Verificatiemethoden voor Microsoft Entra-id beheren
Met Microsoft Entra ID kan een scala aan verificatiemethoden worden gebruikt ter ondersteuning van een groot aantal aanmeldingsscenario's. Beheerders kunnen elke methode specifiek configureren om te voldoen aan hun doelstellingen voor gebruikerservaring en beveiliging. In dit onderwerp wordt uitgelegd hoe u verificatiemethoden voor Microsoft Entra ID beheert en hoe configuratieopties van invloed zijn op scenario's voor gebruikersaanmelding en wachtwoordherstel.
Beleid voor verificatiemethoden
Het beleid voor verificatiemethoden is de aanbevolen manier om verificatiemethoden te beheren, waaronder moderne methoden zoals verificatie zonder wachtwoord. Beheerders van verificatiebeleid kunnen dit beleid bewerken om verificatiemethoden in te schakelen voor alle gebruikers of specifieke groepen.
Methoden die zijn ingeschakeld in het beleid voor verificatiemethoden, kunnen doorgaans overal in Microsoft Entra-id worden gebruikt voor scenario's voor verificatie en wachtwoordherstel. De uitzondering hierop is dat sommige methoden inherent beperkt zijn tot gebruik in verificatie, zoals FIDO2 en Windows Hello voor Bedrijven, en andere methoden zijn beperkt tot gebruik bij het opnieuw instellen van wachtwoorden, zoals beveiligingsvragen. Voor meer controle over welke methoden kunnen worden gebruikt in een bepaald verificatiescenario, kunt u overwegen de functie Sterke verificatie te gebruiken.
De meeste methoden hebben ook configuratieparameters om nauwkeuriger te bepalen hoe die methode kan worden gebruikt. Als u bijvoorbeeld spraakoproepen inschakelt, kunt u ook opgeven of een kantoortelefoon naast een mobiele telefoon kan worden gebruikt.
Of stel dat u verificatie zonder wachtwoord wilt inschakelen met Microsoft Authenticator. U kunt extra parameters instellen, zoals het weergeven van de aanmeldingslocatie van de gebruiker of de naam van de app waarmee wordt aangemeld. Deze opties bieden meer context voor gebruikers wanneer ze zich aanmelden en helpen onbedoelde MFA-goedkeuringen te voorkomen.
Als u het beleid voor verificatiemethoden wilt beheren, meldt u zich aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleidsbeheerder en bladert u naar> beleid voor beveiligingsverificatie.>
Alleen de geconvergeerde registratie-ervaring is op de hoogte van het beleid voor verificatiemethoden. Gebruikers binnen het bereik van het beleid voor verificatiemethoden, maar niet de geconvergeerde registratie-ervaring zien niet de juiste methoden om te registreren.
Verouderd MFA- en SSPR-beleid
Twee andere beleidsregels, die zich in multifactor-verificatie-instellingen en instellingen voor wachtwoordherstel bevinden, bieden een verouderde manier om bepaalde verificatiemethoden te beheren voor alle gebruikers in de tenant. U kunt niet bepalen wie een ingeschakelde verificatiemethode gebruikt of hoe de methode kan worden gebruikt. Er is een globale beheerder nodig om dit beleid te beheren.
Belangrijk
In maart 2023 hebben we aangekondigd dat het beheer van verificatiemethoden in het verouderde beleid voor meervoudige verificatie en selfservice voor wachtwoordherstel (SSPR) wordt afgeschaft. Vanaf 30 september 2025 kunnen verificatiemethoden niet worden beheerd in dit verouderde MFA- en SSPR-beleid. We raden klanten aan het handmatige migratiebeheer te gebruiken om te migreren naar het beleid voor verificatiemethoden op basis van de afschaffingsdatum.
Als u het verouderde MFA-beleid wilt beheren, selecteert u Aanvullende multifactorverificatieinstellingen> voor beveiliging>in de cloud.
Als u verificatiemethoden voor selfservice voor wachtwoordherstel (SSPR) wilt beheren, klikt u op Verificatiemethoden voor wachtwoord opnieuw instellen>. Met de optie Mobiele telefoon in dit beleid kunnen spraakoproepen of sms-berichten worden verzonden naar een mobiele telefoon. Met de optie Office-telefoon kunnen alleen spraakoproepen worden toegestaan.
Hoe beleidsregels samenwerken
Instellingen worden niet gesynchroniseerd tussen het beleid, waardoor beheerders elk beleid onafhankelijk kunnen beheren. Microsoft Entra ID respecteert de instellingen in alle beleidsregels, zodat een gebruiker die is ingeschakeld voor een verificatiemethode in elk beleid deze methode kan registreren en gebruiken. Als u wilt voorkomen dat gebruikers een methode gebruiken, moet deze worden uitgeschakeld in alle beleidsregels.
Laten we eens een voorbeeld bekijken waarin een gebruiker die deel uitmaakt van de groep Accounting Microsoft Authenticator wil registreren. Het registratieproces controleert eerst het beleid voor verificatiemethoden. Als de groep Accounting is ingeschakeld voor Microsoft Authenticator, kan de gebruiker deze registreren.
Zo niet, dan controleert het registratieproces het verouderde MFA-beleid. In dit beleid kan elke gebruiker Microsoft Authenticator registreren als een van deze instellingen is ingeschakeld voor MFA:
- Melding via mobiele app
- Verificatiecode van mobiele app of hardwaretoken
Als de gebruiker Microsoft Authenticator niet kan registreren op basis van een van deze beleidsregels, controleert het registratieproces het verouderde SSPR-beleid. In dat beleid kan een gebruiker Microsoft Authenticator registreren als de gebruiker is ingeschakeld voor SSPR en een van deze instellingen is ingeschakeld:
- Meldingen via mobiele app
- Code via mobiele app
Voor gebruikers die zijn ingeschakeld voor mobiele telefoon voor SSPR, kan het onafhankelijke beheer tussen beleidsregels van invloed zijn op het aanmeldingsgedrag. Waar het andere beleid afzonderlijke opties voor sms-berichten en spraakoproepen heeft, schakelt de mobiele telefoon voor SSPR beide opties in. Als gevolg hiervan kan iedereen die mobiele telefoon gebruikt voor SSPR ook spraakoproepen gebruiken voor wachtwoordherstel, zelfs als het andere beleid geen spraakoproepen toestaat.
Laten we ook aannemen dat u Spraakoproepen voor een groep inschakelt. Nadat u dit hebt ingeschakeld, ziet u dat zelfs gebruikers die geen groepsleden zijn zich kunnen aanmelden met een spraakoproep. In dit geval zijn deze gebruikers waarschijnlijk ingeschakeld voor mobiele telefoon in het verouderde SSPR-beleid of bellen naar telefoon in het verouderde MFA-beleid.
Migratie tussen beleidsregels
Het beleid voor verificatiemethoden biedt een migratiepad voor geïntegreerd beheer van alle verificatiemethoden. Alle gewenste methoden kunnen worden ingeschakeld in het beleid voor verificatiemethoden, ervan uitgaande dat de gebruikersgroepen zijn gedefinieerd die vereist zijn voor elk verificatiemethodebeleid (tenzij dit van toepassing is op alle gebruikers). Na deze beheeractiviteit voor gebruikersgroepen kunnen methoden in het verouderde MFA- en SSPR-beleid worden uitgeschakeld. Migratie heeft drie instellingen waarmee u in uw eigen tempo kunt navigeren en problemen met aanmelden of SSPR tijdens de overgang kunt voorkomen. Nadat de migratie is voltooid, centraliseert u de controle over verificatiemethoden voor zowel aanmelding als SSPR op één plaats en wordt het verouderde MFA- en SSPR-beleid uitgeschakeld.
Notitie
Beveiligingsvragen kunnen momenteel alleen worden ingeschakeld met behulp van het verouderde SSPR-beleid. In de toekomst wordt deze functie beschikbaar gesteld in het beleid voor verificatiemethoden. Als u beveiligingsvragen gebruikt en deze niet wilt uitschakelen, moet u ervoor zorgen dat ze zijn ingeschakeld in het verouderde SSPR-beleid totdat de nieuwe functie in de toekomst beschikbaar is. U kunt de rest van uw verificatiemethoden migreren en nog steeds beveiligingsvragen beheren in het verouderde SSPR-beleid.
Als u de migratieopties wilt weergeven, opent u het beleid voor verificatiemethoden en klikt u op Migratie beheren.
In de volgende tabel wordt elke optie beschreven.
| Optie | Omschrijving |
|---|---|
| Premigratie | Het beleid voor verificatiemethoden wordt alleen gebruikt voor verificatie. Verouderde beleidsinstellingen worden gerespecteerd. |
| De migratie wordt uitgevoerd | Het beleid voor verificatiemethoden wordt gebruikt voor verificatie en SSPR. Verouderde beleidsinstellingen worden gerespecteerd. |
| Migratie voltooid | Alleen het beleid voor verificatiemethoden wordt gebruikt voor verificatie en SSPR. Verouderde beleidsinstellingen worden genegeerd. |
Tenants zijn standaard ingesteld op premigratie of migratie die wordt uitgevoerd, afhankelijk van de huidige status van hun tenant. Als u vóór de migratie begint, kunt u op elk gewenst moment naar een van de statussen gaan. Als u in uitvoering bent begonnen met de migratie, kunt u op elk gewenst moment schakelen tussen de migratie in uitvoering en Microsoft Complete, maar u kunt niet overstappen op premigratie. Als u overstapt op Migratie voltooid en vervolgens wilt terugkeren naar een eerdere status, vragen we u waarom we de prestaties van het product kunnen evalueren.
Notitie
Nadat alle verificatiemethoden volledig zijn gemigreerd, blijven de volgende elementen van het verouderde SSPR-beleid actief:
- Het aantal methoden dat is vereist om het besturingselement opnieuw in te stellen : beheerders kunnen het aantal verificatiemethoden blijven wijzigen voordat een gebruiker SSPR kan uitvoeren.
- Het SSPR-beheerdersbeleid: beheerders kunnen alle methoden blijven registreren en gebruiken die worden vermeld onder het verouderde SSPR-beheerdersbeleid of de methoden die ze kunnen gebruiken in het beleid voor verificatiemethoden.
In de toekomst worden beide functies geïntegreerd met het beleid voor verificatiemethoden.
Bekende problemen en beperkingen
- In recente updates hebben we de mogelijkheid verwijderd om afzonderlijke gebruikers te targeten. Eerder gerichte gebruikers blijven in het beleid, maar we raden u aan ze naar een doelgroep te verplaatsen.
- De registratie van een verificatiemethode kan mislukken als veel groepen zijn opgenomen in het beleid voor verificatiemethoden of een registratiecampagne. We raden u aan meerdere groepen in één groep te consolideren voor elke verificatiemethode. Als u de registratie voor gebruikers tijdens de samenvoeging wilt behouden, voegt u de nieuwe groep toe en verwijdert u de huidige groepen in dezelfde bewerking.
Volgende stappen
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor