Meervoudige verificatie instellen voor Microsoft 365

Meervoudige verificatie (ook wel bekend als MFA, tweeledige verificatie of 2FA) vereist een tweede verificatiemethode voor gebruikersaanmelding en verbetert de accountbeveiliging.

Dit artikel bevat instructies voor het instellen van MFA met behulp van de beschikbare opties:

• Standaardinstellingen voor beveiliging: beschikbaar in alle Microsoft 365-organisaties via Microsoft Entra ID Gratis.
• Beleid voor voorwaardelijke toegang: beschikbaar in Microsoft 365-organisaties met Microsoft Entra ID P1 of P2.
• Verouderde MFA per gebruiker (niet aanbevolen): beschikbaar in alle Microsoft 365-organisaties via Microsoft Entra ID Gratis.

Zie Meervoudige verificatie in Microsoft 365 voor meer informatie over de verschillende opties voor MFA in Microsoft 365

Wat moet u weten voordat u begint?

• U moet de juiste machtigingen hebben toegewezen voordat u de procedures in dit artikel kunt voltooien. Hier volgen enkele opties:

  • Microsoft Entra machtigingen:

    • Standaardinstellingen voor beveiliging in- of uitschakelen: lidmaatschap van de rol Globale beheerder of Beveiligingsbeheerder .
    • Beleid voor voorwaardelijke toegang maken en beheren: lidmaatschap van de rol Globale beheerder of Beheerder voor voorwaardelijke toegang .

    Belangrijk

    Microsoft raadt u aan rollen te gebruiken met de minste machtigingen. Het gebruik van accounts met lagere machtigingen helpt de beveiliging voor uw organisatie te verbeteren. Globale beheerder is een zeer bevoorrechte rol die moet worden beperkt tot scenario's voor noodgevallen wanneer u een bestaande rol niet kunt gebruiken.

• Als u standaardinstellingen voor beveiliging of voorwaardelijke toegang wilt gebruiken, moet u verouderde MFA per gebruiker uitschakelen voor gebruikers in uw organisatie. Als het abonnement van uw organisatie na 2019 is gestart, is verouderde MFA per gebruiker waarschijnlijk niet ingeschakeld. Zie Meervoudige verificatie per gebruiker inschakelen Microsoft Entra om aanmeldingsgebeurtenissen te beveiligen voor meer informatie.

Standaardinstellingen voor beveiliging beheren

Voor Microsoft 365-tenants die na oktober 2019 zijn gemaakt, zijn standaardinstellingen voor beveiliging ingeschakeld. Voer de volgende stappen uit om de huidige status van standaardinstellingen voor beveiliging in uw organisatie weer te geven of te wijzigen:

1. Ga in de Microsoft Entra-beheercentrum naar Identiteitsoverzicht>. Of om rechtstreeks naar de Microsoft Entra overzichtspagina te gaan.

2. Selecteer op de overzichtspagina het tabblad Eigenschappen en ga naar de sectie Standaardinstellingen voor beveiliging onderaan het tabblad.

   Afhankelijk van de huidige status van standaardinstellingen voor beveiliging, is een van de volgende ervaringen beschikbaar:

   • Standaardinstellingen voor beveiliging zijn ingeschakeld: De volgende tekst wordt weergegeven en Standaardinstellingen voor beveiliging beheren is beschikbaar:

     Uw organisatie is beveiligd met standaardinstellingen voor beveiliging.

   • Er bestaan een of meer beleidsregels voor voorwaardelijke toegang in Microsoft Entra ID P1 of P2: de volgende tekst wordt weergegeven en Standaardinstellingen voor beveiliging beheren is niet beschikbaar:

     Uw organisatie gebruikt momenteel beleid voor voorwaardelijke toegang, waardoor u geen standaardinstellingen voor beveiliging kunt inschakelen. U kunt voorwaardelijke toegang gebruiken om aangepast beleid te configureren dat hetzelfde gedrag mogelijk maakt als standaardinstellingen voor beveiliging.

