Meervoudige verificatie van Microsoft Entra per gebruiker inschakelen om aanmeldingsgebeurtenissen te beveiligen
Als u aanmeldingsgebeurtenissen van gebruikers in Microsoft Entra ID wilt beveiligen, kunt u Meervoudige Verificatie (MFA) van Microsoft Entra vereisen. De beste manier om gebruikers te beveiligen met Microsoft Entra MFA is door een beleid voor voorwaardelijke toegang te maken. Voorwaardelijke toegang is een Microsoft Entra ID P1- of P2-functie waarmee u regels kunt toepassen om MFA te vereisen als dat nodig is in bepaalde scenario's. Zie zelfstudie: Aanmeldingsgebeurtenissen van gebruikers beveiligen met Meervoudige verificatie van Microsoft Entra om aan de slag te gaan met voorwaardelijke toegang.
Voor Microsoft Entra ID Free-tenants zonder voorwaardelijke toegang kunt u de standaardinstellingen voor beveiliging gebruiken om gebruikers te beveiligen. Gebruikers worden zo nodig om MFA gevraagd, maar u kunt uw eigen regels niet definiëren om dit te beheren.
Indien nodig kunt u in plaats daarvan elk account inschakelen voor Microsoft Entra MFA per gebruiker. Wanneer u gebruikers afzonderlijk inschakelt, voeren ze MFA uit telkens wanneer ze zich aanmelden. U kunt uitzonderingen inschakelen, zoals wanneer ze zich aanmelden vanaf vertrouwde IP-adressen of wanneer de functie MFA onthouden op vertrouwde apparaten is ingeschakeld.
Het wijzigen van gebruikersstatussen wordt niet aanbevolen, tenzij uw Microsoft Entra ID-licenties geen voorwaardelijke toegang bevatten en u geen standaardinstellingen voor beveiliging wilt gebruiken. Zie Functies en licenties voor Meervoudige Verificatie van Microsoft Entra voor meer informatie over de verschillende manieren om MFA in te schakelen.
Belangrijk
In dit artikel wordt beschreven hoe u de status voor meervoudige verificatie per gebruiker van Microsoft Entra kunt bekijken en wijzigen. Als u de standaardinstellingen voor voorwaardelijke toegang of beveiliging gebruikt,kunt u gebruikersaccounts niet controleren of inschakelen met behulp van deze stappen.
Als u Meervoudige verificatie van Microsoft Entra inschakelt via een beleid voor voorwaardelijke toegang, wordt de status van de gebruiker niet gewijzigd. Schrik niet als gebruikers worden uitgeschakeld. Voorwaardelijke toegang wijzigt de status niet.
Schakel Microsoft Entra-meervoudige verificatie per gebruiker niet in of af als u beleid voor voorwaardelijke toegang gebruikt.
Gebruikersstatussen voor meervoudige verificatie van Microsoft Entra
De status van een gebruiker geeft aan of een verificatiebeheerder deze heeft ingeschreven bij Meervoudige Verificatie per gebruiker in Microsoft Entra. Gebruikersaccounts in Microsoft Entra multifactor authentication hebben de volgende drie verschillende statussen:
| Toestand | Beschrijving | Verouderde verificatie beïnvloed | Browser-apps beïnvloed | Moderne verificatie beïnvloed |
|---|---|---|---|---|
| Uitgeschakeld | De standaardstatus voor een gebruiker die niet is ingeschreven bij Microsoft Entra-verificatie per gebruiker. | Nee | Nee | Nr. |
| Ingeschakeld | De gebruiker is geregistreerd bij Microsoft Entra-meervoudige verificatie per gebruiker, maar kan nog steeds hun wachtwoord gebruiken voor verouderde verificatie. Als de gebruiker geen geregistreerde MFA-verificatiemethoden heeft, ontvangen ze een prompt om zich de volgende keer te registreren met moderne verificatie (bijvoorbeeld wanneer ze zich aanmelden in een webbrowser). | Nee Verouderde verificatie blijft werken totdat het registratieproces is voltooid. | Ja. Nadat de sessie is verlopen, is registratie voor meervoudige verificatie van Microsoft Entra vereist. | Ja. Nadat het toegangstoken is verlopen, is registratie voor meervoudige verificatie van Microsoft Entra vereist. |
| Afgedwongen | De gebruiker is geregistreerd per gebruiker in Microsoft Entra multifactor authentication. Als de gebruiker geen geregistreerde verificatiemethoden heeft, ontvangen ze een prompt om zich de volgende keer te registreren met moderne verificatie (bijvoorbeeld wanneer ze zich aanmelden in een webbrowser). Gebruikers die de registratie voltooien terwijl ze zijn ingeschakeld , worden automatisch verplaatst naar de status Afgedwongen . | Ja. Voor apps zijn app-wachtwoorden vereist. | Ja. Microsoft Entra meervoudige verificatie is vereist bij het aanmelden. | Ja. Microsoft Entra meervoudige verificatie is vereist bij het aanmelden. |
Alle gebruikers beginnen Uitgeschakeld. Wanneer u gebruikers registreert bij meervoudige verificatie per gebruiker, verandert de status in Ingeschakeld. Wanneer ingeschakelde gebruikers zich aanmelden en het registratieproces voltooien, wordt de status gewijzigd in Afgedwongen. Beheerders kunnen gebruikers verplaatsen tussen statussen, waaronder van Afgedwongen naar Ingeschakeld of Uitgeschakeld.
Notitie
Als MFA per gebruiker opnieuw is ingeschakeld voor een gebruiker en de gebruiker zich niet opnieuw registreert, wordt de MFA-status niet overgezet van Ingeschakeld naar Afgedwongen in de gebruikersinterface van MFA-beheer. De beheerder moet de gebruiker rechtstreeks op Afgedwongen instellen.
De status voor een gebruiker weergeven
De MFA-beheerervaring per gebruiker in het Microsoft Entra-beheercentrum is onlangs verbeterd. Voer de volgende stappen uit om gebruikersstatussen weer te geven en te beheren:
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleidsbeheerder.
Blader naar Identiteit>Gebruikers>Alle gebruikers.
Selecteer een gebruikersaccount en klik op MFA-instellingen voor gebruiker.
Nadat u wijzigingen hebt aangebracht, klikt u op Opslaan.
Als u duizenden gebruikers probeert te sorteren, kan het resultaat probleemloos worden geretourneerd dat er geen gebruikers worden weergegeven. Probeer specifiekere zoekcriteria in te voeren om de zoekopdracht te beperken of specifieke status - of weergavefilters toe te passen.
Tijdens de overgang naar de nieuwe MFA-ervaring per gebruiker hebt u ook toegang tot de verouderde MFA-ervaring per gebruiker. De indeling is:
https://account.activedirectory.windowsazure.com/usermanagement/multifactorverification.aspx?tenantId=${userTenantID}
Als u de userTenantIDtenant-id wilt ophalen, kopieert u de tenant-id op de pagina Overzicht in het Microsoft Entra-beheercentrum. Volg vervolgens deze stappen om de status voor een gebruiker met de verouderde ervaring weer te geven:
- Meld u als verificatiebeheerder aan bij het Microsoft Entra-beheercentrum.
- Blader naar Identiteit>Gebruikers>Alle gebruikers.
- Selecteer MFA per gebruiker.
- Er wordt een nieuwe pagina geopend waarop de gebruikersstatus wordt weergegeven, zoals te zien is in het volgende voorbeeld.
De status voor een gebruiker wijzigen
Voer de volgende stappen uit om de meervoudige verificatiestatus van Microsoft Entra per gebruiker voor een gebruiker te wijzigen:
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleidsbeheerder.
Blader naar Identiteit>Gebruikers>Alle gebruikers.
Selecteer een gebruikersaccount en klik op MFA inschakelen.
Tip
Ingeschakelde gebruikers worden automatisch overgeschakeld naar Afgedwongen wanneer ze zich registreren voor Meervoudige Verificatie van Microsoft Entra. Wijzig de gebruikersstatus niet handmatig in Afgedwongen, tenzij de gebruiker al is geregistreerd of als het acceptabel is dat de gebruiker onderbrekingen ondervindt in verbindingen met verouderde verificatieprotocollen.
Bevestig uw selectie in het pop-upvenster dat wordt geopend.
Nadat u gebruikers hebt ingeschakeld, meldt u hen per e-mail. Laat de gebruikers weten dat er de volgende keer dat ze zich aanmelden een prompt wordt weergegeven om hen te vragen zich te registreren. Als uw organisatie toepassingen gebruikt die niet worden uitgevoerd in een browser of moderne verificatie ondersteunen, kunt u toepassingswachtwoorden maken. Zie Meervoudige verificatie van Microsoft Entra afdwingen met verouderde toepassingen met behulp van app-wachtwoorden voor meer informatie.
Microsoft Graph gebruiken om MFA per gebruiker te beheren
U kunt MFA-instellingen per gebruiker beheren met behulp van de Microsoft Graph REST API Beta. U kunt het verificatieresourcetype gebruiken om statussen van de verificatiemethode beschikbaar te maken voor gebruikers.
Als u MFA per gebruiker wilt beheren, gebruikt u de eigenschap perUserMfaState binnen gebruikers/id/verificatie/vereisten. Zie strongAuthenticationRequirements-resourcetype voor meer informatie.
MFA-status per gebruiker weergeven
De meervoudige verificatiestatus per gebruiker voor een gebruiker ophalen:
GET /users/{id | userPrincipalName}/authentication/requirements
Voorbeeld:
GET https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements
Als de gebruiker is ingeschakeld voor MFA per gebruiker, is het antwoord:
HTTP/1.1 200 OK
Content-Type: application/json
{
"perUserMfaState": "enforced"
}
Zie Statussen van verificatiemethode ophalen voor meer informatie.
MFA-status voor een gebruiker wijzigen
Als u de meervoudige verificatiestatus voor een gebruiker wilt wijzigen, gebruikt u de strongAuthenticationRequirements van de gebruiker. Voorbeeld:
PATCH https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements
Content-Type: application/json
{
"perUserMfaState": "disabled"
}
Als dit lukt, is het antwoord:
HTTP/1.1 204 No Content
Zie Statussen van de verificatiemethode bijwerken voor meer informatie.
Volgende stappen
Zie Instellingen voor meervoudige verificatie van Microsoft Entra configureren voor meervoudige verificatie van Microsoft Entra als u instellingen voor meervoudige verificatie wilt configureren.
Zie Gebruikersinstellingen beheren met Meervoudige Verificatie van Microsoft Entra als u gebruikersinstellingen wilt beheren met Meervoudige Verificatie van Microsoft Entra.
Als u wilt weten waarom een gebruiker is gevraagd of niet om MFA moet worden uitgevoerd, raadpleegt u microsoft Entra-rapporten voor meervoudige verificatie.