user: invalidateAllRefreshTokens
Пространство имен: microsoft.graph
Важно!
API версии /beta в Microsoft Graph могут быть изменены. Использование этих API в производственных приложениях не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.
Делает недействительными все маркеры обновления пользователя, выданные приложениям и файлам cookie сеанса в браузере пользователя, путем сброса свойства пользователя refreshTokensValidFromDateTime до текущей даты и времени. Как правило, эта операция выполняется (пользователем или администратором), если у пользователя потеряно или украдено устройство. Эта операция будет препятствовать доступу к любым данным организации, доступ к которых осуществляется через приложения на устройстве, без необходимости повторного входа пользователя. Фактически, эта операция заставит пользователя снова войти во все приложения, на которые он ранее согласился, независимо от устройства.
Для разработчиков, если приложение пытается активировать маркер делегированного доступа для этого пользователя с помощью маркера обновления, признанного недействительным, приложение получает сообщение об ошибке. В этом случае приложение должно получить новый маркер обновления, выполнив запрос к конечной точке OAuth 2.0 /authorize , что заставляет пользователя выполнить вход.
Важно!
Этот API не будет повышен до состояния общедоступной доступности. Вместо этого рекомендуется использовать API revokeSignInSessions .
Этот API доступен в следующих национальных облачных развертываниях.
| Глобальная служба | Правительство США L4 | Правительство США L5 (DOD) | Китай управляется 21Vianet |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Разрешения
Выберите разрешение или разрешения, помеченные как наименее привилегированные для этого API. Используйте более привилегированное разрешение или разрешения только в том случае, если это требуется приложению. Дополнительные сведения о делегированных разрешениях и разрешениях приложений см. в разделе Типы разрешений. Дополнительные сведения об этих разрешениях см. в справочнике по разрешениям.
| Тип разрешения | Разрешения с наименьшими привилегиями | Более высокие привилегированные разрешения |
|---|---|---|
| Делегированные (рабочая или учебная учетная запись) | User.RevokeSessions.All | Directory.ReadWrite.All, User.ReadWrite |
| Делегированные (личная учетная запись Майкрософт) | User.ReadWrite | Недоступно. |
| Приложение | User.RevokeSessions.All | Недоступно. |
Важно!
В делегированных сценариях с рабочими или учебными учетными записями вошедшему пользователю должна быть назначена поддерживаемая роль Microsoft Entra или настраиваемая роль с разрешением поддерживаемой роли. Для этой операции поддерживаются следующие наименее привилегированные роли:
- Запись каталогов
- Администратор службы поддержки
- Администратор проверки подлинности
- Привилегированный администратор проверки подлинности
- Администратор пользователей
HTTP-запрос
POST /me/invalidateAllRefreshTokens
POST /users/{id | userPrincipalName}/invalidateAllRefreshTokens
Заголовки запросов
| Заголовок | Значение |
|---|---|
| Авторизация | Bearer {token}. Обязательно. Дополнительные сведения о проверке подлинности и авторизации. |
Текст запроса
Эта операция не содержит содержимого запроса.
Отклик
В случае успешного выполнения этот метод возвращает код ответа серии 2xx.
Пример
Запрос
Ниже показан пример запроса.
POST https://graph.microsoft.com/beta/me/invalidateAllRefreshTokens
Отклик
Ниже приводится пример отклика.
HTTP/1.1 204 No Content