Wat is Microsoft Entra-verificatie?

  • Artikel

Een van de belangrijkste functies van een identiteitsplatform is het verifiëren van referenties wanneer een gebruiker zich bij een apparaat, toepassing of service aanmeldt. In Microsoft Entra ID omvat verificatie meer dan alleen de verificatie van een gebruikersnaam en wachtwoord. Microsoft Entra-verificatie omvat de volgende onderdelen om de beveiliging te verbeteren en de hulp bij de helpdesk te verminderen:

  • Self-service voor wachtwoordherstel
  • Meervoudige verificatie van Microsoft Entra
  • Hybride integratie om wachtwoordwijzigingen terug te schrijven naar de on-premises omgeving
  • Hybride integratie om beveiligingsbeleid voor wachtwoorden af te dwingen voor een on-premises omgeving
  • Verificatie zonder wachtwoord

Bekijk onze korte video voor meer informatie over deze verificatieonderdelen.

De ervaring voor de eindgebruiker verbeteren

Microsoft Entra ID helpt bij het beveiligen van de identiteit van een gebruiker en het vereenvoudigen van hun aanmeldingservaring. Met behulp van functies zoals een self-service voor wachtwoordherstel kunnen gebruikers wachtwoorden via een webbrowser bijwerken of wijzigen, vanaf elk apparaat. Deze functie is met name handig wanneer gebruikers hun wachtwoord zijn vergeten of als hun account is vergrendeld. Zonder te hoeven wachten op ondersteuning van een helpdesk of beheerder kunnen gebruikers zelf de blokkering opheffen en verdergaan met hun werk.

Met Meervoudige verificatie van Microsoft Entra kunnen gebruikers een extra vorm van verificatie kiezen tijdens het aanmelden, zoals een telefoongesprek of een melding van mobiele apps. Dankzij deze mogelijkheid is er geen vaste vorm van secundaire verificatie meer vereist, zoals een hardwaretoken. Als gebruikers momenteel niet één vorm van aanvullende verificatie hebben, kunnen ze een andere methode kiezen en doorgaan met hun werk.

Authentication methods in use at the sign-in screen

Door verificatie zonder wachtwoord hoeven gebruikers helemaal geen veilig wachtwoord meer te maken en te onthouden. Mogelijkheden zoals Windows Hello for Business of FIDO2-beveiligingssleutels stellen gebruikers in staat zich bij een apparaat of toepassing aan te melden zonder een wachtwoord. Deze mogelijkheid kan de complexiteit van het beheren van wachtwoorden in verschillende omgevingen verminderen.

Self-service voor wachtwoordherstel

Self-service voor wachtwoordherstel biedt gebruikers de mogelijkheid hun wachtwoord te wijzigen of opnieuw in te stellen zonder tussenkomst van een beheerder of helpdesk. Als het account van een gebruiker is vergrendeld of als deze zijn of haar wachtwoord is vergeten, kan de gebruiker de vergrendeling aan de hand van instructies zelf ongedaan maken en weer aan het werk gaan. Op deze manier wordt het aantal telefoontjes naar de helpdesk en productieverlies verminderd wanneer een gebruiker zich niet kan aanmelden bij een apparaat of toepassing.

De self-service voor wachtwoordherstel werkt in de volgende scenario's:

  • Wachtwoord wijzigen: wanneer gebruikers hun wachtwoord wel weten, maar deze in een nieuw wachtwoord willen wijzigen.
  • Wachtwoord opnieuw instellen: wanneer gebruikers zich niet kunnen aanmelden, wanneer ze bijvoorbeeld hun wachtwoord zijn vergeten en hun wachtwoord opnieuw willen instellen.
  • Account ontgrendelen: wanneer gebruikers zich niet kunnen aanmelden omdat hun account is vergrendeld en ze hun account willen ontgrendelen.

Wanneer gebruikers hun wachtwoord bijwerken of opnieuw instellen met behulp van de self-service voor wachtwoordherstel, kan dat wachtwoord ook worden teruggeschreven naar een on-premises Active Directory-omgeving. Door het kunnen terugschrijven van wachtwoorden kunnen gebruikers direct gebruikmaken van hun bijgewerkte referenties met on-premises apparaten en toepassingen.

Meervoudige verificatie van Microsoft Entra

Meervoudige verificatie is een proces waarbij een gebruiker tijdens het aanmeldingsproces wordt gevraagd om een extra vorm van identificatie, zoals het invoeren van een code op hun mobiele telefoon of het geven van een vingerafdrukscan.

