Hoe werkt het: Azure Multi-Factor Authentication

Meervoudige verificatie is een proces waarbij gebruikers tijdens het aanmeldproces om een aanvullende vorm van identificatie wordt gevraagd, zoals een code op hun mobiele telefoon of een vingerafdrukscan.

Als u alleen een wachtwoord gebruikt om gebruikers te verifiëren, is dit een onveilige aanvalsvector. Als het wachtwoord zwak is of elders is weergegeven, kan een aanvaller het gebruiken om toegang te krijgen. Wanneer u een tweede vorm van verificatie vereist, neemt de beveiliging toe omdat deze aanvullende factor niet eenvoudig door een aanvaller kan worden verkregen of gedupliceerd.

Conceptafbeelding van de verschillende vormen van meervoudige verificatie.

Azure AD Multi-Factor Authentication werkt door twee van de volgende verificatiemethoden te vereisen:

  • Iets dat u weet, zoals een wachtwoord.
  • Iets dat u hebt, zoals een vertrouwd apparaat dat niet eenvoudig kan worden gedupliceerd, zoals een telefoon of hardwaresleutel.
  • Iets dat u bent: biometrische gegevens zoals een vingerafdruk of gezichtsscan.

Azure AD Multi-Factor Authentication kan ook het opnieuw instellen van wachtwoorden verder beveiligen. Wanneer gebruikers zich registreren voor Azure AD Multi-Factor Authentication, kunnen ze zich ook in één stap registreren voor de selfservice voor het opnieuw instellen van een wachtwoord. Beheerders kunnen vormen van secundaire verificatie kiezen en uitdagingen voor MFA configureren op basis van configuratiebeslissingen.

U hoeft geen apps en services te wijzigen voor het gebruik van Azure AD Multi-Factor Authentication. De verificatievragen maken deel uit van de Azure AD-aanmelding, waarmee de MFA-uitdaging automatisch wordt aangevraagd en verwerkt wanneer dat nodig is.

Notitie

De taal van de vragen wordt bepaald door de landinstellingen van de browser. Als u aangepaste begroetingen gebruikt, maar er geen hebt voor de taal die is aangegeven in de landinstelling van de browser, wordt standaard Engels gebruikt. Network Policy Server (NPS) gebruikt altijd Engels, ongeacht aangepaste begroetingen. Engels wordt standaard ook gebruikt als de landinstelling van de browser niet kan worden vastgesteld.

MFA-aanmeldingsscherm.

Beschikbare verificatiemethoden

Wanneer gebruikers zich aanmelden bij een toepassing of service en een MFA-vraag ontvangen, kunnen ze kiezen uit een van de geregistreerde vormen van aanvullende verificatie. Gebruikers hebben toegang tot Mijn profiel om verificatiemethoden te bewerken of toe te voegen.

De volgende aanvullende verificatievormen kunnen worden gebruikt met Azure AD Multi-Factor Authentication:

  • Microsoft Authenticator-app
  • Windows Hello voor Bedrijven
  • FIDO2-beveiligingssleutel
  • OATH-hardwaretoken (preview)
  • OATH-softwaretoken
  • Sms
  • Spraakoproep

Azure AD Multi-Factor Authentication inschakelen en gebruiken

U kunt de standaardinstellingen voor beveiliging in Azure AD-tenants gebruiken om Microsoft Authenticator snel in te schakelen voor alle gebruikers. U kunt Azure AD Multi-Factor Authentication inschakelen om gebruikers en groepen tijdens het aanmelden te vragen om aanvullende verificatie.

Voor gedetailleerdere besturingselementen kunt u beleid voor voorwaardelijke toegang gebruiken om gebeurtenissen of toepassingen te definiëren waarvoor MFA vereist is. Dit beleid kan reguliere aanmelding toestaan wanneer de gebruiker zich op het bedrijfsnetwerk of een geregistreerd apparaat bevindt, maar om aanvullende verificatiefactoren vragen wanneer de gebruiker extern is of een persoonlijk apparaat gebruikt.

Diagram dat de werking toont van voorwaardelijke toegang om het aanmeldingsproces te beveiligen.

Volgende stappen

Zie Functies en licenties voor Azure AD Multi-Factor Authentication voor meer informatie over licenties.

Zie Verificatiemethoden in Azure Active Directory voor meer informatie over verschillende verificatie- en validatiemethoden.

Als u MFA in actie wilt zien, schakelt u Azure AD Multi-Factor Authentication in voor een set testgebruikers in de volgende zelfstudie: