Aanmelden zonder wachtwoord inschakelen met Microsoft Authenticator

  • Artikel

Microsoft Authenticator kan worden gebruikt om u aan te melden bij een Microsoft Entra-account zonder een wachtwoord te gebruiken. Microsoft Authenticator maakt gebruik van verificatie op basis van sleutels om een gebruikersreferentie in te schakelen die is gekoppeld aan een apparaat, waarbij het apparaat gebruikmaakt van een pincode of biometrische gegevens. Windows Hello voor Bedrijven maakt gebruik van een vergelijkbare technologie.

Deze verificatietechnologie kan worden gebruikt op elk apparaatplatform, inclusief mobiel. Deze technologie kan ook worden gebruikt met elke app of website die kan worden geïntegreerd met Microsoft Authentication Libraries.

Schermopname van een voorbeeld van een browseraanmelding waarin de gebruiker wordt gevraagd om de aanmelding goed te keuren.

Mensen wie aanmelding via de telefoon van Microsoft Authenticator heeft ingeschakeld, ziet u een bericht waarin wordt gevraagd om op een nummer in de app te tikken. Er wordt geen gebruikersnaam of wachtwoord gevraagd. Om het aanmeldingsproces in de app te voltooien, moet een gebruiker de volgende acties uitvoeren:

  1. Voer het nummer in dat ze op het aanmeldingsscherm zien in het dialoogvenster Microsoft Authenticator.
  2. Kies Goedkeuren.
  3. Geef hun pincode of biometrische gegevens op.

Meerdere accounts in iOS

U kunt aanmelding zonder wachtwoord inschakelen voor meerdere accounts in Microsoft Authenticator op elk ondersteund iOS-apparaat. Consultants, studenten en anderen met meerdere accounts in Microsoft Entra ID kunnen elk account toevoegen aan Microsoft Authenticator en aanmelding zonder wachtwoord gebruiken voor alle accounts vanaf hetzelfde iOS-apparaat.

Voorheen hebben beheerders mogelijk geen aanmelding zonder wachtwoord nodig voor gebruikers met meerdere accounts, omdat hiervoor meer apparaten moeten worden gebruikt voor aanmelding. Door de beperking van één gebruikersaanmelding van een apparaat te verwijderen, kunnen beheerders gebruikers aanmoedigen om zich zonder wachtwoord aan te melden en deze te gebruiken als hun standaardaanmeldingsmethode.

De Microsoft Entra-accounts kunnen zich in dezelfde tenant of verschillende tenants bevinden. Gastaccounts worden niet ondersteund voor aanmeldingen van meerdere accounts vanaf één apparaat.

Vereisten

Als u aanmelding zonder wachtwoord wilt gebruiken met Microsoft Authenticator, moet aan de volgende vereisten worden voldaan:

  • Aanbevolen: Meervoudige verificatie van Microsoft Entra, waarbij pushmeldingen zijn toegestaan als verificatiemethode. Pushmeldingen verzenden naar uw smartphone of tablet helpen de Authenticator-app om onbevoegde toegang tot accounts te voorkomen en frauduleuze transacties te stoppen. De Authenticator-app genereert automatisch codes wanneer deze zijn ingesteld om pushmeldingen uit te voeren. Een gebruiker heeft een aanmeldingsmethode voor back-ups, zelfs als het apparaat geen verbinding heeft.
  • De nieuwste versie van Microsoft Authenticator die is geïnstalleerd op apparaten met iOS of Android.
  • Voor Android moet het apparaat waarop Microsoft Authenticator wordt uitgevoerd, worden geregistreerd bij een afzonderlijke gebruiker. We werken actief aan het inschakelen van meerdere accounts op Android.
  • Voor iOS moet het apparaat worden geregistreerd bij elke tenant waar het wordt gebruikt om u aan te melden. Het volgende apparaat moet bijvoorbeeld zijn geregistreerd bij Contoso en Wingtiptoys, zodat alle accounts zich kunnen aanmelden:
    • balas@contoso.com
    • balas@wingtiptoys.com en bsandhu@wingtiptoys

Als u verificatie zonder wachtwoord in Microsoft Entra ID wilt gebruiken, moet u eerst de gecombineerde registratie-ervaring inschakelen en vervolgens gebruikers inschakelen voor de methode zonder wachtwoord.

Verificatiemethoden voor aanmelden zonder wachtwoord inschakelen

Tip

Stappen in dit artikel kunnen enigszins variëren op basis van de portal waaruit u begint.

Met Microsoft Entra ID kunt u kiezen welke verificatiemethoden tijdens het aanmeldingsproces kunnen worden gebruikt. Gebruikers registreren zich vervolgens voor de methoden die ze willen gebruiken. Het verificatiemethodebeleid van Microsoft Authenticator beheert zowel de traditionele push-MFA-methode als de verificatiemethode zonder wachtwoord.

Notitie

Als u microsoft Authenticator-aanmelding zonder wachtwoord hebt ingeschakeld met behulp van PowerShell, is deze ingeschakeld voor uw hele map. Als u deze nieuwe methode inschakelt, wordt het PowerShell-beleid vervangen. U wordt aangeraden alle gebruikers in uw tenant in te schakelen via het menu Nieuwe verificatiemethoden , anders kunnen gebruikers die zich niet in het nieuwe beleid bevinden zich niet aanmelden zonder een wachtwoord.

Voer de volgende stappen uit om de verificatiemethode in te schakelen voor aanmelding zonder wachtwoord:

  1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleid Beheer istrator.

  2. Blader naar >beleid voor beveiligingsverificatiemethoden.>

  3. Kies onder Microsoft Authenticator de volgende opties:

    1. Inschakelen: Ja of Nee
    2. Doel: Alle gebruikers of Gebruikers selecteren

  4. Elke toegevoegde groep of gebruiker is standaard ingeschakeld om Microsoft Authenticator te gebruiken in zowel modus voor wachtwoordloze als pushmeldingen ('Any'). Als u de modus wilt wijzigen, kiest u voor elke rij voor de verificatiemodus Alle of Zonder wachtwoord. Als u Push kiest, wordt het gebruik van de aanmeldingsreferentie voor de telefoon zonder wachtwoord voorkomen.

  5. Als u het nieuwe beleid wilt toepassen, klikt u op Opslaan.

    Notitie

    Als er een fout wordt weergegeven wanneer u probeert op te slaan, kan dit worden veroorzaakt door het aantal gebruikers of groepen dat wordt toegevoegd. Als tijdelijke oplossing vervangt u de gebruikers en groepen die u probeert toe te voegen door één groep, in dezelfde bewerking en selecteert u Opslaan opnieuw.

Gebruikersregistratie

Gebruikers registreren zich voor de verificatiemethode zonder wachtwoord van Microsoft Entra ID. Voor gebruikers die de Microsoft Authenticator-app al hebben geregistreerd voor meervoudige verificatie, gaat u naar de volgende sectie en schakelt u aanmelding via de telefoon in.

Aanmeldingsregistratie voor directe telefoon

Gebruikers kunnen zich rechtstreeks registreren voor telefoon zonder wachtwoord in de Microsoft Authenticator-app, zonder dat ze Microsoft Authenticator eerst hoeven te registreren met hun account, allemaal zonder dat ze een wachtwoord hoeven op te halen. U doet dit als volgt:

  1. Verkrijg een tijdelijke toegangspas van uw Beheer of organisatie.
  2. Download en installeer de Microsoft Authenticator-app op uw mobiele apparaat.
  3. Open Microsoft Authenticator en klik op Account toevoegen en kies vervolgens Werk- of schoolaccount.
  4. Kies Aanmelden.
  5. Volg de instructies om u aan te melden met uw account met behulp van de tijdelijke toegangspas van uw Beheer of organisatie.
  6. Zodra u zich hebt aangemeld, gaat u verder met het volgen van de aanvullende stappen voor het instellen van telefoon-aanmelding.

Begeleide registratie met Mijn aanmeldingen

Notitie

Gebruikers kunnen Microsoft Authenticator alleen registreren via gecombineerde registratie als de verificatiemodus van Microsoft Authenticator is ingesteld op Any of Push.

Voer de volgende stappen uit om de Microsoft Authenticator-app te registreren:

  1. Blader naar https://aka.ms/mysecurityinfo.
  2. Meld u aan en selecteer vervolgens Methode>Authenticator-app>Toevoegen om Microsoft Authenticator toe te voegen.
  3. Volg de instructies voor het installeren en configureren van de Microsoft Authenticator-app op uw apparaat.
  4. Selecteer Gereed om de Configuratie van Microsoft Authenticator te voltooien.

Telefoon aanmelden inschakelen

Nadat gebruikers zich hebben geregistreerd voor de Microsoft Authenticator-app, moeten ze zich aanmelden via de telefoon inschakelen:

  1. Selecteer in Microsoft Authenticator het account dat is geregistreerd.
  2. Selecteer Aanmelden via telefoon inschakelen.
  3. Volg de instructies in de app om het account te registreren voor aanmelding zonder wachtwoord.

Een organisatie kan de gebruikers omsturen om zich aan te melden met hun telefoon, zonder een wachtwoord te gebruiken. Zie Aanmelden bij uw accounts met behulp van de Microsoft Authenticator-app voor meer hulp bij het configureren van Microsoft Authenticator en het inschakelen van telefoon-aanmelding.

Notitie

Gebruikers die niet zijn toegestaan door beleid voor het gebruik van telefooninloggen, kunnen deze niet meer inschakelen in Microsoft Authenticator.

Aanmelden met referenties zonder wachtwoord

Een gebruiker kan aanmelding zonder wachtwoord gaan gebruiken nadat alle volgende acties zijn voltooid:

  • Een beheerder heeft de tenant van de gebruiker ingeschakeld.
  • De gebruiker heeft Microsoft Authenticator toegevoegd als aanmeldingsmethode.

De eerste keer dat een gebruiker het aanmeldingsproces voor de telefoon start, voert de gebruiker de volgende stappen uit:

  1. Voer hun naam in op de aanmeldingspagina.
  2. Selecteert volgende.
  3. Selecteert indien nodig andere manieren om u aan te melden.
  4. Selecteert Een aanvraag goedkeuren voor mijn Authenticator-app.

De gebruiker krijgt vervolgens een getal te zien. De app vraagt de gebruiker om zich te verifiëren door het juiste nummer te typen in plaats van een wachtwoord in te voeren.

Nadat de gebruiker aanmelding zonder wachtwoord heeft gebruikt, blijft de app de gebruiker door deze methode leiden. De gebruiker ziet echter de optie om een andere methode te kiezen.

Schermopname van een voorbeeld van een browseraanmelding met behulp van de Microsoft Authenticator-app.

Tijdelijke toegangspas

Als de tenantbeheerder selfservice voor wachtwoordherstel (SSPR) heeft ingeschakeld en een gebruiker zich voor het eerst aanmeldt zonder wachtwoord met de Authenticator-app met behulp van een tijdelijk toegangswachtwoord, moet u de volgende stappen uitvoeren:

  1. De gebruiker moet een browser openen op een mobiel apparaat of desktop en naar de infopagina mySecurity gaan.
  2. De gebruiker moet de Authenticator-app registreren als aanmeldingsmethode. Met deze actie wordt het account van de gebruiker gekoppeld aan de app.
  3. De gebruiker moet vervolgens terugkeren naar hun mobiele apparaat en aanmelden zonder wachtwoord activeren via de Authenticator-app.

Beheer

Het beleid voor verificatiemethoden is de aanbevolen manier om Microsoft Authenticator te beheren. Verificatiebeleid Beheer istrators kunnen dit beleid bewerken om Microsoft Authenticator in of uit te schakelen. Beheer kunnen specifieke gebruikers en groepen opnemen of uitsluiten van het gebruik ervan.

Beheer s kunnen ook parameters configureren om beter te bepalen hoe Microsoft Authenticator kan worden gebruikt. Ze kunnen bijvoorbeeld locatie- of app-naam toevoegen aan de aanmeldingsaanvraag, zodat gebruikers meer context hebben voordat ze goedkeuren.

Globale Beheer istrators kunnen Microsoft Authenticator ook op tenant-brede basis beheren met behulp van verouderde MFA- en SSPR-beleidsregels. Met deze beleidsregels kan Microsoft Authenticator worden ingeschakeld of uitgeschakeld voor alle gebruikers in de tenant. Er zijn geen opties om iemand op te nemen of uit te sluiten, of om te bepalen hoe Microsoft Authenticator kan worden gebruikt voor aanmelding.

Bekende problemen

De volgende bekende problemen bestaan.

Optie voor aanmelden zonder wachtwoord voor telefoon niet zien

In één scenario kan een gebruiker een niet-beantwoorde verificatie voor telefoonaanmelding zonder wachtwoord hebben die in behandeling is. Als de gebruiker zich opnieuw probeert aan te melden, ziet deze mogelijk alleen de optie om een wachtwoord in te voeren.

Volg deze stappen om dit scenario op te lossen:

  1. Open Microsoft Authenticator.
  2. Reageren op eventuele meldingsprompts.

Vervolgens kan de gebruiker aanmelding zonder wachtwoord blijven gebruiken.

AuthenticatorAppSignInPolicy wordt niet ondersteund

AuthenticatorAppSignInPolicy is een verouderd beleid dat niet wordt ondersteund met Microsoft Authenticator. Gebruik het beleid Verificatiemethoden om uw gebruikers in staat te stellen voor pushmeldingen of aanmelding zonder wachtwoord met de Authenticator-app.

Federatieve accounts

Wanneer een gebruiker referenties zonder wachtwoord heeft ingeschakeld, wordt het aanmeldingsproces van Microsoft Entra gestopt met het gebruik van de login_hint. Daarom versnelt het proces de gebruiker niet meer naar een federatieve aanmeldingslocatie.

Deze logica voorkomt in het algemeen dat een gebruiker in een hybride tenant wordt omgeleid naar Active Directory Federated Services (AD FS) voor aanmeldingsverificatie. De gebruiker behoudt echter de optie om in plaats daarvan op Uw wachtwoord gebruiken te klikken.

On-premises gebruikers

Een eindgebruiker kan worden ingeschakeld voor meervoudige verificatie via een on-premises id-provider. De gebruiker kan nog steeds één aanmeldingsreferentie zonder wachtwoord maken en gebruiken.

Als de gebruiker probeert meerdere installaties (5+) van Microsoft Authenticator bij te werken met de aanmeldingsreferentie voor het wachtwoordloze telefoon, kan deze wijziging leiden tot een fout.

Volgende stappen

Zie de volgende artikelen voor meer informatie over Microsoft Entra-verificatie en methoden zonder wachtwoord: