Delen via

Kan MFA niet instellen omdat vijf apparaten al zijn geregistreerd voor het gebruik van een verificator-app

In dit artikel wordt beschreven hoe u een scenario kunt oplossen waarin u meervoudige verificatie (MFA) niet kunt instellen, omdat u al vijf apparaten hebt geregistreerd voor het gebruik van authenticator-apps.

Symptomen

Wanneer u MFA probeert in te stellen, wordt het volgende foutbericht weergegeven:

U kunt niet meer dan 5 hardwaretokens of authenticator-apps hebben. Verwijder een of meer van uw verificator-apps en voeg vervolgens een nieuwe authenticator-app toe. Als u uw hardwaretoken wilt verwijderen, neemt u contact op met de beheerder. Als u een hardwaretoken uitschakelt, kunt u geen nieuwe verificator-app toevoegen.

Er zijn te veel apparaten geregistreerd.

Oorzaak

U hebt eerder vijf verschillende telefoons of andere apparaten ingesteld om te worden geregistreerd voor MFA met behulp van een verificator-app. Als gevolg hiervan wordt het maximaal toegestane aantal apparaattokens (5) al bewaard in de StrongAuthenticationPhoneAppDetail eigenschap van uw directorygebruikersobject.

Oplossing 1: Verwijder de aanmeldingsmethoden rechtstreeks in een webbrowser

Als u de apparaattokens wilt verwijderen, kunt u de aanmeldingsmethoden rechtstreeks in een webbrowser verwijderen uit uw beveiligingsinstellingen. Als u echter geen beheerder bent of niet de enige beheerder bent voor uw Microsoft Entra-id, moet u eerst iemand anders (de beheerder of een andere beheerder) de vereiste voor het opnieuw registreren van MFA instellen in de procedure in de volgende sectie.

Deel 1: Laat uw beheerder of een andere beheerder de vereiste voor opnieuw registreren van MFA instellen

Notitie

Deze procedure is niet vereist als u de enige beheerder bent voor uw Microsoft Entra-id.

  1. Zoek en selecteer Microsoft Entra ID in Azure Portal.

  2. Zoek in het navigatiedeelvenster Microsoft Entra de kop Beheren en selecteer vervolgens Gebruikers.

  3. Selecteer in de lijst met Microsoft Entra-gebruikers de weergavenaam van de gebruiker.

  4. Zoek in het navigatiedeelvenster voor de Microsoft Entra-gebruiker de kop Beheren en selecteer vervolgens Verificatiemethoden.

  5. Selecteer In het microsoft Entra-gebruikersmenu de optie Meervoudige verificatie opnieuw registreren.

Deel 2: Enkele of alle aanmeldingsmethoden verwijderen

U kunt de apparaattokens verwijderen door de bijbehorende aanmeldingsmethoden te verwijderen. Volg vervolgens deze stappen:

  1. Als u uw aanmeldingsmethoden wilt weergeven, gaat u naar https://aka.ms/mysecurityinfo.

    De lijst met aanmeldingsmethodes kan bijvoorbeeld een telefoonmethode bevatten die is gekoppeld aan een telefoonnummer en een verificator-app-methode die is gekoppeld aan een bepaald apparaat. Zie welke verificatie- en verificatiemethoden beschikbaar zijn in Microsoft Entra ID voor meer informatie?

  2. Verwijder alle vijf de aanmeldingsmethoden die worden vermeld.

    Waarschuwing

    Als u een aanmeldingsmethode zonder wachtwoord probeert te verwijderen, wordt het volgende foutbericht weergegeven in een dialoogvenster met de knoppen Aanmelden en Annuleren :

    Authenticator-app verwijderen

    Als u deze authenticator-app wilt verwijderen, moet u zich aanmelden met tweeledige verificatie.

    Als u de aanmeldingsmethode zonder wachtwoord wilt verwijderen, stelt u vooraf nog een tweeledige verificatiemethode (zoals een telefoongesprek of sms-bericht) in. Wanneer u vervolgens opnieuw probeert de aanmeldingsmethode zonder wachtwoord te verwijderen, gebruikt u die tweeledige verificatiemethode om u aan te melden.

Oplossing 2: De verificator-apps verwijderen met Behulp van Microsoft Graph

Globale beheerders kunnen de authenticator-app van een gebruiker verwijderen met behulp van de Microsoft Graph API. In sommige gevallen is de Microsoft Graph API de enige beschikbare oplossing (bijvoorbeeld als u de standaardinstellingen voor beveiliging gebruikt). Als u deze oplossing wilt gebruiken, moet u of de globale beheerder zich aanmelden bij Graph Explorer als globale beheerder en vervolgens de volgende stappen uitvoeren:

  1. Voer in het querygebied van Graph Explorer de volgende acties uit:

    1. Selecteer GET in de lijst met HTTP-methoden.

    2. Voer in het queryvak in https://graph.microsoft.com/beta/users/<user-principal-name>/authentication/microsoftAuthenticatorMethods. Vervang de tijdelijke aanduiding van de USER Principal Name (UPN) door de UPN van de gebruiker waarvan de verificatie-app moet worden verwijderd.

    3. Selecteer de knop Query uitvoeren .

      Waarschuwing

      Als er een machtigingsfout optreedt bij het uitvoeren van de query, volgt u deze stappen om de benodigde machtiging op te halen:

      1. Selecteer het tabblad Machtigingen wijzigen.

      2. Selecteer de koppeling voor het deelvenster Machtigingen openen .

      3. Vouw in het deelvenster Machtigingen het knooppunt UserAuthenticationMethod uit en selecteer vervolgens de machtiging UserAuthenticationMethod.ReadWrite.All .

      4. Selecteer de knop Toestemming .

      Nadat u deze stappen hebt voltooid, probeert u de query opnieuw uit te voeren.

      In het antwoordvenster wordt op het tabblad Antwoordheader JSON-code weergegeven die de informatie over de verificatormethode weergeeft. In het volgende voorbeeldcodefragment is de gebruiker gekoppeld aan een totaal van één verificatormethode:

    {
  "@odata.context": "https://graph.microsoft.com/beta/$metadata#users('user%40contoso.com')/authentication/microsoftAuthenticatorMethods",
  "value": [
    {
      "id": "01234567-89ab-cdef-0123-456789abcdef",
      "displayName": "SM-G973F",
      "deviceTag": "SoftwareTokenActivated",
      "phoneAppVersion": "6.2102.0762",
      "createdDateTime": null
    }
  ]
}

  2. Kopieer en sla op het tabblad Antwoordheader van het antwoordvenster de id eigenschap (een GUID) van elke verificatormethode op die u wilt verwijderen.

  3. Stel in het querygebied HTTP-methoden in op DELETE en stel het vak Query in op https://graph.microsoft.com/beta/users/<user-principal-name>/authentication/microsoftAuthenticatorMethods/<authenticator-id-guid>. Voer de UPN- en verificator-GUID in om de waarden van de tijdelijke aanduiding te vervangen.

  4. Selecteer de knop Query uitvoeren . Als deze verwijderingsquery de verificator-app heeft verwijderd, wordt het statusbericht 'Geen inhoud - 204 - <queryuitvoeringstijd>' weergegeven.

  5. Herhaal stap 2 tot en met 4 voor elk van de verificator-apps die u wilt verwijderen.

Contacteer ons voor hulp

Als u vragen hebt of hulp nodig hebt, maak een ondersteuningsaanvraag of vraag de Azure-communityondersteuning. U kunt ook productfeedback verzenden naar de Azure-feedbackcommunity.