Delen via


Aanmelden zonder wachtwoord inschakelen met Microsoft Authenticator

Microsoft Authenticator kan worden gebruikt om u aan te melden bij een Microsoft Entra-account zonder een wachtwoord te gebruiken. Microsoft Authenticator maakt gebruik van verificatie op basis van sleutels om een gebruikersreferentie in te schakelen die is gekoppeld aan een apparaat, waarbij het apparaat gebruikmaakt van een pincode of biometrische gegevens. Windows Hello voor Bedrijven maakt gebruik van een vergelijkbare technologie.

Deze verificatietechnologie kan worden gebruikt op elk apparaatplatform, inclusief mobiel. Deze technologie kan ook worden gebruikt met elke app of website die kan worden geïntegreerd met Microsoft Authentication Libraries.

Schermopname van een voorbeeld van een browseraanmelding waarin de gebruiker wordt gevraagd om de aanmelding goed te keuren.

Personen die aanmelding via de telefoon van Microsoft Authenticator hebben ingeschakeld, zien een bericht waarin hen wordt gevraagd om op een nummer in hun app te tikken. Er wordt geen gebruikersnaam of wachtwoord gevraagd. Om het aanmeldingsproces in de app te voltooien, moet een gebruiker de volgende acties uitvoeren:

  1. Voer het nummer in dat ze op het aanmeldingsscherm zien in het dialoogvenster Microsoft Authenticator.
  2. Kies Goedkeuren.
  3. Geef hun pincode of biometrische gegevens op.

Meerdere accounts

U kunt aanmelding zonder wachtwoord inschakelen voor meerdere accounts in Microsoft Authenticator op elk ondersteund Android- of iOS-apparaat. Consultants, studenten en anderen met meerdere accounts in Microsoft Entra ID kunnen elk account toevoegen aan Microsoft Authenticator en aanmelding zonder wachtwoord gebruiken voor iedereen vanaf hetzelfde apparaat.

Voorheen hebben beheerders mogelijk geen aanmelding zonder wachtwoord nodig voor gebruikers met meerdere accounts, omdat hiervoor meer apparaten moeten worden gebruikt voor aanmelding. Door de beperking van één gebruikersaanmelding van een apparaat te verwijderen, kunnen beheerders gebruikers aanmoedigen om zich zonder wachtwoord aan te melden en deze te gebruiken als hun standaardaanmeldingsmethode.

De Microsoft Entra-accounts kunnen zich in dezelfde tenant of verschillende tenants bevinden. Gastaccounts worden niet ondersteund voor aanmeldingen van meerdere accounts vanaf één apparaat.

Voorwaarden

Als u aanmelding zonder wachtwoord wilt gebruiken met Microsoft Authenticator, moet aan de volgende vereisten worden voldaan:

  • Aanbevolen: Meervoudige verificatie van Microsoft Entra, waarbij pushmeldingen zijn toegestaan als verificatiemethode. Pushmeldingen verzenden naar uw smartphone of tablet helpen de Authenticator-app om onbevoegde toegang tot accounts te voorkomen en frauduleuze transacties te stoppen. De Authenticator-app genereert automatisch codes wanneer deze zijn ingesteld om pushmeldingen uit te voeren. Een gebruiker heeft een aanmeldingsmethode voor back-ups, zelfs als het apparaat geen verbinding heeft.
  • De nieuwste versie van Microsoft Authenticator die is geïnstalleerd op apparaten met iOS of Android.
  • Het apparaat moet worden geregistreerd bij elke tenant waar het wordt gebruikt om u aan te melden. Het volgende apparaat moet bijvoorbeeld zijn geregistreerd bij Contoso en Wingtiptoys, zodat alle accounts zich kunnen aanmelden:
    • balas@contoso.com
    • balas@wingtiptoys.com en bsandhu@wingtiptoys

Als u verificatie zonder wachtwoord in Microsoft Entra ID wilt gebruiken, moet u eerst de gecombineerde registratie-ervaring inschakelen en vervolgens gebruikers inschakelen voor de methode zonder wachtwoord.

Verificatiemethoden voor aanmelden zonder wachtwoord inschakelen

Fooi

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

Met Microsoft Entra ID kunnen beheerders van verificatiebeleid kiezen welke verificatiemethoden kunnen worden gebruikt om u aan te melden. Ze kunnen Microsoft Authenticator inschakelen in het beleid voor verificatiemethoden om zowel de traditionele push-MFA-methode als de verificatiemethode zonder wachtwoord te beheren.

Nadat Microsoft Authenticator is ingeschakeld als verificatiemethode, kunnen gebruikers naar hun beveiligingsgegevens gaan om Microsoft Authenticator te registreren als een manier om u aan te melden. Ze zien dat Microsoft Authenticator wordt vermeld als een methode in de beveiligingsgegevens. Ze zien bijvoorbeeld Microsoft Authenticator-Passwordless of Microsoft Authenticator-MFA Push , afhankelijk van wat is ingeschakeld en geregistreerd.

Voer de volgende stappen uit om de verificatiemethode in te schakelen voor aanmelding zonder wachtwoord:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleidsbeheerder.

  2. Blader naar >beleid voor beveiligingsverificatiemethoden.>

  3. Kies onder Microsoft Authenticator de volgende opties:

    1. Inschakelen - Ja of Nee
    2. Doel - Alle gebruikers of Gebruikers selecteren
  4. Elke toegevoegde groep of gebruiker is standaard ingeschakeld om Microsoft Authenticator te gebruiken in zowel modus voor wachtwoordloze als pushmeldingen ('Any'). Als u de modus wilt wijzigen, kiest u voor elke rij voor de verificatiemodus Alle of Zonder wachtwoord. Als u Push kiest, wordt het gebruik van de aanmeldingsreferentie voor de telefoon zonder wachtwoord voorkomen.

  5. Als u het nieuwe beleid wilt toepassen, klikt u op Opslaan.

    Notitie

    Als er een fout optreedt wanneer u probeert op te slaan, kan de oorzaak worden veroorzaakt door het aantal gebruikers of groepen dat wordt toegevoegd. Als tijdelijke oplossing vervangt u de gebruikers en groepen die u probeert toe te voegen door één groep, in dezelfde bewerking en selecteert u Opslaan opnieuw.

Gebruikersregistratie

Gebruikers registreren zich voor de verificatiemethode zonder wachtwoord van Microsoft Entra ID. Voor gebruikers die de Microsoft Authenticator-app al hebben geregistreerd voor meervoudige verificatie, gaat u naar de volgende sectie en schakelt u aanmelding via de telefoon in.

Aanmeldingsregistratie voor directe telefoon

Gebruikers kunnen zich rechtstreeks registreren voor telefoon zonder wachtwoord in de Microsoft Authenticator-app, zonder dat ze Microsoft Authenticator eerst hoeven te registreren met hun account, allemaal zonder dat ze een wachtwoord hoeven op te halen. U doet dit als volgt:

  1. Verkrijg een tijdelijke toegangspas van uw beheerder of organisatie.
  2. Download en installeer de Microsoft Authenticator-app op uw mobiele apparaat.
  3. Open Microsoft Authenticator en klik op Account toevoegen en kies vervolgens Werk- of schoolaccount.
  4. Kies Aanmelden.
  5. Volg de instructies om u aan te melden met uw account met behulp van de tijdelijke toegangspas van uw beheerder of organisatie.
  6. Zodra u zich hebt aangemeld, gaat u verder met het volgen van de aanvullende stappen voor het instellen van telefoon-aanmelding.

Begeleide registratie met Mijn aanmeldingen

Notitie

Gebruikers kunnen Microsoft Authenticator alleen registreren via gecombineerde registratie als de verificatiemodus van Microsoft Authenticator is ingesteld op Any of Push.

Voer de volgende stappen uit om de Microsoft Authenticator-app te registreren:

  1. Blader naar https://aka.ms/mysecurityinfo.
  2. Meld u aan en selecteer vervolgens Methode>Authenticator-app>Toevoegen om Microsoft Authenticator toe te voegen.
  3. Volg de instructies voor het installeren en configureren van de Microsoft Authenticator-app op uw apparaat.
  4. Selecteer Gereed om de Configuratie van Microsoft Authenticator te voltooien.

Telefoon aanmelden inschakelen

Nadat gebruikers zich hebben geregistreerd voor de Microsoft Authenticator-app, moeten ze zich aanmelden via de telefoon inschakelen:

  1. Selecteer in Microsoft Authenticator het account dat is geregistreerd.
  2. Selecteer Aanmelden via telefoon inschakelen.
  3. Volg de instructies in de app om het account te registreren voor aanmelding zonder wachtwoord.

Een organisatie kan de gebruikers omsturen om zich aan te melden met hun telefoon, zonder een wachtwoord te gebruiken. Zie Aanmelden bij uw accounts met behulp van de Microsoft Authenticator-app voor meer hulp bij het configureren van Microsoft Authenticator en het inschakelen van telefoon-aanmelding.

Notitie

Gebruikers die niet zijn toegestaan door beleid voor het gebruik van telefooninloggen, kunnen deze niet meer inschakelen in Microsoft Authenticator.

Aanmelden met referenties zonder wachtwoord

Een gebruiker kan aanmelding zonder wachtwoord gaan gebruiken nadat alle volgende acties zijn voltooid:

  • Een beheerder heeft de tenant van de gebruiker ingeschakeld.
  • De gebruiker heeft Microsoft Authenticator toegevoegd als aanmeldingsmethode.

De eerste keer dat een gebruiker het aanmeldingsproces voor de telefoon start, voert de gebruiker de volgende stappen uit:

  1. Voer hun naam in op de aanmeldingspagina.
  2. Selecteert volgende.
  3. Selecteert indien nodig andere manieren om u aan te melden.
  4. Selecteert Een aanvraag goedkeuren voor mijn Authenticator-app.

De gebruiker krijgt vervolgens een getal te zien. De app vraagt de gebruiker om zich te verifiëren door het juiste nummer te typen in plaats van een wachtwoord in te voeren.

Nadat de gebruiker aanmelding zonder wachtwoord heeft gebruikt, blijft de app de gebruiker door deze methode leiden. De gebruiker ziet echter de optie om een andere methode te kiezen.

Schermopname van een voorbeeld van een browseraanmelding met behulp van de Microsoft Authenticator-app.

Tijdelijke toegangspas

Als de tenantbeheerder selfservice voor wachtwoordherstel (SSPR) heeft ingeschakeld en een gebruiker zich voor het eerst aanmeldt zonder wachtwoord met de Authenticator-app met behulp van een tijdelijk toegangswachtwoord, moet u de volgende stappen uitvoeren:

  1. De gebruiker moet een browser openen op een mobiel apparaat of desktop en naar de infopagina mySecurity gaan.
  2. De gebruiker moet de Authenticator-app registreren als aanmeldingsmethode. Met deze actie wordt het account van de gebruiker gekoppeld aan de app.
  3. De gebruiker moet vervolgens terugkeren naar hun mobiele apparaat en aanmelden zonder wachtwoord activeren via de Authenticator-app.

Beheer

Het beleid voor verificatiemethoden is de aanbevolen manier om Microsoft Authenticator te beheren. Beheerders van verificatiebeleid kunnen dit beleid bewerken om Microsoft Authenticator in of uit te schakelen. Beheerders kunnen specifieke gebruikers en groepen opnemen of uitsluiten van het gebruik ervan.

Beheerders kunnen ook parameters configureren om beter te bepalen hoe Microsoft Authenticator kan worden gebruikt. Ze kunnen bijvoorbeeld locatie- of app-naam toevoegen aan de aanmeldingsaanvraag, zodat gebruikers meer context hebben voordat ze goedkeuren.

Bekende problemen

De volgende bekende problemen bestaan.

Optie voor aanmelden zonder wachtwoord voor telefoon niet zien

In één scenario kan een gebruiker een niet-beantwoorde verificatie voor telefoonaanmelding zonder wachtwoord hebben die in behandeling is. Als de gebruiker zich opnieuw probeert aan te melden, ziet deze mogelijk alleen de optie om een wachtwoord in te voeren.

Volg deze stappen om dit scenario op te lossen:

  1. Open Microsoft Authenticator.
  2. Reageren op eventuele meldingsprompts.

Vervolgens kan de gebruiker aanmelding zonder wachtwoord blijven gebruiken.

AuthenticatorAppSignInPolicy wordt niet ondersteund

AuthenticatorAppSignInPolicy is een verouderd beleid dat niet wordt ondersteund met Microsoft Authenticator. Gebruik het beleid Verificatiemethoden om uw gebruikers in staat te stellen voor pushmeldingen of aanmelding zonder wachtwoord met de Authenticator-app.

Federatieve accounts

Wanneer een gebruiker referenties zonder wachtwoord heeft ingeschakeld, wordt het aanmeldingsproces van Microsoft Entra gestopt met het gebruik van de login_hint. Daarom versnelt het proces de gebruiker niet meer naar een federatieve aanmeldingslocatie.

Deze logica voorkomt in het algemeen dat een gebruiker in een hybride tenant wordt omgeleid naar Active Directory Federated Services (AD FS) voor aanmeldingsverificatie. De gebruiker behoudt echter de optie om in plaats daarvan op Uw wachtwoord gebruiken te klikken.

On-premises gebruikers

Een eindgebruiker kan worden ingeschakeld voor meervoudige verificatie via een on-premises id-provider. De gebruiker kan nog steeds één aanmeldingsreferentie zonder wachtwoord maken en gebruiken.

Als de gebruiker probeert meerdere installaties (5+) van Microsoft Authenticator bij te werken met de aanmeldingsreferentie voor het wachtwoordloze telefoon, kan deze wijziging leiden tot een fout.

Volgende stappen

Zie de volgende artikelen voor meer informatie over Microsoft Entra-verificatie en methoden zonder wachtwoord: