Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Пространство имен: microsoft.graph
Важно!
API версии /beta в Microsoft Graph могут быть изменены. Использование этих API в производственных приложениях не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.
Получите список объектов authenticationStrengthPolicy и их свойств. Этот API возвращает как встроенные, так и пользовательские политики.
Этот API доступен в следующих национальных облачных развертываниях.
| Глобальная служба | Правительство США L4 | Правительство США L5 (DOD) | Китай управляется 21Vianet |
|---|---|---|---|
| ✅ | ✅ | ✅ | ❌ |
Разрешения
Выберите разрешение или разрешения, помеченные как наименее привилегированные для этого API. Используйте более привилегированное разрешение или разрешения только в том случае, если это требуется приложению. Дополнительные сведения о делегированных разрешениях и разрешениях приложений см. в разделе Типы разрешений. Дополнительные сведения об этих разрешениях см. в справочнике по разрешениям.
| Тип разрешения | Разрешения с наименьшими привилегиями | Более высокие привилегированные разрешения |
|---|---|---|
| Делегированные (рабочая или учебная учетная запись) | Policy.Read.AuthenticationMethod | Policy.Read.All, Policy.ReadWrite.AuthenticationMethod, Policy.ReadWrite.ConditionalAccess |
| Делегированные (личная учетная запись Майкрософт) | Не поддерживается. | Не поддерживается. |
| Приложение | Policy.Read.AuthenticationMethod | Policy.Read.All, Policy.ReadWrite.AuthenticationMethod, Policy.ReadWrite.ConditionalAccess |
Важно!
Для делегированного доступа с использованием рабочих или учебных учетных записей пользователю, выполнившего вход, необходимо назначить поддерживаемую роль Microsoft Entra или пользовательскую роль, которая предоставляет разрешения, необходимые для этой операции. Эта операция поддерживает следующие встроенные роли, которые предоставляют только минимальные необходимые привилегии:
- Администратор условного доступа
- Администратор безопасности
- Читатель сведений о безопасности
HTTP-запрос
GET /policies/authenticationStrengthPolicies
Необязательные параметры запросов
Этот метод поддерживает filter параметр запроса OData в свойствах policyType и , policyName чтобы помочь настроить ответ. Общие сведения см. в статье Параметры запроса OData.
Заголовки запросов
| Имя | Описание |
|---|---|
| Авторизация | Bearer {token}. Обязательно. Дополнительные сведения о проверке подлинности и авторизации. |
Текст запроса
Не указывайте текст запроса для этого метода.
Отклик
В случае успешного 200 OK выполнения этот метод возвращает код отклика и коллекцию объектов authenticationStrengthPolicy в теле отклика.
Примеры
Пример 1. Получение всех политик надежности проверки подлинности
Запрос
Ниже показан пример запроса.
GET https://graph.microsoft.com/beta/policies/authenticationStrengthPolicies
Отклик
Ниже показан пример отклика.
Примечание. Объект отклика, показанный здесь, может быть сокращен для удобочитаемости.
HTTP/1.1 200 OK
Content-Type: application/json
{
"value": [
{
"@odata.type" : "authenticationStrengthPolicy",
"id": "7d718ef4-5493-4313-a52c-7401b7df3a9c",
"createdDateTime": "2022-09-30T10:59:01Z",
"modifiedDateTime": "2022-09-30T10:59:01Z",
"displayName": "Contoso authentication level",
"description": "The only authentication level allowed to access our secret apps",
"policyType": "custom",
"requirementsSatisfied": "mfa",
"allowedCombinations": [
"x509CertificateSingleFactor, fido2",
"fido2"
],
"combinationConfigurations": [
{
"@odata.type" : "fido2CombinationConfiguration",
"id": "675ff4e1-7c6d-4a7f-9803-ad084d1b45b3",
"allowedAAGUIDs": [
"2ac80ddb-17bd-4575-b41c-0dc37ae3290d"
],
"appliesToCombinations": ["fido2"]
}
]
},
{
"@odata.type" : "authenticationStrengthPolicy",
"id": "00000000-0000-0000-0000-000000000002",
"createdDateTime": "2022-09-30T10:59:01Z",
"modifiedDateTime": "2022-09-30T10:59:01Z",
"displayName": "Multifactor authentication",
"description": "Combinations of methods that satisfy strong authentication, such as a password + SMS",
"policyType": "builtIn",
"requirementsSatisfied": "mfa",
"allowedCombinations": [
"windowsHelloForBusiness",
"fido2",
"x509CertificateMultiFactor",
"deviceBasedPush",
"temporaryAccessPassOneTime",
"temporaryAccessPassMultiUse",
"password, microsoftAuthenticatorPush",
"password, softwareOath",
"password, hardwareOath",
"password, sms",
"password, voice",
"federatedMultiFactor",
"federatedSingleFactor, microsoftAuthenticatorPush",
"federatedSingleFactor, softwareOath",
"federatedSingleFactor, hardwareOath",
"federatedSingleFactor, sms",
"federatedSingleFactor, voice"
],
"combinationConfigurations": []
},
{
"@odata.type" : "authenticationStrengthPolicy",
"id": "00000000-0000-0000-0000-000000000003",
"createdDateTime": "2022-09-30T10:59:01Z",
"modifiedDateTime": "2022-09-30T10:59:01Z",
"displayName": "Passwordless MFA",
"description": "Passwordless methods that satisfy strong authentication, such as Passwordless sign-in with the Microsoft Authenticator",
"policyType": "builtIn",
"requirementsSatisfied": "mfa",
"allowedCombinations": [
"windowsHelloForBusiness",
"fido2",
"x509CertificateMultiFactor",
"deviceBasedPush"
],
"combinationConfigurations": []
},
{
"@odata.type" : "authenticationStrengthPolicy",
"id": "00000000-0000-0000-0000-000000000004",
"createdDateTime": "2022-09-30T10:59:01Z",
"modifiedDateTime": "2022-09-30T10:59:01Z",
"displayName": "Phishing resistant MFA",
"description": "Phishing resistant, Passwordless methods for the strongest authentication, such as a FIDO2 security key",
"policyType": "builtIn",
"requirementsSatisfied": "mfa",
"allowedCombinations": [
"windowsHelloForBusiness",
"fido2",
"x509CertificateMultiFactor"
],
"combinationConfigurations": []
}
]
}
Пример 2. Получение политик, включающих определенные режимы методов проверки подлинности
Запрос
Ниже показан пример запроса.
GET https://graph.microsoft.com/beta/policies/authenticationStrengthPolicies?$filter=allowedCombinations/any(x:x has 'sms, password')
Отклик
Ниже показан пример отклика.
Примечание. Объект отклика, показанный здесь, может быть сокращен для удобочитаемости.
HTTP/1.1 200 OK
Content-Type: application/json
{
"@odata.context": "https://graph.microsoft.com/beta/$metadata#policies/authenticationStrengthPolicies",
"value": [
{
"id": "00000000-0000-0000-0000-000000000002",
"createdDateTime": "2021-12-01T00:00:00Z",
"modifiedDateTime": "2021-12-01T00:00:00Z",
"displayName": "Multifactor authentication",
"description": "Combinations of methods that satisfy strong authentication, such as a password + SMS",
"policyType": "builtIn",
"requirementsSatisfied": "mfa",
"allowedCombinations": [
"windowsHelloForBusiness",
"fido2",
"x509CertificateMultiFactor",
"deviceBasedPush",
"temporaryAccessPassOneTime",
"temporaryAccessPassMultiUse",
"password,microsoftAuthenticatorPush",
"password,softwareOath",
"password,hardwareOath",
"password,sms",
"password,voice",
"federatedMultiFactor",
"microsoftAuthenticatorPush,federatedSingleFactor",
"softwareOath,federatedSingleFactor",
"hardwareOath,federatedSingleFactor",
"sms,federatedSingleFactor",
"voice,federatedSingleFactor"
],
"combinationConfigurations@odata.context": "https://graph.microsoft.com/beta/$metadata#policies/authenticationStrengthPolicies('00000000-0000-0000-0000-000000000002')/combinationConfigurations",
"combinationConfigurations": []
}
]
}