Microsoft Entra 身份验证方法 API 概述

命名空间:microsoft.graph

身份验证方法是 用户在 Entra ID Microsoft进行身份验证的方式。 Microsoft Entra ID 中的身份验证方法包括密码和电话 (例如短信和语音呼叫) (目前可在 Microsoft Graph beta 终结点中管理),以及 FIDO2 安全密钥和 Microsoft Authenticator 应用等许多其他方法。 身份验证方法用于主要、双重因素和分步身份验证,此外还适用于自助式密码重置 (SSPR) 流程。

身份验证方法 API 用于管理用户的身份验证方法。 例如:

  • 可以向用户添加电话号码。 然后,如果用户能够按策略使用该电话号码,则可以使用该电话号码进行短信和语音呼叫身份验证。
    • 可以更新该号码,也可以将其从用户中删除。
    • 可以启用或禁用短信登录的号码。
  • 可以检索用户的 FIDO2 安全密钥的详细信息,并在用户丢失密钥时将其删除。
  • 可以检索用户Microsoft验证器注册的详细信息,并在用户丢失手机时将其删除。
  • 你可以检索用户的 Windows Hello 企业版注册的详细信息,并在用户丢失设备时将其删除。
  • 可以向用户添加电子邮件地址。 然后,用户可以使用该电子邮件作为 Self-Service 密码重置 (SSPR) 过程的一部分。
    • 可以更新该电子邮件,也可以将其从用户中删除。

用户使用身份验证方法的能力受租户的 身份验证方法策略 的约束。 例如,只有 R&D 部门中的用户才能使用 FIDO2 方法,而所有用户都可以使用 Microsoft Authenticator。

对于需要循环访问整个用户群体以实现审核或安全检查目的的方案,建议不要使用身份验证方法 API。 对于这些类型的方案,我们建议使用 身份验证方法注册和使用情况报告 API (仅在终结点上可用 beta) 。

可以在 Microsoft Graph 中管理哪些身份验证方法?

身份验证方法 说明 示例
emailAuthenticationMethod 用户可以将电子邮件地址用作 Self-Service 密码重置 (SSPR) 过程的一部分。 查看用户的身份验证电子邮件地址。 向用户添加、更新或删除电子邮件地址。
fido2AuthenticationMethod 用户可以使用 FIDO2 安全密钥登录到Microsoft Entra ID。 删除丢失的 FIDO2 安全密钥。
microsoftAuthenticatorAuthenticationMethod Microsoft Authenticator 可由用户用于登录或执行多重身份验证以Microsoft Entra ID 删除Microsoft Authenticator 身份验证方法。
passwordAuthenticationMethod 密码当前是 Entra ID Microsoft的默认主身份验证方法。 重置用户密码
phoneAuthenticationMethod 用户可以根据策略允许使用 短信或语音呼叫 对电话进行身份验证。 查看用户的身份验证电话号码。 为用户添加、更新或删除电话号码。 启用或禁用用于短信登录的主移动电话。
softwareOathAuthenticationMethod 允许用户使用支持 OATH TOTP 规范并提供一次性代码的应用程序执行多重身份验证。 获取并删除分配给用户的软件 OATH 令牌。
temporaryAccessPassAuthenticationMethod 充当强凭据并允许载入无密码凭据的限时密码。 为给定用户创建和管理自定义的时限密码,以用于强身份验证或恢复。
windowsHelloForBusinessAuthenticationMethod Windows Hello 企业版是 Windows 设备上的无密码登录方法。 查看用户已启用 Windows Hello 企业版登录的设备。 删除 Windows Hello 企业版凭据。

Microsoft Graph v1.0 中尚不支持以下身份验证方法。

身份验证方法 说明 示例
默认方法 表示用户选择作为默认执行多重身份验证的方法。 更改用户的默认 MFA 方法。
注意:目前仅支持使用 StrongAuthenticationMethods 属性通过 MSOL Get-MsolUserSet-MsolUser cmdlet 管理默认方法的详细信息。
硬件令牌 允许用户使用提供一次性代码的物理设备执行多重身份验证。 获取分配给用户的硬件令牌。
安全问题和解答 允许用户在执行自助式密码重置时验证其标识。 删除用户注册的安全问题。
身份验证状态 管理用户的登录首选项和每用户 MFA 查看或设置用户的 MFA 状态。 请参阅或设置系统首选多重身份验证 (MFA) 设置。

要求重新注册多重身份验证

若要要求用户在下次登录时设置新的多重身份验证,请调用单个 DELETE 身份验证方法操作以删除用户的当前身份验证方法。 用户不再使用方法后,系统会提示他们在下次登录时注册,需要强身份验证。

租户级身份验证方法用法

可以使用身份验证方法使用情况 报告 API 监视租户级身份验证方法注册和使用情况,包括已注册或未注册 MFA 和无密码身份验证的用户,以及已注册或未注册 SSPR 的用户。

后续步骤