Plan een Azure Active Directory Multi-Factor Authentication implementatie

Azure Active Directory (Azure AD) Multi-Factor Authentication helpt de toegang tot gegevens en toepassingen te beveiligen. Dit biedt een bijkomende beveiligingslaag met een tweede vorm van verificatie. Organisaties kunnen de meervoudige verificatie (MFA) met voorwaardelijke toegang inschakelen om ervoor te zorgen dat de oplossing voldoet aan hun specifieke behoeften.

Deze implementatiehandleiding geeft aan hoe u een Azure AD Multi-Factor Authentication kunt implementeren en plannen.

Vereisten voor het implementeren van Azure AD Multi-Factor Authentication

Voor u de implementatie start, moet u ervoor zorgen dat u voldoet aan de volgende vereisten voor uw relevante scenario's.

Scenario Vereiste
Cloud-only identiteitsomgeving met moderne verificatie Geen vereiste taken
Hybride identiteitsscenario's Implementeer Azure AD Connect en synchroniseer de gebruikersidentiteiten tussen de on-premises Active Directory-domein services (AD DS) en Azure AD.
On-premises verouderde toepassingen gepubliceerd voor cloudtoegang Implementeer de Azure AD toepassingsproxy

Kies de verificatiemethoden voor MFA

Veel methoden kunnen worden gebruikt voor een twee-factor-verificatie. U kunt kiezen uit de lijst met beschikbare verificatiemethoden, waarbij u elke methode evalueert op het gebied van beveiliging, bruikbaarheid en beschikbaarheid.

Belangrijk

U moet altijd meer dan één MFA methode ondersteunen, zodat gebruikers een back-up-optie hebben als hun primaire methode niet beschikbaar is. Deze methoden zijn onder andere:

Bij het kiezen van verificatiemethoden die in uw tenant worden gebruikt, moet u de beveiliging en bruikbaarheid van deze methoden overwegen:

De juiste verificatiemethode kiezen

Raadpleeg de volgende bronnen voor meer informatie over de kracht en beveiliging van deze methoden en hoe ze werken:

U kunt dit PowerShell-script gebruiken om de MFA-configuraties van gebruikers te analyseren en de juiste MFA-verificatiemethode voor te stellen.

Gebruik de Microsoft Authenticator-app voor de beste flexibiliteit en bruikbaarheid. Deze verificatiemethode biedt een optimale gebruikerservaring en meerdere modi, zoals zonder wachtwoord, MFA-pushmeldingen en OATH-codes. De Microsoft Authenticator-app voldoet ook aan de Authenticator Assurance Level 2 vereisten van het National Institute of Standards and Technology (NIST).

U kunt de verificatiemethoden beheren die beschikbaar zijn in uw tenant. U kunt bijvoorbeeld een aantal van de minst veilige methoden blokkeren, zoals SMS.

Verificatiemethode Beheren van Bereik bepalen
Microsoft Authenticator (pushmelding en aanmelding zonder wachtwoord) Beleid voor MFA-instellingen of verificatiemethoden Aanmelding zonder wachtwoord van authenticator kan worden afgestemd op gebruikers en groepen
FIDO2-beveiligingssleutel Beleid voor verificatiemethoden Kan worden ingesteld op gebruikers en groepen
Software- of hardware-OATH-tokens MFA-instellingen
Sms-verificatie MFA-instellingen
Sms-aanmelding beheren voor primaire verificatie in verificatiebeleid
Sms-aanmelding kan worden afgestemd op gebruikers en groepen.
Spraakoproepen Beleid voor verificatiemethoden

Beleidsregels plannen voor de voorwaardelijke toegang

Azure AD Multi-Factor Authentication wordt opgelegd met beleidsregels voor de voorwaardelijke toegang. Met deze beleidsregels kunt u, indien nodig, gebruikers vragen de MFA uit te voeren om veiligheidsredenen en uit de buurt te blijven van de gebruikers als het niet nodig is.

Processtroom Conceptuele voorwaardelijke toegang

In de Azure Portal configureert u beleidsregels voor de voorwaardelijke toegang in Azure Active Directory>Security>Voorwaardelijke toegang.

Raadpleeg voor meer informatie over het opstellen van Voorwaardelijke toegang beleidsregels beleid het Beleid voor voorwaardelijke toegang om de Azure AD Multi-Factor Authentication te vragen wanneer een gebruiker zich aanmeldt bij de Azure Portal. Dit helpt u bij het volgende:

  • vertrouwd raken met de gebruikersinterface
  • een eerste indruk krijgen van hoe de voorwaardelijke toegang werkt

Raadpleeg het Implementatieplan van de voorwaardelijke toegang voor end-to-end-richtlijnen bij de implementatie van de Azure AD voorwaardelijke toegang.

