Delen via

Een registratiecampagne uitvoeren om Microsoft Authenticator in te stellen

  • Artikel

U kunt gebruikers duwen om Microsoft Authenticator in te stellen tijdens het aanmelden. Gebruikers doorlopen hun reguliere aanmelding, voeren zoals gebruikelijk meervoudige verificatie uit en krijgen vervolgens de vraag om Microsoft Authenticator in te stellen. U kunt gebruikers of groepen opnemen of uitsluiten om te bepalen wie wordt aangemoedigd om de app in te stellen. Hierdoor kunnen gerichte campagnes gebruikers verplaatsen van minder veilige verificatiemethoden naar Authenticator.

U kunt ook bepalen hoeveel dagen een gebruiker de herinnering kan uitstellen of op "snooze" kan zetten. Als een gebruiker op Skip for now tikt om de app-installatie uit te stellen, worden ze bij de volgende MFA-poging opnieuw herinnerd nadat de sluimertijd is verstreken. U kunt bepalen of de gebruiker voor onbepaalde tijd of maximaal drie keer kan uitstellen (waarna registratie is vereist).

Notitie

Wanneer gebruikers hun reguliere aanmelding doorlopen, gelden beleidsregels voor voorwaardelijke toegang die de registratie van beveiligingsgegevens bepalen voordat de gebruiker wordt gevraagd Authenticator in te stellen. Als een beleidsregel voor voorwaardelijke toegang bijvoorbeeld vereist dat beveiligingsinformatie-updates alleen op een intern netwerk kunnen plaatsvinden, wordt gebruikers niet gevraagd om Authenticator in te stellen, tenzij ze zich op het interne netwerk bevinden.

Vereisten

  • Uw organisatie moet Meervoudige Verificatie van Microsoft Entra hebben ingeschakeld. Elke editie van Microsoft Entra-id bevat Meervoudige Verificatie van Microsoft Entra. Er is geen andere licentie nodig voor een registratiecampagne.
  • Gebruikers kunnen de Authenticator-app nog niet instellen voor pushmeldingen op hun account.
  • Beheerders moeten gebruikers inschakelen voor de Authenticator-app met behulp van een van deze beleidsregels:
    • MFA-registratiebeleid: gebruikers moeten worden ingeschakeld voor meldingen via een mobiele app.
    • Beleid voor verificatiemethoden: gebruikers moeten zijn ingeschakeld voor de Authenticator-app en de verificatiemodus ingesteld op Any of Push. Als het beleid is ingesteld op Wachtwoordloos, komt de gebruiker niet in aanmerking voor de nudge. Zie Aanmelden zonder wachtwoord inschakelen met Microsoft Authenticator voor meer informatie over het instellen van de verificatiemodus.

Gebruikerservaring

  1. Eerst moet u zich verifiëren met behulp van Meervoudige Verificatie (MFA) van Microsoft Entra.

  2. Als u pushmeldingen van Authenticator hebt ingeschakeld en deze nog niet hebt ingesteld, wordt u gevraagd Authenticator in te stellen om uw aanmeldingservaring te verbeteren.

    Notitie

    Andere beveiligingsfuncties, zoals wachtwoordloze wachtwoordsleutel, selfservice voor wachtwoordherstel of standaardinstellingen voor beveiliging, kunnen u ook vragen om installatie.

    Schermopname van meervoudige verificatie.

  3. Tik op Volgende en doorloop de configuratie van de Authenticator-app.

  4. Download eerst de app.

    Schermopname van het downloaden voor Microsoft Authenticator.

    1. Zie hoe u de Authenticator-app instelt.

      Schermopname van Microsoft Authenticator.

    2. Scan de QR-code.

      Schermopname van QR-code.

    3. Controleer uw identiteit.

      Schermopname van het scherm Identiteit verifiëren.

    4. Keur de testmelding op uw apparaat goed.

      Schermopname van testmelding.

    5. De Authenticator-app is nu ingesteld.

      Schermopname van de installatie voltooid.

  5. Als u de Authenticator-app niet wilt installeren, kunt u nu op Skip tikken om de prompt maximaal 14 dagen uit te stellen, die kan worden ingesteld door een beheerder. Gebruikers met gratis abonnementen en proefabonnementen kunnen de prompt tot drie keer uitstellen.

    Schermopname van de optie Uitstellen.

Het registratiecampagnebeleid inschakelen met behulp van het Microsoft Entra-beheercentrum

Voer de volgende stappen uit om een registratiecampagne in te schakelen in het Microsoft Entra-beheercentrum:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleidsbeheerder.

