Aanmelden zonder wachtwoord inschakelen met Microsoft Authenticator

Microsoft Authenticator kan worden gebruikt om u aan te melden bij een Azure AD-account zonder een wachtwoord te gebruiken. Microsoft Authenticator maakt gebruik van verificatie op basis van sleutels om een gebruikersreferentie in te schakelen die is gekoppeld aan een apparaat, waarbij het apparaat gebruikmaakt van een pincode of biometrische gegevens. Windows Hello voor Bedrijven maakt gebruik van een vergelijkbare technologie.

Deze verificatietechnologie kan worden gebruikt op elk apparaatplatform, inclusief mobiele apparaten. Deze technologie kan ook worden gebruikt met elke app of website die is geïntegreerd met Microsoft-verificatiebibliotheken.

Schermopname van een voorbeeld van een browseraanmelding waarin de gebruiker wordt gevraagd om de aanmelding goed te keuren.

Mensen die telefonisch aanmelden vanuit Microsoft Authenticator hebben ingeschakeld, zien een bericht waarin ze worden gevraagd op een nummer in hun app te tikken. Er wordt geen gebruikersnaam of wachtwoord gevraagd. Een gebruiker moet de volgende acties uitvoeren om het aanmeldingsproces in de app te voltooien:

  1. Voer het nummer in dat ze zien op het aanmeldingsscherm in Microsoft dialoogvenster Authenticator.
  2. Kies Goedkeuren.
  3. Geef hun pincode of biometrische gegevens op.

Meerdere accounts in iOS (preview)

U kunt telefonisch aanmelden zonder wachtwoord inschakelen voor meerdere accounts in Microsoft Authenticator op elk ondersteund iOS-apparaat. Consultants, studenten en anderen met meerdere accounts in Azure AD kunnen elk account toevoegen aan Microsoft Authenticator en voor allemaal telefoon aanmelden zonder wachtwoord gebruiken vanaf hetzelfde iOS-apparaat.

Voorheen vereisten beheerders mogelijk geen aanmelding zonder wachtwoord voor gebruikers met meerdere accounts, omdat ze hiervoor meer apparaten bij zich moesten hebben voor aanmelding. Door de beperking van het aanmelden van één gebruiker van een apparaat te verwijderen, kunnen beheerders gebruikers met meer vertrouwen aanmoedigen om zich via een telefoon zonder wachtwoord te registreren en deze te gebruiken als hun standaardaanmeldingsmethode.

De Azure AD-accounts kunnen zich in dezelfde tenant of verschillende tenants bevinden. Gastaccounts worden niet ondersteund voor aanmeldingen met meerdere accounts vanaf één apparaat.

Notitie

Meerdere accounts op iOS zijn momenteel beschikbaar als openbare preview. Sommige functies worden mogelijk niet ondersteund of hebben een beperkte functionaliteit. Zie Aanvullende gebruiksvoorwaarden voor Microsoft Azure-previews voor meer informatie.

Vereisten

Als u telefonisch aanmelden zonder wachtwoord wilt gebruiken met Microsoft Authenticator, moet aan de volgende vereisten worden voldaan:

  • Aanbevolen: Azure AD Multi-Factor Authentication, met pushmeldingen toegestaan als verificatiemethode. Pushmeldingen naar uw smartphone of tablet helpen de Authenticator-app om onbevoegde toegang tot accounts te voorkomen en frauduleuze transacties te stoppen. De Authenticator-app genereert automatisch codes wanneer deze is ingesteld om pushmeldingen uit te voeren. Een gebruiker heeft een aanmeldingsmethode voor back-ups, zelfs als het apparaat geen verbinding heeft.

  • Nieuwste versie van Microsoft Authenticator geïnstalleerd op apparaten met iOS of Android.

  • Voor Android moet het apparaat waarop Microsoft Authenticator wordt uitgevoerd, zijn geregistreerd bij een afzonderlijke gebruiker. We werken actief aan het inschakelen van meerdere accounts op Android.

  • Voor iOS moet het apparaat zijn geregistreerd bij elke tenant waarin het wordt gebruikt om u aan te melden. Het volgende apparaat moet bijvoorbeeld zijn geregistreerd bij Contoso en Wingtiptoys om alle accounts toe te staan zich aan te melden:

    • balas@contoso.com
    • balas@wingtiptoys.com en bsandhu@wingtiptoys
  • Voor iOS raden we u aan de optie in te schakelen in Microsoft Authenticator, zodat Microsoft gebruiksgegevens kunnen verzamelen. Dit is niet standaard ingeschakeld. Als u dit wilt inschakelen in Microsoft Authenticator, gaat u naar Instellingen>Gebruiksgegevens.

