Veelgestelde vragen over Microsoft Entra ID-meervoudige verificatie

Met de Multi-Factor Authentication-server worden gebruikersgegevens alleen opgeslagen op de on-premises servers. In de cloud worden geen permanente gebruikersgegevens opgeslagen. Wanneer de gebruiker verificatie in twee stappen uitvoert, verzendt de Multi-Factor Authentication-server gegevens naar de Cloudservice voor meervoudige verificatie van Microsoft Entra voor verificatie. Communicatie tussen de Multi-Factor Authentication-server en de cloudservice voor meervoudige verificatie maakt gebruik van SSL (Secure Sockets Layer) of Transport Layer Security (TLS) via poort 443 uitgaand.

Wanneer verificatieaanvragen naar de cloudservice worden verzonden, worden gegevens verzameld voor verificatie- en gebruiksrapporten. De volgende gegevensvelden zijn opgenomen in verificatielogboeken in twee stappen:

• Unieke id (gebruikersnaam of on-premises Multi-Factor Authentication-server-id)
• Voor- en achternaam (optioneel)
• E-mailadres (optioneel)
• Telefoon Nummer (bij gebruik van een spraakoproep of sms-berichtverificatie)
• Apparaattoken (bij gebruik van verificatie van mobiele apps)
• Verificatiemodus
• Verificatieresultaat
• Multi-Factor Authentication-servernaam
• IP-adres van Multi-Factor Authentication-server
• CLIENT-IP (indien beschikbaar)

De optionele velden kunnen worden geconfigureerd in de Multi-Factor Authentication-server.

Het verificatieresultaat (geslaagd of ontkenning) en de reden als deze is geweigerd, wordt opgeslagen met de verificatiegegevens. Deze gegevens zijn beschikbaar in verificatie- en gebruiksrapporten.

Zie Gegevenslocatie en klantgegevens voor meervoudige verificatie van Microsoft Entra voor meer informatie.

In de Verenigde Staten gebruiken we de volgende korte codes:

• 97671
• 69829
• 51789
• 99399

In Canada gebruiken we de volgende korte codes:

• 759731
• 673801

Er is geen garantie voor consistente tekstberichten of op spraak gebaseerde meervoudige verificatiepromptbezorging met hetzelfde nummer. In het belang van onze gebruikers kunnen we op elk gewenst moment korte codes toevoegen of verwijderen wanneer we routeaanpassingen aanbrengen om de afleverbaarheid van tekstberichten te verbeteren.

We ondersteunen geen korte codes voor landen of regio's naast de Verenigde Staten en Canada.

Ja, in bepaalde gevallen waarbij doorgaans herhaalde verificatieaanvragen in een kort tijdvenster zijn betrokken, beperkt Microsoft Entra meervoudige verificatie pogingen om aanmeldingspogingen van gebruikers om telecommunicatienetwerken te beschermen, MFA-aanvallen in vermoeidheidsstijl te verminderen en zijn eigen systemen te beschermen voor het voordeel van alle klanten.

Hoewel we geen specifieke beperkingslimieten delen, zijn ze gebaseerd op redelijk gebruik.

Nee, er worden geen kosten in rekening gebracht voor afzonderlijke telefoongesprekken die naar gebruikers worden verzonden via meervoudige verificatie van Microsoft Entra. Als u een MFA-provider per verificatie gebruikt, wordt u gefactureerd voor elke verificatie, maar niet voor de gebruikte methode.

Uw gebruikers worden mogelijk in rekening gebracht voor de telefoongesprekken of sms-berichten die ze ontvangen, volgens hun persoonlijke telefoonservice.

Facturering is gebaseerd op het aantal gebruikers dat is geconfigureerd voor het gebruik van meervoudige verificatie, ongeacht of ze die maand verificatie in twee stappen hebben uitgevoerd.

Wanneer u een MFA-provider per gebruiker of per verificatie maakt, wordt het Azure-abonnement van uw organisatie maandelijks gefactureerd op basis van gebruik. Dit factureringsmodel is vergelijkbaar met de manier waarop Azure factureert voor het gebruik van virtuele machines en Web Apps.

Wanneer u een abonnement koopt voor meervoudige verificatie van Microsoft Entra, betaalt uw organisatie alleen de jaarlijkse licentiekosten voor elke gebruiker. MFA-licenties en Microsoft 365-, Microsoft Entra ID P1- of P2- of Enterprise Mobility + Security-bundels worden op deze manier gefactureerd.

Zie Hoe u meervoudige verificatie van Microsoft Entra kunt verkrijgen voor meer informatie.

