Microsoft Entra身份验证方法 API 概述
命名空间:microsoft.graph
重要
Microsoft Graph /beta 版本下的 API 可能会发生更改。 不支持在生产应用程序中使用这些 API。 若要确定 API 是否在 v1.0 中可用,请使用 版本 选择器。
身份验证方法是用户在 Microsoft Entra ID 中进行身份验证的方式。 Microsoft Entra ID中的身份验证方法包括密码和电话 (例如短信和语音呼叫) (目前可在 Microsoft Graph 中管理),以及 FIDO2 安全密钥和 Microsoft Authenticator 应用等许多其他方法。 身份验证方法用于主要、双重因素和分步身份验证,此外还适用于自助式密码重置 (SSPR) 流程。
身份验证方法 API 用于管理用户的身份验证方法。 例如:
- 可以向用户添加电话号码。 然后,如果用户能够按策略使用该电话号码,则可以使用该电话号码进行短信和语音呼叫身份验证。
- 可以更新该号码,也可以将其从用户中删除。
- 可以启用或禁用短信登录的号码。
- 可以重置用户的密码。
- 可以检索用户的 FIDO2 安全密钥的详细信息,并在用户丢失密钥时将其删除。
- 可以检索用户的 Microsoft Authenticator 注册的详细信息,并在用户丢失手机时将其删除。
- 可以检索用户Windows Hello 企业版注册的详细信息,并在用户丢失设备时将其删除。
- 可以向用户添加电子邮件地址。 然后,用户可以使用该电子邮件作为 Self-Service 密码重置 (SSPR) 过程的一部分。
- 可以更新该电子邮件,也可以将其从用户中删除。
对于出于审核或安全检查目的而需要循环访问整个用户群的方案,建议不要使用身份验证方法 API。 对于这些类型的方案,我们建议使用 身份验证方法注册和使用情况报告 API。
可以在 Microsoft Graph 中管理哪些身份验证方法?
| 身份验证方法 | 说明 | 示例 |
|---|---|---|
| emailAuthenticationMethod | 用户可以将电子邮件地址用作 Self-Service 密码重置 (SSPR) 过程的一部分。 | 查看用户的身份验证电子邮件地址。 向用户添加、更新或删除电子邮件地址。 |
| fido2AuthenticationMethod | 用户可以使用 FIDO2 安全密钥登录到Microsoft Entra ID。 | 删除丢失的 FIDO2 安全密钥。 |
| microsoftAuthenticatorAuthenticationMethod | 用户可以使用 Microsoft Authenticator 登录或执行多重身份验证以Microsoft Entra ID | 删除 Microsoft Authenticator 身份验证方法。 |
| passwordAuthenticationMethod | 密码当前是 Microsoft Entra ID 中默认的主要身份验证方法。 | 重置用户密码 |
| phoneAuthenticationMethod | 用户可以根据策略) 允许,使用 短信或语音呼叫 (电话进行身份验证。 | 查看用户的身份验证电话号码。 向用户添加、更新或删除电话号码。 启用或禁用用于短信登录的主移动电话。 |
| platformCredentialAuthenticationMethod | 平台凭据是 Mac OS 设备上的用户的登录身份验证方法。 | 查看用户的平台凭据。 删除用户的平台凭据。 |
| softwareOathAuthenticationMethod | 允许用户使用支持 OATH 规范并提供一次性代码的应用程序执行多重身份验证。 | 获取并删除分配给用户的软件令牌。 |
| temporaryaccesspassauthenticationmethod | 临时访问通行证是一种限时密码,用作强凭据并允许载入无密码凭据。 | 为用户设置新的临时访问密码。 |
| windowsHelloForBusinessAuthenticationMethod | Windows Hello 企业版是 Windows 设备上的无密码登录方法。 | 查看用户已启用Windows Hello 企业版登录的设备。 删除Windows Hello 企业版凭据。 |
| passwordlessmicrosoftauthenticatorauthenticationmethod (已弃用) | 用户可以使用 Microsoft Authenticator 无密码电话登录来登录Microsoft Entra ID | 删除无密码手机登录身份验证方法。 |
Microsoft Graph beta中尚不支持以下身份验证方法。
| 身份验证方法 | 说明 | 示例 |
|---|---|---|
| 硬件令牌 | 允许用户使用提供一次性代码的物理设备执行多重身份验证。 | 获取分配给用户的硬件令牌。 |
| 安全问题和解答 | 允许用户在执行自助式密码重置时验证其标识。 | 删除用户注册的安全问题。 |
要求重新注册多重身份验证
若要要求用户在下次登录时设置新的多重身份验证,请调用单个 DELETE 身份验证方法操作以删除用户的当前身份验证方法。 当用户没有更多方法时,系统会提示他们在下次登录时注册,而需要强身份验证。
后续步骤
- 查看身份验证方法类型及其各种方法。
- 在 Graph 资源管理器中试用 API。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