     Met Voorwaardelijke toegang beheren gaat u naar de pagina Beleid waar u beleid voor voorwaardelijke toegang kunt beheren. Als u wilt schakelen tussen standaardinstellingen voor beveiliging en beleid voor voorwaardelijke toegang, raadpleegt u de sectie Standaardinstellingen voor beveiliging herstellen vanuit beleid voor voorwaardelijke toegang in dit artikel.

   • Standaardinstellingen voor beveiliging zijn uitgeschakeld: de volgende tekst wordt weergegeven en Standaardinstellingen voor beveiliging beheren is beschikbaar:

     Uw organisatie wordt niet beveiligd door standaardinstellingen voor beveiliging.

3. Als Standaardinstellingen voor beveiliging beheren beschikbaar is, selecteert u deze om standaardinstellingen voor beveiliging in of uit te schakelen.

   Voer een van de volgende handelingen uit in de flyout Standaardinstellingen voor beveiliging die wordt geopend:

   • Standaardinstellingen voor beveiliging inschakelen: selecteer in de vervolgkeuzelijst Standaardinstellingen voor beveiliging de optie Ingeschakeld en selecteer vervolgens Opslaan.
   • Standaardinstellingen voor beveiliging uitschakelen: selecteer uitgeschakeld in de vervolgkeuzelijst Standaardinstellingen voor beveiliging. Selecteer in de sectie Reden voor het uitschakelende optie Mijn organisatie is van plan om voorwaardelijke toegang te gebruiken.

   Wanneer u klaar bent in de flyout Standaardinstellingen voor beveiliging , selecteert u Opslaan

   Voorzichtigheid

   Schakel standaardinstellingen voor beveiliging niet uit, tenzij u overschakelt naar beleid voor voorwaardelijke toegang in Microsoft Entra ID P1 of P2.

Beleid voor voorwaardelijke toegang beheren

Als uw Microsoft 365-organisatie Microsoft Entra ID P1 of hoger bevat, kunt u voorwaardelijke toegang gebruiken in plaats van standaardinstellingen voor beveiliging voor een hogere beveiligingspostuur en gedetailleerdere controle. Bijvoorbeeld:

• Microsoft 365 Business Premium (Microsoft Entra ID P1)
• Microsoft 365 E3 (Microsoft Entra ID P1)
• Microsoft 365 E5 (Microsoft Entra ID P2)
• Een invoegtoepassingsabonnement

Zie Een implementatie van voorwaardelijke toegang plannen voor meer informatie.

Voor het overschakelen van standaardinstellingen voor beveiliging naar beleid voor voorwaardelijke toegang zijn de volgende basisstappen vereist:

1. Standaardinstellingen voor beveiliging uitschakelen.

2. Maak basislijnbeleid voor voorwaardelijke toegang om het beveiligingsbeleid opnieuw te maken in standaardinstellingen voor beveiliging.

3. MFA-uitsluitingen aanpassen.

4. Nieuw beleid voor voorwaardelijke toegang maken.

Stap 1: Standaardinstellingen voor beveiliging uitschakelen

Standaardinstellingen voor beveiliging en beleid voor voorwaardelijke toegang kunnen niet tegelijkertijd worden ingeschakeld. Het eerste wat u moet doen, is de standaardinstellingen voor beveiliging uitschakelen.

Zie de vorige sectie Standaardinstellingen voor beveiliging beheren in dit artikel voor instructies.

Stap 2: Basislijnbeleid voor voorwaardelijke toegang maken om het beleid opnieuw te maken in standaardinstellingen voor beveiliging

Het beleid in standaardinstellingen voor beveiliging is de door Microsoft aanbevolen basislijn voor alle organisaties. Het is daarom belangrijk om dit beleid opnieuw te maken in voorwaardelijke toegang voordat u andere beleidsregels voor voorwaardelijke toegang maakt.

