Meervoudige verificatie van Microsoft Entra per gebruiker inschakelen om aanmeldingsgebeurtenissen te beveiligen
Als u aanmeldingsgebeurtenissen van gebruikers in Microsoft Entra ID wilt beveiligen, kunt u Meervoudige Verificatie (MFA) van Microsoft Entra vereisen. De beste manier om gebruikers te beveiligen met Microsoft Entra MFA is door een beleid voor voorwaardelijke toegang te maken. Voorwaardelijke toegang is een Microsoft Entra ID P1- of P2-functie waarmee u regels kunt toepassen om MFA te vereisen als dat nodig is in bepaalde scenario's. Om aan de slag te gaan met voorwaardelijke toegang, zie Zelfstudie: Aanmeldingsgebeurtenissen van gebruikers beveiligen met Meervoudige verificatie van Microsoft Entra.
Voor Microsoft Entra ID Free-tenants zonder voorwaardelijke toegang kunt u de standaardinstellingen voor beveiliging gebruiken om gebruikers te beveiligen. Gebruikers worden zo nodig om MFA gevraagd, maar u kunt uw eigen regels niet definiëren om dit te beheren.
Indien nodig kunt u in plaats daarvan elk account inschakelen voor Microsoft Entra MFA per gebruiker. Wanneer u gebruikers afzonderlijk inschakelt, voeren ze MFA uit telkens wanneer ze zich aanmelden. U kunt uitzonderingen inschakelen, zoals wanneer ze zich aanmelden vanaf vertrouwde IP-adressen of wanneer de functie MFA onthouden op vertrouwde apparaten is ingeschakeld.
Het wijzigen van gebruikersstatussen wordt niet aanbevolen, tenzij uw Microsoft Entra ID-licenties geen voorwaardelijke toegang bevatten en u geen standaardinstellingen voor beveiliging wilt gebruiken. Zie Functies en licenties voor Meervoudige Verificatie van Microsoft Entra voor meer informatie over de verschillende manieren om MFA in te schakelen.
Belangrijk
In dit artikel wordt beschreven hoe u de status voor meervoudige verificatie per gebruiker van Microsoft Entra kunt bekijken en wijzigen. Als u de standaardinstellingen voor voorwaardelijke toegang of beveiliging gebruikt,kunt u gebruikersaccounts niet controleren of inschakelen met behulp van deze stappen.
Als u Meervoudige verificatie van Microsoft Entra inschakelt via een beleid voor voorwaardelijke toegang, wordt de status van de gebruiker niet gewijzigd. Schrik niet als gebruikers niet meer beschikbaar zijn. Voorwaardelijke toegang wijzigt de status niet.
Schakel Microsoft Entra-meervoudige verificatie per gebruiker niet in of af als u beleid voor voorwaardelijke toegang gebruikt.
De status van een gebruiker geeft aan of een verificatiebeheerder deze heeft ingeschreven bij Meervoudige Verificatie per gebruiker in Microsoft Entra. Gebruikersaccounts in Microsoft Entra multifactor authentication hebben de volgende drie verschillende statussen:
| Staat | Beschrijving | Verouderde authenticatie is beïnvloed. | Browser-apps beïnvloed | Moderne authenticatie beïnvloed |
|---|---|---|---|---|
| Uitgeschakeld | De standaardstatus voor een gebruiker die niet is ingeschreven in Microsoft Entra multifactor-authenticatie per gebruiker. | Nee | Nee | Nee |
| Ingeschakeld | De gebruiker is geregistreerd bij Microsoft Entra-meervoudige verificatie per gebruiker, maar kan nog steeds hun wachtwoord gebruiken voor verouderde verificatie. Als de gebruiker geen geregistreerde MFA-verificatiemethoden heeft, ontvangen ze een prompt om zich de volgende keer te registreren met moderne verificatie (bijvoorbeeld wanneer ze zich aanmelden in een webbrowser). | Nee Verouderde authenticatie blijft werken totdat het registratieproces is voltooid. | Ja. Nadat de sessie is verlopen, is registratie voor meervoudige verificatie van Microsoft Entra vereist. | Ja. Nadat het toegangstoken is verlopen, is registratie voor meervoudige verificatie van Microsoft Entra vereist. |
| Afgedwongen | De gebruiker is per gebruiker aangemeld voor Microsoft Entra multifactorauthenticatie. Als de gebruiker geen geregistreerde verificatiemethoden heeft, ontvangen ze een prompt om zich de volgende keer te registreren met moderne verificatie (bijvoorbeeld wanneer ze zich aanmelden in een webbrowser). Gebruikers die de registratie voltooien terwijl ze zijn ingeschakeld , worden automatisch verplaatst naar de status Afgedwongen . | Ja. Voor apps zijn app-wachtwoorden vereist. | Ja. Microsoft Entra meervoudige verificatie is vereist bij het aanmelden. | Ja. Microsoft Entra meervoudige verificatie is vereist bij het aanmelden. |
Alle gebruikers starten Uitgeschakeld. Wanneer u gebruikers aanmeldt voor Microsoft Entra multifactorauthenticatie per gebruiker, verandert de status naar Ingeschakeld. Wanneer ingeschakelde gebruikers zich aanmelden en het registratieproces voltooien, wordt de status gewijzigd in Afgedwongen. Beheerders kunnen gebruikers verplaatsen tussen statussen, waaronder van Afgedwongen naar Ingeschakeld of Uitgeschakeld.
Notitie
Als MFA per gebruiker opnieuw is ingeschakeld voor een gebruiker en de gebruiker zich niet opnieuw registreert, wordt de MFA-status niet overgezet van Ingeschakeld naar Afgedwongen in de gebruikersinterface van MFA-beheer. De beheerder moet de gebruiker direct naar Afgedwongen verplaatsen.
De MFA-beheerervaring per gebruiker in het Microsoft Entra-beheercentrum is onlangs verbeterd. Voer de volgende stappen uit om gebruikersstatussen weer te geven en te beheren:
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleidsbeheerder.
Blader naar Identiteit>Gebruikers>Alle gebruikers.
Selecteer een gebruikersaccount en selecteer MFA-instellingen voor gebruikers.
Nadat u wijzigingen hebt aangebracht, selecteert u Opslaan.
Als u probeert duizenden gebruikers te sorteren, kan het voorkomen dat het resultaat keurig aangeeft Er zijn geen gebruikers om weer te geven. Probeer specifiekere zoekcriteria in te voeren om de zoekopdracht te beperken of specifieke status - of weergavefilters toe te passen.
Voer de volgende stappen uit om de meervoudige verificatiestatus van Microsoft Entra per gebruiker voor een gebruiker te wijzigen:
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleidsbeheerder.
Blader naar Identiteit>Gebruikers>Alle gebruikers.
Selecteer een gebruikersaccount en selecteer MFA-inschakelen.
Tip
Ingeschakelde gebruikers worden automatisch overgeschakeld naar Afgedwongen wanneer ze zich registreren voor Meervoudige Verificatie van Microsoft Entra. Wijzig de gebruikersstatus niet handmatig in Afgedwongen, tenzij de gebruiker al is geregistreerd of als het acceptabel is dat de gebruiker onderbrekingen ondervindt in verbindingen met verouderde verificatieprotocollen.
Bevestig uw selectie in het pop-upvenster dat wordt geopend.
Nadat u gebruikers hebt ingeschakeld, meldt u hen per e-mail. Laat de gebruikers weten dat er de volgende keer dat ze zich aanmelden een prompt wordt weergegeven om hen te vragen zich te registreren. Als uw organisatie toepassingen gebruikt die niet worden uitgevoerd in een browser of moderne verificatie ondersteunen, kunt u toepassingswachtwoorden maken. Zie Meervoudige verificatie van Microsoft Entra afdwingen met verouderde toepassingen met behulp van app-wachtwoorden voor meer informatie.
U kunt MFA-instellingen per gebruiker beheren met behulp van de Microsoft Graph REST API Beta. U kunt het verificatieresourcetype gebruiken om statussen van de verificatiemethode beschikbaar te maken voor gebruikers.
Als u MFA per gebruiker wilt beheren, gebruikt u de eigenschap perUserMfaState binnen gebruikers/id/verificatie/vereisten. Zie strongAuthenticationRequirements-resourcetype voor meer informatie.
De meervoudige verificatiestatus per gebruiker voor een gebruiker ophalen:
GET /users/{id | userPrincipalName}/authentication/requirements
Voorbeeld:
GET https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements
Als de gebruiker is ingeschakeld voor MFA per gebruiker, is het antwoord:
HTTP/1.1 200 OK
Content-Type: application/json
{
"perUserMfaState": "enforced"
}
Zie Statussen van verificatiemethode ophalen voor meer informatie.
Als u de meervoudige verificatiestatus voor een gebruiker wilt wijzigen, gebruikt u de strongAuthenticationRequirements van de gebruiker. Voorbeeld:
PATCH https://graph.microsoft.com/beta/users/071cc716-8147-4397-a5ba-b2105951cc0b/authentication/requirements
Content-Type: application/json
{
"perUserMfaState": "disabled"
}
Als dit lukt, is het antwoord:
HTTP/1.1 204 No Content
Zie Statussen van de verificatiemethode bijwerken voor meer informatie.
Zie Microsoft Entra meervoudige verificatie-instellingen configureren voor het configureren van de instellingen voor meervoudige verificatie van Microsoft Entra.
Zie Gebruikersinstellingen beheren met Meervoudige Verificatie van Microsoft Entra als u gebruikersinstellingen wilt beheren met Meervoudige Verificatie van Microsoft Entra.
Als u wilt weten waarom een gebruiker wel of niet werd gevraagd om MFA uit te voeren, raadpleegt u de Microsoft Entra-rapporten voor meervoudige verificatie.