descrição geral da API dos métodos de autenticação Microsoft Entra
Namespace: microsoft.graph
Importante
As APIs na versão /beta no Microsoft Graph estão sujeitas a alterações. Não há suporte para o uso dessas APIs em aplicativos de produção. Para determinar se uma API está disponível na v1.0, use o seletor Versão.
Os métodos de autenticação são as formas como os utilizadores se autenticam no Microsoft Entra ID. Os métodos de autenticação no Microsoft Entra ID incluem a palavra-passe e o telemóvel (por exemplo, sms e chamadas de voz), que são geríveis no Microsoft Graph atualmente, entre muitos outros, como chaves de segurança FIDO2 e a aplicação Microsoft Authenticator. Os métodos de autenticação são usados nas autenticações primária, de segundo fator e de step-up. Além disso, no processo de redefinição de senha de autoatendimento (SSPR).
As APIs do método de autenticação são utilizadas para gerir os métodos de autenticação de um utilizador. Por exemplo:
- Pode adicionar um número de telefone a um utilizador. Em seguida, o utilizador pode utilizar esse número de telefone para autenticação por SMS e chamada de voz se estiver ativado para utilizá-lo por política.
- Pode atualizar esse número ou eliminá-lo do utilizador.
- Pode ativar ou desativar o número do início de sessão por SMS.
- Pode repor a palavra-passe de um utilizador.
- Pode obter detalhes da Chave de Segurança FIDO2 de um utilizador e eliminá-la se o utilizador tiver perdido a chave.
- Pode obter detalhes do registo do Microsoft Authenticator de um utilizador e eliminá-lo se o utilizador tiver perdido o telemóvel.
- Pode obter detalhes do registo de Windows Hello para Empresas de um utilizador e eliminá-lo se o utilizador tiver perdido o dispositivo.
- Pode adicionar um endereço de e-mail a um utilizador. Em seguida, o utilizador pode utilizar esse e-mail como parte do processo Self-Service Reposição de Palavra-passe (SSPR).
- Pode atualizar esse e-mail ou eliminá-lo do utilizador.
- Pode atribuir e ativar um token OATH de hardware para um utilizador.
A capacidade de um utilizador utilizar um método de autenticação é regida pela política de método de autenticação do inquilino. Por exemplo, apenas os utilizadores no departamento de R&D podem estar ativados para utilizar o método FIDO2, enquanto todos os utilizadores podem estar ativados para utilizar o Microsoft Authenticator.
Não recomendamos a utilização de APIs de métodos de autenticação para cenários em que tenha de iterar toda a população de utilizadores para fins de auditoria ou segurança marcar. Para estes tipos de cenários, recomendamos que utilize as APIs de registo e relatório de utilização do método de autenticação.
Que métodos de autenticação podem ser geridos no Microsoft Graph?
| Método de autenticação | Descrição | Exemplos |
|---|---|---|
| emailAuthenticationMethod | Um endereço de e-mail pode ser utilizado por um utilizador como parte do processo Self-Service Reposição de Palavra-passe (SSPR). | Veja o endereço de e-mail de autenticação de um utilizador. Adicionar, atualizar ou remover um endereço de e-mail de um utilizador. |
| fido2AuthenticationMethod | Uma Chave de Segurança FIDO2 pode ser utilizada por um utilizador para iniciar sessão no Microsoft Entra ID. | Eliminar uma Chave de Segurança FIDO2 perdida. |
| hardwareOathAuthenticationMethod | Permitir que os utilizadores efetuem a autenticação multifator através de um dispositivo OATH de hardware que forneça um código único. | Obter, (anular)atribuir ou (de)ativar um token de hardware para um utilizador. |
| microsoftAuthenticatorAuthenticationMethod | O Microsoft Authenticator pode ser utilizado por um utilizador para iniciar sessão ou efetuar a autenticação multifator no Microsoft Entra ID | Eliminar um método de autenticação do Microsoft Authenticator. |
| passwordAuthenticationMethod | Uma palavra-passe é atualmente o método de autenticação principal predefinido no Microsoft Entra ID. | Redefinir a senha de um usuário |
| phoneAuthenticationMethod | Um telefone pode ser utilizado por um utilizador para autenticar através de SMS ou chamadas de voz (conforme permitido pela política). | Veja os números de telefone de autenticação de um utilizador. Adicionar, atualizar ou remover um número de telefone a um utilizador. Ativar ou desativar um telemóvel principal para o início de sessão por SMS. |
| platformCredentialAuthenticationMethod | A Credencial de Plataforma é um método de autenticação de início de sessão para utilizadores em dispositivos macOS. | Veja as credenciais da plataforma de um utilizador. Remova a credencial da plataforma de um utilizador. |
| softwareOathAuthenticationMethod | Permitir que os utilizadores efetuem a autenticação multifator através de uma aplicação que suporte a especificação OATH e fornece um código único. | Obter e eliminar um token de software atribuído a um utilizador. |
| temporaryaccesspassauthenticationmethod | O Passe de Acesso Temporário é um código de acesso com limite de tempo que funciona como uma credencial forte e permite a inclusão de credenciais sem palavra-passe. | Definir um novo Passe de Acesso Temporário para um utilizador. |
| windowsHelloForBusinessAuthenticationMethod | Windows Hello para Empresas é um método de início de sessão sem palavra-passe em dispositivos Windows. | Veja os dispositivos em que um utilizador ativou Windows Hello para Empresas início de sessão. Eliminar uma credencial de Windows Hello para Empresas. |
| Estados de autenticação | Gerir as preferências de início de sessão de um utilizador e a MFA por utilizador | Veja ou defina o estado da MFA para um utilizador. Veja ou defina a definição de autenticação multifator (MFA) preferencial pelo sistema. |
| passwordlessmicrosoftauthenticatorauthenticationmethod (preterido) | O início de sessão no Telefone Sem Palavra-passe do Microsoft Authenticator pode ser utilizado por um utilizador para iniciar sessão no Microsoft Entra ID | Eliminar um método de autenticação de início de sessão por telefone sem palavra-passe. |
Os seguintes métodos de autenticação ainda não são suportados no Microsoft Graph beta.
| Método de autenticação | Descrição | Exemplos |
|---|---|---|
| Perguntas e respostas de segurança | Permitir que os utilizadores validem a respetiva identidade ao efetuar uma reposição personalizada de palavra-passe. | Eliminar uma pergunta de segurança registada por um utilizador. |
Exigir o novo registo da autenticação multifator
Para exigir que os utilizadores configurem uma nova autenticação multifator da próxima vez que iniciarem sessão, chame as operações individuais do método de autenticação DELETE para eliminar cada um dos métodos de autenticação atuais do utilizador. Quando o utilizador não tiver mais métodos, ser-lhe-á pedido que se registe da próxima vez que iniciar sessão onde for necessária uma autenticação forte.
Utilização do método de autenticação ao nível do inquilino
Pode monitorizar o registo e a utilização do método de autenticação ao nível do inquilino, incluindo os utilizadores registados ou não registados para a MFA e a autenticação sem palavra-passe, e os utilizadores registados ou não registados na SSPR através das APIs de relatório de utilização dos métodos de autenticação.
Próximas etapas
- Reveja os tipos de métodos de autenticação e os seus vários métodos.
- Experimente a API no Graph Explorer.