Hoe het werkt: Azure AD Multi-Factor Authentication

Meervoudige verificatie is een proces waarbij gebruikers tijdens het aanmeldingsproces worden gevraagd om een extra vorm van identificatie, zoals een code op hun mobiele telefoon of een vingerafdrukscan.

Als u alleen een wachtwoord gebruikt om gebruikers te verifiëren, is dit een onveilige aanvalsvector. Als het wachtwoord zwak is of ergens anders beschikbaar is, kan een aanvaller het gebruiken om toegang te krijgen. Wanneer u een tweede vorm van verificatie nodig hebt, wordt de beveiliging verhoogd omdat deze extra factor niet eenvoudig is voor een aanvaller om te verkrijgen of dupliceren.

Conceptual image of the various forms of multi-factor authentication.

Azure AD Multi-Factor Authentication werkt door twee van de volgende verificatiemethoden te vereisen:

  • Iets dat u weet, zoals een wachtwoord.
  • Iets dat u hebt, zoals een vertrouwd apparaat dat niet eenvoudig kan worden gedupliceerd, zoals een telefoon of hardwaresleutel.
  • Iets dat u bent: biometrische gegevens zoals een vingerafdruk of gezichtsscan.

Azure AD Multi-Factor Authentication kan ook het opnieuw instellen van wachtwoorden verder beveiligen. Wanneer gebruikers zich registreren voor Azure AD Multi-Factor Authentication, kunnen ze zich in één stap ook registreren voor selfservice voor wachtwoordherstel. Beheerders kunnen vormen van secundaire verificatie kiezen en uitdagingen voor MFA configureren op basis van configuratiebeslissingen.

U hoeft geen apps en services te wijzigen om Azure AD Multi-Factor Authentication te gebruiken. De verificatieprompts maken deel uit van de Azure AD-aanmelding, waarmee de MFA-uitdaging automatisch wordt aangevraagd en verwerkt wanneer dat nodig is.

Notitie

De prompttaal wordt bepaald door de landinstellingen van de browser. Als u aangepaste begroetingen gebruikt, maar er geen hebt voor de taal die is geïdentificeerd in de landinstelling van de browser, wordt het Engels standaard gebruikt. NpS (Network Policy Server) gebruikt altijd Engels, ongeacht aangepaste begroetingen. Engels wordt standaard ook gebruikt als de landinstelling van de browser niet kan worden geïdentificeerd.

MFA sign-in screen.

Beschikbare verificatiemethoden

Wanneer gebruikers zich aanmelden bij een toepassing of service en een MFA-prompt ontvangen, kunnen ze kiezen uit een van hun geregistreerde verificatieformulieren. Gebruikers hebben toegang tot Mijn profiel om verificatiemethoden te bewerken of toe te voegen.

De volgende aanvullende verificatievormen kunnen worden gebruikt met Azure AD Multi-Factor Authentication:

  • Microsoft Authenticator-app
  • Windows Hello voor Bedrijven
  • FIDO2-beveiligingssleutel
  • OATH-hardwaretoken (preview)
  • OATH-softwaretoken
  • Sms
  • Spraakoproep

Azure AD Multi-Factor Authentication inschakelen en gebruiken

U kunt de standaardinstellingen voor beveiliging in Azure AD-tenants gebruiken om Microsoft Authenticator snel in te schakelen voor alle gebruikers. U kunt Azure AD Multi-Factor Authentication inschakelen om gebruikers en groepen te vragen om aanvullende verificatie tijdens het aanmelden.

Voor gedetailleerdere besturingselementen kunt u beleid voor voorwaardelijke toegang gebruiken om gebeurtenissen of toepassingen te definiëren waarvoor MFA is vereist. Deze beleidsregels kunnen reguliere aanmelding toestaan wanneer de gebruiker zich op het bedrijfsnetwerk of een geregistreerd apparaat bevindt, maar om aanvullende verificatiefactoren wordt gevraagd wanneer de gebruiker extern of op een persoonlijk apparaat is.

Diagram that shows how Conditional Access works to secure the sign-in process.

Volgende stappen

Zie Functies en licenties voor Azure AD Multi-Factor Authentication voor meer informatie over licenties.

Zie Verificatiemethoden in Azure Active Directory voor meer informatie over verschillende verificatie- en validatiemethoden.

Als u MFA in actie wilt zien, schakelt u Azure AD Multi-Factor Authentication in voor een set testgebruikers in de volgende zelfstudie: