Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Verificatie is een beveiligingsproces waarmee de identiteit van een gebruiker wordt geverifieerd voordat toegang wordt verleend tot apps, services, apparaten of netwerken.
Verificatiemethoden die worden ondersteund door Microsoft Entra-id
In de volgende tabel wordt beschreven wanneer een verificatiemethode kan worden gebruikt voor primaire verificatie (eerste factor), secundaire verificatie met Microsoft Entra meervoudige verificatie (MFA), selfservice voor wachtwoordherstel (SSPR) of accountherstel.
| Methode | Primaire authenticatie | Secundaire authenticatie | SSPR/Accountherstel |
|---|---|---|---|
| Authenticator Lite | Nee. | MFA (Multi-Factor Authenticatie) | Nee. |
| Verificatie op basis van certificaat | Yes | MFA (Multi-Factor Authenticatie) | Nee. |
| OTP- e-mailen | Nee. | SSPR en aanmelding2 | SSPR |
| Externe MFA | Nee. | MFA (Multi-Factor Authenticatie) | Nee. |
| Hardware OATH-token (voorvertoning) | Nee. | MFA (Multi-Factor Authenticatie) | SSPR |
| Microsoft Authenticator zonder wachtwoord | Yes | Nee. | Nee. |
| Pushmeldingen van Microsoft Authenticator | Yes | MFA (Multi-Factor Authenticatie) | SSPR |
| Wachtwoordsleutel (FIDO2) | Yes | MFA (Multi-Factor Authenticatie) | Nee. |
| Wachtwoordsleutel in Microsoft Authenticator | Yes | MFA (Multi-Factor Authenticatie) | Nee. |
| Wachtwoord | Yes | Nee. | Nee. |
| Platformreferentie voor macOS | Yes | MFA (Multi-Factor Authenticatie) | Nee. |
| QR-code | Yes | Nee. | Nee. |
| Sms-aanmelding | Yes | MFA (Multi-Factor Authenticatie) | SSPR |
| Software OATH-tokens | Nee. | MFA (Multi-Factor Authenticatie) | SSPR |
| Gesynchroniseerde wachtwoordsleutel | Yes | MFA (Multi-Factor Authenticatie) | Nee. |
| Tijdelijke toegangspas (TAP) | Yes | MFA (Multi-Factor Authenticatie) | Nee. |
| Geverifieerde id3 | Nee. | Nee. | Accountherstel |
| Spraakoproep | Nee. | MFA (Multi-Factor Authenticatie) | SSPR |
| Windows Hello voor Bedrijven | Yes | MFA1 | Nee. |
1Windows Hello voor Bedrijven kan fungeren als een stapsgewijze MFA-referentie als een gebruiker is ingeschakeld voor wachtwoordsleutel (FIDO2) en een wachtwoordsleutel heeft geregistreerd.
2E-mail OTP is beschikbaar voor tenantleden voor selfservice voor wachtwoordherstel (SSPR). U kunt deze ook configureren voor aanmelding door gastgebruikers.
3Geverifieerde id is een mogelijkheid voor identiteitsverificatie, niet een traditionele verificatiemethode. Het biedt een bewijs van identiteit voor accountherstel, maar kan niet worden gebruikt voor aanmelding, MFA of SSPR.
Verificatiemethoden die bestand zijn tegen phishing
Hoewel traditionele MFA met sms-, e-mail OTP- of verificator-apps de beveiliging ten opzichte van systemen met alleen wachtwoorden aanzienlijk verbetert, zorgen deze opties voor wrijving: het vereisen van extra stappen voor gebruikers, zoals het invoeren van codes, het goedkeuren van pushmeldingen of het gebruik van authenticator-apps. Bovendien zijn deze MFA-opties gevoelig voor externe phishingaanvallen. Bij een externe phishing-aanval gebruiken aanvallers social engineering en AI-gestuurde hulpprogramma's om identiteitsreferenties, zoals wachtwoorden of eenmalige codes, te stelen zonder fysieke toegang tot het apparaat van een gebruiker.
Microsoft raadt aan om phishingbestendige verificatiemethoden zoals Windows Hello voor Bedrijven, wachtwoordsleutels (FIDO2) en FIDO2-beveiligingssleutels of verificatie op basis van certificaten (CBA) te gebruiken, omdat ze de veiligste aanmeldingservaring bieden.
De volgende phishingbestendige verificatiemethoden zijn beschikbaar in Microsoft Entra ID:
- Windows Hello voor Bedrijven
- Platformreferenties voor macOS
- Gesynchroniseerde wachtwoordsleutels (FIDO2)
- FIDO2-beveiligingssleutels
- Wachtwoordsleutels in Microsoft Authenticator
- Verificatie op basis van certificaten (CBA)
Verificatie van geverifieerde id-identiteit
Geverifieerde id is een mogelijkheid voor identiteitsverificatie in Microsoft Entra ID, niet een traditionele verificatiemethode. Het kan niet worden gebruikt om te voldoen aan verificatievereisten, zoals aanmelden, MFA of SSPR. In plaats daarvan biedt geverifieerde id cryptografisch bewijs van de geverifieerde identiteit van een gebruiker voor scenario's waarin vertrouwen opnieuw tot stand moet worden gebracht, zoals accountherstel wanneer alle verificatiemethoden verloren gaan.
Profielen voor identiteitsverificatie bepalen welke gebruikers kunnen deelnemen aan geverifieerde id-stromen, welke provider verificatie uitvoert en hoe identiteitsclaims worden gevalideerd. Beheerders configureren profielen via de wizard Accountherstel in de Microsoft Entra-beheercentrum en de pagina Geverifieerd id-beleid biedt inzicht in profieltoewijzingen en globale uitsluitingen.
Zie het overzicht van verificatie van geverifieerde id-identiteiten voor meer informatie.
Accountherstel met hoge betrouwbaarheid
Accountherstel is het proces om gebruikers te helpen die al hun referenties verloren hebben en geen toegang meer hebben tot hun account. Normaal gesproken belt een gebruiker de helpdesk, beantwoordt vragen om zijn identiteit te verifiëren en stelt de helpdesk zijn referenties opnieuw in. Microsoft Entra ID ondersteunt nu door de overheid uitgegeven ID-verificatie met biometrisch matchen voor herstel van accounts met hoge zekerheid, waardoor de noodzaak van helpdesk-interventie wordt weggenomen en social engineering-risico's worden geëlimineerd.
Organisaties kunnen kiezen uit toonaangevende id-verificatieproviders (IDV) via de Microsoft Beveiliging Store. Deze partners bieden dekking in 192 landen/regio's en externe verificatie voor de meeste door de overheid uitgegeven id-documenten, waaronder rijbewijs en paspoorten. Microsoft Entra geverifieerde ID Face Check, mogelijk gemaakt door Azure AI-services, controleert het bewijs van aanwezigheid door de realtime selfie van een gebruiker te vergelijken met de foto van het identiteitsdocument. Alleen het resultaat van de overeenkomst wordt gedeeld, geen gevoelige identiteitsgegevens, waardoor de privacy van de gebruiker behouden blijft en tegelijkertijd een sterke identiteitsgarantie wordt geboden.