Meervoudige verificatie-instellingen voor Microsoft Entra configureren
Als u de eindgebruikerservaring voor Meervoudige verificatie (MFA) van Microsoft Entra wilt aanpassen, kunt u opties configureren voor instellingen zoals drempelwaarden voor accountvergrendeling of fraudewaarschuwingen en -meldingen.
Notitie
Verdachte activiteiten melden vervangt de verouderde functies blokkeren/deblokkeren van gebruikers, fraudewaarschuwingen en meldingen. Op 1 maart 2025 worden de verouderde functies verwijderd.
In de volgende tabel worden microsoft Entra MFA-instellingen beschreven en in subsecties wordt elke instelling uitgebreider beschreven.
Gelaatstrek | Beschrijving |
---|---|
Accountvergrendeling (alleen MFA-server) | Vergrendel accounts tijdelijk van het gebruik van Microsoft Entra MFA als er te veel geweigerde verificatiepogingen in een rij zijn. Deze functie is alleen van toepassing op gebruikers die MFA-server gebruiken om een pincode in te voeren om te verifiëren. |
Verdachte activiteit rapporteren | Configureer instellingen waarmee gebruikers frauduleuze verificatieaanvragen kunnen rapporteren. Verdachte activiteiten melden vervangt deze functies: gebruikers blokkeren/deblokkeren, fraudewaarschuwingen en meldingen. |
Fraudewaarschuwing | Deze functie wordt verwijderd op 1 maart 2025. Gebruik verdachte activiteiten rapporteren om gebruikers toe te staan frauduleuze verificatieaanvragen te rapporteren. |
Gebruikers blokkeren/deblokkeren | Deze functie wordt verwijderd op 1 maart 2025. Gebruik verdachte activiteiten rapporteren om gebruikers toe te staan frauduleuze verificatieaanvragen te rapporteren. Deze waarschuwingen zijn geïntegreerd met Microsoft Entra ID Protection. U kunt beleid op basis van risico's gebruiken of uw eigen werkstromen maken met behulp van risicodetectie-gebeurtenissen om de toegang van gebruikers tijdelijk te beperken en risico's op te lossen. |
Meldingen | Deze functie wordt verwijderd op 1 maart 2025. Gebruik verdachte activiteiten rapporteren om gebruikers toe te staan frauduleuze verificatieaanvragen te rapporteren. U kunt risicomeldingen gebruiken of uw eigen werkstromen maken met behulp van risicodetectie-gebeurtenissen om e-mailmeldingen in te schakelen voor door de gebruiker gerapporteerde fraude-gebeurtenissen. |
OATH-tokens | Wordt gebruikt in Microsoft Entra MFA-omgevingen in de cloud voor het beheren van OATH-tokens voor gebruikers. |
Instellingen voor telefoongesprekken | Configureer instellingen met betrekking tot telefoongesprekken en begroetingen voor cloud- en on-premises omgevingen. |
Providers | Hiermee worden alle bestaande verificatieproviders weergegeven die u aan uw account hebt gekoppeld. Het toevoegen van nieuwe providers is vanaf 1 september 2018 uitgeschakeld. |
Accountvergrendeling (alleen MFA-server)
Notitie
Accountvergrendeling is alleen van invloed op gebruikers die zich aanmelden met behulp van de on-premises MFA-server.
Om herhaalde MFA-pogingen als onderdeel van een aanval te voorkomen, kunt u met de instellingen voor accountvergrendeling opgeven hoeveel mislukte pogingen moeten worden toegestaan voordat het account gedurende een bepaalde periode wordt vergrendeld. De accountvergrendelingsinstellingen worden alleen toegepast wanneer een pincode voor de MFA-prompt wordt ingevoerd met behulp van de on-premises MFA-server.
De volgende instellingen zijn beschikbaar:
- Aantal MFA-weigeringen dat accountvergrendeling activeert
- Minuten totdat de vergrendelingsteller van het account opnieuw is ingesteld
- Minuten totdat het account automatisch wordt gedeblokkeerd
Voer de volgende stappen uit om de instellingen voor accountvergrendeling te configureren:
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleidsbeheerder.
Blader naar de vergrendeling van het account voor meervoudige verificatie>van beveiliging.> Mogelijk moet u op Meer weergeven klikken om meervoudige verificatie te zien.
Voer de waarden voor uw omgeving in en selecteer Opslaan.
Verdachte activiteit rapporteren
Verdachte activiteiten rapporteren vervangt deze verouderde functies: gebruikers blokkeren/deblokkeren, fraudewaarschuwingen en meldingen.
Wanneer een onbekende en verdachte MFA-prompt wordt ontvangen, kunnen gebruikers de fraudepoging melden met behulp van Microsoft Authenticator of via hun telefoon. Deze waarschuwingen zijn geïntegreerd met Microsoft Entra ID Protection voor uitgebreidere dekking en mogelijkheden.
Gebruikers die een MFA-prompt melden als verdacht, worden ingesteld op Hoog gebruikersrisico. Beheerders kunnen beleid op basis van risico's gebruiken om de toegang voor deze gebruikers te beperken of selfservice voor wachtwoordherstel (SSPR) in te schakelen voor gebruikers om zelf problemen op te lossen.
Als u eerder de functie Voor het automatisch blokkeren van fraudewaarschuwingen hebt gebruikt en geen Microsoft Entra ID P2-licentie hebt voor beleid op basis van risico's, kunt u risicodetectiegebeurtenissen gebruiken om betrokken gebruikers handmatig te identificeren en uit te schakelen, of automatisering instellen met behulp van aangepaste werkstromen met Microsoft Graph. Zie voor meer informatie over het onderzoeken en oplossen van gebruikersrisico's:
Verdachte activiteiten rapporteren vanuit de beleidsinstellingen voor verificatiemethoden inschakelen:
- Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleidsbeheerder.
- Blader naar >Instellingen voor beveiligingsverificatiemethoden.>
- Stel verdachte activiteiten rapporteren in op Ingeschakeld. De functie blijft uitgeschakeld als u Microsoft managed kiest. Zie Verificatiemethoden beveiligen in Microsoft Entra-id voor meer informatie over door Microsoft beheerde waarden.
- Selecteer Alle gebruikers of een specifieke groep.
- Als u ook aangepaste begroetingen voor uw tenant uploadt, selecteert u een rapportagecode. De rapportagecode is het nummer dat gebruikers op hun telefoon invoeren om verdachte activiteiten te rapporteren. De rapportagecode is alleen van toepassing als aangepaste begroetingen ook worden geüpload door een verificatiebeleidsbeheerder. Anders is de standaardcode 0, ongeacht de waarde die is opgegeven in het beleid.
- Klik op Opslaan.
Notitie
Als u verdachte activiteiten rapporteren inschakelt en een aangepaste waarde voor spraakrapportage opgeeft terwijl de tenant nog steeds Fraudewaarschuwing parallel heeft ingeschakeld met een aangepast spraakrapportagenummer dat is geconfigureerd, wordt de waarde verdachte activiteit rapporteren gebruikt in plaats van Fraudewaarschuwing.
Risico's herstellen voor tenants met Microsoft Entra ID P1-licentie
Wanneer een gebruiker een MFA-prompt als verdacht rapporteert, wordt de gebeurtenis weergegeven in het rapport Aanmeldingen (als een aanmelding die is geweigerd door de gebruiker), in de auditlogboeken en in het rapport Risicodetecties.
Rapport | Beheercentrum | Bijzonderheden |
---|---|---|
Rapport risicodetecties | Detectie>van identiteitsbeveiligingsrisico's> | Detectietype: Door gebruiker gerapporteerde verdachte activiteit Risiconiveau: Hoog Gerapporteerde brongebruiker |
Aanmeldingsrapport | Verificatiegegevens voor identiteitsbewaking>en -statuslogboeken>> | Resultaatdetails worden weergegeven als MFA geweigerd, fraudecode ingevoerd |
Auditlogboeken | Auditlogboeken voor identiteitsbewaking>en -status> | Het frauderapport wordt weergegeven onder Activiteitstype Fraude gerapporteerd |
Notitie
Een gebruiker wordt niet gerapporteerd als hoog risico als deze verificatie zonder wachtwoord uitvoert.
U kunt ook query's uitvoeren op risicodetecties en gebruikers die als riskant zijn gemarkeerd met behulp van Microsoft Graph.
API | Detail |
---|---|
resourcetype riskDetection | riskEventType: userReportedSuspiciousActivity |
RiskyUsers vermelden | riskLevel = hoog |
Voor handmatig herstel kunnen beheerders of helpdesk de gebruikers vragen hun wachtwoord opnieuw in te stellen met behulp van selfservice voor wachtwoordherstel (SSPR), of doe dit namens hen. Voor geautomatiseerd herstel gebruikt u de Microsoft Graph-API's of gebruikt u PowerShell om een script te maken dat het wachtwoord van de gebruiker wijzigt, SSPR dwingt, aanmeldingssessies intrekt of het gebruikersaccount tijdelijk uitschakelt.
Risico's herstellen voor tenants met Microsoft Entra ID P2-licentie
Tenants met een Microsoft Entra ID P2-licentie kunnen beleid voor voorwaardelijke toegang op basis van risico's gebruiken om gebruikersrisico's automatisch op te lossen, naast de opties microsoft Entra ID P2-licentie.
Configureer een beleid dat kijkt naar gebruikersrisico onder Gebruikersrisico's voorwaarden>. Zoek naar gebruikers waarbij het risico = hoog is om te voorkomen dat ze zich aanmelden of vereisen dat ze hun wachtwoord opnieuw instellen.
Zie Beleid voor voorwaardelijke toegang op basis van aanmeldingen voor meer informatie.
Verdachte activiteiten en fraudewaarschuwing melden
Verdachte activiteiten rapporteren en de verouderde implementatie van fraudewaarschuwingen kan parallel worden uitgevoerd. U kunt de functionaliteit van uw tenantbrede fraudewaarschuwing behouden terwijl u verdachte activiteiten rapporteert met een gerichte testgroep.
Als fraudewaarschuwing is ingeschakeld met Automatisch blokkeren en verdachte activiteiten rapporteren is ingeschakeld, wordt de gebruiker toegevoegd aan de blokkeringslijst en ingesteld als hoog risico en binnen het bereik voor andere geconfigureerde beleidsregels. Deze gebruikers moeten worden verwijderd uit de blokkeringslijst en hun risico laten oplossen om hen in staat te stellen zich aan te melden met MFA.
Fraudewaarschuwing
Verdachte activiteiten melden vervangt fraudewaarschuwingen vanwege de integratie met Microsoft Entra ID Protection voor risicogestuurd herstel, betere rapportagemogelijkheden en beheer met minimale bevoegdheden. De functie Fraudewaarschuwing wordt verwijderd op 1 maart 2025.
Met de functie Fraudewaarschuwing kunnen gebruikers frauduleuze pogingen melden om toegang te krijgen tot hun resources. Wanneer een onbekende en verdachte MFA-prompt wordt ontvangen, kunnen gebruikers de fraudepoging melden met behulp van de Microsoft Authenticator-app of via hun telefoon. De volgende configuratieopties voor fraudewaarschuwingen zijn beschikbaar:
Automatisch gebruikers blokkeren die fraude melden. Als een gebruiker fraude meldt, worden de meervoudige verificatiepogingen van Microsoft Entra voor het gebruikersaccount gedurende 90 dagen geblokkeerd of totdat een beheerder het account deblokkert. Een beheerder kan aanmeldingen controleren met behulp van het aanmeldingsrapport en passende actie ondernemen om toekomstige fraude te voorkomen. Een beheerder kan vervolgens de blokkering van het gebruikersaccount opheffen .
