Share via

Een externe verificatiemethode beheren in Microsoft Entra-id (preview)

  • Artikel

Met een externe verificatiemethode (EAM) kunnen gebruikers een externe provider kiezen om te voldoen aan MFA-vereisten (MultiFactor Authentication) wanneer ze zich aanmelden bij Microsoft Entra ID. Een EAM kan voldoen aan MFA-vereisten van beleid voor voorwaardelijke toegang, beleid voor aanmeldingsrisico's van Identity Protection, activering van Privileged Identity Management (PIM) en wanneer de toepassing zelf MFA vereist.

EAM's verschillen van federatie omdat de gebruikersidentiteit afkomstig is en wordt beheerd in Microsoft Entra-id. Met federatie wordt de identiteit beheerd in de externe id-provider. EAM's hebben ten minste een Licentie voor Microsoft Entra ID P1 nodig.

Diagram van de werking van verificatie van externe methoden.

Vereiste metagegevens voor het configureren van een EAM

Als u een EAM wilt maken, hebt u de volgende informatie nodig van uw externe verificatieprovider:

  • Een toepassings-id is doorgaans een toepassing met meerdere tenants van uw provider, die wordt gebruikt als onderdeel van de integratie. U moet beheerderstoestemming opgeven voor deze toepassing in uw tenant.

  • Een client-id is een id van uw provider die wordt gebruikt als onderdeel van de verificatieintegratie om Microsoft Entra-id te identificeren die verificatie aanvraagt.

  • Een detectie-URL is het Detectie-eindpunt openID Verbinding maken (OIDC) voor de externe verificatieprovider.

    Notitie

    Zie Een nieuwe externe verificatieprovider configureren met Microsoft Entra-id om de app-registratie in te stellen.

Een EAM beheren in het Microsoft Entra-beheercentrum

EAM's worden beheerd met het beleid voor verificatiemethoden voor Microsoft Entra-id's, net zoals ingebouwde methoden.

Een EAM maken in het beheercentrum

Voordat u een EAM maakt in het beheercentrum, moet u ervoor zorgen dat u over de metagegevens beschikt om een EAM te configureren.

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een bevoorrechte rol Beheer istrator.

  2. Blader naar beveiligingsverificatiemethoden>>Voeg een externe methode toe (preview).

    Schermopname van het toevoegen van een EAM in het Microsoft Entra-beheercentrum.

    Methode-eigenschappen toevoegen op basis van configuratiegegevens van uw provider. Voorbeeld:

    • Naam: Adatum
    • Client-id: 00001111-aaaa-2222-bbbb-3333cccc44444
    • Detectie-eindpunt: https://adatum.com/.well-known/openid-configuration
    • App-id: 11112222-bbbb-3333-cccc-4444ddddd555

    Belangrijk

    De weergavenaam is de naam die wordt weergegeven aan de gebruiker in de methodekiezer. Deze kan niet worden gewijzigd nadat de methode is gemaakt. Weergavenamen moeten uniek zijn.

    Schermopname van het toevoegen van EAM-eigenschappen.

    U hebt de rol Privileged Role Beheer istrator of Global Beheer istrator nodig om beheerderstoestemming te verlenen voor de toepassing van de provider. Als u niet over de vereiste rol beschikt om toestemming te verlenen, kunt u uw verificatiemethode nog steeds opslaan, maar u kunt deze pas inschakelen nadat toestemming is verleend.

    Nadat u de waarden van uw provider hebt ingevoerd, drukt u op de knop om beheerderstoestemming aan te vragen om aan de toepassing te worden verleend, zodat de vereiste gegevens van de gebruiker correct kunnen worden gelezen. U wordt gevraagd u aan te melden met een account met beheerdersmachtigingen en de toepassing van de provider te verlenen met de vereiste machtigingen.

    Nadat u zich hebt aangemeld, klikt u op Accepteren om beheerderstoestemming te verlenen:

    Schermopname van het verlenen van beheerderstoestemming.

    U kunt de machtigingen zien die de providertoepassing aanvraagt voordat u toestemming verleent. Nadat u beheerderstoestemming en de wijziging hebt gerepliceerd, wordt de pagina vernieuwd om aan te geven dat beheerderstoestemming is verleend.

    Schermopname van het beleid voor verificatiemethoden nadat toestemming is verleend.

Als de toepassing machtigingen heeft, kunt u de methode ook inschakelen voordat u opslaat. Anders moet u de methode opslaan in een uitgeschakelde status en inschakelen nadat de toepassing toestemming heeft gegeven.

Zodra de methode is ingeschakeld, kunnen alle gebruikers binnen het bereik de methode kiezen voor MFA-prompts. Als de toepassing van de provider geen toestemming heeft goedgekeurd, mislukt een aanmelding met de methode.

Als de toepassing is verwijderd of niet meer gemachtigd is, zien gebruikers een fout en mislukt de aanmelding. De methode kan niet worden gebruikt.

Een EAM configureren in het beheercentrum

Als u uw EAM's in het Microsoft Entra-beheercentrum wilt beheren, opent u het beleid voor verificatiemethoden. Selecteer de naam van de methode om de configuratieopties te openen. U kunt kiezen welke gebruikers zijn opgenomen en uitgesloten van deze methode.

Schermopname van het bereik van het gebruik van de EAM voor specifieke gebruikers.

Een EAM verwijderen in het beheercentrum

Als u niet meer wilt dat uw gebruikers de EAM kunnen gebruiken, kunt u het volgende doen:

  • Inschakelen op Uit instellen om de methodeconfiguratie op te slaan
  • Klik op Verwijderen om de methode te verwijderen

Schermopname van het verwijderen van een EAM.

Een EAM beheren met Microsoft Graph

Als u het beleid voor verificatiemethoden wilt beheren met behulp van Microsoft Graph, hebt u de Policy.ReadWrite.AuthenticationMethod machtiging nodig. Zie Update authenticationMethodsPolicy voor meer informatie.

Gebruikerservaring

Gebruikers die zijn ingeschakeld voor de EAM, kunnen deze gebruiken wanneer ze zich aanmelden en meervoudige verificatie vereist zijn.

Notitie

We werken actief aan de ondersteuning van MFA van het systeem met EAM's.

Als de gebruiker andere manieren heeft om zich aan te melden en MFA van de systeem voorkeur is ingeschakeld, worden deze andere methoden standaardvolgorde weergegeven. De gebruiker kan ervoor kiezen om een andere methode te gebruiken en vervolgens de EAM te selecteren. Als de gebruiker Bijvoorbeeld Authenticator heeft ingeschakeld als een andere methode, wordt deze gevraagd om nummerkoppeling.

Schermopname van het kiezen van een EAM wanneer MFA van het systeem is ingeschakeld.

Als de gebruiker geen andere methoden heeft ingeschakeld, kan hij of zij alleen de EAM kiezen. Ze worden omgeleid naar de externe verificatieprovider om de verificatie te voltooien.

Schermopname van het aanmelden met een EAM.

Aangepaste besturingselementen voor EAM en voorwaardelijke toegang parallel gebruiken

EAM's en aangepaste besturingselementen kunnen parallel worden uitgevoerd. Microsoft raadt beheerders aan twee beleidsregels voor voorwaardelijke toegang te configureren:

  • Eén beleid om het aangepaste besturingselement af te dwingen
  • Een ander beleid waarvoor de MFA-toekenning is vereist

Neem een testgroep met gebruikers op voor elk beleid, maar niet voor beide. Als een gebruiker is opgenomen in beide beleidsregels of een beleid met beide voorwaarden, moet de gebruiker tijdens het aanmelden aan MFA voldoen. Ze moeten ook voldoen aan het aangepaste besturingselement, waardoor ze een tweede keer worden omgeleid naar de externe provider.

Volgende stappen

Zie Verificatiemethoden beheren voor Microsoft Entra-id voor meer informatie over het beheren van verificatiemethoden.

Zie Voor referentiemateriaal voor EAM-providers microsoft Entra multifactor authentication external method provider reference (Preview).