Delen via

Wat is Microsoft Entra-verificatie?

  • Artikel

Een van de belangrijkste functies van een identiteitsplatform is het verifiëren of authenticerenvan inloggegevens wanneer een gebruiker zich aanmeldt bij een apparaat, applicatie of service. In Microsoft Entra ID omvat verificatie meer dan alleen de verificatie van een gebruikersnaam en wachtwoord. Microsoft Entra-verificatie omvat de volgende onderdelen om de beveiliging te verbeteren en de hulp bij de helpdesk te verminderen:

  • Zelfbediening voor wachtwoordherstel
  • Meervoudige verificatie van Microsoft Entra
  • Hybride integratie om wachtwoordwijzigingen terug te schrijven naar een on-premises omgeving
  • Hybride integratie voor het afdwingen van beleid voor wachtwoordbeveiliging voor een on-premises omgeving
  • Verificatie zonder wachtwoord

Bekijk onze korte video voor meer informatie over deze verificatieonderdelen.

De eindgebruikerservaring verbeteren

Microsoft Entra ID helpt bij het beveiligen van de identiteit van een gebruiker en het vereenvoudigen van hun aanmeldingservaring. Met functies zoals selfservice voor wachtwoordherstel kunnen gebruikers hun wachtwoorden bijwerken of wijzigen met behulp van een webbrowser vanaf elk apparaat. Deze functie is vooral handig wanneer de gebruiker zijn wachtwoord is vergeten of zijn account is vergrendeld. Zonder te wachten op een helpdesk of beheerder om ondersteuning te bieden, kan een gebruiker zichzelf deblokkeren en blijven werken.

Met Meervoudige verificatie van Microsoft Entra kunnen gebruikers een extra vorm van verificatie kiezen tijdens het aanmelden, zoals een telefoongesprek of een melding van mobiele apps. Deze mogelijkheid vermindert de vereiste voor één vaste vorm van secundaire verificatie, zoals een hardwaretoken. Als de gebruiker momenteel geen vorm van extra verificatie heeft, kan deze een andere methode kiezen en blijven werken.

verificatiemethoden die worden gebruikt op het aanmeldingsscherm

Met verificatie zonder wachtwoord hoeft de gebruiker helemaal geen beveiligd wachtwoord te maken en te onthouden. Met mogelijkheden zoals Windows Hello voor Bedrijven of FIDO2-beveiligingssleutels kunnen gebruikers zich aanmelden bij een apparaat of toepassing zonder een wachtwoord. Deze mogelijkheid kan de complexiteit van het beheren van wachtwoorden in verschillende omgevingen verminderen.

Selfservice voor wachtwoordherstel

Selfservice voor wachtwoordherstel biedt gebruikers de mogelijkheid om hun wachtwoord te wijzigen of opnieuw in te stellen, zonder tussenkomst van de beheerder of helpdesk. Als het account van een gebruiker is vergrendeld of als hij of zij zijn wachtwoord vergeet, kan hij of zij de aanwijzingen volgen om zichzelf te deblokkeren en weer aan het werk te gaan. Deze mogelijkheid vermindert het aantal helpdeskgesprekken en het verlies van productiviteit wanneer een gebruiker zich niet kan aanmelden bij het apparaat of een toepassing.

Zelfbediening voor wachtwoordherstel werkt in de volgende scenario's:

  • wachtwoord wijzigen: wanneer een gebruiker het wachtwoord kent, maar het wachtwoord wil wijzigen in iets nieuws.
  • wachtwoord opnieuw instellen: wanneer een gebruiker zich niet kan aanmelden, bijvoorbeeld wanneer het wachtwoord is vergeten en het wachtwoord opnieuw wil instellen.
  • account ontgrendelen: wanneer een gebruiker zich niet kan aanmelden omdat zijn of haar account is vergrendeld en zijn of haar account wil ontgrendelen.

Wanneer een gebruiker het wachtwoord bijwerkt of opnieuw instelt met selfservice wachtwoordreset, kan het wachtwoord ook worden teruggeschreven naar een on-premises Active Directory-omgeving. Wachtwoordterugschrijven zorgt ervoor dat een gebruiker onmiddellijk zijn bijgewerkte referenties kan gebruiken voor lokale apparaten en toepassingen.

Meervoudige verificatie van Microsoft Entra

Meervoudige verificatie is een proces waarbij een gebruiker tijdens het aanmeldingsproces wordt gevraagd om een extra vorm van identificatie, zoals het invoeren van een code op hun mobiele telefoon of het geven van een vingerafdrukscan.

