Descrição geral da API de métodos de autenticação do Microsoft Entra
Namespace: microsoft.graph
Os métodos de autenticação são as formas como os utilizadores se autenticam no Microsoft Entra ID. Os métodos de autenticação no ID do Microsoft Entra incluem palavra-passe e telemóvel (por exemplo, CHAMADAS SMS e de voz), que são geríveis no ponto final beta do Microsoft Graph atualmente, entre muitos outros, como chaves de segurança FIDO2 e a aplicação Microsoft Authenticator. Os métodos de autenticação são usados nas autenticações primária, de segundo fator e de step-up. Além disso, no processo de redefinição de senha de autoatendimento (SSPR).
As APIs do método de autenticação são utilizadas para gerir os métodos de autenticação de um utilizador. Por exemplo:
- Pode adicionar um número de telefone a um utilizador. Em seguida, o utilizador pode utilizar esse número de telefone para autenticação por SMS e chamada de voz se estiver ativado para utilizá-lo por política.
- Pode atualizar esse número ou eliminá-lo do utilizador.
- Pode ativar ou desativar o número do início de sessão por SMS.
- Pode obter detalhes da Chave de Segurança FIDO2 de um utilizador e eliminá-la se o utilizador tiver perdido a chave.
- Pode obter detalhes do registo do Microsoft Authenticator de um utilizador e eliminá-lo se o utilizador tiver perdido o telemóvel.
- Pode obter detalhes do registo do Windows Hello para Empresas de um utilizador e eliminá-lo se o utilizador tiver perdido o dispositivo.
- Pode adicionar um endereço de e-mail a um utilizador. Em seguida, o utilizador pode utilizar esse e-mail como parte do processo Self-Service Reposição de Palavra-passe (SSPR).
- Pode atualizar esse e-mail ou eliminá-lo do utilizador.
A capacidade de um utilizador utilizar um método de autenticação é regida pela política de método de autenticação do inquilino. Por exemplo, apenas os utilizadores no departamento de R&D podem estar ativados para utilizar o método FIDO2, enquanto todos os utilizadores podem estar ativados para utilizar o Microsoft Authenticator.
Não recomendamos a utilização de APIs de métodos de autenticação para cenários em que tenha de iterar toda a população de utilizadores para fins de auditoria ou verificação de segurança. Para estes tipos de cenários, recomendamos que utilize as APIs de registo e relatório de utilização do método de autenticação (disponíveis apenas no beta
ponto final).
Que métodos de autenticação podem ser geridos no Microsoft Graph?
Método de autenticação | Descrição | Exemplos |
---|---|---|
emailAuthenticationMethod | Um endereço de e-mail pode ser utilizado por um utilizador como parte do processo Self-Service Reposição de Palavra-passe (SSPR). | Veja o endereço de e-mail de autenticação de um utilizador. Adicionar, atualizar ou remover um endereço de e-mail de um utilizador. |
fido2AuthenticationMethod | Uma Chave de Segurança FIDO2 pode ser utilizada por um utilizador para iniciar sessão no Microsoft Entra ID. | Eliminar uma Chave de Segurança FIDO2 perdida. |
microsoftAuthenticatorAuthenticationMethod | O Microsoft Authenticator pode ser utilizado por um utilizador para iniciar sessão ou efetuar a autenticação multifator no Microsoft Entra ID | Eliminar um método de autenticação do Microsoft Authenticator. |
passwordAuthenticationMethod | Atualmente, uma palavra-passe é o método de autenticação principal predefinido no ID do Microsoft Entra. | Redefinir a senha de um usuário |
phoneAuthenticationMethod | Um telefone pode ser utilizado por um utilizador para autenticar através de SMS ou chamadas de voz , conforme permitido pela política. | Veja os números de telefone de autenticação de um utilizador. Adicionar, atualizar ou remover um número de telefone de um utilizador. Ativar ou desativar um telemóvel principal para o início de sessão por SMS. |
softwareOathAuthenticationMethod | Permitir que os utilizadores efetuem a autenticação multifator através de uma aplicação que suporte a especificação OATH TOTP e fornece um código único. | Obtenha e elimine um token OATH de software atribuído a um utilizador. |
temporaryAccessPassAuthenticationMethod | Um código de acesso limitado por tempo que funciona como uma credencial forte e permite a integração de credenciais sem palavra-passe. | Crie e faça a gestão de um código de acesso personalizado com limusina temporal para um determinado utilizador utilizar para uma autenticação ou recuperação forte. |
windowsHelloForBusinessAuthenticationMethod | O Windows Hello para Empresas é um método de início de sessão sem palavra-passe em dispositivos Windows. | Consulte os dispositivos em que um utilizador ativou o início de sessão do Windows Hello para Empresas. Eliminar uma credencial do Windows Hello para Empresas. |
Os seguintes métodos de autenticação ainda não são suportados no Microsoft Graph v1.0.
Método de autenticação | Descrição | Exemplos |
---|---|---|
Método predefinido | Representa o método que o utilizador selecionou como predefinição para efetuar a autenticação multifator. | Altere o método MFA predefinido de um utilizador. NOTA: A gestão dos detalhes do método predefinido é atualmente suportada apenas através do MSOL Get-MsolUser e Set-MsolUser dos cmdlets, através da propriedade StrongAuthenticationMethods . |
Token de hardware | Permitir que os utilizadores efetuem a autenticação multifator através de um dispositivo físico que fornece um código único. | Obter um token de hardware atribuído a um utilizador. |
Perguntas e respostas de segurança | Permitir que os utilizadores validem a respetiva identidade ao efetuar uma reposição personalizada de palavra-passe. | Eliminar uma pergunta de segurança registada por um utilizador. |
Estados de autenticação | Gerir as preferências de início de sessão de um utilizador e a MFA por utilizador | Veja ou defina o estado da MFA para um utilizador. Veja ou defina a definição de autenticação multifator (MFA) preferencial pelo sistema. |
Exigir o novo registo da autenticação multifator
Para exigir que os utilizadores configurem uma nova autenticação multifator da próxima vez que iniciarem sessão, chame as operações individuais do método de autenticação DELETE para eliminar cada um dos métodos de autenticação atuais do utilizador. Depois de o utilizador não ter mais métodos, ser-lhe-á pedido que se registe da próxima vez que iniciar sessão onde for necessária uma autenticação forte.
Utilização do método de autenticação ao nível do inquilino
Pode monitorizar o registo e a utilização do método de autenticação ao nível do inquilino, incluindo os utilizadores registados ou não registados para a MFA e a autenticação sem palavra-passe, e os utilizadores registados ou não registados na SSPR através das APIs de relatório de utilização dos métodos de autenticação.
Próximas etapas
- Reveja os tipos de métodos de autenticação e os seus vários métodos.
- Experimente a API no Graph Explorer.