Verificatiemethoden voor Microsoft Entra-id beheren
Met Microsoft Entra ID kan een scala aan verificatiemethoden worden gebruikt ter ondersteuning van een groot aantal aanmeldingsscenario's. Beheerders kunnen elke methode specifiek configureren om te voldoen aan hun doelstellingen voor gebruikerservaring en beveiliging. In dit onderwerp wordt uitgelegd hoe u verificatiemethoden voor Microsoft Entra ID beheert en hoe configuratieopties van invloed zijn op scenario's voor gebruikersaanmelding en wachtwoordherstel.
Beleid voor verificatiemethoden
Het beleid voor verificatiemethoden is de aanbevolen manier om verificatiemethoden te beheren, waaronder moderne methoden zoals verificatie zonder wachtwoord. Beheerders van verificatiebeleid kunnen dit beleid bewerken om verificatiemethoden in te schakelen voor alle gebruikers of specifieke groepen.
Methoden die zijn ingeschakeld in het beleid voor verificatiemethoden, kunnen doorgaans overal in Microsoft Entra-id worden gebruikt voor scenario's voor verificatie en wachtwoordherstel. De uitzondering hierop is dat sommige methoden inherent beperkt zijn tot gebruik in verificatie, zoals FIDO2 en Windows Hello voor Bedrijven, en andere methoden zijn beperkt tot gebruik bij het opnieuw instellen van wachtwoorden, zoals beveiligingsvragen. Voor meer controle over welke methoden kunnen worden gebruikt in een bepaald verificatiescenario, kunt u overwegen de functie Sterke verificatie te gebruiken.
De meeste methoden hebben ook configuratieparameters om nauwkeuriger te bepalen hoe die methode kan worden gebruikt. Als u bijvoorbeeld spraakoproepen inschakelt, kunt u ook opgeven of een kantoortelefoon naast een mobiele telefoon kan worden gebruikt.
Of stel dat u verificatie zonder wachtwoord wilt inschakelen met Microsoft Authenticator. U kunt extra parameters instellen, zoals het weergeven van de aanmeldingslocatie van de gebruiker of de naam van de app waarmee wordt aangemeld. Deze opties bieden meer context voor gebruikers wanneer ze zich aanmelden en helpen onbedoelde MFA-goedkeuringen te voorkomen.
Als u het beleid voor verificatiemethoden wilt beheren, meldt u zich aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleidsbeheerder en bladert u naar> beleid voor beveiligingsverificatie.>
Alleen de geconvergeerde registratie-ervaring is op de hoogte van het beleid voor verificatiemethoden. Gebruikers binnen het bereik van het beleid voor verificatiemethoden, maar niet de geconvergeerde registratie-ervaring zien niet de juiste methoden om te registreren.
Verouderd MFA- en SSPR-beleid
Twee andere beleidsregels, die zich in multifactor-verificatie-instellingen en instellingen voor wachtwoordherstel bevinden, bieden een verouderde manier om bepaalde verificatiemethoden te beheren voor alle gebruikers in de tenant. U kunt niet bepalen wie een ingeschakelde verificatiemethode gebruikt of hoe de methode kan worden gebruikt.
Belangrijk
In maart 2023 hebben we aangekondigd dat het beheer van verificatiemethoden in het verouderde beleid voor meervoudige verificatie en selfservice voor wachtwoordherstel (SSPR) wordt afgeschaft. Vanaf 30 september 2025 kunnen verificatiemethoden niet worden beheerd in dit verouderde MFA- en SSPR-beleid. We raden klanten aan het handmatige migratiebeheer te gebruiken om te migreren naar het beleid voor verificatiemethoden op basis van de afschaffingsdatum.
Als u het verouderde MFA-beleid wilt beheren, bladert u naar Protection>Meervoudige verificatie>Aanvullende instellingen voor meervoudige verificatie in de cloud.
Als u verificatiemethoden voor selfservice wachtwoordherstel (SSPR) wilt beheren, bladert u naar Protection>Wachtwoord opnieuw instellen>Verificatiemethoden. Met de optie Mobiele telefoon in dit beleid kunnen spraakoproepen of sms-berichten worden verzonden naar een mobiele telefoon. Met de optie Office-telefoon kunnen alleen spraakoproepen worden toegestaan.
Hoe beleidsregels samenwerken
Instellingen worden niet gesynchroniseerd tussen het beleid, waardoor beheerders elk beleid onafhankelijk kunnen beheren. Microsoft Entra ID respecteert de instellingen in alle beleidsregels, zodat een gebruiker die is ingeschakeld voor een verificatiemethode in elk beleid deze methode kan registreren en gebruiken. Als u wilt voorkomen dat gebruikers een methode gebruiken, moet deze worden uitgeschakeld in alle beleidsregels.
Laten we eens een voorbeeld bekijken waarin een gebruiker die deel uitmaakt van de groep Accounting Microsoft Authenticator wil registreren. Het registratieproces controleert eerst het beleid voor verificatiemethoden. Als de groep Accounting is ingeschakeld voor Microsoft Authenticator, kan de gebruiker deze registreren.
Zo niet, dan controleert het registratieproces het verouderde MFA-beleid. In dit beleid kan elke gebruiker Microsoft Authenticator registreren als een van deze instellingen is ingeschakeld voor MFA:
- Melding via mobiele app
- Verificatiecode van mobiele app of hardwaretoken
Als de gebruiker Microsoft Authenticator niet kan registreren op basis van een van deze beleidsregels, controleert het registratieproces het verouderde SSPR-beleid. In dat beleid kan een gebruiker Microsoft Authenticator registreren als de gebruiker is ingeschakeld voor SSPR en een van deze instellingen is ingeschakeld:
- Meldingen via mobiele app
- Code via mobiele app
Voor gebruikers die zijn ingeschakeld voor mobiele telefoon voor SSPR, kan het onafhankelijke beheer tussen beleidsregels van invloed zijn op het aanmeldingsgedrag. Waar het andere beleid afzonderlijke opties voor sms-berichten en spraakoproepen heeft, schakelt de mobiele telefoon voor SSPR beide opties in. Als gevolg hiervan kan iedereen die mobiele telefoon gebruikt voor SSPR ook spraakoproepen gebruiken voor wachtwoordherstel, zelfs als het andere beleid geen spraakoproepen toestaat.
Laten we ook aannemen dat u Spraakoproepen voor een groep inschakelt. Nadat u dit hebt ingeschakeld, ziet u dat zelfs gebruikers die geen groepsleden zijn zich kunnen aanmelden met een spraakoproep. In dit geval zijn deze gebruikers waarschijnlijk ingeschakeld voor mobiele telefoon in het verouderde SSPR-beleid of bellen naar telefoon in het verouderde MFA-beleid.
Migratie tussen beleidsregels
Het beleid voor verificatiemethoden biedt een migratiehandleiding voor het samenvoegen van het beheer van alle verificatiemethoden. Alle gewenste methoden kunnen worden ingeschakeld in het beleid voor verificatiemethoden als het beleid is gericht op beoogde gebruikersgroepen of alle gebruikers. In de migratiehandleiding voor verificatiemethoden worden de stappen voor het controleren van uw huidige beleidsinstellingen voor MFA en SSPR geautomatiseerd en geconsolideerd in het beleid voor verificatiemethoden. U kunt de handleiding openen vanuit het Microsoft Entra-beheercentrum door te bladeren naar het beleid>>
U kunt beleidsinstellingen ook handmatig migreren. De migratie heeft drie instellingen waarmee u in uw eigen tempo kunt navigeren en problemen met aanmelden of SSPR tijdens de overgang kunt voorkomen.
Nadat de migratie is voltooid, kunnen methoden in het verouderde MFA- en SSPR-beleid worden uitgeschakeld. U kunt de controle over verificatiemethoden voor zowel aanmelding als SSPR op één plaats centraliseren, en het verouderde MFA- en SSPR-beleid wordt uitgeschakeld.
Notitie
Beveiligingsvragen kunnen momenteel alleen worden ingeschakeld met behulp van het verouderde SSPR-beleid. Als u beveiligingsvragen gebruikt en deze niet wilt uitschakelen, moet u ervoor zorgen dat ze zijn ingeschakeld in het verouderde SSPR-beleid totdat een migratiebeheer beschikbaar is. U kunt de rest van uw verificatiemethoden migreren en nog steeds beveiligingsvragen beheren in het verouderde SSPR-beleid.
Als u de migratieopties wilt weergeven, opent u het beleid voor verificatiemethoden en klikt u op Migratie beheren.
In de volgende tabel wordt elke optie beschreven.
| Optie | Omschrijving |
|---|---|
| Premigratie | Het beleid voor verificatiemethoden wordt alleen gebruikt voor verificatie. Verouderde beleidsinstellingen worden gerespecteerd. |
| De migratie wordt uitgevoerd | Het beleid voor verificatiemethoden wordt gebruikt voor verificatie en SSPR. Verouderde beleidsinstellingen worden gerespecteerd. |
| Migratie voltooid | Alleen het beleid voor verificatiemethoden wordt gebruikt voor verificatie en SSPR. Verouderde beleidsinstellingen worden genegeerd. |
Tenants zijn standaard ingesteld op premigratie of migratie die wordt uitgevoerd, afhankelijk van de huidige status van hun tenant. Als u vóór de migratie begint, kunt u op elk gewenst moment naar een van de statussen gaan. Als u in uitvoering bent begonnen met de migratie, kunt u op elk gewenst moment schakelen tussen de migratie in uitvoering en Microsoft Complete, maar u kunt niet overstappen op premigratie. Als u overstapt op Migratie voltooid en vervolgens wilt terugkeren naar een eerdere status, vragen we u waarom we de prestaties van het product kunnen evalueren.
Notitie
Nadat alle verificatiemethoden volledig zijn gemigreerd, blijven de volgende elementen van het verouderde SSPR-beleid actief:
- Het aantal methoden dat is vereist om het besturingselement opnieuw in te stellen : beheerders kunnen het aantal verificatiemethoden blijven wijzigen voordat een gebruiker SSPR kan uitvoeren.
- Het SSPR-beheerdersbeleid: beheerders kunnen alle methoden blijven registreren en gebruiken die worden vermeld onder het verouderde SSPR-beheerdersbeleid of de methoden die ze kunnen gebruiken in het beleid voor verificatiemethoden.
In de toekomst worden beide functies geïntegreerd met het beleid voor verificatiemethoden.
Bekende problemen en beperkingen
In recente updates hebben we de mogelijkheid verwijderd om afzonderlijke gebruikers te targeten. Eerder gerichte gebruikers blijven in het beleid, maar we raden u aan ze naar een doelgroep te verplaatsen.
De registratie van een verificatiemethode kan mislukken als veel groepen zijn opgenomen in het beleid voor verificatiemethoden of een registratiecampagne. We raden u aan meerdere groepen in één groep te consolideren voor elke verificatiemethode. Als u de registratie voor gebruikers tijdens de samenvoeging wilt behouden, voegt u de nieuwe groep toe en verwijdert u de huidige groepen in dezelfde bewerking.
Notitie
Mogelijk kunt u geen updates opslaan in het beleid voor verificatiemethoden als deze gericht is op veel groepen en de beleidsgrootte groter is dan 20 kB. Terwijl we de limiet voor de beleidsgrootte verhogen, consolideren we doelgroepen zoveel mogelijk.