Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Als u de eindgebruikerservaring voor Meervoudige verificatie (MFA) van Microsoft Entra wilt aanpassen, kunt u opties configureren voor het rapporteren van verdachte activiteiten. In de volgende tabel worden microsoft Entra MFA-instellingen beschreven en in subsecties wordt elke instelling uitgebreider beschreven.
Notitie
Verdachte activiteiten melden vervangt de verouderde functies blokkeren/deblokkeren van gebruikers, fraudewaarschuwingen en meldingen. Op 1 maart 2025 zijn de verouderde functies verwijderd.
| Kenmerk | Beschrijving |
|---|---|
| Verdachte activiteit rapporteren | Configureer instellingen waarmee gebruikers frauduleuze verificatieaanvragen kunnen melden. |
| OATH-tokens | Wordt gebruikt in Microsoft Entra MFA-omgevingen in de cloud voor het beheren van OATH-tokens voor gebruikers. |
| Instellingen voor telefoongesprekken | Configureer instellingen met betrekking tot telefoongesprekken en begroetingen voor cloud- en on-premises omgevingen. |
| Aanbieders | Hiermee worden alle bestaande verificatieproviders weergegeven die u aan uw account hebt gekoppeld. Het toevoegen van nieuwe providers is vanaf 1 september 2018 uitgeschakeld. |
Verdachte activiteit rapporteren
Wanneer een onbekende en verdachte MFA-prompt wordt ontvangen, kunnen gebruikers de activiteit rapporteren met behulp van Microsoft Authenticator of via hun telefoon. Verdachte activiteiten rapporteren is geïntegreerd met Microsoft Entra ID Protection voor risicogestuurd herstel, rapportage en beheer met minimale bevoegdheden.
Gebruikers die een MFA-prompt melden als verdacht, worden ingesteld op Hoog gebruikersrisico. Beheerders kunnen beleid op basis van risico's gebruiken om de toegang voor deze gebruikers te beperken of selfservice voor wachtwoordherstel (SSPR) in te schakelen voor gebruikers om zelf problemen op te lossen.
Als u geen Microsoft Entra ID P2-licentie hebt voor beleid op basis van risico's, kunt u risicodetectiegebeurtenissen gebruiken om betrokken gebruikers handmatig te identificeren en uit te schakelen of automatisering in te stellen met behulp van aangepaste werkstromen met Microsoft Graph. Zie voor meer informatie over het onderzoeken en oplossen van gebruikersrisico's:
Verdachte activiteiten rapporteren inschakelen in de instellingen voor het beleid van verificatiemethoden:
- Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleidsbeheerder.
- Blader naar Entra ID>Verificatiemethoden>Instellingen.
- Stel verdachte activiteiten rapporterenin op Ingeschakeld. De functie blijft uitgeschakeld als u Microsoft managed kiest. Zie Verificatiemethoden beveiligen in Microsoft Entra-id voor meer informatie over door Microsoft beheerde waarden.
- Selecteer Alle gebruikers of een specifieke groep.
- Als u ook aangepaste begroetingen voor uw tenant uploadt, selecteert u een rapportagecode. De rapportagecode is het nummer dat gebruikers op hun telefoon invoeren om verdachte activiteiten te rapporteren. De rapportagecode is alleen van toepassing als aangepaste begroetingen ook worden geüpload door een verificatiebeleidsbeheerder. Anders is de standaardcode 0, ongeacht de waarde die is opgegeven in het beleid.
- Klik op Opslaan.
Het verhelpen van risico's voor tenants met een Microsoft Entra ID P1-licentie
Wanneer een gebruiker een MFA-prompt als verdacht rapporteert, wordt de gebeurtenis weergegeven in de aanmeldingslogboeken (als een aanmelding die is geweigerd door de gebruiker), in de auditlogboeken en in het rapport Risicodetecties.
| Rapport | Beheercentrum | Bijzonderheden |
|---|---|---|
| Rapport risicodetecties | Id-beveiliging>Dashboard>Risicodetectie | Detectietype: Door gebruiker gerapporteerde verdachte activiteit Risiconiveau: Hoog Eindgebruiker heeft gerapporteerd |
| Aanmeldingslogboeken | Entra-id>Bewaking en status>Aanmeldingslogboeken>Verificatiedetails | Resultaatdetails worden weergegeven als MFA geweigerd |
| Auditlogboeken | Entra-id>Bewaking en status>Auditlogboeken | De verdachte activiteit wordt weergegeven onder Activiteitstype |
Notitie
Een gebruiker wordt niet gerapporteerd als hoog risico als deze verificatie zonder wachtwoord uitvoert.
