Meervoudige verificatie inschakelen in Azure Active Directory B2C

Voordat u begint, gebruikt u de selector Een beleidstype kiezen om het type beleid te kiezen dat u instelt. U kunt in Azure Active Directory B2C op twee manieren definiëren hoe gebruikers met uw toepassingen communiceren: via vooraf gedefinieerde gebruikersstromen of via volledig configureerbaar aangepast beleid. De stappen die in dit artikel zijn vereist, verschillen voor elke methode.

Azure Active Directory B2C (Azure AD B2C) kan rechtstreeks worden geïntegreerd met Meervoudige Verificatie van Microsoft Entra, zodat u een tweede beveiligingslaag kunt toevoegen aan registratie- en aanmeldingservaringen in uw toepassingen. U kunt de meervoudige verificatie inschakelen zonder ook maar één regel code te hoeven schrijven. Als u al de gebruikersstromen voor registratie en aanmelding hebt gemaakt, kunt u nog steeds meervoudige verificatie inschakelen.

Deze functie helpt toepassingen bij afhandelen van scenario's zoals:

• U hebt geen meervoudige verificatie nodig om toegang te krijgen tot één toepassing, maar u hebt dat wel nodig om toegang te krijgen tot een andere toepassing. Bijvoorbeeld, de klant kan zich aanmelden bij een autoverzekeringsaanvraag met een sociaal of lokaal account, maar moet het telefoonnummer verifiëren voordat de woningverzekeringstoepassing in dezelfde directory wordt geopend.
• U hebt geen meervoudige verificatie nodig om in het algemeen toegang te krijgen tot een toepassing, maar u hebt dat wel nodig om toegang te krijgen tot de gevoelige gedeelten in de toepassing. Bijvoorbeeld, de klant kan zich aanmelden bij een banktoepassing met een sociale of lokale rekening en het saldo van het account controleren, maar moet het telefoonnummer controleren voordat een directe overboeking wordt uitgevoerd.

Vereisten

• Maak een gebruikersstroom, zodat gebruikers zich bij uw toepassing kunnen registreren en aanmelden.
• Registreer een web-app.

• Voer de stappen in Aan de slag met aangepast beleid in Active Directory B2C uit.
• Registreer een web-app.

Verificatiemethoden

Met voorwaardelijke toegang, afhankelijk van de configuratiebeslissingen die u als beheerder neemt, moeten uw gebruikers al dan niet reageren op een verzoek van de functie voor meervoudige verificatie. Methoden van meervoudige verificatie zijn:

• Email: tijdens het aanmelden wordt een verificatie-e-mail met eenmalig wachtwoord (OTP) naar de gebruiker verzonden. De gebruiker verstrekt dan de OTP-code die in het e-mailbericht is verzonden.
• Sms of telefoongesprek: tijdens de eerste registratie of aanmelding wordt de gebruiker gevraagd een telefoonnummer op te geven en te verifiëren. Tijdens eventuele volgende aanmeldingen wordt de gebruiker gevraagd om de optie Code verzenden of Telefoon bellen MFA te selecteren. Afhankelijk van wat de gebruiker kiest, wordt er een sms-bericht verzonden of wordt er een telefoongesprek uitgevoerd naar het geverifieerde telefoonnummer om de gebruiker te identificeren. De gebruiker verstrekt de OTP-code die via een sms-bericht wordt verzonden of keurt het telefoongesprek dan goed.
• Alleen telefoongesprek: werkt op dezelfde manier als de optie sms of telefoongesprek, maar er wordt alleen een telefoongesprek uitgevoerd.
• Alleen sms: werkt op dezelfde manier als de optie sms of telefoongesprek, maar alleen een sms-bericht wordt verzonden.
• Verificator-app - TOTP: de gebruiker moet een authenticator-app installeren die ondersteuning biedt voor verificatie van eenmalig wachtwoord (TOTP), zoals de Microsoft Authenticator-app op een apparaat dat de eigenaar is. Tijdens de eerste registratie of aanmelding scant de gebruiker een QR-code of voert deze handmatig een code in met de authenticator-app. Tijdens de volgende aanmeldingen typt de gebruiker de TOTP-code die wordt weergegeven in de authenticator-app. ORaadpleeg de Microsoft Authenticator-app instellen.

Belangrijk

Authenticator-app: TOTP biedt betere beveiliging dan sms/telefoon en e-mail is het minst veilig. Voor meervoudige verificatie op basis van SMS/Telefoon worden afzonderlijke kosten in rekening gebracht van het normale prijsmodel van Azure AD B2C MAU.

Multi-factor Authentication instellen

1. Meld u aan bij de Azure-portal.

2. Als u toegang hebt tot meerdere tenants, selecteert u het pictogram Instellingen in het bovenste menu om over te schakelen naar uw Azure AD B2C-tenant in het menu Mappen en abonnementen.

3. Selecteer Azure AD B2C in het linkermenu. Of selecteer Alle services en zoek naar en selecteer Azure AD B2C.

4. Selecteer de Gebruikersstromen.

5. Selecteer de gebruikersstroom waarvoor u MFA in wilt schakelen. Bijvoorbeeld, B2C_1_signinsignup.

6. Selecteer Eigenschappen.

7. Selecteer het gewenste type methode in de sectie Meervoudige verificatie. Selecteer dan onder MFA-afdwinging een optie:

   • Uit: MFA wordt tijdens het aanmelden nooit afgedwongen en gebruikers wordt niet gevraagd zich tijdens de registratie of aanmelding in te schrijven voor MFA.

   • Permanent: MFA is altijd vereist, ongeacht de instelling voor de voorwaardelijke toegang. Tijdens registratie wordt gebruikers gevraagd zich in te schrijven voor MFA. Als de gebruikers nog niet zijn ingeschreven voor MFA, wordt hen tijdens het aanmelden gevraagd zich in te schrijven.

   • Voorwaardelijk: tijdens registreren en aanmelden wordt gebruikers gevraagd zich in te schrijven voor MFA (zowel nieuwe gebruikers als bestaande gebruikers die niet zijn ingeschreven voor MFA). Tijdens het aanmelden wordt MFA alleen afgedwongen wanneer dat door een actieve evaluatie van het beleid voor voorwaardelijke toegang wordt vereist:

     • Als het resultaat een MFA-confrontatie zonder risico is, wordt MFA afgedwongen. Als de gebruiker nog niet is ingeschreven voor MFA, dan wordt de gebruiker gevraagd zich in te schrijven.
     • Als het resultaat een MFA-confrontatie vanwege risico is en de gebruiker niet is ingeschreven voor MFA, wordt de aanmelding geblokkeerd.

   Notitie

   • Met algemene beschikbaarheid van de voorwaardelijke toegang in Azure AD B2C wordt gebruikers nu gevraagd om zich tijdens de registratie in te schrijven voor een MFA-methode. Een gebruikersstroom voor aanmelding die u voorafgaand aan algemene beschikbaarheid hebt gemaakt, laat dit nieuwe gedrag niet automatisch zien, maar u kunt het gedrag opnemen door nieuwe gebruikersstromen te maken.
   • Als u Voorwaardelijk selecteert, dan moet u ook voorwaardelijke toegang toevoegen aan gebruikersstromen en de apps opgeven waarop het beleid moet worden toegepast.
   • Meervoudige verificatie is standaard uitgeschakeld voor aanmeldingsgebruikersstromen. U kunt MFA inschakelen in gebruikersstromen met registratie via telefoon, maar omdat een telefoonnummer wordt gebruikt als primaire id, is een eenmalige wachtwoordcode de enige optie beschikbaar voor de tweede verificatiefactor.

8. Selecteer Opslaan. MFA is nu ingeschakeld voor de gebruikersstroom.

U kunt De gebruikersstroom uitvoeren gebruiken om de ervaring te controleren. Bevestig volgende scenario:

Er wordt een klantaccount gemaakt in uw tenant voor de stap voor meervoudige verificatie plaatsvindt. Tijdens deze stap wordt de klant gevraagd een telefoonnummer op te geven en te verifiëren. Als de verificatie is geslaagd, dan wordt het telefoonnummer gekoppeld aan het account voor later gebruik. Zelfs als de klant annuleert of uitvalt, kan hij of zij worden gevraagd om een telefoonnummer opnieuw te verifiëren tijdens de volgende aanmelding waarbij meervoudige verificatie is ingeschakeld.

Als u de meervoudige verificatie wilt inschakelen, haalt u als volgt het aangepaste beleidsstartpakket op van GitHub:

• Download het .zip-bestand of kloon de opslagplaats uit https://github.com/Azure-Samples/active-directory-b2c-custom-policy-starterpack en werk de XML-bestanden in het starterpakket SocialAndLocalAccountsWithMFA bij met de naam van uw Azure AD B2C-tenant. Met SocialAndLocalAccountsWithMFA kunt u de opties voor sociale en lokale aanmeldingen en meervoudige verificatieopties inschakelen, met uitzondering van de Authenticator-app - TOTP-optie.
• Als u de MFA-optie Authenticator-app - TOTP wilt ondersteunen, downloadt u de aangepaste beleidsbestanden van https://github.com/azure-ad-b2c/samples/tree/master/policies/totp en werkt u de XML-bestanden bij met de naam van uw Azure AD B2C-tenant. Zorg dat u XML-bestanden TrustFrameworkExtensions.xml, TrustFrameworkLocalization.xml, TrustFrameworkBase.xml uit het starterspakket SocialAndLocalAccounts opneemt.
• Werk uw [pagina-indeling] bij naar de versie 2.1.14. Raadpleeg Een pagina-indeling selecteren voor meer informatie.

Een gebruiker inschrijven bij TOTP met authenticator-app (voor eindgebruikers)

Wanneer een Azure AD B2C-toepassing MFA inschakelt met de TOTP-optie, moeten eindgebruikers een verificator-app gebruiken om TOTP-codes te genereren. Gebruikers kunnen de Microsoft Authenticator-app of verificator-app gebruiken die ondersteuning biedt voor TOTP-verificatie. Een Azure AD B2C-systeembeheerder moet eindgebruikers adviseren om de Microsoft Authenticator-app in te stellen met de volgende stappen:

1. Download en installeer Microsoft Authenticator-app op uw mobiele Android- of iOS-apparaat.
2. Open de toepassing waarvoor u TOTP moet gebruiken voor MFA, bijvoorbeeld de Contoso-web-app, en meld u aan of registreer u vervolgens door de vereiste gegevens in te voeren.
3. Als u wordt gevraagd uw account in te schrijven door een QR-code te scannen met een authenticator-app, opent u de Microsoft Authenticator-app op uw telefoon en selecteert u in de rechterbovenhoek het pictogram met drie stippellijnen (voor Android) of + het menupictogram (voor IOS).
4. Selecteer dan +Account toevoegen.
5. Selecteer Ander account (Google, Facebook, enzovoort) en scan dan de QR-code die wordt weergegeven in de toepassing (bijvoorbeeld Contoso-web-app) om uw account in te schrijven. Als u de QR-code niet kunt scannen, kunt u het account handmatig toevoegen:
   1. Selecteer OF VOER HANDMATIG CODE IN op de Microsoft Authenticator-app op uw telefoon.
   2. Selecteer in de toepassing (bijvoorbeeld Contoso-web-app) Nog steeds problemen?. Hiermee worden Accountnaam en Geheim weergegeven.
   3. Voer de Accountnaam en het Geheim in uw Microsoft Authenticator-app in en selecteer VOLTOOIEN.
6. Selecteer in de toepassing (bijvoorbeeld Contoso-web-app) Doorgaan.
7. Voer in Uw code invoeren de code in die wordt weergegeven in uw Microsoft Authenticator-app.
8. Selecteer Verifiëren.
9. Typ tijdens de volgende aanmelding bij de toepassing de code in die wordt weergegeven in de Microsoft Authenticator-app.

Meer informatie over deOATH-softwaretokens

De TOTP-authenticator-inschrijving van een gebruiker verwijderen (voor de systeembeheerders)

In Azure AD B2C kunt u de registratie van de TOTP Authenticator-app van een gebruiker verwijderen. Vervolgens moet de gebruiker zijn account opnieuw inschrijven om de TOTP-verificatie opnieuw te gebruiken. Als u de TOTP-inschrijving van een gebruiker wilt verwijderen, dan kunt u de Azure Portal of de Microsoft-Graph API gebruiken.

Notitie

• Als u de registratie van de TOTP Authenticator-app van een gebruiker verwijdert uit Azure AD B2C, dan wordt het account van de gebruiker niet verwijderd in de TOTP Authenticator-app. De systeembeheerder moet de gebruiker omleiden om het account handmatig te verwijderen uit de TOTP Authenticator-app voordat hij of zij opnieuw probeert om zichzelf in te schrijven.
• Als de gebruiker per ongeluk zijn of haar account verwijdert uit de TOTP Authenticator-app, dan moet hij of zij een systeembeheerder of app-eigenaar informeren die de TOTP Authenticator-inschrijving van de gebruiker kan verwijderen uit Azure AD B2C, zodat de gebruiker zich opnieuw kan inschrijven.

TOTP Authenticator-app-inschrijving verwijderen met de Azure Portal

1. Meld u aan bij de Azure-portal.
2. Als u toegang hebt tot meerdere tenants, selecteert u het pictogram Instellingen in het bovenste menu om over te schakelen naar uw Azure AD B2C-tenant in het menu Mappen en abonnementen.
3. Selecteer in het linkermenu Gebruikers.
4. Zoek en selecteer de gebruiker waarvoor u de TOTP Authenticator-app-inschrijving wilt verwijderen.
5. Selecteer Verificatiemethoden in het linkermenu.
6. Zoek onder Bruikbare verificatiemethoden het software-OATH-token en selecteer vervolgens het beletseltekenmenu ernaast. Als u de interface niet ziet, selecteert u de optie 'Overschakelen naar de nieuwe ervaring voor gebruikersverificatiemethoden! Klik hier om deze nu te gebruiken' om over te schakelen naar de nieuwe verificatiemethodenervaring.
7. Selecteer Verwijderen en selecteer dan Ja om te bevestigen.

TOTP Authenticator-app-inschrijving verwijderen met de Microsoft Graph API

Meer informatie over verwijderen van de verificatiemethode Software OATH-token van een gebruiker met de Microsoft Graph API.

Volgende stappen

• Meer informatie over het TOTP-weergavebeheer en het technische profiel voor meervoudige verificatie van Microsoft Entra ID