Standaardinstellingen voor beveiliging kunnen worden ingeschakeld in de gratis laag van Microsoft Entra ID. Met standaardinstellingen voor beveiliging zijn alle gebruikers ingeschakeld voor meervoudige verificatie met behulp van de Microsoft Authenticator-app. Er is geen mogelijkheid om sms-berichten of telefoonverificatie te gebruiken met standaardinstellingen voor beveiliging, alleen de Microsoft Authenticator-app.

Lees voor meer informatie Wat zijn de standaardinstellingen voor beveiliging?

Als uw organisatie MFA koopt als een zelfstandige service met facturering op basis van verbruik, kiest u een factureringsmodel wanneer u een MFA-provider maakt. U kunt het factureringsmodel niet wijzigen nadat een MFA-provider is gemaakt.

Als uw MFA-provider niet is gekoppeld aan een Microsoft Entra-tenant of als u de nieuwe MFA-provider koppelt aan een andere Microsoft Entra-tenant, gebruikersinstellingen en configuratieopties, worden niet overgedragen. Ook moeten bestaande MFA-servers opnieuw worden geactiveerd met behulp van activeringsreferenties die zijn gegenereerd via de nieuwe MFA-provider. Als u de MFA-servers opnieuw activeert om ze te koppelen aan de nieuwe MFA-provider, is dit niet van invloed op telefonische verificatie en verificatie via een sms-bericht. Mobiele app-meldingen werken echter niet meer voor gebruikers totdat ze de mobiele app opnieuw activeren.

Meer informatie over MFA-providers in Aan de slag met een Azure-provider voor meervoudige verificatie.

In sommige gevallen, ja.

Als uw directory een Microsoft Entra-provider voor meervoudige verificatie per gebruiker heeft, kunt u MFA-licenties toevoegen. Gebruikers met licenties worden niet meegeteld in de facturering per gebruiker op basis van verbruik. Gebruikers zonder licenties kunnen nog steeds worden ingeschakeld voor MFA via de MFA-provider. Als u licenties koopt en toewijst voor al uw gebruikers die zijn geconfigureerd voor het gebruik van meervoudige verificatie, kunt u de Provider voor meervoudige verificatie van Microsoft Entra verwijderen. U kunt altijd een andere MFA-provider per gebruiker maken als u in de toekomst meer gebruikers dan licenties hebt.

Als uw directory een provider voor meervoudige verificatie van Microsoft Entra heeft, wordt u altijd gefactureerd voor elke verificatie, zolang de MFA-provider is gekoppeld aan uw abonnement. U kunt MFA-licenties toewijzen aan gebruikers, maar u wordt nog steeds gefactureerd voor elke verificatieaanvraag in twee stappen, ongeacht of deze afkomstig is van iemand met een toegewezen MFA-licentie.

Als uw organisatie gebruikmaakt van een factureringsmodel op basis van verbruik, is Microsoft Entra-id optioneel, maar niet vereist. Als uw MFA-provider niet is gekoppeld aan een Microsoft Entra-tenant, kunt u azure Multi-Factor Authentication-server alleen on-premises implementeren.

Microsoft Entra-id is vereist voor het licentiemodel omdat licenties worden toegevoegd aan de Microsoft Entra-tenant wanneer u ze aanschaft en toewijst aan gebruikers in de directory.

Laat uw gebruikers maximaal vijf keer in 5 minuten proberen om een telefoongesprek of sms-bericht te ontvangen voor verificatie. Microsoft gebruikt meerdere providers voor het leveren van oproepen en sms-berichten. Als deze aanpak niet werkt, opent u een ondersteuningsaanvraag om het probleem verder op te lossen.

Beveiligingsapps van derden kunnen ook het sms-bericht of telefoongesprek van de verificatiecode blokkeren. Als u een beveiligings-app van derden gebruikt, schakelt u de beveiliging uit en vraagt u een andere MFA-verificatiecode te verzenden.

Als de bovenstaande stappen niet werken, controleert u of gebruikers zijn geconfigureerd voor meer dan één verificatiemethode. Probeer u opnieuw aan te melden, maar selecteer een andere verificatiemethode op de aanmeldingspagina.

Zie de handleiding voor probleemoplossing voor eindgebruikers voor meer informatie.

U kunt het account van de gebruiker opnieuw instellen door het registratieproces opnieuw te doorlopen. Meer informatie over het beheren van gebruikers- en apparaatinstellingen met Meervoudige verificatie van Microsoft Entra in de cloud.

Verwijder alle app-wachtwoorden van de gebruiker om onbevoegde toegang te voorkomen. Nadat de gebruiker een vervangend apparaat heeft, kunnen ze de wachtwoorden opnieuw maken. Meer informatie over het beheren van gebruikers- en apparaatinstellingen met Meervoudige verificatie van Microsoft Entra in de cloud.

Als uw organisatie nog steeds verouderde clients gebruikt en u het gebruik van app-wachtwoorden hebt toegestaan, kunnen uw gebruikers zich niet aanmelden bij deze verouderde clients met hun gebruikersnaam en wachtwoord. In plaats daarvan moeten ze app-wachtwoorden instellen. Uw gebruikers moeten hun aanmeldingsgegevens wissen (verwijderen), de app opnieuw starten en zich vervolgens aanmelden met hun gebruikersnaam en app-wachtwoord in plaats van hun normale wachtwoord.

Als uw organisatie geen verouderde clients heeft, moet u uw gebruikers niet toestaan app-wachtwoorden te maken.

De bezorging van sms-berichten wordt niet gegarandeerd omdat oncontroleerbare factoren van invloed kunnen zijn op de betrouwbaarheid van de service. Deze factoren omvatten het doelland of de regio, de mobiele telefoonprovider en de signaalsterkte.

Beveiligingsapps van derden kunnen ook het sms-bericht of telefoongesprek van de verificatiecode blokkeren. Als u een beveiligings-app van derden gebruikt, schakelt u de beveiliging uit en vraagt u een andere MFA-verificatiecode te verzenden.

Als uw gebruikers vaak problemen ondervinden met het betrouwbaar ontvangen van sms-berichten, moet u in plaats daarvan de Microsoft Authenticator-app of de methode voor telefoongesprekken gebruiken. Microsoft Authenticator kan meldingen ontvangen via mobiele en Wi-Fi-verbindingen. Bovendien kan de mobiele app verificatiecodes genereren, zelfs wanneer het apparaat helemaal geen signaal heeft. De Microsoft Authenticator-app is beschikbaar voor Android, iOS en Windows Phone.

In bepaalde gevallen, ja.

Voor sms in één richting met MFA Server v7.0 of hoger kunt u de time-outinstelling configureren door een registersleutel in te stellen. Nadat de MFA-cloudservice het sms-bericht heeft verzonden, wordt de verificatiecode (of eenmalige wachtwoordcode) geretourneerd naar de MFA-server. De MFA-server slaat de code standaard gedurende 300 seconden op in het geheugen. Als de gebruiker de code niet invoert voordat de 300 seconden zijn verstreken, wordt de verificatie geweigerd. Gebruik deze stappen om de standaardinstelling voor time-outs te wijzigen:

1. Ga naar HKLM\Software\Wow6432Node\Positive Networks\PhoneFactor.
2. Maak een DWORD-registersleutel met de naam pfsvc_pendingSmsTimeoutSeconds en stel de tijd in seconden in dat de MFA-server eenmalige wachtwoordcodes moet opslaan.

Als gebruikers niet reageren op de sms binnen de gedefinieerde time-outperiode, wordt hun verificatie geweigerd.

Voor sms in één richting met Meervoudige Verificatie van Microsoft Entra in de cloud (inclusief de AD FS-adapter of de extensie Network Policy Server), kunt u de time-outinstelling niet configureren. Microsoft Entra ID slaat de verificatiecode gedurende 180 seconden op.

Als u Multi-Factor Authentication-server gebruikt, kunt u op tijd gebaseerde, eenmalige wachtwoordtokens (TOTP) van derden (Open Authentication) importeren en deze vervolgens gebruiken voor verificatie in twee stappen.

U kunt ActiveIdentity-tokens gebruiken die OATH TOTP-tokens zijn als u de geheime sleutel in een CSV-bestand plaatst en importeert naar de Multi-Factor Authentication-server. U kunt OATH-tokens gebruiken met ADFS (Active Directory Federation Services), IIS-formulieren (Internet Information Server) en RADIUS (Remote Authentication Dial-In User Service) zolang het clientsysteem de gebruikersinvoer kan accepteren.

U kunt OATH TOTP-tokens van derden importeren met de volgende indelingen:

• Draagbare symmetrische sleutelcontainer (PSKC)
• CSV als het bestand een serienummer, een geheime sleutel in basis 32-indeling en een tijdsinterval bevat

Ja, maar als u Windows Server 2012 R2 of hoger gebruikt, kunt u Terminal Services alleen beveiligen met behulp van Extern bureaublad-gateway (RD Gateway).

Beveiligingswijzigingen in Windows Server 2012 R2 hebben gewijzigd hoe de Multi-Factor Authentication-server verbinding maakt met het LSA-beveiligingspakket (Local Security Authority) in Windows Server 2012 en eerdere versies. Voor versies van Terminal Services in Windows Server 2012 of eerder kunt u een toepassing beveiligen met Windows-verificatie. Als u Windows Server 2012 R2 gebruikt, hebt u RD Gateway nodig.

Wanneer meervoudige verificatiegesprekken via het openbare telefoonnetwerk worden geplaatst, worden ze soms gerouteerd via een provider die geen ondersteuning biedt voor nummerweergave. Vanwege dit gedrag van de provider wordt nummerweergave niet gegarandeerd, ook al verzendt het multifactor-verificatiesysteem dit altijd.

Er zijn verschillende redenen waarom gebruikers kunnen worden gevraagd om hun beveiligingsgegevens te registreren:

• De gebruiker is ingeschakeld voor MFA door de beheerder in Microsoft Entra ID, maar heeft nog geen beveiligingsgegevens geregistreerd voor hun account.
• De gebruiker is ingeschakeld voor selfservice voor wachtwoordherstel in Microsoft Entra ID. De beveiligingsgegevens helpen hen hun wachtwoord in de toekomst opnieuw in te stellen als ze het ooit vergeten.
• De gebruiker heeft toegang tot een toepassing met beleid voor voorwaardelijke toegang om MFA te vereisen en is nog niet eerder geregistreerd voor MFA.
• De gebruiker registreert een apparaat met Microsoft Entra ID (inclusief Microsoft Entra join) en uw organisatie vereist MFA voor apparaatregistratie, maar de gebruiker heeft zich nog niet eerder geregistreerd voor MFA.
• De gebruiker genereert Windows Hello voor Bedrijven in Windows 10 (waarvoor MFA is vereist) en is nog niet eerder geregistreerd voor MFA.
• De organisatie heeft een MFA-registratiebeleid gemaakt en ingeschakeld dat is toegepast op de gebruiker.
• De gebruiker heeft zich eerder geregistreerd voor MFA, maar heeft een verificatiemethode gekozen die een beheerder sindsdien heeft uitgeschakeld. De gebruiker moet daarom opnieuw MFA-registratie doorlopen om een nieuwe standaardverificatiemethode te selecteren.

Vraag de gebruiker om de volgende procedure te voltooien om zijn of haar account te verwijderen uit De Microsoft Authenticator en deze vervolgens opnieuw toe te voegen:

1. Ga naar het accountprofiel en meld u aan met een organisatieaccount.
2. Selecteer Aanvullende beveiligingsverificatie.
3. Verwijder het bestaande account uit de Microsoft Authenticator-app.
4. Klik op Configureren en volg de instructies om de Microsoft Authenticator opnieuw te configureren.

De 0x800434D4L-fout treedt op wanneer u zich probeert aan te melden bij een niet-browsertoepassing, geïnstalleerd op een lokale computer, die niet werkt met accounts waarvoor verificatie in twee stappen is vereist.

Een tijdelijke oplossing voor deze fout is het hebben van afzonderlijke gebruikersaccounts voor beheergerelateerde en niet-beheerdersbewerkingen. Later kunt u postvakken koppelen tussen uw beheerdersaccount en niet-beheerdersaccount, zodat u zich kunt aanmelden bij Outlook met uw niet-beheerdersaccount. Voor meer informatie over deze oplossing leert u hoe u een beheerder de mogelijkheid geeft om de inhoud van het postvak van een gebruiker te openen en weer te geven.

Fout 1073741715 = Fout bij statusaanmelding:> de poging tot aanmelding is ongeldig. Dit komt door een ongeldige gebruikersnaam of verificatie.

Een plausibele reden voor deze fout: Als de primaire referenties juist zijn, komt de ondersteunde NTLM-versie mogelijk niet overeen met de ondersteunde NTLM-versie op de MFA-server en de domeincontroller. MFA Server ondersteunt alleen NTLMv1 (LmCompatabilityLevel=1 t/m 4) en niet NTLMv2 (LmCompatabilityLevel=5).

Volgende stappen

Als uw vraag hier niet wordt beantwoord, zijn de volgende ondersteuningsopties beschikbaar:

• Zoek in de Microsoft Ondersteuning Knowledge Base naar oplossingen voor veelvoorkomende technische problemen.
• Zoek en blader door technische vragen en antwoorden van de community of stel uw eigen vraag in de Microsoft Entra Q&A.
• Neem contact op met Microsoft Professional via de ondersteuning van de Multi-Factor Authentication-server. Wanneer u contact met ons opneemt, is het handig als u zoveel mogelijk informatie over uw probleem kunt opnemen. Informatie die u kunt opgeven, bevat de pagina waarin u de fout hebt gezien, de specifieke foutcode, de specifieke sessie-id en de id van de gebruiker die de fout heeft gezien.
• Als u een verouderde Telefoon Factor-klant bent en u vragen hebt of hulp nodig hebt bij het opnieuw instellen van een wachtwoord, gebruikt u het phonefactorsupport@microsoft.com e-mailadres om een ondersteuningsaanvraag te openen.