Aktualisieren von internalDomainFederation
Namespace: microsoft.graph
Aktualisieren Sie die Eigenschaften eines internalDomainFederation-Objekts .
Diese API ist in den folgenden nationalen Cloudbereitstellungen verfügbar.
| Globaler Dienst | US Government L4 | US Government L5 (DOD) | China, betrieben von 21Vianet |
|---|---|---|---|
| ✅ | ✅ | ✅ | ✅ |
Berechtigungen
Wählen Sie für diese API die Als am wenigsten privilegierten Berechtigungen gekennzeichneten Berechtigungen aus. Verwenden Sie nur dann eine Berechtigung mit höheren Berechtigungen , wenn dies für Ihre App erforderlich ist. Ausführliche Informationen zu delegierten Berechtigungen und Anwendungsberechtigungen finden Sie unter Berechtigungstypen. Weitere Informationen zu diesen Berechtigungen finden Sie in der Berechtigungsreferenz.
| Berechtigungstyp | Berechtigungen mit den geringsten Berechtigungen | Berechtigungen mit höheren Berechtigungen |
|---|---|---|
| Delegiert (Geschäfts-, Schul- oder Unikonto) | Domain.ReadWrite.All | Nicht verfügbar. |
| Delegiert (persönliches Microsoft-Konto) | Nicht unterstützt | Nicht unterstützt |
| Anwendung | Domain.ReadWrite.All | Nicht verfügbar. |
Wichtig
Diese Methode weist ein bekanntes Berechtigungsproblem auf und erfordert möglicherweise die Zustimmung zur Berechtigung Directory.AccessAsUser.All für delegierte Szenarien.
Bei delegierten Szenarien muss dem aufrufenden Benutzer mindestens eine der folgenden Microsoft Entra Rollen zugewiesen sein:
- Domänennamenadministrator
- Administrator für externe Identitätsanbieter
- Hybrididentitätsadministrator
- Sicherheitsadministrator
HTTP-Anforderung
PATCH /domains/{domainsId}/federationConfiguration/{internalDomainFederationId}
Anforderungsheader
| Name | Beschreibung |
|---|---|
| Authorization | Bearer {token}. Erforderlich. Erfahren Sie mehr über die Authentifizierung und Autorisierung. |
| Content-Type | application/json. Erforderlich. |
Anforderungstext
Geben Sie im Anforderungstext nur die Werte für die Eigenschaften an, die aktualisiert werden sollen. Vorhandene Eigenschaften, die nicht im Anforderungstext enthalten sind, behalten ihre vorherigen Werte bei oder werden basierend auf Änderungen an anderen Eigenschaftswerten neu berechnet.
In der folgenden Tabelle sind die Eigenschaften angegeben, die aktualisiert werden können.
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| activeSignInUri | String | URL des Endpunkts, der von aktiven Clients bei der Authentifizierung mit Verbunddomänen verwendet wird, die für einmaliges Anmelden in Microsoft Entra ID eingerichtet sind. Entspricht der ActiveLogOnUri-Eigenschaft des PowerShell-Cmdlets Set-MsolDomainFederationSettings MSOnline v1. |
| displayName | String | Der Anzeigename des Verbundidentitätsanbieters (IdP). |
| federatedIdpMfaBehavior | federatedIdpMfaBehavior | Bestimmt, ob Microsoft Entra ID die MFA akzeptiert, die vom Verbund-IdP ausgeführt wird, wenn ein Verbundbenutzer auf eine Anwendung zugreift, die von einer Richtlinie für bedingten Zugriff gesteuert wird, die MFA erfordert. Mögliche Werte sind: acceptIfMfaDoneByFederatedIdp, enforceMfaByFederatedIdp, rejectMfaByFederatedIdp, unknownFutureValue. Weitere Informationen finden Sie unter federatedIdpMfaBehavior-Werte. |
| isSignedAuthenticationRequestRequired | Boolesch | Wenn true, wenn SAML-Authentifizierungsanforderungen an den SAML-Verbund-IdP gesendet werden, signiert Microsoft Entra ID diese Anforderungen mithilfe des OrgID-Signaturschlüssels. Wenn false (Standard) ist, werden die an den Verbund-IdP gesendeten SAML-Authentifizierungsanforderungen nicht signiert. |
| issuerUri | String | Aussteller-URI des Verbundservers. |
| metadataExchangeUri | String | Der URI des Metadatenaustauschendpunkts, der für die Authentifizierung von Rich-Client-Anwendungen verwendet wird. |
| nextSigningCertificate | String | Fallbacktokensignaturzertifikat, das zum Signieren von Token verwendet wird, wenn das primäre Signaturzertifikat abläuft. Formatiert als Base64-codierte Zeichenfolgen des öffentlichen Teils des Tokensignaturzertifikats des Verbund-IdP. Muss mit der X509Certificate2-Klasse kompatibel sein. Ähnlich wie signingCertificate wird die nextSigningCertificate-Eigenschaft verwendet, wenn ein Rollover außerhalb des Automatischrollover-Updates erforderlich ist, ein neuer Verbunddienst eingerichtet wird oder wenn das neue Tokensignaturzertifikat nicht in den Verbundeigenschaften vorhanden ist, nachdem das Verbunddienstzertifikat aktualisiert wurde. |
| passiveSignInUri | String | URI, an den webbasierte Clients weitergeleitet werden, wenn sie sich bei Microsoft Entra-Diensten anmelden. |
| preferredAuthenticationProtocol | authenticationProtocol | Bevorzugtes Authentifizierungsprotokoll. Die möglichen Werte sind: wsFed, saml, unknownFutureValue. |
| promptLoginBehavior | promptLoginBehavior | Legt das bevorzugte Verhalten für die Anmeldeaufforderung fest. Mögliche Werte sind: translateToFreshPasswordAuthentication, nativeSupport, disabled, unknownFutureValue. |
| signingCertificate | String | Aktuelles Zertifikat, das zum Signieren von Token verwendet wird, die an den Microsoft Identity Platform übergeben werden. Das Zertifikat ist als Base64-codierte Zeichenfolge des öffentlichen Teils des Tokensignaturzertifikats des Verbund-IdP formatiert und muss mit der X509Certificate2-Klasse kompatibel sein. Diese Eigenschaft wird in den folgenden Szenarien verwendet: Microsoft Entra ID aktualisiert Zertifikate über einen Automatischrollover-Prozess, bei dem versucht wird, ein neues Zertifikat aus den Verbunddienstmetadaten abzurufen, 30 Tage vor Ablauf des aktuellen Zertifikats. Wenn kein neues Zertifikat verfügbar ist, überwacht Microsoft Entra ID die Metadaten täglich und aktualisiert die Verbundeinstellungen für die Domäne, wenn ein neues Zertifikat verfügbar ist. Geerbt von samlOrWsFedProvider. |
| signingCertificateUpdateStatus | signingCertificateUpdateStatus | Stellt status und Zeitstempel der letzten Aktualisierung des Signaturzertifikats bereit. |
| signOutUri | String | URI, an den Clients umgeleitet werden, wenn sie sich bei Microsoft Entra-Diensten abmelden. Entspricht der LogOffUri-Eigenschaft des PowerShell-Cmdlets Set-MsolDomainFederationSettings MSOnline v1. |
Hinweis
Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Update zu Einstellungen. Nach diesem Datum ist die Unterstützung für diese Module auf Migrationsunterstützung zum Microsoft Graph PowerShell SDK und Sicherheitskorrekturen beschränkt. Die veralteten Module funktionieren weiterhin bis zum 30. März 2025.
Es wird empfohlen, zu Microsoft Graph PowerShell zu migrieren, um mit Microsoft Entra ID (früher Azure AD) zu interagieren. Häufig gestellte Fragen zur Migration finden Sie in den häufig gestellten Fragen zur Migration. Hinweis: Version 1.0.x von MSOnline kann nach dem 30. Juni 2024 unterbrochen werden.
federatedIdpMfaBehavior-Werte
| Member | Beschreibung |
|---|---|
| acceptIfMfaDoneByFederatedIdp | Microsoft Entra ID akzeptiert MFA, die vom Verbundidentitätsanbieter ausgeführt wird. Wenn der Verbundidentitätsanbieter keine MFA ausgeführt hat, führt Microsoft Entra ID die MFA aus. |
| enforceMfaByFederatedIdp | Microsoft Entra ID akzeptiert MFA, die vom Verbundidentitätsanbieter ausgeführt wird. Wenn der Verbundidentitätsanbieter keine MFA ausgeführt hat, leitet er die Anforderung an den Verbundidentitätsanbieter um, um MFA auszuführen. |
| rejectMfaByFederatedIdp | Microsoft Entra ID führt immer MFA durch und lehnt MFA ab, die vom Verbundidentitätsanbieter ausgeführt wird. |
Hinweis
federatedIdpMfaBehavior ist eine weiterentwickelte Version der SupportsMfa-Eigenschaft des PowerShell-Cmdlets Set-MsolDomainFederationSettings MSOnline v1.
- Der Wechsel zwischen federatedIdpMfaBehavior und SupportsMfa wird nicht unterstützt.
- Wenn die eigenschaft federatedIdpMfaBehavior festgelegt ist, ignoriert Microsoft Entra ID die Einstellung SupportsMfa.
- Wenn die eigenschaft federatedIdpMfaBehavior nie festgelegt ist, berücksichtigt Microsoft Entra ID weiterhin die SupportsMfa-Einstellung.
- Wenn weder federatedIdpMfaBehavior noch SupportsMfa festgelegt ist, wird Microsoft Entra ID standardmäßig auf
acceptIfMfaDoneByFederatedIdpverhalten festgelegt.
Antwort
Bei erfolgreicher Ausführung gibt die Methode den 200 OK Antwortcode und ein aktualisiertes internalDomainFederation-Objekt im Antworttext zurück.
Beispiele
Anforderung
PATCH https://graph.microsoft.com/v1.0/domains/contoso.com/federationConfiguration/6601d14b-d113-8f64-fda2-9b5ddda18ecc
Content-Type: application/json
{
"displayName": "Contoso name change",
"federatedIdpMfaBehavior": "acceptIfMfaDoneByFederatedIdp"
}
Antwort
Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.
HTTP/1.1 200 OK
Content-Type: application/json
{
"@odata.type": "#microsoft.graph.internalDomainFederation",
"id": "6601d14b-d113-8f64-fda2-9b5ddda18ecc",
"displayName": "Contoso name change",
"issuerUri": "http://contoso.com/adfs/services/trust",
"metadataExchangeUri": "https://sts.contoso.com/adfs/services/trust/mex",
"signingCertificate": "MIIE3jCCAsagAwIBAgIQQcyDaZz3MI",
"passiveSignInUri": "https://sts.contoso.com/adfs/ls",
"preferredAuthenticationProtocol": "wsFed",
"activeSignInUri": "https://sts.contoso.com/adfs/services/trust/2005/usernamemixed",
"signOutUri": "https://sts.contoso.com/adfs/ls",
"promptLoginBehavior": "nativeSupport",
"isSignedAuthenticationRequestRequired": true,
"nextSigningCertificate": "MIIE3jCCAsagAwIBAgIQQcyDaZz3MI",
"signingCertificateUpdateStatus": {
"certificateUpdateResult": "Success",
"lastRunDateTime": "2021-08-25T07:44:46.2616778Z"
},
"federatedIdpMfaBehavior": "acceptIfMfaDoneByFederatedIdp"
}
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für