MFA für Mobiltelefon festlegen oder entfernen

Beschreibung

Fügt die mobile Telefon-Authentifizierungsmethode des Benutzers hinzu, aktualisiert sie oder entfernt sie. Dieses Runbook verwaltet Telefonnummern als reguläre MFA-Faktoren (Anruf-/SMS-Verifizierung). Wichtig: Die Microsoft Graph phoneMethods API bietet keine Möglichkeit, eine Telefonnummer als „nur MFA“ hinzuzufügen, ohne einen automatischen Registrierungsversuch für SMS-Anmeldung auszulösen. Wenn der Benutzer durch die Authentication Methods Policy des Tenant für SMS Sign-In aktiviert ist, versucht Graph nach dem Erstellen oder Aktualisieren der Telefonmethode automatisch, die Nummer für SMS Sign-In zu registrieren. Wenn die Nummer bereits von einem anderen Benutzer für SMS Sign-In verwendet wird, gibt Graph einen 409 Conflict mit dem Fehlercode „phoneNumberNotUnique“ zurück. Die Telefonmethode selbst (für reguläre MFA) wird trotz dieses Fehlers in der Regel erfolgreich erstellt oder aktualisiert. Die Eigenschaft smsSignInState ist schreibgeschützt und kann über die Erstellungs-/Aktualisierungsanforderung nicht gesteuert werden. SMS Sign-In kann nur explizit über die separaten Endpunkte enableSmsSignIn und disableSmsSignIn verwaltet werden. Dieses Runbook überprüft den tatsächlichen Status nach solchen Fehlern und meldet Erfolg, wenn die MFA-Methode zugewiesen wurde, zusammen mit einer Warnung zum SMS-Sign-In-Konflikt. Wenn die Zuweisung tatsächlich fehlgeschlagen ist, sucht es nach dem Benutzer, der die Nummer besitzt.

Ort

Benutzer → Sicherheit → Mobiltelefon-MFA festlegen oder entfernen

Vollständiger Runbook-Name

rjgit-user_security_set-or-remove-mobile-phone-mfa

Berechtigungen

Anwendungsberechtigungen

• Typ: Microsoft Graph

  • AuditLog.Read.All

  • User.Read.All

  • UserAuthenticationMethod.ReadWrite.All

  • Mail.Send

Parameter

Benutzer-ID

Objekt-ID des Zielbenutzers.

Telefonnummer

Mobiltelefonnummer im internationalen E.164-Format (z. B. +491701234567).

Entfernen

„Mobile Phone MFA-Methode festlegen/aktualisieren“ (Endwert: $false) oder „Mobile Phone MFA-Methode entfernen“ (Endwert: $true) kann als auszuführende Aktion ausgewählt werden. Wenn auf true gesetzt, entfernt das Runbook die mobile Telefon-MFA-Methode für den Benutzer. Wenn auf false gesetzt, fügt es die mobile Telefon-MFA-Methode mit der angegebenen Telefonnummer hinzu oder aktualisiert sie.

NotifyUser

Wenn aktiviert, wird eine Benachrichtigungs-E-Mail an den Zielbenutzer gesendet, die ihn darüber informiert, dass seine mobile Telefon-MFA-Methode von einem Administrator hinzugefügt oder entfernt wurde. Standardmäßig ist diese Funktion deaktiviert.

E-Mail von

Absender-E-Mail-Adresse für die optionale Benachrichtigungs-E-Mail. Stammt aus der RealmJoin Tenant-Einstellung RJReport.EmailSender.

ServiceDeskDisplayName

Anzeigename des Service Desks für Benutzerkontaktinformationen (optional). Stammt aus der RealmJoin Tenant-Einstellung RJReport.ServiceDesk_DisplayName.

ServiceDeskEmail

E-Mail-Adresse des Service Desks für Benutzerkontaktinformationen (optional). Stammt aus der RealmJoin Tenant-Einstellung RJReport.ServiceDesk_EMail.

ServiceDeskPhone

Telefonnummer des Service Desks für Benutzerkontaktinformationen (optional). Stammt aus der RealmJoin Tenant-Einstellung RJReport.ServiceDesk_Phone.

LanguageOverride

Überschreibt die für die Benachrichtigungs-E-Mail verwendete Sprache. Zulässige Werte sind 'DE' (Deutsch) oder 'EN' (Englisch). Wenn leer gelassen, wird die Sprache automatisch anhand des Nutzungsorts des Zielbenutzers ermittelt.

Zur Übersicht der Runbook-Referenz zurück