Hoe de sterkte van verificatie voor voorwaardelijke toegang werkt
In dit onderwerp wordt uitgelegd hoe de sterkte van voorwaardelijke toegangsverificatie kan beperken welke verificatiemethoden toegang hebben tot een resource.
Hoe verificatiesterkte werkt met het beleid voor verificatiemethoden
Er zijn twee beleidsregels die bepalen welke verificatiemethoden kunnen worden gebruikt voor toegang tot resources. Als een gebruiker is ingeschakeld voor een verificatiemethode in beide beleidsregels, kan deze zich aanmelden met die methode.
Beleid voor beveiligingsverificatiemethoden>>is een modernere manier om verificatiemethoden voor specifieke gebruikers en groepen te beheren. U kunt gebruikers en groepen opgeven voor verschillende methoden. U kunt ook parameters configureren om te bepalen hoe een methode kan worden gebruikt.
Meervoudige verificatie>voor beveiliging>Aanvullende cloudgebaseerde meervoudige verificatie-instellingen is een verouderde manier om meervoudige verificatiemethoden te beheren voor alle gebruikers in de tenant.
Gebruikers kunnen zich registreren voor verificatiemethoden waarvoor ze zijn ingeschakeld. Een beheerder kan ook het apparaat van een gebruiker configureren met een methode, zoals verificatie op basis van certificaten.
Hoe een beleid voor verificatiesterkte wordt geëvalueerd tijdens het aanmelden
Het beleid voor verificatiesterkte voor voorwaardelijke toegang bepaalt welke methoden kunnen worden gebruikt. Microsoft Entra ID controleert het beleid tijdens het aanmelden om de toegang van de gebruiker tot de resource te bepalen. Een beheerder configureert bijvoorbeeld een beleid voor voorwaardelijke toegang met een aangepaste verificatiesterkte waarvoor een wachtwoordsleutel (FIDO2-beveiligingssleutel) of wachtwoord + tekstbericht is vereist. De gebruiker heeft toegang tot een resource die door dit beleid wordt beveiligd.
Tijdens het aanmelden worden alle instellingen gecontroleerd om te bepalen welke methoden zijn toegestaan, welke methoden worden geregistreerd en welke methoden vereist zijn voor het beleid voor voorwaardelijke toegang. Als u zich wilt aanmelden, moet de methode zijn toegestaan, geregistreerd door de gebruiker (vóór of als onderdeel van de toegangsaanvraag) en voldoen aan de verificatiesterkte.
Hoe meerdere beleidsregels voor verificatie van voorwaardelijke toegang worden geëvalueerd
In het algemeen moet aan alle voorwaarden van alle beleidsregels van alle beleidsregels worden voldaan wanneer meerdere beleidsregels voor voorwaardelijke toegang van toepassing zijn op een aanmelding. Wanneer in dezelfde ader meerdere beleidsregels voor verificatiesterkte voor voorwaardelijke toegang van toepassing zijn op de aanmelding, moet de gebruiker aan alle voorwaarden voor verificatiesterkte voldoen. Als bijvoorbeeld twee verschillende beleidsregels voor verificatiesterkte beide wachtwoordsleutel (FIDO2) vereisen, kan de gebruiker een FIDO2-beveiligingssleutel gebruiken om aan beide beleidsregels te voldoen. Als de twee beleidsregels voor verificatiesterkte verschillende sets methoden hebben, moet de gebruiker meerdere methoden gebruiken om aan beide beleidsregels te voldoen.
Hoe meerdere beleidsregels voor verificatiesterkte voor voorwaardelijke toegang worden geëvalueerd voor het registreren van beveiligingsgegevens
Voor registratie van beveiligingsgegevens wordt de evaluatie van de verificatiesterkte anders behandeld: de verificatiesterkten die gericht zijn op de gebruikersactie registratie van beveiligingsgegevens hebben de voorkeur boven andere beleidsregels voor verificatiesterkte die gericht zijn op alle cloud-apps. Alle andere toekenningsbesturingselementen (zoals Vereisen dat het apparaat als compatibel moet worden gemarkeerd) van andere beleidsregels voor voorwaardelijke toegang binnen het bereik voor de aanmelding zijn zoals gebruikelijk van toepassing.
Laten we bijvoorbeeld aannemen dat Contoso wil vereisen dat hun gebruikers zich altijd aanmelden met een meervoudige verificatiemethode en vanaf een compatibel apparaat. Contoso wil ook toestaan dat nieuwe werknemers deze MFA-methoden registreren met behulp van een tijdelijke toegangspas (TAP). TAP kan niet worden gebruikt voor een andere resource. Om dit doel te bereiken, kan de beheerder de volgende stappen uitvoeren:
- Maak een aangepaste verificatiesterkte met de naam Bootstrap en herstel die de combinatie van tijdelijke toegangspasverificatie bevat. Het kan ook een van de MFA-methoden bevatten.
- Maak een aangepaste verificatiesterkte met de naam MFA voor aanmelding die alle toegestane MFA-methoden bevat, zonder tijdelijke toegangspas.
- Maak een beleid voor voorwaardelijke toegang dat is gericht op alle cloud-apps en vereist MFA voor de sterkte van de aanmeldingsverificatie en vereist compatibele besturingselementen voor apparaattoe kennen.
- Maak een beleid voor voorwaardelijke toegang dat is gericht op de gebruikersactie Beveiligingsgegevens registreren en vereist de bootstrap- en herstelverificatiesterkte .
Als gevolg hiervan kunnen gebruikers op een compatibel apparaat een tijdelijke toegangspas gebruiken om een MFA-methode te registreren en vervolgens de zojuist geregistreerde methode gebruiken om te verifiëren bij andere resources zoals Outlook.
Notitie
Als meerdere beleidsregels voor voorwaardelijke toegang gericht zijn op de gebruikersactie Beveiligingsgegevens registreren en ze elk een verificatiesterkte toepassen, moet de gebruiker voldoen aan al deze verificatiesterkten om zich aan te melden.
Sommige methoden zonder wachtwoord en phishing kunnen niet worden geregistreerd vanuit de Interrupt-modus. Zie Verificatiemethoden zonder wachtwoord registreren voor meer informatie.
Gebruikerservaring
De volgende factoren bepalen of de gebruiker toegang krijgt tot de resource:
- Welke verificatiemethode is eerder gebruikt?
- Welke methoden zijn beschikbaar voor de verificatiesterkte?
- Welke methoden zijn toegestaan voor gebruikersaanmelding in het beleid voor verificatiemethoden?
- Is de gebruiker geregistreerd voor een beschikbare methode?
Wanneer een gebruiker toegang krijgt tot een resource die wordt beveiligd door beleid voor voorwaardelijke toegang met verificatiesterkte, evalueert Microsoft Entra ID of de methoden die ze eerder hebben gebruikt, voldoen aan de verificatiesterkte. Als er een bevredigende methode is gebruikt, verleent Microsoft Entra ID toegang tot de resource. Stel dat een gebruiker zich aanmeldt met een wachtwoord en een sms-bericht. Ze hebben toegang tot een resource die wordt beveiligd door MFA-verificatiesterkte. In dit geval heeft de gebruiker toegang tot de resource zonder een andere verificatieprompt.
Stel dat ze vervolgens toegang hebben tot een resource die wordt beveiligd door phishingbestendige MFA-verificatiesterkte. Op dit moment wordt de gebruiker gevraagd om een phishingbestendige verificatiemethode te bieden, zoals Windows Hello voor Bedrijven.
Als de gebruiker zich niet heeft geregistreerd voor methoden die voldoen aan de verificatiesterkte, worden ze omgeleid naar gecombineerde registratie.
Gebruikers moeten slechts één verificatiemethode registreren die voldoet aan de vereiste voor verificatiesterkte.
Als de verificatiesterkte geen methode bevat die de gebruiker kan registreren en gebruiken, kan de gebruiker zich niet aanmelden bij de resource.
Verificatiemethoden zonder wachtwoord registreren
De volgende verificatiemethoden kunnen niet worden geregistreerd als onderdeel van de gecombineerde registratie-interruptmodus. Zorg ervoor dat gebruikers zijn geregistreerd voor deze methoden voordat u een beleid voor voorwaardelijke toegang toepast waarvoor kan worden vereist dat ze worden gebruikt voor aanmelding. Als een gebruiker niet is geregistreerd voor deze methoden, heeft deze geen toegang tot de resource totdat de vereiste methode is geregistreerd.
| Wijze | Registratievereisten |
|---|---|
| Microsoft Authenticator (telefonische aanmelding) | Kan worden geregistreerd vanuit de Authenticator-app. |
| Wachtwoordsleutel (FIDO2) | Kan worden geregistreerd met behulp van de gecombineerde door registratie beheerde modus en afgedwongen door verificatiesterkten met behulp van de gecombineerde registratiewizardmodus |
| Verificatie op basis van certificaat | Hiervoor is beheerdersinstallatie vereist; kan niet worden geregistreerd door de gebruiker. |
| Windows Hello voor Bedrijven | Kan worden geregistreerd in het Windows Out of Box Experience -menu (OOBE) of het menu Windows Instellingen. |
Federatieve gebruikerservaring
Voor federatieve domeinen kan MFA worden afgedwongen door voorwaardelijke toegang van Microsoft Entra of door de on-premises federatieprovider door de federatedIdpMfaBehavior in te stellen. Als de instelling federatedIdpMfaBehavior is ingesteld op het afdwingen vanMfaByFederatedIdp, moet de gebruiker zich verifiëren op de federatieve IdP en kan deze alleen voldoen aan de combinatie van federatieve multi-factor van de verificatiesterktevereiste. Zie Ondersteuning voor MFA plannen voor meer informatie over de federatie-instellingen.
Als een gebruiker van een federatief domein meervoudige verificatie-instellingen heeft binnen het bereik van gefaseerde implementatie, kan de gebruiker meervoudige verificatie in de cloud voltooien en voldoen aan een van de federatieve één-factor + iets dat u combinaties hebt . Zie Gefaseerde implementatie inschakelen voor meer informatie over gefaseerde implementatie.