Aanmelden zonder wachtwoord inschakelen met Microsoft Authenticator

Microsoft Authenticator kan worden gebruikt om u aan te melden bij elk Azure AD-account zonder een wachtwoord te gebruiken. Microsoft Authenticator maakt gebruik van verificatie op basis van sleutels om een gebruikersreferentie in te schakelen die is gekoppeld aan een apparaat, waarbij het apparaat gebruikmaakt van een pincode of biometrische gegevens. Windows Hello voor Bedrijven maakt gebruik van een vergelijkbare technologie.

Deze verificatietechnologie kan worden gebruikt op elk apparaatplatform, inclusief mobiele apparaten. Deze technologie kan ook worden gebruikt met elke app of website die kan worden geïntegreerd met Microsoft Authentication Libraries.

Schermopname van een voorbeeld van een browseraanmelding waarin de gebruiker wordt gevraagd om de aanmelding goed te keuren.

Mensen wie aanmelding via de telefoon van Microsoft Authenticator heeft ingeschakeld, ziet u een bericht waarin wordt gevraagd om op een nummer in de app te tikken. Er wordt geen gebruikersnaam of wachtwoord gevraagd. Om het aanmeldingsproces in de app te voltooien, moet een gebruiker de volgende acties uitvoeren:

  1. Voer het nummer in dat ze op het aanmeldingsscherm zien in het dialoogvenster Microsoft Authenticator.
  2. Kies Goedkeuren.
  3. Geef hun pincode of biometrische gegevens op.

Meerdere accounts in iOS (preview)

U kunt aanmelding zonder wachtwoord inschakelen voor meerdere accounts in Microsoft Authenticator op elk ondersteund iOS-apparaat. Consultants, studenten en anderen met meerdere accounts in Azure AD kunnen elk account toevoegen aan Microsoft Authenticator en aanmelding zonder wachtwoord gebruiken voor alle accounts vanaf hetzelfde iOS-apparaat.

Voorheen vereisen beheerders mogelijk geen aanmelding zonder wachtwoord voor gebruikers met meerdere accounts, omdat hiervoor meer apparaten moeten worden meegestuurd voor aanmelding. Door de beperking van een gebruikersaanmelding van een apparaat te verwijderen, kunnen beheerders gebruikers meer vertrouwen geven om zich met een wachtwoordloze telefoon aan te melden en deze te gebruiken als hun standaardaanmeldingsmethode.

De Azure AD-accounts kunnen zich in dezelfde tenant of verschillende tenants bevinden. Gastaccounts worden niet ondersteund voor aanmelding met meerdere accounts vanaf één apparaat.

Notitie

Meerdere accounts in iOS zijn momenteel beschikbaar als openbare preview. Sommige functies worden mogelijk niet ondersteund of hebben een beperkte functionaliteit. Zie Aanvullende gebruiksvoorwaarden voor Microsoft Azure-previews voor meer informatie.

Vereisten

Als u aanmelding zonder wachtwoord wilt gebruiken met Microsoft Authenticator, moet aan de volgende vereisten worden voldaan:

  • Aanbevolen: Azure AD Multi-Factor Authentication, waarbij pushmeldingen zijn toegestaan als verificatiemethode. Pushmeldingen verzenden naar uw smartphone of tablet helpen de Authenticator-app om onbevoegde toegang tot accounts te voorkomen en frauduleuze transacties te stoppen. De Authenticator-app genereert automatisch codes bij het instellen van pushmeldingen, zodat een gebruiker een back-upaanmeldingsmethode heeft, zelfs als het apparaat geen verbinding heeft.

  • Nieuwste versie van Microsoft Authenticator geïnstalleerd op apparaten met iOS of Android.

  • Voor Android moet het apparaat waarop Microsoft Authenticator wordt uitgevoerd, worden geregistreerd bij een afzonderlijke gebruiker. We werken actief aan het inschakelen van meerdere accounts op Android.

