Microsoft Authenticator configureren voor op Active Directory gebaseerde acties
Microsoft Authenticator is een verificatiemethode, ontwikkeld door Microsoft, die gebruik maakt van een eenmalig, op tijd gebaseerd wachtwoord (TOTP) voor het controleren van gebruikersidentiteiten. Dit wordt vaak gebruikt in combinatie met verificatiemethoden voor meervoudige verificatie (MFA) om het aanmeldingsproces van kritieke services te beveiligen.
U hebt de Microsoft Authenticator-app nodig om te verifiëren met deze methode. Voor het eenmalig aanmelden voert de gebruiker de referenties in. De service vraagt de gebruiker om zich te valideren met het zescijferige TOTP dat is gegenereerd op de MS Authenticator-app.
Microsoft Authenticator gebruiken voor op AD gebaseerde verificatie:
Beheerders geven gebruikers van het Active Directory-domein vaak de mogelijkheid om de selfservice voor het opnieuw instellen van wachtwoorden te gebruiken. Hiermee,
- hoeven gebruikers hoeven niet te wachten op de tussenkomst van beheerders of de helpdesk en kunnen naadloos toegang krijgen tot hun machines.
- De helpdesk of beheerder zal niet worden belast met honderden aanvragen voor het opnieuw instellen van wachtwoorden en kan in plaats daarvan aandacht besteden aan andere cruciale taken.
Het kan echter gevaarlijk zijn voor beheerders om deze optie toe te staan omdat dit het beveiligingsrisico verhoogt. Omdat gebruikers vaak geen details worden gevraagd over de oude referenties, moeten hun identiteiten worden geverifieerd in een andere vorm voordat ze kunnen doorgaan met de selfservice voor het opnieuw instellen van het wachtwoord. Het gebruik van een verificatiemethode zoals Microsoft Authenticator, is een veilige manier voor het controleren van een gebruikersidentiteit voordat u hen toestaat om door te gaan met het opnieuw instellen van het wachtwoord.
ADSelfService Plus, een Active Directory selfservice-oplossing voor het opnieuw instellen van wachtwoorden en eenmalige aanmelding, biedt een optie voor het zelf opnieuw instellen van wachtwoorden, beveiligd door MFA. De oplossing ondersteunt 18 verificatiemethoden, inclusief Microsoft Authenticator, beveiligingsvragen en -antwoorden en YubiKey Authenticator voor hetcontroleren van gebruikersidentiteiten tijdens:
- Windows-, macOS-, en Linux-aanmeldingen.
- Active Directory selfservice-acties voor wachtwoord opnieuw instellen of accountontgrendeling via de ADSelfService-portal, de mobiele app ADSelfService Plus en het systeemeigen Windows-, macOS- en Linux-aanmeldingsscherm.
- Aanmelding bij bedrijfstoepassingen via eenmalige aanmelding (SSO).
- Zelf bijwerken van profielgegevens Active Directory, abonnement bij mailgroepen en Medewerkers zoeken met ADSelfService Plus.
Microsoft Authenticator voor MFA inschakelen kan gebeuren met minimale stappen in ADSelfService Plus:
- Ga naar Configuratie → Selfservice → Meervoudige verificatie → Instelling authenticators.
- Selecteer een beleid in de vervolgkeuzelijst Het beleid kiezen.
Opmerking: Met ADSelfService Plus kunt u op OU en op groepen gebaseerde beleidslijnen maken. Ga voor het maken van een beleid naar Configuratie → Selfservice → Beleidsconfiguratie → Nieuw beleid toevoegen. Klik op OU's/groepen selecteren en maak een keuze op basis van uw behoeften. U moet minstens één selfservicefunctie selecteren. Klik tot slot op Beleid opslaan. Alleen gebruikers die horen bij OU's en groepen die zijn opgenomen in het beleid, kunnen de geselecteerde selfservice-functie(s) uitvoeren.
- Klik op de sectie Microsoft Authenticator.
- Klik op de knop Microsoft Authenticator inschakelen.
Microsoft Authenticator inschakelen voor het opnieuw instellen van Active Directory-wachtwoorden
- 1. Ga naar Configuratie → Selfservice → Meervoudige verificatie → MFA/TFA-instellingen. Voer in de sectie MFA voor opnieuw instellen/ontgrendelen, het aantal af te dwingen verificatiefactoren in en selecteer Microsoft Authenticator samen met enige andere verificatietechnieken die moeten worden gebruikt.
- 2. Klik op Instellingen opslaan.
Microsoft Authenticator inschakelen voor aanmeldingen bij het Active Directory-domein
- 1. Ga naar Configuratie → Selfservice → Meervoudige verificatie → MFA voor eindpunten.
- 2. Selecteer een beleid in de vervolgkeuzelijst Het beleid kiezen. Dit zal bepalen welke verificatiemethoden zijn ingeschakeld voor welke set gebruikers.
3. Opmerking: Met ADSelfService Plus kunt u op OU en op groepen gebaseerde beleidslijnen maken. Ga voor het maken van een beleid naar Configuratie→ Selfservice → Beleidsconfiguratie → Nieuw beleid toevoegen. Klik op OU's/groepen selecteren en maak een keuze op basis van uw vereisten. U moet minstens één selfservicefunctie selecteren. Klik tot slot op Beleid opslaan.
- 4. Schakel in de sectie MFA voor machine-aanmelding het selectievakje Verificatiefactoren inschakelen in en selecteer de Microsoft Authenticator in de vervolgkeuzelijst.
- 5. Klik op Instellingen opslaan.
Opmerking:
MFA voor aanmeldingen bij het Active Directory-domein inschakelen:
- De ADSelfService Plus aanmeldingsagent moet worden geïnstalleerd op clientmachines. Klik hier voor de installatiestappen van de aanmeldingsagent .
- SSL moet ingeschakeld zijn: Meld aan bij de webconsole van ADSelfService Plus met beheerdersreferenties. Ga naar het tabblad Beheerder → Productinstellingen → Verbinding. Selecteer de optie ADSelfService Plus-poort [https].
Lees meer over ADSelfService Plus en de meervoudige verificatiefunctie.