Welke authenticatie- en verificatiemethoden zijn er beschikbaar in Azure Active Directory?

Microsoft raadt verificatiemethoden zonder wachtwoord aan, zoals Windows Hello, FIDO2-beveiligingssleutels en de Microsoft Authenticator-app, omdat ze de veiligste aanmeldingservaring bieden. Hoewel een gebruiker zich kan aanmelden met andere veelgebruikte methoden, zoals een gebruikersnaam en wachtwoord, moeten wachtwoorden worden vervangen door veiligere verificatiemethoden.

Afbeelding van de sterke punten en voorkeursverificatiemethoden in Azure AD.

Azure AD Multi-Factor Authentication (MFA) voegt extra beveiliging toe, waarbij alleen een wachtwoord wordt gebruikt wanneer een gebruiker zich aanmeldt. De gebruiker kan worden gevraagd om aanvullende vormen van verificatie, zoals reageren op een pushmelding, een code invoeren van een software- of hardwaretoken of reageren op een sms- of telefoongesprek.

Om de gebruikerservaring voor onboarding te vereenvoudigen en zich te registreren voor zowel MFA als selfservice voor wachtwoordherstel (SSPR), raden we u aan gecombineerde registratie van beveiligingsgegevens in te schakelen. Voor tolerantie raden we u aan dat gebruikers meerdere verificatiemethoden moeten registreren. Wanneer een methode niet beschikbaar is voor een gebruiker tijdens het aanmelden of SSPR, kunnen ze ervoor kiezen om te verifiëren met een andere methode. Zie Een flexibele strategie voor toegangsbeheer maken in Azure AD voor meer informatie.

Hier volgt een video die we hebben gemaakt om u te helpen de beste verificatiemethode te kiezen om uw organisatie veilig te houden.

Sterkte en beveiliging van verificatiemethode

Wanneer u functies zoals Azure AD Multi-Factor Authentication in uw organisatie implementeert, controleert u de beschikbare verificatiemethoden. Kies de methoden die voldoen aan uw vereisten in termen van beveiliging, bruikbaarheid en beschikbaarheid. Gebruik waar mogelijk verificatiemethoden met het hoogste beveiligingsniveau.

De volgende tabel bevat een overzicht van de beveiligingsoverwegingen voor de beschikbare verificatiemethoden. Beschikbaarheid is een indicatie van de gebruiker die de verificatiemethode kan gebruiken, niet van de beschikbaarheid van de service in Azure AD:

Verificatiemethode Beveiliging Bruikbaarheid Beschikbaarheid
Windows Hello voor Bedrijven Hoog Hoog Hoog
Microsoft Authenticator-app Hoog Hoog Hoog
FIDO2-beveiligingssleutel Hoog Hoog Hoog
Verificatie op basis van certificaten (preview) Hoog Hoog Hoog
OATH-hardwaretokens (preview) Gemiddeld Gemiddeld Hoog
OATH-softwaretokens Gemiddeld Gemiddeld Hoog
Sms Normaal Hoog Gemiddeld
Spraak Gemiddeld Gemiddeld Gemiddeld
Wachtwoord Laag Hoog Hoog

Bekijk onze blogberichten voor de meest recente informatie over beveiliging:

Tip

Voor flexibiliteit en bruikbaarheid raden we u aan de Microsoft Authenticator-app te gebruiken. Deze verificatiemethode biedt de beste gebruikerservaring en meerdere modi, zoals wachtwoordloze, MFA-pushmeldingen en OATH-codes.

Hoe elke verificatiemethode werkt

Sommige verificatiemethoden kunnen worden gebruikt als de primaire factor wanneer u zich aanmeldt bij een toepassing of apparaat, zoals het gebruik van een FIDO2-beveiligingssleutel of een wachtwoord. Andere verificatiemethoden zijn alleen beschikbaar als secundaire factor wanneer u Azure AD Multi-Factor Authentication of SSPR gebruikt.

In de volgende tabel wordt beschreven wanneer een verificatiemethode kan worden gebruikt tijdens een aanmeldingsgebeurtenis:

Methode Primaire authenticatie Secundaire verificatie
Windows Hello voor Bedrijven Yes MFA*
Microsoft Authenticator-app Yes MFA en SSPR
FIDO2-beveiligingssleutel Yes MFA
Verificatie op basis van certificaten (preview) Ja Nee
OATH-hardwaretokens (preview) No MFA en SSPR
OATH-softwaretokens No MFA en SSPR
Sms Yes MFA en SSPR
Spraakoproep No MFA en SSPR
Wachtwoord Yes

* Windows Hello voor Bedrijven fungeert zelf niet als een stapsgewijze MFA-referentie. Een MFA-uitdaging van aanmeldingsfrequentie of SAML-aanvraag met forceAuthn=true. Windows Hello voor Bedrijven kan fungeren als een stapsgewijze MFA-referentie door te worden gebruikt in FIDO2-verificatie. Hiervoor moeten gebruikers zijn ingeschakeld voor FIDO2-verificatie.

Al deze verificatiemethoden kunnen worden geconfigureerd in de Azure Portal en in toenemende mate gebruikmaken van de Microsoft Graph REST API.

Zie de volgende afzonderlijke conceptuele artikelen voor meer informatie over de werking van elke verificatiemethode:

Notitie

In Azure AD is een wachtwoord vaak een van de primaire verificatiemethoden. U kunt de verificatiemethode voor wachtwoorden niet uitschakelen. Als u een wachtwoord als primaire verificatiefactor gebruikt, verhoogt u de beveiliging van aanmeldingsgebeurtenissen met behulp van Azure AD Multi-Factor Authentication.

In bepaalde scenario's kunnen de volgende aanvullende verificatiemethoden worden gebruikt:

  • App-wachtwoorden: gebruikt voor oude toepassingen die geen moderne verificatie ondersteunen en kunnen worden geconfigureerd voor Azure AD Multi-Factor Authentication per gebruiker.
  • Beveiligingsvragen - alleen gebruikt voor SSPR
  • Email-adres - alleen gebruikt voor SSPR

Volgende stappen

Zie de zelfstudie voor SSPR (self-service voor wachtwoordherstel) en Azure AD Multi-Factor Authentication om aan de slag te gaan.

Zie Hoe Azure AD selfservice voor wachtwoordherstel werkt voor meer informatie over SSPR-concepten.

Zie Hoe Azure AD Multi-Factor Authentication werkt voor meer informatie over MFA-concepten.

Meer informatie over het configureren van verificatiemethoden met behulp van de Microsoft Graph REST API.

Als u wilt controleren welke verificatiemethoden worden gebruikt, raadpleegt u Azure AD Analyse van multi-Factor Authentication-verificatiemethoden met PowerShell.