Als u alleen een wachtwoord gebruikt om gebruikers te verifiëren, is dit een onveilige aanvalsvector. Als het wachtwoord zwak is of elders is weergegeven, is het dan wel echt de gebruiker die zich met de gebruikersnaam en het wachtwoord aanmeldt, of is het een aanvaller? Wanneer u een tweede vorm van verificatie vereist, neemt de beveiliging toe omdat deze aanvullende factor niet eenvoudig door een aanvaller kan worden verkregen of gedupliceerd.

Conceptual image of the different forms of multifactor authentication

Microsoft Entra multi-factor authentication werkt door twee of meer van de volgende verificatiemethoden te vereisen:

  • Iets dat u weet, zoals een wachtwoord.
  • Iets dat u hebt, zoals een vertrouwd apparaat dat niet eenvoudig kan worden gedupliceerd, zoals een telefoon of hardwaresleutel.
  • Iets dat u bent: biometrische gegevens zoals een vingerafdruk of gezichtsscan.

Gebruikers kunnen zich in één stap registreren voor zowel selfservice voor wachtwoordherstel als Microsoft Entra-meervoudige verificatie om de onboarding-ervaring te vereenvoudigen. Beheerders kunnen definiëren welke vormen van secundaire verificatie kunnen worden gebruikt. Microsoft Entra meervoudige verificatie kan ook vereist zijn wanneer gebruikers een selfservice voor wachtwoordherstel uitvoeren om dat proces verder te beveiligen.

Wachtwoordbeveiliging

Standaard blokkeert Microsoft Entra ID zwakke wachtwoorden, zoals Password1. Een wereldwijde lijst met verboden, bekende zwakke wachtwoorden wordt automatisch bijgewerkt en afgedwongen. Als een Microsoft Entra-gebruiker probeert zijn wachtwoord in te stellen op een van deze zwakke wachtwoorden, ontvangen ze een melding om een veiliger wachtwoord te kiezen.

U kunt de beveiliging verhogen door aangepaste beleidsregels voor wachtwoordbeveiliging te definiëren. Voor deze beleidsregels kunnen filters worden gebruikt voor het blokkeren van variaties op een wachtwoord met een naam zoals Contoso of een locatie zoals Londen.

Voor hybride beveiliging kunt u Microsoft Entra-wachtwoordbeveiliging integreren met een on-premises Active Directory-omgeving. Een onderdeel dat in de on-premises omgeving is geïnstalleerd, ontvangt de algemene lijst met verboden wachtwoorden en aangepaste beleidsregels voor wachtwoordbeveiliging van Microsoft Entra-id en domeincontrollers gebruiken deze om gebeurtenissen voor wachtwoordwijziging te verwerken. Door deze hybride methode weet u zeker dat het gebruik van sterke wachtwoorden wordt afgedwongen, ongeacht hoe of waar gebruikers hun referenties wijzigen.

Verificatie zonder wachtwoord

Het einddoel voor veel omgevingen is het verwijderen van het gebruik van wachtwoorden als onderdelen van aanmeldingen. Functies zoals Azure-wachtwoordbeveiliging of Meervoudige verificatie van Microsoft Entra helpen de beveiliging te verbeteren, maar een gebruikersnaam en wachtwoord blijven een zwakke vorm van verificatie die kan worden blootgesteld of aangevallen.

Security versus convenience with the authentication process that leads to passwordless

Wanneer u zich aanmeldt met een methode zonder wachtwoord, worden referenties verstrekt met behulp van methoden zoals biometrie met Windows Hello voor Bedrijven of een FIDO2-beveiligingssleutel. Deze verificatiemethoden kunnen niet eenvoudig door een aanvaller worden gedupliceerd.

Microsoft Entra ID biedt manieren om systeemeigen verificatie uit te voeren met behulp van methoden zonder wachtwoord om de aanmeldingservaring voor gebruikers te vereenvoudigen en het risico op aanvallen te verminderen.

Volgende stappen

Zie de zelfstudie voor selfservice voor wachtwoordherstel (SSPR) en Meervoudige Verificatie van Microsoft Entra om aan de slag te gaan.

Zie De werking van selfservice voor wachtwoordherstel door Microsoft Entra voor meer informatie over concepten voor self-service voor wachtwoordherstel.

Zie Hoe Meervoudige Verificatie werkt met Microsoft Entra voor meer informatie over meervoudige verificatieconcepten.