Overzicht van gecombineerde registratie van beveiligingsgegevens voor Microsoft Entra
Vóór gecombineerde registratie hebben gebruikers verificatiemethoden geregistreerd voor Meervoudige Verificatie van Microsoft Entra en selfservice voor wachtwoordherstel (SSPR) afzonderlijk. Mensen waren verward dat vergelijkbare methoden werden gebruikt voor meervoudige verificatie en SSPR, maar ze moesten zich registreren voor beide functies. Met gecombineerde registratie kunnen gebruikers zich nu eenmaal registreren en profiteren van de voordelen van meervoudige verificatie en SSPR. We raden deze video aan over het inschakelen en configureren van SSPR in Microsoft Entra ID.
Voordat u de nieuwe ervaring inschakelt, raadpleegt u deze door de beheerder gerichte documentatie en de gebruikersdocumentatie om ervoor te zorgen dat u de functionaliteit en het effect van deze functie begrijpt. Baseer uw training op de gebruikersdocumentatie om uw gebruikers voor te bereiden op de nieuwe ervaring en om te zorgen voor een succesvolle implementatie.
Mijn accountpagina's worden gelokaliseerd op basis van de taalinstellingen van de computer die de pagina opent. Microsoft slaat de meest recente taal op die wordt gebruikt in de browsercache, dus volgende pogingen om toegang te krijgen tot de pagina's blijven worden weergegeven in de laatste gebruikte taal. Als u de cache wist, worden de pagina's opnieuw weergegeven.
Als u een specifieke taal wilt afdwingen, kunt u toevoegen ?lng=<language>
aan het einde van de URL, waarbij <language>
de code is van de taal die u wilt weergeven.
Methoden die beschikbaar zijn in gecombineerde registratie
Gecombineerde registratie ondersteunt de verificatiemethoden en acties in de volgende tabel.
Wijze | Registreren | Wijzigen | Delete |
---|---|---|---|
Microsoft Authenticator | Ja (maximaal 5) | Nr. | Ja |
Andere authenticator-app | Ja (maximaal 5) | Nr. | Ja |
Hardwaretoken | Nee | No | Ja |
Telefoon | Ja (maximaal 2) | Ja | Ja |
Alternatieve telefoon | Ja | Ja | Ja |
Telefoon op kantoor* | Ja | Ja | Ja |
E-mailen | Ja | Ja | Ja |
Beveiligingsvragen | Ja | No | Ja |
Wachtwoords | Nr. | Ja | Nr. |
App-wachtwoorden* | Ja | No | Ja |
Wachtwoordsleutel (FIDO2)* | Ja (maximaal 10) | Nr. | Ja |
Notitie
Als u Microsoft Authenticator inschakelt voor de verificatiemodus zonder wachtwoord in het beleid voor verificatiemethoden, moeten gebruikers ook aanmelding zonder wachtwoord inschakelen in de Authenticator-app.
Alternatieve telefoon kan alleen worden geregistreerd in de beheermodus voor beveiligingsgegevens en vereist dat spraakoproepen zijn ingeschakeld in het beleid voor verificatiemethoden.
Office-telefoon kan alleen worden geregistreerd in de interruptmodus als de eigenschap Zakelijke telefoon van gebruikers is ingesteld. Office-telefoon kan worden toegevoegd door gebruikers in de modus Beheren vanuit beveiligingsgegevens zonder deze vereiste.
App-wachtwoorden zijn alleen beschikbaar voor gebruikers die zijn afgedwongen voor MFA per gebruiker. App-wachtwoorden zijn niet beschikbaar voor gebruikers die zijn ingeschakeld voor meervoudige verificatie van Microsoft Entra door een beleid voor voorwaardelijke toegang.
Wachtwoordsleutels (FIDO2) kunnen ook worden ingericht met behulp van een aangepaste client of partnerintegratie met Microsoft Graph. Zie onze API's voor meer informatie.
Gebruikers kunnen een van de volgende opties instellen als de standaardmethode voor meervoudige verificatie.
- Microsoft Authenticator : pushmelding of wachtwoordloos
- Authenticator-app of hardwaretoken : code
- Telefoongesprek
- Tekstbericht
Notitie
Virtuele telefoonnummers worden niet ondersteund voor spraakoproepen of sms-berichten.
Authenticator-apps van derden bieden geen pushmelding. Naarmate we meer verificatiemethoden aan Microsoft Entra ID blijven toevoegen, worden deze methoden beschikbaar in gecombineerde registratie.
Gecombineerde registratiemodi
Er zijn twee modi van gecombineerde registratie:
- De interruptmodus is een wizardachtige ervaring die aan gebruikers wordt gepresenteerd wanneer ze hun beveiligingsgegevens registreren of vernieuwen bij het aanmelden.
- De beheermodus maakt deel uit van het gebruikersprofiel en stelt gebruikers in staat hun beveiligingsgegevens te beheren.
Voor beide modi moeten gebruikers die eerder een methode hebben geregistreerd die kan worden gebruikt voor meervoudige verificatie van Microsoft Entra, meervoudige verificatie uitvoeren voordat ze toegang hebben tot hun beveiligingsgegevens. Gebruikers moeten hun gegevens bevestigen voordat ze hun eerder geregistreerde methoden blijven gebruiken.
Interruptmodus
Gecombineerde registratie voldoet aan zowel meervoudige verificatie als SSPR-beleid, als beide zijn ingeschakeld voor uw tenant. Deze beleidsregels bepalen of een gebruiker wordt onderbroken voor registratie tijdens het aanmelden en welke methoden beschikbaar zijn voor registratie. Als alleen een SSPR-beleid is ingeschakeld, kunnen gebruikers de registratieonderbreking (voor onbepaalde tijd) overslaan en op een later tijdstip voltooien.
Hier volgen voorbeeldscenario's waarin gebruikers mogelijk worden gevraagd om hun beveiligingsgegevens te registreren of te vernieuwen:
- registratie met meervoudige verificatie die wordt afgedwongen via Microsoft Entra ID Protection: gebruikers worden gevraagd zich te registreren tijdens het aanmelden. Ze registreren meervoudige verificatiemethoden en SSPR-methoden (als de gebruiker is ingeschakeld voor SSPR).
- meervoudige verificatieregistratie afgedwongen via meervoudige verificatie per gebruiker: gebruikers worden gevraagd zich te registreren tijdens het aanmelden. Ze registreren meervoudige verificatiemethoden en SSPR-methoden (als de gebruiker is ingeschakeld voor SSPR).
- registratie voor meervoudige verificatie die wordt afgedwongen via voorwaardelijke toegang of ander beleid: gebruikers worden gevraagd zich te registreren wanneer ze een resource gebruiken waarvoor meervoudige verificatie is vereist. Ze registreren meervoudige verificatiemethoden en SSPR-methoden (als de gebruiker is ingeschakeld voor SSPR).
- SSPR-registratie afgedwongen: gebruikers worden gevraagd zich te registreren tijdens het aanmelden. Ze registreren alleen SSPR-methoden.
- SSPR-vernieuwing afgedwongen: gebruikers moeten hun beveiligingsgegevens controleren met een interval dat door de beheerder is ingesteld. Gebruikers worden hun gegevens weergegeven en kunnen de huidige gegevens bevestigen of zo nodig wijzigingen aanbrengen.
Wanneer registratie wordt afgedwongen, krijgen gebruikers het minimale aantal methoden weer dat nodig is om te voldoen aan zowel meervoudige verificatie als SSPR-beleid, van het meest tot het minst veilig. Gebruikers die gecombineerde registratie doorlopen waarbij zowel MFA- als SSPR-registratie worden afgedwongen en het SSPR-beleid vereist dat er eerst twee methoden worden vereist om een MFA-methode te registreren als de eerste methode en een andere MFA- of SSPR-specifieke methode kan selecteren als de tweede geregistreerde methode (zoals e-mail, beveiligingsvragen, enzovoort)
Overweeg het volgende voorbeeldscenario:
- Een gebruiker is ingeschakeld voor SSPR. Voor het SSPR-beleid zijn twee methoden vereist om de Microsoft Authenticator-app, e-mail en telefoon opnieuw in te stellen en ingeschakeld.
- Wanneer de gebruiker ervoor kiest om zich te registreren, zijn er twee methoden vereist:
- De gebruiker wordt standaard de Microsoft Authenticator-app en -telefoon weergegeven.
- De gebruiker kan ervoor kiezen om e-mail te registreren in plaats van de Authenticator-app of telefoon.
Wanneer ze Microsoft Authenticator instellen, kan de gebruiker klikken op ik wil een andere methode instellen om andere verificatiemethoden te registreren. De lijst met beschikbare methoden wordt bepaald door het beleid voor verificatiemethoden voor de tenant.
In het volgende stroomdiagram wordt beschreven welke methoden worden weergegeven aan een gebruiker wanneer deze wordt onderbroken om zich te registreren tijdens het aanmelden:
Als u zowel meervoudige verificatie als SSPR hebt ingeschakeld, raden we u aan meervoudige verificatieregistratie af te dwingen.
Als het SSPR-beleid vereist dat gebruikers hun beveiligingsgegevens regelmatig controleren, worden gebruikers onderbroken tijdens het aanmelden en worden alle geregistreerde methoden weergegeven. Ze kunnen de huidige informatie bevestigen als deze up-to-date is, of ze kunnen desgewenst wijzigingen aanbrengen. Gebruikers moeten meervoudige verificatie uitvoeren om toegang te krijgen tot deze pagina.
Beheermodus
Gebruikers kunnen naar Beveiligingsgegevens gaan of ze kunnen Beveiligingsgegevens selecteren in Mijn account. Van daaruit kunnen gebruikers methoden toevoegen, bestaande methoden verwijderen of wijzigen, de standaardmethode wijzigen en meer.
Sessiebesturingselementen voor gecombineerde registratie
Standaard dwingt gecombineerde registratie alle MFA-compatibele gebruikers af om sterk te verifiëren voordat ze hun beveiligingsgegevens registreren of beheren. Als een gebruiker momenteel is aangemeld en MFA eerder heeft voltooid als onderdeel van een geldige sessie, is er standaard geen extra MFA vereist, tenzij een gebruiker probeert een methode voor wachtwoordsleutels (FIDO2) toe te voegen of te wijzigen. Voor het toevoegen of wijzigen van een wachtwoordsleutelmethode (FIDO2) moeten gebruikers binnen de afgelopen 5 minuten sterk zijn geverifieerd. Als MFA de afgelopen 5 minuten niet is voltooid, wordt de gebruiker gevraagd zich aan te melden en nieuwe MFA te voltooien. Organisaties kunnen de verificatievereisten wijzigen door beleid voor voorwaardelijke toegang te definiëren voor het beveiligen van registratie van beveiligingsgegevens.
Gecombineerde registratiesessies zijn slechts 15 minuten geldig. Als registratie- of beheeracties van een gebruiker langer duren dan deze periode, verloopt de sessie en wordt de gebruiker gevraagd zich opnieuw aan te melden om door te gaan.
Belangrijke gebruiksscenario's
Een wachtwoord wijzigen in MySignIns
Een gebruiker navigeert naar beveiligingsgegevens. Nadat de gebruiker zich heeft aangemeld, kan het wachtwoord worden gewijzigd. Als de gebruiker zich verifieert met een wachtwoord en een meervoudige verificatiemethode, kunnen ze de verbeterde gebruikerservaring gebruiken om hun wachtwoord te wijzigen zonder hun bestaande wachtwoord in te voeren. Wanneer u klaar bent, heeft de gebruiker het nieuwe wachtwoord bijgewerkt op de pagina Beveiligingsgegevens. Verificatiemethoden zoals Tijdelijke Toegangspas (TAP) worden niet ondersteund voor wachtwoordwijziging, tenzij de gebruiker het bestaande wachtwoord kent.
Notitie
Als u koppelingen hebt die verwijzen naar de oude wijzigingswachtwoordervaring, werkt u deze bij naar de volgende doorgestuurde koppeling om gebruikers naar de nieuwe ervaring Mijn aanmeldingen wachtwoord wijzigen: https://go.microsoft.com/fwlink/?linkid=2224198.
Registratie van beveiligingsgegevens beveiligen met voorwaardelijke toegang
Als u wilt beveiligen wanneer en hoe gebruikers zich registreren voor Meervoudige verificatie van Microsoft Entra en selfservice voor wachtwoordherstel, kunt u gebruikersacties gebruiken in het beleid voor voorwaardelijke toegang. Deze functionaliteit kan worden ingeschakeld in organisaties die willen dat gebruikers zich registreren voor Meervoudige Verificatie van Microsoft Entra en SSPR vanaf een centrale locatie, zoals een vertrouwde netwerklocatie tijdens het onboarden van HR. Meer informatie over het configureren van algemene beleidsregels voor voorwaardelijke toegang voor het beveiligen van registratie van beveiligingsgegevens.
Beveiligingsgegevens instellen tijdens aanmelding
Een beheerder heeft registratie afgedwongen.
Een gebruiker heeft niet alle vereiste beveiligingsgegevens ingesteld en gaat naar het Microsoft Entra-beheercentrum. Nadat de gebruiker de gebruikersnaam en het wachtwoord heeft ingevoerd, wordt de gebruiker gevraagd om beveiligingsgegevens in te stellen. De gebruiker volgt vervolgens de stappen die worden weergegeven in de wizard om de vereiste beveiligingsgegevens in te stellen. Als uw instellingen dit toestaan, kan de gebruiker ervoor kiezen om andere methoden in te stellen dan de methoden die standaard worden weergegeven. Nadat gebruikers de wizard hebben voltooid, controleren ze de methoden die ze hebben ingesteld en hun standaardmethode voor meervoudige verificatie. Om het installatieproces te voltooien, bevestigt de gebruiker de informatie en gaat deze door naar het Microsoft Entra-beheercentrum.
Beveiligingsgegevens instellen vanuit Mijn account
Een beheerder heeft geen registratie afgedwongen.
Een gebruiker die nog niet alle vereiste beveiligingsgegevens heeft ingesteld, gaat naar https://myaccount.microsoft.com. De gebruiker selecteert beveiligingsgegevens in het linkerdeelvenster. Hier kiest de gebruiker om een methode toe te voegen, selecteert een van de beschikbare methoden en volgt de stappen om die methode in te stellen. Wanneer deze klaar is, ziet de gebruiker de methode die is ingesteld op de pagina Beveiligingsgegevens.
Andere methoden instellen na gedeeltelijke registratie
Als een gebruiker gedeeltelijk tevreden is over de MFA- of SSPR-registratie vanwege bestaande registraties van verificatiemethoden die door de gebruiker of beheerder worden uitgevoerd, wordt gebruikers alleen gevraagd om aanvullende informatie te registreren die is toegestaan door de beleidsinstellingen voor verificatiemethoden wanneer registratie is vereist. Als er meer dan één andere verificatiemethode beschikbaar is voor de gebruiker om te kiezen en te registreren, wordt een optie voor de registratie-ervaring met de titel Ik wil een andere methode instellen en kan de gebruiker de gewenste verificatiemethode instellen.
Beveiligingsgegevens verwijderen uit Mijn account
Een gebruiker die eerder ten minste één methode heeft ingesteld, gaat naar beveiligingsgegevens. De gebruiker kiest ervoor een van de eerder geregistreerde methoden te verwijderen. Wanneer deze is voltooid, ziet de gebruiker die methode niet meer op de pagina Beveiligingsgegevens.
De standaardmethode wijzigen vanuit Mijn account
Een gebruiker die eerder ten minste één methode heeft ingesteld die kan worden gebruikt voor meervoudige verificatie, gaat naar beveiligingsgegevens. De gebruiker wijzigt de huidige standaardmethode in een andere standaardmethode. Wanneer deze is voltooid, ziet de gebruiker de nieuwe standaardmethode op de pagina Beveiligingsgegevens.
Schakelen tussen mappen
Een externe identiteit, zoals een B2B-gebruiker, moet mogelijk overschakelen naar de directory om de beveiligingsregistratiegegevens voor een tenant van derden te wijzigen. Bovendien kunnen gebruikers die toegang hebben tot een resourcetenant verwarrend zijn wanneer ze instellingen in hun thuistenant wijzigen, maar de wijzigingen niet zien in de resourcetenant.
Een gebruiker stelt bijvoorbeeld pushmeldingen voor de Microsoft Authenticator-app in als de primaire verificatie voor aanmelding bij de thuistenant en heeft ook sms/tekst als een andere optie. Deze gebruiker is ook geconfigureerd met de optie SMS/Tekst in een resourcetenant. Als deze gebruiker sms/tekst verwijdert als een van de verificatieopties op hun thuistenant, wordt deze in de war wanneer toegang tot de resourcetenant hen vraagt om te reageren op sms/sms-berichten.
Als u de map in het Microsoft Entra-beheercentrum wilt wijzigen, klikt u op de naam van het gebruikersaccount in de rechterbovenhoek en klikt u op Schakelen tussen mappen.
U kunt ook een tenant per URL opgeven voor toegang tot beveiligingsgegevens.
https://mysignins.microsoft.com/security-info?tenant=<Tenant Name>
https://mysignins.microsoft.com/security-info/?tenantId=<Tenant ID>
Notitie
Klanten die beveiligingsgegevens willen registreren of beheren via gecombineerde registratie of de pagina Mijn aanmeldingen, moeten een moderne browser gebruiken, zoals Microsoft Edge.
IE11 wordt niet officieel ondersteund voor het maken van een webweergave of browser in toepassingen, omdat deze niet werkt zoals verwacht in alle scenario's.
Toepassingen die niet zijn bijgewerkt en die nog steeds gebruikmaken van Azure AD Authentication Library (ADAL) die afhankelijk zijn van verouderde webweergaven, kunnen terugvallen op oudere versies van Internet Explorer. In deze scenario's ervaren gebruikers een lege pagina wanneer ze worden omgeleid naar de pagina Mijn aanmeldingen. U kunt dit probleem oplossen door over te schakelen naar een moderne browser.
Volgende stappen
Zie de zelfstudies om selfservice voor wachtwoordherstel in te schakelen en Meervoudige Verificatie van Microsoft Entra in te schakelen om aan de slag te gaan.
Meer informatie over het inschakelen van gecombineerde registratie in uw tenant of het afdwingen van gebruikers om verificatiemethoden opnieuw te registreren.
U kunt ook de beschikbare methoden voor meervoudige verificatie en SSPR van Microsoft Entra bekijken.