    Schermopname van gebruiksgegevens in Microsoft Authenticator.

Als u verificatie zonder wachtwoord wilt gebruiken in Azure AD, schakelt u eerst de gecombineerde registratie-ervaring in en schakelt u vervolgens gebruikers in voor de methode zonder wachtwoord.

Verificatiemethoden voor aanmelden via telefoon zonder wachtwoord inschakelen

met Azure AD kunt u kiezen welke verificatiemethoden tijdens het aanmeldingsproces kunnen worden gebruikt. Gebruikers registreren zich vervolgens voor de methoden die ze willen gebruiken. Het beleid voor verificatiemethode Microsoft Authenticator beheert zowel de traditionele push-MFA-methode als de verificatiemethode zonder wachtwoord.

Notitie

Als u Microsoft Authenticator-aanmelding zonder wachtwoord hebt ingeschakeld met behulp van Azure AD PowerShell, is dit ingeschakeld voor uw hele directory. Als u deze nieuwe methode inschakelt, wordt het PowerShell-beleid vervangen. We raden u aan alle gebruikers in uw tenant in te schakelen via het nieuwe menu Verificatiemethoden , anders kunnen gebruikers die zich niet in het nieuwe beleid bevinden zich niet aanmelden zonder een wachtwoord.

Voer de volgende stappen uit om de verificatiemethode voor aanmelden via een telefoon zonder wachtwoord in te schakelen:

  1. Meld u aan bij de Azure Portal met een verificatiebeleidsbeheerdersaccount.

  2. Zoek en selecteer Azure Active Directory en blader vervolgens naarBeleidvoor beveiligingsverificatiemethoden>>.

  3. Kies onder Microsoft Authenticator de volgende opties:

    1. Inschakelen: Ja of Nee
    2. Doel: Alle gebruikers of Gebruikers selecteren
  4. Elke toegevoegde groep of gebruiker is standaard ingeschakeld om Microsoft Authenticator te gebruiken in zowel de modus voor wachtwoordloze als de modus voor pushmeldingen ('Any'). De modus wijzigen voor elke rij:

    1. Blader naar ...>Configureren.
    2. Bij Verificatiemodus kiest u Alle of Zonder wachtwoord. Als u Push kiest, wordt het gebruik van de aanmeldingsreferentie voor de telefoon zonder wachtwoord voorkomen.
  5. Als u het nieuwe beleid wilt toepassen, klikt u op Opslaan.

    Notitie

    Als er een fout wordt weergegeven wanneer u probeert op te slaan, kan dit worden veroorzaakt door het aantal gebruikers of groepen dat wordt toegevoegd. Als tijdelijke oplossing vervangt u de gebruikers en groepen die u wilt toevoegen door één groep in dezelfde bewerking en klikt u nogmaals op Opslaan.

Gebruikersregistratie

Gebruikers registreren zich voor de verificatiemethode zonder wachtwoord van Azure AD met behulp van de volgende stappen:

  1. Blader naar https://aka.ms/mysecurityinfo.
  2. Meld u aan en klik vervolgens op Methode >Authenticator-app>toevoegenToevoegen om Microsoft Authenticator toe te voegen.
  3. Volg de instructies voor het installeren en configureren van de Microsoft Authenticator-app op uw apparaat.
  4. Selecteer Gereed om Microsoft Authenticator-configuratie te voltooien.
  5. Kies in Microsoft Authenticator de optie Telefoon aanmelden inschakelen in de vervolgkeuzelijst voor het geregistreerde account.
  6. Volg de instructies in de app om de registratie van het account voor aanmelden via een telefoon zonder wachtwoord te voltooien.

Een organisatie kan gebruikers opsturen om zich aan te melden met hun telefoon, zonder een wachtwoord te gebruiken. Zie Aanmelden bij uw accounts met de Microsoft Authenticator-app voor meer hulp bij het configureren van Microsoft Authenticator en het inschakelen van telefonische aanmelding.

Notitie

Gebruikers die op basis van het beleid geen telefonische aanmelding mogen gebruiken, kunnen dit niet meer inschakelen in Microsoft Authenticator.

Aanmelden met referenties zonder wachtwoord

Een gebruiker kan beginnen met aanmelden zonder wachtwoord nadat alle volgende acties zijn voltooid:

  • Een beheerder heeft de tenant van de gebruiker ingeschakeld.
  • De gebruiker heeft Microsoft Authenticator toegevoegd als aanmeldingsmethode.

De eerste keer dat een gebruiker het aanmeldingsproces via de telefoon start, voert de gebruiker de volgende stappen uit:

  1. Voert zijn of haar naam in op de aanmeldingspagina.
  2. Selecteer Volgende.
  3. Selecteer indien nodig Andere manieren om u aan te melden.
  4. Selecteer Een aanvraag goedkeuren in mijn Authenticator-app.

De gebruiker krijgt vervolgens een getal te zien. De app vraagt de gebruiker om zich te verifiëren door het juiste nummer te typen in plaats van door een wachtwoord in te voeren.

Nadat de gebruiker telefoonaanmelding zonder wachtwoord heeft gebruikt, blijft de app de gebruiker door deze methode leiden. De gebruiker ziet echter de optie om een andere methode te kiezen.

Schermopname van een voorbeeld van een browseraanmelding met behulp van de Microsoft Authenticator-app.

Beheer

Het beleid voor verificatiemethoden is de aanbevolen manier om Microsoft Authenticator te beheren. Beheerders van verificatiebeleid kunnen dit beleid bewerken om Microsoft Authenticator in of uit te schakelen. Beheerders kunnen specifieke gebruikers en groepen opnemen of uitsluiten van het gebruik ervan.

Beheerders kunnen ook parameters configureren om beter te bepalen hoe Microsoft Authenticator kan worden gebruikt. Ze kunnen bijvoorbeeld locatie of app-naam toevoegen aan de aanmeldingsaanvraag, zodat gebruikers meer context hebben voordat ze goedkeuren.

Globale beheerders kunnen Microsoft Authenticator ook tenantbreed beheren met behulp van verouderde MFA- en SSPR-beleidsregels. Met deze beleidsregels kan Microsoft Authenticator worden in- of uitgeschakeld voor alle gebruikers in de tenant. Er zijn geen opties om iemand op te nemen of uit te sluiten, of om te bepalen hoe Microsoft Authenticator kan worden gebruikt voor aanmelding.

Bekende problemen

De volgende bekende problemen bestaan.

Optie voor aanmelden zonder wachtwoord via telefoon wordt niet weergegeven

In het ene scenario kan een gebruiker een niet-beantwoorde verificatie van telefonische aanmelding zonder wachtwoord hebben die in behandeling is. Als de gebruiker zich opnieuw probeert aan te melden, ziet deze mogelijk alleen de optie om een wachtwoord in te voeren.

Volg deze stappen om dit scenario op te lossen:

  1. Open Microsoft Authenticator.
  2. Reageren op eventuele meldingsprompts.

Vervolgens kan de gebruiker telefoonaanmelding zonder wachtwoord blijven gebruiken.

Federatieve accounts

Wanneer een gebruiker referenties zonder wachtwoord heeft ingeschakeld, stopt het aanmeldingsproces van de Azure AD met het gebruik van de login_hint. Daarom versnelt het proces de gebruiker niet langer naar een federatieve aanmeldingslocatie.

Deze logica voorkomt over het algemeen dat een gebruiker in een hybride tenant wordt omgeleid naar Active Directory Federated Services (AD FS) voor aanmeldingsverificatie. De gebruiker behoudt echter de optie om in plaats daarvan op Uw wachtwoord gebruiken te klikken.

On-premises gebruikers

Een eindgebruiker kan worden ingeschakeld voor meervoudige verificatie (MFA) via een on-premises. De gebruiker kan nog steeds één aanmeldingsreferentie voor de telefoon zonder wachtwoord maken en gebruiken.

Als de gebruiker meerdere installaties (5+) van Microsoft Authenticator probeert bij te werken met de aanmeldingsreferentie voor de telefoon zonder wachtwoord, kan deze wijziging resulteren in een fout.

Volgende stappen

Zie de volgende artikelen voor meer informatie over Azure AD verificatie en methoden zonder wachtwoord: