Multifactorauthenticatie in externe huurderomgevingen
Van toepassing op: 
Werknemers-tenants 
Externe tenants (meer informatie)
Meervoudige verificatie (MFA) voegt een beveiligingslaag toe aan uw toepassingen door gebruikers een tweede methode te vereisen voor het verifiëren van hun identiteit tijdens het registreren of aanmelden. Externe tenants ondersteunen twee methoden voor verificatie als een tweede factor:
- Eenmalige wachtwoordcode per e-mail verzenden
- Verificatie op basis van sms, beschikbaar als een invoegtoepassing (zie details).
Het afdwingen van MFA verbetert de beveiliging van uw organisatie door een extra verificatielaag toe te voegen, waardoor het moeilijker wordt voor onbevoegde gebruikers om toegang te krijgen.
Een MFA-beleid maken
In een externe tenant kunt u voorwaardelijke toegang van Microsoft Entra gebruiken om een beleid te maken waarmee gebruikers om MFA wordt gevraagd wanneer ze zich registreren of zich aanmelden bij uw app. U maakt dit beleid in het Microsoft Entra-beheercentrum onder Voorwaardelijke toegang in de sectie Beveiliging. U kunt opgeven op welke gebruikers en groepen het beleid van toepassing is, inclusief alle gebruikers en het uitsluiten van toegang tot noodgevallen of accounts voor break-glass.
In het beleid definieert u de toepassingen waarvoor MFA is vereist. U kunt het beleid toepassen op alle cloud-apps of specifieke apps selecteren, waarbij u toepassingen uitsluit waarvoor geen MFA is vereist. Vervolgens configureert u het beleid om alleen toegang te verlenen als gebruikers aan de MFA-vereiste voldoen.
Zie voor meer informatie hoe u een beleid voor voorwaardelijke toegang maakt in een externe tenant.
MFA-methoden inschakelen
Wanneer u opties voor id-providers in uw gebruikersstromen selecteert, definieert u de eerste-factor authentication-methoden voor registratie en aanmelding. Tweedeledige verificatiemethoden voor MFA worden geconfigureerd in een afzonderlijke sectie van het Microsoft Entra-beheercentrum, onder Verificatiemethoden in de sectie Beveiliging .
Afhankelijk van de optie die u als eerste factor kiest, zijn er verschillende verificatiemethoden voor de tweede factor beschikbaar voor meervoudige verificatie (MFA).
- e-mail met wachtwoord- en externe id-providers: voor een van deze eerste-factormethoden kunt u eenmalige wachtwoordcode, sms of beide als verificatiemethoden voor tweede factor inschakelen voor MFA.
- Eenmalige wachtwoordcode voor e-mail verzenden: wanneer e-mail met eenmalige wachtwoordcode is geselecteerd als de methode voor verificatie met de eerste factor, kan deze niet worden gebruikt voor verificatie met een tweede factor. Daarom kan alleen verificatie op basis van sms worden ingeschakeld voor MFA.
Zie hoe u MFA-methoden inschakelt in een externe tenant voor meer informatie.
Eenmalige wachtwoordcode per e-mail verzenden
Verificatie van eenmalige wachtwoordcode per e-mail is beschikbaar in een externe tenant als een verificatiemethode voor de eerste en tweede factor. Als u het gebruik van eenmalige wachtwoordcodes voor e-mail voor MFA wilt toestaan, moet de verificatiemethode voor uw lokale account zijn ingesteld op E-mail met wachtwoord. Als u e-mail kiest met eenmalige wachtwoordcode, kunnen klanten die deze methode gebruiken voor primaire aanmelding, deze niet gebruiken voor secundaire MFA-verificatie.
Wanneer eenmalige wachtwoordcode voor e-mail is ingeschakeld voor MFA, meldt de gebruiker zich aan met de primaire aanmeldingsmethode en ontvangt deze een melding dat er een code naar het e-mailadres van de gebruiker wordt verzonden. De gebruiker kiest ervoor om de code te ontvangen, haalt de code op uit hun e-mailinbox en voert deze in het aanmeldingsvenster in. De gebruiker moet dit verificatieproces binnen 10 minuten voltooien.
Verificatie op basis van sms
SMS is beschikbaar tegen extra kosten voor tweede factor authenticatie bij externe huurders. SMS is momenteel niet beschikbaar voor eerste-factor authenticatie of zelfservice wachtwoordherstel in externe tenants.
Wanneer SMS is ingeschakeld voor MFA, melden gebruikers zich aan met hun primaire methode en wordt ze gevraagd hun identiteit te verifiëren met een code die via tekst wordt verzonden. Ze voeren hun telefoonnummer in en ontvangen een sms met de verificatiecode.
Externe ID gaat frauduleuze registraties en aanmeldingen via sms tegen door de volgende maatregelen toe te passen:
- Beperkingslimieten voor telefonie helpen storingen en vertragingen te voorkomen. Zie Servicelimieten en -beperkingen.
- CAPTCHA voor SMS MFA helpt geautomatiseerde aanvallen te voorkomen door menselijke gebruikers te onderscheiden van geautomatiseerde bots. Als er een riskante gebruiker wordt gedetecteerd, blokkeren we dat de gebruiker zich aanmeldt of vraagt de gebruiker om een CAPTCHA te voltooien voordat een sms-verificatiecode wordt verzonden.
Sms-prijscategorieën per land/regio
De volgende tabel bevat informatie over de verschillende prijscategorieën voor verificatieservices op basis van SMS in verschillende landen of regio's. Voor prijsdetails, zie Microsoft Entra Externe ID prijzen.
SMS is een invoegtoepassingsfunctie en vereist een gekoppeld abonnement. Als uw abonnement verloopt of wordt geannuleerd, kunnen eindgebruikers zich niet meer verifiëren via sms, waardoor ze zich mogelijk niet meer kunnen aanmelden, afhankelijk van uw MFA-beleid.
| Laag | Landen/Regio's |
|---|---|
| Lage kosten voor telefoonverificatie | Australië, Brazilië, Brunei, Canada, Chili, China, Colombia, Cyprus, Noord-Macedonië, Polen, Portugal, Zuid-Korea, Thailand, Türktürk, Verenigde Staten |
| Telefoonverificatie met redelijk lage kosten | Groenland, Albanië, Amerikaans Samoa, Oostenrijk, Bahama's, Maleisië, Bosnië & Herzegovina, Botswana, Costa Rica, Tsjechië, Denemarken, Estland, Faeröer, Finland, Frankrijk, Griekenland, Hongkong SAR, Hongarije, IJsland, Ierland, Italië, Japan, Letland, Litouwen, Luxemburg, Macao SAR, Malta, Mexico, Micronesia, Moldavië, Namibië, Nieuw-Zeeland, Nicaragua, Noorwegen, Roemenië, São Tomé en Príncipe, Republiek Singapore, Slowakije, Salomonseilanden, Spanje, Zweden, Zwitserland, Taiwan, Verenigd Koninkrijk, Verenigde Staten Maagdeneilanden, Uruguay |
| Gemiddelde tot hoge kosten voor telefoonverificatie | Andorra, Angola, Anguilla, Antarctica, Antigua en Barbuda, Argentinië, Armenië, Aruba, Barbados, België, Benin, Bolivia, Bonaire, Curaçao, Saba, Sint Eustatius en Sint Maarten, Britse Maagdeneilanden, Bulgarije, Burkina Faso, Kameroen, Kaaimaneilanden, Centraal-Afrikaanse Republiek, Cookeilanden, Côte d’Ivoire, Kroatië, Diego Garcia, Djibouti, Dominicaanse Republiek, Ecuador, El Salvador, Eritrea, Falklandeilanden, Fiji, Frans-Guyana, Frans-Polynesië, Gambia, Georgië, Duitsland, Gibraltar, Grenada, Guadeloupe, Guam, Guinee, Guyana, Honduras, India, Kenia, Kiribati, Laos, Liberia, Maleisië, Marshalleilanden, Martinique, Mauritius, Monaco, Montenegro, Montserrat, Nederland, Nieuw-Caledonië, Niue, Oman, Palau, Panama, Paraguay, Peru, Puerto Rico, Réunion, Rwanda, Sint-Helena, Ascension en Tristan da Cunha, Saint Kitts & Nevis, Saint Lucia, Saint Pierre & Miquelon, Saint Vincent en de Grenadines, Saipan, Samoa, San Marino, Saoedi-Arabië, Sint Maarten, Slovenië, Zuid-Afrika, Zuid-Soedan, Suriname, Swaziland (Nieuwe naam is Koninkrijk van Eswatini), Timor-Leste, Tokelau, Tonga, Turks- en Caicoseilanden, Tuvalu, Verenigde Arabische Emiraten, Vanuatu, Venezuela, Vietnam, Wallis en Futuna |
| Hoge kosten voor telefoonverificatie | Liechtenstein, Bermuda, Kaapverdië, Cambodja, Democratische Republiek Congo, Dominica, Egypte, Equatoriaal-Guinea, Ghana, Guatemala, Guinee-Bissau, Israël, Jamaica, Kosovo, Lesotho, Maldiven, Mali, Mauritanië, Marokko, Mozambique, Papoea-Nieuw-Guinea, Filipijnen, Qatar, Sierra Leone, Trinidad & Tobago, Oekraïne, Zimbabwe, Afghanistan, Algerije, Azerbeidzjan, Bangladesh, Wit-Rusland, Belize, Bhutan, Burundi, Tsjaad, Comoren, Congo, Ethiopië, Gabon, Haïti, Indonesië, Irak, Jordanië, Koeweit, Kirgizië, Libanon, Libië, Madagaskar, Malawi, Mongolië, Myanmar, Nauru, Nepal, Niger, Nigeria, Pakistan, Palestijnse Nationale Autoriteit, Rusland, Senegal, Servië, Somalië, Sri Lanka, Soedan, Tadzjikistan, Tanzania, Togolese Republiek, Tunesië, Turkmenistan, Oeganda, Oezbekistan, Jemen, Zambia |
Opt-in-regio's voor SMS
Vanaf januari 2025 worden bepaalde landcodes standaard gedeactiveerd voor sms-verificatie. Als u verkeer van gedeactiveerde regio's wilt toestaan, moet u deze activeren voor uw toepassing met behulp van het Microsoft Graph-beleid onPhoneMethodLoadStartevent . Zie Regio's waarvoor aanmelding is vereist voor sms-verificatie.