Microsoft Entra認証方法 API の概要
名前空間: microsoft.graph
重要
Microsoft Graph の /beta
バージョンの API は変更される可能性があります。 実稼働アプリケーションでこれらの API を使用することは、サポートされていません。 v1.0 で API を使用できるかどうかを確認するには、Version セレクターを使用します。
認証方法は、ユーザーがMicrosoft Entra IDで認証する方法です。 Microsoft Entra IDの認証方法には、パスワードと電話 (SMS や音声通話など) が含まれています。これは、現在 Microsoft Graph で管理可能であり、FIDO2 セキュリティ キーや Microsoft Authenticator アプリなど、多くのユーザーが管理できます。 認証方法は、プライマリ、セカンドファクター、およびステップアップ認証で使用され、セルフサービスパスワードリセット (SSPR) プロセスでも使用されます。
認証方法 API は、ユーザーの認証方法を管理するために使用されます。 以下に例を示します。
- ユーザーに電話番号を追加できます。 その後、ユーザーがポリシーで使用できるようにする場合は、その電話番号を SMS と音声通話の認証に使用できます。
- その番号を更新するか、ユーザーから削除できます。
- SMS サインインの番号を有効または無効にすることができます。
- ユーザーのパスワードをリセットできます。
- ユーザーの FIDO2 セキュリティ キーの詳細を取得し、ユーザーがキーを紛失した場合は削除できます。
- ユーザーの Microsoft Authenticator 登録の詳細を取得し、ユーザーが電話を紛失した場合は削除できます。
- ユーザーのWindows Hello for Business登録の詳細を取得し、ユーザーがデバイスを紛失した場合は削除できます。
- ユーザーにメール アドレスを追加できます。 ユーザーは、Self-Service パスワード リセット (SSPR) プロセスの一部として、その電子メールを使用できます。
- そのメールを更新することも、ユーザーから削除することもできます。
- ユーザーのハードウェア OATH トークンを割り当ててアクティブ化できます。
ユーザーが認証方法を使用する機能は、テナントの 認証方法ポリシー によって管理されます。 たとえば、R&D 部門のユーザーのみが FIDO2 メソッドの使用を有効にできますが、すべてのユーザーが Microsoft Authenticator の使用を有効にできる場合があります。
監査またはセキュリティのチェック目的でユーザーの作成全体を反復処理する必要があるシナリオでは、認証方法 API を使用することはお勧めしません。 これらの種類のシナリオでは、 認証方法の登録と使用状況レポート API を使用することをお勧めします。
Microsoft Graph で管理できる認証方法は何ですか?
認証方法 | 説明 | 例 |
---|---|---|
emailAuthenticationMethod | 電子メール アドレスは、Self-Service パスワード リセット (SSPR) プロセスの一部としてユーザーが使用できます。 | ユーザーの認証メール アドレスを確認します。 ユーザーにメール アドレスを追加、更新、または削除します。 |
fido2AuthenticationMethod | FIDO2 セキュリティ キーは、ユーザーがMicrosoft Entra IDにサインインするために使用できます。 | 紛失した FIDO2 セキュリティ キーを削除します。 |
hardwareOathAuthenticationMethod | ユーザーが 1 回限りのコードを提供するハードウェア OATH デバイスを使用して多要素認証を実行できるようにします。 | ユーザーにハードウェア トークンを取得、割り当て解除、または (de) アクティブ化します。 |
microsoftAuthenticatorAuthenticationMethod | Microsoft Authenticator は、ユーザーがサインインまたは多要素認証を実行してMicrosoft Entra ID | Microsoft Authenticator 認証方法を削除します。 |
passwordAuthenticationMethod | パスワードは現在、Microsoft Entra IDの既定のプライマリ認証方法です。 | ユーザーのパスワードを再設定します |
phoneAuthenticationMethod | ユーザーが SMS または音声通話 を使用して認証するために電話を使用できます (ポリシーで許可されています)。 | ユーザーの認証電話番号を確認します。 ユーザーに電話番号を追加、更新、または削除します。 SMS サインインのプライマリ携帯電話を有効または無効にします。 |
platformCredentialAuthenticationMethod | プラットフォーム資格情報は、macOS デバイス上のユーザーのサインイン認証方法です。 | ユーザーのプラットフォーム資格情報を確認します。 ユーザーのプラットフォーム資格情報を削除します。 |
softwareOathAuthenticationMethod | OATH 仕様をサポートし、1 回限りのコードを提供するアプリケーションを使用して、ユーザーが多要素認証を実行できるようにします。 | ユーザーに割り当てられたソフトウェア トークンを取得および削除します。 |
temporaryaccesspassauthenticationmethod | 一時的なアクセス パスは、強力な資格情報として機能し、パスワードレス資格情報のオンボードを許可する時間制限付きパスコードです。 | ユーザーに対して新しい一時アクセス パスを設定します。 |
windowsHelloForBusinessAuthenticationMethod | Windows Hello for Businessは、Windows デバイス上のパスワードレス サインイン方法です。 | ユーザーがサインインを有効にしているデバイスWindows Hello for Business表示します。 Windows Hello for Business資格情報を削除します。 |
認証の状態 | ユーザーのサインイン設定とユーザーごとの MFA を管理する | ユーザーの MFA 状態を確認または設定します。 システム優先多要素認証 (MFA) 設定を参照または設定します。 |
passwordlessmicrosoftauthenticatorauthenticationmethod (非推奨) | Microsoft Authenticator Passwordless Phone サインインは、ユーザーがMicrosoft Entra IDにサインインするために使用できます | パスワードレス電話サインイン認証方法を削除します。 |
Microsoft Graph beta
では、次の認証方法はまだサポートされていません。
認証方法 | 説明 | 例 |
---|---|---|
セキュリティに関する質問と回答 | セルフサービス パスワード リセットを実行するときに、ユーザーが ID を検証できるようにします。 | ユーザーが登録したセキュリティの質問を削除します。 |
多要素認証を再登録する必要があります
ユーザーが次回サインインするときに新しい多要素認証を設定するように要求するには、個々の DELETE 認証方法操作を呼び出して、各ユーザーの現在の認証方法を削除します。 ユーザーにこれ以上の方法がない場合は、次に強力な認証が必要な場所にサインインするときに登録するように求められます。
テナント レベルの認証方法の使用方法
MFA およびパスワードレス認証に登録または登録解除されたユーザー、SSPR に登録または登録解除されたユーザーなど、テナント レベルの認証方法の登録と使用状況を監視するには、 認証方法の使用状況レポート API を使用します。
次の手順
- 認証方法の種類とそのさまざまな方法を確認します。
- Graph エクスプローラーで API を試してください。