Code voor het melden van fraude tijdens de eerste begroeting. Wanneer gebruikers een telefoongesprek ontvangen om meervoudige verificatie uit te voeren, drukken # ze normaal gesproken om hun aanmelding te bevestigen. Om fraude te melden, voert de gebruiker een code in voordat hij op drukt #. Deze code is standaard 0 , maar u kunt deze aanpassen. Als automatische blokkering is ingeschakeld, moet de gebruiker, nadat de gebruiker op 0# drukt om fraude te melden, op 1 drukken om te bevestigen dat het account wordt geblokkeerd.
Notitie
De standaard gesproken begroetingen van Microsoft geven gebruikers de opdracht om op 0# te drukken om een fraudewaarschuwing in te dienen. Als u een andere code dan 0 wilt gebruiken, neemt u uw eigen aangepaste spraakgroet op en uploadt u deze met de juiste instructies voor uw gebruikers.
Voer de volgende stappen uit om fraudewaarschuwingen in te schakelen en te configureren:
- Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleidsbeheerder.
- Blader naar >beveiligingswaarschuwing voor meervoudige verificatie.>
- Stel Toestaan dat gebruikers fraudewaarschuwingen verzenden naar Aan.
- Configureer de instelling Automatisch blokkeren van gebruikers die fraude of code rapporteren om fraude te melden tijdens de eerste begroetingsinstelling .
- Selecteer Opslaan.
Gebruikers blokkeren en deblokkeren
Verdachte activiteiten melden vervangt fraudewaarschuwingen vanwege de integratie met Microsoft Entra ID Protection voor risicogestuurd herstel, betere rapportagemogelijkheden en beheer met minimale bevoegdheden. De functie Gebruikers blokkeren/deblokkeren wordt verwijderd op 1 maart 2025.
Als het apparaat van een gebruiker is zoekgeraakt of gestolen, kunt u Microsoft Entra MFA-pogingen voor het gekoppelde account blokkeren. Pogingen van Microsoft Entra MFA voor geblokkeerde gebruikers worden automatisch geweigerd. De gebruiker wordt 90 dagen na de geblokkeerde MFA niet aangeroepen met MFA.
Een gebruiker blokkeren
Voer de volgende stappen uit om een gebruiker te blokkeren.
- Blader naar Multifactor Authentication>Protection>: gebruikers blokkeren/deblokkeren.
- Selecteer Toevoegen om een gebruiker te blokkeren.
- Voer de gebruikersnaam in voor de geblokkeerde gebruiker in de notatie
username@domain.com
en geef vervolgens een opmerking op in het vak Reden . - Selecteer OK om de gebruiker te blokkeren.
Een gebruiker deblokkeren
Voer de volgende stappen uit om de blokkering van een gebruiker op te heffen:
- Ga naar Multifactor Authentication>Protection>: gebruikers blokkeren/deblokkeren.
- Selecteer Blokkering opheffen in de kolom Actie naast de gebruiker.
- Voer een opmerking in het vak Reden voor het opheffen van de blokkering in .
- Selecteer OK om de blokkering van de gebruiker op te heffen.
Meldingen
Verdachte activiteiten rapporteren vervangt meldingen vanwege de integratie met Microsoft Entra ID Protection voor risicogestuurd herstel, betere rapportagemogelijkheden en beheer met minimale bevoegdheden. De functie Meldingen wordt verwijderd op 1 maart 2025.
U kunt Microsoft Entra-id configureren om e-mailmeldingen te verzenden wanneer gebruikers fraudewaarschuwingen melden. Deze meldingen worden meestal verzonden naar identiteitsbeheerders, omdat de accountreferenties van de gebruiker waarschijnlijk worden aangetast. In het volgende voorbeeld ziet u hoe een e-mail met meldingen over fraudemeldingen eruitziet:
Meldingen over fraudewaarschuwingen configureren:
- Ga naar Meldingen voor meervoudige verificatie>van beveiliging.>
- Voer het e-mailadres in waarnaar u de melding wilt verzenden.
- Als u een bestaand e-mailadres wilt verwijderen, selecteert u ... naast het e-mailadres en selecteert u Vervolgens Verwijderen.
- Selecteer Opslaan.
OATH-tokens
Microsoft Entra ID ondersteunt het gebruik van OATH TOTP SHA-1-tokens die elke 30 of 60 seconden codes vernieuwen. U kunt deze tokens kopen bij de leverancier van uw keuze.
OATH TOTP-hardwaretokens worden doorgaans geleverd met een geheime sleutel of seed, vooraf geprogrammeerd in het token. U moet deze sleutels invoeren in Microsoft Entra-id, zoals beschreven in de volgende stappen. Geheime sleutels zijn beperkt tot 128 tekens, die mogelijk niet compatibel zijn met alle tokens. De geheime sleutel mag alleen de tekens a-z of A-Z en cijfers 1-7 bevatten. Deze moet worden gecodeerd in Base32.
Programmeerbare OATH TOTP-hardwaretokens die opnieuw kunnen worden verzonden, kan ook worden ingesteld met Microsoft Entra-id in de installatiestroom van het softwaretoken.
OATH-hardwaretokens worden ondersteund als onderdeel van een openbare preview. Zie Aanvullende gebruiksvoorwaarden voor Microsoft Azure Previews voor meer informatie over previews.
Nadat u tokens hebt verkregen, moet u deze uploaden in een csv-bestandsindeling (door komma's gescheiden waarden). Neem de UPN, het serienummer, de geheime sleutel, het tijdsinterval, de fabrikant en het model op, zoals wordt weergegeven in dit voorbeeld:
upn,serial number,secret key,time interval,manufacturer,model
Helga@contoso.com,1234567,1234567abcdef1234567abcdef,60,Contoso,HardwareKey
Notitie
Zorg ervoor dat u de veldnamenrij in uw CSV-bestand opneemt.
- Meld u als globale beheerder aan bij het Microsoft Entra-beheercentrum.
- Ga naar >OATH-tokens voor meervoudige beveiliging>en upload het CSV-bestand.
Afhankelijk van de grootte van het CSV-bestand kan het enkele minuten duren voordat het wordt verwerkt. Selecteer Vernieuwen om de status op te halen. Als het bestand fouten bevat, kunt u een CSV-bestand met deze bestanden downloaden. De veldnamen in het gedownloade CSV-bestand verschillen van die in de geüploade versie.
Nadat er fouten zijn opgelost, kan de beheerder elke sleutel activeren door Activeren voor het token te selecteren en de OTP in te voeren die in het token wordt weergegeven.
Gebruikers kunnen op elk gewenst moment een combinatie hebben van maximaal vijf OATH-hardwaretokens of verificatortoepassingen, zoals de Microsoft Authenticator-app.
Belangrijk
Zorg ervoor dat u alleen elk token toewijst aan één gebruiker. In de toekomst stopt de ondersteuning voor de toewijzing van één token aan meerdere gebruikers om een beveiligingsrisico te voorkomen.
Instellingen voor telefoongesprekken
Als gebruikers telefoongesprekken ontvangen voor MFA-prompts, kunt u hun ervaring configureren, zoals nummerweergave of de spraakgroet die ze horen.
Als u in de Verenigde Staten MFA-beller-id nog niet hebt geconfigureerd, komen spraakoproepen van Microsoft uit de volgende nummers. Gebruikers met spamfilters moeten deze nummers uitsluiten.
Standaardnummer: +1 (855) 330-8653
De volgende tabel bevat meer getallen voor verschillende landen.
Land/regio | Aantal(en) |
---|---|
Oostenrijk | +43 6703062076 |
Bangladesh | +880 9604606026 |
China | +44 1235619418, +44 1235619536, +44 1235619537, +44 1235619538, +44 1235619539, +44 1235619535, +44 7897087681, +44 7897087690, +44 7897087692, +66 977832930 |
Kroatië | +385 15507766 |
Ecuador | +593 964256042 |
Estland | +372 6712726 |
Frankrijk | +33 744081468 |
Ghana | +233 308250245 |
Griekenland | +30 2119902739 |
Guatemala | +502 23055056 |
Hongkong SAR | +852 25716964 |
India | +91 3371568300, +91 1205089400, +91 4471566601, +91 2271897557, +91 1203524400, +91 3335105700, +91 2235544120, +91 4435279600 |
Jordanië | +962 797639442 |
Kenia | +254 709605276 |
Nederland | +31 202490048 |
Nigeria | +234 7080627886 |
Pakistan | +92 4232618686, +44 7897087681, +44 7897087690, +44 7897087692, +66 977832930 |
Polen | +48 699740036 |
Saudi-Arabië | +966 115122726 |
Zuid-Afrika | +27 872405062 |
Spanje | +34 913305144 |
Sri Lanka | +94 117750440 |
Zweden | +46 701924176 |
Taiwan | +886 277515260, +886 255686508 |
Turkije | +90 8505404893 |
Oekraïne | +380 443332393 |
Verenigde Arabische Emiraten | +971 44015046 |
Vietnam | +84 2039990161 |
Notitie
Wanneer Microsoft Entra meervoudige verificatiegesprekken via het openbare telefoonnetwerk worden geplaatst, worden de oproepen soms gerouteerd via een provider die geen ondersteuning biedt voor nummerweergave. Hierdoor wordt nummerweergave niet gegarandeerd, ook al verzendt Microsoft Entra multifactor-verificatie deze altijd. Dit geldt zowel voor telefoongesprekken als sms-berichten die worden geleverd door Microsoft Entra multifactor authentication. Zie welke korte codes worden gebruikt voor het verzenden van berichten als u wilt controleren of een tekstbericht afkomstig is van Microsoft Entra-verificatie.
Voer de volgende stappen uit om uw eigen nummer van de beller-id te configureren:
- Ga naar Instellingen voor telefoongesprekken met meervoudige verificatie>van beveiliging.>
- Stel het nummer van de MFA-beller in op het nummer dat gebruikers op hun telefoon moeten zien. Alleen amerikaanse nummers zijn toegestaan.
- Selecteer Opslaan.
Notitie
Wanneer Microsoft Entra meervoudige verificatiegesprekken via het openbare telefoonnetwerk worden geplaatst, worden de oproepen soms gerouteerd via een provider die geen ondersteuning biedt voor nummerweergave. Hierdoor wordt nummerweergave niet gegarandeerd, ook al verzendt Microsoft Entra multifactor-verificatie deze altijd. Dit geldt zowel voor telefoongesprekken als sms-berichten die worden geleverd door Microsoft Entra multifactor authentication. Zie welke korte codes worden gebruikt voor het verzenden van berichten als u wilt controleren of een tekstbericht afkomstig is van Microsoft Entra-verificatie.
Aangepaste spraakberichten
U kunt uw eigen opnamen of begroetingen gebruiken voor meervoudige verificatie van Microsoft Entra. Deze berichten kunnen worden gebruikt naast de standaardopnamen van Microsoft of om ze te vervangen.
Voordat u begint, moet u rekening houden met de volgende beperkingen:
- De ondersteunde bestandsindelingen zijn .wav en .mp3.
- De maximale bestandsgrootte is 1 MB.
- Verificatieberichten moeten korter zijn dan 20 seconden. Berichten die langer zijn dan 20 seconden, kunnen ertoe leiden dat de verificatie mislukt. Als de gebruiker niet reageert voordat het bericht is voltooid, treedt er een time-out op voor de verificatie.
Gedrag van aangepaste berichttaal
Wanneer een aangepast spraakbericht wordt afgespeeld voor de gebruiker, is de taal van het bericht afhankelijk van de volgende factoren:
- De taal van de gebruiker.
- De taal die is gedetecteerd door de browser van de gebruiker.
- Andere verificatiescenario's gedragen zich mogelijk anders.
- De taal van alle beschikbare aangepaste berichten.
- Deze taal wordt gekozen door de beheerder wanneer er een aangepast bericht wordt toegevoegd.
Als er bijvoorbeeld slechts één aangepast bericht is en dit in het Duits staat:
- Een gebruiker die zich in de Duitse taal verifieert, hoort het aangepaste Duitse bericht.
- Een gebruiker die zich in het Engels verifieert, hoort het standaard Engelse bericht.
Standaardinstellingen voor aangepaste voicemail
U kunt de volgende voorbeeldscripts gebruiken om uw eigen aangepaste berichten te maken. Deze woordgroepen zijn de standaardinstellingen als u uw eigen aangepaste berichten niet configureert.
Berichtnaam | Script |
---|---|
Verificatie is geslaagd | Uw aanmelding is geverifieerd. Tot ziens. |
Extensieprompt | Bedankt voor het gebruik van het aanmeldingsverificatiesysteem van Microsoft. Druk op de hekjetoets om door te gaan. |
Bevestiging van fraude | Er is een fraudewaarschuwing ingediend. Neem contact op met de IT-helpdesk van uw bedrijf om de blokkering van uw account op te heffen. |
Fraude begroeting (standaard) | Bedankt voor het gebruik van het aanmeldingsverificatiesysteem van Microsoft. Druk op de hekjetoets om uw verificatie te voltooien. Als u deze verificatie niet hebt gestart, probeert iemand mogelijk toegang te krijgen tot uw account. Druk op nul pond om een fraudewaarschuwing in te dienen. Hiermee wordt het IT-team van uw bedrijf op de hoogte gebracht en worden verdere verificatiepogingen geblokkeerd. |
Fraude gerapporteerd | Er is een fraudewaarschuwing ingediend. Neem contact op met de IT-helpdesk van uw bedrijf om de blokkering van uw account op te heffen. |
Activering | Bedankt voor het gebruik van het verificatiesysteem voor aanmelding bij Microsoft. Druk op de hekjetoets om uw verificatie te voltooien. |
Verificatie geweigerd voor opnieuw proberen | Verificatie is geweigerd. |
Opnieuw proberen (standaard) | Bedankt voor het gebruik van het verificatiesysteem voor aanmelding bij Microsoft. Druk op de hekjetoets om uw verificatie te voltooien. |
Begroeting (standaard) | Bedankt voor het gebruik van het verificatiesysteem voor aanmelding bij Microsoft. Druk op de hekjetoets om uw verificatie te voltooien. |
Begroeting (pincode) | Bedankt voor het gebruik van het aanmeldingsverificatiesysteem van Microsoft. Voer uw pincode in, gevolgd door de hekjetoets om uw verificatie te voltooien. |
Fraude begroeting (pincode) | Bedankt voor het gebruik van het aanmeldingsverificatiesysteem van Microsoft. Voer uw pincode in, gevolgd door de hekjetoets om uw verificatie te voltooien. Als u deze verificatie niet hebt gestart, probeert iemand mogelijk toegang te krijgen tot uw account. Druk op nul pond om een fraudewaarschuwing in te dienen. Hiermee wordt het IT-team van uw bedrijf op de hoogte gebracht en worden verdere verificatiepogingen geblokkeerd. |
Opnieuw proberen (pincode) | Bedankt voor het gebruik van het aanmeldingsverificatiesysteem van Microsoft. Voer uw pincode in, gevolgd door de hekjetoets om uw verificatie te voltooien. |
Extensieprompt na cijfers | Als deze extensie al is gebruikt, drukt u op de hekjetoets om door te gaan. |
Verificatie geweigerd | Het spijt me dat we u op dit moment niet kunnen aanmelden. Probeer het later opnieuw. |
Activeringsgroet (standaard) | Bedankt voor het gebruik van het verificatiesysteem voor aanmelding bij Microsoft. Druk op de hekjetoets om uw verificatie te voltooien. |
Activering opnieuw proberen (standaard) | Bedankt voor het gebruik van het verificatiesysteem voor aanmelding bij Microsoft. Druk op de hekjetoets om uw verificatie te voltooien. |
Activeringsgroet (pincode) | Bedankt voor het gebruik van het aanmeldingsverificatiesysteem van Microsoft. Voer uw pincode in, gevolgd door de hekjetoets om uw verificatie te voltooien. |
Extensieprompt vóór cijfers | Bedankt voor het gebruik van het aanmeldingsverificatiesysteem van Microsoft. Breng deze aanroep door naar extensie-extensie<>. |
Een aangepast bericht instellen
Voer de volgende stappen uit om uw eigen aangepaste berichten te gebruiken:
- Ga naar Instellingen voor telefoongesprekken met meervoudige verificatie>van beveiliging.>
- Selecteer Begroeting toevoegen.
- Kies het type begroeting, zoals Begroeting (standaard) of Verificatie is geslaagd.
- Selecteer de taal. Zie de vorige sectie over het gedrag van aangepaste berichttaal.
- Blader naar en selecteer een .mp3 of .wav geluidsbestand dat u wilt uploaden.
- Selecteer Toevoegen en vervolgens Opslaan.
MFA-service-instellingen
Instellingen voor app-wachtwoorden, vertrouwde IP-adressen, verificatieopties en het onthouden van meervoudige verificatie op vertrouwde apparaten zijn beschikbaar in de service-instellingen. Dit is een verouderde portal.
U hebt toegang tot service-instellingen vanuit het Microsoft Entra-beheercentrum door naar Aan de slag>te gaan met> Meervoudige verificatie>voor beveiliging configureren>aanvullende MFA-instellingen in de cloud. Er wordt een venster of tabblad geopend met extra opties voor service-instellingen.
Vertrouwde IP-adressen
Locatievoorwaarden zijn de aanbevolen manier om MFA met voorwaardelijke toegang te configureren vanwege IPv6-ondersteuning en andere verbeteringen. Zie De locatievoorwaarde gebruiken in een beleid voor voorwaardelijke toegang voor meer informatie over locatievoorwaarden. Zie Voorwaardelijke toegang: Toegang per locatie blokkeren voor stappen voor het definiëren van locaties en het maken van beleid voor voorwaardelijke toegang.
De functie voor vertrouwde IP-adressen van Microsoft Entra-meervoudige verificatie omzeilt ook MFA-prompts voor gebruikers die zich aanmelden vanuit een gedefinieerd IP-adresbereik. U kunt vertrouwde IP-bereiken instellen voor uw on-premises omgevingen. Wanneer gebruikers zich op een van deze locaties bevinden, is er geen meervoudige verificatieprompt van Microsoft Entra. Voor de functie vertrouwde IP-adressen is Microsoft Entra ID P1-editie vereist.
Notitie
De vertrouwde IP-adressen kunnen alleen privé-IP-bereiken bevatten wanneer u MFA-server gebruikt. Voor meervoudige verificatie in de cloud van Microsoft Entra kunt u alleen openbare IP-adresbereiken gebruiken.
IPv6-bereiken worden ondersteund op benoemde locaties.
Als uw organisatie de NPS-extensie gebruikt om MFA aan on-premises toepassingen te bieden, lijkt het bron-IP-adres altijd de NPS-server te zijn die de verificatiepoging doorloopt.
Microsoft Entra-tenanttype | Opties voor vertrouwde IP-functies |
---|---|
Beheerd | Specifiek bereik van IP-adressen: beheerders geven een bereik van IP-adressen op waarmee meervoudige verificaties kunnen worden overgeslagen voor gebruikers die zich aanmelden via het intranet van het bedrijf. Er kunnen maximaal 50 vertrouwde IP-bereiken worden geconfigureerd. |
Federatief | Alle federatieve gebruikers: alle federatieve gebruikers die zich aanmelden vanuit de organisatie, kunnen meervoudige verificaties omzeilen. Gebruikers omzeilen verificaties met behulp van een claim die is uitgegeven door Active Directory Federation Services (AD FS). Specifiek bereik van IP-adressen: beheerders geven een bereik van IP-adressen op waarmee meervoudige verificatie kan worden overgeslagen voor gebruikers die zich aanmelden via het intranet van het bedrijf. |
Vertrouwde IP-bypass werkt alleen vanuit het intranet van het bedrijf. Als u de optie Alle federatieve gebruikers selecteert en een gebruiker zich aanmeldt van buiten het intranet van het bedrijf, moet de gebruiker zich verifiëren met behulp van meervoudige verificatie. Het proces is hetzelfde, zelfs als de gebruiker een AD FS-claim presenteert.
Notitie
Als zowel MFA per gebruiker als beleid voor voorwaardelijke toegang zijn geconfigureerd in de tenant, moet u vertrouwde IP-adressen toevoegen aan het beleid voor voorwaardelijke toegang en de MFA-service-instellingen bijwerken.
Gebruikerservaring in het bedrijfsnetwerk
Wanneer de functie voor vertrouwde IP-adressen is uitgeschakeld, is meervoudige verificatie vereist voor browserstromen. App-wachtwoorden zijn vereist voor oudere toepassingen met uitgebreide clients.
Wanneer vertrouwde IP-adressen worden gebruikt, is meervoudige verificatie niet vereist voor browserstromen. App-wachtwoorden zijn niet vereist voor oudere toepassingen met uitgebreide clients als de gebruiker geen app-wachtwoord heeft gemaakt. Nadat een app-wachtwoord in gebruik is, is het wachtwoord vereist.
Gebruikerservaring buiten het bedrijfsnetwerk
Ongeacht of vertrouwde IP-adressen zijn gedefinieerd, is meervoudige verificatie vereist voor browserstromen. App-wachtwoorden zijn vereist voor oudere toepassingen met uitgebreide clients.
Benoemde locaties inschakelen met behulp van voorwaardelijke toegang
U kunt regels voor voorwaardelijke toegang gebruiken om benoemde locaties te definiëren met behulp van de volgende stappen:
- Meld u als beheerder voor voorwaardelijke toegang aan bij het Microsoft Entra-beheercentrum.
- Blader naar >voorwaardelijke toegang>tot benoemde locaties voor beveiliging.
- Selecteer Nieuwe locatie.
- Voer een naam in voor de locatie.
- Selecteer Markeren als vertrouwde locatie.
- Voer het IP-bereik in voor uw omgeving in CIDR-notatie. Bijvoorbeeld 40.77.182.32/27.
- Selecteer Maken.
De functie vertrouwde IP-adressen inschakelen met behulp van voorwaardelijke toegang
Voer de volgende stappen uit om vertrouwde IP-adressen in te schakelen met behulp van beleid voor voorwaardelijke toegang:
Meld u als beheerder voor voorwaardelijke toegang aan bij het Microsoft Entra-beheercentrum.
Blader naar >voorwaardelijke toegang>tot benoemde locaties voor beveiliging.
Selecteer Vertrouwde IP-adressen voor meervoudige verificatie configureren.
Kies op de pagina Service-instellingen onder Vertrouwde IP-adressen een van de volgende opties:
Voor aanvragen van federatieve gebruikers die afkomstig zijn van mijn intranet: als u deze optie wilt kiezen, schakelt u het selectievakje in. Alle federatieve gebruikers die zich aanmelden vanuit het bedrijfsnetwerk omzeilen meervoudige verificaties met behulp van een claim die is uitgegeven door AD FS. Zorg ervoor dat AD FS een regel heeft om de intranetclaim toe te voegen aan het juiste verkeer. Als de regel niet bestaat, maakt u de volgende regel in AD FS:
c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);
Notitie
De optie Meervoudige verificatie overslaan voor aanvragen van federatieve gebruikers op mijn intranet is van invloed op de evaluatie van voorwaardelijke toegang voor locaties. Elke aanvraag met de binnencorporatenetwork-claim wordt behandeld als afkomstig van een vertrouwde locatie als deze optie is geselecteerd.
Voor aanvragen van een specifiek bereik van openbare IP-adressen: als u deze optie wilt kiezen, voert u de IP-adressen in het tekstvak in, in CIDR-notatie.
- Gebruik voor IP-adressen in het bereik xxx.xxx.xxx.1 tot en met xxx.xxx.xxx.254 notatie, zoals xxx.xxx.xxx.0/24.
- Gebruik voor één IP-adres notatie zoals xxx.xxx.xxx.xxx/32.
- Voer maximaal 50 IP-adresbereiken in. Gebruikers die zich via deze IP-adressen aanmelden, omzeilen meervoudige verificaties.
Selecteer Opslaan.
De functie vertrouwde IP-adressen inschakelen met behulp van service-instellingen
Als u geen beleid voor voorwaardelijke toegang wilt gebruiken om vertrouwde IP-adressen in te schakelen, kunt u de service-instellingen voor Meervoudige Verificatie van Microsoft Entra configureren met behulp van de volgende stappen:
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleidsbeheerder.
Blader naar Meervoudige verificatie>voor beveiliging>aanvullende MFA-instellingen in de cloud.
Kies op de pagina Service-instellingen onder Vertrouwde IP's een of beide van de volgende opties:
Voor aanvragen van federatieve gebruikers op mijn intranet: Als u deze optie wilt kiezen, schakelt u het selectievakje in. Alle federatieve gebruikers die zich aanmelden vanuit het bedrijfsnetwerk omzeilen meervoudige verificatie met behulp van een claim die is uitgegeven door AD FS. Zorg ervoor dat AD FS een regel heeft om de intranetclaim toe te voegen aan het juiste verkeer. Als de regel niet bestaat, maakt u de volgende regel in AD FS:
c:[Type== "https://schemas.microsoft.com/ws/2012/01/insidecorporatenetwork"] => issue(claim = c);
Voor aanvragen van een opgegeven bereik van IP-adressubnetten: als u deze optie wilt kiezen, voert u de IP-adressen in het tekstvak in, in CIDR-notatie.
- Gebruik voor IP-adressen in het bereik xxx.xxx.xxx.1 tot en met xxx.xxx.xxx.254 notatie, zoals xxx.xxx.xxx.0/24.
- Gebruik voor één IP-adres notatie zoals xxx.xxx.xxx.xxx/32.
- Voer maximaal 50 IP-adresbereiken in. Gebruikers die zich via deze IP-adressen aanmelden, omzeilen meervoudige verificaties.
Selecteer Opslaan.
Verificatiemethoden
U kunt de verificatiemethoden kiezen die beschikbaar zijn voor uw gebruikers in de portal voor service-instellingen. Wanneer uw gebruikers hun accounts inschrijven voor Meervoudige Verificatie van Microsoft Entra, kiezen ze hun voorkeursverificatiemethode in de opties die u hebt ingeschakeld. Richtlijnen voor het registratieproces voor gebruikers vindt u in Mijn account instellen voor meervoudige verificatie.
Belangrijk
In maart 2023 hebben we aangekondigd dat het beheer van verificatiemethoden in het verouderde beleid voor meervoudige verificatie en selfservice voor wachtwoordherstel (SSPR) wordt afgeschaft. Vanaf 30 september 2025 kunnen verificatiemethoden niet worden beheerd in dit verouderde MFA- en SSPR-beleid. We raden klanten aan het handmatige migratiebeheer te gebruiken om te migreren naar het beleid voor verificatiemethoden op basis van de afschaffingsdatum. Zie MFA- en SSPR-beleidsinstellingen migreren naar het beleid voor verificatiemethoden voor Microsoft Entra-id voor hulp bij het migratiebeheer.
De volgende verificatiemethoden zijn beschikbaar:
Methode | Beschrijving |
---|---|
Bellen naar telefoon | Hiermee plaatst u een geautomatiseerd spraakgesprek. De gebruiker beantwoordt het gesprek en drukt op # op de telefoon om te verifiëren. Het telefoonnummer wordt niet gesynchroniseerd met on-premises Active Directory. |
Sms-bericht naar telefoon | Hiermee wordt een sms-bericht met een verificatiecode verzonden. De gebruiker wordt gevraagd de verificatiecode in te voeren in de aanmeldingsinterface. Dit proces wordt eenrichtings-sms genoemd. Sms in twee richtingen betekent dat de gebruiker een bepaalde code moet terugsturen. Sms in twee richtingen wordt afgeschaft en wordt niet ondersteund na 14 november 2018. Beheerders moeten een andere methode inschakelen voor gebruikers die eerder sms in twee richtingen gebruikten. |
Melding via mobiele app | Hiermee wordt een pushmelding verzonden naar de telefoon of het geregistreerde apparaat van de gebruiker. De gebruiker bekijkt de melding en selecteert Verifiëren om de verificatie te voltooien. De Microsoft Authenticator-app is beschikbaar voor Windows Phone, Android en iOS. |
Verificatiecode van mobiele app of hardwaretoken | De Microsoft Authenticator-app genereert elke 30 seconden een nieuwe OATH-verificatiecode. De gebruiker voert de verificatiecode in de aanmeldingsinterface in. De Microsoft Authenticator-app is beschikbaar voor Windows Phone, Android en iOS. |
Zie welke verificatie- en verificatiemethoden beschikbaar zijn in Microsoft Entra ID voor meer informatie.
Verificatiemethoden in- en uitschakelen
Voer de volgende stappen uit om verificatiemethoden in of uit te schakelen:
- Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleidsbeheerder.
- Blader naar identiteitsgebruikers>.
- Selecteer MFA per gebruiker.
- Selecteer service-instellingen onder Meervoudige verificatie boven aan de pagina.
- Schakel op de pagina Service-instellingen onder Verificatieopties de juiste selectievakjes in of uit.
- Selecteer Opslaan.
Meervoudige verificatie onthouden
Met de functie voor meervoudige verificatie onthouden kunnen gebruikers volgende verificaties gedurende een opgegeven aantal dagen overslaan nadat ze zijn aangemeld bij een apparaat met behulp van MFA. Als u de bruikbaarheid wilt verbeteren en het aantal keren dat een gebruiker MFA op een bepaald apparaat moet uitvoeren, selecteert u een duur van 90 dagen of meer.
Belangrijk
Als een account of apparaat is aangetast, kan het onthouden van MFA voor vertrouwde apparaten van invloed zijn op de beveiliging. Als een bedrijfsaccount wordt aangetast of een vertrouwd apparaat verloren of gestolen is, moet u MFA-sessies intrekken.
Met de ingetrokken actie wordt de vertrouwde status van alle apparaten ingetrokken en moet de gebruiker opnieuw meervoudige verificatie uitvoeren. U kunt uw gebruikers ook opdracht geven om de oorspronkelijke MFA-status op hun eigen apparaten te herstellen, zoals vermeld in Uw instellingen beheren voor meervoudige verificatie.
Hoe de functie werkt
Met de functie voor meervoudige verificatie wordt een permanente cookie ingesteld in de browser wanneer een gebruiker de optie Niet opnieuw vragen om X dagen bij het aanmelden selecteert. De gebruiker wordt niet opnieuw om MFA gevraagd vanuit die browser totdat de cookie verloopt. Als de gebruiker een andere browser op hetzelfde apparaat opent of de cookies wist, wordt hij of zij opnieuw gevraagd om dit te verifiëren.
De optie Niet meer vragen om X dagen wordt niet weergegeven in niet-browsertoepassingen, ongeacht of de app moderne verificatie ondersteunt. Deze apps gebruiken vernieuwingstokens die elk uur nieuwe toegangstokens bieden. Wanneer een vernieuwingstoken wordt gevalideerd, controleert Microsoft Entra ID of de laatste meervoudige verificatie binnen het opgegeven aantal dagen heeft plaatsgevonden.
De functie vermindert het aantal verificaties in web-apps, wat normaal gesproken elke keer wordt gevraagd. De functie kan het aantal verificaties voor moderne verificatieclients verhogen die normaal elke 180 dagen worden gevraagd, als een lagere duur is geconfigureerd. Het kan ook het aantal verificaties verhogen in combinatie met beleid voor voorwaardelijke toegang.
Belangrijk
De functie voor meervoudige verificatie is niet compatibel met de functie Aangemeld blijven van AD FS wanneer gebruikers meervoudige verificatie voor AD FS uitvoeren via MFA Server of een multi-factor authentication-oplossing van derden.
Als uw gebruikers selecteren aangemeld blijven op AD FS en ook hun apparaat markeren als vertrouwd voor MFA, wordt de gebruiker niet automatisch geverifieerd nadat het aantal dagen voor meervoudige verificatie is verlopen. Microsoft Entra ID vraagt een nieuwe meervoudige verificatie aan, maar AD FS retourneert een token met de oorspronkelijke MFA-claim en -datum, in plaats van opnieuw meervoudige verificatie uit te voeren. Met deze reactie wordt een verificatielus tussen Microsoft Entra ID en AD FS uitgeschakeld.
De functie voor meervoudige verificatie is niet compatibel met B2B-gebruikers en is niet zichtbaar voor B2B-gebruikers wanneer ze zich aanmelden bij de uitgenodigde tenants.
De functie voor meervoudige verificatie is niet compatibel met het voorwaardelijke toegangsbeheer voor aanmeldingsfrequentie. Zie Verificatiesessiebeheer configureren met voorwaardelijke toegang voor meer informatie.
Meervoudige verificatie inschakelen
Voer de volgende stappen uit om de optie in te schakelen en te configureren zodat gebruikers hun MFA-status kunnen onthouden en prompts omzeilen:
- Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleidsbeheerder.
- Blader naar identiteitsgebruikers>.
- Selecteer MFA per gebruiker.
- Selecteer service-instellingen onder Meervoudige verificatie boven aan de pagina.
- Selecteer op de pagina met service-instellingen onder Meervoudige verificatie onthouden de optie Toestaan dat gebruikers meervoudige verificatie onthouden op apparaten die ze vertrouwen.
- Stel het aantal dagen in dat vertrouwde apparaten meervoudige verificaties kunnen omzeilen. Voor de optimale gebruikerservaring verlengt u de duur tot 90 of meer dagen.
- Selecteer Opslaan.
Een apparaat markeren als vertrouwd
Nadat u de functie voor meervoudige verificatie onthouden hebt ingeschakeld, kunnen gebruikers een apparaat markeren als vertrouwd wanneer ze zich aanmelden door Niet opnieuw vragen te selecteren.