Bewerken

Delen via


Veelgestelde vragen over Microsoft Entra ID-meervoudige verificatie

In deze veelgestelde vragen vindt u antwoorden op veelgestelde vragen over meervoudige verificatie van Microsoft Entra en het gebruik van de service voor meervoudige verificatie. Het is onderverdeeld in vragen over de service in het algemeen, factureringsmodellen, gebruikerservaringen en probleemoplossing.

Belangrijk

In september 2022 kondigde Microsoft afschaffing van de Multi-Factor Authentication-server aan. Vanaf 30 september 2024 worden multi-Factor Authentication-serverimplementaties niet langer gebruikt voor meervoudige verificatieaanvragen, waardoor verificaties voor uw organisatie mislukken. Om ononderbroken verificatieservices te garanderen en in een ondersteunde status te blijven, moeten organisaties de verificatiegegevens van hun gebruikers migreren naar de cloudgebaseerde Microsoft Entra-service voor meervoudige verificatie met behulp van het meest recente migratiehulpprogramma dat is opgenomen in de meest recente MFA-serverupdate. Zie migratie van MFA-server voor meer informatie.

Algemeen

Hoe verwerkt de Azure Multi-Factor Authentication-server gebruikersgegevens?

Met de Multi-Factor Authentication-server worden gebruikersgegevens alleen opgeslagen op de on-premises servers. In de cloud worden geen permanente gebruikersgegevens opgeslagen. Wanneer de gebruiker verificatie in twee stappen uitvoert, verzendt de Multi-Factor Authentication-server gegevens naar de Cloudservice voor meervoudige verificatie van Microsoft Entra voor verificatie. Communicatie tussen de Multi-Factor Authentication-server en de cloudservice voor meervoudige verificatie maakt gebruik van SSL (Secure Sockets Layer) of Transport Layer Security (TLS) via poort 443 uitgaand.

Wanneer verificatieaanvragen naar de cloudservice worden verzonden, worden gegevens verzameld voor verificatie- en gebruiksrapporten. De volgende gegevensvelden zijn opgenomen in verificatielogboeken in twee stappen:

  • Unieke id (gebruikersnaam of on-premises Multi-Factor Authentication-server-id)
  • Voor- en achternaam (optioneel)
  • E-mailadres (optioneel)
  • Telefoonnummer (bij gebruik van een spraakoproep of sms-berichtverificatie)
  • Apparaattoken (bij gebruik van verificatie van mobiele apps)
  • Verificatiemodus
  • Verificatieresultaat
  • Multi-Factor Authentication-servernaam
  • IP-adres van Multi-Factor Authentication-server
  • CLIENT-IP (indien beschikbaar)

De optionele velden kunnen worden geconfigureerd in de Multi-Factor Authentication-server.

Het verificatieresultaat (geslaagd of ontkenning) en de reden als deze is geweigerd, wordt opgeslagen met de verificatiegegevens. Deze gegevens zijn beschikbaar in verificatie- en gebruiksrapporten.

Zie Gegevenslocatie en klantgegevens voor meervoudige verificatie van Microsoft Entra voor meer informatie.

Welke korte codes worden gebruikt voor het verzenden van sms-berichten naar mijn gebruikers?

In de Verenigde Staten gebruiken we de volgende korte codes:

  • 97671
  • 69829
  • 51789
  • 99399

In Canada gebruiken we de volgende korte codes:

  • 759731
  • 673801

Er is geen garantie voor consistente tekstberichten of op spraak gebaseerde meervoudige verificatiepromptbezorging met hetzelfde nummer. In het belang van onze gebruikers kunnen we op elk gewenst moment korte codes toevoegen of verwijderen wanneer we routeaanpassingen aanbrengen om de afleverbaarheid van tekstberichten te verbeteren.

We ondersteunen geen korte codes voor landen of regio's naast de Verenigde Staten en Canada.

Beperkt Microsoft Entra meervoudige verificatie gebruikersaanmelding?

Ja, in bepaalde gevallen waarbij doorgaans herhaalde verificatieaanvragen in een kort tijdvenster zijn betrokken, beperkt Microsoft Entra meervoudige verificatie pogingen om aanmeldingspogingen van gebruikers om telecommunicatienetwerken te beschermen, MFA-aanvallen in vermoeidheidsstijl te verminderen en zijn eigen systemen te beschermen voor het voordeel van alle klanten.

Hoewel we geen specifieke beperkingslimieten delen, zijn ze gebaseerd op redelijk gebruik.

Worden er kosten in rekening gebracht voor het verzenden van de telefoongesprekken en sms-berichten die worden gebruikt voor verificatie?

Nee, er worden geen kosten in rekening gebracht voor afzonderlijke telefoongesprekken die naar gebruikers worden verzonden via meervoudige verificatie van Microsoft Entra. Als u een MFA-provider per verificatie gebruikt, wordt u gefactureerd voor elke verificatie, maar niet voor de gebruikte methode.

Uw gebruikers worden mogelijk in rekening gebracht voor de telefoongesprekken of sms-berichten die ze ontvangen, volgens hun persoonlijke telefoonservice.

Brengt het factureringsmodel per gebruiker mij in rekening voor alle ingeschakelde gebruikers, of alleen voor de gebruikers die verificatie in twee stappen hebben uitgevoerd?

Facturering is gebaseerd op het aantal gebruikers dat is geconfigureerd voor het gebruik van meervoudige verificatie, ongeacht of ze die maand verificatie in twee stappen hebben uitgevoerd.

Hoe werkt facturering voor meervoudige verificatie?

Wanneer u een MFA-provider per gebruiker of per verificatie maakt, wordt het Azure-abonnement van uw organisatie maandelijks gefactureerd op basis van gebruik. Dit factureringsmodel is vergelijkbaar met de manier waarop Azure factureert voor het gebruik van virtuele machines en Web Apps.

Wanneer u een abonnement koopt voor meervoudige verificatie van Microsoft Entra, betaalt uw organisatie alleen de jaarlijkse licentiekosten voor elke gebruiker. MFA-licenties en Microsoft 365-, Microsoft Entra ID P1- of P2- of Enterprise Mobility + Security-bundels worden op deze manier gefactureerd.

Zie Hoe u meervoudige verificatie van Microsoft Entra kunt verkrijgen voor meer informatie.

Is er een gratis versie van Microsoft Entra multi-factor authentication?

Standaardinstellingen voor beveiliging kunnen worden ingeschakeld in de gratis laag van Microsoft Entra ID. Met standaardinstellingen voor beveiliging zijn alle gebruikers ingeschakeld voor meervoudige verificatie met behulp van de Microsoft Authenticator-app. Er is geen mogelijkheid om sms-berichten of telefoonverificatie te gebruiken met standaardinstellingen voor beveiliging, alleen de Microsoft Authenticator-app.

Lees voor meer informatie Wat zijn de standaardinstellingen voor beveiliging?

Kan mijn organisatie op elk gewenst moment schakelen tussen factureringsmodellen per gebruiker en facturering per verificatieverbruik?

Als uw organisatie MFA koopt als een zelfstandige service met facturering op basis van verbruik, kiest u een factureringsmodel wanneer u een MFA-provider maakt. U kunt het factureringsmodel niet wijzigen nadat een MFA-provider is gemaakt.

Als uw MFA-provider niet is gekoppeld aan een Microsoft Entra-tenant of als u de nieuwe MFA-provider koppelt aan een andere Microsoft Entra-tenant, gebruikersinstellingen en configuratieopties, worden niet overgedragen. Ook moeten bestaande MFA-servers opnieuw worden geactiveerd met behulp van activeringsreferenties die zijn gegenereerd via de nieuwe MFA-provider. Als u de MFA-servers opnieuw activeert om ze te koppelen aan de nieuwe MFA-provider, is dit niet van invloed op telefonische verificatie en verificatie via een sms-bericht. Mobiele app-meldingen werken echter niet meer voor gebruikers totdat ze de mobiele app opnieuw activeren.

Meer informatie over MFA-providers in Aan de slag met een Azure-provider voor meervoudige verificatie.

Kan mijn organisatie op elk gewenst moment schakelen tussen facturering op basis van verbruik en abonnementen (een model op basis van licenties?

In sommige gevallen, ja.

Als uw directory een Microsoft Entra-provider voor meervoudige verificatie per gebruiker heeft, kunt u MFA-licenties toevoegen. Gebruikers met licenties worden niet meegeteld in de facturering per gebruiker op basis van verbruik. Gebruikers zonder licenties kunnen nog steeds worden ingeschakeld voor MFA via de MFA-provider. Als u licenties koopt en toewijst voor al uw gebruikers die zijn geconfigureerd voor het gebruik van meervoudige verificatie, kunt u de Provider voor meervoudige verificatie van Microsoft Entra verwijderen. U kunt altijd een andere MFA-provider per gebruiker maken als u in de toekomst meer gebruikers dan licenties hebt.

Als uw directory een provider voor meervoudige verificatie van Microsoft Entra heeft, wordt u altijd gefactureerd voor elke verificatie, zolang de MFA-provider is gekoppeld aan uw abonnement. U kunt MFA-licenties toewijzen aan gebruikers, maar u wordt nog steeds gefactureerd voor elke verificatieaanvraag in twee stappen, ongeacht of deze afkomstig is van iemand met een toegewezen MFA-licentie.

Moet mijn organisatie identiteiten gebruiken en synchroniseren om meervoudige verificatie van Microsoft Entra te gebruiken?

Als uw organisatie gebruikmaakt van een factureringsmodel op basis van verbruik, is Microsoft Entra-id optioneel, maar niet vereist. Als uw MFA-provider niet is gekoppeld aan een Microsoft Entra-tenant, kunt u azure Multi-Factor Authentication-server alleen on-premises implementeren.

Microsoft Entra-id is vereist voor het licentiemodel omdat licenties worden toegevoegd aan de Microsoft Entra-tenant wanneer u ze aanschaft en toewijst aan gebruikers in de directory.

Gebruikersaccounts beheren en ondersteunen

Wat moet ik mijn gebruikers vertellen te doen als ze geen antwoord op hun telefoon ontvangen?

Laat uw gebruikers maximaal vijf keer in 5 minuten proberen om een telefoongesprek of sms-bericht te ontvangen voor verificatie. Microsoft gebruikt meerdere providers voor het leveren van oproepen en sms-berichten. Als deze aanpak niet werkt, opent u een ondersteuningsaanvraag om het probleem verder op te lossen.

Beveiligingsapps van derden kunnen ook het sms-bericht of telefoongesprek van de verificatiecode blokkeren. Als u een beveiligings-app van derden gebruikt, schakelt u de beveiliging uit en vraagt u een andere MFA-verificatiecode te verzenden.

Als de bovenstaande stappen niet werken, controleert u of gebruikers zijn geconfigureerd voor meer dan één verificatiemethode. Probeer u opnieuw aan te melden, maar selecteer een andere verificatiemethode op de aanmeldingspagina.

Zie de handleiding voor probleemoplossing voor eindgebruikers voor meer informatie.

Wat moet ik doen als een van mijn gebruikers hun account niet kan openen?

U kunt het account van de gebruiker opnieuw instellen door het registratieproces opnieuw te doorlopen. Meer informatie over het beheren van gebruikers- en apparaatinstellingen met Meervoudige verificatie van Microsoft Entra in de cloud.

Wat moet ik doen als een van mijn gebruikers een telefoon verliest die app-wachtwoorden gebruikt?

Verwijder alle app-wachtwoorden van de gebruiker om onbevoegde toegang te voorkomen. Nadat de gebruiker een vervangend apparaat heeft, kunnen ze de wachtwoorden opnieuw maken. Meer informatie over het beheren van gebruikers- en apparaatinstellingen met Meervoudige verificatie van Microsoft Entra in de cloud.

Wat gebeurt er als een gebruiker zich niet kan aanmelden bij niet-browser-apps?

Als uw organisatie nog steeds verouderde clients gebruikt en u het gebruik van app-wachtwoorden hebt toegestaan, kunnen uw gebruikers zich niet aanmelden bij deze verouderde clients met hun gebruikersnaam en wachtwoord. In plaats daarvan moeten ze app-wachtwoorden instellen. Uw gebruikers moeten hun aanmeldingsgegevens wissen (verwijderen), de app opnieuw starten en zich vervolgens aanmelden met hun gebruikersnaam en app-wachtwoord in plaats van hun normale wachtwoord.

Als uw organisatie geen verouderde clients heeft, moet u uw gebruikers niet toestaan app-wachtwoorden te maken.

Notitie

Moderne verificatie voor Office 2013-clients

App-wachtwoorden zijn alleen nodig voor apps die geen ondersteuning bieden voor moderne verificatie. Office 2013-clients ondersteunen moderne verificatieprotocollen, maar moeten worden geconfigureerd. Moderne verificatie is beschikbaar voor elke klant die de update van maart 2015 of hoger voor Office 2013 uitvoert. Zie het blogbericht Bijgewerkte moderne verificatie van Office 365 voor meer informatie.

Mijn gebruikers zeggen dat ze soms het sms-bericht niet ontvangen of dat er een time-out optreedt voor de verificatie.

De bezorging van sms-berichten wordt niet gegarandeerd omdat oncontroleerbare factoren van invloed kunnen zijn op de betrouwbaarheid van de service. Deze factoren omvatten het doelland of de regio, de mobiele telefoonprovider en de signaalsterkte.

Beveiligingsapps van derden kunnen ook het sms-bericht of telefoongesprek van de verificatiecode blokkeren. Als u een beveiligings-app van derden gebruikt, schakelt u de beveiliging uit en vraagt u een andere MFA-verificatiecode te verzenden.

Als uw gebruikers vaak problemen ondervinden met het betrouwbaar ontvangen van sms-berichten, moet u in plaats daarvan de Microsoft Authenticator-app of de methode voor telefoongesprekken gebruiken. Microsoft Authenticator kan meldingen ontvangen via mobiele en Wi-Fi-verbindingen. Bovendien kan de mobiele app verificatiecodes genereren, zelfs wanneer het apparaat helemaal geen signaal heeft. De Microsoft Authenticator-app is beschikbaar voor Android, iOS en Windows Phone.

Kan ik de tijd wijzigen die mijn gebruikers nodig hebben om de verificatiecode van een sms-bericht in te voeren voordat er een time-out optreedt voor het systeem?

In bepaalde gevallen, ja.

Voor sms in één richting met MFA Server v7.0 of hoger kunt u de time-outinstelling configureren door een registersleutel in te stellen. Nadat de MFA-cloudservice het sms-bericht heeft verzonden, wordt de verificatiecode (of eenmalige wachtwoordcode) geretourneerd naar de MFA-server. De MFA-server slaat de code standaard gedurende 300 seconden op in het geheugen. Als de gebruiker de code niet invoert voordat de 300 seconden zijn verstreken, wordt de verificatie geweigerd. Gebruik deze stappen om de standaardinstelling voor time-outs te wijzigen:

  1. Ga naar HKLM\Software\Wow6432Node\Positive Networks\PhoneFactor.
  2. Maak een DWORD-registersleutel met de naam pfsvc_pendingSmsTimeoutSeconds en stel de tijd in seconden in dat de MFA-server eenmalige wachtwoordcodes moet opslaan.

