Vue d’ensemble de l’API méthodes d’authentification Microsoft Entra
Espace de noms: microsoft.graph
Importante
Les API sous la version /beta dans Microsoft Graph sont susceptibles d’être modifiées. L’utilisation de ces API dans des applications de production n’est pas prise en charge. Pour déterminer si une API est disponible dans v1.0, utilisez le sélecteur Version .
Les méthodes d’authentification sont les façons dont les utilisateurs s’authentifient dans Microsoft Entra ID. Les méthodes d’authentification dans Microsoft Entra ID incluent le mot de passe et le téléphone (par exemple, les SMS et les appels vocaux), qui sont aujourd’hui gérables dans Microsoft Graph, entre autres, les clés de sécurité FIDO2 et l’application Microsoft Authenticator. Les méthodes d'authentification sont utilisées dans l'authentification primaire, secondaire et progressive, ainsi que dans le processus de réinitialisation du mot de passe en libre-service (SSPR).
Les API de méthode d’authentification sont utilisées pour gérer les méthodes d’authentification d’un utilisateur. Par exemple :
- Vous pouvez ajouter un numéro de téléphone à un utilisateur. L’utilisateur peut ensuite utiliser ce numéro de téléphone pour l’authentification par SMS et appel vocal s’il est activé pour l’utiliser par stratégie.
- Vous pouvez mettre à jour ce numéro ou le supprimer de l’utilisateur.
- Vous pouvez activer ou désactiver le numéro de connexion PAR SMS.
- Vous pouvez réinitialiser le mot de passe d’un utilisateur.
- Vous pouvez récupérer les détails de la clé de sécurité FIDO2 d’un utilisateur et la supprimer si l’utilisateur a perdu la clé.
- Vous pouvez récupérer les détails de l’inscription Microsoft Authenticator d’un utilisateur et les supprimer si l’utilisateur a perdu le téléphone.
- Vous pouvez récupérer les détails de l’inscription Windows Hello Entreprise d’un utilisateur et le supprimer si l’utilisateur a perdu l’appareil.
- Vous pouvez ajouter une adresse e-mail à un utilisateur. L’utilisateur peut ensuite utiliser cet e-mail dans le cadre du processus de réinitialisation de mot de passe Self-Service (SSPR).
- Vous pouvez mettre à jour cet e-mail ou le supprimer de l’utilisateur.
- Vous pouvez attribuer et activer un jeton OATH matériel pour un utilisateur.
La possibilité pour un utilisateur d’utiliser une méthode d’authentification est régie par la stratégie de méthode d’authentification pour le locataire. Par exemple, seuls les utilisateurs du service R&D peuvent être autorisés à utiliser la méthode FIDO2, tandis que tous les utilisateurs peuvent être autorisés à utiliser Microsoft Authenticator.
Nous vous déconseillons d’utiliser les API de méthodes d’authentification pour les scénarios où vous devez itérer sur l’ensemble de votre population d’utilisateurs à des fins d’audit ou de sécurité case activée. Pour ces types de scénarios, nous vous recommandons d’utiliser les API de création de rapports d’utilisation et d’inscription de méthode d’authentification.
Quelles méthodes d’authentification peuvent être gérées dans Microsoft Graph ?
