Verificatiemethoden voor Microsoft Entra-id beheren
Met Microsoft Entra ID kan een scala aan verificatiemethoden worden gebruikt ter ondersteuning van een groot aantal aanmeldingsscenario's. Beheer istrators kunnen elke methode specifiek configureren om te voldoen aan hun doelstellingen voor gebruikerservaring en beveiliging. In dit onderwerp wordt uitgelegd hoe u verificatiemethoden voor Microsoft Entra ID beheert en hoe configuratieopties van invloed zijn op scenario's voor gebruikersaanmelding en wachtwoordherstel.
Beleid voor verificatiemethoden
Het beleid voor verificatiemethoden is de aanbevolen manier om verificatiemethoden te beheren, waaronder moderne methoden zoals verificatie zonder wachtwoord. Verificatiebeleid Beheer istrators kunnen dit beleid bewerken om verificatiemethoden in te schakelen voor alle gebruikers of specifieke groepen.
Methoden die zijn ingeschakeld in het beleid voor verificatiemethoden, kunnen doorgaans overal in Microsoft Entra-id worden gebruikt voor scenario's voor verificatie en wachtwoordherstel. De uitzondering hierop is dat sommige methoden inherent beperkt zijn tot gebruik in verificatie, zoals FIDO2 en Windows Hello voor Bedrijven, en andere methoden zijn beperkt tot gebruik bij het opnieuw instellen van wachtwoorden, zoals beveiligingsvragen. Voor meer controle over welke methoden kunnen worden gebruikt in een bepaald verificatiescenario, kunt u overwegen de functie Sterke verificatie te gebruiken.
De meeste methoden hebben ook configuratieparameters om nauwkeuriger te bepalen hoe die methode kan worden gebruikt. Als u bijvoorbeeld spraakoproepen inschakelt, kunt u ook opgeven of een kantoortelefoon naast een mobiele telefoon kan worden gebruikt.
Of stel dat u verificatie zonder wachtwoord wilt inschakelen met Microsoft Authenticator. U kunt extra parameters instellen, zoals het weergeven van de aanmeldingslocatie van de gebruiker of de naam van de app waarmee wordt aangemeld. Deze opties bieden meer context voor gebruikers wanneer ze zich aanmelden en helpen onbedoelde MFA-goedkeuringen te voorkomen.
Als u het beleid voor verificatiemethoden wilt beheren, meldt u zich aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleid Beheer istrator en bladert u naar beleidsregels voor beveiligingsverificatie>>.
Alleen de geconvergeerde registratie-ervaring is op de hoogte van het beleid voor verificatiemethoden. Gebruikers binnen het bereik van het beleid voor verificatiemethoden, maar niet de geconvergeerde registratie-ervaring zien niet de juiste methoden om te registreren.
Verouderd MFA- en SSPR-beleid
Twee andere beleidsregels, die zich in multifactor-verificatie-instellingen en instellingen voor wachtwoordherstel bevinden, bieden een verouderde manier om bepaalde verificatiemethoden te beheren voor alle gebruikers in de tenant. U kunt niet bepalen wie een ingeschakelde verificatiemethode gebruikt of hoe de methode kan worden gebruikt. Er is een globale Beheer istrator nodig om dit beleid te beheren.
Belangrijk
In maart 2023 hebben we aangekondigd dat het beheer van verificatiemethoden in het verouderde beleid voor meervoudige verificatie en selfservice voor wachtwoordherstel (SSPR) wordt afgeschaft. Vanaf 30 september 2025 kunnen verificatiemethoden niet worden beheerd in dit verouderde MFA- en SSPR-beleid. We raden klanten aan het handmatige migratiebeheer te gebruiken om te migreren naar het beleid voor verificatiemethoden op basis van de afschaffingsdatum.
Als u het verouderde MFA-beleid wilt beheren, selecteert u Aanvullende multifactorverificatieinstellingen> voor beveiliging>in de cloud.
Als u verificatiemethoden voor selfservice voor wachtwoordherstel (SSPR) wilt beheren, klikt u op Verificatiemethoden voor wachtwoord opnieuw instellen>. Met de optie Mobiele telefoon in dit beleid kunnen spraakoproepen of sms-berichten worden verzonden naar een mobiele telefoon. Met de optie Office-telefoon kunnen alleen spraakoproepen worden toegestaan.
Hoe beleidsregels samenwerken
Instellingen niet worden gesynchroniseerd tussen het beleid, waardoor beheerders elk beleid onafhankelijk kunnen beheren. Microsoft Entra ID respecteert de instellingen in alle beleidsregels, zodat een gebruiker die is ingeschakeld voor een verificatiemethode in elk beleid deze methode kan registreren en gebruiken. Als u wilt voorkomen dat gebruikers een methode gebruiken, moet deze worden uitgeschakeld in alle beleidsregels.
Laten we eens een voorbeeld bekijken waarin een gebruiker die deel uitmaakt van de groep Accounting Microsoft Authenticator wil registreren. Het registratieproces controleert eerst het beleid voor verificatiemethoden. Als de groep Accounting is ingeschakeld voor Microsoft Authenticator, kan de gebruiker deze registreren.
Zo niet, dan controleert het registratieproces het verouderde MFA-beleid. In dit beleid kan elke gebruiker Microsoft Authenticator registreren als een van deze instellingen is ingeschakeld voor MFA:
- Melding via mobiele app
- Verificatiecode van mobiele app of hardwaretoken
Als de gebruiker Microsoft Authenticator niet kan registreren op basis van een van deze beleidsregels, controleert het registratieproces het verouderde SSPR-beleid. In dat beleid kan een gebruiker Microsoft Authenticator registreren als de gebruiker is ingeschakeld voor SSPR en een van deze instellingen is ingeschakeld:
- Meldingen via mobiele app
- Code via mobiele app
Voor gebruikers die zijn ingeschakeld voor mobiele telefoon voor SSPR, kan het onafhankelijke beheer tussen beleidsregels van invloed zijn op het aanmeldingsgedrag. Waar het andere beleid afzonderlijke opties voor sms-berichten en spraakoproepen heeft, schakelt de mobiele telefoon voor SSPR beide opties in. Als gevolg hiervan kan iedereen die mobiele telefoon gebruikt voor SSPR ook spraakoproepen gebruiken voor wachtwoordherstel, zelfs als het andere beleid geen spraakoproepen toestaat.
Laten we ook aannemen dat u Spraakoproepen voor een groep inschakelt. Nadat u dit hebt ingeschakeld, ziet u dat zelfs gebruikers die geen groepsleden zijn zich kunnen aanmelden met een spraakoproep. In dit geval zijn deze gebruikers waarschijnlijk ingeschakeld voor mobiele telefoon in het verouderde SSPR-beleid of bellen naar telefoon in het verouderde MFA-beleid.
Migratie tussen beleidsregels
Het beleid voor verificatiemethoden biedt een migratiepad voor geïntegreerd beheer van alle verificatiemethoden. Alle gewenste methoden kunnen worden ingeschakeld in het beleid voor verificatiemethoden, ervan uitgaande dat de gebruikersgroepen zijn gedefinieerd die vereist zijn voor elk verificatiemethodebeleid (tenzij dit van toepassing is op alle gebruikers). Na deze beheeractiviteit voor gebruikersgroepen kunnen methoden in het verouderde MFA- en SSPR-beleid worden uitgeschakeld. Migratie heeft drie instellingen waarmee u in uw eigen tempo kunt navigeren en problemen met aanmelden of SSPR tijdens de overgang kunt voorkomen. Nadat de migratie is voltooid, centraliseert u de controle over verificatiemethoden voor zowel aanmelding als SSPR op één plaats en wordt het verouderde MFA- en SSPR-beleid uitgeschakeld.
Notitie
Beveiligingsvragen kunnen momenteel alleen worden ingeschakeld met behulp van het verouderde SSPR-beleid. In de toekomst wordt deze beschikbaar gesteld in het beleid voor verificatiemethoden. Als u beveiligingsvragen gebruikt en deze niet wilt uitschakelen, moet u ervoor zorgen dat ze zijn ingeschakeld in het verouderde SSPR-beleid totdat het nieuwe besturingselement in de toekomst beschikbaar is. U kunt de rest van uw verificatiemethoden migreren en nog steeds beveiligingsvragen beheren in het verouderde SSPR-beleid.
Als u de migratieopties wilt weergeven, opent u het beleid voor verificatiemethoden en klikt u op Migratie beheren.
In de volgende tabel wordt elke optie beschreven.
| Optie | Omschrijving |
|---|---|
| Premigratie | Het beleid voor verificatiemethoden wordt alleen gebruikt voor verificatie. Verouderde beleidsinstellingen worden gerespecteerd. |
| De migratie wordt uitgevoerd | Het beleid voor verificatiemethoden wordt gebruikt voor verificatie en SSPR. Verouderde beleidsinstellingen worden gerespecteerd. |
| Migratie voltooid | Alleen het beleid voor verificatiemethoden wordt gebruikt voor verificatie en SSPR. Verouderde beleidsinstellingen worden genegeerd. |
Tenants zijn standaard ingesteld op premigratie of migratie die wordt uitgevoerd, afhankelijk van de huidige status van hun tenant. Als u vóór de migratie begint, kunt u op elk gewenst moment naar een van de statussen gaan. Als u in uitvoering bent begonnen met de migratie, kunt u op elk gewenst moment schakelen tussen de migratie in uitvoering en Microsoft Complete, maar u kunt niet overstappen op premigratie. Als u overstapt op Migratie voltooid en vervolgens wilt terugkeren naar een eerdere status, vragen we u waarom we de prestaties van het product kunnen evalueren.
Notitie
Nadat alle verificatiemethoden volledig zijn gemigreerd, blijven de volgende elementen van het verouderde SSPR-beleid actief:
- Het aantal methoden dat is vereist om het besturingselement opnieuw in te stellen : beheerders kunnen het aantal verificatiemethoden blijven wijzigen voordat een gebruiker SSPR kan uitvoeren.
- Het SSPR-beheerdersbeleid: beheerders kunnen alle methoden blijven registreren en gebruiken die worden vermeld onder het verouderde SSPR-beheerdersbeleid of de methoden die ze kunnen gebruiken in het beleid voor verificatiemethoden.
In de toekomst worden beide functies geïntegreerd met het beleid voor verificatiemethoden.
Bekende problemen en beperkingen
- In recente updates hebben we de mogelijkheid om afzonderlijke gebruikers te targeten verwijderd. Eerder gerichte gebruikers blijven in het beleid, maar we raden u aan ze naar een doelgroep te verplaatsen.
- De registratie van FIDO2-beveiligingssleutels kan mislukken voor sommige gebruikers als het FIDO2-verificatiemethodebeleid is gericht op een groep en het algemene beleid voor verificatiemethoden meer dan 20 groepen heeft geconfigureerd. We werken aan het verhogen van de limiet voor de beleidsgrootte en in de gemiddelde tijd raden we aan het aantal groepsdoelen te beperken tot niet meer dan 20.