  2. Blader naar Beveiliging>Verificatiemethoden>Registratiecampagne en klik op Bewerken.

  3. Voor status:

    • Selecteer Ingeschakeld om de registratiecampagne in te schakelen voor alle gebruikers.
    • Selecteer Microsoft managed om de registratiecampagne alleen in te schakelen voor gebruikers van spraakoproepen of sms-berichten. Met de door Microsoft beheerde instelling kan Microsoft de standaardwaarde instellen. Zie Verificatiemethoden beveiligen in Microsoft Entra ID voor meer informatie.

    Als de status van de registratiecampagne is ingesteld op ingeschakeld of door Microsoft beheerd, kunt u de ervaring voor eindgebruikers configureren met een beperkt aantal uitstellen:

    • Als Beperkt aantal keren uitstellen is ingeschakeld, kunnen gebruikers de interruptprompt 3 keer overslaan, waarna ze Authenticator moeten registreren.
    • Als Beperkt aantal keren uitstellen is uitgeschakeld, kunnen gebruikers een onbeperkt aantal keren snoozen en daarmee voorkomen dat ze Authenticator moeten registreren.

    Dagen toegestaan om te snoozen bepaalt de periode tussen twee opeenvolgende interruptprompts. Als deze bijvoorbeeld is ingesteld op 3 dagen, worden gebruikers die de registratie hebben overgeslagen pas na 3 dagen opnieuw gevraagd.

    Schermopname van het inschakelen van een registratiecampagne.

  4. Selecteer alle gebruikers of groepen die u wilt uitsluiten van de registratiecampagne en klik vervolgens op Opslaan.

Het registratiecampagnebeleid inschakelen met Graph Explorer

Naast het gebruik van het Microsoft Entra-beheercentrum kunt u ook het registratiecampagnebeleid inschakelen met Graph Explorer. Als u het registratiecampagnebeleid wilt inschakelen, moet u het verificatiemethodenbeleid gebruiken met behulp van Graph API's. Personen die ten minste de rol Authentication Policy Administrator hebben toegewezen gekregen, kunnen het beleid bijwerken.

Ga als volgende te werk om het beleid te configureren met Graph Explorer:

  1. Meld u aan bij Graph Explorer en zorg ervoor dat u toestemming hebt gegeven voor de machtigingen Policy.Read.All en Policy.ReadWrite.AuthenticationMethod .

    Het deelvenster Machtigingen openen:

    Schermopname van Graph Explorer.

  2. Haal het beleid voor verificatiemethoden op:

    GET https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy

  3. Werk de beleidssectie registrationEnforcement en authenticationMethodsRegistrationCampaign bij om de nudge te activeren voor een gebruiker of groep.

    Schermopname van het API-antwoord.

    Als u het beleid wilt bijwerken, voert u een PATCH uit op het verificatiemethodenbeleid met alleen de bijgewerkte sectie registrationEnforcement:

    PATCH https://graph.microsoft.com/v1.0/policies/authenticationmethodspolicy

De volgende tabel bevat de eigenschappen authenticationMethodsRegistrationCampaign.

Naam Mogelijke waarden Beschrijving
sluimerduurInDagen Bereik: 0 - 14 Hiermee definieert u het aantal dagen voordat de gebruiker opnieuw wordt herinnerd.
Als de waarde 0 is, wordt de gebruiker bij elke MFA-poging geattendeerd.
Standaard: 1 dag
RegistratieAfDwingenNaToegestaneSnoozes waar
"onwaar"		 Hiermee bepaalt u of een gebruiker de installatie moet uitvoeren na de 3e keer uitstellen.
Indien waar, moet de gebruiker zich registreren.
Als deze onwaar is, kan de gebruiker gedurende een onbepaalde tijd snoozen.
Standaardwaarde: waar
staat "ingeschakeld"
"uitgeschakeld"
standaard		 Hiermee kunt u de functie in- of uitschakelen.
De standaardwaarde wordt gebruikt wanneer de configuratie niet expliciet is ingesteld en deze standaardwaarde voor Microsoft Entra ID gebruikt voor deze instelling. De standaardstatus is ingeschakeld voor gebruikers van spraakoproepen en sms-berichten in alle tenants.
Wijzig de status in ingeschakeld (voor alle gebruikers) of uitgeschakeld indien nodig.
doelen uitsluiten N.v.t. Hiermee kunt u verschillende gebruikers en groepen uitsluiten die u wilt weglaten uit de functie. Als een gebruiker zich in een groep bevindt die is uitgesloten en een groep die is opgenomen, wordt de gebruiker uitgesloten van de functie.
includeTargets N.v.t. Hiermee kunt u verschillende gebruikers en groepen opnemen waarop u de functie wilt toepassen.

De volgende tabel bevat includeTargets-eigenschappen.

