Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Door het systeem geprefereerde authenticatie vraagt gebruikers om zich aan te melden door middel van de veiligste methode die ze hebben geregistreerd. Het is een belangrijke beveiligingsverbetering voor gebruikers die zich verifiëren met behulp van telefoonmethoden. Beheerders kunnen verificatie van het systeem inschakelen om de aanmeldingsbeveiliging te verbeteren en minder veilige aanmeldingsmethoden zoals Short Message Service (SMS) te ontmoedigen.
Als een gebruiker bijvoorbeeld zowel sms- als Microsoft Authenticator-pushmeldingen heeft geregistreerd als methoden voor MFA, vraagt het systeem de gebruiker zich aan te melden via de veiliger pushmeldingsmethode. De gebruiker kan zich nog steeds aanmelden met een andere methode, maar wordt eerst gevraagd om de veiligste methode te proberen die ze hebben geregistreerd.
Door het systeem aanbevolen verificatie is een door Microsoft beheerde instelling. Dit is een tristatebeleid:
- Ingeschakeld - Verificatie die door het systeem wordt geprefereerd wordt alleen toegepast op de tweede factor (MFA).
- Door Microsoft beheerd : in preview bepaalt een wisselknop voor Toepassen op zowel primaire als meervoudige verificatie (preview) of de functie ook van toepassing is op primaire verificatie. Wanneer de wisselknop is uitgeschakeld (standaard), is de voorkeursverificatie van het systeem alleen van toepassing op de tweede factor. Wanneer de wisselknop is ingeschakeld, is deze van toepassing op zowel de eerste als de tweede factor.
- Uitgeschakeld - schakelt de systeemvoorkeur voor authenticatie uit.
Als u de systeemvoorkeur authenticatie niet wilt inschakelen, wijzigt u de status in Uitgeschakeld of sluit u gebruikers en groepen uit van het beleid.
Nadat de voorkeursverificatie van het systeem is ingeschakeld, zorgt het verificatiesysteem voor alles. Gebruikers hoeven geen verificatiemethode in te stellen als standaardmethode, omdat het systeem dit altijd bepaalt en de veiligste methode presenteert die ze hebben geregistreerd.
Bekende beperkingen
- Wanneer u het beleid voor een doelgroep wijzigt, wordt de wijziging mogelijk niet van kracht op de volgende aanmelding van de gebruiker. Het is van toepassing op alle volgende aanmeldingen hierna.
- Beleid voor voorwaardelijke toegang wordt alleen gevalideerd voor MFA en is niet van toepassing op first-factor authentication.
Schakel de systeemvoorkeursverificatie in het Microsoft Entra-beheercentrum in
Voer de volgende stappen uit om de door het systeem geprefereerde authenticatie in te schakelen:
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een verificatiebeleidsbeheerder.
Blader naar Microsoft Entra ID>Verificatiemethoden>Instellingen.
Kies voor systeemvoorkeurverificatie een status (door Microsoft beheerd of ingeschakeld) afhankelijk van of u systeemvoorkeurverificatie wilt toepassen op beide factoren of alleen op de tweede factor. U kunt ook gebruikers of groepen opnemen of uitsluiten. Uitgesloten groepen hebben voorrang op opgenomen groepen.
Wanneer u de status instelt op Door Microsoft beheerd, wordt er een wisselknop voor Toepassen op zowel primaire als meervoudige verificatie (preview) weergegeven. Schakel de schakelaar in om systeemvoorkeursverificatie toe te passen op zowel primaire als secundaire verificatie. Wanneer de wisselknop is uitgeschakeld (standaard), is de voorkeursverificatie van het systeem alleen van toepassing op de tweede factor.
In de volgende schermopname ziet u bijvoorbeeld hoe u systeemvoorkeur authenticatie kunt inschakelen, uitsluitend voor de technische groep.
Nadat u klaar bent met het aanbrengen van wijzigingen, selecteert u Opslaan.
Systeemvoorkeursverificatie inschakelen met behulp van Graph API's
Om vooraf systeemvoorkeursauthenticatie in te schakelen, moet u een enkele doelgroep kiezen voor de schemaconfiguratie, zoals weergegeven in het Verzoek voorbeeld.
Configuratie-eigenschappen van verificatiemethodefuncties
Standaard is de voorkeursverificatie van het systeem Microsoft beheerd.
| Eigendom/Vastgoed (if referring to real estate/property) | Soort | Beschrijving |
|---|---|---|
| doel uitsluiten | eigenschapDoelwit | Eén entiteit die is uitgesloten van deze functie. U kunt slechts één groep uitsluiten van systeem-voorkeursverificatie. Dit kan een dynamische of geneste groep zijn. |
| doelwit opnemen | eigenschapDoelwit | Eén entiteit die is opgenomen in deze functie. U kunt slechts één groep opnemen voor systeemspecifieke verificatie. Dit kan een dynamische of geneste groep zijn. |
| Provincie | advancedConfigState | Mogelijke waarden zijn: enabled: de functie wordt expliciet ingeschakeld voor de geselecteerde groep. Alleen van toepassing op de tweede factor (MFA). disabled: de functie wordt expliciet uitgeschakeld voor de geselecteerde groep. Standaard staat Microsoft Entra ID toe te beheren of de functie wel of niet is ingeschakeld voor de geselecteerde groep. |
Eigenschappen van functiedoel
Systeemvoorkeursauthenticatie kan slechts voor één groep worden geactiveerd, die een dynamische of geneste groep kan zijn.
| Eigendom/Vastgoed (if referring to real estate/property) | Soort | Beschrijving |
|---|---|---|
| Id | Snaar / Tekenreeks | Id van de doelentiteit. |
| doeltype | EigenschapDoelType | Het type entiteit waarop wordt gericht, zoals groep, rol of beheereenheid. De mogelijke waarden zijn: 'groep', 'administratieveEenheid', 'rol', 'onbekendeToekomstigeWaarde'. |
Gebruik het volgende API-eindpunt om systemCredentialPreferences in te schakelen en groepen op te nemen of uit te sluiten:
https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Notitie
In Graph Explorer moet u instemmen met de Policy.ReadWrite.AuthenticationMethod-machtiging.
Aanvraag
In het volgende voorbeeld wordt een voorbeelddoelgroep uitgesloten en worden alle gebruikers opgenomen. Zie Update authenticationMethodsPolicy voor meer informatie.
PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Content-Type: application/json
{
"systemCredentialPreferences": {
"state": "enabled",
"excludeTargets": [
{
"id": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
"targetType": "group"
}
],
"includeTargets": [
{
"id": "all_users",
"targetType": "group"
}
]
}
}
Veelgestelde vragen
Hoe bepaalt de systeem-voorkeursverificatie de veiligste methode?
Wanneer een gebruiker zich aanmeldt, controleert het verificatieproces welke verificatiemethoden voor de gebruiker zijn geregistreerd. De gebruiker wordt gevraagd zich aan te melden met de veiligste methode volgens de volgende volgorde. De volgorde van verificatiemethoden is dynamisch en bijgewerkt naarmate het beveiligingslandschap verandert en naarmate er betere verificatiemethoden ontstaan. Gebruikers kunnen altijd annuleren en een andere beschikbare aanmeldingsmethode kiezen. Als uw organisatie beleid voor voorwaardelijke toegang heeft waarvoor specifieke verificatiemethoden zijn vereist, blijven deze beleidsregels prioriteit hebben boven de verificatievolgorde van het systeem.
| Rang | Credential | Categorie | Voldoet aan de vereiste voor |
|---|---|---|---|
| 1 | Tijdelijke toegangspas (TAP) | Recovery | 1FA + MFA |
| 2 | Wachtwoordsleutel1 | Phishingbestendig | 1FA + MFA |
| 3 | Verificatie op basis van certificaten (CBA) | Phishingbestendig | 1FA of 1FA + MFA |
| 4 | Microsoft Authenticator-meldingen | Zonder wachtwoord | 1FA + MFA |
| 5 | Externe meervoudige verificatie (MFA) | — | MFA (Multi-Factor Authenticatie) |
| 6 | Op tijd gebaseerd eenmalig wachtwoord (TOTP)2 | — | MFA (Multi-Factor Authenticatie) |
| 7 | Telefonie3 | — | MFA (Multi-Factor Authenticatie) |
| 8 | QR-code | Eerstelijnsmedewerker | 1FA |
| 9 | Wachtwoord | — | 1FA |
1Bevat beveiligingssleutels, wachtwoordsleutels in authenticator-app, gesynchroniseerde wachtwoordsleutels, Windows Hello voor Bedrijven en eenmalige aanmelding voor macOS Platform.
2Bevat hardware of software TOTP van Microsoft Authenticator, Authenticator Lite of toepassingen van derden.
3Inclusief sms- en spraakoproepen.
Belangrijk
Verificatie op basis van certificaten (CBA) werd eerder voor het laatst in de verificatievolgorde van het systeem geplaatst vanwege bekende problemen met CBA en systeem-voorkeursverificatie. Nu deze problemen zijn opgelost, is vanaf 18 maart 2026 verificatie op basis van certificaten verplaatst naar de derde positie in de verificatievolgorde.
Hoe heeft systeemvoorkeursauthenticatie invloed op de NPS-extensie?
Systeemvoorkeur voor authenticatie heeft geen invloed op gebruikers die zich aanmelden met de NPS-extensie (Network Policy Server). Deze gebruikers zien geen wijzigingen in hun aanmeldingservaring.
Wat gebeurt er voor gebruikers die niet zijn opgegeven in het beleid voor verificatiemethoden, maar die zijn ingeschakeld in het verouderde MFA-tenantbrede beleid?
Systeemvoorkeur-verificatie is ook van toepassing op gebruikers die zijn ingeschakeld voor MFA in het verouderde beleid voor meervoudige verificatie.
Kunnen gebruikers nog steeds een andere aanmeldingsmethode kiezen?
Ja. Systeemvoorkeur voor authenticatie biedt gebruikers de veiligste geregistreerde referentie, maar gebruikers kunnen nog steeds andere toegestane methoden kiezen tijdens het inloggen.