Overzicht van gecombineerde registratie van beveiligingsgegevens voor Microsoft Entra

Vóór gecombineerde registratie hebben gebruikers verificatiemethoden geregistreerd voor Meervoudige Verificatie van Microsoft Entra en selfservice voor wachtwoordherstel (SSPR) afzonderlijk. Mensen waren verward dat vergelijkbare methoden werden gebruikt voor meervoudige verificatie en SSPR, maar ze moesten zich registreren voor beide functies. Met gecombineerde registratie kunnen gebruikers zich nu eenmaal registreren en profiteren van de voordelen van meervoudige verificatie en SSPR. We raden deze video aan over het inschakelen en configureren van SSPR in Microsoft Entra ID.

My Account showing registered Security info for a user

Voordat u de nieuwe ervaring inschakelt, raadpleegt u deze door de beheerder gerichte documentatie en de gebruikersdocumentatie om ervoor te zorgen dat u de functionaliteit en het effect van deze functie begrijpt. Baseer uw training op de gebruikersdocumentatie om uw gebruikers voor te bereiden op de nieuwe ervaring en om te zorgen voor een succesvolle implementatie.

Microsoft Entra ID gecombineerde registratie van beveiligingsgegevens is beschikbaar voor Azure US Government, maar niet voor Microsoft Azure beheerd door 21Vianet.

Mijn accountpagina's worden gelokaliseerd op basis van de taalinstellingen van de computer die de pagina opent. Microsoft slaat de meest recente taal op die wordt gebruikt in de browsercache, dus volgende pogingen om toegang te krijgen tot de pagina's blijven worden weergegeven in de laatste gebruikte taal. Als u de cache wist, worden de pagina's opnieuw weergegeven.

Als u een specifieke taal wilt afdwingen, kunt u toevoegen ?lng=<language> aan het einde van de URL, waarbij <language> de code is van de taal die u wilt weergeven.

Set up SSPR or other security verification methods

Methoden die beschikbaar zijn in gecombineerde registratie

Gecombineerde registratie ondersteunt de verificatiemethoden en acties in de volgende tabel.

Wijze Registreer Wijzigen Delete
Microsoft Authenticator Ja (maximaal 5) Nr. Ja
Andere authenticator-app Ja (maximaal 5) Nr. Ja
Hardwaretoken Nee No Ja
Telefoon Ja Ja Ja
Alternatieve telefoon Ja Ja Ja
Telefoon op kantoor* Ja Ja Ja
E-mailadres Ja Ja Ja
Beveiligingsvragen Ja No Ja
Wachtwoords Nr. Ja Nr.
App-wachtwoorden* Ja No Ja
FIDO2-beveiligingssleutels* Ja No Ja

Notitie

Als u Microsoft Authenticator inschakelt voor de verificatiemodus zonder wachtwoord in het beleid voor verificatiemethoden, moeten gebruikers ook aanmelding zonder wachtwoord inschakelen in de Authenticator-app.

Alternatieve telefoon kan alleen worden geregistreerd in de beheermodus ingeschakeldhttps://aka.ms/mysecurityinfo en vereist dat spraakoproepen zijn ingeschakeld in het beleid voor verificatiemethoden.

Office-telefoon kan alleen worden geregistreerd in de interruptmodus als de eigenschap Zakelijke telefoon van gebruikers is ingesteld. Office-telefoon kan zonder deze vereiste worden toegevoegd door gebruikers in de beheerde modushttps://aka.ms/mysecurityinfo.

App-wachtwoorden zijn alleen beschikbaar voor gebruikers die zijn afgedwongen voor MFA per gebruiker. App-wachtwoorden zijn niet beschikbaar voor gebruikers die zijn ingeschakeld voor meervoudige verificatie van Microsoft Entra door een beleid voor voorwaardelijke toegang.

FIDO2-beveiligingssleutels kunnen alleen worden toegevoegd in de modus Beheren op https://aka.ms/mysecurityinfo.

Gebruikers kunnen een van de volgende opties instellen als de standaardmethode voor meervoudige verificatie.

  • Microsoft Authenticator : pushmelding of wachtwoordloos
  • Authenticator-app of hardwaretoken : code
  • Telefoongesprek
  • Tekstbericht

Notitie

Virtuele telefoonnummers worden niet ondersteund voor spraakoproepen of sms-berichten.

Authenticator-apps van derden bieden geen pushmelding. Naarmate we meer verificatiemethoden aan Microsoft Entra ID blijven toevoegen, worden deze methoden beschikbaar in gecombineerde registratie.

Gecombineerde registratiemodi

Er zijn twee modi van gecombineerde registratie: onderbreken en beheren.

  • De interruptmodus is een wizardachtige ervaring die aan gebruikers wordt gepresenteerd wanneer ze hun beveiligingsgegevens registreren of vernieuwen bij het aanmelden.
  • De beheermodus maakt deel uit van het gebruikersprofiel en stelt gebruikers in staat hun beveiligingsgegevens te beheren.

Voor beide modi moeten gebruikers die eerder een methode hebben geregistreerd die kan worden gebruikt voor meervoudige verificatie van Microsoft Entra, meervoudige verificatie uitvoeren voordat ze toegang hebben tot hun beveiligingsgegevens. Gebruikers moeten hun gegevens bevestigen voordat ze hun eerder geregistreerde methoden blijven gebruiken.

Interruptmodus

Gecombineerde registratie voldoet aan zowel meervoudige verificatie als SSPR-beleid, als beide zijn ingeschakeld voor uw tenant. Deze beleidsregels bepalen of een gebruiker wordt onderbroken voor registratie tijdens het aanmelden en welke methoden beschikbaar zijn voor registratie. Als alleen een SSPR-beleid is ingeschakeld, kunnen gebruikers de registratieonderbreking (voor onbepaalde tijd) overslaan en op een later tijdstip voltooien.

Hier volgen voorbeeldscenario's waarin gebruikers mogelijk worden gevraagd om hun beveiligingsgegevens te registreren of te vernieuwen:

  • registratie van meervoudige verificatie die wordt afgedwongen via Identity Protection: gebruikers worden gevraagd zich te registreren tijdens het aanmelden. Ze registreren meervoudige verificatiemethoden en SSPR-methoden (als de gebruiker is ingeschakeld voor SSPR).
  • meervoudige verificatieregistratie afgedwongen via meervoudige verificatie per gebruiker: gebruikers worden gevraagd zich te registreren tijdens het aanmelden. Ze registreren meervoudige verificatiemethoden en SSPR-methoden (als de gebruiker is ingeschakeld voor SSPR).
  • registratie voor meervoudige verificatie die wordt afgedwongen via voorwaardelijke toegang of ander beleid: gebruikers worden gevraagd zich te registreren wanneer ze een resource gebruiken waarvoor meervoudige verificatie is vereist. Ze registreren meervoudige verificatiemethoden en SSPR-methoden (als de gebruiker is ingeschakeld voor SSPR).
  • SSPR-registratie afgedwongen: gebruikers worden gevraagd zich te registreren tijdens het aanmelden. Ze registreren alleen SSPR-methoden.
  • SSPR-vernieuwing afgedwongen: gebruikers moeten hun beveiligingsgegevens controleren met een interval dat door de beheerder is ingesteld. Gebruikers worden hun gegevens weergegeven en kunnen de huidige gegevens bevestigen of zo nodig wijzigingen aanbrengen.

Wanneer registratie wordt afgedwongen, krijgen gebruikers het minimale aantal methoden weer dat nodig is om te voldoen aan zowel meervoudige verificatie als SSPR-beleid, van het meest tot het minst veilig. Gebruikers die gecombineerde registratie doorlopen waarbij zowel MFA- als SSPR-registratie worden afgedwongen en het SSPR-beleid vereist dat er eerst twee methoden worden vereist om een MFA-methode te registreren als de eerste methode en een andere MFA- of SSPR-specifieke methode kan selecteren als de tweede geregistreerde methode (bijvoorbeeld e-mail, beveiligingsvragen, enzovoort)

Overweeg het volgende voorbeeldscenario:

  • Een gebruiker is ingeschakeld voor SSPR. Voor het SSPR-beleid zijn twee methoden vereist om de Microsoft Authenticator-app, e-mail en telefoon opnieuw in te stellen en ingeschakeld.
  • Wanneer de gebruiker ervoor kiest om zich te registreren, zijn er twee methoden vereist:
    • De gebruiker wordt standaard de Microsoft Authenticator-app en -telefoon weergegeven.
    • De gebruiker kan ervoor kiezen om e-mail te registreren in plaats van de Authenticator-app of telefoon.

Wanneer ze Microsoft Authenticator instellen, kan de gebruiker klikken op ik wil een andere methode instellen om andere verificatiemethoden te registreren. De lijst met beschikbare methoden wordt bepaald door het beleid voor verificatiemethoden voor de tenant. 

Screenshot of how to choose another method when you set up Microsoft Authenticator.

In het volgende stroomdiagram wordt beschreven welke methoden worden weergegeven aan een gebruiker wanneer deze wordt onderbroken om zich te registreren tijdens het aanmelden:

Combined security info flowchart

Als u zowel meervoudige verificatie als SSPR hebt ingeschakeld, raden we u aan meervoudige verificatieregistratie af te dwingen.

Als het SSPR-beleid vereist dat gebruikers hun beveiligingsgegevens regelmatig controleren, worden gebruikers onderbroken tijdens het aanmelden en worden alle geregistreerde methoden weergegeven. Ze kunnen de huidige informatie bevestigen als deze up-to-date is, of ze kunnen desgewenst wijzigingen aanbrengen. Gebruikers moeten meervoudige verificatie uitvoeren om toegang te krijgen tot deze pagina.

Beheermodus

Gebruikers hebben toegang tot de beheermodus door naar Beveiligingsgegevens te gaan of door Beveiligingsgegevens te selecteren in Mijn account. Van daaruit kunnen gebruikers methoden toevoegen, bestaande methoden verwijderen of wijzigen, de standaardmethode wijzigen en meer.

Belangrijke gebruiksscenario's

Een wachtwoord bijwerken in MySignIns (preview)

Een gebruiker navigeert naar beveiligingsgegevens. Nadat de gebruiker zich heeft aangemeld, kan het wachtwoord worden gewijzigd. Als de gebruiker zich verifieert met een wachtwoord en een meervoudige verificatiemethode, kunnen ze de verbeterde gebruikerservaring gebruiken om hun wachtwoord te wijzigen zonder hun bestaande wachtwoord in te voeren. Wanneer u klaar bent, heeft de gebruiker het nieuwe wachtwoord bijgewerkt op de pagina Beveiligingsgegevens. Verificatiemethoden zoals Tijdelijke Toegangspas (TAP) worden niet ondersteund voor wachtwoordwijziging, tenzij de gebruiker het bestaande wachtwoord kent.

Registratie van beveiligingsgegevens beveiligen met voorwaardelijke toegang

Als u wilt beveiligen wanneer en hoe gebruikers zich registreren voor Meervoudige verificatie van Microsoft Entra en selfservice voor wachtwoordherstel, kunt u gebruikersacties gebruiken in het beleid voor voorwaardelijke toegang. Deze functionaliteit kan worden ingeschakeld in organisaties die willen dat gebruikers zich registreren voor Meervoudige Verificatie van Microsoft Entra en SSPR vanaf een centrale locatie, zoals een vertrouwde netwerklocatie tijdens het onboarden van HR. Meer informatie over het configureren van algemene beleidsregels voor voorwaardelijke toegang voor het beveiligen van registratie van beveiligingsgegevens.

Beveiligingsgegevens instellen tijdens aanmelding

Een beheerder heeft registratie afgedwongen.

Een gebruiker heeft niet alle vereiste beveiligingsgegevens ingesteld en gaat naar het Microsoft Entra-beheercentrum. Nadat de gebruiker de gebruikersnaam en het wachtwoord heeft ingevoerd, wordt de gebruiker gevraagd om beveiligingsgegevens in te stellen. De gebruiker volgt vervolgens de stappen die worden weergegeven in de wizard om de vereiste beveiligingsgegevens in te stellen. Als uw instellingen dit toestaan, kan de gebruiker ervoor kiezen om andere methoden in te stellen dan de methoden die standaard worden weergegeven. Nadat gebruikers de wizard hebben voltooid, controleren ze de methoden die ze hebben ingesteld en hun standaardmethode voor meervoudige verificatie. Om het installatieproces te voltooien, bevestigt de gebruiker de informatie en gaat deze door naar het Microsoft Entra-beheercentrum.

Beveiligingsgegevens instellen vanuit Mijn account

Een beheerder heeft geen registratie afgedwongen.

Een gebruiker die nog niet alle vereiste beveiligingsgegevens heeft ingesteld, gaat naar https://myaccount.microsoft.com. De gebruiker selecteert beveiligingsgegevens in het linkerdeelvenster. Hier kiest de gebruiker om een methode toe te voegen, selecteert een van de beschikbare methoden en volgt de stappen om die methode in te stellen. Wanneer deze klaar is, ziet de gebruiker de methode die is ingesteld op de pagina Beveiligingsgegevens.

Andere methoden instellen na gedeeltelijke registratie

Als een gebruiker gedeeltelijk tevreden is over de MFA- of SSPR-registratie vanwege bestaande registraties van verificatiemethoden die door de gebruiker of beheerder worden uitgevoerd, wordt gebruikers alleen gevraagd om aanvullende informatie te registreren die is toegestaan door de beleidsinstellingen voor verificatiemethoden wanneer registratie is vereist. Als er meer dan één andere verificatiemethode beschikbaar is voor de gebruiker om te kiezen en te registreren, wordt een optie voor de registratie-ervaring met de titel Ik wil een andere methode instellen en kan de gebruiker de gewenste verificatiemethode instellen.

Screenshot of how to set up another method.

Beveiligingsgegevens verwijderen uit Mijn account

Een gebruiker die eerder ten minste één methode heeft ingesteld, gaat naar https://aka.ms/mysecurityinfo. De gebruiker kiest ervoor een van de eerder geregistreerde methoden te verwijderen. Wanneer deze is voltooid, ziet de gebruiker die methode niet meer op de pagina Beveiligingsgegevens.

De standaardmethode wijzigen vanuit Mijn account

Een gebruiker die eerder ten minste één methode heeft ingesteld die kan worden gebruikt voor meervoudige verificatie, navigeert naar https://aka.ms/mysecurityinfo. De gebruiker wijzigt de huidige standaardmethode in een andere standaardmethode. Wanneer deze is voltooid, ziet de gebruiker de nieuwe standaardmethode op de pagina Beveiligingsgegevens.

Schakelen tussen mappen

Een externe identiteit, zoals een B2B-gebruiker, moet mogelijk overschakelen naar de directory om de beveiligingsregistratiegegevens voor een tenant van derden te wijzigen. Bovendien kunnen gebruikers die toegang hebben tot een resourcetenant verwarrend zijn wanneer ze instellingen in hun thuistenant wijzigen, maar de wijzigingen niet zien in de resourcetenant.

Een gebruiker stelt bijvoorbeeld pushmeldingen voor de Microsoft Authenticator-app in als de primaire verificatie voor aanmelding bij de thuistenant en heeft ook sms/tekst als een andere optie. Deze gebruiker is ook geconfigureerd met de optie SMS/Tekst in een resourcetenant. Als deze gebruiker sms/tekst verwijdert als een van de verificatieopties op hun thuistenant, wordt deze in de war wanneer toegang tot de resourcetenant hen vraagt om te reageren op sms/sms-berichten.

Als u de map in het Microsoft Entra-beheercentrum wilt wijzigen, klikt u op de naam van het gebruikersaccount in de rechterbovenhoek en klikt u op Schakelen tussen mappen.

External users can switch directory.

U kunt ook een tenant per URL opgeven voor toegang tot beveiligingsgegevens.

https://mysignins.microsoft.com/security-info?tenant=<Tenant Name>

https://mysignins.microsoft.com/security-info/?tenantId=<Tenant ID>

Notitie

Klanten die beveiligingsgegevens willen registreren of beheren via gecombineerde registratie of de pagina Mijn aanmeldingen, moeten een moderne browser gebruiken, zoals Microsoft Edge.

IE11 wordt niet officieel ondersteund voor het maken van een webweergave of browser in toepassingen, omdat deze niet werkt zoals verwacht in alle scenario's.

Toepassingen die niet zijn bijgewerkt en die nog steeds gebruikmaken van Azure AD Authentication Library (ADAL) die afhankelijk zijn van verouderde webweergaven, kunnen terugvallen op oudere versies van IE. In deze scenario's ervaren gebruikers een lege pagina wanneer ze worden omgeleid naar de pagina Mijn aanmeldingen. U kunt dit probleem oplossen door over te schakelen naar een moderne browser.

Volgende stappen

Zie de zelfstudies om selfservice voor wachtwoordherstel in te schakelen en Meervoudige Verificatie van Microsoft Entra in te schakelen om aan de slag te gaan.

Meer informatie over het inschakelen van gecombineerde registratie in uw tenant of het afdwingen van gebruikers om verificatiemethoden opnieuw te registreren.

U kunt ook de beschikbare methoden voor meervoudige verificatie en SSPR van Microsoft Entra bekijken.