Als u alleen een wachtwoord gebruikt om een gebruiker te verifiëren, blijft er een onveilige vector achter voor aanvallen. Als het wachtwoord zwak is of ergens anders is weergegeven, is het echt de gebruiker die zich aanmeldt met de gebruikersnaam en het wachtwoord, of is het een aanvaller? Wanneer u een tweede vorm van verificatie nodig hebt, wordt de beveiliging verhoogd omdat deze extra factor niet iets is dat een aanvaller gemakkelijk kan verkrijgen of dupliceren.

Conceptuele afbeelding van de verschillende vormen van meervoudige verificatie

Microsoft Entra multi-factor authentication werkt door twee of meer van de volgende verificatiemethoden te vereisen:

  • Iets wat u weet, meestal een wachtwoord.
  • Iets dat u hebt, zoals een vertrouwd apparaat dat niet eenvoudig kan worden gedupliceerd, zoals een telefoon of hardwaresleutel.
  • Iets wat u bent: biometrie zoals een vingerafdruk of gezichtsscan.

Gebruikers kunnen zich in één stap registreren voor zowel selfservice voor wachtwoordherstel als Microsoft Entra-meervoudige verificatie om de onboarding-ervaring te vereenvoudigen. Beheerders kunnen definiëren welke vormen van secundaire verificatie kunnen worden gebruikt. Microsoft Entra meervoudige verificatie kan ook vereist zijn wanneer gebruikers een selfservice voor wachtwoordherstel uitvoeren om dat proces verder te beveiligen.

Wachtwoordbeveiliging

Standaard blokkeert Microsoft Entra ID zwakke wachtwoorden, zoals Password1. Een wereldwijde lijst met verboden wachtwoorden, die bekende zwakke wachtwoorden bevat, wordt automatisch bijgewerkt en afgedwongen. Als een Microsoft Entra-gebruiker probeert zijn wachtwoord in te stellen op een van deze zwakke wachtwoorden, ontvangen ze een melding om een veiliger wachtwoord te kiezen.

Als u de beveiliging wilt verbeteren, kunt u aangepast wachtwoordbeveiligingsbeleid definiëren. Deze beleidsregels kunnen filters gebruiken om elke variatie van een wachtwoord met een naam zoals Contoso- of een locatie zoals Londente blokkeren, bijvoorbeeld.

Voor hybride beveiliging kunt u Microsoft Entra-wachtwoordbeveiliging integreren met een on-premises Active Directory-omgeving. Een onderdeel dat in de on-premises omgeving is geïnstalleerd, ontvangt de algemene lijst met verboden wachtwoorden en aangepaste beleidsregels voor wachtwoordbeveiliging van Microsoft Entra-id en domeincontrollers gebruiken deze om gebeurtenissen voor wachtwoordwijziging te verwerken. Deze hybride benadering zorgt ervoor dat, ongeacht hoe of waar een gebruiker zijn aanmeldgegevens wijzigt, je het gebruik van sterke wachtwoorden afdwingt.

Verificatie zonder wachtwoord

Het einddoel voor veel omgevingen is het verwijderen van het gebruik van wachtwoorden als onderdeel van aanmeldingsgebeurtenissen. Functies zoals Azure-wachtwoordbeveiliging of Meervoudige verificatie van Microsoft Entra helpen de beveiliging te verbeteren, maar een gebruikersnaam en wachtwoord blijven een zwakke vorm van verificatie die kan worden blootgesteld of aangevallen.

Beveiliging versus gemak met het verificatieproces dat leidt tot wachtwoordloze

Wanneer u zich aanmeldt met een methode zonder wachtwoord, worden referenties verstrekt met behulp van methoden zoals biometrie met Windows Hello voor Bedrijven of een FIDO2-beveiligingssleutel. Deze verificatiemethoden kunnen niet eenvoudig worden gedupliceerd door een aanvaller.

Microsoft Entra ID biedt manieren om systeemeigen verificatie uit te voeren met behulp van methoden zonder wachtwoord om de aanmeldingservaring voor gebruikers te vereenvoudigen en het risico op aanvallen te verminderen.

Volgende stappen

Om aan de slag te gaan, zie de zelfstudie voor selfservice-wachtwoordherstel (SSPR) en Microsoft Entra multifactor authentication .

Zie Hoe de zelfbediening voor wachtwoordherstel van Microsoft Entra werktvoor meer informatie over de concepten van zelfbediening voor wachtwoordherstel.

Zie Hoe meervoudige verificatie werkt met Microsoft Entravoor meer informatie over meervoudige verificatieconcepten.