Aanmelden zonder wachtwoord inschakelen met de Microsoft Authenticator app

De Microsoft Authenticator-app kan worden gebruikt om u aan te melden bij een Azure AD-account zonder een wachtwoord te gebruiken. Microsoft Authenticator maakt gebruik van verificatie op basis van sleutels om een gebruikersreferentie in te schakelen die is gekoppeld aan een apparaat, waarbij het apparaat gebruikmaakt van een pincode of biometrische gegevens. Windows Hello for Business maakt gebruik van een vergelijkbare technologie.

Deze verificatietechnologie kan worden gebruikt op elk apparaatplatform, inclusief mobiel. Deze technologie kan ook worden gebruikt met elke app of website die is geïntegreerd met Microsoft-verificatiebibliotheken.

Voorbeeld van een aanmelding in een browser waarin de gebruiker wordt gevraagd om de aanmelding goed te keuren.

Personen die aanmelden via de telefoon hebben ingeschakeld vanuit de Microsoft Authenticator-app zien een bericht waarin hen wordt gevraagd op een getal in hun app te tikken. Er wordt geen gebruikersnaam of wachtwoord gevraagd. Om het aanmeldingsproces in de app te voltooien, moet een gebruiker de volgende acties uitvoeren:

  1. Typ het nummer dat ze op het aanmeldingsscherm zien in het dialoogvenster Microsoft Authenticator app.
  2. Kies Goedkeuren.
  3. Geef de pincode of biometrische gegevens op.

Vereisten

Als u aanmelding via een wachtwoordloze telefoon met de Microsoft Authenticator app wilt gebruiken, moet aan de volgende vereisten worden voldaan:

  • Aanbevolen: Azure AD Multi-Factor Authentication, waarbij pushmeldingen zijn toegestaan als verificatiemethode. Pushmeldingen naar uw smartphone of tablet helpen de Authenticator om onbevoegde toegang tot accounts te voorkomen en frauduleuze transacties te stoppen. De Authenticator-app genereert automatisch codes wanneer deze zijn ingesteld om pushmeldingen uit te voeren, zodat een gebruiker een aanmeldingsmethode voor back-ups heeft, zelfs als het apparaat geen verbinding heeft.
  • Nieuwste versie van Microsoft Authenticator geïnstalleerd op apparaten met iOS 8.0 of hoger of Android 6.0 of hoger.
  • Het apparaat waarop de Microsoft Authenticator app is geïnstalleerd, moet binnen de Azure AD-tenant worden geregistreerd bij een afzonderlijke gebruiker.

Notitie

Als u aanmelding Microsoft Authenticator zonder wachtwoord hebt ingeschakeld met behulp van Azure AD PowerShell, is dit ingeschakeld voor uw hele directory. Als u deze nieuwe methode inschakelen, wordt het PowerShell-beleid overgeslagen. U kunt het beste inschakelen voor alle gebruikers in uw tenant via het nieuwe menu Verificatiemethoden, anders kunnen gebruikers die niet in het nieuwe beleid zitten zich niet langer zonder wachtwoord aanmelden.

Verificatiemethoden zonder wachtwoord inschakelen

Als u verificatie zonder wachtwoord in Azure AD wilt gebruiken, moet u eerst de gecombineerde registratie-ervaring inschakelen en vervolgens gebruikers inschakelen voor de methode zonder wachtwoord.

Verificatiemethoden voor aanmelding via een telefoon zonder wachtwoord inschakelen

Met Azure AD kunt u kiezen welke verificatiemethoden kunnen worden gebruikt tijdens het aanmeldingsproces. Gebruikers registreren zich vervolgens voor de methoden die ze willen gebruiken. Het Microsoft Authenticator verificatiemethode beheert zowel de traditionele push-MFA-methode als de verificatiemethode zonder wachtwoord.

Als u de verificatiemethode voor aanmelding via een telefoon zonder wachtwoord wilt inschakelen, moet u de volgende stappen voltooien:

  1. Meld u aan bij de Azure Portal met een beheerdersaccount voor verificatiebeleid.

  2. Zoek en selecteer Azure Active Directory en blader vervolgens naar > Beveiligingsverificatiemethoden > Beleidsregels.

  3. Kies Microsoft Authenticator de volgende opties onder Microsoft Authenticator:

    1. Inschakelen : Ja of Nee
    2. Doel: alle gebruikers of Gebruikers selecteren
  4. Elke toegevoegde groep of gebruiker is standaard ingeschakeld voor het gebruik van Microsoft Authenticator in zowel de modus voor wachtwoordloze als pushmeldingen ('Any'-modus). Als u dit wilt wijzigen, moet u voor elke rij:

    1. Blader naar ... > Configureer.
    2. Voor verificatiemodus kiest u Alle of Zonder wachtwoord. Als u Push kiest, wordt het gebruik van aanmeldingsreferenties via een telefoon zonder wachtwoord voorkomen.
  5. Klik op Opslaan om het nieuwe beleid toe te passen.

    Notitie

    Als er een foutmelding wordt weergegeven wanneer u probeert op te slaan, kan dit worden veroorzaakt door het aantal gebruikers of groepen dat wordt toegevoegd. Vervang als tijdelijke oplossing de gebruikers en groepen die u probeert toe te voegen door één groep in dezelfde bewerking en klik vervolgens opnieuw op Opslaan.

Gebruikersregistratie en -beheer van Microsoft Authenticator

Gebruikers registreren zichzelf voor de verificatiemethode zonder wachtwoord van Azure AD met behulp van de volgende stappen:

  1. Blader naar https://aka.ms/mysecurityinfo.
  2. Meld u aan en klik vervolgens op Methode toevoegen Authenticator > app > Toevoegen om de app Authenticator toevoegen.
  3. Volg de instructies voor het installeren en configureren van Microsoft Authenticator app op uw apparaat.
  4. Selecteer Done om de configuratie Authenticator voltooien.
  5. In Microsoft Authenticator kiest u Aanmelding via telefoon inschakelen in de vervolgkeuzelijst voor het geregistreerde account.
  6. Volg de instructies in de app om de registratie van het account voor aanmelding via een telefoon zonder wachtwoord te voltooien.

Een organisatie kan haar gebruikers vragen zich aan te melden met hun telefoons, zonder een wachtwoord te gebruiken. Zie Aanmelden bij uw accounts met de Microsoft Authenticator app voor meer hulp bij het configureren van de Microsoft Authenticator-app en het inschakelen van aanmeldingvia de telefoon.

Notitie

Gebruikers die niet door het beleid zijn toegestaan om telefonische aanmelding te gebruiken, kunnen dit niet meer inschakelen in de Microsoft Authenticator app.

Aanmelden met referenties zonder wachtwoord

Een gebruiker kan zich aanmelden zonder wachtwoord gaan gebruiken nadat alle volgende acties zijn voltooid:

  • Een beheerder heeft de tenant van de gebruiker ingeschakeld.
  • De gebruiker heeft haar app Microsoft Authenticator bijgewerkt om aanmelding via de telefoon in te kunnenschakelen.

De eerste keer dat een gebruiker het aanmeldingsproces voor de telefoon start, voert de gebruiker de volgende stappen uit:

  1. Voert haar naam in op de aanmeldingspagina.
  2. Selecteert Volgende.
  3. Selecteer indien nodig Andere manieren om u aan te melden.
  4. Selecteert Een aanvraag goedkeuren op mijn Microsoft Authenticator app.

De gebruiker krijgt vervolgens een getal te zien. De app vraagt de gebruiker om zich te verifiëren door het juiste nummer te typen in plaats van door een wachtwoord in te voeren.

Nadat de gebruiker zich via een wachtwoordloze telefoon heeft aanmelden, blijft de app de gebruiker door deze methode leiden. De gebruiker ziet echter de optie om een andere methode te kiezen.

Voorbeeld van een browser aanmelding met behulp van de Microsoft Authenticator app.

Bekende problemen

De volgende bekende problemen bestaan.

Optie voor aanmelden via telefoon zonder wachtwoord niet te zien

In één scenario kan een gebruiker een niet-beantwoorde verificatie via een telefoon zonder wachtwoord hebben die in behandeling is. De gebruiker kan zich echter opnieuw proberen aan te melden. Als dit gebeurt, ziet de gebruiker mogelijk alleen de optie om een wachtwoord in te voeren.

Om dit scenario op te lossen, kunnen de volgende stappen worden gebruikt:

  1. Open de app Microsoft Authenticator.
  2. Reageren op meldingsprompts.

Vervolgens kan de gebruiker zich blijven aanmelden zonder wachtwoord.

Federatief accounts

Wanneer een gebruiker referenties zonder wachtwoord heeft ingeschakeld, stopt het azure AD-aanmeldingsproces met het gebruik van de _ aanmeldingshint. Daarom versnelt het proces de gebruiker niet langer naar een federatief aanmeldingslocatie.

Deze logica voorkomt in het algemeen dat een gebruiker in een hybride tenant wordt omgeleid naar Active Directory Federated Services (AD FS) voor aanmeldingsverificatie. De gebruiker behoudt echter de optie om in plaats daarvan op Uw wachtwoord gebruiken te klikken.

Azure MFA-server

Een eindgebruiker kan worden ingeschakeld voor meervoudige verificatie (MFA) via een on-premises Azure MFA-server. De gebruiker kan nog steeds een aanmeldingsreferentie zonder wachtwoord maken en gebruiken.

Als de gebruiker meerdere installaties (5+) van de Microsoft Authenticator-app probeert bij te werken met de aanmeldingsreferenties voor de telefoon zonder wachtwoord, kan deze wijziging resulteren in een fout.

Apparaatregistratie

Voordat u deze nieuwe sterke referentie kunt maken, zijn er vereisten. Een vereiste is dat het apparaat waarop de Microsoft Authenticator app is geïnstalleerd, binnen de Azure AD-tenant moet worden geregistreerd voor een afzonderlijke gebruiker.

Op dit moment kan een apparaat alleen worden geregistreerd in één tenant. Deze limiet betekent dat slechts één werk- of schoolaccount in de Microsoft Authenticator-app kan worden ingeschakeld voor telefonisch aanmelden.

Notitie

Apparaatregistratie is niet hetzelfde als apparaatbeheer of MDM (Mobile Device Management). Apparaatregistratie koppelt alleen een apparaat-id en een gebruikers-id aan elkaar in de Azure AD-directory.

Volgende stappen

Zie de volgende artikelen voor meer informatie over Azure AD-verificatie en methoden zonder wachtwoord: