Gebruikersaanmeldingen bij uw Microsoft 365-Tenant beveiligenSecure user sign-ins to your Microsoft 365 tenant

Om de beveiliging van gebruikersaanmeldingen te vergroten:To increase the security of user sign-ins:

  • Windows Hello voor Bedrijven gebruikenUse Windows Hello for Business
  • Wachtwoordbeveiliging van Azure Active Directory (Azure AD) gebruikenUse Azure Active Directory (Azure AD) Password Protection
  • Meervoudige verificatie (MFA) gebruikenUse multi-factor authentication (MFA)
  • Configuratie van identiteiten en apparaattoegang implementerenDeploy identity and device access configurations
  • Beschermen tegen inbreuk op referenties met Azure AD Identity ProtectionProtect against credential compromise with Azure AD Identity Protection

Windows Hello voor BedrijvenWindows Hello for Business

Windows Hello voor Bedrijven in Windows 10 Enterprise vervangt wachtwoorden met sterke tweeledige verificatie bij het ondertekenen op een Windows-apparaat.Windows Hello for Business in Windows 10 Enterprise replaces passwords with strong two-factor authentication when signing on a Windows device. De twee factoren zijn een nieuw type gebruikersreferentie dat is gekoppeld aan een apparaat en een biometrisch kenmerk of een pincode.The two factors are a new type of user credential that is tied to a device and a biometric or PIN.

Zie Overzicht Windows Hello voor Bedrijvenvoor meer informatie.For more information, see Windows Hello for Business Overview.

Azure AD-wachtwoordbeveiligingAzure AD Password Protection

Azure AD-wachtwoordbeveiliging detecteert en blokkeert bekende zwakke wachtwoorden en hun varianten, en kan ook aanvullende zwakke termen blokkeren die specifiek zijn voor uw organisatie.Azure AD Password Protection detects and blocks known weak passwords and their variants and can also block additional weak terms that are specific to your organization. Standaardlijsten met verboden wachtwoorden worden automatisch toegepast op alle gebruikers in een Azure AD-tenant.Default global banned password lists are automatically applied to all users in an Azure AD tenant. U kunt aanvullende vermeldingen definiëren in een aangepaste lijst met geblokkeerde wachtwoorden.You can define additional entries in a custom banned password list. Als gebruikers hun wachtwoord wijzigen of opnieuw instellen, worden deze verboden wachtwoordlijsten ingeschakeld om het gebruik van sterke wachtwoorden af te dwingen.When users change or reset their passwords, these banned password lists are checked to enforce the use of strong passwords.

Zie Azure AD-wachtwoordbeveiliging configurerenvoor meer informatie.For more information, see Configure Azure AD password protection.

MFAMFA

Bij MFA is er voor gebruikersaanmeldingen extra verificatie naast het wachtwoord voor het gebruikersaccount nodig.MFA requires that user sign-ins be subject to an additional verification beyond the user account password. Zelfs als kwaadwillende gebruikers het wachtwoord voor een gebruikersaccount achterhalen, moeten ze ook kunnen reageren op de extra verificatie, zoals een sms die naar een smartphone wordt gestuurd voordat er toegang wordt verleend.Even if a malicious user determines a user account password, they must also be able to respond to an additional verification, such as a text message sent to a smartphone before access is granted.

Het juiste wachtwoord plus een extra verificatie resulteert in een geslaagde aanmelding

De eerste stap voor het gebruik van MFA is om het voor alle beheerdersaccounts te gebruiken, ook wel geprivilegieerde accounts genoemd.Your first step in using MFA is to require it for all administrator accounts, also known as privileged accounts.

Daarnaast raadt Microsoft MFA aan voor alle gebruikers.Beyond this first step, Microsoft recommends MFA For all users.

Er zijn drie manieren waarop u uw gebruikers kunt verplichten MFA te gebruiken op basis van uw Microsoft 365-abonnement.There are three ways to require your administrators or users to use MFA based on your Microsoft 365 plan.

AbonnementPlan AanbevelingRecommendation
Alle Microsoft 365-abonnementen (zonder Azure AD Premium P1- of P2-licenties)All Microsoft 365 plans (without Azure AD Premium P1 or P2 licenses) Schakel standaardinstellingen voor beveiliging in Azure AD in.Enable Security defaults in Azure AD. De standaardinstellingen voor beveiliging in Azure AD omvatten MFA voor gebruikers en beheerders.Security defaults in Azure AD include MFA for users and administrators.
Microsoft 365 E3 (bevat Azure AD Premium P1-licenties)Microsoft 365 E3 (includes Azure AD Premium P1 licenses) Gebruik algemeen beleid voor voorwaardelijke toegang om het volgende beleid te configureren:Use Common Conditional Access policies to configure the following policies:
- MFA vereisen voor beheerders- Require MFA for administrators
- MFA vereisen voor alle gebruikers- Require MFA for all users
- Verouderde verificatie blokkeren- Block legacy authentication
Microsoft 365 E5 (bevat Azure AD Premium P2-licenties)Microsoft 365 E5 (includes Azure AD Premium P2 licenses) Als u gebruikmaakt van Azure AD Identity Protection, begint u het implementeren van de aanbevolen set beleidsregels voor voorwaardelijke toegang en verwante beleidsregels van Microsoft door de volgende twee beleidsregels te maken:Taking advantage of Azure AD Identity Protection, begin to implement Microsoft's recommended set of conditional access and related policies by creating these two policies:
- MFA vereisen bij een normaal of hoog risico bij het aanmelden- Require MFA when sign-in risk is medium or high
- Gebruikers met een hoog risico moeten het wachtwoord wijzigen- High risk users must change password

Standaardinstellingen voor beveiligingSecurity defaults

De standaardinstellingen voor beveiliging zijn een nieuwe functie voor betaalde Microsoft 365- en Office 365-abonnementen en proefabonnementen van Microsoft 365 en Office 365 die zijn gemaakt na 21 oktober 2019.Security defaults is a new feature for Microsoft 365 and Office 365 paid or trial subscriptions created after October 21, 2019. Bij deze abonnementen zijn de standaardinstellingen voor beveiliging ingeschakeld waarmee al uw gebruikers MFA met de Microsoft Authenticator-app moeten gebruiken.These subscriptions have security defaults turned on, which requires all of your users to use MFA with the Microsoft Authenticator app.

Gebruikers hebben 14 dagen de tijd om zich te registreren voor MFA met de Microsoft Authenticator-app vanaf hun smartphone. Deze periode gaat in bij de eerste aanmelding nadat de standaardinstellingen voor beveiliging zijn ingeschakeld.Users have 14 days to register for MFA with the Microsoft Authenticator app from their smart phones, which begins from the first time they sign in after security defaults has been enabled. Na 14 dagen kunnen gebruikers zich alleen aanmelden als de MFA-registratie is voltooid.After 14 days have passed, the user won't be able to sign in until MFA registration is completed.

De standaardinstellingen voor beveiliging bieden organisaties een basisbeveiligingsniveau voor gebruikersaanmeldingen dat standaard is ingeschakeld.Security defaults ensure that all organizations have a basic level of security for user sign-in that is enabled by default. U kunt de standaardinstellingen voor beveiliging uitschakelen ten gunste van MFA met voorwaardelijk toegangsbeleid of voor afzonderlijke accounts.You can disable security defaults in favor of MFA with Conditional Access policies or for individual accounts.

Zie het overzicht van standaardinstellingen voor beveiliging voor meer informatie.For more information, see the overview of security defaults.

Beleidsregels voor voorwaardelijke toegangConditional Access policies

Beleidsregels voor voorwaardelijke toegang zijn regels waarmee wordt aangegeven wanneer aanmeldingen worden beoordeeld en toegestaan.Conditional Access policies are a set of rules that specify the conditions under which sign-ins are evaluated and access is granted. U kunt bijvoorbeeld een toegangsbeleid met de volgende voorwaarden maken:For example, you can create a Conditional Access policy that states:

  • Als de naam van het gebruikersaccount lid is van een groep gebruikers die is toegewezen aan een Exchange-, gebruikers-, wachtwoord-, beveiligings-, SharePoint- of globale beheerdersrol, wordt MFA vereist om toegang te verlenen.If the user account name is a member of a group for users that are assigned the Exchange, user, password, security, SharePoint, or global administrator roles, require MFA before allowing access.

Met dit beleid kunt u MFA op basis van groepslidmaatschap vereisen in plaats van dat u afzonderlijke gebruikersaccounts voor MFA gaat configureren wanneer deze worden toegewezen (of als de toewijzing ongedaan wordt gemaakt) vanuit deze beheerdersrollen.This policy allows you to require MFA based on group membership, rather than trying to configure individual user accounts for MFA when they are assigned or unassigned from these administrator roles.

U kunt beleidsregels voor voorwaardelijke toegang ook gebruiken voor meer geavanceerde mogelijkheden, zoals vereisen dat de aanmelding wordt uitgevoerd vanaf een compatibel apparaat, zoals uw laptop met Windows 10.You can also use Conditional Access policies for more advanced capabilities, such as requiring that the sign-in is done from a compliant device, such as your laptop running Windows 10.

Voor voorwaardelijke toegang zijn Azure AD Premium P1-licenties vereist, die deel uitmaken van Microsoft 365 E3 en E5.Conditional Access requires Azure AD Premium P1 licenses, which are included with Microsoft 365 E3 and E5.

Zie het overzicht van voorwaardelijke toegang voor meer informatie.For more information, see the overview of Conditional Access.

Deze methoden samen gebruikenUsing these methods together

Houd het volgende in gedachten:Keep the following in mind:

  • U kunt geen standaardinstellingen voor beveiliging inschakelen als er beleidsregels voor voorwaardelijke toegang zijn ingeschakeld.You cannot enable security defaults if you have any Conditional Access policies enabled.
  • Het is niet mogelijk om beleidsregels voor voorwaardelijke toegang in te schakelen als er standaardinstellingen voor beveiliging zijn ingeschakeld.You cannot enable any Conditional Access policies if you have security defaults enabled.

Als de standaardinstellingen voor beveiliging zijn ingeschakeld, moeten alle nieuwe gebruikers zich voor MFA registreren en de Microsoft Authenticator-app gebruiken.If security defaults are enabled, all new users are prompted for MFA registration and the use of the Microsoft Authenticator app.

In deze tabel ziet u de resultaten na het inschakelen van MFA met de standaardinstellingen voor beveiliging en het beleid voor voorwaardelijke toegang.This table shows the results of enabling MFA with security defaults and Conditional Access policies.

MethodeMethod IngeschakeldEnabled UitgeschakeldDisabled Extra verificatiemethodeAdditional authentication method
Standaardinstellingen voor beveiligingSecurity defaults Kan geen beleid voor voorwaardelijke toegang gebruikenCan’t use Conditional Access policies Kan beleid voor voorwaardelijke toegang gebruikenCan use Conditional Access policies De Microsoft Authenticator-appMicrosoft Authenticator app
Beleidsregels voor voorwaardelijke toegangConditional Access policies Als er een of meer zijn ingeschakeld, kunt u de standaardinstellingen voor beveiliging niet inschakelenIf any are enabled, you can’t enable security defaults Als ze allemaal zijn uitgeschakeld, kunt u de standaardinstellingen voor beveiliging inschakelenIf all are disabled, you can enable security defaults Opgeven door gebruiker tijdens MFA-registratieUser specifies during MFA registration

Configuratie van identiteiten en apparaattoegangIdentity and device access configurations

Instellingen en beleid voor identiteiten en apparaattoegang zijn aanbevolen vereiste functies. Hun instellingen in combinatie met voorwaardelijke toegang, Intune en Azure AD Identity Protection-beleidsregels bepalen of een bepaald toegangsverzoek moet worden verleend en onder welke voorwaarden.Identity and device access settings and policies are recommended prerequisite features and their settings combined with Conditional Access, Intune, and Azure AD Identity Protection policies that determine whether a given access request should be granted and under what conditions. Deze bepaling is gebaseerd op het gebruikersaccount van de login, het apparaat dat wordt gebruikt, de app die de gebruiker gebruikt voor toegang, de locatie van waaruit het toegangsverzoek is gedaan en een beoordeling van het risico van de aanvraag.This determination is based on the user account of the sign-in, the device being used, the app the user is using for access, the location from which the access request is made, and an assessment of the risk of the request. Op deze manier zorgt u ervoor dat alleen goedgekeurde gebruikers en apparaten toegang hebben tot uw belangrijke bronnen.This capability helps ensure that only approved users and devices can access your critical resources.

Notitie

Voor Azure AD Identity Protection zijn Azure AD Premium P2-licenties vereist, die deel uitmaken van Microsoft 365 E5.Azure AD Identity Protection requires Azure AD Premium P2 licenses, which are included with Microsoft 365 E5.

Beleid voor identiteiten en apparaattoegang is gedefinieerd voor gebruik in drie lagen:Identity and device access policies are defined to be used in three tiers:

  • Basisbescherming is een minimum beveiligingsniveau voor uw identiteiten en apparaten die toegang hebben tot uw apps en gegevens.Baseline protection is a minimum level of security for your identities and devices that access your apps and data.
  • Gevoelige bescherming biedt extra beveiliging geboden voor specifieke gegevens.Sensitive protection provides additional security for specific data. Identiteiten en apparaten zijn onderhevig aan hogere niveaus van beveiliging en gezondheidseisen voor apparaten.Identities and devices are subject to higher levels of security and device health requirements.
  • Bescherming voor omgevingen met sterk gereguleerde of geclassificeerde gegevens betreft doorgaans kleine hoeveelheden gegevens die zeer vertrouwelijk zijn, handelsgeheimen bevatten of onderworpen zijn aan gegevensregelgeving.Protection for environments with highly regulated or classified data is for typically small amounts of data that are highly classified, contain trade secrets, or is subject to data regulations. Identiteiten en apparaten zijn onderhevig aan veel hogere niveaus van beveiliging en gezondheidseisen voor apparaten.Identities and devices are subject to much higher levels of security and device health requirements.

Deze lagen en de bijbehorende configuraties bieden een consistent beveiligingsniveau van uw gegevens, identiteiten en apparaten.These tiers and their corresponding configurations provide consistent levels of protection across your data, identities, and devices.

Microsoft beveelt ten zeerste aan om het beleid voor identiteits- en toegangsbeleid te configureren en in uw organisatie in te stellen, waaronder specifieke instellingen voor Microsoft Teams, Exchange Online en SharePoint.Microsoft highly recommends configuring and rolling out identity and device access policies in your organization, including specific settings for Microsoft Teams, Exchange Online, and SharePoint. Zie voor meer informatie Configuraties van identiteiten en apparaattoegang.For more information, see Identity and device access configurations.

Azure AD Identity ProtectionAzure AD Identity Protection

In dit gedeelte leert u hoe u beleidsregels configureert die bescherming bieden tegen inbreuken op referenties, waarbij een kwaadwillende gebruiker een aanval uitvoert op de accountnaam en wachtwoord van een gebruiker om toegang te krijgen tot de cloudservices en gegevens van een organisatie.In this section, you'll learn how to configure policies that protect against credential compromise, where an attacker determines a user’s account name and password to gain access to an organization’s cloud services and data. Azure AD Identity Protection biedt verschillende manieren om te voorkomen dat een kwaadwillende gebruiker de referenties van een gebruikersaccount in gevaar kan brengen.Azure AD Identity Protection provides a number of ways to help prevent an attacker from compromising a user account's credentials.

Met Azure AD Identity Protection kunt u:With Azure AD Identity Protection, you can:

MogelijkheidCapability BeschrijvingDescription
Mogelijke beveiligingslekken in de identiteiten van uw organisatie vaststellen en verhelpenDetermine and address potential vulnerabilities in your organization’s identities Azure AD gebruikt machine learning om afwijkingen en verdachte activiteiten te detecteren, zoals aanmeldingen en activiteiten na aanmelding.Azure AD uses machine learning to detect anomalies and suspicious activity, such as sign-ins and post-sign-in activities. Met deze gegevens genereert Azure AD Identity Protection rapporten en waarschuwingen om u te helpen bij het evalueren van problemen en het ondernemen van actie. Using this data, Azure AD Identity Protection generates reports and alerts that help you evaluate the issues and take action.
Verdachte acties opsporen die zijn gerelateerd aan de identiteiten van uw organisatie en automatisch op deze acties reagerenDetect suspicious actions that are related to your organization’s identities and respond to them automatically U kunt beleidsregels met betrekking tot risicobeheer zodanig configureren dat deze automatisch reageren op opgespoorde problemen als een bepaald risiconiveau is bereikt.You can configure risk-based policies that automatically respond to detected issues when a specified risk level has been reached. Met deze beleidsregels kunt u, naast andere besturingselementen voor voorwaardelijke toegang die worden geboden door Azure AD en Microsoft Intune, de toegang automatisch blokkeren of corrigerende acties ondernemen, waaronder wachtwoordherstel en vereiste meervoudige verificatie in Azure AD voor volgende aanmeldingen.These policies, in addition to other Conditional Access controls provided by Azure AD and Microsoft Intune, can either automatically block access or take corrective actions, including password resets and requiring Azure AD Multi-Factor Authentication for subsequent sign-ins.
Verdachte incidenten onderzoeken en deze oplossen met beheertakenInvestigate suspicious incidents and resolve them with administrative actions U kunt risico gebeurtenissen onderzoeken door informatie over het beveiligingsincident te gebruiken.You can investigate risk events using information about the security incident. Er zijn eenvoudige werkstromen beschikbaar om onderzoek bij te houden en herstelbewerkingen uit te voeren, zoals het opnieuw instellen van wachtwoorden.Basic workflows are available to track investigations and initiate remediation actions, such as password resets.

Zie meer informatie over Azure AD Identity Protection.See more information about Azure AD Identity Protection.

Zie de stappen voor het inschakelen van de Azure AD Identity Protection.See the steps to enable Azure AD Identity Protection.

Technische informatiebronnen voor beheerders voor MFA en beveiligde aanmeldingenAdmin technical resources for MFA and secure sign-ins

Volgende stapNext step

Uw gebruikersaccounts beherenManage your user accounts