Welke authenticatie- en verificatiemethoden zijn er beschikbaar in Azure Active Directory?
Microsoft raadt verificatiemethoden zonder wachtwoord aan, zoals Windows Hello, FIDO2-beveiligingssleutels en de Microsoft Authenticator-app, omdat deze de veiligste aanmeldingservaring bieden. Hoewel een gebruiker zich kan aanmelden met andere veelgebruikte methoden, zoals een gebruikersnaam en wachtwoord, moeten wachtwoorden worden vervangen door veiligere verificatiemethoden.
Azure AD Multi-Factor Authentication (MFA) voegt extra beveiliging toe bovenop alleen een wachtwoord wanneer een gebruiker zich aanmeldt. De gebruiker kan aanvullende vormen van verificatie worden gevraagd, zoals het reageren op een pushmelding, een code invoeren van een software- of hardwaretoken of reageren op een sms- of telefoongesprek.
Om de gebruikerservaring voor onboarding te vereenvoudigen en zich te registreren voor zowel MFA als selfservice voor wachtwoordherstel (SSPR), raden we u aan de gecombineerde registratie van beveiligingsgegevens in te schakelen. Om de flexibiliteit te verbeteren, raden we u aan gebruikers te verplichten meerdere verificatiemethoden te registreren. Wanneer een methode niet beschikbaar is voor een gebruiker tijdens het aanmelden of SSPR, kunnen ze de verificatie uitvoeren via een andere methode. Raadpleeg Een flexibele strategie voor toegangsbeheer maken in Azure AD voor meer informatie.
Hier volgt een video die we hebben gemaakt om u te helpen bij uw keuze van de beste verificatiemethode om uw organisatie veilig te houden.
Sterkte en veiligheid van de verificatiemethode
Wanneer u functies zoals Azure AD Multi-Factor Authentication implementeert in uw organisatie moet u de beschikbare verificatiemethoden controleren. Kies de methoden die voldoen aan uw vereisten op het gebied van beveiliging, bruikbaarheid en beschikbaarheid. Gebruik waar mogelijk verificatiemethoden met het hoogste beveiligingsniveau.
De volgende tabel bevat een overzicht van de beveiligingsoverwegingen voor de beschikbare verificatiemethoden. Beschikbaarheid is een indicatie dat de gebruiker de verificatiemethode kan gebruiken, niet van de beschikbaarheid van de service in Azure AD:
| Verificatiemethode | Beveiliging | Bruikbaarheid | Beschikbaarheid |
|---|---|---|---|
| Windows Hello voor Bedrijven | Hoog | Hoog | Hoog |
| Microsoft Authenticator | Hoog | Hoog | Hoog |
| Authenticator Lite | Hoog | Hoog | Hoog |
| FIDO2-beveiligingssleutel | Hoog | Hoog | Hoog |
| Verificatie op basis van certificaten (preview) | Hoog | Hoog | Hoog |
| OATH-hardwaretokens (preview) | Gemiddeld | Gemiddeld | Hoog |
| OATH-softwaretokens | Gemiddeld | Gemiddeld | Hoog |
| Sms | Normaal | Hoog | Gemiddeld |
| Spraak | Gemiddeld | Gemiddeld | Gemiddeld |
| Wachtwoord | Laag | Hoog | Hoog |
Bekijk onze blogberichten voor de meest recente informatie over beveiliging:
- Het is tijd om telefonische overdrachten voor de verificatie achterwege te laten
- Verificatieproblemen en aanvalsvectoren
Tip
Voor flexibiliteit en bruikbaarheid raden we u aan de Microsoft Authenticator-app te gebruiken. Deze verificatiemethode biedt een optimale gebruikerservaring en meerdere modi, zoals zonder wachtwoord, MFA-pushmeldingen en OATH-codes.
Hoe elke verificatiemethode werkt
Sommige verificatiemethoden kunnen worden gebruikt als de primaire factor wanneer u zich aanmeldt bij een toepassing of apparaat, bv. een FIDO2-beveiligingssleutel of wachtwoord. Andere verificatiemethoden zijn alleen beschikbaar als secundaire factor wanneer u Azure AD Multi-Factor Authentication of SSPR gebruikt.
De volgende tabel geeft een overzicht van wanneer een verificatiemethode kan worden gebruikt tijdens een aanmeldingsgebeurtenis:
| Methode | Primaire authenticatie | Secundaire verificatie |
|---|---|---|
| Windows Hello voor Bedrijven | Yes | MFA* |
| Microsoft Authenticator | Yes | MFA en SSPR |
| Authenticator Lite | No | MFA |
| FIDO2-beveiligingssleutel | Yes | MFA |
| Verificatie op basis van certificaat | Ja | Nee |
| OATH-hardwaretokens (preview) | No | MFA en SSPR |
| OATH-softwaretokens | No | MFA en SSPR |
| Sms | Yes | MFA en SSPR |
| Spraakoproep | No | MFA en SSPR |
| Wachtwoord | Yes |
* Windows Hello voor Bedrijven werkt op zich niet als een stapsgewijze MFA-referentie. Bijvoorbeeld, een MFA-uitdaging van de aanmeldingsfrequentie of SAML-aanvraag met forceAuthn=true. Windows Hello voor Bedrijven kan dienen als een betere MFA-referentie door te worden gebruikt in FIDO2-verificatie. Dit vereist dat gebruikers zijn ingeschakeld voor FIDO2-verificatie om te kunnen werken.
Al deze verificatiemethoden kunnen worden geconfigureerd in de Azure Portal en in toenemende mate gebruikmakend van Microsoft Graph REST API.
Raadpleeg de volgende afzonderlijke conceptuele artikelen voor meer informatie over de werking van elke verificatiemethode:
- Windows Hello voor Bedrijven
- Microsoft Authenticator-app
- FIDO2-beveiligingssleutel
- Verificatie op basis van certificaat
- OATH-hardwaretokens (preview)
- OATH-softwaretokens
- Sms-aanmelding en -verificatie
- Verificatie van spraakoproep
- Wachtwoord
Notitie
Een wachtwoord is vaak een van de primaire verificatiemethoden in Azure AD. U kunt de wachtwoordverificatiemethode niet uitschakelen. Als u een wachtwoord als primaire verificatiefactor gebruikt, kunt u de beveiliging verhogen van aanmeldingsgebeurtenissen met Azure AD Multi-Factor Authentication.
In bepaalde scenario's kunnen de volgende aanvullende verificatiemethoden worden gebruikt:
- App-wachtwoorden - gebruikt voor oude toepassingen die geen moderne verificatie ondersteunen en kunnen worden geconfigureerd voor Azure AD Multi-Factor Authentication per gebruiker.
- Beveiligingsvragen - alleen gebruikt voor SSPR
- Email-adres - alleen gebruikt voor SSPR
Volgende stappen
Zie de zelfstudie voor SSPR (self-service voor wachtwoordherstel) en Azure AD Multi-Factor Authentication om aan de slag te gaan.
Raadpleeg Hoe de self-service voor wachtwoordherstel van Azure AD werkt voor meer informatie over SSPR-concepten.
Raadpleeg Hoe Azure AD Multi-Factor Authentication werkt voor meer informatie over MFA-concepten.
Meer informatie over het configureren van verificatiemethoden met behulp van de Microsoft Graph REST API.
Als u wilt controleren welke verificatiemethoden worden gebruikt, raadpleegt u de Azure AD Analyse van multi-Factor Authentication-verificatiemethoden met PowerShell.