Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Namespace: microsoft.graph.security
Führen Sie Aktionen wie das Widerrufen von Konten und das Erzwingen der Kennwortzurücksetzung für Identitätskonten aus, die in Microsoft Defender for Identity beobachtet werden. Diese Aktion ermöglicht das Lesen und Ausführen von Identitätssicherheitsaktionen im Namen der angemeldeten Identität.
Diese API ist in den folgenden nationalen Cloudbereitstellungen verfügbar.
| Weltweiter Service | US Government L4 | US Government L5 (DOD) | China, betrieben von 21Vianet |
|---|---|---|---|
| ✅ | ❌ | ❌ | ❌ |
Berechtigungen
Eine der nachfolgenden Berechtigungen ist erforderlich, um diese API aufrufen zu können. Wählen Sie die Berechtigungen aus, die für diese API als am wenigsten privilegiert markiert sind. Verwenden Sie eine höhere Berechtigung oder Berechtigungen nur, wenn Ihre App dies erfordert. Ausführliche Informationen zu delegierten Berechtigungen und Anwendungsberechtigungen finden Sie unter Berechtigungstypen. Weitere Informationen zu diesen Berechtigungen finden Sie in der Berechtigungsreferenz.
| Berechtigungstyp | Berechtigungen (die geringsten Berechtigungen werden zuerst aufgeführt) |
|---|---|
| Delegiert (Geschäfts-, Schul- oder Unikonto) | SecurityIdentitiesActions.ReadWrite.All |
| Delegiert (persönliches Microsoft-Konto) | Nicht unterstützt |
| Application | SecurityIdentitiesActions.ReadWrite.All |
Wichtig
In delegierten Szenarien mit Geschäfts-, Schul- oder Unikonten muss dem angemeldeten Benutzer eine unterstützte Microsoft Entra Rolle oder eine benutzerdefinierte Rolle mit einer unterstützten Rollenberechtigung zugewiesen werden. Sicherheitsadministrator ist die Rolle mit den geringsten Berechtigungen, die für diesen Vorgang unterstützt wird.
HTTP-Anforderung
POST /security/identities/identityAccounts/{identityAccountsId}/invokeAction
Anforderungsheader
| Name | Beschreibung |
|---|---|
| Authorization | Bearer {token}. Erforderlich. Erfahren Sie mehr über Authentifizierung und Autorisierung. |
| Content-Type | application/json. Erforderlich. |
Anforderungstext
Geben Sie im Anforderungstext eine JSON-Darstellung der Parameter an.
In der folgenden Tabelle sind die Parameter aufgeführt, die beim Aufrufen dieser Aktion erforderlich sind.
| Parameter | Typ | Beschreibung |
|---|---|---|
| accountId | Zeichenfolge | Der Bezeichner des Kontos, für das die Aktion ausgeführt werden soll. |
| Aktion | microsoft.graph.security.action | Der Typ der Aktion, die für das Konto ausgeführt werden soll. Mögliche Werte sind: disable, enable, forcePasswordReset, revokeAllSessions, requireUserToSignInAgain, markUserAsCompromised. |
| identityProvider | microsoft.graph.security.identityProvider | Der Identitätsanbieter, der dem Konto zugeordnet ist. Die möglichen Werte sind: entraID, activeDirectory, okta. |
In der folgenden Tabelle sind die Identitätsanbieter aufgeführt, die für jeden Aktionswerttyp unterstützt werden:
| Aktionswert | Beschreibung | Unterstützte Identitätsanbieter |
|---|---|---|
| Deaktivieren | Konto deaktivieren. Das Konto kann nicht authentifiziert werden. Wenn sich das Konto kürzlich angemeldet hat, hat es keinen Zugriff auf Ressourcen. |
activeDirectory, okta |
| Aktivieren | Konto aktivieren. |
activeDirectory, okta |
| ForcePasswordReset | Erzwingen der Kennwortzurücksetzung des Kontos. | activeDirectory |
| RevokeAllSessions | Widerrufen Sie alle aktiven Sitzungen für das Konto. | okta |
Antwort
Wenn die Aktion erfolgreich verläuft, werden der 200 OK Antwortcode und ein invokeActionResult im Antworttext zurückgegeben.
Beispiele
Anforderung
Das folgende Beispiel zeigt eine Anfrage.
POST https://graph.microsoft.com/v1.0/security/identities/identityAccounts/0104216-0539-4838-88b1-55baafdc296b/invokeAction
Content-Type: application/json
{
"accountId": "256db173-930a-4991-9061-0d51a9a93ba5",
"action": "disable",
"identityProvider": "activeDirectory"
}
Antwort
Das folgende Beispiel zeigt die Antwort.
Hinweis: Das hier gezeigte Antwortobjekt kann zur besseren Lesbarkeit gekürzt werden.
HTTP/1.1 200 OK
Content-Type: application/json
{
"value":
{
"accountId": "256db173-930a-4991-9061-0d51a9a93ba5",
"action": "disable",
"provider": "activeDirectory",
"correlationId": "ed2f052b-2a01-4cd9-acb3-f6145f83e1a5"
}
}
Hinweis
Aktionen im Zusammenhang mit entra ID werden im aktuellen Bereich nicht abgedeckt.