Espacio de nombres: microsoft.graph.security
Realice acciones como revocar cuentas y forzar el restablecimiento de contraseña para las cuentas de identidad que se observan en Microsoft Defender for Identity. Esta acción permite leer y realizar acciones de seguridad de identidad en nombre de la identidad que ha iniciado sesión.
Esta API está disponible en las siguientes implementaciones nacionales de nube.
| Servicio global |
Gobierno de EE. UU. L4 |
Us Government L5 (DOD) |
China operada por 21Vianet |
| ✅ |
❌ |
❌ |
❌ |
Permisos
Se requiere uno de los siguientes permisos para llamar a esta API. Elija el permiso o los permisos marcados como con privilegios mínimos para esta API. Use un permiso o permisos con privilegios superiores solo si la aplicación lo requiere. Para obtener más información sobre los permisos delegados y de aplicación, consulte Tipos de permisos. Para obtener más información sobre estos permisos, consulte la referencia de permisos.
| Tipo de permiso |
Permisos (con privilegios mínimos enumerados en primer lugar) |
| Delegado (cuenta profesional o educativa) |
SecurityIdentitiesActions.ReadWrite.All |
| Delegado (cuenta personal de Microsoft) |
No admitida. |
| Aplicación |
SecurityIdentitiesActions.ReadWrite.All |
Importante
Para el acceso delegado mediante cuentas profesionales o educativas, al usuario que ha iniciado sesión se le debe asignar un rol de Microsoft Entra compatible o un rol personalizado que conceda los permisos necesarios para esta operación.
Administrador de seguridad es el rol con privilegios mínimos admitido para esta operación.
Solicitud HTTP
POST /security/identities/identityAccounts/{identityAccountsId}/invokeAction
| Nombre |
Descripción |
| Authorization |
{token} de portador. Obligatorio. Obtenga más información sobre la autenticación y la autorización. |
| Content-Type |
application/json. Obligatorio. |
Cuerpo de la solicitud
En el cuerpo de la solicitud, proporcione una representación JSON de los parámetros.
En la tabla siguiente se enumeran los parámetros necesarios al llamar a esta acción.
| Parámetro |
Tipo |
Descripción |
| accountId |
Cadena |
Identificador de la cuenta en la que se va a realizar la acción. |
| acción |
microsoft.graph.security.action |
Tipo de acción que se va a realizar en la cuenta. Los valores posibles son: disable, enable, forcePasswordReset, revokeAllSessions, requireUserToSignInAgain, markUserAsCompromised. |
| identityProvider |
microsoft.graph.security.identityProvider |
Proveedor de identidades asociado a la cuenta. Los valores posibles son: entraID, activeDirectory, okta. |
En la tabla siguiente se muestran los proveedores de identidades admitidos para cada tipo de valor de acción :
| Valor de acción |
Description |
Proveedores de identidades admitidos |
| Deshabilitar |
Deshabilite la cuenta. La cuenta no puede autenticarse. Si la cuenta ha iniciado sesión recientemente, no tiene acceso a los recursos. |
activeDirectory, okta |
| Habilitación |
Habilite la cuenta. |
activeDirectory, okta |
| ForcePasswordReset |
Forzar el restablecimiento de contraseña de la cuenta. |
activeDirectory |
| RevokeAllSessions |
Revoque todas las sesiones activas de la cuenta. |
okta |
Respuesta
Si se ejecuta correctamente, esta acción devuelve un 200 OK código de respuesta y un invokeActionResult en el cuerpo de la respuesta.
Ejemplos
Solicitud
En el ejemplo siguiente se muestra la solicitud.
POST https://graph.microsoft.com/v1.0/security/identities/identityAccounts/0104216-0539-4838-88b1-55baafdc296b/invokeAction
Content-Type: application/json
{
"accountId": "256db173-930a-4991-9061-0d51a9a93ba5",
"action": "disable",
"identityProvider": "activeDirectory"
}
// Code snippets are only available for the latest version. Current version is 5.x
// Dependencies
using Microsoft.Graph.Security.Identities.IdentityAccounts.Item.MicrosoftGraphSecurityInvokeAction;
using Microsoft.Graph.Models.Security;
var requestBody = new InvokeActionPostRequestBody
{
AccountId = "256db173-930a-4991-9061-0d51a9a93ba5",
Action = ActionObject.Disable,
IdentityProvider = IdentityProvider.ActiveDirectory,
};
// To initialize your graphClient, see https://dotnet.territoriali.olinfo.it/en-us/graph/sdks/create-client?from=snippets&tabs=csharp
var result = await graphClient.Security.Identities.IdentityAccounts["{identityAccounts-id}"].MicrosoftGraphSecurityInvokeAction.PostAsync(requestBody);
Para obtener más información sobre cómo agregar el SDK al proyecto y crear una instancia de authProvider, consulte la documentación del SDK.
// Code snippets are only available for the latest major version. Current major version is $v1.*
// Dependencies
import (
"context"
msgraphsdk "github.com/microsoftgraph/msgraph-sdk-go"
graphsecurity "github.com/microsoftgraph/msgraph-sdk-go/security"
graphmodelssecurity "github.com/microsoftgraph/msgraph-sdk-go/models/security"
//other-imports
)
requestBody := graphsecurity.NewInvokeActionPostRequestBody()
accountId := "256db173-930a-4991-9061-0d51a9a93ba5"
requestBody.SetAccountId(&accountId)
action := graphmodels.DISABLE_ACTION
requestBody.SetAction(&action)
identityProvider := graphmodels.ACTIVEDIRECTORY_IDENTITYPROVIDER
requestBody.SetIdentityProvider(&identityProvider)
// To initialize your graphClient, see https://dotnet.territoriali.olinfo.it/en-us/graph/sdks/create-client?from=snippets&tabs=go
microsoftGraphSecurityInvokeAction, err := graphClient.Security().Identities().IdentityAccounts().ByIdentityAccountsId("identityAccounts-id").MicrosoftGraphSecurityInvokeAction().Post(context.Background(), requestBody, nil)
Para obtener más información sobre cómo agregar el SDK al proyecto y crear una instancia de authProvider, consulte la documentación del SDK.
// Code snippets are only available for the latest version. Current version is 6.x
GraphServiceClient graphClient = new GraphServiceClient(requestAdapter);
com.microsoft.graph.security.identities.identityaccounts.item.microsoftgraphsecurityinvokeaction.InvokeActionPostRequestBody invokeActionPostRequestBody = new com.microsoft.graph.security.identities.identityaccounts.item.microsoftgraphsecurityinvokeaction.InvokeActionPostRequestBody();
invokeActionPostRequestBody.setAccountId("256db173-930a-4991-9061-0d51a9a93ba5");
invokeActionPostRequestBody.setAction(com.microsoft.graph.models.security.Action.Disable);
invokeActionPostRequestBody.setIdentityProvider(com.microsoft.graph.models.security.IdentityProvider.ActiveDirectory);
var result = graphClient.security().identities().identityAccounts().byIdentityAccountsId("{identityAccounts-id}").microsoftGraphSecurityInvokeAction().post(invokeActionPostRequestBody);
Para obtener más información sobre cómo agregar el SDK al proyecto y crear una instancia de authProvider, consulte la documentación del SDK.
const options = {
authProvider,
};
const client = Client.init(options);
const invokeActionResult = {
accountId: '256db173-930a-4991-9061-0d51a9a93ba5',
action: 'disable',
identityProvider: 'activeDirectory'
};
await client.api('/security/identities/identityAccounts/0104216-0539-4838-88b1-55baafdc296b/invokeAction')
.post(invokeActionResult);
Para obtener más información sobre cómo agregar el SDK al proyecto y crear una instancia de authProvider, consulte la documentación del SDK.
<?php
use Microsoft\Graph\GraphServiceClient;
use Microsoft\Graph\Generated\Security\Identities\IdentityAccounts\Item\MicrosoftGraphSecurityInvokeAction\InvokeActionPostRequestBody;
use Microsoft\Graph\Generated\Models\Security\Action;
use Microsoft\Graph\Generated\Models\Security\IdentityProvider;
$graphServiceClient = new GraphServiceClient($tokenRequestContext, $scopes);
$requestBody = new InvokeActionPostRequestBody();
$requestBody->setAccountId('256db173-930a-4991-9061-0d51a9a93ba5');
$requestBody->setAction(new Action('disable'));
$requestBody->setIdentityProvider(new IdentityProvider('activeDirectory'));
$result = $graphServiceClient->security()->identities()->identityAccounts()->byIdentityAccountsId('identityAccounts-id')->microsoftGraphSecurityInvokeAction()->post($requestBody)->wait();
Para obtener más información sobre cómo agregar el SDK al proyecto y crear una instancia de authProvider, consulte la documentación del SDK.
Import-Module Microsoft.Graph.Security
$params = @{
accountId = "256db173-930a-4991-9061-0d51a9a93ba5"
action = "disable"
identityProvider = "activeDirectory"
}
Invoke-MgInvokeSecurityIdentityAccountAction -IdentityAccountsId $identityAccountsId -BodyParameter $params
Para obtener más información sobre cómo agregar el SDK al proyecto y crear una instancia de authProvider, consulte la documentación del SDK.
# Code snippets are only available for the latest version. Current version is 1.x
from msgraph import GraphServiceClient
from msgraph.generated.security.identities.identityaccounts.item.microsoft_graph_security_invoke_action.invoke_action_post_request_body import InvokeActionPostRequestBody
from msgraph.generated.models.action import Action
from msgraph.generated.models.identity_provider import IdentityProvider
# To initialize your graph_client, see https://dotnet.territoriali.olinfo.it/en-us/graph/sdks/create-client?from=snippets&tabs=python
request_body = InvokeActionPostRequestBody(
account_id = "256db173-930a-4991-9061-0d51a9a93ba5",
action = Action.Disable,
identity_provider = IdentityProvider.ActiveDirectory,
)
result = await graph_client.security.identities.identity_accounts.by_identity_accounts_id('identityAccounts-id').microsoft_graph_security_invoke_action.post(request_body)
Para obtener más información sobre cómo agregar el SDK al proyecto y crear una instancia de authProvider, consulte la documentación del SDK.
Respuesta
En el ejemplo siguiente se muestra la respuesta.
Nota: Se puede acortar el objeto de respuesta que se muestra aquí para mejorar la legibilidad.
HTTP/1.1 200 OK
Content-Type: application/json
{
"value":
{
"accountId": "256db173-930a-4991-9061-0d51a9a93ba5",
"action": "disable",
"provider": "activeDirectory",
"correlationId": "ed2f052b-2a01-4cd9-acb3-f6145f83e1a5"
}
}
Nota:
Las acciones relacionadas con Entra id. no se tratan en el ámbito actual.