Gecombineerde registratie van beveiligingsgegevens voor Azure Active Directory overzicht

Voordat de registratie werd gecombineerd, registreerden gebruikers afzonderlijke verificatiemethoden voor Azure AD Multi-Factor Authentication en selfservice voor wachtwoord opnieuw instellen (SSPR). Mensen waren in de war dat vergelijkbare methoden werden gebruikt voor Multi-Factor Authentication en SSPR, maar ze moesten zich registreren voor beide functies. Met gecombineerde registratie kunnen gebruikers zich nu eenmaal registreren en profiteren van de voordelen van zowel Multi-Factor Authentication als SSPR. We raden u aan deze video over het inschakelen en configureren van SSPR in Azure AD

Notitie

Vanaf 15 augustus 2020 worden alle nieuwe Azure AD-tenants automatisch ingeschakeld voor gecombineerde registratie.

In dit artikel wordt beschreven wat gecombineerde beveiligingsregistratie is. Zie het volgende artikel om aan de slag te gaan met gecombineerde beveiligingsregistratie:

Mijn account met geregistreerde beveiligingsgegevens voor een gebruiker

Voordat u de nieuwe ervaring inschakelen, bekijkt u deze op beheerders gerichte documentatie en de op gebruikers gerichte documentatie om ervoor te zorgen dat u de functionaliteit en het effect van deze functie begrijpt. Baseer uw training op de gebruikersdocumentatie om uw gebruikers voor te bereiden op de nieuwe ervaring en om een succesvolle implementatie te garanderen.

Registratie van gecombineerde Azure AD-beveiligingsgegevens is beschikbaar voor Azure US Government, maar niet voor Azure Duitsland of Azure China 21Vianet.

Belangrijk

Gebruikers die zijn ingeschakeld voor zowel de oorspronkelijke preview als de verbeterde gecombineerde registratie-ervaring, zien het nieuwe gedrag. Gebruikers die voor beide ervaringen zijn ingeschakeld, zien alleen de ervaring Mijn account. Mijn account is afgestemd op het uiterlijk van gecombineerde registratie en biedt een naadloze ervaring voor gebruikers. Gebruikers kunnen Mijn account zien door naar te https://myaccount.microsoft.com gaan.

Er kan een foutbericht worden weergegeven tijdens het openen van de optie Beveiligingsgegevens, zoals 'Sorry, we kunnen u niet aanmelden'. Controleer of u geen configuratie- of groepsbeleidsobject hebt dat cookies van derden blokkeert in de webbrowser.

Mijn accountpagina's worden gelokaliseerd op basis van de taalinstellingen van de computer die toegang heeft tot de pagina. Microsoft slaat de meest recente taal op die wordt gebruikt in de browsercache, zodat volgende pogingen om toegang te krijgen tot de pagina's in de laatst gebruikte taal worden weergegeven. Als u de cache leegt, worden de pagina's opnieuw weergegeven.

Als u een specifieke taal wilt forceren, kunt u toevoegen aan het einde van de URL, waarbij de code is van de taal ?lng=<language> <language> die u wilt renderen.

SSPR of andere beveiligingsverificatiemethoden instellen

Methoden die beschikbaar zijn in gecombineerde registratie

Gecombineerde registratie ondersteunt de volgende verificatiemethoden en -acties:

Methode Registreren Wijziging Verwijderen
Microsoft Authenticator Ja (maximaal 5) Nee Ja
Andere ver authenticator-app Ja (maximaal 5) Nee Ja
Hardware-token Nee Nee Ja
Telefoon Ja Ja Ja
Alternatieve telefoon Ja Ja Ja
Zakelijke telefoon Ja Ja Ja
E-mail Ja Ja Ja
Beveiligingsvragen Ja Nee Ja
App-wachtwoorden Ja Nee Ja
FIDO2-beveiligingssleutels
Beheerde modus alleen op de pagina Beveiligingsgegevens
Ja Ja Ja

Notitie

App-wachtwoorden zijn alleen beschikbaar voor gebruikers die zijn afgedwongen voor Multi-Factor Authentication. App-wachtwoorden zijn niet beschikbaar voor gebruikers die zijn ingeschakeld voor Multi-Factor Authentication via een beleid voor voorwaardelijke toegang.

Gebruikers kunnen een van de volgende opties instellen als de standaardmethode voor Multi-Factor Authentication:

  • Microsoft Authenticator - pushmelding
  • Authenticator-app of hardware-token - code
  • Telefoongesprek
  • Sms-bericht

Authenticator-apps van derden bieden geen pushmeldingen. Naarmate we meer verificatiemethoden aan Azure AD blijven toevoegen, komen deze methoden beschikbaar in gecombineerde registratie.

Gecombineerde registratiemodi

Er zijn twee modi voor gecombineerde registratie: onderbreken en beheren.

  • De interruptmodus is een wizard-achtige ervaring die gebruikers te zien krijgen wanneer ze zich registreren of hun beveiligingsgegevens vernieuwen bij het aanmelden.
  • De modus Beheren maakt deel uit van het gebruikersprofiel en stelt gebruikers in staat om hun beveiligingsgegevens te beheren.

Voor beide modi moeten gebruikers die eerder een methode hebben geregistreerd die kan worden gebruikt voor Multi-Factor Authentication, Multi-Factor Authentication uitvoeren voordat ze toegang hebben tot hun beveiligingsgegevens. Gebruikers moeten hun gegevens bevestigen voordat ze hun eerder geregistreerde methoden kunnen blijven gebruiken.

Interruptmodus

Gecombineerde registratie voldoet aan zowel Multi-Factor Authentication- als SSPR-beleid, als beide zijn ingeschakeld voor uw tenant. Deze beleidsregels bepalen of een gebruiker tijdens het aanmelden wordt onderbroken voor registratie en welke methoden beschikbaar zijn voor registratie. Als alleen een SSPR-beleid is ingeschakeld, kunnen gebruikers de registratie-onderbreking overslaan en op een later tijdstip voltooien.

Hier volgen voorbeeldscenario's waarin gebruikers mogelijk wordt gevraagd om zich te registreren of hun beveiligingsgegevens te vernieuwen:

  • Registratie van Multi-Factor Authentication afgedwongen via Identity Protection: Gebruikers wordt gevraagd zich te registreren tijdens het aanmelden. Ze registreren Multi-Factor Authentication-methoden en SSPR-methoden (als de gebruiker is ingeschakeld voor SSPR).
  • Registratie van Multi-Factor Authentication afgedwongen via Multi-Factor Authentication per gebruiker: Gebruikers wordt gevraagd zich te registreren tijdens het aanmelden. Ze registreren Multi-Factor Authentication-methoden en SSPR-methoden (als de gebruiker is ingeschakeld voor SSPR).
  • Registratie van Multi-Factor Authentication afgedwongen via voorwaardelijke toegang of ander beleid: Gebruikers wordt gevraagd om zich te registreren wanneer ze een resource gebruiken die Multi-Factor Authentication vereist. Ze registreren Multi-Factor Authentication-methoden en SSPR-methoden (als de gebruiker is ingeschakeld voor SSPR).
  • SSPR-registratie afgedwongen: Gebruikers wordt gevraagd zich te registreren tijdens het aanmelden. Ze registreren alleen SSPR-methoden.
  • SSPR-vernieuwing afgedwongen: Gebruikers moeten hun beveiligingsgegevens controleren met een interval dat is ingesteld door de beheerder. Gebruikers krijgen hun gegevens te zien en kunnen de huidige gegevens bevestigen of indien nodig wijzigingen aanbrengen.

Wanneer registratie wordt afgedwongen, krijgen gebruikers het minimale aantal methoden te zien dat nodig is om te voldoen aan zowel Multi-Factor Authentication- als SSPR-beleidsregels, van meest naar minst veilig.

Kijk eens naar het volgende voorbeeldscenario:

  • Een gebruiker is ingeschakeld voor SSPR. Het SSPR-beleid vereist twee methoden om opnieuw in te stellen en heeft Authenticator app, e-mail en telefoon ingeschakeld.
  • Wanneer de gebruiker ervoor kiest om zich te registreren, zijn twee methoden vereist:
    • De gebruiker wordt standaard Authenticator app en telefoon weergegeven.
    • De gebruiker kan ervoor kiezen om e-mail te registreren in plaats Authenticator app of telefoon.

In het volgende stroomdiagram wordt beschreven welke methoden aan een gebruiker worden weergegeven wanneer deze wordt onderbroken om zich te registreren tijdens het aanmelden:

Stroomdiagram met gecombineerde beveiligingsgegevens

Als u zowel Multi-Factor Authentication als SSPR hebt ingeschakeld, wordt u aangeraden registratie van Multi-Factor Authentication af te dwingen.

Als het SSPR-beleid vereist dat gebruikers hun beveiligingsgegevens regelmatig controleren, worden gebruikers tijdens het aanmelden onderbroken en worden alle geregistreerde methoden weergegeven. Ze kunnen de huidige informatie bevestigen als deze up-to-date is, of ze kunnen indien nodig wijzigingen aanbrengen. Gebruikers moeten meervoudige verificatie uitvoeren bij het openen van deze pagina.

Beheermodus

Gebruikers hebben toegang tot de beheermodus door naar of https://aka.ms/mysecurityinfo te gaan door Beveiligingsgegevens te selecteren in Mijn account. Hier kunnen gebruikers methoden toevoegen, bestaande methoden verwijderen of wijzigen, de standaardmethode wijzigen en meer.

Scenario's voor sleutelgebruik

Beveiligingsgegevens instellen tijdens aanmelding

Een beheerder heeft registratie afgedwongen.

Een gebruiker heeft niet alle vereiste beveiligingsgegevens ingesteld en gaat naar de Azure Portal. Nadat de gebruiker de gebruikersnaam en het wachtwoord heeft invoeren, wordt de gebruiker gevraagd om beveiligingsgegevens in te stellen. De gebruiker volgt vervolgens de stappen in de wizard om de vereiste beveiligingsgegevens in te stellen. Als uw instellingen dit toestaan, kan de gebruiker andere methoden instellen dan de methoden die standaard worden weergegeven. Na het voltooien van de wizard bekijken gebruikers de methoden die ze hebben ingesteld en hun standaardmethode voor Multi-Factor Authentication. Om het installatieproces te voltooien, bevestigt de gebruiker de gegevens en gaat hij verder met de Azure Portal.

Beveiligingsgegevens van Mijn account instellen

Een beheerder heeft registratie niet afgedwongen.

Een gebruiker die nog niet alle vereiste beveiligingsgegevens heeft ingesteld, gaat naar https://myaccount.microsoft.com . De gebruiker selecteert Beveiligingsgegevens in het linkerdeelvenster. Hier kiest de gebruiker om een methode toe te voegen, selecteert hij een van de beschikbare methoden en volgt hij de stappen om die methode in te stellen. Wanneer dit is voltooid, ziet de gebruiker de methode die is ingesteld op de pagina Beveiligingsgegevens.

Beveiligingsgegevens verwijderen uit Mijn account

Een gebruiker die eerder ten minste één methode heeft ingesteld, navigeert naar https://aka.ms/mysecurityinfo . De gebruiker kiest ervoor om een van de eerder geregistreerde methoden te verwijderen. Wanneer u klaar bent, ziet de gebruiker die methode niet meer op de pagina Beveiligingsgegevens.

De standaardmethode wijzigen in Mijn account

Een gebruiker die eerder ten minste één methode heeft ingesteld die kan worden gebruikt voor Multi-Factor Authentication, navigeert naar https://aka.ms/mysecurityinfo . De gebruiker wijzigt de huidige standaardmethode in een andere standaardmethode. Wanneer dit is voltooid, ziet de gebruiker de nieuwe standaardmethode op de pagina Beveiligingsgegevens.

Schakelen tussen mappen

Een externe identiteit, zoals een B2B-gebruiker, moet mogelijk overschakelen naar een andere map om de beveiligingsregistratiegegevens voor een tenant van derden te wijzigen. Bovendien kunnen gebruikers die toegang hebben tot een resource-tenant, in de war raken wanneer ze de instellingen in hun eigen tenant wijzigen, maar de wijzigingen niet zien in de resource-tenant.

Een gebruiker stelt bijvoorbeeld een pushmelding voor Microsoft Authenticator app in als de primaire verificatie om zich aan te melden bij de thuis-tenant en heeft ook SMS/Text als een andere optie. Deze gebruiker is ook geconfigureerd met de optie SMS/Text in een resource-tenant. Als deze gebruiker SMS/Text verwijdert als een van de verificatie-opties in hun thuisten tenant, raken ze in de war wanneer de gebruiker wordt gevraagd om te reageren op een sms-/sms-bericht.

Als u de map in de Azure Portal, klikt u op de naam van het gebruikersaccount in de rechterbovenhoek en klikt u op Schakelen tussen mappen.

Externe gebruikers kunnen schakelen tussen mappen.

Volgende stappen

Zie de zelfstudies om self-service voor wachtwoord opnieuw instellen in te schakelen en Azure AD Multi-Factor Authenticationin te schakelen om aan de slag te gaan.

Meer informatie over het inschakelen van gecombineerde registratie in uw tenant of het forcen van gebruikers om verificatiemethoden opnieuw te registreren.

U kunt ook de beschikbare methoden voor Azure AD Multi-Factor Authentication en SSPR bekijken.