U kunt ook query's uitvoeren op risicodetecties en gebruikers die als riskant zijn gemarkeerd met behulp van Microsoft Graph.
| API (Application Programming Interface) | Het detail |
|---|---|
| risicodetectie-resourcetype | risicoGebeurtenisType: userReportedSuspiciousActivity |
| Lijst risicovolle gebruikers | riskLevel = hoog |
Voor handmatig herstel kunnen beheerders of helpdesk de gebruikers vragen hun wachtwoord opnieuw in te stellen met behulp van selfservice voor wachtwoordherstel (SSPR), of doe dit namens hen. Voor geautomatiseerd herstel gebruikt u de Microsoft Graph-API's of gebruikt u PowerShell om een script te maken dat het wachtwoord van de gebruiker wijzigt, SSPR dwingt, aanmeldingssessies intrekt of het gebruikersaccount tijdelijk uitschakelt.
Risico beheersen voor tenants met een Microsoft Entra ID P2-licentie
Huurders met een Microsoft Entra ID P2-licentie kunnen beleidsregels voor risicogebaseerde voorwaardelijke toegang gebruiken om gebruikersrisico's automatisch te verhelpen, naast de andere functies van de Microsoft Entra ID P2-licentie.
Configureer een beleid dat kijkt naar gebruikersrisico onder Gebruikersrisico's voorwaarden>. Zoek naar gebruikers waarbij het risico = hoog is om te voorkomen dat ze zich aanmelden of vereisen dat ze hun wachtwoord opnieuw instellen.
Zie Beleid voor voorwaardelijke toegang op basis van aanmeldingen voor meer informatie.
OATH-tokens
Microsoft Entra ID ondersteunt het gebruik van OATH TOTP SHA-1-tokens die elke 30 of 60 seconden codes vernieuwen. U kunt deze tokens kopen bij de leverancier van uw keuze.
OATH TOTP-hardwaretokens worden meestal geleverd met een geheime sleutel, of seed, die vooraf geprogrammeerd zijn in het token. U moet deze sleutels invoeren in Microsoft Entra-id, zoals beschreven in de volgende stappen. Geheime sleutels zijn beperkt tot 128 tekens, die mogelijk niet compatibel zijn met alle tokens. De geheime sleutel mag alleen de tekens a-z of A-Z en cijfers 1-7 bevatten. Deze moet gecodeerd zijn in Base32.
Programmeerbare OATH TOTP-hardwaretokens die opnieuw kunnen worden verzonden, kan ook worden ingesteld met Microsoft Entra-id in de installatiestroom van het softwaretoken.
OATH-hardwaretokens worden ondersteund als onderdeel van een openbare preview. Zie Aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor meer informatie over previews.
Nadat u tokens hebt verkregen, moet u ze uploaden in een CSV-bestandsindeling (door komma's gescheiden waarden). Neem de UPN, het serienummer, de geheime sleutel, het tijdsinterval, de fabrikant en het model op, zoals wordt weergegeven in dit voorbeeld:
upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,1234567abcdef1234567abcdef,60,Contoso,HardwareKey
Notitie
Zorg ervoor dat u de koptekstrij in uw CSV-bestand opneemt.
- Meld u als globale beheerder aan bij het Microsoft Entra-beheercentrum.
- Ga naar Entra ID>Multifactor Authentication>OATH-tokens en upload het CSV-bestand.
Afhankelijk van de grootte van het CSV-bestand kan het enkele minuten duren voordat het is verwerkt. Selecteer Vernieuwen om de status op te halen. Als het bestand fouten bevat, kunt u een CSV-bestand met deze fouten downloaden. De veldnamen in het gedownloade CSV-bestand verschillen van die in de geüploade versie.
Nadat er fouten zijn opgelost, kan de beheerder elke sleutel activeren door Activeren voor het token te selecteren en de OTP in te voeren die in het token wordt weergegeven.
Gebruikers kunnen een combinatie gebruiken van maximaal vijf OATH-hardwaretokens of verificatortoepassingen, zoals de Microsoft Authenticator-app, geconfigureerd voor gebruik op elk gewenst moment.
Belangrijk
Zorg ervoor dat u alleen elk token toewijst aan één gebruiker. In de toekomst stopt de ondersteuning voor de toewijzing van één token aan meerdere gebruikers om een beveiligingsrisico te voorkomen.
Instellingen voor telefoongesprekken
Als gebruikers telefoongesprekken ontvangen voor MFA-prompts, kunt u hun ervaring configureren, zoals nummerweergave of de gesproken begroeting die ze horen.
