Поделиться через


Общие сведения об API методов проверки подлинности Microsoft Entra

Пространство имен: microsoft.graph

Методы проверки подлинности — это способы проверки подлинности пользователей в Microsoft Entra ID. Методы проверки подлинности в Microsoft Entra ID включают пароль и телефон (например, SMS и голосовые вызовы), которые сегодня доступны в бета-версии конечной точки Microsoft Graph, а также многие другие, такие как ключи безопасности FIDO2 и приложение Microsoft Authenticator. Способы проверки подлинности используются в ходе основной, двухфакторной проверки подлинности, проверки подлинности повышенного уровня, а также в процессе самостоятельного сброса пароля (SSPR).

API-интерфейсы методов проверки подлинности используются для управления методами проверки подлинности пользователя. Например:

  • Вы можете добавить номер телефона для пользователя. Затем пользователь может использовать этот номер телефона для проверки подлинности SMS и голосовых вызовов, если он включен в политику.
    • Вы можете обновить этот номер или удалить его у пользователя.
    • Вы можете включить или отключить номер для входа в SMS.
  • Вы можете получить сведения о ключе безопасности FIDO2 пользователя и удалить его, если пользователь потерял ключ.
  • Вы можете получить сведения о регистрации пользователя в Microsoft Authenticator и удалить их, если пользователь потерял телефон.
  • Вы можете получить сведения о регистрации Windows Hello для бизнеса пользователя и удалить их, если пользователь потерял устройство.
  • Вы можете добавить адрес электронной почты для пользователя. Затем пользователь может использовать это сообщение электронной почты в рамках процесса Self-Service сброса пароля (SSPR).
    • Вы можете обновить это сообщение электронной почты или удалить его у пользователя.

Возможность использования метода проверки подлинности пользователем регулируется политикой метода проверки подлинности для клиента. Например, только пользователи в отделе R&D могут использовать метод FIDO2, а всем пользователям может быть разрешено использовать Microsoft Authenticator.

Мы не рекомендуем использовать API-интерфейсы методов проверки подлинности для сценариев, в которых необходимо выполнить итерацию по всей вашей совокупности пользователей для аудита или обеспечения безопасности проверка целях. Для таких сценариев рекомендуется использовать API регистрации методов проверки подлинности и отчетов об использовании (доступны только в конечной точке beta ).

Примечание.

Время ожидания ЗАПРОСОВ к API методов проверки подлинности истекает через 60 секунд.

Какими методами проверки подлинности можно управлять в Microsoft Graph?

Способ проверки подлинности Описание Примеры
emailAuthenticationMethod Пользователь может использовать адрес электронной почты в рамках процесса Self-Service сброса пароля (SSPR). Просмотрите адрес электронной почты для проверки подлинности пользователя. Добавление, обновление или удаление адреса электронной почты пользователя.
fido2AuthenticationMethod Пользователь может использовать ключ безопасности FIDO2 для входа в Microsoft Entra ID. Удалите потерянный ключ безопасности FIDO2.
microsoftAuthenticatorAuthenticationMethod Пользователь может использовать приложение Microsoft Authenticator для входа или выполнения многофакторной проверки подлинности для Microsoft Entra ID Удалите метод проверки подлинности Microsoft Authenticator.
passwordAuthenticationMethod В настоящее время пароль является основным методом проверки подлинности по умолчанию в Microsoft Entra ID. сбросить пароль пользователя.
phoneAuthenticationMethod Пользователь может использовать телефон для проверки подлинности с помощью SMS или голосовых вызовов , как это разрешено политикой. Просмотрите номера телефонов для проверки подлинности пользователя. Добавление, обновление или удаление номера телефона пользователя. Включение или отключение основного мобильного телефона для входа в SMS.
softwareOathAuthenticationMethod Разрешить пользователям выполнять многофакторную проверку подлинности с помощью приложения, которое поддерживает спецификацию OATH TOTP и предоставляет одноразовый код. Получение и удаление программного токена OATH, назначенного пользователю.
temporaryAccessPassAuthenticationMethod Секретный код, ограниченный по времени, который служит в качестве надежных учетных данных и позволяет подключить учетные данные без пароля. Создайте и управляйте настраиваемым секретным кодом с заданным временем, который будет использоваться для строгой проверки подлинности или восстановления.
windowsHelloForBusinessAuthenticationMethod Windows Hello для бизнеса — это метод входа без пароля на устройствах Windows. См. сведения об устройствах, на которых пользователь включил Windows Hello для бизнеса вход. Удалите учетные данные Windows Hello для бизнеса.

Следующие методы проверки подлинности пока не поддерживаются в Microsoft Graph версии 1.0.

Способ проверки подлинности Описание Примеры
Метод по умолчанию Представляет метод, выбранный пользователем по умолчанию для многофакторной проверки подлинности. Изменение метода MFA пользователя по умолчанию.
ЗАМЕТКА: Управление сведениями о методе по умолчанию в настоящее время поддерживается только с помощью командлетов MSOL Get-MsolUser и Set-MsolUser с помощью свойства StrongAuthenticationMethods .
Аппаратный токен Разрешить пользователям выполнять многофакторную проверку подлинности с помощью физического устройства, которое предоставляет одноразовый код. Получите маркер оборудования, назначенный пользователю.
Контрольные вопросы и ответы Разрешить пользователям проверять свои удостоверения при выполнении самостоятельного сброса пароля. Удаление контрольного вопроса, зарегистрированного пользователем.
Состояния проверки подлинности Управление настройками входа пользователя и MFA для каждого пользователя Просмотр или настройка состояния MFA для пользователя. См. или задайте параметр многофакторной проверки подлинности (MFA).

Требовать повторную регистрацию многофакторной проверки подлинности

Чтобы потребовать от пользователей настроить новую многофакторную проверку подлинности при следующем входе, вызовите отдельные операции метода проверки подлинности DELETE, чтобы удалить каждый из текущих методов проверки подлинности пользователя. Когда у пользователя больше нет методов, ей будет предложено зарегистрировать при следующем входе, где требуется строжная проверка подлинности.

Использование метода проверки подлинности на уровне клиента

Вы можете отслеживать регистрацию и использование методов проверки подлинности на уровне клиента, включая пользователей, зарегистрированных или незарегистрированных для MFA и проверки подлинности без пароля, а также пользователей, зарегистрированных или незарегистрированных для SSPR, с помощью API отчетов об использовании методов проверки подлинности.

Дальнейшие действия

  • Просмотрите типы методов проверки подлинности и их различные методы.
  • Попробуйте API в Graph Обозреватель.