Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Namespace: microsoft.graph
Wichtig
Die APIs unter der /beta Version in Microsoft Graph können sich ändern. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in v1.0 verfügbar ist, verwenden Sie die Version Selektor.
Authentifizierungsmethoden sind die Methoden für die Authentifizierung von Benutzern in Microsoft Entra ID. Zu den Authentifizierungsmethoden in Microsoft Entra ID gehören Kennwort und Telefon (z. B. SMS und Sprachanrufe), die heute in Microsoft Graph verwaltet werden können, unter anderem FIDO2-Sicherheitsschlüssel und die Microsoft Authenticator-App. Authentifizierungsmethoden werden bei der primären, Zwei-Faktor- und Step-Up-Authentifizierung sowie beim SSPR-Verfahren (Self-Service-Kennwortzurücksetzung) verwendet.
Die Authentifizierungsmethoden-APIs werden verwendet, um die Authentifizierungsmethoden eines Benutzers zu verwalten. Zum Beispiel:
- Sie können einem Benutzer eine Telefonnummer hinzufügen. Der Benutzer kann diese Telefonnummer dann für die SMS- und Sprachanrufauthentifizierung verwenden, wenn er sie gemäß Richtlinie verwenden kann.
- Sie können diese Nummer aktualisieren oder vom Benutzer löschen.
- Sie können die Nummer für die SMS-Anmeldung aktivieren oder deaktivieren.
- Sie können das Kennwort eines Benutzers zurücksetzen.
- Sie können Details zum FIDO2-Sicherheitsschlüssel eines Benutzers abrufen und löschen, wenn der Benutzer den Schlüssel verloren hat.
- Sie können Details zur Microsoft Authenticator-Registrierung eines Benutzers abrufen und löschen, wenn der Benutzer das Telefon verloren hat.
- Sie können Details zur Windows Hello for Business Registrierung eines Benutzers abrufen und löschen, wenn der Benutzer das Gerät verloren hat.
- Sie können einem Benutzer eine E-Mail-Adresse hinzufügen. Der Benutzer kann diese E-Mail dann im Rahmen des Self-Service-Kennwortzurücksetzungsprozesses (SSPR) verwenden.
- Sie können diese E-Mail aktualisieren oder vom Benutzer löschen.
- Sie können einem Benutzer ein Hardware-OATH-Token zuweisen und aktivieren.
- Sie können Details zur QR-Code-Authentifizierung eines Benutzers abrufen und standardmäßigen QR-Code löschen, wenn er ihn verloren hat.
Die Möglichkeit eines Benutzers, eine Authentifizierungsmethode zu verwenden, wird durch die Authentifizierungsmethodenrichtlinie für den Mandanten geregelt. Beispielsweise können nur Benutzer in der R&D-Abteilung die FIDO2-Methode verwenden, während alle Benutzer für die Verwendung von Microsoft Authenticator aktiviert sind.
Es wird nicht empfohlen, die APIs für Authentifizierungsmethoden für Szenarien zu verwenden, in denen Sie Ihre gesamte Benutzerpopulation zu Überwachungs- oder Sicherheitsüberprüfungszwecken durchlaufen müssen. Für diese Arten von Szenarien empfehlen wir die Verwendung der APIs für die Authentifizierungsmethodenregistrierung und Nutzungsberichterstellung.
Hinweis
Timeout für Anforderungen an die Authentifizierungsmethoden-APIs nach 60 Sekunden.
Welche Authentifizierungsmethoden können in Microsoft Graph verwaltet werden?
Hinweis
Informationen zum Verwalten der zertifikatbasierten Authentifizierung (Certificate-Based Authentication, CBA) finden Sie unter x509CertificateAuthenticationMethodConfiguration.
| Authentifizierungsmethode | Beschreibung | Beispiele |
|---|---|---|
| emailAuthenticationMethod | Ein Benutzer kann eine E-Mail-Adresse im Rahmen des Self-Service-Kennwortzurücksetzungsprozesses (SSPR) verwenden. | Anzeigen der Authentifizierungs-E-Mail-Adresse eines Benutzers. Hinzufügen, Aktualisieren oder Entfernen einer E-Mail-Adresse für einen Benutzer. |
| externalAuthenticationMethod | Ein Benutzer kann sich mit einem externen Identitätsanbieter bei Microsoft Entra ID anmelden. | Löschen der externen Authentifizierungsmethode eines Benutzers. |
| fido2AuthenticationMethod | Ein Benutzer kann sich mit einem FIDO2-Sicherheitsschlüssel bei Microsoft Entra ID anmelden. | Löschen sie einen verloren gegangenen FIDO2-Sicherheitsschlüssel. |
| hardwareOathAuthenticationMethod | Ermöglichen Sie Es Benutzern, die mehrstufige Authentifizierung mithilfe eines Hardware-OATH-Geräts durchzuführen, das einen einmaligen Code bereitstellt. | Rufen Sie ein Hardwaretoken einem Benutzer zu (aufheben)zuweisen oder zu aktivieren. |
| microsoftAuthenticatorAuthenticationMethod | Ein Benutzer kann sich mit der Microsoft Authenticator-App anmelden oder die mehrstufige Authentifizierung bei Microsoft Entra ID | Löschen sie eine Microsoft Authenticator-Authentifizierungsmethode. |
| passwordAuthenticationMethod | Ein Kennwort ist derzeit die primäre Standardauthentifizierungsmethode in Microsoft Entra ID. | Zurücksetzen eines Benutzerkennworts |
| phoneAuthenticationMethod | Der Benutzer kann ein Telefon verwenden, um sich per SMS oder Sprachanrufen zu authentifizieren, wie die Richtlinie dies erlaubt. | Zeigen Sie die Telefonnummern für die Authentifizierung eines Benutzers an. Hinzufügen, Aktualisieren oder Entfernen einer Telefonnummer für einen Benutzer. Aktivieren oder deaktivieren Sie ein primäres Mobiltelefon für die SMS-Anmeldung. |
| platformCredentialAuthenticationMethod | Plattformanmeldeinformationen sind eine Anmeldeauthentifizierungsmethode für Benutzer auf macOS-Geräten. | Anzeigen der Plattformanmeldeinformationen eines Benutzers. Entfernen Sie die Plattformanmeldeinformationen eines Benutzers. |
| softwareOathAuthenticationMethod | Ermöglichen Sie Benutzern das Ausführen der mehrstufigen Authentifizierung mithilfe einer Anwendung, die die OATH-Spezifikation unterstützt und einen einmaligen Code bereitstellt. | Abrufen und Löschen eines Softwaretokens, das einem Benutzer zugewiesen ist. |
| temporaryaccesspassauthenticationmethod | Der temporäre Zugriffspass ist eine zeitlich begrenzte Kennung, die als sichere Anmeldeinformationen dient und das Onboarding kennwortloser Anmeldeinformationen ermöglicht. | Legen Sie einen neuen temporären Zugriffspass für einen Benutzer fest. |
| verifiedIdProfile | Verified ID Profile definieren Eigenschaften und Verwendungsmuster für den Austausch von Anmeldeinformationen, einschließlich der Konfiguration der Gesichtserkennung. | Erstellen, Aktualisieren oder Löschen von Verified ID Profilen. Konfigurieren Sie die Einstellungen für die Gesichtserkennung und nachweisbare Anmeldeinformationen. |
| windowsHelloForBusinessAuthenticationMethod | Windows Hello for Business ist eine kennwortlose Anmeldemethode auf Windows-Geräten. | Sehen Sie sich Geräte an, auf denen ein Benutzer Windows Hello for Business Anmeldung aktiviert hat. Löschen sie Windows Hello for Business Anmeldeinformationen. |
| Authentifizierungsstatus | Verwalten der Anmeldeeinstellungen eines Benutzers und der benutzerspezifischen MFA | Anzeigen oder Festlegen des MFA-Status für einen Benutzer. Weitere Informationen finden Sie unter Oder legen Sie die Einstellung für die vom System bevorzugte Multi-Faktor-Authentifizierung (MFA) fest. |
| qrCodePinAuthenticationMethod | QR-Code ist eine Authentifizierungsmethode, die für Mitarbeiter in Service und Produktion entwickelt wurde, um eine einfache Authentifizierung zu ermöglichen. Benutzer müssen nur den ihnen bereitgestellten eindeutigen QR-Code scannen und ihre PIN eingeben, um sich bei Apps anzumelden. | Fügen Sie die QR-Code-Authentifizierungsmethode für einen Benutzer hinzu. |
| passwordlessmicrosoftauthenticatorauthenticationmethod (veraltet) | Die kennwortlose Anmeldung von Microsoft Authenticator Phone kann von einem Benutzer verwendet werden, um sich bei Microsoft Entra ID | Löschen Sie eine Authentifizierungsmethode für die kennwortlose Telefonanmeldung. |
Die folgenden Authentifizierungsmethoden werden in Microsoft Graph betanoch nicht unterstützt.
| Authentifizierungsmethode | Beschreibung | Beispiele |
|---|---|---|
| Sicherheitsfragen und -antworten | Ermöglichen Sie Benutzern, ihre Identität zu überprüfen, wenn sie eine Self-Service-Kennwortzurücksetzung durchführen. | Löschen sie eine Sicherheitsfrage, die ein Benutzer registriert hat. |
Erneute Registrierung der mehrstufigen Authentifizierung erforderlich
Damit Benutzer bei der nächsten Anmeldung eine neue mehrstufige Authentifizierung einrichten müssen, rufen Sie die einzelnen DELETE-Authentifizierungsmethodenvorgänge auf, um jede der aktuellen Authentifizierungsmethoden des Benutzers zu löschen. Wenn der Benutzer über keine weiteren Methoden verfügt, wird er aufgefordert, sich bei der nächsten Anmeldung zu registrieren, wenn eine starke Authentifizierung erforderlich ist.
Verwendung der Authentifizierungsmethode auf Mandantenebene
Sie können die Registrierung und Verwendung von Authentifizierungsmethoden auf Mandantenebene überwachen, einschließlich Benutzern, die für MFA und kennwortlose Authentifizierung registriert oder nicht registriert wurden, sowie Benutzer, die für SSPR registriert oder nicht registriert wurden, mithilfe der APIs des Verwendungsberichts für Authentifizierungsmethoden.
Nächste Schritte
- Überprüfen Sie die Authentifizierungsmethodentypen und ihre verschiedenen Methoden.
- Probieren Sie die API in Graph Explorer aus.