Als u in de Verenigde Staten MFA-beller-id nog niet hebt geconfigureerd, komen spraakoproepen van Microsoft uit de volgende nummers. Gebruikers met spamfilters moeten deze nummers uitsluiten.
Standaardnummers: +1 (855) 330-8653, +1 (855) 336-2194, +1 (855) 341-5605
De volgende tabel bevat meer getallen voor verschillende landen/regio's.
| Land/regio | Aantal(en) |
|---|---|
| Oostenrijk | +43 6703062076 |
| Bangladesh | +880 9604606026 |
| China | +44 1235619418, +44 1235619536, +44 1235619537, +44 1235619538, +44 1235619539, +44 1235619535, +44 7897087681, +44 7897087690, +44 7897087692, +66 977832930, +86 1052026902, +86 1052026905, +86 1052026907 |
| Kroatië | +385 15507766 |
| Ecuador | +593 964256042 |
| Estland | +372 6712726 |
| Frankrijk | +33 744081468 |
| Ghana | +233 308250245 |
| Griekenland | +30 2119902739 |
| Guatemala | +502 23055056 |
| Hongkong SAR | +852 25716964 |
| India | +91 3371568300, +91 1205089400, +91 4471566601, +91 2271897557, +91 1203524400, +91 3335105700, +91 2235544120, +91 4435279600 |
| Jordanië | +962 797639442 |
| Kenia | +254 709605276 |
| Nederland | +31 202490048 |
| Nigeria | +234 7080627886 |
| Pakistan | +92 4232618686, +44 7897087681, +44 7897087690, +44 7897087692, +66 977832930 |
| Polen | +48 699740036 |
| Saoedi-Arabië | +966 115122726 |
| Zuid-Afrika | +27 872405062 |
| Spanje | +34 913305144 |
| Sri Lanka | +94 117750440 |
| Zweden | +46 701924176 |
| Taiwan | +886 277515260, +886 255686508 |
| Turkije | +90 8505404893 |
| Oekraïne | +380 443332393 |
| Verenigde Arabische Emiraten | +971 44015046 |
| Vietnam | +84 2039990161 |
Notitie
Wanneer oproepen van Microsoft Entra-multifactorauthenticatie via het openbare telefoonnetwerk worden geplaatst, worden ze soms gerouteerd via een provider die geen ondersteuning biedt voor nummersherkenning. Hierdoor is nummerherkenning niet gegarandeerd, zelfs al verstuurt Microsoft Entra multifactor-authenticatie deze altijd. Dit geldt zowel voor telefoongesprekken als sms-berichten die worden geleverd door Microsoft Entra multifactor authentication. Zie welke korte codes worden gebruikt voor het verzenden van berichten als u wilt controleren of een tekstbericht afkomstig is van Microsoft Entra-verificatie.
Voer de volgende stappen uit om uw beller-ID te configureren:
- Ga naar Entra ID>Multifactorauthenticatie>Telefoongesprekinstellingen.
- Stel het MFA-beller-ID-nummer in op het telefoonnummer dat gebruikers op hun telefoon te zien krijgen. Alleen nummers in de Verenigde Staten zijn toegestaan.
- Selecteer Opslaan.
Notitie
Wanneer oproepen van Microsoft Entra-multifactorauthenticatie via het openbare telefoonnetwerk worden geplaatst, worden ze soms gerouteerd via een provider die geen ondersteuning biedt voor nummersherkenning. Hierdoor is nummerherkenning niet gegarandeerd, zelfs al verstuurt Microsoft Entra multifactor-authenticatie deze altijd. Dit geldt zowel voor telefoongesprekken als sms-berichten die worden geleverd door Microsoft Entra multifactor authentication. Zie welke korte codes worden gebruikt voor het verzenden van berichten als u wilt controleren of een tekstbericht afkomstig is van Microsoft Entra-verificatie.
Aangepaste spraakberichten
U kunt uw eigen opnamen of begroetingen gebruiken voor meervoudige verificatie van Microsoft Entra. Deze berichten kunnen worden gebruikt ter aanvulling van de standaard Microsoft-opnamen of ter vervanging ervan.
Houd rekening met de volgende beperkingen voordat u begint:
- De ondersteunde bestandsindelingen zijn .wav en .mp3.
- De maximale bestandsgrootte is 1 MB.
- Verificatieberichten moeten korter zijn dan 20 seconden. Berichten die langer zijn dan 20 seconden, kunnen ertoe leiden dat de verificatie mislukt. Als de gebruiker niet reageert voordat het bericht is voltooid, treedt er een time-out op voor de verificatie.
Taalgedrag van aangepast bericht
Wanneer een aangepast spraakbericht wordt afgespeeld voor de gebruiker, is de taal van het bericht afhankelijk van de volgende factoren:
- De taal van de gebruiker.
- De taal die is gedetecteerd door de browser van de gebruiker.
- Andere verificatiescenario's gedragen zich mogelijk anders.
- De taal van alle beschikbare aangepaste berichten.
- Deze taal wordt gekozen door de beheerder wanneer er een aangepast bericht wordt toegevoegd.
Als er bijvoorbeeld maar één aangepast bericht is en dit in het Duits is:
- Een gebruiker die zich authenticeert in de Duitse taal, hoort het aangepaste Duitse bericht.
- Een gebruiker die zich met Engelse taal verifieert, hoort het standaard Engelse bericht.
Standaardinstellingen voor aangepaste spraakberichten
U kunt de volgende voorbeeldscripts gebruiken om uw eigen aangepaste berichten te maken. Deze zinnen worden standaard gebruikt als u uw eigen aangepaste berichten niet configureert.
| Berichtnaam | Script |
|---|---|
| Verificatie voltooid | Uw aanmelding is geslaagd. |
| Uitbreidingsprompt | Dit is Microsoft. Als u zich probeert aan te melden, drukt u op #om door te gaan. |
| Bevestiging van fraude | Als u zich niet probeerde aan te melden, beveiligt u uw account door uw IT-team op de hoogte te stellen door op 1 te drukken. |
| Fraude boodschap | Dit is Microsoft. Als u zich probeert aan te melden, drukt u op #om het aanmelden te voltooien. Als u zich niet probeert aan te melden, drukt u op 0 en #. |
| Fraude gemeld | We hebben uw IT-team op de hoogte gesteld, er is geen verdere actie vereist. Neem voor hulp contact op met het IT-team van uw bedrijf. Tot ziens. |
| Activering | Bedankt voor het gebruik van het aanmeldingsverificatiesysteem van Microsoft. Druk op de #-toets om uw verificatie te voltooien. |
| Verificatie geweigerd, probeer opnieuw | Het spijt me dat we u op dit moment niet kunnen aanmelden. Probeert u het later nog eens. |
| Opnieuw proberen (standaard) | Bedankt voor het gebruik van het aanmeldingsverificatiesysteem van Microsoft. Druk op de #-toets om uw verificatie te voltooien. |
| Begroeting (standaard) | Dit is Microsoft. Als u zich probeert aan te melden, drukt u op #om het aanmelden te voltooien. |
| Begroeting (PIN) | Dit is Microsoft. Als u zich probeert aan te melden, voert u uw pincode in om het aanmelden te voltooien. |
| Fraudebegroeting (PIN) | Dit is Microsoft. Als u zich probeert aan te melden, voert u uw pincode in om het aanmelden te voltooien. Als u zich niet probeert aan te melden, drukt u op 0 en #. |
| Nieuwe poging (pincode) | Bedankt dat u het aanmeldingsverificatiesysteem van Microsoft gebruikt. Voer uw pincode in, gevolgd door de #-toets om uw verificatie te voltooien. |
| Uitbreidingsprompt na cijfers | Als u deze extensie al hebt geopend, drukt u op de toets #om door te gaan. |
| Verificatie geweigerd | Het spijt me dat we u op dit moment niet kunnen aanmelden. Probeert u het later nog eens. |
| Activeringsgroet (Standaard) | Bedankt voor het gebruik van het aanmeldingsverificatiesysteem van Microsoft. Druk op de #-toets om uw verificatie te voltooien. |
| Poging tot heractivering (Standaard) | Bedankt voor het gebruik van het aanmeldingsverificatiesysteem van Microsoft. Druk op de #-toets om uw verificatie te voltooien. |
| Activeringswelkomstbericht (PIN) | Bedankt dat u het aanmeldingsverificatiesysteem van Microsoft gebruikt. Voer uw pincode in, gevolgd door de #-toets om uw verificatie te voltooien. |
| Vragen om extensie vóór cijfers | Bedankt dat u het aanmeldingsverificatiesysteem van Microsoft gebruikt. Breng deze aanroep door naar extensie {0}. |
Een aangepast bericht instellen
Voer de volgende stappen uit om uw eigen aangepaste berichten te gebruiken:
- Ga naar Entra ID>Multifactorauthenticatie>Telefoongesprekinstellingen.
- Selecteer Begroeting toevoegen.
- Kies het type begroeting, zoals Begroeting (standaard) of Verificatie is geslaagd.
- Selecteer de taal. Zie de vorige sectie over het gedrag van aangepaste berichttaal.
- Blader naar en selecteer een .mp3- of .wav-geluidsbestand dat u wilt uploaden.
- Selecteer Toevoegen en vervolgens Opslaan.
MFA-service-instellingen
Instellingen voor app-wachtwoorden, vertrouwde IP-adressen, verificatieopties en het onthouden van meervoudige verificatie op vertrouwde apparaten zijn beschikbaar in de service-instellingen. Dit is een verouderde portal.
U kunt toegang krijgen tot service-instellingen vanuit het Microsoft Entra-beheercentrum door naar Entra ID>Multifactor Authentication>Aan de slag> te gaanmet het configureren> vanaanvullende MFA-instellingen in de cloud. Er wordt een venster of tabblad geopend met aanvullende opties voor service-instellingen.
Goedgekeurde IP-adressen
Locatievoorwaarden zijn de aanbevolen manier om MFA met voorwaardelijke toegang te configureren vanwege IPv6-ondersteuning en andere verbeteringen. Zie De locatievoorwaarde gebruiken in een beleid voor voorwaardelijke toegang voor meer informatie over locatievoorwaarden. Zie Voorwaardelijke toegang: Toegang per locatie blokkeren voor stappen voor het definiëren van locaties en het maken van beleid voor voorwaardelijke toegang.
De functie voor vertrouwde IP-adressen van Microsoft Entra-meervoudige verificatie omzeilt ook MFA-prompts voor gebruikers die zich aanmelden vanuit een gedefinieerd IP-adresbereik. U kunt vertrouwde IP-bereiken instellen voor uw on-premises omgevingen. Wanneer de gebruikers zich op een van deze locaties bevinden, krijgen ze geen prompt voor Microsoft Entra meervoudige verificatie. Voor de functie vertrouwde IP-adressen is Microsoft Entra ID P1-editie vereist.
Notitie
De vertrouwde IP-adressen kunnen alleen privé-IP-bereiken bevatten wanneer u MFA Server gebruikt. Voor meervoudige verificatie in de cloud van Microsoft Entra kunt u alleen openbare IP-adresbereiken gebruiken.
IPv6-bereiken worden ondersteund op benoemde locaties.
Als uw organisatie de NPS-extensie gebruikt om MFA aan on-premises toepassingen te leveren, lijkt het bron-IP-adres altijd de NPS-server te zijn waardoor de verificatiepoging stroomt.
| Microsoft Entra-tenanttype | Opties voor functie 'Goedgekeurde IP-adressen' |
|---|---|
| Beheerd | Specifiek bereik van IP-adressen: beheerders geven een bereik van IP-adressen op waarmee meervoudige verificaties kunnen worden overgeslagen voor gebruikers die zich aanmelden via het intranet van het bedrijf. Er kunnen maximaal 50 vertrouwde IP-bereiken geconfigureerd worden. |
| Federatief |
Alle federatieve gebruikers: alle federatieve gebruikers die zich aanmelden vanuit de organisatie, kunnen meervoudige verificaties omzeilen. Gebruikers omzeilen verificatie met behulp van een claim die is uitgegeven door Active Directory Federation Services (AD FS). Specifiek bereik van IP-adressen: beheerders geven een bereik van IP-adressen op waarmee meervoudige verificatie kan worden overgeslagen voor gebruikers die zich aanmelden via het intranet van het bedrijf. |
Omzeiling van vertrouwde IP-adressen werkt alleen vanuit het bedrijfsintranet. Als u de optie Alle federatieve gebruikers selecteert en een gebruiker zich aanmeldt van buiten het intranet van het bedrijf, moet de gebruiker zich verifiëren met behulp van meervoudige verificatie. Het proces is hetzelfde, zelfs als de gebruiker een AD FS-claim presenteert.
Notitie
Als zowel MFA per gebruiker als beleid voor voorwaardelijke toegang zijn geconfigureerd in de tenant, moet u vertrouwde IP-adressen toevoegen aan het beleid voor voorwaardelijke toegang en de MFA-service-instellingen bijwerken.
Gebruikerservaring in het bedrijfsnetwerk
Wanneer de functie voor vertrouwde IP-adressen is uitgeschakeld, is meervoudige verificatie vereist voor browserstromen. App-wachtwoorden zijn vereist voor oudere rich-client toepassingen.
Wanneer vertrouwde IP-adressen worden gebruikt, is meervoudige verificatie niet vereist voor browserstromen. App-wachtwoorden zijn niet vereist voor oudere rich-client toepassingen als de gebruiker geen app-wachtwoord heeft gemaakt. Zodra een app-wachtwoord in gebruik is, is het wachtwoord vereist.
Gebruikerservaring buiten het bedrijfsnetwerk
Ongeacht of vertrouwde IP-adressen zijn gedefinieerd, is meervoudige verificatie vereist voor browserstromen. App-wachtwoorden zijn vereist voor oudere rich-client toepassingen.
Benoemde locaties inschakelen met behulp van voorwaardelijke toegang
U kunt regels voor voorwaardelijke toegang gebruiken om benoemde locaties te definiëren met behulp van de volgende stappen:
- Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een Conditional Access-beheerder.
- Blader naar Entra ID>Voorwaardelijke toegang>Benoemde locaties.
- Selecteer Nieuwe locatie.
- Voer een naam in voor de locatie.
- Selecteer Markeren als vertrouwde locatie.
- Typ het IP-adresbereik voor uw omgeving in CIDR-indeling. Bijvoorbeeld 40.77.182.32/27.
- Selecteer Nieuwe.
Schakel de vertrouwde IP's-functie in via voorwaardelijke toegang
Voer de volgende stappen uit om goedgekeurde IP-adressen in te schakelen met behulp van beleid voor voorwaardelijke toegang:
Meld u aan bij het Microsoft Entra-beheercentrum als minimaal een Conditional Access-beheerder.
Blader naar Entra ID>Voorwaardelijke toegang>Benoemde locaties.
Selecteer Vertrouwde IP-adressen voor meervoudige verificatie configureren.
Kies op de pagina Service-instellingen onder Vertrouwde IP-adressen een van de volgende opties:
Voor aanvragen van federatieve gebruikers die afkomstig zijn van mijn intranet: als u deze optie wilt kiezen, schakelt u het selectievakje in. Alle federatieve gebruikers die zich aanmelden vanuit het bedrijfsnetwerk omzeilen meervoudige verificaties met behulp van een claim die is uitgegeven door AD FS. Zorg ervoor dat AD FS een regel heeft om de intranetclaim toe te voegen aan het juiste verkeer. Als de regel niet bestaat, maakt u de volgende regel in AD FS:
c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);Notitie
De optie Meervoudige verificatie overslaan voor aanvragen van federatieve gebruikers op mijn intranet is van invloed op de evaluatie van voorwaardelijke toegang voor locaties. Elke aanvraag met de binnencorporatenetwork-claim wordt behandeld als afkomstig van een vertrouwde locatie als deze optie is geselecteerd.
Voor aanvragen van een specifiek bereik van openbare IP-adressen: als u deze optie wilt kiezen, voert u de IP-adressen in het tekstvak in, in CIDR-notatie.
- Gebruik voor IP-adressen in het bereik xxx.xxx.xxx.1 tot en met xxx.xxx.xxx.254 notatie, zoals xxx.xxx.xxx.0/24.
- Gebruik voor één IP-adres notatie zoals xxx.xxx.xxx.xxx/32.
- Voer maximaal 50 IP-adresbereiken in. Gebruikers die zich via deze IP-adressen aanmelden, omzeilen meervoudige verificaties.
Selecteer Opslaan.
Vertrouwde IP-adressen inschakelen via service-instellingen
Als u geen beleid voor voorwaardelijke toegang wilt gebruiken om vertrouwde IP-adressen in te schakelen, kunt u de service-instellingen voor Meervoudige Verificatie van Microsoft Entra configureren met behulp van de volgende stappen:
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleidsbeheerder.
Blader naar Entra ID>Meervoudige verificatie>Aanvullende cloudgebaseerde MFA-instellingen.
Kies op de pagina Service-instellingen onder Vertrouwde IP's een of beide van de volgende opties:
Voor aanvragen van federatieve gebruikers op mijn intranet: Als u deze optie wilt kiezen, schakelt u het selectievakje in. Alle federatieve gebruikers die zich aanmelden vanuit het bedrijfsnetwerk omzeilen meervoudige verificatie met behulp van een claim die is uitgegeven door AD FS. Zorg ervoor dat AD FS een regel heeft om de intranetclaim toe te voegen aan het juiste verkeer. Als de regel niet bestaat, maakt u de volgende regel in AD FS:
c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);Voor aanvragen van een opgegeven bereik van IP-adressubnetten: als u deze optie wilt kiezen, voert u de IP-adressen in het tekstvak in, in CIDR-notatie.
- Gebruik voor IP-adressen in het bereik xxx.xxx.xxx.1 tot en met xxx.xxx.xxx.254 notatie, zoals xxx.xxx.xxx.0/24.
- Gebruik voor één IP-adres notatie zoals xxx.xxx.xxx.xxx/32.
- Voer maximaal 50 IP-adresbereiken in. Gebruikers die zich via deze IP-adressen aanmelden, omzeilen meervoudige verificaties.
Selecteer Opslaan.
Verificatiemethoden
U kunt de verificatiemethoden die beschikbaar zijn voor uw gebruikers, kiezen in de portal voor service-instellingen. Wanneer uw gebruikers hun accounts inschrijven voor Meervoudige Verificatie van Microsoft Entra, kiezen ze hun voorkeursverificatiemethode in de opties die u hebt ingeschakeld. Richtlijnen voor het registratieproces voor gebruikers vindt u in Mijn account instellen voor meervoudige verificatie.
Belangrijk
In maart 2023 hebben we aangekondigd dat het beheer van verificatiemethoden in het verouderde beleid voor meervoudige verificatie en selfservice voor wachtwoordherstel (SSPR) wordt uitgefaseerd. Vanaf 30 september 2025 kunnen verificatiemethoden niet worden beheerd in dit verouderde MFA- en SSPR-beleid. We raden klanten aan het handmatige migratiebeheer te gebruiken om vóór de afschaffingsdatum te migreren naar het beleid voor authenticatiemethoden. Zie MFA- en SSPR-beleidsinstellingen migreren naar het beleid voor verificatiemethoden voor Microsoft Entra-id voor hulp bij het migratiebeheer.
De volgende verificatiemethoden zijn beschikbaar:
| Wijze | Beschrijving |
|---|---|
| Bellen naar telefoon | Hiermee wordt een geautomatiseerd telefoongesprek geplaatst. De gebruiker beantwoordt het gesprek en drukt op # op de telefoon om zich te verifiëren. Het telefoonnummer wordt niet gesynchroniseerd met on-premises Active Directory. |
| Sms-bericht naar telefoon | Hiermee wordt een sms-bericht met een verificatiecode verzonden. De gebruiker wordt gevraagd de verificatiecode in te voeren in de aanmeldingsinterface. Dit proces wordt 'sms in één richting' genoemd. Sms in twee richtingen betekent dat de gebruiker een bepaalde code terug moet sms'en. Sms in twee richtingen is afgeschaft en wordt niet meer ondersteund sinds 14 november 2018. Beheerders moeten een andere methode inschakelen voor gebruikers die voorheen sms in twee richtingen gebruikten. |
| Melding via mobiele app | Hiermee wordt een pushmelding verzonden naar de telefoon of het geregistreerde apparaat van de gebruiker. De gebruiker bekijkt de melding en selecteert Verifiëren om de verificatie te voltooien. De Microsoft Authenticator-app is beschikbaar voor Windows Phone, Android en iOS. |
| Verificatiecode van mobiele app of hardwaretoken | De Microsoft Authenticator-app genereert elke 30 seconden een nieuwe OATH-verificatiecode. De gebruiker typt de verificatiecode in de aanmeldingsinterface. De Microsoft Authenticator-app is beschikbaar voor Windows Phone, Android en iOS. |
Zie welke verificatie- en verificatiemethoden beschikbaar zijn in Microsoft Entra ID voor meer informatie.
Verificatiemethoden in- en uitschakelen
Voer de volgende stappen uit om verificatiemethoden in of uit te schakelen:
- Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleidsbeheerder.
- Blader naar Entra ID>Gebruikers.
- Selecteer MFA per gebruiker.
- Selecteer service-instellingen onder Meervoudige verificatie boven aan de pagina.
- Schakel op de pagina Service-instellingen onder Verificatieopties de juiste selectievakjes in of uit.
- Selecteer Opslaan.
Meervoudige verificatie onthouden
Met de functie voor meervoudige verificatie onthouden kunnen gebruikers volgende verificaties gedurende een opgegeven aantal dagen overslaan nadat ze zijn aangemeld bij een apparaat met behulp van MFA. Om de bruikbaarheid te verbeteren en het aantal keren dat een gebruiker MFA op een bepaald apparaat moet uitvoeren te minimaliseren, selecteert u een duur van 90 dagen of minder.
Belangrijk
Als een account of apparaat in verkeerde handen is gevallen, kan de functie 'Meervoudige verificatie onthouden' voor vertrouwde apparaten de beveiliging beïnvloeden. Als een bedrijfsaccount wordt aangetast of een vertrouwd apparaat verloren of gestolen is, moet u MFA-sessies intrekken.
Met de ingetrokken actie wordt de vertrouwde status van alle apparaten ingetrokken en moet de gebruiker opnieuw meervoudige verificatie uitvoeren. U kunt uw gebruikers ook opdracht geven om de oorspronkelijke MFA-status op hun eigen apparaten te herstellen, zoals vermeld in Uw instellingen beheren voor meervoudige verificatie.
Hoe de functie werkt
Met de functie voor het onthouden van meervoudige verificatie wordt een permanente cookie geplaatst in de browser wanneer een gebruiker bij het aanmelden de optie Niet opnieuw vragen om X dagen selecteert. De gebruiker wordt niet opnieuw om MFA gevraagd vanuit die browser totdat de cookie verloopt. Als de gebruiker een andere browser op hetzelfde apparaat opent of de cookies wist, wordt hij of zij opnieuw gevraagd om zich te verifiëren.
De optie Niet meer vragen om X dagen wordt niet weergegeven in niet-browsertoepassingen, ongeacht of de app moderne verificatie ondersteunt. Deze apps gebruiken vernieuwingstokens die elk uur nieuwe toegangstokens bieden. Wanneer een vernieuwingstoken wordt gevalideerd, controleert Microsoft Entra ID of de laatste meervoudige verificatie binnen het opgegeven aantal dagen heeft plaatsgevonden.
De functie vermindert het aantal verificaties in web-apps, die daar normaal gesproken elke keer om vragen. De functie kan het aantal verificaties verhogen voor moderne verificatieclients die daar normaal gesproken elke 180 dagen om vragen, als een kortere duur is geconfigureerd. Het kan ook het aantal verificaties verhogen in combinatie met beleidsregels voor voorwaardelijke toegang.
Belangrijk
De functie voor meervoudige verificatie is niet compatibel met de functie Aangemeld blijven van AD FS wanneer gebruikers meervoudige verificatie voor AD FS uitvoeren via MFA Server of een multi-factor authentication-oplossing van derden.
Als uw gebruikers selecteren aangemeld blijven op AD FS en ook hun apparaat markeren als vertrouwd voor MFA, wordt de gebruiker niet automatisch geverifieerd nadat het aantal dagen voor meervoudige verificatie is verlopen. Microsoft Entra ID vraagt een nieuwe meervoudige verificatie aan, maar AD FS retourneert een token met de oorspronkelijke MFA-claim en -datum, in plaats van opnieuw meervoudige verificatie uit te voeren. Met deze reactie wordt een verificatielus tussen Microsoft Entra ID en AD FS in gang gezet.
De onthoud meervoudige verificatie functie is niet compatibel met B2B-gebruikers en zal niet zichtbaar zijn voor B2B-gebruikers wanneer ze zich aanmelden bij de uitgenodigde huurders.
De functie voor het onthouden van multifactorverificatie is niet compatibel met het Conditional Access-beheer voor aanmeldingsfrequentie. Zie Verificatiesessiebeheer configureren met voorwaardelijke toegang voor meer informatie.
Meervoudige verificatie onthouden inschakelen
Voer de volgende stappen uit om de optie in te schakelen en te configureren waarmee gebruikers hun MFA-status kunnen onthouden en prompts kunnen omzeilen:
- Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleidsbeheerder.
- Blader naar Entra ID>Gebruikers.
- Selecteer MFA per gebruiker.
- Selecteer service-instellingen onder Meervoudige verificatie boven aan de pagina.
- Selecteer op de pagina met service-instellingen onder Meervoudige verificatie onthouden de optie Toestaan dat gebruikers meervoudige verificatie onthouden op apparaten die ze vertrouwen.
- Stel het aantal dagen in dat vertrouwde apparaten meervoudige verificaties kunnen omzeilen. Voor een optimale gebruikerservaring verlengt u de duur tot 90 of meer dagen.
- Selecteer Opslaan.
Een apparaat markeren als vertrouwd
Nadat u de functie voor meervoudige verificatie onthouden hebt ingeschakeld, kunnen gebruikers een apparaat markeren als vertrouwd wanneer ze zich aanmelden door Niet opnieuw vragen te selecteren.
Volgende stappen
Zie welke verificatie- en verificatiemethoden beschikbaar zijn in Microsoft Entra ID voor meer informatie?