Verificatiemethoden in Microsoft Entra ID - Microsoft Authenticator-app

  • Artikel

De Microsoft Authenticator-app biedt een ander beveiligingsniveau voor uw Microsoft Entra-werk- of schoolaccount of uw Microsoft-account en is beschikbaar voor Android en iOS. Met de Microsoft Authenticator-app kunnen gebruikers zich op een wachtwoordloze manier verifiëren tijdens het aanmelden of een andere verificatieoptie tijdens selfservice voor wachtwoordherstel (SSPR) of meervoudige verificatiegebeurtenissen.

U kunt nu wachtwoordsleutels toepassen voor gebruikersverificatie. Gebruikers kunnen vervolgens een melding ontvangen via hun mobiele app voor het goedkeuren of weigeren van de Authenticator-app om een OATH-verificatiecode te genereren. Deze code kan vervolgens worden ingevoerd in een aanmeldingsinterface. Als u zowel een meldings- als verificatiecode inschakelt, kunnen gebruikers die de Authenticator-app registreren een van beide methoden gebruiken om hun identiteit te verifiëren met behulp van wachtwoordsleutels.

Notitie

Ter voorbereiding van ondersteuning voor wachtwoordsleutels in Microsoft Authenticator kunnen gebruikers Authenticator zien als een wachtwoordsleutelprovider op iOS- en Android-apparaten. Zie Aanmelden met wachtwoordsleutel (preview) voor meer informatie.

Als u de Authenticator-app wilt gebruiken bij een aanmeldingsprompt in plaats van een combinatie van gebruikersnaam en wachtwoord, raadpleegt u Aanmelding zonder wachtwoord inschakelen met Microsoft Authenticator.

Notitie

  • Gebruikers kunnen hun mobiele app niet registreren wanneer ze SSPR inschakelen. In plaats daarvan kunnen gebruikers hun mobiele app registreren bij https://aka.ms/mfasetup of als onderdeel van de gecombineerde registratie van beveiligingsgegevens op https://aka.ms/setupsecurityinfo.
  • De Authenticator-app wordt mogelijk niet ondersteund in bètaversies van iOS en Android. Bovendien biedt de Authenticator-app op Android vanaf 20 oktober 2023 geen ondersteuning meer voor oudere versies van de Android-Bedrijfsportal. Android-gebruikers met Bedrijfsportal versies lager dan 2111 (5.0.5333.0) kunnen geen nieuwe exemplaren van Authenticator opnieuw registreren of registreren totdat ze hun Bedrijfsportal toepassing bijwerken naar een nieuwere versie.

Aanmelden met wachtwoordsleutel (preview)

Authenticator is een gratis wachtwoordsleuteloplossing waarmee gebruikers wachtwoordloze phishing-bestendige verificaties kunnen uitvoeren vanaf hun eigen telefoons. Enkele belangrijke voordelen van het gebruik van wachtwoordsleutels in de Authenticator-app:

  • Wachtwoordsleutels kunnen eenvoudig op schaal worden geïmplementeerd. Vervolgens zijn wachtwoordsleutels beschikbaar op de telefoon van een gebruiker voor zowel MDM-scenario's (Mobile Device Management) als BYOD-scenario's (Bring Your Own Device).
  • Wachtwoordsleutels in Authenticator zijn niet duurder en reizen met de gebruiker waar ze ook naartoe gaan.
  • Wachtwoordsleutels in Authenticator zijn apparaatgebonden die ervoor zorgen dat de wachtwoordsleutel het apparaat waarop deze is gemaakt, niet verlaat.
  • Gebruikers blijven up-to-date met de nieuwste wachtwoordsleutelinnovatie op basis van open WebAuthn-standaarden.
  • Ondernemingen kunnen andere mogelijkheden op basis van verificatiestromen, zoals FIPS 140-naleving, laag leggen.

Notitie

Naarmate de implementaties gereed zijn voor preview, kunnen beheerders en gebruikers de wachtwoordsleutel zien als een aanmeldingsmethode op verschillende Microsoft Entra-oppervlakken, waaronder het Beheer center, authenticator-app, verificatie-inzichten, enzovoort.

Apparaatgebonden wachtwoordsleutel

Wachtwoordsleutels in de Authenticator-app zijn apparaatgebonden om ervoor te zorgen dat ze nooit het apparaat verlaten waarop ze zijn gemaakt. Op een iOS-apparaat gebruikt Authenticator de Secure Enclave om de wachtwoordsleutel te maken. Op Android maken we de wachtwoordsleutel in het beveiligde element op apparaten die dit ondersteunen, of gaan we terug naar de TRUSTED Execution Environment (TEE).

Hoe passkey attestation werkt met Authenticator

Voorlopig worden wachtwoordsleutels in Authenticator niet getest. Attestation-ondersteuning voor wachtwoordsleutels in Authenticator is gepland voor een toekomstige release.

Een back-up maken van wachtwoordsleutels en deze herstellen in Authenticator

Er wordt geen back-up gemaakt van wachtwoordsleutels in Authenticator en kan niet worden hersteld op een nieuw apparaat. Als u wachtwoordsleutels wilt maken op een nieuw apparaat, gebruikt u de wachtwoordsleutel op een ouder apparaat of gebruikt u een andere verificatiemethode om de wachtwoordsleutel opnieuw te maken.

Aanmelden zonder wachtwoord

In plaats van een prompt voor een wachtwoord te zien na het invoeren van een gebruikersnaam, zien gebruikers die telefoonaanmelding vanuit de Authenticator-app inschakelen een bericht om een nummer in te voeren in hun app. Wanneer het juiste nummer is geselecteerd, is het aanmeldingsproces voltooid.

Voorbeeld van aanmelden bij browser wanneer de gebruiker wordt gevraagd de aanmelding goed te keuren.

Deze verificatiemethode biedt een hoog beveiligingsniveau en verwijdert de noodzaak voor de gebruiker om een wachtwoord op te geven bij het aanmelden.

Zie Aanmelden zonder wachtwoord inschakelen met Microsoft Authenticator om aan de slag te gaan met aanmeldingen zonder wachtwoord.

Melding via mobiele app

De Authenticator-app kan ongeautoriseerde toegang tot accounts helpen voorkomen en frauduleuze transacties stoppen door een melding naar uw smartphone of tablet te sturen. Gebruikers zien de melding en selecteren, als deze legitiem is, Verifiëren. Anders kan de gebruiker Weigeren selecteren.

Notitie

Vanaf augustus 2023 genereren afwijkende aanmeldingen geen meldingen, vergelijkbaar met de manier waarop aanmeldingen van onbekende locaties geen meldingen genereren. Als u een afwijkende aanmelding wilt goedkeuren, kunnen gebruikers Microsoft Authenticator of Authenticator Lite openen in een relevante aanvullende app, zoals Outlook. Vervolgens kunnen ze omlaag trekken om te vernieuwen of tikken op Vernieuwen en de aanvraag goedkeuren.

Schermafbeelding van een voorbeeld van een webbrowser-prompt voor melding van de Authenticator-app om de aanmelding te voltooien.

In China werkt de melding via de mobiele app-methode op Android-apparaten niet omdat Google Play-services (inclusief pushmeldingen) in de regio worden geblokkeerd. IOS-meldingen werken echter wel. Voor Android-apparaten moeten alternatieve verificatiemethoden beschikbaar worden gesteld voor deze gebruikers.

Verificatiecode vanuit mobiele app

De Authenticator-app kan als softwaretoken worden gebruikt om een OATH-verificatiecode te genereren. Nadat u uw gebruikersnaam en wachtwoord hebt ingevoerd, voert u de code van de Authenticator-app in in de aanmeldingsinterface. De verificatiecode biedt een tweede vorm van verificatie.

Notitie

OATH-verificatiecodes die door Authenticator worden gegenereerd, worden niet ondersteund voor verificatie op basis van certificaten.

Gebruikers kunnen een combinatie hebben van maximaal vijf OATH-hardwaretokens of verificatortoepassingen, zoals de Authenticator-app, die op elk gewenst moment zijn geconfigureerd voor gebruik.

FIPS 140-compatibel voor Microsoft Entra-verificatie

In overeenstemming met de richtlijnen die worden beschreven in NIST SP 800-63B, zijn verificators die worden gebruikt door amerikaanse overheidsinstanties vereist voor het gebruik van door FIPS 140 gevalideerde cryptografie. Deze richtlijn helpt amerikaanse overheidsinstanties te voldoen aan de vereisten van Executive Order (EO) 14028. Daarnaast helpt deze richtlijn andere gereguleerde branches, zoals gezondheidszorgorganisaties die werken met elektronische recepten voor gecontroleerde stoffen (EPCS) aan hun wettelijke vereisten te voldoen.

FIPS 140 is een Amerikaanse overheidsstandaard die minimale beveiligingsvereisten definieert voor cryptografische modules in producten en systemen van informatietechnologie. Het Cryptografische Module Validation Program (CMVP) onderhoudt het testen op basis van de FIPS 140-standaard.

Microsoft Authenticator voor iOS

Vanaf versie 6.6.8 gebruikt Microsoft Authenticator voor iOS de systeemeigen Apple CoreCrypto-module voor door FIPS gevalideerde cryptografie op iOS FIPS 140-compatibele apparaten. Alle Microsoft Entra-verificaties met behulp van phishingbestendige apparaatgebonden wachtwoordsleutels, push meervoudige verificaties (MFA), wachtwoordloze telefoon-aanmelding (PSI) en eenmalige wachtwoordcodes op basis van tijd (TOTP) maken gebruik van de FIPS-cryptografie.

Zie Apple iOS-beveiligingscertificeringen voor meer informatie over de met FIPS 140 gevalideerde cryptografische modules die worden gebruikt en compatibele iOS-apparaten.

Notitie

In nieuwe updates van de vorige versie van dit artikel: Microsoft Authenticator is nog niet compatibel met FIPS 140 op Android. Microsoft Authenticator op Android is momenteel in afwachting van FIPS-nalevingscertificering ter ondersteuning van onze klanten die mogelijk FIPS-gevalideerde cryptografie vereisen.

Registratietype microsoft Authenticator bepalen in Mijn beveiligingsgegevens

Gebruikers hebben toegang tot MySecurityInfo (zie de URL's in de volgende sectie) of door beveiligingsgegevens in MyAccount te selecteren om meer Microsoft Authenticator-registraties te beheren en toe te voegen. Specifieke pictogrammen worden gebruikt om onderscheid te maken tussen de registratie van Microsoft Authenticator en het aanmelden van een telefoon zonder wachtwoord of MFA.

Registratietype authenticator Pictogram
Microsoft Authenticator: aanmelden zonder wachtwoord Aanmelding zonder wachtwoord van Microsoft Authenticator mogelijk
Microsoft Authenticator: (melding/code) Microsoft Authenticator MFA geschikt
Cloud MySecurityInfo URL
Azure Commercial (inclusief GCC) https://aka.ms/MySecurityInfo
Azure for US Government (inclusief GCC High en DoD) https://aka.ms/MySecurityInfo-us

Updates voor de Microsoft Authenticator-app

Microsoft werkt de Microsoft Authenticator-app continu bij om een hoog beveiligingsniveau te behouden. Om ervoor te zorgen dat uw gebruikers de best mogelijke ervaring krijgen, raden we hen aan hun Authenticator-app continu bij te werken. In het geval van kritieke beveiligingsupdates werken app-versies die niet up-to-date zijn mogelijk niet meer en kunnen gebruikers hun verificaties niet voltooien. Als een gebruiker een versie van de app gebruikt die niet wordt ondersteund, wordt deze gevraagd om een upgrade uit te voeren naar de nieuwste versie voordat deze kan doorgaan met verificaties.

Microsoft zal ook regelmatig oudere versies van de Authenticator-app buiten gebruik stellen om een hoge beveiligingsbalk voor uw organisatie te onderhouden. Als het apparaat van een gebruiker geen moderne versies van de Microsoft Authenticator-app ondersteunt, kunnen ze geen verificaties met de app voltooien. We raden deze gebruikers aan om een OATH-verificatiecode in de Microsoft Authenticator-app te gebruiken om tweeledige verificatie te voltooien.

Volgende stappen