los usuarios se autentican en Microsoft Entra ID. Los métodos de autenticación de Microsoft Entra ID incluyen la contraseña y el teléfono (por ejemplo, llamadas SMS y de voz), que se pueden administrar en Microsoft Graph hoy en día, entre muchos otros, como las claves de seguridad FIDO2 y la aplicación Microsoft Authenticator. Los métodos de autenticación se usan en la autenticación principal, de segundo factor y de nivel superior, y también en el proceso de restablecimiento de contraseña de autoservicio (SSPR).
Las API de método de autenticación se usan para administrar los métodos de autenticación de un usuario. Por ejemplo:
- Puede agregar un número de teléfono a un usuario. A continuación, el usuario puede usar ese número de teléfono para la autenticación de sms y llamadas de voz si está habilitado para usarlo mediante la directiva.
- Puede actualizar ese número o eliminarlo del usuario.
- Puede habilitar o deshabilitar el número de inicio de sesión por SMS.
- Puede restablecer la contraseña de un usuario.
- Puede recuperar los detalles de la clave de seguridad FIDO2 de un usuario y eliminarla si el usuario ha perdido la clave.
- Puede recuperar los detalles del registro de Microsoft Authenticator de un usuario y eliminarlo si el usuario ha perdido el teléfono.
- Puedes recuperar los detalles del registro de Windows Hello para empresas de un usuario y eliminarlo si el usuario ha perdido el dispositivo.
- Puede agregar una dirección de correo electrónico a un usuario. A continuación, el usuario puede usar ese correo electrónico como parte del proceso de restablecimiento de contraseña (SSPR) de Self-Service.
- Puede actualizar ese correo electrónico o eliminarlo del usuario.
La capacidad de un usuario para usar un método de autenticación se rige por la directiva de método de autenticación para el inquilino. Por ejemplo, solo los usuarios del departamento de R&D podrían estar habilitados para usar el método FIDO2, mientras que todos los usuarios podrían estar habilitados para usar Microsoft Authenticator.
No se recomienda usar las API de métodos de autenticación para escenarios en los que tenga que recorrer en iteración toda la población de usuarios con fines de auditoría o comprobación de seguridad. Para estos tipos de escenarios, se recomienda usar el registro del método de autenticación y las API de informes de uso.
¿Qué métodos de autenticación se pueden administrar en Microsoft Graph?
Método de autenticación | Descripción | Ejemplos |
---|---|---|
emailAuthenticationMethod | Un usuario puede usar una dirección de correo electrónico como parte del proceso de restablecimiento de contraseña (SSPR) de Self-Service. | Consulte la dirección de correo electrónico de autenticación de un usuario. Agregue, actualice o quite una dirección de correo electrónico a un usuario. |
fido2AuthenticationMethod | Un usuario puede usar una clave de seguridad FIDO2 para iniciar sesión en Microsoft Entra ID. | Elimine una clave de seguridad FIDO2 perdida. |
microsoftAuthenticatorAuthenticationMethod | Un usuario puede usar Microsoft Authenticator para iniciar sesión o realizar la autenticación multifactor en microsoft entra id. | Elimine un método de autenticación de Microsoft Authenticator. |
passwordAuthenticationMethod | Una contraseña es actualmente el método de autenticación principal predeterminado en Microsoft Entra ID. | Restablecer la contraseña de un usuario |
phoneAuthenticationMethod | Un usuario puede usar un teléfono para autenticarse mediante SMS o llamadas de voz (según lo permitido por la directiva). | Consulte los números de teléfono de autenticación de un usuario. Agregue, actualice o quite un número de teléfono a un usuario. Habilite o deshabilite un teléfono móvil principal para el inicio de sesión por SMS. |
platformCredentialAuthenticationMethod | Platform Credential es un método de autenticación de inicio de sesión para usuarios en dispositivos Mac OS. | Consulte las credenciales de la plataforma de un usuario. Quite la credencial de la plataforma de un usuario. |
softwareOathAuthenticationMethod | Permitir que los usuarios realicen la autenticación multifactor mediante una aplicación que admita la especificación oath y proporcione un código de un solo uso. | Obtenga y elimine un token de software asignado a un usuario. |
temporaryaccesspassauthenticationmethod | El pase de acceso temporal es un código de acceso limitado por tiempo que actúa como una credencial segura y permite la incorporación de credenciales sin contraseña. | Establezca un nuevo pase de acceso temporal en un usuario. |
windowsHelloForBusinessAuthenticationMethod | Windows Hello para empresas es un método de inicio de sesión sin contraseña en dispositivos Windows. | Consulta los dispositivos en los que un usuario ha habilitado el inicio de sesión de Windows Hello para empresas. Elimina una credencial de Windows Hello para empresas. |
Estados de autenticación | Administrar las preferencias de inicio de sesión de un usuario y MFA por usuario | Vea o establezca el estado de MFA para un usuario. Vea o establezca la configuración de autenticación multifactor (MFA) preferida por el sistema. |
passwordlessmicrosoftauthenticatorauthenticationmethod (en desuso) | Un usuario puede usar el inicio de sesión de teléfono sin contraseña de Microsoft Authenticator para iniciar sesión en Microsoft Entra ID. | Elimine un método de autenticación de inicio de sesión de teléfono sin contraseña. |
Los siguientes métodos de autenticación aún no se admiten en Microsoft Graph beta
.
Método de autenticación | Descripción | Ejemplos |
---|---|---|
Token de hardware | Permitir a los usuarios realizar la autenticación multifactor mediante un dispositivo físico que proporciona un código de un solo uso. | Obtenga un token de hardware asignado a un usuario. |
Preguntas y respuestas de seguridad | Permitir a los usuarios validar su identidad al realizar un autoservicio de restablecimiento de contraseña. | Eliminar una pregunta de seguridad registrada por un usuario. |
Requerir volver a registrar la autenticación multifactor
Para requerir que los usuarios configuren una nueva autenticación multifactor la próxima vez que inicien sesión, llame a las operaciones de método de autenticación DELETE individuales para eliminar cada uno de los métodos de autenticación actuales del usuario. Cuando el usuario no tiene más métodos, se le pedirá que se registre la próxima vez que inicie sesión donde se requiera una autenticación segura.
Uso del método de autenticación de nivel de inquilino
Puede supervisar el registro y el uso del método de autenticación de nivel de inquilino, incluidos los usuarios registrados o no registrados para la autenticación sin contraseña y MFA, y los usuarios registrados o no registrados para SSPR mediante las API de informe de uso de métodos de autenticación.
Siguientes pasos
- Revise los tipos de método de autenticación y sus diversos métodos.
- Pruebe la API en el Explorador de Graph.