Tip

Als u meerdere MFA-servers hebt, weet slechts degene die de oorspronkelijke verificatieaanvraag heeft verwerkt, de verificatiecode die naar de gebruiker is verzonden. Wanneer de gebruiker de code invoert, moet de verificatieaanvraag om deze te valideren naar dezelfde server worden verzonden. Als de codevalidatie naar een andere server wordt verzonden, wordt de verificatie geweigerd.

Als gebruikers niet reageren op de sms binnen de gedefinieerde time-outperiode, wordt hun verificatie geweigerd.

Voor sms in één richting met Meervoudige Verificatie van Microsoft Entra in de cloud (inclusief de AD FS-adapter of de extensie Network Policy Server), kunt u de time-outinstelling niet configureren. Microsoft Entra ID slaat de verificatiecode gedurende 180 seconden op.

Kan ik hardwaretokens gebruiken met Multi-Factor Authentication-server?

Als u Multi-Factor Authentication-server gebruikt, kunt u op tijd gebaseerde, eenmalige wachtwoordtokens (TOTP) van derden (Open Authentication) importeren en deze vervolgens gebruiken voor verificatie in twee stappen.

U kunt ActiveIdentity-tokens gebruiken die OATH TOTP-tokens zijn als u de geheime sleutel in een CSV-bestand plaatst en importeert naar de Multi-Factor Authentication-server. U kunt OATH-tokens gebruiken met ADFS (Active Directory Federation Services), IIS-formulieren (Internet Information Server) en RADIUS (Remote Authentication Dial-In User Service) zolang het clientsysteem de gebruikersinvoer kan accepteren.

U kunt OATH TOTP-tokens van derden importeren met de volgende indelingen:

  • Draagbare symmetrische sleutelcontainer (PSKC)
  • CSV als het bestand een serienummer, een geheime sleutel in basis 32-indeling en een tijdsinterval bevat

Kan ik Multi-Factor Authentication-server gebruiken om Terminal Services te beveiligen?

Ja, maar als u Windows Server 2012 R2 of hoger gebruikt, kunt u Terminal Services alleen beveiligen met behulp van Extern bureaublad-gateway (RD Gateway).

Beveiligingswijzigingen in Windows Server 2012 R2 hebben gewijzigd hoe de Multi-Factor Authentication-server verbinding maakt met het LSA-beveiligingspakket (Local Security Authority) in Windows Server 2012 en eerdere versies. Voor versies van Terminal Services in Windows Server 2012 of eerder kunt u een toepassing beveiligen met Windows-verificatie. Als u Windows Server 2012 R2 gebruikt, hebt u RD Gateway nodig.

Ik heb nummerweergave geconfigureerd in MFA Server, maar mijn gebruikers ontvangen nog steeds meervoudige verificatieaanroepen van een anonieme beller.

Wanneer meervoudige verificatiegesprekken via het openbare telefoonnetwerk worden geplaatst, worden ze soms gerouteerd via een provider die geen ondersteuning biedt voor nummerweergave. Vanwege dit gedrag van de provider wordt nummerweergave niet gegarandeerd, ook al verzendt het multifactor-verificatiesysteem dit altijd.

Waarom wordt mijn gebruikers gevraagd hun beveiligingsgegevens te registreren?

Er zijn verschillende redenen waarom gebruikers kunnen worden gevraagd om hun beveiligingsgegevens te registreren:

