Aktualisieren von internalDomainFederation

Namespace: microsoft.graph

Aktualisieren Sie die Eigenschaften eines internalDomainFederation-Objekts .

Diese API ist in den folgenden nationalen Cloudbereitstellungen verfügbar.

Weltweiter Service	US Government L4	US Government L5 (DOD)	China, betrieben von 21Vianet
✅	✅	✅	✅

Berechtigungen

Wählen Sie die Berechtigungen aus, die für diese API als am wenigsten privilegiert markiert sind. Verwenden Sie eine höhere Berechtigung oder Berechtigungen nur, wenn Ihre App dies erfordert. Ausführliche Informationen zu delegierten Berechtigungen und Anwendungsberechtigungen finden Sie unter Berechtigungstypen. Weitere Informationen zu diesen Berechtigungen finden Sie in der Berechtigungsreferenz.

Berechtigungstyp	Berechtigungen mit den geringsten Berechtigungen	Berechtigungen mit höheren Berechtigungen
Delegiert (Geschäfts-, Schul- oder Unikonto)	Domain-InternalFederation.ReadWrite.All	Domain.ReadWrite.All
Delegiert (persönliches Microsoft-Konto)	Nicht unterstützt	Nicht unterstützt
Application	Domain-InternalFederation.ReadWrite.All	Domain.ReadWrite.All

Wichtig

Um die authenticationType-Eigenschaft zu aktualisieren, muss der aufrufenden App die Berechtigung Domain-InternalFederation.ReadWrite.All zugewiesen werden.

In delegierten Szenarien mit Geschäfts-, Schul- oder Unikonten muss dem angemeldeten Benutzer eine unterstützte Microsoft Entra Rolle oder eine benutzerdefinierte Rolle mit einer unterstützten Rollenberechtigung zugewiesen werden. Die folgenden Rollen mit den geringsten Berechtigungen werden für diesen Vorgang unterstützt.

Domänennamenadministrator
Administrator für externe Identitätsanbieter
Hybrididentitätsadministrator
Sicherheitsadministrator

HTTP-Anforderung

PATCH /domains/{domainsId}/federationConfiguration/{internalDomainFederationId}

Anforderungsheader

Name	Beschreibung
Authorization	Bearer {token}. Erforderlich. Erfahren Sie mehr über Authentifizierung und Autorisierung.
Content-Type	application/json. Erforderlich.

Anforderungstext

Geben Sie im Anforderungstext nur die Werte für zu aktualisierende Eigenschaften an. Vorhandene Eigenschaften, die nicht im Anforderungstext enthalten sind, behalten ihre vorherigen Werte bei oder werden basierend auf Änderungen an anderen Eigenschaftswerten neu berechnet.

In der folgenden Tabelle sind die Eigenschaften angegeben, die aktualisiert werden können.

Eigenschaft	Typ	Beschreibung
activeSignInUri	Zeichenfolge	URL des Endpunkts, der von aktiven Clients bei der Authentifizierung mit Verbunddomänen verwendet wird, die für einmaliges Anmelden in Microsoft Entra ID eingerichtet sind.
displayName	Zeichenfolge	Der Anzeigename des Verbundidentitätsanbieters (IdP).
federatedIdpMfaBehavior	federatedIdpMfaBehavior	Bestimmt, ob Microsoft Entra ID die MFA akzeptiert, die vom Verbund-IdP ausgeführt wird, wenn ein Verbundbenutzer auf eine Anwendung zugreift, die von einer Richtlinie für bedingten Zugriff gesteuert wird, die MFA erfordert. Mögliche Werte sind: `acceptIfMfaDoneByFederatedIdp`, `enforceMfaByFederatedIdp`, `rejectMfaByFederatedIdp`, `unknownFutureValue`. Weitere Informationen finden Sie unter federatedIdpMfaBehavior-Werte.
isSignedAuthenticationRequestRequired	Boolean	Wenn `true`, wenn SAML-Authentifizierungsanforderungen an den SAML-Verbund-IdP gesendet werden, signiert Microsoft Entra ID diese Anforderungen mithilfe des OrgID-Signaturschlüssels. Wenn `false` (Standard) ist, werden die an den Verbund-IdP gesendeten SAML-Authentifizierungsanforderungen nicht signiert.
issuerUri	Zeichenfolge	Aussteller-URI des Verbundservers.
metadataExchangeUri	Zeichenfolge	Der URI des Metadatenaustauschendpunkts, der für die Authentifizierung von Rich-Client-Anwendungen verwendet wird.
nextSigningCertificate	Zeichenfolge	Fallbacktokensignaturzertifikat, das zum Signieren von Token verwendet wird, wenn das primäre Signaturzertifikat abläuft. Formatiert als Base64-codierte Zeichenfolgen des öffentlichen Teils des Tokensignaturzertifikats des Verbund-IdP. Muss mit der X509Certificate2-Klasse kompatibel sein. Ähnlich wie signingCertificate wird die nextSigningCertificate-Eigenschaft verwendet, wenn ein Rollover außerhalb des Automatischrollover-Updates erforderlich ist, ein neuer Verbunddienst eingerichtet wird oder wenn das neue Tokensignaturzertifikat nicht in den Verbundeigenschaften vorhanden ist, nachdem das Verbunddienstzertifikat aktualisiert wurde.
passiveSignInUri	Zeichenfolge	URI, an den webbasierte Clients weitergeleitet werden, wenn sie sich bei Microsoft Entra-Diensten anmelden.
preferredAuthenticationProtocol	authenticationProtocol	Bevorzugtes Authentifizierungsprotokoll. Dieser Parameter muss explizit konfiguriert werden, damit der passive Verbundauthentifizierungsflow funktioniert. Die möglichen Werte sind: `wsFed`, `saml`, `unknownFutureValue`.
promptLoginBehavior	promptLoginBehavior	Legt das bevorzugte Verhalten für die Anmeldeaufforderung fest. Mögliche Werte sind: `translateToFreshPasswordAuthentication`, `nativeSupport`, `disabled`, `unknownFutureValue`.
signingCertificate	Zeichenfolge	Aktuelles Zertifikat, das zum Signieren von Token verwendet wird, die an den Microsoft Identity Platform übergeben werden. Das Zertifikat ist als Base64-codierte Zeichenfolge des öffentlichen Teils des Tokensignaturzertifikats des Verbund-IdP formatiert und muss mit der X509Certificate2-Klasse kompatibel sein. Diese Eigenschaft wird in den folgenden Szenarien verwendet: Wenn ein Rollover außerhalb des Automatischrollover-Updates erforderlich ist Ein neuer Verbunddienst wird eingerichtet. Wenn das neue Tokensignaturzertifikat nicht in den Verbundeigenschaften vorhanden ist, nachdem das Verbunddienstzertifikat aktualisiert wurde. Microsoft Entra ID aktualisiert Zertifikate über einen Automatischrollover-Prozess, bei dem versucht wird, ein neues Zertifikat aus den Verbunddienstmetadaten abzurufen, 30 Tage vor Ablauf des aktuellen Zertifikats. Wenn kein neues Zertifikat verfügbar ist, überwacht Microsoft Entra ID die Metadaten täglich und aktualisiert die Verbundeinstellungen für die Domäne, wenn ein neues Zertifikat verfügbar ist. Geerbt von samlOrWsFedProvider.
signingCertificateUpdateStatus	signingCertificateUpdateStatus	Stellt status und Zeitstempel der letzten Aktualisierung des Signaturzertifikats bereit.
signOutUri	Zeichenfolge	URI, an den Clients umgeleitet werden, wenn sie sich bei Microsoft Entra-Diensten abmelden.

federatedIdpMfaBehavior-Werte

Member	Beschreibung
acceptIfMfaDoneByFederatedIdp	Microsoft Entra ID akzeptiert MFA, die vom Verbundidentitätsanbieter ausgeführt wird. Wenn der Verbundidentitätsanbieter keine MFA ausgeführt hat, führt Microsoft Entra ID die MFA aus.
enforceMfaByFederatedIdp	Microsoft Entra ID akzeptiert MFA, die vom Verbundidentitätsanbieter ausgeführt wird. Wenn der Verbundidentitätsanbieter keine MFA ausgeführt hat, leitet er die Anforderung an den Verbundidentitätsanbieter um, um MFA auszuführen.
rejectMfaByFederatedIdp	Microsoft Entra ID führt immer MFA durch und lehnt MFA ab, die vom Verbundidentitätsanbieter ausgeführt wird.

Hinweis

federatedIdpMfaBehavior ist eine weiterentwickelte Version der SupportsMfa-Eigenschaft des Set-MsolDomainFederationSettings Cmdlets des eingestellten MSOnline PowerShell-Moduls.

Der Wechsel zwischen federatedIdpMfaBehavior und SupportsMfa wird nicht unterstützt.
Wenn die eigenschaft federatedIdpMfaBehavior festgelegt ist, ignoriert Microsoft Entra ID die Einstellung SupportsMfa.
Wenn die eigenschaft federatedIdpMfaBehavior nie festgelegt ist, berücksichtigt Microsoft Entra ID weiterhin die SupportsMfa-Einstellung.
Wenn weder federatedIdpMfaBehavior noch SupportsMfa festgelegt ist, wird Microsoft Entra ID standardmäßig auf acceptIfMfaDoneByFederatedIdp verhalten festgelegt.

Antwort

Wenn die Methode erfolgreich verläuft, wird der Antwortcode 204 No Content zurückgegeben.

Beispiele

Anforderung

PATCH https://graph.microsoft.com/v1.0/domains/contoso.com/federationConfiguration/6601d14b-d113-8f64-fda2-9b5ddda18ecc
Content-Type: application/json

{
  "displayName": "Contoso name change",  
  "federatedIdpMfaBehavior": "acceptIfMfaDoneByFederatedIdp"
}


// Code snippets are only available for the latest version. Current version is 5.x

// Dependencies
using Microsoft.Graph.Models;

var requestBody = new InternalDomainFederation
{
	DisplayName = "Contoso name change",
	FederatedIdpMfaBehavior = FederatedIdpMfaBehavior.AcceptIfMfaDoneByFederatedIdp,
};

// To initialize your graphClient, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=csharp
var result = await graphClient.Domains["{domain-id}"].FederationConfiguration["{internalDomainFederation-id}"].PatchAsync(requestBody);

Einzelheiten darüber, wie Sie das SDK zu Ihrem Projekt hinzufügen und eine authProvider-Instanz erstellen, finden Sie in der SDK-Dokumentation.



// Code snippets are only available for the latest major version. Current major version is $v1.*

// Dependencies
import (
	  "context"
	  msgraphsdk "github.com/microsoftgraph/msgraph-sdk-go"
	  graphmodels "github.com/microsoftgraph/msgraph-sdk-go/models"
	  //other-imports
)

requestBody := graphmodels.NewInternalDomainFederation()
displayName := "Contoso name change"
requestBody.SetDisplayName(&displayName) 
federatedIdpMfaBehavior := graphmodels.ACCEPTIFMFADONEBYFEDERATEDIDP_FEDERATEDIDPMFABEHAVIOR 
requestBody.SetFederatedIdpMfaBehavior(&federatedIdpMfaBehavior) 

// To initialize your graphClient, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=go
federationConfiguration, err := graphClient.Domains().ByDomainId("domain-id").FederationConfiguration().ByInternalDomainFederationId("internalDomainFederation-id").Patch(context.Background(), requestBody, nil)

Einzelheiten darüber, wie Sie das SDK zu Ihrem Projekt hinzufügen und eine authProvider-Instanz erstellen, finden Sie in der SDK-Dokumentation.


// Code snippets are only available for the latest version. Current version is 6.x

GraphServiceClient graphClient = new GraphServiceClient(requestAdapter);

InternalDomainFederation internalDomainFederation = new InternalDomainFederation();
internalDomainFederation.setDisplayName("Contoso name change");
internalDomainFederation.setFederatedIdpMfaBehavior(FederatedIdpMfaBehavior.AcceptIfMfaDoneByFederatedIdp);
InternalDomainFederation result = graphClient.domains().byDomainId("{domain-id}").federationConfiguration().byInternalDomainFederationId("{internalDomainFederation-id}").patch(internalDomainFederation);

Einzelheiten darüber, wie Sie das SDK zu Ihrem Projekt hinzufügen und eine authProvider-Instanz erstellen, finden Sie in der SDK-Dokumentation.


const options = {
	authProvider,
};

const client = Client.init(options);

const internalDomainFederation = {
  displayName: 'Contoso name change',  
  federatedIdpMfaBehavior: 'acceptIfMfaDoneByFederatedIdp'
};

await client.api('/domains/contoso.com/federationConfiguration/6601d14b-d113-8f64-fda2-9b5ddda18ecc')
	.update(internalDomainFederation);

Einzelheiten darüber, wie Sie das SDK zu Ihrem Projekt hinzufügen und eine authProvider-Instanz erstellen, finden Sie in der SDK-Dokumentation.


<?php
use Microsoft\Graph\GraphServiceClient;
use Microsoft\Graph\Generated\Models\InternalDomainFederation;
use Microsoft\Graph\Generated\Models\FederatedIdpMfaBehavior;


$graphServiceClient = new GraphServiceClient($tokenRequestContext, $scopes);

$requestBody = new InternalDomainFederation();
$requestBody->setDisplayName('Contoso name change');
$requestBody->setFederatedIdpMfaBehavior(new FederatedIdpMfaBehavior('acceptIfMfaDoneByFederatedIdp'));

$result = $graphServiceClient->domains()->byDomainId('domain-id')->federationConfiguration()->byInternalDomainFederationId('internalDomainFederation-id')->patch($requestBody)->wait();

Einzelheiten darüber, wie Sie das SDK zu Ihrem Projekt hinzufügen und eine authProvider-Instanz erstellen, finden Sie in der SDK-Dokumentation.


Import-Module Microsoft.Graph.Identity.DirectoryManagement

$params = @{
	displayName = "Contoso name change"
	federatedIdpMfaBehavior = "acceptIfMfaDoneByFederatedIdp"
}

Update-MgDomainFederationConfiguration -DomainId $domainId -InternalDomainFederationId $internalDomainFederationId -BodyParameter $params

Einzelheiten darüber, wie Sie das SDK zu Ihrem Projekt hinzufügen und eine authProvider-Instanz erstellen, finden Sie in der SDK-Dokumentation.


# Code snippets are only available for the latest version. Current version is 1.x
from msgraph import GraphServiceClient
from msgraph.generated.models.internal_domain_federation import InternalDomainFederation
from msgraph.generated.models.federated_idp_mfa_behavior import FederatedIdpMfaBehavior
# To initialize your graph_client, see https://learn.microsoft.com/en-us/graph/sdks/create-client?from=snippets&tabs=python
request_body = InternalDomainFederation(
	display_name = "Contoso name change",
	federated_idp_mfa_behavior = FederatedIdpMfaBehavior.AcceptIfMfaDoneByFederatedIdp,
)

result = await graph_client.domains.by_domain_id('domain-id').federation_configuration.by_internal_domain_federation_id('internalDomainFederation-id').patch(request_body)

Einzelheiten darüber, wie Sie das SDK zu Ihrem Projekt hinzufügen und eine authProvider-Instanz erstellen, finden Sie in der SDK-Dokumentation.

Antwort

Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.

HTTP/1.1 204 No Content

Feedback

War diese Seite hilfreich?

Last updated on 2025-10-30

Freigeben über

Aktualisieren von internalDomainFederation

Berechtigungen

HTTP-Anforderung

Anforderungsheader

Anforderungstext

federatedIdpMfaBehavior-Werte

Antwort

Beispiele

Anforderung

Antwort

Feedback

Zusätzliche Ressourcen