Microsoft Entra 身份验证方法 API 概述
命名空间:microsoft.graph
身份验证方法是 用户在 Entra ID Microsoft进行身份验证的方式。 Microsoft Entra ID 中的身份验证方法包括密码和电话 (例如短信和语音呼叫) (目前可在 Microsoft Graph beta 终结点中管理),以及 FIDO2 安全密钥和 Microsoft Authenticator 应用等许多其他方法。 身份验证方法用于主要、双重因素和分步身份验证,此外还适用于自助式密码重置 (SSPR) 流程。
身份验证方法 API 用于管理用户的身份验证方法。 例如:
- 可以向用户添加电话号码。 然后,如果用户能够按策略使用该电话号码,则可以使用该电话号码进行短信和语音呼叫身份验证。
- 可以更新该号码,也可以将其从用户中删除。
- 可以启用或禁用短信登录的号码。
- 可以检索用户的 FIDO2 安全密钥的详细信息,并在用户丢失密钥时将其删除。
- 可以检索用户Microsoft验证器注册的详细信息,并在用户丢失手机时将其删除。
- 你可以检索用户的 Windows Hello 企业版注册的详细信息,并在用户丢失设备时将其删除。
- 可以向用户添加电子邮件地址。 然后,用户可以使用该电子邮件作为 Self-Service 密码重置 (SSPR) 过程的一部分。
- 可以更新该电子邮件,也可以将其从用户中删除。
用户使用身份验证方法的能力受租户的 身份验证方法策略 的约束。 例如,只有 R&D 部门中的用户才能使用 FIDO2 方法,而所有用户都可以使用 Microsoft Authenticator。
对于需要循环访问整个用户群体以实现审核或安全检查目的的方案,建议不要使用身份验证方法 API。 对于这些类型的方案,我们建议使用 身份验证方法注册和使用情况报告 API (仅在终结点上可用 beta
) 。
可以在 Microsoft Graph 中管理哪些身份验证方法?
身份验证方法 | 说明 | 示例 |
---|---|---|
emailAuthenticationMethod | 用户可以将电子邮件地址用作 Self-Service 密码重置 (SSPR) 过程的一部分。 | 查看用户的身份验证电子邮件地址。 向用户添加、更新或删除电子邮件地址。 |
fido2AuthenticationMethod | 用户可以使用 FIDO2 安全密钥登录到Microsoft Entra ID。 | 删除丢失的 FIDO2 安全密钥。 |
microsoftAuthenticatorAuthenticationMethod | Microsoft Authenticator 可由用户用于登录或执行多重身份验证以Microsoft Entra ID | 删除Microsoft Authenticator 身份验证方法。 |
passwordAuthenticationMethod | 密码当前是 Entra ID Microsoft的默认主身份验证方法。 | 重置用户密码 |
phoneAuthenticationMethod | 用户可以根据策略允许使用 短信或语音呼叫 对电话进行身份验证。 | 查看用户的身份验证电话号码。 为用户添加、更新或删除电话号码。 启用或禁用用于短信登录的主移动电话。 |
softwareOathAuthenticationMethod | 允许用户使用支持 OATH TOTP 规范并提供一次性代码的应用程序执行多重身份验证。 | 获取并删除分配给用户的软件 OATH 令牌。 |
temporaryAccessPassAuthenticationMethod | 充当强凭据并允许载入无密码凭据的限时密码。 | 为给定用户创建和管理自定义的时限密码,以用于强身份验证或恢复。 |
windowsHelloForBusinessAuthenticationMethod | Windows Hello 企业版是 Windows 设备上的无密码登录方法。 | 查看用户已启用 Windows Hello 企业版登录的设备。 删除 Windows Hello 企业版凭据。 |
Microsoft Graph v1.0 中尚不支持以下身份验证方法。
身份验证方法 | 说明 | 示例 |
---|---|---|
默认方法 | 表示用户选择作为默认执行多重身份验证的方法。 | 更改用户的默认 MFA 方法。 注意:目前仅支持使用 StrongAuthenticationMethods 属性通过 MSOL Get-MsolUser 和 Set-MsolUser cmdlet 管理默认方法的详细信息。 |
硬件令牌 | 允许用户使用提供一次性代码的物理设备执行多重身份验证。 | 获取分配给用户的硬件令牌。 |
安全问题和解答 | 允许用户在执行自助式密码重置时验证其标识。 | 删除用户注册的安全问题。 |
身份验证状态 | 管理用户的登录首选项和每用户 MFA | 查看或设置用户的 MFA 状态。 请参阅或设置系统首选多重身份验证 (MFA) 设置。 |
要求重新注册多重身份验证
若要要求用户在下次登录时设置新的多重身份验证,请调用单个 DELETE 身份验证方法操作以删除用户的当前身份验证方法。 用户不再使用方法后,系统会提示他们在下次登录时注册,需要强身份验证。
租户级身份验证方法用法
可以使用身份验证方法使用情况 报告 API 监视租户级身份验证方法注册和使用情况,包括已注册或未注册 MFA 和无密码身份验证的用户,以及已注册或未注册 SSPR 的用户。
后续步骤
- 查看身份验证方法类型及其各种方法。
- 在 Graph 资源管理器中试用 API。