Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Een van de belangrijkste functies van een identiteitsplatform is het verifiëren of authenticerenvan inloggegevens wanneer een gebruiker zich aanmeldt bij een apparaat, applicatie of service. In Microsoft Entra ID omvat verificatie meer dan alleen de verificatie van een gebruikersnaam en wachtwoord. Microsoft Entra-verificatie bevat de volgende onderdelen om de beveiliging te verbeteren en de noodzaak van helpdeskondersteuning te verminderen:
- Selfservice voor wachtwoordherstel (SSPR)
- Meervoudige verificatie (MFA)
- Hybride integratie om wachtwoordwijzigingen terug te schrijven naar een on-premises omgeving
- Hybride integratie voor het afdwingen van beleid voor wachtwoordbeveiliging voor een on-premises omgeving
- Verificatie zonder wachtwoord
Bekijk onze korte video voor meer informatie over deze verificatieonderdelen.
Verbeteringen in de gebruikerservaring
Microsoft Entra ID helpt de identiteiten van gebruikers te beveiligen en hun aanmeldingservaring te vereenvoudigen. Met functies zoals SSPR kunnen gebruikers hun wachtwoorden bijwerken of wijzigen met behulp van een webbrowser vanaf elk apparaat. Deze functie is vooral handig wanneer gebruikers hun wachtwoorden vergeten of hun accounts zijn vergrendeld. Zonder te wachten op een helpdesk of beheerder om ondersteuning te bieden, kunnen gebruikers zichzelf deblokkeren en blijven werken.
Met MFA kunnen gebruikers een extra vorm van verificatie kiezen tijdens het aanmelden, zoals een telefoongesprek of een melding van een mobiele app. Deze mogelijkheid vermindert de vereiste voor één vaste vorm van secundaire verificatie, zoals een hardwaretoken. Als gebruikers momenteel geen vorm van extra verificatie hebben, kunnen ze een andere methode kiezen en blijven werken.
Met verificatie zonder wachtwoord hoeven gebruikers geen beveiligde wachtwoorden te maken en te onthouden. Met mogelijkheden zoals Windows Hello voor Bedrijven of FIDO2-beveiligingssleutels kunnen gebruikers zich aanmelden bij apparaten of toepassingen zonder een wachtwoord. Deze mogelijkheid kan de complexiteit van het beheren van wachtwoorden in omgevingen verminderen.
Zelfbediening voor wachtwoordherstel
SSPR biedt gebruikers de mogelijkheid om hun wachtwoorden te wijzigen of opnieuw in te stellen zonder tussenkomst van de beheerder of helpdesk. Als de accounts van gebruikers zijn vergrendeld of als ze hun wachtwoorden vergeten, kunnen ze aanwijzingen volgen om zichzelf te deblokkeren en weer aan het werk te gaan. Deze mogelijkheid vermindert het aantal helpdeskgesprekken en het verlies van productiviteit wanneer gebruikers zich niet kunnen aanmelden bij hun apparaten of toepassingen.
SSPR werkt in de volgende scenario's:
- Wachtwoordwijziging: wanneer een gebruiker het wachtwoord kent, maar het wachtwoord wil wijzigen in iets nieuws.
- Wachtwoord opnieuw instellen: wanneer een gebruiker zich niet kan aanmelden (bijvoorbeeld nadat het wachtwoord is vergeten) en het wachtwoord opnieuw kan instellen.
- Account ontgrendelen: wanneer een gebruiker zich niet kan aanmelden omdat het account is vergrendeld en de gebruiker het account wil ontgrendelen.
Wanneer een gebruiker een wachtwoord bijwerken of opnieuw instelt met behulp van SSPR, kan dat wachtwoord ook worden teruggeschreven naar een on-premises Active Directory-omgeving. Wachtwoordterugschrijven zorgt ervoor dat een gebruiker onmiddellijk de bijgewerkte referenties kan gebruiken met lokale apparaten en toepassingen.
Meervoudige verificatie
Meervoudige verificatie is een proces waarbij een gebruiker tijdens het aanmelden om een extra vorm van identificatie wordt gevraagd. De gebruiker wordt bijvoorbeeld gevraagd om een code op een telefoon in te voeren of om een vingerafdrukscan op te geven.
