De implementatie van meervoudige verificatie plannen
Voordat u microsoft Entra-meervoudige verificatie gaat implementeren, moet u verschillende zaken beslissen.
Rol MFA in golven uit. Begin met een kleine groep pilot-gebruikers om de complexiteit van uw omgeving te evalueren en eventuele installatieproblemen of niet-ondersteunde apps of apparaten te identificeren. Breid die groep vervolgens na verloop van tijd uit en evalueer de resultaten met elke pas totdat uw hele bedrijf is ingeschreven.
Zorg er vervolgens voor dat u een volledig communicatieplan maakt. Meervoudige verificatie van Microsoft Entra heeft verschillende vereisten voor gebruikersinteractie, waaronder een registratieproces. Houd gebruikers op de hoogte van elke stap. Laat ze weten wat ze nodig hebben om te doen, belangrijke datums en hoe ze antwoorden kunnen krijgen op vragen als ze problemen hebben. Microsoft biedt communicatiesjablonen om uw communicatie op te stellen, inclusief posters en e-mailsjablonen.
Beleid voor meervoudige verificatie van Microsoft Entra
Meervoudige verificatie van Microsoft Entra wordt afgedwongen met beleid voor voorwaardelijke toegang . Beleidsregels voor voorwaardelijke toegang zijn IF-THEN-instructies. ALS een gebruiker toegang wil hebben tot een resource, DAN moet hij een actie voltooien. Een salarismanager wil bijvoorbeeld toegang krijgen tot de salarisadministratietoepassing en is vereist om meervoudige verificatie uit te voeren om er toegang toe te krijgen. Andere veelvoorkomende toegangsaanvragen waarvoor MFA vereist kan zijn:
- ALS een specifieke cloudtoepassing wordt gebruikt
- ALS een gebruiker toegang heeft tot een specifiek netwerk
- ALS een gebruiker toegang heeft tot een specifieke clienttoepassing
- ALS een gebruiker een nieuw apparaat registreert
Beslissen over ondersteunde verificatiemethoden
Wanneer u Meervoudige Verificatie van Microsoft Entra inschakelt, kunt u de verificatiemethoden kiezen die u beschikbaar wilt maken. U moet altijd meer dan één methode ondersteunen, zodat gebruikers een back-up-optie hebben voor het geval hun primaire methode niet beschikbaar is. U kunt kiezen uit de volgende methoden:
| Wijze | Omschrijving |
|---|---|
| Verificatiecode via mobiele app | Een mobiele verificatie-app, zoals de Microsoft Authenticator-app, kan worden gebruikt om een OATH-verificatiecode op te halen, die vervolgens wordt ingevoerd in de aanmeldingsinterface. Deze code wordt elke 30 seconden gewijzigd en de app werkt zelfs als de connectiviteit beperkt is. Deze aanpak werkt niet in China op Android-apparaten. |
| Meldingen via mobiele app | Azure kan een pushmelding verzenden naar een mobiele verificatie-app, zoals Microsoft Authenticator. De gebruiker kan de pushmelding selecteren en de aanmelding verifiëren. |
| Bellen naar een telefoon | Azure kan een opgegeven telefoonnummer aanroepen. De gebruiker keurt vervolgens de verificatie met behulp van het toetsenblok goed. Deze methode heeft de voorkeur voor back-ups. |
| FIDO2-beveiligingssleutel | FIDO2-beveiligingssleutels zijn een onherstelbare op standaarden gebaseerde verificatiemethode zonder wachtwoord. Deze sleutels zijn meestal USB-apparaten, maar kunnen ook Bluetooth of NFC gebruiken. |
| Windows Hello voor Bedrijven | Windows Hello voor Bedrijven wachtwoorden vervangt door sterke tweeledige verificatie op apparaten. Deze verificatie bestaat uit een type gebruikersreferentie dat is gekoppeld aan een apparaat en een biometrische of pincode gebruikt. |
| OATH-tokens | OATH-tokens kunnen softwaretoepassingen zijn, zoals de Microsoft Authenticator-app en andere verificator-apps, of hardwaretokens die klanten kunnen kopen bij verschillende leveranciers. |
Beheer istrators kunnen een of meer van deze opties inschakelen, dan kunnen gebruikers zich aanmelden voor elke ondersteuningsmethode die ze willen gebruiken.
Een verificatiemethode selecteren
Ten slotte moet u bepalen hoe gebruikers hun geselecteerde methoden registreren. De eenvoudigste methode is het gebruik van Microsoft Entra ID Protection. Als uw organisatie een licentie voor Identity Protection heeft, kunt u deze configureren om gebruikers te vragen zich te registreren voor MFA wanneer ze zich de volgende keer aanmelden.
U kunt gebruikers ook vragen zich te registreren voor MFA wanneer ze een toepassing of service willen gebruiken waarvoor meervoudige verificatie is vereist. Ten slotte kunt u de registratie afdwingen met behulp van een beleid voor voorwaardelijke toegang dat wordt toegepast op een Azure-groep met alle gebruikers in uw organisatie. Deze aanpak vereist wat handmatig werk om de groep periodiek te herzien om geregistreerde gebruikers te verwijderen. Zie Een implementatie van Microsoft Entra voor meervoudige verificatie plannen voor enkele nuttige scripts om een deel van dit proces te automatiseren.