Meervoudige verificatie in externe tenants
Van toepassing op:
Externe tenants
van werknemers (meer informatie)
Meervoudige verificatie (MFA) voegt een beveiligingslaag toe aan uw toepassingen door gebruikers een tweede methode te vereisen voor het verifiëren van hun identiteit tijdens het registreren of aanmelden. Externe tenants ondersteunen twee methoden voor verificatie als een tweede factor:
- Eenmalige wachtwoordcode per e-mail verzenden
- Verificatie op basis van sms, beschikbaar als een invoegtoepassing (zie details).
Het afdwingen van MFA verbetert de beveiliging van uw organisatie door een extra verificatielaag toe te voegen, waardoor het moeilijker wordt voor onbevoegde gebruikers om toegang te krijgen.
Een MFA-beleid maken
In een externe tenant kunt u voorwaardelijke toegang van Microsoft Entra gebruiken om een beleid te maken waarmee gebruikers om MFA wordt gevraagd wanneer ze zich registreren of zich aanmelden bij uw app. U maakt dit beleid in het Microsoft Entra-beheercentrum onder Voorwaardelijke toegang in de sectie Beveiliging. U kunt opgeven op welke gebruikers en groepen het beleid van toepassing is, inclusief alle gebruikers en het uitsluiten van toegang tot noodgevallen of accounts voor break-glass.
In het beleid definieert u de toepassingen waarvoor MFA is vereist. U kunt het beleid toepassen op alle cloud-apps of specifieke apps selecteren, terwijl u toepassingen waarvoor geen MFA is vereist, wordt uitgesloten. Vervolgens configureert u het beleid om alleen toegang te verlenen als gebruikers aan de MFA-vereiste voldoen.
Zie voor meer informatie hoe u een beleid voor voorwaardelijke toegang maakt in een externe tenant.
MFA-methoden inschakelen
Wanneer u opties voor id-providers in uw gebruikersstromen selecteert, definieert u de eerste-factor authentication-methoden voor registratie en aanmelding. Tweedeledige verificatiemethoden voor MFA worden geconfigureerd in een afzonderlijke sectie van het Microsoft Entra-beheercentrum, onder Verificatiemethoden in de sectie Beveiliging .
Afhankelijk van de optie die u als eerste factor kiest, zijn er verschillende verificatiemethoden voor de tweede factor beschikbaar voor meervoudige verificatie (MFA).
- e-mail met wachtwoord- en externe id-providers: voor een van deze eerste-factormethoden kunt u eenmalige wachtwoordcode, sms of beide als verificatiemethoden voor tweede factor inschakelen voor MFA.
- Eenmalige wachtwoordcode voor e-mail verzenden: wanneer e-mail met eenmalige wachtwoordcode is geselecteerd als de methode voor verificatie met de eerste factor, kan deze niet worden gebruikt voor verificatie met een tweede factor. Daarom kan alleen verificatie op basis van sms worden ingeschakeld voor MFA.
Zie hoe u MFA-methoden inschakelt in een externe tenant voor meer informatie.
Eenmalige wachtwoordcode per e-mail verzenden
Verificatie van eenmalige wachtwoordcode per e-mail is beschikbaar in een externe tenant als een verificatiemethode voor de eerste en tweede factor. Als u het gebruik van eenmalige wachtwoordcodes voor e-mail voor MFA wilt toestaan, moet de verificatiemethode voor uw lokale account zijn ingesteld op E-mail met wachtwoord. Als u e-mail kiest met eenmalige wachtwoordcode, kunnen klanten die deze methode gebruiken voor primaire aanmelding, deze niet gebruiken voor secundaire MFA-verificatie.
Wanneer eenmalige wachtwoordcode voor e-mail is ingeschakeld voor MFA, meldt de gebruiker zich aan met de primaire aanmeldingsmethode en ontvangt deze een melding dat er een code naar het e-mailadres van de gebruiker wordt verzonden. De gebruiker kiest ervoor om de code te verzenden, de wachtwoordcode op te halen uit het Postvak IN van het e-mailbericht en deze in te voeren in het aanmeldingsvenster. De gebruiker moet dit verificatieproces binnen 10 minuten voltooien.
Verificatie op basis van sms
SMS is beschikbaar tegen extra kosten voor tweede-factor verificatie in externe tenants. Sms is momenteel niet beschikbaar voor first-factor authentication of selfservice voor wachtwoordherstel in externe tenants.
Wanneer SMS is ingeschakeld voor MFA, melden gebruikers zich aan met hun primaire methode en wordt ze gevraagd hun identiteit te verifiëren met een code die via tekst wordt verzonden. Ze voeren hun telefoonnummer in en ontvangen een sms met de verificatiecode.
Met externe id worden frauduleuze aanmeldingen en aanmeldingen via sms beperkt door de volgende maatregelen af te dwingen:
- Beperkingslimieten voor telefonie helpen storingen en vertragingen te voorkomen. Zie Servicelimieten en -beperkingen.
- CAPTCHA voor SMS MFA helpt geautomatiseerde aanvallen te voorkomen door menselijke gebruikers te onderscheiden van geautomatiseerde bots. Als er een riskante gebruiker wordt gedetecteerd, blokkeren we dat de gebruiker zich aanmeldt of vraagt de gebruiker om een CAPTCHA te voltooien voordat een sms-verificatiecode wordt verzonden.
Sms-prijscategorieën per land/regio
De volgende tabel bevat informatie over de verschillende prijscategorieën voor verificatieservices op basis van SMS in verschillende landen of regio's. Zie Microsoft Entra Externe ID prijzen voor meer informatie over prijzen.
SMS is een invoegtoepassingsfunctie en vereist een gekoppeld abonnement. Als uw abonnement verloopt of wordt geannuleerd, kunnen eindgebruikers zich niet meer verifiëren via sms, waardoor ze zich mogelijk niet meer kunnen aanmelden, afhankelijk van uw MFA-beleid.
| Laag | Landen/regio's |
|---|---|
| Lage kosten voor telefoonverificatie | Australië, Brazilië, Brunei, Canada, Chili, China, Colombia, Cyprus, Noord-Macedonië, Polen, Portugal, Zuid-Korea, Thailand, Türktürk, Verenigde Staten |
| Telefoonverificatie mid low cost | Groenland, Albanië, Amerikaans Samoa, Oostenrijk, Bahama's, Maleisië, Bosnië & Herzegovina, Botswana, Costa Rica, Tsjechië, Denemarken, Estland, Faeröer, Finland, Frankrijk, Griekenland, Hongkong SAR, Hongarije, IJsland, Ierland, Italië, Japan, Letland, Litouwen, Luxemburg, Macao SAR, Malta, Mexico, Micronesia, Moldavië, Namibië, Nieuw-Zeeland, Nicaragua, Noorwegen, Roemenië, São Tomé en Príncipe, Republiek Singapore, Slowakije, Salomonseilanden, Spanje, Zweden, Zwitserland, Taiwan, Verenigd Koninkrijk, Verenigde Staten Maagdeneilanden, Uruguay |
| Gemiddelde kosten voor telefoonverificatie | Andorra, Angola, Anguilla, Antarctica, Antigua en Barbuda, Argentinië, Armenië, Aruba,Scales, België, Benin, Bolivia, Bonaire, Curaçao, Saba, Sint Eustatius en Sint Maarten, Britse Maagdeneilanden, Bulgarije, Rica, Kameroen, Republikeinse Eilanden, Centraal-Afrikaanse Republiek, Cookeilanden, Côte d'Ivoire, Kroatië, Diego Garcia,Chat, Dominicaanse Republiek, Dominicaanse Republiek, Ecuador, El Salvador, Falklandeilanden, Fiche, Frans-Guiana, Frans-Polynesië, Gambia, Georgië, Duitsland, Gibraltar, Grenada, Microsoft, Guam, Guinea, Guinea, Guinea, Honduras, India, Kenia, Kiribati, Laos, Intune, Maleisië, Marshalleilanden, Foreste, Mauritius, Monaco, Montenegro, Netherlands, New Caledonia, Niue, Oman, Palau, Panama, Paraguay, Peru, Puerto Rico, Puerto Rico, Puerto Rico, Réunion, Rwanda, Saint Helena, Hemelvaart en Tristan de Cunha, Saint Kitts & Nevis, Saint Lucia, Saint Pierre & Miquelon, Saint Vincent en de Grenadines, Saipan, Samoa, San Marino, Saoedi-Arabië, Sint Maarten, Slovenië, Zuid-Afrika, Zuid-Soedan, Suriname, Swaziland (Nieuwe naam is Koninkrijk van Eswatini), Timor-Leste, Tokelau, Tonga, Turks & Caicos, Tuvalu, Verenigde Arabische Emiraten, Vanuatu, Venezuela, Vietnam, Wallis en Futuna |
| Hoge kosten voor telefoonverificatie | Liechtenstein, Bermuda, Cabo Verde, Cambodja, Democratische Republiek Congo, Dominica, Egypte, Equatoriaal Guinea, Ghana, Guatemala, Guinea-Bissau, Israël, Jamaica, Jamaica, Kosovo, Lesotho, Malediven, Mali, Mauritan, Marokko, Mozambique, Papoea-Nieuw-Guinea, Filippijnen, Qatar, Sierra Leone, Trinidad & Tobago, Oekraïne, Zimbabwe, Afghanistan, Algerije, Pakistan, Bangladesh, Bangladesh, Israël, Chad, Comoren, Congo, Ethiopië, Gabonese Republiek, Haïti, Indonesië, Irak, Jordanië, Jordanië, Koeweit, Kirgizië, Libanon, Libië, Madagaskar, Bangladesh, Mongolië, Myanmar, Nauru, Nepal, Nepal, Nigeria, Pakistan, Palestijnse Nationale Autoriteit, Rusland, Senegal, Servië, Somalië, Sri Lanka, Soedan, Tadzjikistan, Tanzania, Togolese Republiek, Tunesië, Turkmenistan, Oeganda, Oeganda, Jemenistan, Jemenië, Tanzania |
Opt-in-regio's voor SMS
Vanaf januari 2025 worden bepaalde landcodes standaard gedeactiveerd voor sms-verificatie. Als u verkeer van gedeactiveerde regio's wilt toestaan, moet u deze activeren voor uw toepassing met behulp van het Microsoft Graph-beleid onPhoneMethodLoadStartevent . Zie Regio's waarvoor aanmelding is vereist voor sms-verificatie.