Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Met een externe verificatiemethode (EAM) kunnen gebruikers een externe provider kiezen om te voldoen aan MFA-vereisten (MultiFactor Authentication) wanneer ze zich aanmelden bij Microsoft Entra ID. Een EAM kan voldoen aan MFA-vereisten van beleid voor voorwaardelijke toegang, Op Risico Gebaseerde Beleidsregels Voor Voorwaardelijke Toegang van Microsoft Entra ID Bescherming, PIM-activering (Privileged Identity Management) en wanneer de toepassing zelf MFA vereist.
EAM's verschillen van federatie omdat de gebruikersidentiteit afkomstig is en wordt beheerd in Microsoft Entra-id. Met federatie wordt de identiteit beheerd in de externe id-provider. EAM's hebben ten minste een Licentie voor Microsoft Entra ID P1 nodig.
Vereiste metagegevens voor het configureren van een EAM
Als u een EAM wilt maken, hebt u de volgende informatie nodig van uw externe verificatieprovider:
Een toepassings-id is doorgaans een toepassing met meerdere tenants van uw provider, die wordt gebruikt als onderdeel van de integratie. U moet beheerderstoestemming opgeven voor deze toepassing in uw tenant.
Een client-id is een id van uw provider die wordt gebruikt als onderdeel van de verificatieintegratie om Microsoft Entra-id te identificeren die verificatie aanvraagt.
Een detectie-URL is het detectie-eindpunt openID Connect (OIDC) voor de externe verificatieprovider.
Notitie
Zie Een nieuwe externe verificatieprovider configureren met Microsoft Entra-id om de app-registratie in te stellen.
Belangrijk
Zorg ervoor dat de eigenschap kid (Key ID) base64 is gecodeerd in zowel de JWT-header van de id_token als in de JSON Web Key Set (JWKS) die is opgehaald uit de jwks_uri van de provider. Deze coderingsuitlijning is essentieel voor de naadloze validatie van tokenhandtekeningen tijdens verificatieprocessen. Een onjuiste uitlijning kan leiden tot problemen met sleutelkoppeling of handtekeningvalidatie.
Een EAM beheren in het Microsoft Entra-beheercentrum
EAMs worden beheerd met het beleid voor verificatiemethoden voor Microsoft Entra ID, net zoals ingebouwde methoden.
Een EAM maken in het beheercentrum
Voordat u een EAM maakt in het beheercentrum, moet u ervoor zorgen dat u over de metagegevens beschikt om een EAM te configureren.
Meld u aan bij het Microsoft Entra-beheercentrum als minimaal beheerder van bevoorrechte rollen.
Blader naar Entra ID-verificatiemethoden>>Externe methode toevoegen (preview).
Methode-eigenschappen toevoegen op basis van configuratiegegevens van uw provider. Voorbeeld:
- Naam: Adatum
- Client-id: 00001111-aaaa-2222-bbbb-3333cccc44444
- Detectie-eindpunt:
https://adatum.com/.well-known/openid-configuration - App-id: 11112222-bbbb-3333-cccc-4444ddddd555
Belangrijk
De weergavenaam is de naam die wordt weergegeven aan de gebruiker in de methodekiezer. Deze kan niet worden gewijzigd nadat de methode is gemaakt. Weergavenamen moeten uniek zijn.
U hebt minimaal de Beheerder van bevoorrechte rol nodig om beheerderstoestemming te geven voor de applicatie van de provider. Als u niet over de vereiste rol beschikt om toestemming te verlenen, kunt u uw verificatiemethode nog steeds opslaan, maar u kunt deze pas inschakelen nadat toestemming is verleend.
Nadat u de waarden van uw provider hebt ingevoerd, drukt u op de knop om beheerderstoestemming voor de toepassing aan te vragen, zodat de vereiste gegevens van de gebruiker correct gelezen kunnen worden om authenticatie mogelijk te maken. U wordt gevraagd u aan te melden met een account met beheerdersmachtigingen en de provider's toepassing de vereiste machtigingen te verlenen.
Nadat u zich hebt aangemeld, klikt u op Accepteren om beheerderstoestemming te verlenen:
U kunt de machtigingen zien die de providertoepassing aanvraagt voordat u toestemming verleent. Nadat u beheerdersrechten hebt verleend en de verandering is gerepliceerd, wordt de pagina vernieuwd om aan te geven dat de beheerdersrechten zijn verleend.
Als de toepassing machtigingen heeft, kunt u de methode ook inschakelen voordat u opslaat. Anders moet u de methode opslaan in een uitgeschakelde status en inschakelen nadat de toepassing toestemming heeft gegeven.
Zodra de methode is ingeschakeld, kunnen alle gebruikers binnen het bereik de methode kiezen voor MFA-prompts. Als de toepassing van de provider geen toestemming heeft goedgekeurd, mislukt een aanmelding met de methode.
Als de toepassing is verwijderd of niet meer gemachtigd is, zien gebruikers een fout en mislukt de aanmelding. De methode kan niet worden gebruikt.
Een EAM configureren in het beheercentrum
Als u uw EAM's in het Microsoft Entra-beheercentrum wilt beheren, opent u het beleid voor verificatiemethoden. Selecteer de naam van de methode om de configuratieopties te openen. U kunt kiezen welke gebruikers zijn opgenomen en uitgesloten van deze methode.
Een EAM verwijderen in het beheercentrum
Als u niet meer wilt dat uw gebruikers de EAM kunnen gebruiken, kunt u het volgende doen:
- Stel Inschakelen in op Uit om de methodeconfiguratie op te slaan
- Klik op Verwijderen om de methode te verwijderen
Een EAM beheren met Microsoft Graph
Als u het beleid voor verificatiemethoden wilt beheren met behulp van Microsoft Graph, hebt u de Policy.ReadWrite.AuthenticationMethod machtiging nodig. Zie Update authenticationMethodsPolicy voor meer informatie.
Gebruikerservaring
Gebruikers die zijn ingeschakeld voor de EAM, kunnen deze gebruiken wanneer ze zich aanmelden en meervoudige verificatie vereist zijn.
Als de gebruiker andere manieren heeft om zich aan te melden en de systeemvoorkeur MFA is ingeschakeld, worden deze andere methodes in standaardvolgorde weergegeven. De gebruiker kan ervoor kiezen om een andere methode te gebruiken en vervolgens de EAM te selecteren. Als de gebruiker Bijvoorbeeld Authenticator heeft ingeschakeld als een andere methode, wordt deze gevraagd om nummerkoppeling.
Als de gebruiker geen andere methoden heeft ingeschakeld, kan hij of zij alleen de EAM kiezen. Ze worden omgeleid naar de externe verificatieprovider om de verificatie te voltooien.
Registratie van verificatiemethode voor EAM's
In de preview worden alle gebruikers in een include-groep voor de EAM beschouwd als in staat om MFA te gebruiken en kunnen ze de externe authenticatiemethode toepassen om aan de MFA-vereisten te voldoen. Gebruikers die geschikt zijn voor MFA omdat ze een include-doel voor een EAM zijn, worden niet opgenomen in rapporten over registratie van verificatiemethoden.
Notitie
We werken actief aan het toevoegen van registratiemogelijkheden voor EAM's. Zodra de registratie is toegevoegd, moeten gebruikers die eerder een EAM gebruiken, de EAM registreren bij Entra-id voordat ze worden gevraagd deze te gebruiken om aan MFA te voldoen.
Gebruik maken van aangepaste besturingselementen voor EAM en voorwaardelijke toegang parallel.
EAM's en aangepaste besturingselementen kunnen parallel worden uitgevoerd. Microsoft raadt beheerders aan twee beleidsregels voor voorwaardelijke toegang te configureren:
- Eén beleid om de aangepaste controle af te dwingen
- Een ander beleidsregel waarvoor de MFA-subsidie vereist is
Neem een testgroep met gebruikers op voor elk beleid, maar niet voor beide. Als een gebruiker is opgenomen in beide beleidsregels of een beleid met beide voorwaarden, moet de gebruiker tijdens het aanmelden aan MFA voldoen. Ze moeten ook voldoen aan de aangepaste controle, waardoor ze een tweede keer worden omgeleid naar de externe provider.
Volgende stappen
Zie Verificatiemethoden beheren voor Microsoft Entra-id voor meer informatie over het beheren van verificatiemethoden.
Zie voor referentiemateriaal voor EAM-providers Microsoft Entra multifactor authentication external method provider reference (Preview).