Introducción a la API de métodos de autenticación de Microsoft Entra

Espacio de nombres: microsoft.graph

Los métodos de autenticación son las maneras en que los usuarios se autentican en Microsoft Entra ID. Los métodos de autenticación de Microsoft Entra ID incluyen la contraseña y el teléfono (por ejemplo, llamadas SMS y de voz), que se pueden administrar en el punto de conexión beta de Microsoft Graph hoy en día, entre muchos otros, como las claves de seguridad FIDO2 y la aplicación Microsoft Authenticator. Los métodos de autenticación se usan en la autenticación principal, de segundo factor y de nivel superior, y también en el proceso de restablecimiento de contraseña de autoservicio (SSPR).

Las API de método de autenticación se usan para administrar los métodos de autenticación de un usuario. Por ejemplo:

  • Puede agregar un número de teléfono a un usuario. A continuación, el usuario puede usar ese número de teléfono para la autenticación de sms y llamadas de voz si está habilitado para usarlo mediante la directiva.
    • Puede actualizar ese número o eliminarlo del usuario.
    • Puede habilitar o deshabilitar el número de inicio de sesión por SMS.
  • Puede recuperar los detalles de la clave de seguridad FIDO2 de un usuario y eliminarla si el usuario ha perdido la clave.
  • Puede recuperar los detalles del registro de Microsoft Authenticator de un usuario y eliminarlo si el usuario ha perdido el teléfono.
  • Puedes recuperar los detalles del registro de Windows Hello para empresas de un usuario y eliminarlo si el usuario ha perdido el dispositivo.
  • Puede agregar una dirección de correo electrónico a un usuario. A continuación, el usuario puede usar ese correo electrónico como parte del proceso de restablecimiento de contraseña (SSPR) de Self-Service.
    • Puede actualizar ese correo electrónico o eliminarlo del usuario.

La capacidad de un usuario para usar un método de autenticación se rige por la directiva de método de autenticación para el inquilino. Por ejemplo, solo los usuarios del departamento de R&D podrían estar habilitados para usar el método FIDO2, mientras que todos los usuarios podrían estar habilitados para usar Microsoft Authenticator.

No se recomienda usar las API de métodos de autenticación para escenarios en los que tenga que recorrer en iteración toda la población de usuarios con fines de auditoría o comprobación de seguridad. Para estos tipos de escenarios, se recomienda usar el registro del método de autenticación y las API de informes de uso (solo disponibles en el beta punto de conexión).

¿Qué métodos de autenticación se pueden administrar en Microsoft Graph?

Método de autenticación Descripción Ejemplos
emailAuthenticationMethod Un usuario puede usar una dirección de correo electrónico como parte del proceso de restablecimiento de contraseña (SSPR) de Self-Service. Consulte la dirección de correo electrónico de autenticación de un usuario. Agregue, actualice o quite una dirección de correo electrónico a un usuario.
fido2AuthenticationMethod Un usuario puede usar una clave de seguridad FIDO2 para iniciar sesión en Microsoft Entra ID. Elimine una clave de seguridad FIDO2 perdida.
microsoftAuthenticatorAuthenticationMethod Un usuario puede usar Microsoft Authenticator para iniciar sesión o realizar la autenticación multifactor en microsoft entra id. Elimine un método de autenticación de Microsoft Authenticator.
passwordAuthenticationMethod Una contraseña es actualmente el método de autenticación principal predeterminado en Microsoft Entra ID. Restablecer la contraseña de un usuario
phoneAuthenticationMethod Un usuario puede usar un teléfono para autenticarse mediante SMS o llamadas de voz según lo permitido por la directiva. Consulte los números de teléfono de autenticación de un usuario. Agregue, actualice o quite un número de teléfono para un usuario. Habilite o deshabilite un teléfono móvil principal para el inicio de sesión por SMS.
softwareOathAuthenticationMethod Permitir a los usuarios realizar la autenticación multifactor mediante una aplicación que admita la especificación TOTP de OATH y proporciona un código de un solo uso. Obtenga y elimine un token oath de software asignado a un usuario.
temporaryAccessPassAuthenticationMethod Código de acceso limitado por tiempo que actúa como una credencial segura y permite la incorporación de credenciales sin contraseña. Cree y administre un código de acceso personalizado con límite de tiempo para que un usuario determinado lo use para una autenticación o recuperación seguras.
windowsHelloForBusinessAuthenticationMethod Windows Hello para empresas es un método de inicio de sesión sin contraseña en dispositivos Windows. Consulta los dispositivos en los que un usuario ha habilitado el inicio de sesión de Windows Hello para empresas. Elimina una credencial de Windows Hello para empresas.

Los siguientes métodos de autenticación aún no se admiten en Microsoft Graph v1.0.

Método de autenticación Descripción Ejemplos
Método predeterminado Representa el método que el usuario ha seleccionado como predeterminado para realizar la autenticación multifactor. Cambie el método MFA predeterminado de un usuario.
NOTA: Actualmente, la administración de los detalles del método predeterminado solo se admite a través de MSOL Get-MsolUser y Set-MsolUser cmdlets, mediante la propiedad StrongAuthenticationMethods .
Token de hardware Permitir a los usuarios realizar la autenticación multifactor mediante un dispositivo físico que proporciona un código de un solo uso. Obtenga un token de hardware asignado a un usuario.
Preguntas y respuestas de seguridad Permitir a los usuarios validar su identidad al realizar un autoservicio de restablecimiento de contraseña. Eliminar una pregunta de seguridad registrada por un usuario.
Estados de autenticación Administrar las preferencias de inicio de sesión de un usuario y MFA por usuario Vea o establezca el estado de MFA para un usuario. Vea o establezca la configuración de autenticación multifactor (MFA) preferida por el sistema.

Requerir volver a registrar la autenticación multifactor

Para requerir que los usuarios configuren una nueva autenticación multifactor la próxima vez que inicien sesión, llame a las operaciones de método de autenticación DELETE individuales para eliminar cada uno de los métodos de autenticación actuales del usuario. Una vez que el usuario no tiene más métodos, se le pedirá que se registre la próxima vez que inicie sesión donde se requiera una autenticación segura.

Uso del método de autenticación de nivel de inquilino

Puede supervisar el registro y el uso del método de autenticación de nivel de inquilino, incluidos los usuarios registrados o no registrados para la autenticación sin contraseña y MFA, y los usuarios registrados o no registrados para SSPR mediante las API de informe de uso de métodos de autenticación.

Siguientes pasos

  • Revise los tipos de método de autenticación y sus diversos métodos.
  • Pruebe la API en el Explorador de Graph.