Met de volgende sjablonen in voorwaardelijke toegang worden de beleidsregels opnieuw gemaakt in standaardinstellingen voor beveiliging:

• MFA vereisen voor alle gebruikers
• MFA vereisen voor beheerders (zie Phishingresistente MFA vereisen voor beheerders om uw beveiligingspostuur te verbeteren)
• Verouderde verificatie blokkeren
• MFA vereisen voor Azure-beheer

Volg deze stappen om beleid voor voorwaardelijke toegang te maken met behulp van deze sjablonen:

1. Ga in de Microsoft Entra-beheercentrum naar Voorwaardelijke toegang | De pagina Beleid.

2. Op de voorwaardelijke toegang | De pagina Beleid selecteert u Nieuw beleid in de sjabloon.

3. Controleer op de pagina Nieuw beleid van sjabloon of het tabblad Een sjabloon selecteren is geselecteerd. Controleer op het tabblad Een sjabloon selecteren of het tabblad Veilige basis is geselecteerd.

4. Selecteer op het tabblad Veilige basis een van de vereiste sjablonen (bijvoorbeeld Meervoudige verificatie vereisen voor alle gebruikers) en selecteer vervolgens Beoordelen en maken.

   Tip

   Gebruik het vak Zoeken om de sjabloon Phishingresistente meervoudige verificatie vereisen voor beheerders te zoeken en te selecteren.

5. Bekijk of configureer de volgende instellingen op het tabblad Controleren en maken :

   • Sectie Basisbeginselen :

     • Beleidsnaam: accepteer de standaardnaam of pas deze aan.
     • Beleidsstatus: Selecteer Aan

   • Sectie Toewijzingen : In de sectie Gebruikers en groepen ziet u dat de waarde uitgesloten gebruikersHuidige gebruiker is en u deze niet kunt wijzigen. Alleen accounts voor noodtoegang moeten worden uitgesloten van MFA-vereisten. Zie de volgende stap voor meer informatie.

   Wanneer u klaar bent op het tabblad Controleren en maken , selecteert u Maken.

   Het beleid dat u hebt gemaakt, wordt weergegeven op de voorwaardelijke toegang | De pagina Beleid .

6. Herhaal de vorige stappen voor de resterende sjablonen.

Stap 3: MFA-uitsluitingen aanpassen

Het beleid voor voorwaardelijke toegang dat u in de vorige stap hebt gemaakt, bevat standaard uitsluitingen voor het account waarin u bent aangemeld en u kunt uitsluitingen niet wijzigen tijdens het maken van beleid.

We raden ten minste twee beheerdersaccounts voor noodtoegang in elke organisatie aan die niet zijn toegewezen aan specifieke personen en alleen worden gebruikt in noodgevallen. Deze accounts moeten worden uitgesloten van MFA-vereisten.

Mogelijk moet u de uitsluitingen van het huidige account verwijderen en/of accountuitsluitingen voor noodtoegang toevoegen aan het volgende beleid:

• MFA vereisen voor alle gebruikers
• MFA vereisen voor beheerders of Phishingresistente MFA vereisen voor beheerders
• MFA vereisen voor Azure-beheer

Voordat u aangepast beleid voor voorwaardelijke toegang maakt, maakt u uw accounts voor noodtoegang en gebruikt u de volgende stappen om de uitsluitingen voor MFA-gerelateerde beleidsregels aan te passen:

1. Op de voorwaardelijke toegang | Pagina Beleid selecteert u een van de MFA-gerelateerde beleidsregels die u in de vorige stap hebt gemaakt (bijvoorbeeld Meervoudige verificatie vereisen voor Azure-beheer).

2. Op de pagina met beleidsdetails die wordt geopend, selecteert u Alle gebruikers opgenomen en specifieke gebruikers uitgesloten in de sectie Gebruikers van toewijzingen>.

3. Selecteer in de informatie die wordt weergegeven het tabblad Uitsluiten .

4. Op het tabblad Uitsluiten zijn de volgende instellingen geconfigureerd:

   • Selecteer de gebruikers en groepen die u wilt uitsluiten van het beleid: de waarde Gebruikers en groepen is geselecteerd.

   • Uitgesloten gebruikers en groepen selecteren: de waarde 1 gebruiker wordt weergegeven en het gebruikersaccount dat is gebruikt om het beleid te maken, wordt weergegeven.

     • Als u het huidige account wilt verwijderen uit de lijst met uitgesloten gebruikers, selecteert u >Verwijderen.

     De waarde verandert in 0 geselecteerde gebruikers en groepen en de waarschuwingstekst Ten minste één gebruiker of groep selecteren wordt weergegeven.

     • Als u accounts voor noodtoegang wilt toevoegen aan de lijst met uitgesloten gebruikers, selecteert u 0 gebruikers en groepen geselecteerd. In de flyout Uitgesloten gebruikers en groepen selecteren die wordt geopend, zoekt en selecteert u de accounts voor noodtoegang die u wilt uitsluiten. De geselecteerde gebruikers worden weergegeven in het deelvenster Geselecteerd . Wanneer u klaar bent, selecteert u Selecteren.

     Ga terug naar de pagina met beleidsdetails en selecteer Opslaan.

5. Herhaal de vorige stappen voor de overige MFA-gerelateerde beleidsregels.

Stap 4: nieuw beleid voor voorwaardelijke toegang maken

U kunt nu beleid voor voorwaardelijke toegang maken dat voldoet aan de behoeften van uw bedrijf. Zie Een implementatie van voorwaardelijke toegang plannen voor meer informatie.

Teruggaan naar standaardinstellingen voor beveiliging vanuit beleid voor voorwaardelijke toegang

Standaardinstellingen voor beveiliging worden uitgeschakeld wanneer u beleid voor voorwaardelijke toegang gebruikt. Als een of meer beleidsregels voor voorwaardelijke toegang bestaan met een status (alleen Uit, Aan of Rapport), kunt u de standaardinstellingen voor beveiliging niet inschakelen. U moet alle bestaande beleidsregels voor voorwaardelijke toegang verwijderen voordat u standaardinstellingen voor beveiliging kunt inschakelen.

Gebruik de volgende stappen om beleid voor voorwaardelijke toegang te verwijderen:

1. Op de voorwaardelijke toegang | De pagina Beleid selecteert u het beleid dat u wilt verwijderen.

2. Selecteer op de detailpagina die wordt geopend de optie Verwijderen boven aan de pagina.

3. Selecteer Ja in het dialoogvenster Bent u zeker? dat wordt geopend.

Nadat u alle beleidsregels voor voorwaardelijke toegang hebt verwijderd, kunt u standaardinstellingen voor beveiliging inschakelen, zoals beschreven in Standaardinstellingen voor beveiliging beheren.

Verouderde MFA per gebruiker beheren

We raden u ten zeerste aan om standaardinstellingen voor beveiliging of voorwaardelijke toegang voor MFA te gebruiken in Microsoft 365. Als u dit niet kunt, is de laatste optie MFA voor afzonderlijke Microsoft Entra ID-accounts via Microsoft Entra ID Gratis.

Zie Meervoudige verificatie per gebruiker inschakelen Microsoft Entra om aanmeldingsgebeurtenissen te beveiligen voor instructies.

Volgende stappen

• Beheerders: Beheer accountbeveiliging in Microsoft 365 voor Bedrijven

• Gebruikers:

  • Wat is meervoudige verificatie?

  • Aanmelden na registratie

  • Als u zich niet kunt aanmelden, raadpleegt u Hoe eindgebruikers accountherstel kunnen uitvoeren in Microsoft Entra ID

  • De wijze waarop u aanvullende verificatie uitvoert wijzigen

  • Stel uw Microsoft 365-aanmelding in voor meervoudige verificatie en de volgende video:

Verwante onderwerpen

• Kleine bedrijven helpen bij het & leren
• YouTube: Hulp bij Microsoft 365 voor professionals en kleine bedrijven
• Meervoudige verificatie instellen
• Meervoudige verificatie inschakelen voor uw telefoon
• Meervoudige verificatie voor Microsoft 365