Microsoft Entra身份验证方法 API 概述
命名空间:microsoft.graph
重要
Microsoft Graph /beta 版本下的 API 可能会发生更改。 不支持在生产应用程序中使用这些 API。 若要确定 API 是否在 v1.0 中可用,请使用 版本 选择器。
身份验证方法是用户在 Microsoft Entra ID 中进行身份验证的方式。 Microsoft Entra ID中的身份验证方法包括密码和电话 (例如短信和语音呼叫) (目前可在 Microsoft Graph 中管理),以及 FIDO2 安全密钥和 Microsoft Authenticator 应用等许多其他方法。 身份验证方法用于主要、双重因素和分步身份验证,此外还适用于自助式密码重置 (SSPR) 流程。
身份验证方法 API 用于管理用户的身份验证方法。 例如:
- 可以向用户添加电话号码。 然后,如果用户能够按策略使用该电话号码,则可以使用该电话号码进行短信和语音呼叫身份验证。
- 可以更新该号码,也可以将其从用户中删除。
- 可以启用或禁用短信登录的号码。
- 可以重置用户的密码。
- 可以检索用户的 FIDO2 安全密钥的详细信息,并在用户丢失密钥时将其删除。
- 可以检索用户Microsoft验证器注册的详细信息,并在用户丢失手机时将其删除。
- 可以检索用户Windows Hello 企业版注册的详细信息,并在用户丢失设备时将其删除。
- 可以向用户添加电子邮件地址。 然后,用户可以使用该电子邮件作为 Self-Service 密码重置 (SSPR) 过程的一部分。
- 可以更新该电子邮件,也可以将其从用户中删除。
- 可以为用户分配和激活硬件 OATH 令牌。
用户使用身份验证方法的能力受租户的 身份验证方法策略 的约束。 例如,只有 R&D 部门中的用户才能使用 FIDO2 方法,而所有用户都可以使用 Microsoft Authenticator。
对于出于审核或安全检查目的而需要循环访问整个用户群的方案,建议不要使用身份验证方法 API。 对于这些类型的方案,我们建议使用 身份验证方法注册和使用情况报告 API。
可以在 Microsoft Graph 中管理哪些身份验证方法?
| 身份验证方法 | 说明 | 示例 |
|---|---|---|
| emailAuthenticationMethod | 用户可以将电子邮件地址用作 Self-Service 密码重置 (SSPR) 过程的一部分。 | 查看用户的身份验证电子邮件地址。 向用户添加、更新或删除电子邮件地址。 |
| fido2AuthenticationMethod | 用户可以使用 FIDO2 安全密钥登录到Microsoft Entra ID。 | 删除丢失的 FIDO2 安全密钥。 |
| hardwareOathAuthenticationMethod | 允许用户使用提供一次性代码的硬件 OATH 设备执行多重身份验证。 | 获取、 (取消) 向用户分配或 (de) 激活硬件令牌。 |
| microsoftAuthenticatorAuthenticationMethod | 用户可以使用Microsoft Authenticator 登录或执行多重身份验证以Microsoft Entra ID | 删除Microsoft Authenticator 身份验证方法。 |
| passwordAuthenticationMethod | 密码当前是 Microsoft Entra ID 中默认的主要身份验证方法。 | 重置用户密码 |
| phoneAuthenticationMethod | 用户可以根据策略) 允许,使用 短信或语音呼叫 (电话进行身份验证。 | 查看用户的身份验证电话号码。 向用户添加、更新或删除电话号码。 启用或禁用用于短信登录的主移动电话。 |
| platformCredentialAuthenticationMethod | 平台凭据是 macOS 设备上的用户的登录身份验证方法。 | 查看用户的平台凭据。 删除用户的平台凭据。 |
| softwareOathAuthenticationMethod | 允许用户使用支持 OATH 规范并提供一次性代码的应用程序执行多重身份验证。 | 获取并删除分配给用户的软件令牌。 |
| temporaryaccesspassauthenticationmethod | 临时访问通行证是一种限时密码,用作强凭据并允许载入无密码凭据。 | 为用户设置新的临时访问密码。 |
| windowsHelloForBusinessAuthenticationMethod | Windows Hello 企业版是 Windows 设备上的无密码登录方法。 | 查看用户已启用Windows Hello 企业版登录的设备。 删除Windows Hello 企业版凭据。 |
| 身份验证状态 | 管理用户的登录首选项和每用户 MFA | 查看或设置用户的 MFA 状态。 请参阅或设置系统首选多重身份验证 (MFA) 设置。 |
| passwordlessmicrosoftauthenticatorauthenticationmethod (已弃用) | Microsoft Authenticator 无密码电话登录可由用户使用登录到Microsoft Entra ID | 删除无密码手机登录身份验证方法。 |
Microsoft Graph beta中尚不支持以下身份验证方法。
| 身份验证方法 | 说明 | 示例 |
|---|---|---|
| 安全问题和解答 | 允许用户在执行自助式密码重置时验证其标识。 | 删除用户注册的安全问题。 |
要求重新注册多重身份验证
若要要求用户在下次登录时设置新的多重身份验证,请调用单个 DELETE 身份验证方法操作以删除用户的当前身份验证方法。 当用户没有更多方法时,系统会提示他们在下次登录时注册,而需要强身份验证。
租户级身份验证方法用法
可以使用身份验证方法使用情况 报告 API 监视租户级身份验证方法注册和使用情况,包括已注册或未注册 MFA 和无密码身份验证的用户,以及已注册或未注册 SSPR 的用户。
后续步骤
- 查看身份验证方法类型及其各种方法。
- 在 Graph 资源管理器中试用 API。