  • De gebruiker is ingeschakeld voor MFA door de beheerder in Microsoft Entra ID, maar heeft nog geen beveiligingsgegevens geregistreerd voor hun account.
  • De gebruiker is ingeschakeld voor selfservice voor wachtwoordherstel in Microsoft Entra ID. De beveiligingsgegevens helpen hen hun wachtwoord in de toekomst opnieuw in te stellen als ze het ooit vergeten.
  • De gebruiker heeft toegang tot een toepassing met beleid voor voorwaardelijke toegang om MFA te vereisen en is nog niet eerder geregistreerd voor MFA.
  • De gebruiker registreert een apparaat met Microsoft Entra ID (inclusief Microsoft Entra join) en uw organisatie vereist MFA voor apparaatregistratie, maar de gebruiker heeft zich nog niet eerder geregistreerd voor MFA.
  • De gebruiker genereert Windows Hello voor Bedrijven in Windows 10 (waarvoor MFA is vereist) en is nog niet eerder geregistreerd voor MFA.
  • De organisatie heeft een MFA-registratiebeleid gemaakt en ingeschakeld dat is toegepast op de gebruiker.
  • De gebruiker heeft zich eerder geregistreerd voor MFA, maar heeft een verificatiemethode gekozen die een beheerder sindsdien heeft uitgeschakeld. De gebruiker moet daarom opnieuw MFA-registratie doorlopen om een nieuwe standaardverificatiemethode te selecteren.

Fouten

Wat moeten gebruikers doen als ze een foutbericht 'Verificatieaanvraag is niet voor een geactiveerd account' zien wanneer ze meldingen van mobiele apps gebruiken?

Vraag de gebruiker om de volgende procedure te voltooien om zijn of haar account te verwijderen uit De Microsoft Authenticator en deze vervolgens opnieuw toe te voegen:

  1. Ga naar het accountprofiel en meld u aan met een organisatieaccount.
  2. Selecteer Aanvullende beveiligingsverificatie.
  3. Verwijder het bestaande account uit de Microsoft Authenticator-app.
  4. Klik op Configureren en volg de instructies om de Microsoft Authenticator opnieuw te configureren.

Wat moeten gebruikers doen als ze een 0x800434D4L-foutbericht zien wanneer ze zich aanmelden bij een niet-browsertoepassing?

De 0x800434D4L-fout treedt op wanneer u zich probeert aan te melden bij een niet-browsertoepassing, geïnstalleerd op een lokale computer, die niet werkt met accounts waarvoor verificatie in twee stappen is vereist.

Een tijdelijke oplossing voor deze fout is het hebben van afzonderlijke gebruikersaccounts voor beheergerelateerde en niet-beheerdersbewerkingen. Later kunt u postvakken koppelen tussen uw beheerdersaccount en niet-beheerdersaccount, zodat u zich kunt aanmelden bij Outlook met uw niet-beheerdersaccount. Voor meer informatie over deze oplossing leert u hoe u een beheerder de mogelijkheid geeft om de inhoud van het postvak van een gebruiker te openen en weer te geven.

Wat zijn de mogelijke redenen waarom een gebruiker mislukt, met de foutcode 'LsaLogonUser is mislukt met NTSTATUS -1073741715 voor MFA-server'?

Fout 1073741715 = Fout bij statusaanmelding:> de poging tot aanmelding is ongeldig. Dit komt door een ongeldige gebruikersnaam of verificatie.

Een plausibele reden voor deze fout: Als de primaire referenties juist zijn, komt de ondersteunde NTLM-versie mogelijk niet overeen met de ondersteunde NTLM-versie op de MFA-server en de domeincontroller. MFA Server ondersteunt alleen NTLMv1 (LmCompatabilityLevel=1 t/m 4) en niet NTLMv2 (LmCompatabilityLevel=5).

Volgende stappen

Als uw vraag hier niet wordt beantwoord, zijn de volgende ondersteuningsopties beschikbaar:

  • Zoek in de Microsoft Ondersteuning Knowledge Base naar oplossingen voor veelvoorkomende technische problemen.
  • Zoek en blader door technische vragen en antwoorden van de community of stel uw eigen vraag in de Microsoft Entra Q&A.
  • Neem contact op met Microsoft Professional via de ondersteuning van de Multi-Factor Authentication-server. Wanneer u contact met ons opneemt, is het handig als u zoveel mogelijk informatie over uw probleem kunt opnemen. Informatie die u kunt opgeven, bevat de pagina waarin u de fout hebt gezien, de specifieke foutcode, de specifieke sessie-id en de id van de gebruiker die de fout heeft gezien.