| Méthode d’authentification | Description | Exemples |
|---|---|---|
| emailAuthenticationMethod | Une adresse e-mail peut être utilisée par un utilisateur dans le cadre du processus de réinitialisation de mot de passe Self-Service (SSPR). | Consultez l’adresse e-mail d’authentification d’un utilisateur. Ajouter, mettre à jour ou supprimer une adresse e-mail pour un utilisateur. |
| fido2AuthenticationMethod | Une clé de sécurité FIDO2 peut être utilisée par un utilisateur pour se connecter à Microsoft Entra ID. | Supprimez une clé de sécurité FIDO2 perdue. |
| hardwareOathAuthenticationMethod | Autoriser les utilisateurs à effectuer une authentification multifacteur à l’aide d’un appareil OATH matériel qui fournit un code à usage unique. | Obtenir, (un)assigner ou (dé)activer un jeton matériel pour un utilisateur. |
| microsoftAuthenticatorAuthenticationMethod | Microsoft Authenticator peut être utilisé par un utilisateur pour se connecter ou effectuer une authentification multifacteur pour Microsoft Entra ID | Supprimer une méthode d’authentification Microsoft Authenticator. |
| passwordAuthenticationMethod | Un mot de passe est actuellement la méthode d’authentification principale par défaut dans Microsoft Entra ID. | Réinitialiser le mot de passe d'un utilisateur |
| phoneAuthenticationMethod | Un téléphone peut être utilisé par un utilisateur pour s’authentifier à l’aide de SMS ou d’appels vocaux (comme autorisé par la stratégie). | Consultez les numéros de téléphone d’authentification d’un utilisateur. Ajouter, mettre à jour ou supprimer un numéro de téléphone pour un utilisateur. Activer ou désactiver un téléphone mobile principal pour la connexion PAR SMS. |
| platformCredentialAuthenticationMethod | Les informations d’identification de la plateforme sont une méthode d’authentification de connexion pour les utilisateurs sur des appareils macOS. | Consultez les informations d’identification de la plateforme d’un utilisateur. Supprimez les informations d’identification de la plateforme d’un utilisateur. |
| softwareOathAuthenticationMethod | Autoriser les utilisateurs à effectuer l’authentification multifacteur à l’aide d’une application qui prend en charge la spécification OATH et fournit un code à usage unique. | Obtenir et supprimer un jeton logiciel affecté à un utilisateur. |
| temporaryaccesspassauthenticationméthode d’authentification | Le pass d’accès temporaire est un code secret limité dans le temps qui sert d’informations d’identification fortes et autorise l’intégration d’informations d’identification sans mot de passe. | Définir un nouveau pass d’accès temporaire sur un utilisateur. |
| windowsHelloForBusinessAuthenticationMethod | Windows Hello Entreprise est une méthode de connexion sans mot de passe sur les appareils Windows. | Consultez les appareils sur lesquels un utilisateur a activé Windows Hello Entreprise connexion. Supprimez les informations d’identification d’un Windows Hello Entreprise. |
| États d’authentification | Gérer les préférences de connexion d’un utilisateur et l’authentification multifacteur par utilisateur | Consultez ou définissez l’état de l’authentification multifacteur pour un utilisateur. Consultez ou définissez le paramètre d’authentification multifacteur (MFA) préféré par le système. |
| passwordlessmicrosoftauthenticatorauthenticationmethod (déconseillé) | La connexion par téléphone sans mot de passe Microsoft Authenticator peut être utilisée par un utilisateur pour se connecter à Microsoft Entra ID | Supprimez une méthode d’authentification de connexion par téléphone sans mot de passe. |
Les méthodes d’authentification suivantes ne sont pas encore prises en charge dans Microsoft Graph beta.
| Méthode d’authentification | Description | Exemples |
|---|---|---|
| Questions et réponses sur la sécurité | Autoriser les utilisateurs à valider leur identité lors de l’exécution d’une réinitialisation de mot de passe en libre-service. | Supprimer une question de sécurité inscrite par un utilisateur. |
Exiger la réinscription de l’authentification multifacteur
Pour demander aux utilisateurs de configurer une nouvelle authentification multifacteur la prochaine fois qu’ils se connectent, appelez les opérations de méthode d’authentification DELETE individuelles pour supprimer chacune des méthodes d’authentification actuelles de l’utilisateur. Lorsque l’utilisateur n’a plus de méthodes, il est invité à s’inscrire la prochaine fois qu’il se connecte pour une authentification forte.
Utilisation de la méthode d’authentification au niveau du locataire
Vous pouvez surveiller l’inscription et l’utilisation des méthodes d’authentification au niveau du locataire, y compris les utilisateurs inscrits ou non inscrits pour l’authentification MFA et sans mot de passe, et les utilisateurs inscrits ou non inscrits pour SSPR à l’aide des API de rapport d’utilisation des méthodes d’authentification.
Étapes suivantes
- Passez en revue les types de méthodes d’authentification et leurs différentes méthodes.
- Essayez l’API dans graph Explorer.