Als u alleen een wachtwoord gebruikt om een gebruiker te verifiëren, blijft er een onveilige vector achter voor aanvallen. Als het wachtwoord zwak is of ergens anders wordt weergegeven, is het echt de gebruiker die zich aanmeldt met de gebruikersnaam en het wachtwoord, of is het een aanvaller? Het vereisen van een tweede vorm van verificatie verhoogt de beveiliging omdat deze extra factor niet eenvoudig is voor een aanvaller om te verkrijgen of dupliceren.
Microsoft Entra MFA werkt door twee of meer van de volgende verificatiemethoden te vereisen:
- Iets wat de gebruiker weet, meestal een wachtwoord
- Iets wat de gebruiker heeft, zoals een vertrouwd apparaat of een hardwaresleutel die niet gemakkelijk kan worden gedupliceerd
- Iets wat de gebruiker is; biometrie zoals een vingerafdruk of gezichtsscan
Gebruikers kunnen zich in één stap registreren voor zowel SSPR als MFA om de onboarding-ervaring te vereenvoudigen. Beheerders kunnen definiëren welke vormen van secundaire verificatie moeten worden gebruikt. Beheerders kunnen ook MFA vereisen wanneer gebruikers een selfservice voor wachtwoordherstel uitvoeren om dat proces verder te beveiligen.
Wachtwoordbeveiliging
Standaard blokkeert Microsoft Entra ID zwakke wachtwoorden, zoals Password1. Microsoft Entra ID wordt automatisch bijgewerkt en dwingt een lijst af met verboden wachtwoorden die bekend zijn als zwak. Een Microsoft Entra-gebruiker die probeert een wachtwoord in te stellen op een van deze zwakke wachtwoorden, ontvangt een melding om een wachtwoord te kiezen dat veiliger is.
Als u de beveiliging wilt verbeteren, kunt u aangepast beleid voor wachtwoordbeveiliging definiëren. Met deze beleidsregels kunt u filters gebruiken om elke variatie van een wachtwoord met een naam zoals Contoso of een locatie zoals Londen te blokkeren, bijvoorbeeld.
Voor hybride beveiliging kunt u Microsoft Entra-wachtwoordbeveiliging integreren met een on-premises Active Directory-omgeving. Een onderdeel dat in de on-premises omgeving is geïnstalleerd, ontvangt de lijst met verboden wachtwoorden en het aangepaste beleid voor wachtwoordbeveiliging van Microsoft Entra ID. Domeincontrollers gebruiken die informatie vervolgens om wachtwoordwijzigingen te verwerken. Deze hybride benadering zorgt ervoor dat ongeacht hoe of waar gebruikers hun referenties wijzigen, het gebruik van sterke wachtwoorden afdwingen.
Verificatie zonder wachtwoord
Het doel van veel omgevingen is om het gebruik van wachtwoorden als onderdeel van aanmeldingsgebeurtenissen te verwijderen. Functies zoals Azure-wachtwoordbeveiliging of Microsoft Entra MFA helpen de beveiliging te verbeteren, maar een combinatie van gebruikersnaam en wachtwoord blijft een zwakke vorm van verificatie die kan worden blootgesteld of aangevallen.
Wanneer gebruikers zich aanmelden zonder wachtwoord, geven ze referenties op met behulp van methoden zoals:
- Biometrie met Windows Hello voor Bedrijven.
- Een FIDO2-beveiligingssleutel.
Een aanvaller kan deze verificatiemethoden niet eenvoudig dupliceren.
Microsoft Entra ID biedt manieren om systeemeigen verificatie uit te voeren met behulp van methoden zonder wachtwoord om de aanmeldingservaring voor gebruikers te vereenvoudigen en het risico op aanvallen te verminderen.
Verwante inhoud
- Zie de zelfstudie voor Microsoft Entra SSPR en de zelfstudie voor Microsoft Entra MFA om aan de slag te gaan.
- Zie Hoe het werkt voor meer informatie over SSPR-concepten: Selfservice voor wachtwoordherstel van Microsoft Entra.
- Zie Hoe het werkt voor meer informatie over MFA-concepten : Meervoudige verificatie van Microsoft Entra.