  • Voor iOS moet het apparaat worden geregistreerd bij elke tenant waar het wordt gebruikt om zich aan te melden. Het volgende apparaat moet bijvoorbeeld worden geregistreerd bij Contoso en Wingtiptoys, zodat alle accounts zich kunnen aanmelden:

    • balas@contoso.com
    • balas@wingtiptoys.com en bsandhu@wingtiptoys
  • Voor iOS raden we u aan om de optie in Microsoft Authenticator in te schakelen zodat Microsoft gebruiksgegevens kan verzamelen. Deze functie is niet standaard ingeschakeld. Als u deze wilt inschakelen in Microsoft Authenticator, gaat u naar Gebruiksgegevens voor instellingen>.

    Schermopname van gebruiksgegevens in Microsoft Authenticator.

Als u verificatie zonder wachtwoord in Azure AD wilt gebruiken, schakelt u eerst de gecombineerde registratie-ervaring in en schakelt u vervolgens gebruikers in voor de methode zonder wachtwoord.

Verificatiemethoden voor aanmelden zonder wachtwoord inschakelen

Azure AD kunt u kiezen welke verificatiemethoden kunnen worden gebruikt tijdens het aanmeldingsproces. Gebruikers registreren zich vervolgens voor de methoden die ze willen gebruiken. Het verificatiemethodebeleid van Microsoft Authenticator beheert zowel de traditionele push-MFA-methode als de verificatiemethode zonder wachtwoord.

Notitie

Als u microsoft Authenticator-aanmelding zonder wachtwoord hebt ingeschakeld met behulp van Azure AD PowerShell, is deze ingeschakeld voor uw hele map. Als u deze nieuwe methode inschakelt, wordt het PowerShell-beleid vervangen. U wordt aangeraden alle gebruikers in uw tenant in te schakelen via het menu Nieuwe verificatiemethoden , anders kunnen gebruikers die zich niet in het nieuwe beleid bevinden zich niet aanmelden zonder een wachtwoord.

Voer de volgende stappen uit om de verificatiemethode voor aanmelding zonder wachtwoord in te schakelen:

  1. Meld u aan bij de Azure Portal met een beheerdersaccount voor verificatiebeleid.

  2. Zoek en selecteer Azure Active Directory en blader naarbeleidsregels>voor beveiligingsverificatie>.

  3. Kies onder Microsoft Authenticator de volgende opties:

    1. Inschakelen: Ja of Nee
    2. Doel: Alle gebruikers of Gebruikers selecteren
  4. Elke toegevoegde groep of gebruiker is standaard ingeschakeld om Microsoft Authenticator te gebruiken in zowel modus voor wachtwoordloze als pushmeldingen ('Any'). Ga als volgt te werk om dit te wijzigen voor elke rij:

    1. Blader naar ...>Configureren.
    2. Voor de verificatiemodus : kies Any of Passwordless. Als u Push kiest, wordt het gebruik van de aanmeldingsreferentie van de telefoon zonder wachtwoord voorkomen.
  5. Klik op Opslaan om het nieuwe beleid toe te passen.

    Notitie

    Als er een fout wordt weergegeven wanneer u probeert op te slaan, kan dit worden veroorzaakt door het aantal gebruikers of groepen dat wordt toegevoegd. Als tijdelijke oplossing vervangt u de gebruikers en groepen die u wilt toevoegen door één groep in dezelfde bewerking en klikt u nogmaals op Opslaan.

Gebruikersregistratie en -beheer van Microsoft Authenticator

Gebruikers registreren zich voor de verificatiemethode zonder wachtwoord van Azure AD met behulp van de volgende stappen:

  1. Blader naar https://aka.ms/mysecurityinfo.
  2. Meld u aan en klik vervolgens op Methode>Authenticator>toevoegen om Microsoft Authenticator toe te voegen.
  3. Volg de instructies voor het installeren en configureren van de Microsoft Authenticator-app op uw apparaat.
  4. Selecteer Gereed om de Authenticator-configuratie te voltooien.
  5. Kies in Microsoft Authenticator de optie Telefoon aanmelden inschakelen in de vervolgkeuzelijst voor het account dat is geregistreerd.
  6. Volg de instructies in de app om het account voor aanmelding zonder wachtwoord te voltooien.