Naam Mogelijke waarden Beschrijving
targetType "gebruiker"
"groep"		 Het type entiteit dat wordt doelwit.
Id Een GUID-id De ID van de gebruiker of groep die wordt getarget.
gerichteAuthenticatiemethode "microsoftAuthenticator" De gebruiker van de verificatiemethode wordt gevraagd zich te registreren. De enige toegestane waarde is 'microsoftAuthenticator'.

De volgende tabel bevat de eigenschappen excludeTargets .

Naam Mogelijke waarden Beschrijving
doeltype "gebruiker"
"groep"		 Het type entiteit waarop gericht is.
Id Een tekenreeks De ID van de gebruiker of groep die is getarget.

Voorbeelden

Hier volgen enkele JSON's die u kunt gebruiken om aan de slag te gaan.

  • Alle gebruikers opnemen

    Als u ALLE gebruikers in uw tenant wilt opnemen, werkt u het volgende JSON-voorbeeld bij met de relevante GUID's van uw gebruikers en groepen. Plak het vervolgens in Graph Explorer en voer PATCH uit op het API-eindpunt.

    {
"registrationEnforcement": {
        "authenticationMethodsRegistrationCampaign": {
            "snoozeDurationInDays": 1,
            "enforceRegistrationAfterAllowedSnoozes": true,
            "state": "enabled",
            "excludeTargets": [],
            "includeTargets": [
                {
                    "id": "all_users",
                    "targetType": "group",
                    "targetedAuthenticationMethod": "microsoftAuthenticator"
                }
            ]
        }
    }
}

  • Specifieke gebruikers of groepen gebruikers opnemen

    Als u bepaalde gebruikers of groepen in uw tenant wilt opnemen, werkt u het volgende JSON-voorbeeld bij met de relevante GUID's van uw gebruikers en groepen. Plak vervolgens de JSON in Graph Explorer en voer het commando PATCH uit op het eindpunt.

    {
"registrationEnforcement": {
      "authenticationMethodsRegistrationCampaign": {
          "snoozeDurationInDays": 1,
          "enforceRegistrationAfterAllowedSnoozes": true,
          "state": "enabled",
          "excludeTargets": [],
          "includeTargets": [
              {
                  "id": "*********PLEASE ENTER GUID***********",
                  "targetType": "group",
                  "targetedAuthenticationMethod": "microsoftAuthenticator"
              },
              {
                  "id": "*********PLEASE ENTER GUID***********",
                  "targetType": "user",
                  "targetedAuthenticationMethod": "microsoftAuthenticator"
              }
          ]
      }
  }
}

  • Specifieke gebruikers of groepen opnemen en uitsluiten

    Als u bepaalde gebruikers of groepen in uw tenant wilt opnemen en uitsluiten, werkt u het volgende JSON-voorbeeld bij met de relevante GUID's van uw gebruikers en groepen. Plak het vervolgens in Graph Explorer en voer PATCH uit op het eindpunt.

    {
"registrationEnforcement": {
        "authenticationMethodsRegistrationCampaign": {
            "snoozeDurationInDays": 1,
            "enforceRegistrationAfterAllowedSnoozes": true,
            "state": "enabled",
            "excludeTargets": [
                {
                    "id": "*********PLEASE ENTER GUID***********",
                    "targetType": "group"
                },
              {
                    "id": "*********PLEASE ENTER GUID***********",
                    "targetType": "user"
                }
            ],
            "includeTargets": [
                {
                    "id": "*********PLEASE ENTER GUID***********",
                    "targetType": "group",
                    "targetedAuthenticationMethod": "microsoftAuthenticator"
                },
                {
                    "id": "*********PLEASE ENTER GUID***********",
                    "targetType": "user",
                    "targetedAuthenticationMethod": "microsoftAuthenticator"
                }
            ]
        }
    }
}

De GUID's identificeren van gebruikers die moeten worden ingevoegd in de JSON's

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleidsbeheerder.

  2. Tik in de Beheren-blade op Gebruikers.

  3. Identificeer op de pagina Gebruikers de specifieke gebruiker waarop u zich wilt richten.

  4. Wanneer u op de specifieke gebruiker tikt, ziet u de object-id van de gebruiker. Dit is de GUID van de gebruiker.

    Gebruikersobject-ID

De GUID's van groepen identificeren die moeten worden ingevoegd in de JSON's

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleidsbeheerder.

  2. Tik op de blade Beheren op Groepen.

  3. Identificeer op de pagina Groepen de specifieke groep waarop u zich wilt richten.

  4. Tik op de groep en haal de object-id op.

    Nudge-groep

Beperkingen

De nudge wordt niet weergegeven op mobiele apparaten met Android of iOS.

Veelgestelde vragen

Is registratiecampagne beschikbaar voor MFA-server?

Nee, de registratiecampagne is alleen beschikbaar voor gebruikers die meervoudige verificatie van Microsoft Entra gebruiken.

Kunnen gebruikers in een applicatie worden aangestuurd?

Ja, we ondersteunen ingesloten browserweergaven in bepaalde toepassingen. We duwen gebruikers niet in out-of-the-box-ervaringen of in browserweergaven die zijn ingesloten in Windows-instellingen.

Kunnen gebruikers op een mobiel apparaat worden aangestuurd?

De registratiecampagne is niet beschikbaar op mobiele apparaten.

Hoe lang duurt de campagne?

U kunt de campagne zolang u wilt inschakelen. Wanneer u de campagne wilt beëindigen, gebruikt u het beheercentrum of de API om de campagne uit te schakelen.

Kan elke groep gebruikers een andere uitstellensduur hebben?

Nee De uitstelduur voor de prompt is een instelling voor de hele tenant en is van toepassing op alle groepen binnen de reikwijdte.

Kunnen gebruikers worden gestimuleerd om aanmelding zonder wachtwoord via de telefoon in te stellen?

De functie is bedoeld om beheerders in staat te stellen gebruikers in te stellen met MFA met behulp van de Authenticator-app en niet met een wachtwoordloze telefoon aan te melden.

Ziet een gebruiker die zich aanmeldt met een authenticator-app van derden de nudge?

Ja. Als een gebruiker is ingeschakeld voor de registratiecampagne en Microsoft Authenticator niet is ingesteld voor pushmeldingen, wordt de gebruiker nuged om Authenticator in te stellen.

Ziet een gebruiker die Authenticator alleen heeft ingesteld voor TOTP-codes de nudge?

Ja. Als een gebruiker is ingeschakeld voor de registratiecampagne en de Authenticator-app niet is ingesteld voor pushmeldingen, wordt de gebruiker nuged om pushmeldingen in te stellen met Authenticator.

Als een gebruiker zojuist MFA-registratie heeft doorlopen, worden ze in dezelfde aanmeldingssessie geduwd?

Nee Om een goede gebruikerservaring te bieden, worden gebruikers niet verduwd om de Authenticator in te stellen in dezelfde sessie waarin ze andere verificatiemethoden hebben geregistreerd.

Kan ik mijn gebruikers een andere verificatiemethode laten registreren?

Nee De functie heeft tot nu toe als doel gebruikers te duwen om alleen de Authenticator-app in te stellen.

Is er een manier om de uitstellende optie te verbergen en mijn gebruikers te dwingen de Authenticator-app in te stellen?

Stel het beperkte aantal uitstellen in op Ingeschakeld, zodat gebruikers de installatie van de app maximaal drie keer kunnen uitstellen. Daarna is de installatie vereist.

Zal ik in staat zijn om mijn gebruikers aan te sporen als ik geen multifactorauthenticatie van Microsoft Entra gebruik?

Nee De nudge werkt alleen voor gebruikers die MFA uitvoeren met behulp van de MultiFactor Authentication-service van Microsoft Entra.

Worden gast-/B2B-gebruikers in mijn tenant gestimuleerd?

Ja. Als er een bereik is ingesteld voor de nudge met behulp van het beleid.

Wat gebeurt er als de gebruiker de browser sluit?

Het is hetzelfde als snoozen. Als de installatie vereist is voor een gebruiker nadat deze drie keer is uitgesteld, wordt de gebruiker de volgende keer dat ze inloggen gevraagd om de installatie te voltooien.

Waarom zien sommige gebruikers geen nudge wanneer er beleid voor voorwaardelijke toegang is voor 'Beveiligingsgegevens registreren'?

Een nudge wordt niet weergegeven als een gebruiker binnen het bereik valt van een beleid voor voorwaardelijke toegang waarmee de toegang tot de pagina Beveiligingsgegevens registreren wordt geblokkeerd.

Zien gebruikers een nudge wanneer er een gebruiksvoorwaardenscherm aan hen wordt getoond tijdens het aanmelden?

Er wordt geen nudge weergegeven als een gebruiker tijdens het aanmelden het scherm met de gebruiksvoorwaarden (ToU) te zien krijgt.

Zien gebruikers een melding wanneer aangepaste besturingselementen voor voorwaardelijke toegang van toepassing zijn op de aanmelding?

Er wordt geen hint weergegeven als een gebruiker tijdens het aanmelden wordt omgeleid vanwege de aangepaste besturingselementen voor voorwaardelijke toegang.

Zijn er plannen om SMS en Voice te stoppen als methoden die kunnen worden gebruikt voor MFA?

Nee, er zijn geen plannen.

Volgende stappen

Aanmelden zonder wachtwoord inschakelen met Microsoft Authenticator