Vue d’ensemble de l’API des méthodes d’authentification Microsoft Entra

Espace de noms: microsoft.graph

Importante

Les API sous la version /beta dans Microsoft Graph sont susceptibles d’être modifiées. L’utilisation de ces API dans des applications de production n’est pas prise en charge. Pour déterminer si une API est disponible dans v1.0, utilisez le sélecteur Version .

Les méthodes d’authentification sont les façons dont les utilisateurs s’authentifient dans l’ID Microsoft Entra. Les méthodes d’authentification dans l’ID Microsoft Entra incluent le mot de passe et le téléphone (par exemple, sms et appels vocaux), qui sont gérables dans Microsoft Graph aujourd’hui, parmi beaucoup d’autres, comme les clés de sécurité FIDO2 et l’application Microsoft Authenticator. Les méthodes d'authentification sont utilisées dans l'authentification primaire, secondaire et progressive, ainsi que dans le processus de réinitialisation du mot de passe en libre-service (SSPR).

Les API de méthode d’authentification sont utilisées pour gérer les méthodes d’authentification d’un utilisateur. Par exemple :

  • Vous pouvez ajouter un numéro de téléphone à un utilisateur. L’utilisateur peut ensuite utiliser ce numéro de téléphone pour l’authentification par SMS et appel vocal s’il est activé pour l’utiliser par stratégie.
  • Vous pouvez mettre à jour ce numéro ou le supprimer de l’utilisateur.
  • Vous pouvez activer ou désactiver le numéro de connexion PAR SMS.
  • Vous pouvez réinitialiser le mot de passe d’un utilisateur.
  • Vous pouvez récupérer les détails de la clé de sécurité FIDO2 d’un utilisateur et la supprimer si l’utilisateur a perdu la clé.
  • Vous pouvez récupérer les détails de l’inscription Microsoft Authenticator d’un utilisateur et les supprimer si l’utilisateur a perdu le téléphone.
  • Vous pouvez récupérer les détails de l’inscription Windows Hello Entreprise d’un utilisateur et les supprimer si l’utilisateur a perdu l’appareil.
  • Vous pouvez ajouter une adresse e-mail à un utilisateur. L’utilisateur peut ensuite utiliser cet e-mail dans le cadre du processus de réinitialisation de mot de passe Self-Service (SSPR).
  • Vous pouvez mettre à jour cet e-mail ou le supprimer de l’utilisateur.

La possibilité pour un utilisateur d’utiliser une méthode d’authentification est régie par la stratégie de méthode d’authentification pour le locataire. Par exemple, seuls les utilisateurs du service R&D peuvent être autorisés à utiliser la méthode FIDO2, tandis que tous les utilisateurs peuvent être autorisés à utiliser Microsoft Authenticator.

Nous vous déconseillons d’utiliser les API de méthodes d’authentification pour les scénarios où vous devez itérer sur l’ensemble de votre population d’utilisateurs à des fins d’audit ou de vérification de sécurité. Pour ces types de scénarios, nous vous recommandons d’utiliser les API de création de rapports d’utilisation et d’inscription de méthode d’authentification.

Quelles méthodes d’authentification peuvent être gérées dans Microsoft Graph ?

Méthode d’authentification Description Exemples
emailAuthenticationMethod Une adresse e-mail peut être utilisée par un utilisateur dans le cadre du processus de réinitialisation de mot de passe Self-Service (SSPR). Consultez l’adresse e-mail d’authentification d’un utilisateur. Ajouter, mettre à jour ou supprimer une adresse e-mail pour un utilisateur.
fido2AuthenticationMethod Une clé de sécurité FIDO2 peut être utilisée par un utilisateur pour se connecter à l’ID Microsoft Entra. Supprimez une clé de sécurité FIDO2 perdue.
microsoftAuthenticatorAuthenticationMethod Microsoft Authenticator peut être utilisé par un utilisateur pour se connecter ou effectuer une authentification multifacteur auprès de l’ID Microsoft Entra Supprimer une méthode d’authentification Microsoft Authenticator.
passwordAuthenticationMethod Un mot de passe est actuellement la méthode d’authentification principale par défaut dans l’ID Microsoft Entra. Réinitialiser le mot de passe d'un utilisateur
phoneAuthenticationMethod Un téléphone peut être utilisé par un utilisateur pour s’authentifier à l’aide de SMS ou d’appels vocaux (comme autorisé par la stratégie). Consultez les numéros de téléphone d’authentification d’un utilisateur. Ajouter, mettre à jour ou supprimer un numéro de téléphone pour un utilisateur. Activer ou désactiver un téléphone mobile principal pour la connexion PAR SMS.
platformCredentialAuthenticationMethod Les informations d’identification de la plateforme sont une méthode d’authentification pour les utilisateurs sur des appareils Mac OS. Consultez les informations d’identification de la plateforme d’un utilisateur. Supprimez les informations d’identification de la plateforme d’un utilisateur.
softwareOathAuthenticationMethod Autoriser les utilisateurs à effectuer l’authentification multifacteur à l’aide d’une application qui prend en charge la spécification OATH et fournit un code à usage unique. Obtenir et supprimer un jeton logiciel affecté à un utilisateur.
temporaryaccesspassauthenticationméthode d’authentification Le pass d’accès temporaire est un code secret limité dans le temps qui sert d’informations d’identification fortes et autorise l’intégration d’informations d’identification sans mot de passe. Définir un nouveau pass d’accès temporaire sur un utilisateur.
windowsHelloForBusinessAuthenticationMethod Windows Hello Entreprise est une méthode de connexion sans mot de passe sur les appareils Windows. Consultez les appareils sur lesquels un utilisateur a activé la connexion Windows Hello Entreprise. Supprimer des informations d’identification Windows Hello Entreprise.
États d’authentification Gérer les préférences de connexion d’un utilisateur et l’authentification multifacteur par utilisateur Consultez ou définissez l’état de l’authentification multifacteur pour un utilisateur. Consultez ou définissez le paramètre d’authentification multifacteur (MFA) préféré par le système.
passwordlessmicrosoftauthenticatorauthenticationmethod (déconseillé) La connexion par téléphone sans mot de passe Microsoft Authenticator peut être utilisée par un utilisateur pour se connecter à l’ID Microsoft Entra Supprimez une méthode d’authentification de connexion par téléphone sans mot de passe.

Les méthodes d’authentification suivantes ne sont pas encore prises en charge dans Microsoft Graph beta.

Méthode d’authentification Description Exemples
Jeton matériel Autoriser les utilisateurs à effectuer une authentification multifacteur à l’aide d’un appareil physique qui fournit un code à usage unique. Obtenir un jeton matériel attribué à un utilisateur.
Questions et réponses sur la sécurité Autoriser les utilisateurs à valider leur identité lors de l’exécution d’une réinitialisation de mot de passe en libre-service. Supprimer une question de sécurité inscrite par un utilisateur.

Exiger la réinscription de l’authentification multifacteur

Pour demander aux utilisateurs de configurer une nouvelle authentification multifacteur la prochaine fois qu’ils se connectent, appelez les opérations de méthode d’authentification DELETE individuelles pour supprimer chacune des méthodes d’authentification actuelles de l’utilisateur. Lorsque l’utilisateur n’a plus de méthodes, il est invité à s’inscrire la prochaine fois qu’il se connecte pour une authentification forte.

Utilisation de la méthode d’authentification au niveau du locataire

Vous pouvez surveiller l’inscription et l’utilisation des méthodes d’authentification au niveau du locataire, y compris les utilisateurs inscrits ou non inscrits pour l’authentification MFA et sans mot de passe, et les utilisateurs inscrits ou non inscrits pour SSPR à l’aide des API de rapport d’utilisation des méthodes d’authentification.

Étapes suivantes

  • Passez en revue les types de méthodes d’authentification et leurs différentes méthodes.
  • Essayez l’API dans l’Explorateur Graph.