Welke authenticatie- en verificatiemethoden zijn er beschikbaar in Microsoft Entra ID?
Microsoft raadt verificatiemethoden zonder wachtwoord aan, zoals Windows Hello, Wachtwoordsleutels (FIDO2) en de Microsoft Authenticator-app, omdat ze de veiligste aanmeldingservaring bieden. Hoewel een gebruiker zich kan aanmelden met andere veelgebruikte methoden, zoals een gebruikersnaam en wachtwoord, moeten wachtwoorden worden vervangen door veiligere verificatiemethoden.
Met Meervoudige verificatie van Microsoft Entra wordt extra beveiliging toegevoegd voor alleen het gebruik van een wachtwoord wanneer een gebruiker zich aanmeldt. De gebruiker kan aanvullende vormen van verificatie worden gevraagd, zoals het reageren op een pushmelding, een code invoeren van een software- of hardwaretoken of reageren op een sms-bericht of telefoongesprek.
Om de gebruikerservaring voor onboarding te vereenvoudigen en zich te registreren voor zowel MFA als selfservice voor wachtwoordherstel (SSPR), raden we u aan de gecombineerde registratie van beveiligingsgegevens in te schakelen. Om de flexibiliteit te verbeteren, raden we u aan gebruikers te verplichten meerdere verificatiemethoden te registreren. Wanneer een methode niet beschikbaar is voor een gebruiker tijdens het aanmelden of SSPR, kunnen ze de verificatie uitvoeren via een andere methode. Zie Een flexibele strategie voor toegangsbeheer maken in Microsoft Entra ID voor meer informatie.
Hoe elke verificatiemethode werkt
Sommige verificatiemethoden kunnen worden gebruikt als de primaire factor wanneer u zich aanmeldt bij een toepassing of apparaat, bv. een FIDO2-beveiligingssleutel of wachtwoord. Andere verificatiemethoden zijn alleen beschikbaar als secundaire factor wanneer u Meervoudige Verificatie of SSPR van Microsoft Entra gebruikt.
De volgende tabel geeft een overzicht van wanneer een verificatiemethode kan worden gebruikt tijdens een aanmeldingsgebeurtenis:
Wijze | Primaire authenticatie | Secundaire verificatie |
---|---|---|
Windows Hello voor Bedrijven | Ja | MFA* |
Microsoft Authenticator-push | Nee | MFA en SSPR |
Microsoft Authenticator zonder wachtwoord | Ja | Nee* |
Wachtwoordsleutel voor Microsoft Authenticator | Ja | MFA |
Authenticator Lite | Nee | MFA |
Wachtwoordsleutel (FIDO2) | Ja | MFA |
Verificatie op basis van certificaat | Ja | MFA |
OATH-hardwaretokens (preview) | Nee | MFA en SSPR |
OATH-softwaretokens | Nee | MFA en SSPR |
Methoden voor externe verificatie (preview) | Nee | MFA |
Tijdelijke toegangspas (TAP) | Ja | MFA |
Sms | Ja | MFA en SSPR |
Spraakoproep | Nee | MFA en SSPR |
Password | Ja | Nr. |
* Windows Hello voor Bedrijven werkt op zich niet als een stapsgewijze MFA-referentie. Bijvoorbeeld, een MFA-uitdaging van de aanmeldingsfrequentie of SAML-aanvraag met forceAuthn=true. Windows Hello voor Bedrijven kan dienen als een betere MFA-referentie door te worden gebruikt in FIDO2-verificatie. Hiervoor moeten gebruikers zijn geregistreerd voor FIDO2-verificatie.
* Aanmelden zonder wachtwoord kan alleen worden gebruikt voor secundaire verificatie als verificatie op basis van certificaten (CBA) wordt gebruikt voor primaire verificatie. Zie voor meer informatie technische informatie over verificatie op basis van microsoft Entra-certificaten.
Al deze verificatiemethoden kunnen worden geconfigureerd in het Microsoft Entra-beheercentrum en in toenemende mate de Microsoft Graph REST API gebruiken.
Raadpleeg de volgende afzonderlijke conceptuele artikelen voor meer informatie over de werking van elke verificatiemethode:
- Windows Hello voor Bedrijven
- Microsoft Authenticator-app
- Authenticator Lite
- Wachtwoordsleutel (FIDO2)
- Verificatie op basis van certificaat
- OATH-hardwaretokens (preview)
- OATH-softwaretokens
- Methoden voor externe verificatie (preview)
- Tijdelijke toegangspas (TAP)
- Sms-aanmelding en -verificatie
- Verificatie van spraakoproep
- Wachtwoord
Notitie
In Microsoft Entra ID is een wachtwoord vaak een van de primaire verificatiemethoden. U kunt de wachtwoordverificatiemethode niet uitschakelen. Als u een wachtwoord als primaire verificatiefactor gebruikt, verhoogt u de beveiliging van aanmeldingsgebeurtenissen met behulp van Microsoft Entra multi-factor authentication.
In bepaalde scenario's kunnen de volgende aanvullende verificatiemethoden worden gebruikt:
- App-wachtwoorden : gebruikt voor oude toepassingen die geen ondersteuning bieden voor moderne verificatie en kunnen worden geconfigureerd voor Microsoft Entra-meervoudige verificatie per gebruiker.
- Beveiligingsvragen - alleen gebruikt voor SSPR
- Email-adres - alleen gebruikt voor SSPR
Bruikbare en niet-bruikbare methoden
Beheerders kunnen gebruikersverificatiemethoden bekijken in het Microsoft Entra-beheercentrum. Bruikbare methoden worden eerst vermeld, gevolgd door niet-bruikbare methoden.
Elke verificatiemethode kan om verschillende redenen niet bruikbaar worden. Een tijdelijke toegangspas kan bijvoorbeeld verlopen of de FIDO2-beveiligingssleutel mislukt. De portal wordt bijgewerkt om de reden op te geven waarom de methode niet bruikbaar is.
Verificatiemethoden die niet meer beschikbaar zijn vanwege 'Meervoudige verificatie opnieuw registreren vereisen' worden hier ook weergegeven.
Volgende stappen
Zie de zelfstudie voor selfservice voor wachtwoordherstel (SSPR) en Meervoudige Verificatie van Microsoft Entra om aan de slag te gaan.
Zie Hoe selfservice voor wachtwoordherstel van Microsoft Entra werkt voor meer informatie over SSPR-concepten.
Zie Hoe Meervoudige Verificatie van Microsoft Entra werkt voor meer informatie over MFA-concepten.
Meer informatie over het configureren van verificatiemethoden met behulp van de Microsoft Graph REST API.
Als u wilt controleren welke verificatiemethoden worden gebruikt, raadpleegt u de analyse van de verificatiemethode voor meervoudige verificatie van Microsoft Entra met PowerShell.