Общие сведения об API методов проверки подлинности Microsoft Entra
Пространство имен: microsoft.graph
Важно!
API версии /beta в Microsoft Graph могут быть изменены. Использование этих API в производственных приложениях не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.
Методы проверки подлинности — это способы проверки подлинности пользователей в Microsoft Entra ID. Методы проверки подлинности в Microsoft Entra ID включают пароль и телефон (например, SMS и голосовые звонки), которые сегодня можно управлять в Microsoft Graph, среди многих других, таких как ключи безопасности FIDO2 и приложение Microsoft Authenticator. Способы проверки подлинности используются в ходе основной, двухфакторной проверки подлинности, проверки подлинности повышенного уровня, а также в процессе самостоятельного сброса пароля (SSPR).
API-интерфейсы методов проверки подлинности используются для управления методами проверки подлинности пользователя. Например:
- Вы можете добавить номер телефона для пользователя. Затем пользователь может использовать этот номер телефона для проверки подлинности SMS и голосовых вызовов, если он включен в политику.
- Вы можете обновить этот номер или удалить его у пользователя.
- Вы можете включить или отключить номер для входа в SMS.
- Вы можете сбросить пароль пользователя.
- Вы можете получить сведения о ключе безопасности FIDO2 пользователя и удалить его, если пользователь потерял ключ.
- Вы можете получить сведения о регистрации пользователя в Microsoft Authenticator и удалить их, если пользователь потерял телефон.
- Вы можете получить сведения о регистрации Windows Hello для бизнеса пользователя и удалить их, если пользователь потерял устройство.
- Вы можете добавить адрес электронной почты для пользователя. Затем пользователь может использовать это сообщение электронной почты в рамках процесса Self-Service сброса пароля (SSPR).
- Вы можете обновить это сообщение электронной почты или удалить его у пользователя.
- Вы можете назначить и активировать аппаратный токен OATH для пользователя.
Возможность использования метода проверки подлинности пользователем регулируется политикой метода проверки подлинности для клиента. Например, только пользователи в отделе R&D могут использовать метод FIDO2, а всем пользователям может быть разрешено использовать Microsoft Authenticator.
Мы не рекомендуем использовать API-интерфейсы методов проверки подлинности для сценариев, в которых необходимо выполнить итерацию по всей вашей совокупности пользователей для аудита или обеспечения безопасности проверка целях. Для таких сценариев рекомендуется использовать API регистрации методов проверки подлинности и отчетов об использовании.
Какими методами проверки подлинности можно управлять в Microsoft Graph?
| Способ проверки подлинности | Описание | Примеры |
|---|---|---|
| emailAuthenticationMethod | Адрес электронной почты может использоваться пользователем в рамках процесса Self-Service сброса пароля (SSPR). | Просмотрите адрес электронной почты для проверки подлинности пользователя. Добавление, обновление или удаление адреса электронной почты пользователя. |
| fido2AuthenticationMethod | Ключ безопасности FIDO2 может использоваться пользователем для входа в Microsoft Entra ID. | Удаление потерянного ключа безопасности FIDO2. |
| hardwareOathAuthenticationMethod | Разрешить пользователям выполнять многофакторную проверку подлинности с помощью аппаратного устройства OATH, которое предоставляет одноразовый код. | Получение, (un)назначение или (de) активация аппаратного маркера пользователю. |
| microsoftAuthenticatorAuthenticationMethod | Microsoft Authenticator может использоваться пользователем для входа или выполнения многофакторной проверки подлинности для Microsoft Entra ID | Удалите метод проверки подлинности Microsoft Authenticator. |
| passwordAuthenticationMethod | В настоящее время пароль является основным методом проверки подлинности по умолчанию в Microsoft Entra ID. | сбросить пароль пользователя. |
| phoneAuthenticationMethod | Телефон может использоваться пользователем для проверки подлинности с помощью SMS или голосовых вызовов (согласно политике). | Просмотрите номера телефонов для проверки подлинности пользователя. Добавление, обновление или удаление номера телефона для пользователя. Включение или отключение основного мобильного телефона для входа в SMS. |
| platformCredentialAuthenticationMethod | Учетные данные платформы — это метод проверки подлинности для входа для пользователей на устройствах macOS. | Просмотр учетных данных платформы пользователя. Удаление учетных данных платформы пользователя. |
| softwareOathAuthenticationMethod | Разрешить пользователям выполнять многофакторную проверку подлинности с помощью приложения, которое поддерживает спецификацию OATH и предоставляет одноразовый код. | Получение и удаление маркера программного обеспечения, назначенного пользователю. |
| temporaryaccesspassauthenticationmethod | Временный пропуск доступа — это секретный код, ограниченный по времени, который служит в качестве надежных учетных данных и позволяет подключить учетные данные без пароля. | Задайте новый временный пропуск доступа для пользователя. |
| windowsHelloForBusinessAuthenticationMethod | Windows Hello для бизнеса — это метод входа без пароля на устройствах Windows. | См. сведения об устройствах, на которых пользователь включил Windows Hello для бизнеса вход. Удалите учетные данные Windows Hello для бизнеса. |
| Состояния проверки подлинности | Управление настройками входа пользователя и MFA для каждого пользователя | Просмотр или настройка состояния MFA для пользователя. См. или задайте параметр многофакторной проверки подлинности (MFA). |
| passwordlessmicrosoftauthenticatorauthenticationmethod (не рекомендуется) | Вход на телефон без пароля Microsoft Authenticator может использоваться пользователем для входа в Microsoft Entra ID | Удалите метод проверки подлинности для входа с телефона без пароля. |
Следующие методы проверки подлинности пока не поддерживаются в Microsoft Graph beta.
| Способ проверки подлинности | Описание | Примеры |
|---|---|---|
| Контрольные вопросы и ответы | Разрешить пользователям проверять свои удостоверения при выполнении самостоятельного сброса пароля. | Удаление контрольного вопроса, зарегистрированного пользователем. |
Требовать повторную регистрацию многофакторной проверки подлинности
Чтобы потребовать от пользователей настроить новую многофакторную проверку подлинности при следующем входе, вызовите отдельные операции метода проверки подлинности DELETE, чтобы удалить каждый из текущих методов проверки подлинности пользователя. Если у пользователя больше нет методов, ей будет предложено зарегистрировать при следующем входе, где требуется строжная проверка подлинности.
Использование метода проверки подлинности на уровне клиента
Вы можете отслеживать регистрацию и использование методов проверки подлинности на уровне клиента, включая пользователей, зарегистрированных или незарегистрированных для MFA и проверки подлинности без пароля, а также пользователей, зарегистрированных или незарегистрированных для SSPR, с помощью API отчетов об использовании методов проверки подлинности.
Дальнейшие действия
- Просмотрите типы методов проверки подлинности и их различные методы.
- Попробуйте API в Graph Обозреватель.