Zelfstudie: Aanmeldingsgebeurtenissen van gebruikers beveiligen met Meervoudige Verificatie van Microsoft Entra

Meervoudige verificatie is een proces waarbij een gebruiker wordt gevraagd om aanvullende vormen van identificatie tijdens een aanmeldingsgebeurtenis. De prompt kan bijvoorbeeld zijn dat u een code moet invoeren op hun mobiele telefoon of door een vingerafdruk te scannen. Wanneer u een tweede vorm van verificatie vereist, neemt de beveiliging toe omdat deze aanvullende factor niet eenvoudig door een aanvaller kan worden verkregen of gedupliceerd.

Microsoft Entra-beleid voor meervoudige verificatie en voorwaardelijke toegang biedt u de flexibiliteit om MFA van gebruikers te vereisen voor specifieke aanmeldingsgebeurtenissen. Voor een overzicht van MFA raden we u aan deze video te bekijken: Meervoudige verificatie configureren en afdwingen in uw tenant.

Belangrijk

Deze zelfstudie laat een beheerder zien hoe u meervoudige verificatie van Microsoft Entra inschakelt. Als u de meervoudige verificatie als gebruiker wilt doorlopen, raadpleegt u Aanmelden bij uw werk- of schoolaccount met behulp van uw verificatiemethode in twee stappen.

Als uw IT-team de mogelijkheid om meervoudige verificatie van Microsoft Entra te gebruiken niet heeft ingeschakeld of als u problemen ondervindt tijdens het aanmelden, neemt u contact op met de helpdesk voor aanvullende hulp.

In deze zelfstudie leert u het volgende:

  • Maak een beleid voor voorwaardelijke toegang om meervoudige verificatie van Microsoft Entra in te schakelen voor een groep gebruikers.
  • De beleidsvoorwaarden configureren die vragen om MFA.
  • Test het configureren en gebruiken van meervoudige verificatie als gebruiker.

Vereisten

Voor het voltooien van deze zelfstudie hebt u de volgende resources en machtigingen nodig:

  • Een werkende Microsoft Entra-tenant waarvoor Microsoft Entra ID P1 of proeflicenties zijn ingeschakeld.

  • Een account met de bevoegdheid van Voorwaardelijke toegangsbeheerder, Veiligheidsbeheerder of Globale beheerder privileges. Sommige MFA-instellingen kunnen ook worden beheerd door een verificatiebeleidsbeheerder. Raadpleeg Verificatiebeleidsbeheerder voor meer informatie.

  • Een niet-beheerdersaccount met een wachtwoord dat u kent. Voor deze zelfstudie hebben we een dergelijk account gemaakt met de naam testuser. In deze zelfstudie test u de ervaring van de eindgebruiker bij het configureren en gebruiken van meervoudige verificatie van Microsoft Entra.

  • Een groep waarvan de niet-beheerder lid is. Voor deze zelfstudie hebben we een dergelijke groep gemaakt met de naam MFA-Test-Group. In deze zelfstudie schakelt u Meervoudige Verificatie van Microsoft Entra in voor deze groep.

Beleid voor voorwaardelijke toegang maken

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

De aanbevolen manier om meervoudige verificatie van Microsoft Entra in te schakelen en te gebruiken, is met beleid voor voorwaardelijke toegang. Met de voorwaardelijke toegang kunt u beleidsregels opstellen en definiëren die reageren op aanmeldingsgebeurtenissen en die aanvullende acties aanvragen voor een gebruiker toegang krijgt tot een toepassing of service.

Overview diagram of how Conditional Access works to secure the sign-in process

Beleidsregels voor de voorwaardelijke toegang kunnen worden toegepast op specifieke gebruikers, groepen en apps. Het doel is uw organisatie te beschermen en tegelijkertijd de juiste toegangsniveaus te bieden aan de gebruikers die deze nodig hebben.

In deze zelfstudie maken we een basisbeleid voor voorwaardelijke toegang om MFA te vragen wanneer een gebruiker zich aanmeldt. In een latere zelfstudie in deze reeks configureren we meervoudige verificatie van Microsoft Entra met behulp van beleid voor voorwaardelijke toegang op basis van risico's.

Maak eerst beleid voor voorwaardelijke toegang en wijs de testgroep met gebruikers als volgt toe:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een Beheer istrator voor voorwaardelijke toegang.

  2. Blader naar Voorwaardelijke toegang beveiligen>, selecteer + Nieuw beleid en selecteer vervolgens Nieuw beleid maken.

    A screenshot of the Conditional Access page, where you select 'New policy' and then select 'Create new policy'.

