Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Espace de noms: microsoft.graph
Créez un objet fido2AuthenticationMethod pour un utilisateur. Cette API termine l’inscription d’une clé de sécurité FIDO2 (clé d’accès) dans le cadre de la cérémonie d’inscription WebAuthn.
Flux d’inscription de clé d’accès :
- Appelez la fonction creationOptions pour récupérer les options de création d’informations d’identification WebAuthn à partir de Microsoft Entra ID.
- Utilisez les options retournées pour créer des informations d’identification dans le navigateur ou l’authentificateur à l’aide de l’API WebAuthn.
- POST les informations d’identification de clé publique obtenues sur cette API pour terminer l’inscription.
Remarque
Cette API présente les problèmes connus suivants :
- Il ne prend pas en charge l’approvisionnement de clés d’accès préinscrites. Pour plus d’informations, consultez Problème connu : approvisionnement de clés de passe pré-enregistrées non prises en charge
- Les administrateurs doivent activer Autoriser la configuration en libre-service dans la stratégie de méthode d’authentification FIDO2 pour utiliser l’API d’approvisionnement FIDO2. Pour plus d’informations, consultez Problème connu : l’API d’approvisionnement FIDO2 nécessite l’activation de la configuration en libre-service.
Autorisations
Choisissez l’autorisation ou les autorisations marquées comme moins privilégiées pour cette API. Utilisez une autorisation ou des autorisations privilégiées plus élevées uniquement si votre application en a besoin. Pour plus d’informations sur les autorisations déléguées et d’application, consultez Types d’autorisations. Pour en savoir plus sur ces autorisations, consultez les informations de référence sur les autorisations.
| Type d’autorisation | Autorisations avec privilèges minimum | Autorisations privilégiées plus élevées |
|---|---|---|
| Déléguée (compte professionnel ou scolaire) | UserAuthMethod-Passkey.ReadWrite.All | UserAuthenticationMethod.ReadWrite.All |
| Déléguée (compte Microsoft personnel) | Non prise en charge. | Non prise en charge. |
| Application | UserAuthMethod-Passkey.ReadWrite.All | UserAuthenticationMethod.ReadWrite.All |
Importante
Pour l’accès délégué à l’aide de comptes professionnels ou scolaires où l’utilisateur connecté agit sur un autre utilisateur, il doit se voir attribuer un rôle Microsoft Entra pris en charge ou un rôle personnalisé qui accorde les autorisations requises pour cette opération. Cette opération prend en charge les rôles intégrés suivants, qui fournissent uniquement le moindre privilège nécessaire :
- Administrateur d’authentification
- Administrateur d’authentification privilégié
Lorsque les utilisateurs gèrent leurs propres méthodes d’authentification, le système les invite à effectuer l’authentification multifacteur (MFA) s’ils se sont authentifiés pour la dernière fois il y a plus de 10 minutes dans la session active.
Requête HTTP
Remarque
L’appel du point de terminaison /me nécessite un utilisateur connecté et par conséquent une autorisation déléguée. Les autorisations d’application ne sont pas prises en charge lors de l’utilisation du point de /me terminaison.
POST /users/{id}/authentication/fido2Methods
POST /me/authentication/fido2Methods
En-têtes de demande
| Nom | Description |
|---|---|
| Autorisation | Porteur {token}. Obligatoire. En savoir plus sur l’authentification et l’autorisation. |
| Content-Type | application/json. Obligatoire. |
Corps de la demande
Dans le corps de la demande, fournissez une représentation JSON de l’objet fido2AuthenticationMethod .
Vous pouvez spécifier les propriétés suivantes lors de la création d’une méthode fido2AuthenticationMethod.
| Propriété | Type | Description |
|---|---|---|
| displayName | String | Nom complet de la clé de sécurité FIDO2. Facultatif. |
| publicKeyCredential | webauthnPublicKeyCredential | Informations d’identification de clé publique WebAuthn créées par l’authentificateur. Encodez en Base64URL toutes les données binaires sans remplissage, comme défini dans RFC 4648 Section 5. Cet encodage s’applique aux propriétés id d’informations d’identification, clientDataJSON et attestationObject . Obligatoire. |
Réponse
Si elle réussit, cette méthode renvoie un 201 Created code de réponse et un objet fido2AuthenticationMethod dans le corps de la réponse.
Exemples
Demande
L’exemple suivant illustre une demande.
POST https://graph.microsoft.com/v1.0/users/99a1915f-70a7-4b67-9dca-64095b41be73/authentication/fido2Methods
Content-Type: application/json
{
"@odata.type": "#microsoft.graph.fido2AuthenticationMethod",
"displayName": "My security key",
"publicKeyCredential": {
"@odata.type": "#microsoft.graph.webauthnPublicKeyCredential",
"id": "OEVEMkQzNTctNzNEMi00RjEzLTk5MjYtODdGNjFCMjRBMzQy",
"response": {
"@odata.type": "#microsoft.graph.webauthnAuthenticatorAttestationResponse",
"clientDataJSON": "eyJ0eXBlIjoid2ViYXV0aG4uY3JlYXRlIiwiY2hhbGxlbmdlIjoiUVRVMU16TkROekF0TmtNM05pMDBOVFJETFVKRFEwWXRSVFJFTURaQ05UQkZSVFJFIiwib3JpZ2luIjoiaHR0cHM6Ly9sb2dpbi5taWNyb3NvZnRvbmxpbmUuY29tIiwiY3Jvc3NPcmlnaW4iOmZhbHNlfQ",
"attestationObject": "o2NmbXRkbm9uZWdhdHRTdG10oGhhdXRoRGF0YVikSZYN5YgOjGh0NBcPZHZgW4/krrmihjLHmVzzuoMdl2NdAAAAALraVWanqkAfvZZFYZpVEg0AIDhFRDJEMzU3LTczRDItNEYxMy05OTI2LTg3RjYxQjI0QTM0MqUBAgMmIAEhWCAMKJ7T4r8w5F6JGxJLJXNR0hV1MZF1aZ1F0pZXq5p5"
},
"clientExtensionResults": {
"@odata.type": "#microsoft.graph.webauthnAuthenticationExtensionsClientOutputs"
}
}
}
Réponse
L’exemple suivant illustre la réponse.
Remarque : l’objet de réponse affiché ci-après peut être raccourci pour plus de lisibilité.
HTTP/1.1 201 Created
Content-Type: application/json
{
"@odata.type": "#microsoft.graph.fido2AuthenticationMethod",
"id": "73e4b2c6-8a2f-4d3e-9b1a-5c7d8e9f0a1b",
"displayName": "My security key",
"createdDateTime": "2026-04-20T10:15:30Z",
"aaGuid": "de1e552d-db1d-4423-a619-566b625cdc84",
"model": "Security Key NFC by Yubico",
"attestationCertificates": [],
"attestationLevel": "attested",
"passkeyType": "deviceBound"
}