Übersicht über die Microsoft Entra-Authentifizierungsmethoden-API

Namespace: microsoft.graph

Authentifizierungsmethoden sind die Methoden, mit denen Sich Benutzer in Microsoft Entra ID authentifizieren. Authentifizierungsmethoden in Microsoft Entra ID umfassen Kennwort und Telefon (z. B. SMS und Sprachanrufe), die heute im Betaendpunkt von Microsoft Graph verwaltet werden können, unter anderem FIDO2-Sicherheitsschlüssel und die Microsoft Authenticator-App. Authentifizierungsmethoden werden bei der primären, Zwei-Faktor- und Step-Up-Authentifizierung sowie beim SSPR-Verfahren (Self-Service-Kennwortzurücksetzung) verwendet.

Die Authentifizierungsmethoden-APIs werden verwendet, um die Authentifizierungsmethoden eines Benutzers zu verwalten. Zum Beispiel:

  • Sie können einem Benutzer eine Telefonnummer hinzufügen. Der Benutzer kann diese Telefonnummer dann für die SMS- und Sprachanrufauthentifizierung verwenden, wenn er sie gemäß Richtlinie verwenden kann.
    • Sie können diese Nummer aktualisieren oder vom Benutzer löschen.
    • Sie können die Nummer für die SMS-Anmeldung aktivieren oder deaktivieren.
  • Sie können Details zum FIDO2-Sicherheitsschlüssel eines Benutzers abrufen und löschen, wenn der Benutzer den Schlüssel verloren hat.
  • Sie können Details zur Microsoft Authenticator-Registrierung eines Benutzers abrufen und löschen, wenn der Benutzer das Telefon verloren hat.
  • Sie können Details zur Windows Hello for Business-Registrierung eines Benutzers abrufen und löschen, wenn der Benutzer das Gerät verloren hat.
  • Sie können einem Benutzer eine E-Mail-Adresse hinzufügen. Der Benutzer kann diese E-Mail dann im Rahmen des Self-Service-Kennwortzurücksetzungsprozesses (SSPR) verwenden.
    • Sie können diese E-Mail aktualisieren oder vom Benutzer löschen.

Die Möglichkeit eines Benutzers, eine Authentifizierungsmethode zu verwenden, wird durch die Authentifizierungsmethodenrichtlinie für den Mandanten geregelt. Beispielsweise können nur Benutzer in der R&D-Abteilung die FIDO2-Methode verwenden, während alle Benutzer für die Verwendung von Microsoft Authenticator aktiviert sind.

Es wird nicht empfohlen, die APIs für Authentifizierungsmethoden für Szenarien zu verwenden, in denen Sie Ihre gesamte Benutzerpopulation zu Überwachungs- oder Sicherheitsüberprüfungszwecken durchlaufen müssen. Für diese Szenarien empfehlen wir die Verwendung der APIs für die Authentifizierungsmethoderegistrierung und nutzungsberichte (nur für den beta Endpunkt verfügbar).

Welche Authentifizierungsmethoden können in Microsoft Graph verwaltet werden?

Authentifizierungsmethode Beschreibung Beispiele
emailAuthenticationMethod Eine E-Mail-Adresse kann von einem Benutzer im Rahmen des SSPR-Prozesses (Self-Service Password Reset) verwendet werden. Anzeigen der Authentifizierungs-E-Mail-Adresse eines Benutzers. Hinzufügen, Aktualisieren oder Entfernen einer E-Mail-Adresse für einen Benutzer.
fido2AuthenticationMethod Ein FIDO2-Sicherheitsschlüssel kann von einem Benutzer verwendet werden, um sich bei Microsoft Entra ID anzumelden. Löschen sie einen verloren gegangenen FIDO2-Sicherheitsschlüssel.
microsoftAuthenticatorAuthenticationMethod Microsoft Authenticator kann von einem Benutzer verwendet werden, um sich anzumelden oder eine mehrstufige Authentifizierung bei Microsoft Entra ID durchzuführen. Löschen sie eine Microsoft Authenticator-Authentifizierungsmethode.
passwordAuthenticationMethod Ein Kennwort ist derzeit die primäre Standardauthentifizierungsmethode in Microsoft Entra ID. Zurücksetzen eines Benutzerkennworts
phoneAuthenticationMethod Ein Telefon kann von einem Benutzer verwendet werden, um sich mithilfe von SMS oder Sprachanrufen zu authentifizieren, wie von der Richtlinie zugelassen. Zeigen Sie die Telefonnummern für die Authentifizierung eines Benutzers an. Hinzufügen, Aktualisieren oder Entfernen einer Telefonnummer für einen Benutzer. Aktivieren oder deaktivieren Sie ein primäres Mobiltelefon für die SMS-Anmeldung.
softwareOathAuthenticationMethod Ermöglichen Sie Benutzern das Ausführen der mehrstufigen Authentifizierung mithilfe einer Anwendung, die die OATH TOTP-Spezifikation unterstützt und einen einmaligen Code bereitstellt. Abrufen und Löschen eines Software-OATH-Tokens, das einem Benutzer zugewiesen ist.
temporaryAccessPassAuthenticationMethod Eine zeitlich begrenzte Kennung, die als sichere Anmeldeinformationen dient und das Onboarding kennwortloser Anmeldeinformationen ermöglicht. Erstellen und verwalten Sie eine angepasste zeitgesteuerte Kennung für einen bestimmten Benutzer, der für eine starke Authentifizierung oder Wiederherstellung verwendet werden soll.
windowsHelloForBusinessAuthenticationMethod Windows Hello for Business ist eine kennwortlose Anmeldemethode auf Windows-Geräten. Sehen Sie sich Geräte an, auf denen ein Benutzer die Windows Hello for Business-Anmeldung aktiviert hat. Löschen Sie Anmeldeinformationen für Windows Hello for Business.

Die folgenden Authentifizierungsmethoden werden in Microsoft Graph v1.0 noch nicht unterstützt.

Authentifizierungsmethode Beschreibung Beispiele
Standardmethode Stellt die Methode dar, die der Benutzer als Standard für die Mehrstufige Authentifizierung ausgewählt hat. Ändern der MFA-Standardmethode eines Benutzers.
ANMERKUNG: Die Verwaltung der Details der Standardmethode wird derzeit nur über MSOL Get-MsolUser und Set-MsolUser Cmdlets mithilfe der StrongAuthenticationMethods-Eigenschaft unterstützt.
Hardwaretoken Ermöglichen Sie Es Benutzern, die mehrstufige Authentifizierung mit einem physischen Gerät durchzuführen, das einen einmaligen Code bereitstellt. Ruft ein Hardwaretoken ab, das einem Benutzer zugewiesen ist.
Sicherheitsfragen und -antworten Ermöglichen Sie Benutzern, ihre Identität zu überprüfen, wenn sie eine Self-Service-Kennwortzurücksetzung durchführen. Löschen sie eine Sicherheitsfrage, die ein Benutzer registriert hat.
Authentifizierungsstatus Verwalten der Anmeldeeinstellungen eines Benutzers und der benutzerspezifischen MFA Anzeigen oder Festlegen des MFA-Status für einen Benutzer. Weitere Informationen finden Sie unter Oder legen Sie die Einstellung für die vom System bevorzugte Multi-Faktor-Authentifizierung (MFA) fest.

Erneute Registrierung der mehrstufigen Authentifizierung erforderlich

Wenn Benutzer bei der nächsten Anmeldung eine neue mehrstufige Authentifizierung einrichten müssen, rufen Sie die einzelnen DELETE-Authentifizierungsmethodenvorgänge auf, um jede der aktuellen Authentifizierungsmethoden des Benutzers zu löschen. Wenn der Benutzer keine weiteren Methoden mehr hat, wird er aufgefordert, sich bei der nächsten Anmeldung zu registrieren, wenn eine starke Authentifizierung erforderlich ist.

Verwendung der Authentifizierungsmethode auf Mandantenebene

Sie können die Registrierung und Verwendung von Authentifizierungsmethoden auf Mandantenebene überwachen, einschließlich Benutzern, die für MFA und kennwortlose Authentifizierung registriert oder nicht registriert wurden, sowie Benutzer, die für SSPR registriert oder nicht registriert wurden, mithilfe der APIs des Verwendungsberichts für Authentifizierungsmethoden.

Nächste Schritte

  • Überprüfen Sie die Authentifizierungsmethodentypen und ihre verschiedenen Methoden.
  • Probieren Sie die API im Graph-Explorer aus.