  3. Voer een naam in voor het beleid, bijvoorbeeld MFA-testfase.

  4. In Toewijzingen selecteert u de huidige waarde in Gebruikers- of workload-identiteiten.

    A screenshot of the Conditional Access page, where you select the current value under 'Users or workload identities'.

  5. Controleer onder Waarop is dit beleid van toepassing? of de optie Gebruikers en groepen is geselecteerd.

  6. In Opnemen kiest u Gebruikers en groepen selecteren en vervolgens selecteert u Gebruikers en groepen.

    A screenshot of the page for creating a new policy, where you select options to specify users and groups.

    Aangezien er nog niemand is toegewezen, wordt de lijst met gebruikers en groepen (weergegeven in de volgende stap) automatisch geopend.

  7. Blader naar uw Microsoft Entra-groep en selecteer deze, zoals MFA-Test-Group, en kies Selecteren.

    A screenshot of the list of users and groups, with results filtered by the letters M F A, and 'MFA-Test-Group' selected.

We hebben de groep geselecteerd om het beleid toe te passen. In de volgende sectie configureren we de voorwaarden waaronder het beleid moet worden toegepast.

De voorwaarden voor meervoudige verificatie configureren

Nu het beleid voor voorwaardelijke toegang is gemaakt en een testgroep van gebruikers is toegewezen, definieert u de cloud-apps of acties waarmee het beleid wordt geactiveerd. Deze cloud-apps of -acties zijn de scenario's waarvoor u besluit aanvullende verwerking te vereisen, zoals het vragen om meervoudige verificatie. U kunt bijvoorbeeld besluiten dat toegang tot een financiële toepassing of het gebruik van beheerhulpprogramma's een extra vraag om verificatie vereist.

Configureren welke apps meervoudige verificatie vereisen

Voor deze zelfstudie configureert u het beleid voor voorwaardelijke toegang om meervoudige verificatie te vereisen wanneer een gebruiker zich aanmeldt.

  1. Selecteer de huidige waarde in Cloud-apps of -acties en controleer vervolgens Selecteren waarop dit beleid van toepassing is en controleer of Cloud-apps is geselecteerd.

  2. Kies bij OpnemenApps selecteren.

    Aangezien er nog geen apps zijn geselecteerd, wordt de lijst met apps (weergegeven in de volgende stap) automatisch geopend.

    Tip

    U kunt ervoor kiezen om het beleid voor voorwaardelijke toegang toe te passen op Alle cloud-apps of Apps selecteren. Als u flexibiliteit wilt bieden, kunt u ook bepaalde apps van het beleid uitsluiten.

  3. Blader in de lijst met beschikbare aanmeldingsgebeurtenissen die kunnen worden gebruikt. Voor deze zelfstudie selecteert u de Windows Azure Service Management-API , zodat het beleid van toepassing is op aanmeldingsgebeurtenissen. Kies Selecteren.

    A screenshot of the Conditional Access page, where you select the app, Windows Azure Service Management API, to which the new policy will apply.

Meervoudige verificatie configureren voor toegang

Vervolgens configureren we het toegangsbeheer. Met het toegangsbeheer kunt u de vereisten definiëren om een gebruiker toegang te verlenen. Mogelijk moeten ze een goedgekeurde client-app of een apparaat gebruiken dat is toegevoegd aan Microsoft Entra ID.

In deze zelfstudie configureert u de toegangsbeheer om meervoudige verificatie te vereisen tijdens een aanmeldingsgebeurtenis.

  1. Selecteer onder Toegangsbeheer de huidige waarde Verlenen en selecteer vervolgens Toegang verlenen.

    A screenshot of the Conditional Access page, where you select 'Grant' and then select 'Grant access'.

  2. Selecteer Meervoudige verificatie vereisen en kies Selecteren.

    A screenshot of the options for granting access, where you select 'Require multi-factor authentication'.

Het beleid activeren

Beleidsregels voor voorwaardelijke toegang kunnen worden ingesteld op Alleen rapporteren als u wilt weten wat de invloed van de configuratie op gebruikers is, of op Uit als u het beleid nu niet wilt gebruiken. Omdat een testgroep van gebruikers is gericht op deze zelfstudie, gaan we het beleid inschakelen en vervolgens Microsoft Entra-meervoudige verificatie testen.

  1. Selecteer onder Beleid inschakelen de optie Aan.

    A screenshot of the control that's near the bottom of the web page where you specify whether the policy is enabled.

  2. Selecteer Maken om het beleid voor voorwaardelijke toegang toe te passen.

Meervoudige verificatie van Microsoft Entra testen

Laten we uw beleid voor voorwaardelijke toegang en meervoudige verificatie van Microsoft Entra in actie bekijken.

Meld u eerst aan bij een resource waarvoor geen MFA is vereist:

  1. Open een nieuw browservenster in de InPrivate- of incognitomodus en blader naar https://account.activedirectory.windowsazure.com.

    Als u een privémodus gebruikt voor uw browser voorkomt u dat bestaande referenties van invloed zijn op deze aanmeldingsgebeurtenis.

  2. Meld u aan als testgebruiker die geen beheerder is, bijvoorbeeld testuser. Zorg ervoor dat u @ en de domeinnaam opneemt in het gebruikersaccount.

    Als dit het eerste exemplaar is van aanmelden met dit account, wordt u gevraagd het wachtwoord te wijzigen. U wordt echter niet gevraagd om meervoudige verificatie te configureren of te gebruiken.

  3. Sluit het browservenster.

U hebt het beleid voor voorwaardelijke toegang geconfigureerd om aanvullende verificatie voor aanmelding te vereisen. Vanwege deze configuratie wordt u gevraagd om meervoudige verificatie van Microsoft Entra te gebruiken of om een methode te configureren als u dit nog niet hebt gedaan. Test deze nieuwe vereiste door u aan te melden bij het Microsoft Entra-beheercentrum:

  1. Open een nieuw browservenster in de InPrivate- of incognitomodus en meld u aan bij het Microsoft Entra-beheercentrum.

  2. Meld u aan als testgebruiker die geen beheerder is, bijvoorbeeld testuser. Zorg ervoor dat u @ en de domeinnaam opneemt in het gebruikersaccount.

    U moet zich registreren voor en microsoft Entra-meervoudige verificatie gebruiken.

    A prompt that says 'More information required.' This is a prompt to configure a method of multi-factor authentication for this user.

  3. Selecteer Volgende om het proces te starten.

    U kunt ervoor kiezen een verificatietelefoon, een kantoortelefoon of een mobiele app te configureren voor verificatie. Verificatietelefoon ondersteunt sms-berichten en telefoongesprekken, kantoortelefoon ondersteunt oproepen naar nummers met een extensie en mobiele app ondersteunt het gebruik van een mobiele app voor het ontvangen van meldingen voor verificatie of het genereren van verificatiecodes.

    A prompt that says, 'Additional security verification.' This is a prompt to configure a method of multi-factor authentication for this user. You can choose as the method an authentication phone, an office phone, or a mobile app.

  4. Voltooi de instructies op het scherm om de methode voor meervoudige verificatie te configureren die u hebt geselecteerd.

  5. Sluit het browservenster en meld u opnieuw aan bij het Microsoft Entra-beheercentrum om de verificatiemethode te testen die u hebt geconfigureerd. Als u bijvoorbeeld een mobiele app hebt geconfigureerd voor verificatie, ziet u een prompt zoals hieronder.

    To sign in, follow the prompts in your browser and then the prompt on the device that you registered for multifactor authentication.

  6. Sluit het browservenster.

Resources opschonen

Als u het beleid voor voorwaardelijke toegang niet meer wilt gebruiken dat u hebt geconfigureerd als onderdeel van deze zelfstudie verwijdert u het beleid met de volgende stappen:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een Beheer istrator voor voorwaardelijke toegang.

  2. Blader naar Voorwaardelijke toegang voor beveiliging>en selecteer vervolgens het beleid dat u hebt gemaakt, zoals MFA Pilot.

  3. selecteer Verwijderen en bevestig vervolgens dat u het beleid wilt verwijderen.

    To delete the Conditional Access policy that you've opened, select Delete which is located under the name of the policy.

Volgende stappen

In deze zelfstudie hebt u Meervoudige verificatie van Microsoft Entra ingeschakeld met behulp van beleid voor voorwaardelijke toegang voor een geselecteerde groep gebruikers. U hebt geleerd hoe u:

  • Maak een beleid voor voorwaardelijke toegang om meervoudige verificatie van Microsoft Entra in te schakelen voor een groep Microsoft Entra-gebruikers.
  • Configureer de beleidsvoorwaarden die vragen om meervoudige verificatie.
  • Test het configureren en gebruiken van meervoudige verificatie als gebruiker.