Hoe werkt het? Azure AD-Multi-Factor AuthenticationHow it works: Azure AD Multi-Factor Authentication

Meervoudige verificatie is een proces waarbij gebruikers tijdens het aanmeldproces om een aanvullende vorm van identificatie wordt gevraagd, zoals het invoeren van een code op hun mobiele telefoon of het uitvoeren van een vingerafdrukscan.Multi-factor authentication is a process where a user is prompted during the sign-in process for an additional form of identification, such as to enter a code on their cellphone or to provide a fingerprint scan.

Als u alleen een wachtwoord gebruikt om gebruikers te verifiëren, is dit een onveilige aanvalsvector.If you only use a password to authenticate a user, it leaves an insecure vector for attack. Als het wachtwoord zwak is of elders is weergegeven, is het dan wel echt de gebruiker die zich met de gebruikersnaam en het wachtwoord aanmeldt, of is het een aanvaller?If the password is weak or has been exposed elsewhere, is it really the user signing in with the username and password, or is it an attacker? Wanneer u een tweede vorm van verificatie vereist, neemt de beveiliging toe omdat deze aanvullende factor niet eenvoudig door een aanvaller kan worden verkregen of gedupliceerd.When you require a second form of authentication, security is increased as this additional factor isn't something that's easy for an attacker to obtain or duplicate.

Conceptafbeelding van de verschillende vormen van meervoudige verificatie

Azure AD Multi-Factor Authentication werkt door twee van de volgende verificatiemethoden te vereisen:Azure AD Multi-Factor Authentication works by requiring two or more of the following authentication methods:

  • Iets dat u weet, zoals een wachtwoord.Something you know, typically a password.
  • Iets dat u hebt, zoals een vertrouwd apparaat dat niet eenvoudig kan worden gedupliceerd, zoals een telefoon of hardwaresleutel.Something you have, such as a trusted device that is not easily duplicated, like a phone or hardware key.
  • Iets dat u bent: biometrische gegevens zoals een vingerafdruk of gezichtsscan.Something you are - biometrics like a fingerprint or face scan.

Gebruikers kunnen zich registreren voor zowel de self-service voor wachtwoordherstel als Azure AD Multi-Factor Authentication. Dit gebeurt in één stap, voor een eenvoudigere onboardingervaring.Users can register themselves for both self-service password reset and Azure AD Multi-Factor Authentication in one step to simplify the on-boarding experience. Beheerders kunnen definiëren welke vormen van secundaire verificatie kunnen worden gebruikt.Administrators can define what forms of secondary authentication can be used. Azure AD Multi-Factor Authentication kan ook vereist zijn wanneer gebruikers een self-service voor wachtwoordherstel uitvoeren om dit proces nog verder te beveiligen.Azure AD Multi-Factor Authentication can also be required when users perform a self-service password reset to further secure that process.

Gebruikte verificatiemethoden op het aanmeldscherm

Met Azure AD Multi-Factor Authentication kunt u de toegang tot gegevens en toepassingen beschermen terwijl u eenvoudiger bent voor gebruikers.Azure AD Multi-Factor Authentication helps safeguard access to data and applications while maintaining simplicity for users. Het biedt extra beveiliging door een tweede vorm van verificatie te vereisen en sterke verificatie te bieden met behulp van een bereik aan gebruiks vriendelijke verificatie methoden.It provides additional security by requiring a second form of authentication and delivers strong authentication via a range of easy to use authentication methods. Gebruikers kunnen of kunnen niet worden aangevraagd voor MFA op basis van configuratie beslissingen die een beheerder doet.Users may or may not be challenged for MFA based on configuration decisions that an administrator makes.

Uw toepassingen of services hoeven geen wijzigingen aan te brengen voor het gebruik van Azure AD-Multi-Factor Authentication.Your applications or services don't need to make any changes to use Azure AD Multi-Factor Authentication. De verificatie prompts maken deel uit van de Azure AD-aanmeldings gebeurtenis, die de MFA-Challenge automatisch aanvraagt en verwerkt wanneer dat nodig is.The verification prompts are part of the Azure AD sign-in event, which automatically requests and processes the MFA challenge when required.

Beschik bare verificatie methodenAvailable verification methods

Wanneer een gebruiker zich aanmeldt bij een toepassing of service en een MFA-prompt ontvangt, kan hij of zij kiezen uit een van de geregistreerde formulieren van aanvullende verificatie.When a user signs in to an application or service and receive an MFA prompt, they can choose from one of their registered forms of additional verification. Een beheerder kan registratie van deze Azure AD Multi-Factor Authentication-verificatie methoden vereisen of de gebruiker heeft toegang tot hun eigen profiel om verificatie methoden te bewerken of toe te voegen.An administrator could require registration of these Azure AD Multi-Factor Authentication verification methods, or the user can access their own My Profile to edit or add verification methods.

De volgende aanvullende vormen van verificatie kunnen worden gebruikt met Azure AD Multi-Factor Authentication:The following additional forms of verification can be used with Azure AD Multi-Factor Authentication:

  • Microsoft Authenticator-appMicrosoft Authenticator app
  • OATH-hardware-tokenOATH Hardware token
  • SmsSMS
  • SpraakoproepVoice call

Azure AD Multi-Factor Authentication inschakelen en gebruikenHow to enable and use Azure AD Multi-Factor Authentication

Gebruikers en groepen kunnen worden ingeschakeld voor Azure AD-Multi-Factor Authentication om te vragen om aanvullende verificatie tijdens de aanmeldings gebeurtenis.Users and groups can be enabled for Azure AD Multi-Factor Authentication to prompt for additional verification during the sign-in event. De standaard instellingen voor beveiliging zijn beschikbaar voor alle Azure AD-tenants om het gebruik van de Microsoft Authenticator-app snel in te scha kelen voor alle gebruikers.Security defaults are available for all Azure AD tenants to quickly enable the use of the Microsoft Authenticator app for all users.

Voor uitgebreidere besturings elementen kunnen beleids regels voor voorwaardelijke toegang worden gebruikt voor het definiëren van gebeurtenissen of toepassingen waarvoor MFA is vereist.For more granular controls, Conditional Access policies can be used to define events or applications that require MFA. Met deze beleids regels kunt u regel matige aanmeldings gebeurtenissen toestaan wanneer de gebruiker zich in het bedrijfs netwerk of een geregistreerd apparaat bevindt, maar u wordt gevraagd om aanvullende verificatie factoren wanneer het externe apparaat of op een persoon is.These policies can allow regular sign-in events when the user is on the corporate network or a registered device, but prompt for additional verification factors when remote or on a personal device.

Overzichtsdiagram van de werking van voorwaardelijke toegang om het aanmeldingsproces te beveiligen

Volgende stappenNext steps

Zie voor meer informatie over licentie verlening de functies en licenties voor Azure AD multi-factor Authentication.To learn about licensing, see Features and licenses for Azure AD Multi-Factor Authentication.

Als u MFA in actie wilt zien, schakelt u Azure AD-Multi-Factor Authentication in voor een set test gebruikers in de volgende zelf studie:To see MFA in action, enable Azure AD Multi-Factor Authentication for a set of test users in the following tutorial: