Zelfherstelervaring met Microsoft Entra ID-beveiliging en voorwaardelijke toegang
Met Microsoft Entra ID-beveiliging en voorwaardelijke toegang kunt u het volgende doen:
- Vereisen dat gebruikers zich registreren voor Meervoudige Verificatie van Microsoft Entra
- Herstel van riskante aanmeldingen en gecompromitteerde gebruikers automatiseren
- Blokkeer gebruikers in specifieke gevallen.
Beleid voor voorwaardelijke toegang waarmee gebruikers- en aanmeldingsrisico's worden geïntegreerd, hebben invloed op de aanmeldingservaring voor gebruikers. Het toestaan van gebruikers om tools zoals Microsoft Entra Meervoudige Verificatie en selfservice wachtwoordherstel te gebruiken, kan de impact verminderen. Deze hulpprogramma's bieden gebruikers, samen met de juiste beleidskeuzen, een optie voor zelfherstel wanneer ze deze nodig hebben, terwijl ze nog steeds sterke beveiligingscontroles afdwingen.
Registratie van meervoudige verificatie
Wanneer een beheerder het id-beveiligingsbeleid inschakelt waarvoor registratie van meervoudige verificatie van Microsoft Entra is vereist, kunnen gebruikers Microsoft Entra multifactor authentication gebruiken om zichzelf te herstellen. Als u dit beleid configureert, krijgen gebruikers een periode van 14 dagen om zich te registreren, waarna ze gedwongen worden zich te registreren.
Registratieonderbrek
Bij aanmelding bij een geïntegreerde Microsoft Entra-toepassing krijgt de gebruiker een melding over de vereiste om het account in te stellen voor meervoudige verificatie. Dit beleid wordt ook geactiveerd in de Windows Out of Box Experience voor nieuwe gebruikers met een nieuw apparaat.
Voer de begeleide stappen uit om u te registreren voor meervoudige verificatie van Microsoft Entra en u aan te melden.
Zelf risico's aanpakken
Wanneer een beheerder beleid voor voorwaardelijke toegang op basis van risico's configureert, worden betrokken gebruikers onderbroken wanneer ze het geconfigureerde risiconiveau bereiken. Als beheerders zelfreparatie met behulp van meerfactorverificatie toestaan, verschijnt dit proces voor een gebruiker als een normale meerfactorverificatieprompt.
Als de gebruiker meervoudige verificatie voltooit, wordt hun risico opgelost en kunnen ze zich aanmelden.
Als de gebruiker risico loopt, niet alleen de aanmelding, kunnen beheerders een beleid voor gebruikersrisico's in voorwaardelijke toegang configureren om een wachtwoordwijziging naast meervoudige verificatie te vereisen. In dat geval ziet de gebruiker het volgende extra scherm.
Risicovolle aanmelding gedeblokkeerd door beheerder
Beheerders kunnen gebruikers blokkeren bij aanmelding, afhankelijk van hun risiconiveau. Om de blokkering op te heffen, moeten gebruikers contact opnemen met hun IT-personeel of proberen zich aan te melden vanaf een vertrouwde locatie of apparaat. Zelfherstel is in dit geval geen optie.
IT-medewerkers kunnen de instructies volgen in Gebruikers deblokkeren om gebruikers toe te staan zich weer aan te melden.
Technicus met hoog risico
Als de thuistenant geen zelfherstelbeleid heeft ingeschakeld, moet een beheerder in de thuistenant van de technicus het risico herstellen. Voorbeeld:
- Een organisatie heeft een managed service provider (MSP) of cloud solution provider (CSP) die zorgt voor het configureren van hun cloudomgeving.
- Een van de referenties van MSP-technici wordt gelekt en veroorzaakt een hoog risico. Deze technicus kan zich niet aanmelden bij andere tenants.
- De technicus kan zelf problemen oplossen en zich aanmelden als de thuistenant de juiste beleidsregels heeft ingeschakeld die een wachtwoordwijziging vereisen voor gebruikers met een hoog risico of meervoudige verificatie (MFA) voor gebruikers met een hoog risico.
- Als de thuistenant geen zelfherstelbeleid heeft ingeschakeld, moet een beheerder in de thuistenant van de technicus het risico oplossen.