Een organisatie kan gebruikers doorsturen om zich aan te melden met hun telefoon, zonder een wachtwoord te gebruiken. Zie Aanmelden bij uw accounts met behulp van de Microsoft Authenticator-app voor meer hulp bij het configureren van Microsoft Authenticator en het inschakelen van telefoon aanmelding.

Notitie

Gebruikers die niet door beleid zijn toegestaan om telefooninloggen te gebruiken, kunnen deze niet meer inschakelen in Microsoft Authenticator.

Aanmelden met referenties zonder wachtwoord

Een gebruiker kan beginnen met aanmelden zonder wachtwoord nadat alle volgende acties zijn voltooid:

  • Een beheerder heeft de tenant van de gebruiker ingeschakeld.
  • De gebruiker heeft Microsoft Authenticator toegevoegd als aanmeldingsmethode.

De eerste keer dat een gebruiker het aanmeldingsproces voor de telefoon start, voert de gebruiker de volgende stappen uit:

  1. Voer de naam in op de aanmeldingspagina.
  2. Selecteert volgende.
  3. Selecteer indien nodig andere manieren om u aan te melden.
  4. Hiermee selecteert u Een aanvraag goedkeuren voor mijn Authenticator-app.

De gebruiker krijgt vervolgens een getal te zien. De app vraagt de gebruiker zich te verifiëren door het juiste nummer te typen in plaats van een wachtwoord in te voeren.

Nadat de gebruiker zich met een wachtwoordloze telefoon heeft aangemeld, blijft de app de gebruiker door deze methode begeleiden. De gebruiker ziet echter de optie om een andere methode te kiezen.

Schermopname van een voorbeeld van een browseraanmelding met behulp van de Microsoft Authenticator-app.

Bekende problemen

De volgende bekende problemen bestaan.

De optie voor aanmelden zonder wachtwoord wordt niet weergegeven

In één scenario kan een gebruiker een niet-beantwoorde verificatie voor telefoonaanmelding zonder wachtwoord hebben die in behandeling is. Toch probeert de gebruiker zich mogelijk opnieuw aan te melden. Als dit gebeurt, ziet de gebruiker mogelijk alleen de optie om een wachtwoord in te voeren.

U kunt dit scenario oplossen door de volgende stappen te volgen:

  1. Open Microsoft Authenticator.
  2. Reageer op eventuele meldingsprompts.

Vervolgens kan de gebruiker gebruikmaken van aanmelding zonder wachtwoord.

Federatieve accounts

Wanneer een gebruiker een wachtwoordloze referentie heeft ingeschakeld, stopt het Azure AD aanmeldingsproces met behulp van de login_hint. Daarom versnelt het proces de gebruiker niet langer naar een federatieve aanmeldingslocatie.

Deze logica voorkomt in het algemeen dat een gebruiker in een hybride tenant wordt omgeleid naar Active Directory Federated Services (AD FS) voor aanmeldingsverificatie. De gebruiker behoudt echter de optie om in plaats daarvan op Uw wachtwoord gebruiken te klikken.

On-premises gebruikers

Een eindgebruiker kan worden ingeschakeld voor meervoudige verificatie (MFA) via een on-premises omgeving. De gebruiker kan nog steeds één aanmeldingsreferentie voor telefoon zonder wachtwoord maken en gebruiken.

Als de gebruiker meerdere installaties (5+) van Microsoft Authenticator probeert bij te werken met de aanmeldingsreferentie voor een telefoon zonder wachtwoord, kan deze wijziging leiden tot een fout.

Volgende stappen

Zie de volgende artikelen voor meer informatie over Azure AD verificatie- en wachtwoordloze methoden: