Share via


Verificatieopties zonder wachtwoord voor Microsoft Entra ID

Functies zoals meervoudige verificatie (MFA) zijn een uitstekende manier om uw organisatie te beveiligen, maar gebruikers raken vaak gefrustreerd over de extra beveiligingslaag om hun wachtwoorden te onthouden. Verificatiemethoden zonder wachtwoord zijn handiger omdat het wachtwoord wordt verwijderd en vervangen door iets dat u hebt of iets wat u wel of niet weet.

Verificatie Iets dat u hebt Iets wat u bent of weet
Zonder wachtwoord Windows 10-apparaat, telefoon of beveiligingssleutel Biometrische of pincode

Elke organisatie heeft verschillende behoeften als het gaat om verificatie. Microsoft Azure en Azure Government bieden de volgende vijf verificatieopties zonder wachtwoord die kunnen worden geïntegreerd met Microsoft Entra-id:

  • Windows Hello voor Bedrijven
  • Platformreferenties voor macOS
  • Platform-eenmalige aanmelding (PSSO) voor macOS met smartcardverificatie
  • Microsoft Authenticator
  • Wachtwoordsleutels (FIDO2)
  • Verificatie op basis van certificaat

Verificatie: beveiliging versus gemak

Windows Hello voor Bedrijven

Windows Hello voor Bedrijven is ideaal voor informatiewerkers die hun eigen Windows-pc hebben. De biometrische en pincodereferenties zijn rechtstreeks gekoppeld aan de pc van de gebruiker, waardoor toegang van anderen dan de eigenaar wordt voorkomen. Met PKI-integratie (Public Key Infrastructure) en ingebouwde ondersteuning voor eenmalige aanmelding (SSO) biedt Windows Hello voor Bedrijven een handige methode voor naadloze toegang tot bedrijfsresources on-premises en in de cloud.

Voorbeeld van een gebruikersaanmelding met Windows Hello voor Bedrijven.

De volgende stappen laten zien hoe het aanmeldingsproces werkt met Microsoft Entra-id:

Diagram met een overzicht van de stappen voor het aanmelden van gebruikers met Windows Hello voor Bedrijven

  1. Een gebruiker meldt zich aan bij Windows met behulp van biometrische of pincodebeweging. De beweging ontgrendelt de Windows Hello voor Bedrijven persoonlijke sleutel en wordt verzonden naar de cloudverificatiebeveiligingsondersteuningsprovider, aangeduid als de Cloud AP-provider.
  2. De Cloud AP-provider vraagt een nonce (een willekeurig willekeurig getal dat eenmaal kan worden gebruikt) op van Microsoft Entra-id.
  3. Microsoft Entra-id retourneert een nonce die vijf minuten geldig is.
  4. De Cloud AP-provider ondertekent de nonce met behulp van de persoonlijke sleutel van de gebruiker en retourneert de ondertekende nonce naar de Microsoft Entra-id.
  5. Microsoft Entra ID valideert de ondertekende nonce met behulp van de veilig geregistreerde openbare sleutel van de gebruiker op basis van de niet-handtekening. Microsoft Entra ID valideert de handtekening en valideert vervolgens de geretourneerde ondertekende nonce. Wanneer de nonce wordt gevalideerd, maakt Microsoft Entra ID een primair vernieuwingstoken (PRT) met een sessiesleutel die is versleuteld met de transportsleutel van het apparaat en retourneert deze naar de Cloud AP-provider.
  6. De Cloud AP-provider ontvangt de versleutelde PRT met sessiesleutel. De Cloud AP-provider gebruikt de persoonlijke transportsleutel van het apparaat om de sessiesleutel te ontsleutelen en de sessiesleutel te beveiligen met behulp van de Trusted Platform Module (TPM) van het apparaat.
  7. De Cloud AP-provider retourneert een geslaagd verificatieantwoord op Windows. De gebruiker heeft vervolgens toegang tot Windows- en cloudtoepassingen en on-premises toepassingen zonder dat deze opnieuw hoeft te worden geverifieerd (SSO).

De Windows Hello voor Bedrijven planningshandleiding kan worden gebruikt om u te helpen bij het nemen van beslissingen over het type Windows Hello voor Bedrijven implementatie en de opties die u moet overwegen.

Platformreferenties voor macOS

Platformreferenties voor macOS is een nieuwe mogelijkheid voor macOS die is ingeschakeld met behulp van de Microsoft Enterprise-extensie voor eenmalige aanmelding (SSOe). Het biedt een beveiligde enclave-ondersteunde cryptografische sleutel die wordt gebruikt voor eenmalige aanmelding in apps die gebruikmaken van Microsoft Entra ID voor verificatie. Het wachtwoord van het lokale account van de gebruiker wordt niet beïnvloed en is vereist om u aan te melden bij de Mac.

Schermopname van een voorbeeld van een pop-upvenster waarin de gebruiker wordt gevraagd om zijn macOS-account te registreren bij de id-provider met behulp van eenmalige aanmelding via Platform.

Met platformreferenties voor macOS kunnen gebruikers zonder wachtwoord gaan door Touch ID te configureren om het apparaat te ontgrendelen en phish-bestendige referenties te gebruiken op basis van Windows Hello voor Bedrijven technologie. Dit bespaart klantenorganisaties geld door de behoefte aan beveiligingssleutels te verwijderen en zero Trust-doelstellingen te verbeteren met behulp van integratie met de Secure Enclave.

Platformreferenties voor macOS kunnen ook worden gebruikt als phishingbestendige referentie voor gebruik in WebAuthn-uitdagingen (inclusief scenario's voor opnieuw verificatie van browsers). Beheer moet de verificatiemethode voor de FIDO2-beveiligingssleutel voor deze mogelijkheid inschakelen. Als u sleutelbeperkingsbeleid in uw FIDO-beleid gebruikt, moet u de AAGUID voor de macOS-platformreferentie toevoegen aan uw lijst met toegestane AAGUIDs: 7FD635B3-2EF9-4542-8D9D-164F2C771EFC

Diagram met een overzicht van de stappen voor het aanmelden van gebruikers met macOS Platform SSO.

  1. Een gebruiker ontgrendelt macOS met behulp van vingerafdruk of wachtwoordbeweging, waarmee de sleuteltas wordt ontgrendeld om toegang te bieden tot UserSecureEnclaveKey.
  2. De macOS vraagt een nonce aan (een willekeurig willekeurig getal dat slechts één keer kan worden gebruikt) van Microsoft Entra-id.
  3. Microsoft Entra-id retourneert een nonce die vijf minuten geldig is.
  4. Het besturingssysteem (OS) verzendt een aanmeldingsaanvraag naar Microsoft Entra-id met een ingesloten assertie die is ondertekend met de UserSecureEnclaveKey die zich in de Secure Enclave bevindt.
  5. Microsoft Entra ID valideert de ondertekende assertie met behulp van de veilig geregistreerde openbare sleutel van UserSecureEnclave-sleutel van de gebruiker. Microsoft Entra ID valideert de handtekening en nonce. Zodra de assertie is gevalideerd, maakt Microsoft Entra-id een primair vernieuwingstoken (PRT) dat is versleuteld met de openbare sleutel van de UserDeviceEncryptionKey die wordt uitgewisseld tijdens de registratie en stuurt het antwoord terug naar het besturingssysteem.
  6. Het besturingssysteem ontsleutelt en valideert het antwoord, haalt de SSO-tokens op, slaat deze op en deelt het met de SSO-extensie om eenmalige aanmelding te bieden. De gebruiker heeft toegang tot macOS-, cloud- en on-premises toepassingen zonder dat deze opnieuw hoeft te worden geverifieerd (SSO).

Raadpleeg macOS Platform SSO voor meer informatie over het configureren en implementeren van platformreferenties voor macOS.

Platform-eenmalige aanmelding voor macOS met SmartCard

Met platform-eenmalige aanmelding (PSSO) voor macOS kunnen gebruikers zonder wachtwoord gaan met behulp van de SmartCard-verificatiemethode. De gebruiker meldt zich aan bij de machine met behulp van een externe smartcard of met een smartcard compatibel harde token (bijvoorbeeld Yubikey). Zodra het apparaat is ontgrendeld, wordt de smartcard gebruikt met Microsoft Entra-id om eenmalige aanmelding te verlenen voor apps die gebruikmaken van Microsoft Entra-id voor verificatie met behulp van verificatie op basis van certificaten (CBA). CBA moet worden geconfigureerd en ingeschakeld voor gebruikers om deze functie te laten werken. Zie Microsoft Entra-verificatie op basis van certificaten configureren voor het configureren van CBA.

Als u dit wilt inschakelen, moet een beheerder PSSO configureren via Microsoft Intune of andere ondersteunde MDM.

Diagram met een overzicht van de stappen voor het aanmelden van gebruikers met macOS Platform SSO.

  1. Een gebruiker ontgrendelt macOS met behulp van een smartcardpin waarmee de smartcard en de sleuteltas worden ontgrendeld om toegang te bieden tot apparaatregistratiesleutels die aanwezig zijn in Secure Enclave.
  2. De macOS vraagt een nonce aan (een willekeurig willekeurig getal dat slechts één keer kan worden gebruikt) van Microsoft Entra-id.
  3. Microsoft Entra-id retourneert een nonce die vijf minuten geldig is.
  4. Het besturingssysteem (OS) verzendt een aanmeldingsaanvraag naar Microsoft Entra-id met een ingesloten assertie die is ondertekend met het Microsoft Entra-certificaat van de gebruiker vanaf de smartcard.
  5. Microsoft Entra ID valideert de ondertekende assertie, handtekening en nonce. Zodra de assertie is gevalideerd, maakt Microsoft Entra-id een primair vernieuwingstoken (PRT) dat is versleuteld met de openbare sleutel van de UserDeviceEncryptionKey die wordt uitgewisseld tijdens de registratie en stuurt het antwoord terug naar het besturingssysteem.
  6. Het besturingssysteem ontsleutelt en valideert het antwoord, haalt de SSO-tokens op, slaat deze op en deelt het met de SSO-extensie om eenmalige aanmelding te bieden. De gebruiker heeft toegang tot macOS-, cloud- en on-premises toepassingen zonder dat deze opnieuw hoeft te worden geverifieerd (SSO).

Microsoft Authenticator

U kunt ook toestaan dat de telefoon van uw werknemer een verificatiemethode zonder wachtwoord wordt. U kunt de Authenticator-app al gebruiken als een handige optie voor meervoudige verificatie, naast een wachtwoord. U kunt de Authenticator-app ook gebruiken als een optie zonder wachtwoord.

Aanmelden bij Microsoft Edge met de Microsoft Authenticator

De Authenticator-app verandert elke iOS- of Android-telefoon in een sterke, wachtwoordloze referentie. Gebruikers kunnen zich aanmelden bij elk platform of elke browser door een melding op hun telefoon te ontvangen, waarbij een nummer op het scherm overeenkomt met het nummer op hun telefoon. Vervolgens kunnen ze hun biometrische gegevens (aanraking of gezicht) of pincode gebruiken om te bevestigen. Raadpleeg De Microsoft Authenticator downloaden en installeren voor installatiedetails.

