Api-Übersicht über Azure AD-Authentifizierungsmethoden

Namespace: microsoft.graph

Wichtig

APIs unter der /beta Version in Microsoft Graph können geändert werden. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in Version 1.0 verfügbar ist, verwenden Sie die Versionsauswahl .

Authentifizierungsmethoden sind die Methoden, mit denen Benutzer sich in Azure Active Directory (AD) authentifizieren. Zu den Authentifizierungsmethoden in Azure AD gehören Kennwort und Telefon (z. B. SMS und Sprachanrufe), die heute in Microsoft Graph verwaltet werden können, neben vielen anderen wie FIDO2-Sicherheitsschlüssel und die Microsoft Authenticator-App. Authentifizierungsmethoden werden bei der primären, Zwei-Faktor- und Step-Up-Authentifizierung sowie beim SSPR-Verfahren (Self-Service-Kennwortzurücksetzung) verwendet.

Die Authentifizierungsmethoden-APIs werden verwendet, um die Authentifizierungsmethoden eines Benutzers zu verwalten. Zum Beispiel:

• Sie können einem Benutzer eine Telefonnummer hinzufügen. Der Benutzer kann diese Telefonnummer dann für die SMS- und Sprachanrufauthentifizierung verwenden, wenn er diese per Richtlinie verwenden kann.
• Sie können diese Nummer aktualisieren oder vom Benutzer löschen.
• Sie können die Nummer für die SMS-Anmeldung aktivieren oder deaktivieren.
• Sie können das Kennwort eines Benutzers zurücksetzen.
• Sie können Details des FIDO2-Sicherheitsschlüssels eines Benutzers abrufen und löschen, wenn der Benutzer den Schlüssel verloren hat.
• Sie können Details der Microsoft Authenticator Registrierung eines Benutzers abrufen und löschen, wenn der Benutzer das Telefon verloren hat.
• Sie können einem Benutzer eine E-Mail-Adresse hinzufügen. Der Benutzer kann diese E-Mail dann im Rahmen des Self-Service Kennwortzurücksetzungsprozesses (SSPR) verwenden.
• Sie können diese E-Mail aktualisieren oder vom Benutzer löschen.

Welche Authentifizierungsmethoden können in Microsoft Graph verwaltet werden?

Authentifizierungsmethode	Beschreibung	Beispiele
passwordAuthenticationMethod	Ein Kennwort ist derzeit die standardmäßige primäre Authentifizierungsmethode in Azure AD.	Zurücksetzen eines Benutzerkennworts
phoneAuthenticationMethod	Ein Telefon kann von einem Benutzer verwendet werden, um sich per SMS oder Sprachanrufen zu authentifizieren (gemäß Richtlinie zulässig).	Sehen Sie sich die Authentifizierungstelefonnummern eines Benutzers an. Hinzufügen, Aktualisieren oder Entfernen einer Telefonnummer zu einem Benutzer. Aktivieren oder deaktivieren Sie ein primäres Mobiltelefon für die SMS-Anmeldung.
fido2AuthenticationMethod	Ein FIDO2-Sicherheitsschlüssel kann von einem Benutzer verwendet werden, um sich bei Azure AD anzumelden.	Löschen sie einen verlorenen FIDO2-Sicherheitsschlüssel.
microsoftAuthenticatorAuthenticationMethod	Microsoft Authenticator können von einem Benutzer verwendet werden, um sich anzumelden oder eine mehrstufige Authentifizierung bei Azure AD	Dient zum Löschen einer Microsoft Authenticator Authentifizierungsmethode.
passwordlessmicrosoftauthenticatorauthenticationmethod (veraltet)	Microsoft Authenticator Kennwortlose Telefon Anmeldung kann von einem Benutzer verwendet werden, um sich bei Azure AD	Löschen Sie eine Kennwortlose Telefon Anmeldeauthentifizierungsmethode.
emailAuthenticationMethod	Eine E-Mail-Adresse kann von einem Benutzer im Rahmen des Self-Service Kennwortzurücksetzungsprozesses (Password Reset, SSPR) verwendet werden.	Sehen Sie sich die Authentifizierungs-E-Mail-Adresse eines Benutzers an. Hinzufügen, Aktualisieren oder Entfernen einer E-Mail-Adresse zu einem Benutzer.
windowsHelloForBusinessAuthenticationMethod	Windows Hello for Business ist eine kennwortlose Anmeldemethode auf Windows Geräten.	Anzeigen von Geräten, auf denen ein Benutzer Windows Hello für die Business-Anmeldung aktiviert hat. Löschen Sie eine Windows Hello for Business-Anmeldeinformationen.
temporaryaccesspassauthenticationmethod	Der temporäre Zugriffsdurchlauf ist ein zeitlich begrenzter Kennungscode, der als starke Anmeldeinformationen dient und das Onboarding kennwortloser Anmeldeinformationen ermöglicht.	Legen Sie einen neuen temporären Zugriffsdurchlauf für einen Benutzer fest.
softwareOathAuthenticationMethod	Zulassen, dass Benutzer eine mehrstufige Authentifizierung mithilfe einer Anwendung durchführen können, die die OATH-Spezifikation unterstützt und einen einmaligen Code bereitstellt.	Abrufen und Löschen eines Softwaretokens, das einem Benutzer zugewiesen ist.

Die folgenden Authentifizierungsmethoden werden in Microsoft Graph noch nicht beta unterstützt.

Authentifizierungsmethode	Beschreibung	Beispiele
Hardwaretoken	Zulassen, dass Benutzer die mehrstufige Authentifizierung mithilfe eines physischen Geräts durchführen, das einen einmaligen Code bereitstellt.	Rufen Sie ein Hardwaretoken ab, das einem Benutzer zugewiesen ist.
Sicherheitsfragen und -antworten	Zulassen, dass Benutzer ihre Identität bei einer Self-Service-Kennwortzurücksetzung überprüfen.	Löschen einer Sicherheitsfrage, die ein Benutzer registriert hat.
Default-Methode	Stellt die Methode dar, die der Benutzer als Standard für die Mehrstufige Authentifizierung ausgewählt hat.	Ändern sie die standardmäßige MFA-Methode eines Benutzers. HINWEIS: Die Verwaltung der Details der Standardmethode wird derzeit nur über MSOL Get-MsolUser und Set-MsolUser Cmdlets mithilfe der StrongAuthenticationMethods-Eigenschaft unterstützt.
MFA erneut registrieren	Stellt eine Konfiguration dar, die erfordert, dass Benutzer, die sich das nächste Mal anmelden, aufgefordert werden, eine neue MFA-Authentifizierungsmethode einzurichten.	Zulassen, dass der Benutzer neue MFA-Methoden einrichten kann, z. B. wenn er sein Authentifizierungsgerät geändert hat. HINWEIS: Dieses Feature wird derzeit nur über das Set-MsolUser MSOL-Cmdlet mithilfe der StrongAuthenticationMethods-Eigenschaft unterstützt.

Nächste Schritte

• Überprüfen Sie die Authentifizierungsmethodentypen und ihre verschiedenen Methoden.
• Probieren Sie die API im Graph Exploreraus.