Algemene beleidsregels voor Azure AD Multi-Factor Authentication

Algemene gebruiksscenario's waarbij Azure AD Multi-Factor Authentication wordt vereist, zijn onder andere:

Benoemde locaties

Voor het beheer van uw beleid voor voorwaardelijke toegang biedt de locatievoorwaarde van een beleid voor voorwaardelijke toegang u de mogelijkheid de instellingen voor toegangsbeheer te koppelen aan de netwerklocaties van uw gebruikers. We raden u aan benoemde locaties te gebruiken, zodat u logische groeperingen van IP-adresbereiken of landen en regio's kunt maken. Hiermee maakt u een beleid voor alle apps waarmee aanmelding vanaf die benoemde locatie wordt geblokkeerd. Zorg ervoor dat u uw beheerders vrijstelt van dit beleid.

Beleid op basis van risico's

Als uw organisatie Azure AD Identity Protection gebruikt om risicosignalen te detecteren, kunt u overwegen het beleid op basis van risico's te gebruiken in plaats van benoemde locaties. Beleidsregels kunnen worden gemaakt om wachtwoordwijzigingen af te dwingen wanneer er een bedreiging voor een gecompromitteerde identiteit is of MFA vereisen wanneer een aanmelding als risico wordt beschouwd, zoals gelekte referenties, aanmeldingen van anonieme IP-adressen en meer.

Het risicobeleid omvat:

Gebruikers converteren van MFA per gebruiker naar MFA op basis van voorwaardelijke toegang

Als uw gebruikers zijn ingeschakeld met per-gebruik ingeschakelde en afgedwongen MFA kan de volgende PowerShell u helpen bij het converteren naar MFA op basis van voorwaardelijke toegang.

Voer deze PowerShell uit in een ISE-venster of sla deze op als een .PS1-bestand om het lokaal uit te voeren. De bewerking kan alleen worden uitgevoerd met de MSOnline-module.

# Sets the MFA requirement state
function Set-MfaState {
    [CmdletBinding()]
    param(
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $ObjectId,
        [Parameter(ValueFromPipelineByPropertyName=$True)]
        $UserPrincipalName,
        [ValidateSet("Disabled","Enabled","Enforced")]
        $State
    )
    Process {
        Write-Verbose ("Setting MFA state for user '{0}' to '{1}'." -f $ObjectId, $State)
        $Requirements = @()
        if ($State -ne "Disabled") {
            $Requirement =
                [Microsoft.Online.Administration.StrongAuthenticationRequirement]::new()
            $Requirement.RelyingParty = "*"
            $Requirement.State = $State
            $Requirements += $Requirement
        }
        Set-MsolUser -ObjectId $ObjectId -UserPrincipalName $UserPrincipalName `
                     -StrongAuthenticationRequirements $Requirements
    }
}
# Disable MFA for all users
Get-MsolUser -All | Set-MfaState -State Disabled

Levensduur van gebruikerssessies plannen

Tijdens de planning van de implementatie van uw meervoudige verificatie is het belangrijk stil te staan bij hoe vaak u uw gebruikers de vraag wilt stellen. Gebruikers vragen om referenties lijkt vaak verstandig, maar het kan een averechts effect hebben. Als gebruikers getraind zijn zonder na te denken hun referenties in te voeren, kunnen ze deze per ongeluk opgeven bij een kwaadwillende prompt. Azure AD heeft meerdere instellingen die bepalen hoe vaak u opnieuw moet verifiëren. Krijg inzicht in de behoeften van uw bedrijf en gebruikers en configureer instellingen die het beste evenwicht bieden voor uw omgeving.

We raden u aan om apparaten met primaire vernieuwingstokens (PRT) te gebruiken voor een verbeterde ervaring van eindgebruikers en de sessielevensduur te verminderen met het aanmeldingsfrequentiebeleid alleen voor specifieke bedrijfsgebruiksscenario's.

Raadpleeg voor meer informatie Verificatieprompts optimaliseren en inzicht in de levensduur van de sessie voor Azure AD Multi-Factor Authentication.

Gebruikersregistratie plannen

Een belangrijke stap in elke implementatie van meervoudige verificatie is het registreren van gebruikers voor het gebruik van Azure AD Multi-Factor Authentication. Bij verificatiemethoden zoals Spraak en SMS is een voorafgaande registratie mogelijk, terwijl voor andere methoden zoals de Authenticator-app is een tussenkomst vereist van de gebruiker. Beheerders moeten bepalen hoe gebruikers hun methoden registreren.

Gecombineerde registratie voor SSPR en Azure AD MFA

Notitie

Vanaf 15 augustus 2020 worden alle nieuwe Azure AD tenants automatisch ingeschakeld voor de gecombineerde registratie. Tenants die na deze datum zijn gemaakt, kunnen de verouderde registratiewerkstromen niet gebruiken. Vanaf 30 september 2022 worden alle bestaande Azure AD tenants automatisch ingeschakeld voor de gecombineerde registratie.

We raden organisaties aan de gecombineerde registratie te gebruiken voor Azure AD Multi-Factor Authentication en selfservice voor wachtwoordherstel (SSPR). Met SSPR kunnen gebruikers hun wachtwoord op een veilige manier opnieuw instellen met dezelfde methoden die ze gebruiken voor Azure AD Multi-Factor Authentication. De gecombineerde registratie omvat één stap voor eindgebruikers. Raadpleeg de concepten voor de registratie van gecombineerde beveiligingsinformatie om de functionaliteit en ervaring van eindgebruikers te begrijpen.

Het is essentieel gebruikers te informeren over toekomstige wijzigingen, registratievereisten en eventuele benodigde gebruikersacties. Wij verstrekken communicatiesjablonen en gebruikersdocumentatie om uw gebruikers voor te bereiden op de nieuwe ervaring en bij te dragen aan een succesvolle implementatie. Gebruikers naar https://myprofile.microsoft.com sturen voor de registratie door de koppeling Beveiligingsgegevens te selecteren op die pagina.

Registratie met Identity Protection

Azure AD Identity Protection draagt zowel een registratiebeleid voor als de geautomatiseerde risicodetectie en herstelbeleid bij aan de Azure AD Multi-Factor Authentication. Beleidsregels kunnen worden gemaakt om wachtwoordwijzigingen af te dwingen wanneer er een bedreiging is voor een aangetaste identiteit of MFA vereisen wanneer een aanmelding als riskant wordt beschouwd. Als u Azure AD Identity Protection gebruikt, moet u het Azure AD MFA-registratiebeleid configureren om uw gebruikers te vragen zich te registreren wanneer zij zich de volgende keer interactief aanmelden.

Registratie zonder Identity Protection

Als u geen licenties hebt die Azure AD Identity Protection inschakelen, wordt gebruikers gevraagd om zich te registreren wanneer MFA de volgende keer is vereist bij het aanmelden. Als u gebruikers wilt verplichten MFA te gebruiken, kunt u de beleidsregels voor voorwaardelijke toegang gebruiken en zich toespitsen op veelgebruikte toepassingen zoals HR-systemen. Als het wachtwoord van een gebruiker is gecompromitteerd, kan het worden gebruikt om zich te registreren voor MFA en kan men het account in beheer nemen. Daarom raden we u aan het beveiligingsregistratieproces te beveiligen met beleidsregels voor de voorwaardelijke toegang dat vertrouwde apparaten en locaties vereist. U kunt het proces verder beveiligen door ook een tijdelijke toegangspas te vereisen. Een tijdgebonden wachtwoordcode uitgegeven door een beheerder die voldoet aan sterke verificatievereisten en kan worden gebruikt voor het onboarden van andere verificatiemethoden, waaronder methoden zonder wachtwoord.

De beveiliging van geregistreerde gebruikers verhogen

Als u gebruikers hebt geregistreerd voor MFA met sms- of spraakoproepen, kunt u ze verplaatsen naar veiligere methoden, zoals de Microsoft Authenticator-app. Microsoft biedt nu een openbare preview van functionaliteit waarmee u gebruikers kunt vragen de Microsoft Authenticator-app in te stellen tijdens het aanmelden. U kunt deze prompts instellen per groep, bepalen wie wordt gevraagd, zodat de gebruikers kunnen worden verplaatst naar de veiligere methode in het kader van een gerichte campagne.

Herstelscenario's plannen

Zoals eerder vermeld, moet u ervoor zorgen dat gebruikers zijn geregistreerd voor meer dan één MFA-methode, zodat ze een back-up hebben als een bepaalde methode niet beschikbaar is. Als de gebruiker geen back-upmethode beschikbaar heeft, kunt u:

  • hen een Tijdelijke toegangspas geven zodat ze hun eigen verificatiemethoden kunnen beheren. U kunt ook een tijdelijke toegangspas verstrekken om de tijdelijke toegang tot resources in te schakelen.
  • hun methoden bijwerken als beheerder. Selecteer hiervoor de gebruiker in de Azure Portal en selecteer vervolgens Verificatiemethoden en werk hun methoden bij. Gebruikerscommunicatie

Integratie met on-premises systemen plannen

Toepassingen die rechtstreeks worden geverifieerd met Azure AD en moderne verificatie (WS-Fed, SAML, OAuth, OpenID Connect) kunnen het beleid voor voorwaardelijke toegang gebruiken. Sommige verouderde en on-premises toepassingen verifiëren niet rechtstreeks bij Azure AD en vereisen bijkomende stappen om Azure AD Multi-Factor Authentication te gebruiken. U kunt deze integreren met de Azure AD toepassingsproxy- of netwerkbeleidsservices.

Integreren met AD FS-resources

Wij raden aan toepassingen te migreren die zijn beveiligd met Active Directory Federation Services (AD FS) naar Azure AD. Als u echter niet klaar bent om deze te migreren naar Azure AD, kunt u de Azure Multi-Factor Authentication-adapter gebruiken met AD FS 2016 of hoger.

Als uw organisatie is gefedereerd met Azure AD, kunt u Azure AD Multi-Factor Authentication configureren als verificatieprovider met AD FS-resources zowel on-premises als in de cloud.

RADIUS-clients en Azure AD Multi-Factor Authentication

Voor toepassingen die RADIUS-verificatie gebruiken, raden we u aan clienttoepassingen te verplaatsen naar moderne protocollen zoals SAML, Open ID Connect of OAuth op Azure AD. Als de toepassing niet kan worden bijgewerkt, kunt u Network Policy Server (NPS) implementeren met de Azure MFA-extensie. De Network Policy Server (NPS) extensie werkt als een adapter tussen RADIUS-toepassingen en Azure AD MFA om een tweede verificatiefactor te bieden.

Veelgebruikte integraties

Veel leveranciers ondersteunen nu de SAML-verificatie voor hun toepassingen. Indien mogelijk raden we u aan deze toepassingen te federeren met Azure AD en MFA op te leggen via de voorwaardelijke toegang. Als uw leverancier geen moderne verificatie ondersteunt, kunt u de NPS-extensie gebruiken. Algemene RADIUS client-integraties zijn toepassingen zoals Extern bureaublad-gateways en VPN-servers.

Andere zijn onder andere:

  • Citrix Gateway

    Citrix Gateway ondersteunt zowel de RADIUS- als NPS-extensie integratie, en een SAML-integratie.

  • Cisco VPN

    • Cisco VPN ondersteunt zowel RADIUS- als SAML-verificatie voor SSO.
    • Als u overstapt van RADIUS-verificatie naar SAML kunt u het Cisco VPN integreren zonder de NPS-extensie te implementeren.
  • Alle VPN's

Azure AD Multi-Factor Authentication implementeren

Uw Azure AD Multi-Factor Authentication-implementatieplan moet een testimplementatie omvatten, gevolgd door implementatiegolven die binnen uw ondersteuningscapaciteit vallen. Begin met de implementatie van uw beleid voor voorwaardelijke toegang toe te passen op een kleine groep testgebruikers. Nadat u het effect op de testgebruikers, het gebruikte proces en het registratiegedrag hebt geëvalueerd, kunt u meer groepen toevoegen aan het beleid of meer gebruikers toevoegen aan de bestaande groepen.

Volg de onderstaande stappen:

  1. Voldoen aan de noodzakelijke vereisten
  2. Gekozen verificatiemethoden configureren
  3. Uw beleid voor voorwaardelijke toegang configureren
  4. Instellingen voor de levensduur van sessies configureren
  5. Het beleid voor Azure AD MFA-registratie configureren

Azure AD Multi-Factor Authentication beheren

Deze sectie bevat informatie over de rapportage en probleemoplossing voor Azure AD Multi-Factor Authentication.

Rapportage en controle

Azure AD rapporten bevat die technische en zakelijke inzichten bieden, volgt u de voortgang van uw implementatie en controleert u of uw gebruikers succesvol zijn bij het aanmelden met MFA. Zorg ervoor dat eigenaren van uw bedrijf en technische toepassingen eigenaar worden van deze rapporten en deze gebruiken op basis van de vereisten van uw organisatie.

U kunt de registratie en het gebruik van de verificatiemethoden in uw organisatie controleren met het Verificatiemethoden activiteiten-dashboard. Dit biedt u inzicht in de methoden die worden geregistreerd en hoe ze worden gebruikt.

Aanmeldingsrapport om MFA-gebeurtenissen te controleren

De Azure AD aanmeldingsrapporten bevatten verificatiegegevens voor gebeurtenissen wanneer een gebruiker om MFA wordt gevraagd en of er beleid voor voorwaardelijke toegang wordt gebruikt. U kunt PowerShell ook gebruiken voor de rapportage over gebruikers die zijn geregistreerd voor Azure AD Multi-Factor Authentication.

NPS-extensie en AD FS-logboeken kunnen worden weergegeven vanuit het Beveiliging >MFA>activiteitrapport . Opname van deze activiteit in de aanmeldingslogboeken is momenteel in preview.

Raadpleeg Azure AD Multi-Factor Authentication gebeurtenissen controleren voor meer informatie en bijkomende Azure AD Multi-Factor Authentication rapporten.

Azure AD Multi-Factor Authentication probleemoplossing

Raadpleeg Azure AD Multi-Factor Authentication probleemoplossing voor algemene problemen.

Volgende stappen

Andere identiteitsfuncties implementeren