Verificatie zonder wachtwoord met behulp van de Authenticator-app volgt hetzelfde basispatroon als Windows Hello voor Bedrijven. Het is iets ingewikkelder omdat de gebruiker moet worden geïdentificeerd, zodat de Microsoft Entra-id de versie van de Authenticator-app kan vinden die wordt gebruikt:

Diagram met een overzicht van de stappen voor het aanmelden van gebruikers met de Microsoft Authenticator-app

  1. De gebruiker voert zijn gebruikersnaam in.
  2. Microsoft Entra ID detecteert dat de gebruiker een sterke referentie heeft en start de stroom Sterke referenties.
  3. Er wordt een melding verzonden naar de app via Apple Push Notification Service (APNS) op iOS-apparaten of via Firebase Cloud Messaging (FCM) op Android-apparaten.
  4. De gebruiker ontvangt de pushmelding en opent de app.
  5. De app roept Microsoft Entra ID aan en ontvangt een proof-of-presence-uitdaging en nonce.
  6. De gebruiker voltooit de uitdaging door de biometrische of pincode in te voeren om de persoonlijke sleutel te ontgrendelen.
  7. De nonce is ondertekend met de persoonlijke sleutel en teruggestuurd naar Microsoft Entra-id.
  8. Microsoft Entra ID voert openbare/persoonlijke sleutelvalidatie uit en retourneert een token.

Voltooi de volgende procedures om aan de slag te gaan met aanmelden zonder wachtwoord:

Wachtwoordsleutels (FIDO2)

De FIDO (Fast IDentity Online) Alliance helpt open verificatiestandaarden te promoten en het gebruik van wachtwoorden als een vorm van verificatie te verminderen. FIDO2 is de nieuwste standaard die de webverificatiestandaard (WebAuthn) bevat.

FIDO2-beveiligingssleutels zijn een onherstelbare op standaarden gebaseerde verificatiemethode zonder wachtwoord die in elke vormfactor kan worden geleverd. Fast Identity Online (FIDO) is een open standaard voor verificatie zonder wachtwoord. MET FIDO kunnen gebruikers en organisaties de standaard toepassen om zich aan te melden bij hun resources zonder een gebruikersnaam of wachtwoord met behulp van een externe beveiligingssleutel of een platformsleutel die is ingebouwd in een apparaat.

Gebruikers kunnen zich registreren en vervolgens een FIDO2-beveiligingssleutel selecteren op de aanmeldingsinterface als hun belangrijkste verificatiemiddel. Deze FIDO2-beveiligingssleutels zijn doorgaans USB-apparaten, maar kunnen ook Bluetooth of NFC gebruiken. Met een hardwareapparaat dat de verificatie afhandelt, wordt de beveiliging van een account verhoogd omdat er geen wachtwoord is dat kan worden weergegeven of geraden.

FIDO2-beveiligingssleutels kunnen worden gebruikt om zich aan te melden bij hun Microsoft Entra-id of hybride Windows 10-apparaten en eenmalige aanmelding te krijgen bij hun cloud- en on-premises resources. Gebruikers kunnen zich ook aanmelden bij ondersteunde browsers. FIDO2-beveiligingssleutels zijn een uitstekende optie voor ondernemingen die zeer beveiligingsgevoelig zijn of scenario's hebben of werknemers die hun telefoon niet als tweede factor willen gebruiken.

Zie het referentiedocument hier: Ondersteuning voor FIDO2-verificatie met Microsoft Entra-id. Zie Ondersteuning voor FIDO2-verificatie in de toepassingen die ze ontwikkelen voor aanbevolen procedures voor ontwikkelaars.

Aanmelden bij Microsoft Edge met een beveiligingssleutel

Het volgende proces wordt gebruikt wanneer een gebruiker zich aanmeldt met een FIDO2-beveiligingssleutel:

Diagram met een overzicht van de stappen voor het aanmelden van gebruikers met een FIDO2-beveiligingssleutel

  1. De gebruiker sluit de FIDO2-beveiligingssleutel aan op de computer.
  2. Windows detecteert de FIDO2-beveiligingssleutel.
  3. Windows verzendt een verificatieaanvraag.
  4. Microsoft Entra-id stuurt een nonce terug.
  5. De gebruiker voltooit zijn gebaar om de persoonlijke sleutel te ontgrendelen die is opgeslagen in de beveiligde enclave van de FIDO2-beveiligingssleutel.
  6. De FIDO2-beveiligingssleutel ondertekent de nonce met de persoonlijke sleutel.
  7. De aanvraag voor het primaire vernieuwingstoken (PRT) met ondertekende nonce wordt verzonden naar De Microsoft Entra-id.
  8. Microsoft Entra ID verifieert de ondertekende nonce met behulp van de openbare FIDO2-sleutel.
  9. Microsoft Entra ID retourneert PRT om toegang tot on-premises resources in te schakelen.

Zie Voor een lijst FIDO2-beveiligingssleutelproviders een leverancier van fido2-beveiligingssleutels worden die compatibel zijn met Microsoft.

Voltooi de volgende procedures om aan de slag te gaan met FIDO2-beveiligingssleutels:

Verificatie op basis van certificaat

Met Microsoft Entra-verificatie op basis van certificaten (CBA) kunnen klanten gebruikers toestaan of vereisen dat ze zich rechtstreeks verifiëren met X.509-certificaten op basis van hun Microsoft Entra-id voor toepassingen en browseraanmelding. CBA stelt klanten in staat om phishingbestendige verificatie te gebruiken en zich aan te melden met een X.509-certificaat tegen hun PKI (Public Key Infrastructure).

Diagram van verificatie op basis van Microsoft Entra-certificaten.

Belangrijkste voordelen van het gebruik van Microsoft Entra CBA

Vergoedingen Beschrijving
Goede gebruikerservaring - Gebruikers die verificatie op basis van certificaten nodig hebben, kunnen nu rechtstreeks worden geverifieerd met Microsoft Entra-id en hoeven niet te investeren in federatieve AD FS.
- Met de gebruikersinterface van de portal kunnen gebruikers eenvoudig configureren hoe certificaatvelden worden toegewezen aan een gebruikersobjectkenmerk om de gebruiker in de tenant op te zoeken (bindingen voor certificaatgebruikersnamen)
- De gebruikersinterface van de portal voor het configureren van verificatiebeleid om te bepalen welke certificaten enkelvoudig en welke meervoudig zijn.
Eenvoudig te implementeren en beheren - Microsoft Entra CBA is een gratis functie en u hebt geen betaalde edities van Microsoft Entra ID nodig om deze te gebruiken.
- Complexe on-premises implementaties of netwerkconfiguratie niet nodig.
- Rechtstreeks verifiëren bij Microsoft Entra-id.
Beveiligen - On-premises wachtwoorden hoeven in geen enkele vorm in de cloud te worden opgeslagen.
- Beschermt uw gebruikersaccounts door naadloos te werken met beleid voor voorwaardelijke toegang van Microsoft Entra, waaronder phishingbestendige meervoudige verificatie (MFA vereist gelicentieerde editie) en verouderde verificatie te blokkeren.
- Sterke verificatieondersteuning waarbij gebruikers verificatiebeleid kunnen definiëren via de certificaatvelden, zoals verlener of beleids-OID (object-id's), om te bepalen welke certificaten in aanmerking komen als één factor versus multifactor.
- De functie werkt naadloos met functies voor voorwaardelijke toegang en verificatiesterkte om MFA af te dwingen om uw gebruikers te beveiligen.

Ondersteunde scenario's

De volgende scenario's worden ondersteund:

  • Gebruikersaanmelding bij webbrowsertoepassingen op alle platforms.
  • Gebruikersaanmelding bij Office Mobile-apps op iOS-/Android-platforms en systeemeigen Office-apps in Windows, waaronder Outlook, OneDrive, enzovoort.
  • Aanmeldingen van gebruikers in mobiele systeemeigen browsers.
  • Ondersteuning voor gedetailleerde verificatieregels voor meervoudige verificatie met behulp van de onderwerp- en beleids-OID's van de certificaatverlener.
  • Certificaat-naar-gebruiker-accountbindingen configureren met behulp van een van de certificaatvelden:
    • Alternatieve onderwerpnaam (SAN) PrincipalName en SAN RFC822Nare
    • Onderwerpsleutel-id (SKI) en SHA1PublicKey
  • Certificaat-naar-gebruiker-accountbindingen configureren met behulp van een van de kenmerken van het gebruikersobject:
    • User Principal Name
    • onPremisesUserPrincipalName
    • CertificateUserIds

Ondersteunde scenario's

De volgende overwegingen zijn van toepassing:

  • Beheer istrators kunnen verificatiemethoden zonder wachtwoord inschakelen voor hun tenant.
  • Beheer istrators kunnen zich richten op alle gebruikers of gebruikers/beveiligingsgroepen in hun tenant selecteren voor elke methode.
  • Gebruikers kunnen deze verificatiemethoden zonder wachtwoord registreren en beheren in hun accountportal.
  • Gebruikers kunnen zich aanmelden met deze verificatiemethoden zonder wachtwoord:
    • Authenticator-app: werkt in scenario's waarin Microsoft Entra-verificatie wordt gebruikt, inclusief in alle browsers, tijdens de installatie van Windows 10 en met geïntegreerde mobiele apps op elk besturingssysteem.
    • Beveiligingssleutels: Werk op het vergrendelingsscherm voor Windows 10 en het web in ondersteunde browsers zoals Microsoft Edge (zowel verouderde als nieuwe Edge).
  • Gebruikers kunnen referenties zonder wachtwoord gebruiken om toegang te krijgen tot resources in tenants waar ze gast zijn, maar ze kunnen nog steeds MFA in die resourcetenant uitvoeren. Zie Mogelijke dubbele meervoudige verificatie voor meer informatie.
  • Gebruikers kunnen geen referenties zonder wachtwoord registreren binnen een tenant waar ze gast zijn, op dezelfde manier als ze geen wachtwoord hebben dat in die tenant wordt beheerd.

Niet-ondersteunde scenario's

U wordt aangeraden niet meer dan 20 sets sleutels te gebruiken voor elke methode zonder wachtwoord voor elk gebruikersaccount. Naarmate er meer sleutels worden toegevoegd, neemt de grootte van het gebruikersobject toe en ziet u een afname voor sommige bewerkingen. In dat geval moet u overbodige sleutels verwijderen. Zie De PowerShell-module WHfBTools gebruiken voor het opschonen van zwevende Windows Hello voor Bedrijven Sleutels voor meer informatie en de PowerShell-cmdlets voor het opschonen van sleutels. Gebruik de optionele parameter /UserPrincipalName om alleen sleutels voor een specifieke gebruiker op te vragen. De vereiste machtigingen moeten worden uitgevoerd als beheerder of de opgegeven gebruiker.

Wanneer u PowerShell gebruikt om een CSV-bestand te maken met alle bestaande sleutels, moet u de sleutels die u moet bewaren zorgvuldig identificeren en deze rijen uit het CSV-bestand verwijderen. Gebruik vervolgens het gewijzigde CSV-bestand met PowerShell om de resterende sleutels te verwijderen om het aantal accountsleutels onder de limiet te brengen.

Het is veilig om een sleutel te verwijderen die wordt gerapporteerd als 'Zwevend'='Waar' in het CSV-bestand. Een zwevende sleutel is een voor een apparaat dat niet meer is geregistreerd in Microsoft Entra-id. Als het verwijderen van alle zwevende objecten het gebruikersaccount nog steeds niet onder de limiet brengt, moet u de kolommen DeviceId en CreationTime bekijken om te bepalen welke sleutels moeten worden verwijderd. Zorg ervoor dat u een rij in het CSV-bestand verwijdert voor sleutels die u wilt behouden. Sleutels voor elke DeviceID die overeenkomt met apparaten die de gebruiker actief gebruikt, moeten vóór de verwijderingsstap worden verwijderd uit het CSV-bestand.

Een methode zonder wachtwoord kiezen

De keuze tussen deze drie opties zonder wachtwoord is afhankelijk van de beveiligings-, platform- en app-vereisten van uw bedrijf.

Hier volgen enkele factoren waarmee u rekening moet houden bij het kiezen van microsoft-technologie zonder wachtwoord:

Windows Hello voor Bedrijven Aanmelden zonder wachtwoord met de Authenticator-app FIDO2-beveiligingssleutels
Vereiste Windows 10, versie 1809 of hoger
Microsoft Entra ID
Authenticator-app
Telefoon (iOS- en Android-apparaten)
Windows 10, versie 1903 of hoger
Microsoft Entra ID
Modus Platform Software Hardware
Systemen en apparaten Pc met een ingebouwde Trusted Platform Module (TPM)
Pincode- en biometrische herkenning
Pincode en biometrische herkenning op de telefoon FIDO2-beveiligingsapparaten die compatibel zijn met Microsoft
Gebruikerservaring Meld u aan met een pincode of biometrische herkenning (gezichts-, iris- of vingerafdruk) met Windows-apparaten.
Windows Hello-verificatie is gekoppeld aan het apparaat; de gebruiker heeft zowel het apparaat als een aanmeldingsonderdeel nodig, zoals een pincode of biometrische factor voor toegang tot bedrijfsbronnen.
Meld u aan met een mobiele telefoon met vingerafdrukscan, gezichts- of irisherkenning of pincode.
Gebruikers melden zich aan bij een werk- of persoonlijk account vanaf hun pc of mobiele telefoon.
Aanmelden met FIDO2-beveiligingsapparaat (biometrie, pincode en NFC)
De gebruiker heeft toegang tot het apparaat op basis van organisatiebesturingselementen en verificatie op basis van pincode, biometrie met behulp van apparaten zoals USB-beveiligingssleutels en NFC-smartcards, sleutels of draagbare apparaten.
Ingeschakelde scenario's Wachtwoordloze ervaring met Windows-apparaten.
Van toepassing op een toegewezen werk-pc met de mogelijkheid voor eenmalige aanmelding bij apparaten en toepassingen.
Wachtwoordloze oplossing overal met behulp van mobiele telefoon.
Van toepassing op elk apparaat voor toegang tot werk- of persoonlijke toepassingen op internet.
Ervaring zonder wachtwoord voor werknemers die biometrische gegevens, pincodes en NFC gebruiken.
Van toepassing op gedeelde pc's en waarbij een mobiele telefoon geen haalbare optie is (zoals helpdeskpersoneel, openbare kiosk of ziekenhuisteam)

Gebruik de volgende tabel om te kiezen welke methode uw vereisten en gebruikers ondersteunt.

Persona Scenario Omgeving Technologie zonder wachtwoord
Beheerder Beveiligde toegang tot een apparaat voor beheertaken Toegewezen Windows 10-apparaat Windows Hello voor Bedrijven en/of FIDO2-beveiligingssleutel
Beheerder Beheertaken op niet-Windows-apparaten Mobiel of niet-Windows-apparaat Aanmelden zonder wachtwoord met de Authenticator-app
Informatiemedewerker Productiviteitswerk Toegewezen Windows 10-apparaat Windows Hello voor Bedrijven en/of FIDO2-beveiligingssleutel
Informatiemedewerker Productiviteitswerk Mobiel of niet-Windows-apparaat Aanmelden zonder wachtwoord met de Authenticator-app
Frontline worker Kiosken in een fabriek, fabriek, detailhandel of gegevensinvoer Gedeelde Windows 10-apparaten FIDO2-beveiligingssleutels

Volgende stappen

Voltooi een van de volgende procedures om aan de slag te gaan met wachtwoordloos in Microsoft Entra ID: