Voorwaardelijke toegang: verificatieoverdracht (preview)

Verificatieoverdracht is een verificatiestroom die de aanmelding tussen apparaten vereenvoudigt van pc naar mobiel voor Microsoft-apps. Gebruikers kunnen een QR-code gebruiken in een geverifieerde Microsoft-app op hun pc om zich aan te melden bij dezelfde app op een mobiel apparaat zonder referenties opnieuw in te voeren. Verificatieoverdracht verhoogt de betrokkenheid van gebruikers door gebruikers op meerdere platforms te verbinden.

Note

Verificatieoverdracht is momenteel beschikbaar als preview-versie. Zie Universele licentievoorwaarden voor onlineservices voor meer informatie over previews.

Schermopname van een voorbeeld van beleid voor voorwaardelijke toegang dat gebruikmaakt van verificatieoverdracht met een blokbeheer.

Prerequisites

  • Een Microsoft Entra ID P1-licentie is vereist voor elke gebruiker die onderhevig is aan beleid voor voorwaardelijke toegang waarmee verificatieoverdracht wordt beheerd. Zie Een implementatie van voorwaardelijke toegang plannen voor meer informatie over licenties.
  • Als u beleid voor voorwaardelijke toegang wilt maken of wijzigen waarmee verificatieoverdracht wordt beheerd, meldt u zich aan als ten minste een beheerder voor voorwaardelijke toegang.
  • Verificatieoverdracht is standaard ingeschakeld voor alle gebruikers. Er is geen initiële configuratie vereist voor gebruikers om de functie te kunnen gebruiken.

Hoe verificatieoverdracht werkt

Met verificatieoverdracht kunt u verificatieclaims van het ene apparaat naar het andere overdragen, bijvoorbeeld van een desktop-pc naar een mobiel apparaat. In de volgende stappen wordt de stroom beschreven:

  1. Een gebruiker meldt zich aan bij een ondersteunde Microsoft-app op zijn pc en voltooit alle vereiste verificatie, inclusief meervoudige verificatie (MFA).
  2. De app geeft een QR-code weer die de gebruiker met zijn mobiele apparaat kan scannen.
  3. De gebruiker scant de QR-code met behulp van een ondersteunde Microsoft-app op hun mobiele apparaat.
  4. Microsoft Entra ID evalueert alle toepasselijke beleidsregels voor voorwaardelijke toegang voor de mobiele doel-app.
  5. Als aan het beleid wordt voldaan, worden de verificatieclaims overgedragen naar het mobiele apparaat en wordt de gebruiker automatisch aangemeld.
  6. Als niet aan het beleid wordt voldaan, mislukt de overdracht en wordt de gebruiker gevraagd zich handmatig aan te melden op het mobiele apparaat.

Verificatieoverdracht draagt alleen verificatieclaims over. Apparaatgerelateerde claims, zoals de nalevingsstatus van het apparaat, worden niet overgedragen naar het doelapparaat. Het mobiele apparaat moet onafhankelijk voldoen aan alle vereisten voor voorwaardelijke toegang op basis van apparaten.

Wanneer een gebruiker verificatieoverdracht uitvoert, wordt de sessie beschouwd als protocol bijgehouden. Protocoltracking betekent dat de sessiestatus blijft bestaan via volgende vernieuwingen van tokens. Volgende aanmeldpogingen binnen dezelfde sessie kunnen onderworpen zijn aan het afdwingen van beleid voor authenticatiestromen, zelfs als ze geen authenticatieoverdracht gebruiken.

Ondersteunde apps

Verificatieoverdracht is beschikbaar voor Microsoft-apps die ondersteuning bieden voor de QR-codestroom voor meerdere apparaten. Gebruikers kunnen bijvoorbeeld een QR-code zien in de bureaubladversie van Outlook die, wanneer ze op hun mobiele apparaat worden gescand, hun geverifieerde status overdraagt naar de mobiele versie van Outlook. Ondersteuning verschilt per app en versie. Raadpleeg de relevante Documentatie van de Microsoft-app om te bevestigen of deze verificatieoverdracht ondersteunt.

Important

Verificatieoverdracht wordt niet ondersteund voor niet-Microsoft-apps.

Ervaring voor de eindgebruiker

De ervaring voor verificatieoverdracht is ontworpen om wrijving te verminderen voor gebruikers die op meerdere apparaten werken.

Op het bureaublad (bronapparaat):

  • De gebruiker is aangemeld bij een ondersteunde Microsoft-app op zijn pc.
  • Er wordt een QR-code weergegeven in de app, waarmee de sessie kan worden overgedragen naar een mobiel apparaat.

Op het mobiele apparaat (doelapparaat):

  • De gebruiker opent een ondersteunde Microsoft-app en scant de QR-code.
  • Als aan alle beleidsregels voor voorwaardelijke toegang wordt voldaan, wordt de gebruiker automatisch aangemeld zonder referenties opnieuw in te voeren of MFA opnieuw in te vullen.
  • Als aan geen beleid voor voorwaardelijke toegang is voldaan voor het mobiele apparaat, wordt de gebruiker gevraagd zich handmatig aan te melden. De gebruiker moet mogelijk MFA voltooien of voldoen aan andere vereisten op het mobiele apparaat.

Verificatieoverdracht en voorwaardelijke toegang

Tijdens de overdracht van verificatie worden alle beleidsregels voor voorwaardelijke toegang van Microsoft Entra geëvalueerd. Als u begrijpt hoe beleid communiceert met verificatieoverdracht, kunt u uw organisatie beveiligen en tegelijkertijd de productiviteit van gebruikers behouden.

Authenticatieclaims worden overgedragen, maar apparaatclaims niet.

  • Verificatieoverdracht draagt alleen verificatieclaims over. Er worden geen apparaatgerelateerde claims overgedragen, zoals nalevingsstatus of beheerde status.
  • Als voor een beleid voor voorwaardelijke toegang apparaatnaleving of een beheerd apparaat is vereist, moet het mobiele apparaat onafhankelijk aan deze vereisten voldoen.

MFA is niet opnieuw vereist als dit al is voltooid:

  • Als gebruikers MFA op hun pc voltooien, hoeven ze MFA niet opnieuw uit te voeren op hun mobiele apparaat tijdens de verificatieoverdracht.

Beleid voor voorwaardelijke toegang wordt geëvalueerd vóór overdracht:

  • Beleid voor voorwaardelijke toegang wordt geëvalueerd voordat de verificatieoverdracht is voltooid. Als niet aan een beleid voor het mobiele apparaat wordt voldaan, wordt de gebruiker gevraagd zich handmatig aan te melden.

Niet-Microsoft MDM bypass:

  • Verificatieoverdracht omzeilt niet-Microsoft MDM-oplossingen (Mobile Device Management) bij het overdragen van verificatie naar mobiele apparaten. Deze omleiding betekent dat organisaties die afhankelijk zijn van niet-Microsoft MDM-oplossingen voor het afdwingen van toegangsbeheer mogelijk een beveiligingslek hebben tijdens de authenticatieoverdracht. Als uw organisatie gebruikmaakt van een niet-Microsoft MDM-oplossing, kunt u overwegen om de verificatieoverdracht voor betrokken gebruikers of apps te blokkeren.

Verificatie van primair vernieuwingstoken (PRT):

  • Gebruikers moeten zich opnieuw verifiëren op hun pc om verificatieoverdracht te starten, zelfs als ze beveiligde sessietokens hebben, zoals het primaire vernieuwingstoken. Na opnieuw verifiëren op de pc hoeven gebruikers niet opnieuw te verifiëren in de mobiele app.

Bekende beperkingen

Bekijk de volgende beperkingen voordat u verificatieoverdracht in uw organisatie inschakelt of beheert:

  • Apparaatclaims worden niet overgedragen. Alleen verificatieclaims worden overgedragen naar het mobiele apparaat. Aan apparaatnaleving, beheerde status en andere apparaatgerelateerde claims moet onafhankelijk van het mobiele apparaat worden voldaan.
  • Niet-Microsoft MDM omzeilen. Verificatieoverdracht omzeilt niet-Microsoft MDM-oplossingen. Organisaties die afhankelijk zijn van niet-Microsoft MDM voor mobiel toegangsbeheer, moeten de gevolgen voor de beveiliging evalueren. Zie de richtlijnen van Zero Trust voor het blokkeren van verificatieoverdracht voor meer informatie.
  • Alleen Microsoft-apps. Verificatieoverdracht is alleen beschikbaar voor Microsoft-apps. Niet-Microsoft-apps bieden geen ondersteuning voor deze stroom.
  • Protocol tracking. Nadat een gebruiker verificatieoverdracht heeft uitgevoerd, wordt de sessie volgens protocol gevolgd. Andere aanmeldingspogingen binnen dezelfde sessie kunnen onderhevig zijn aan beleid voor verificatiestromen, zelfs als ze een andere verificatiestroom gebruiken.
  • PRT-herauthenticatie is vereist. Gebruikers moeten opnieuw verifiëren op hun pc om verificatieoverdracht te starten, zelfs met een bestaande primaire vernieuwingstokensessie.

Beveiligingsoverwegingen

Microsoft raadt organisaties aan om te evalueren of verificatieoverdracht nodig is voor hun gebruikers. De Zero Trust-richtlijnen voor het beveiligen van identiteiten raden aan om de overdracht van verificatie te blokkeren als best practice voor beveiliging.

Door verificatieoverdracht te blokkeren, kunt u bescherming bieden tegen tokendiefstal en herhalingsaanvallen door het gebruik van apparaattokens te voorkomen om op de achtergrond te verifiëren op andere apparaten. Wanneer verificatieoverdracht is ingeschakeld, kan een bedreigingsacteur die toegang krijgt tot één apparaat mogelijk toegang krijgen tot resources op niet-goedgekeurde apparaten, waardoor standaardverificatie- en apparaatnalevingscontroles worden overgeslagen.

Bekijk de volgende aanbevelingen:

  • Verificatieoverdracht blokkeren , tenzij u een gedocumenteerde bedrijfsbehoefte hebt voor aanmelding op meerdere apparaten. Gebruik een beleid voor voorwaardelijke toegang om verificatieoverdracht te blokkeren.
  • Gebruik eerst de modus Alleen Rapporten om te begrijpen hoe authenticatieoverdracht in uw organisatie wordt gebruikt voordat u een blokkering afdwingt.
  • Sluit accounts voor toegang tot noodgevallen uit van elk beleid dat de overdracht van verificatie blokkeert.

Authenticatieoverdracht in aanmeldlogs

Beheerders kunnen de aanmeldingslogboeken van Microsoft Entra controleren om te zien of gebruikers verificatieoverdracht gebruiken om zich aan te melden. Gebeurtenissen voor verificatieoverdracht worden weer naar achteren weergegeven, waarbij de eerste gebeurtenis een QR-code weergeeft als verificatiemethode.

Als u de protocoltraceringsstatus van een aanmelding wilt controleren, selecteert u de aanmeldingsgebeurtenis en zoekt u de eigenschap Oorspronkelijke overdrachtsmethode in het gedeelte Basisgegevens van de activiteitsdetails: aanmeldingsvenster . Voor een sessie waarin verificatieoverdracht is uitgevoerd, wordt de oorspronkelijke overdrachtsmethode ingesteld op Verificatieoverdracht.

Verificatieoverdracht beheren voor specifieke gebruikers en apps

Verificatieoverdracht is standaard ingeschakeld voor alle gebruikers. Beheerders beheren authenticatieoverdracht met behulp van beleid voor voorwaardelijke toegang en de conditie voor authenticatiestromen. Deze voorwaarde beperkt de verificatieoverdracht naar specifieke gebruikers, apps of schakelt de functionaliteit volledig uit.

De overdracht van authenticatie controleert alle toepasselijke voorwaarden voor toegangsbeleid voordat de gebruiker inlogt bij een mobiele app. Als niet aan de vereiste voorwaarden wordt voldaan, wordt de gebruiker gevraagd zich aan te melden bij de mobiele app.

Zie Verificatieoverdracht blokkeren met beleid voor voorwaardelijke toegang om een beleid te maken dat gebruikmaakt van de voorwaarde voor verificatieoverdracht.

Troubleshooting

Gebruik de volgende stappen om problemen met verificatieoverdracht op te lossen.

Verificatieoverdracht mislukt voor een gebruiker:

  1. Controleer de aanmeldingslogboeken op gebeurtenissen voor verificatieoverdracht. Zoek naar de vermelding voor de QR-code verificatiemethode.
  2. Selecteer de aanmeldingsgebeurtenis en navigeer naar het tabblad Voorwaardelijke toegang om te bepalen welke beleidsregels zijn geëvalueerd en of de overdracht is geblokkeerd.
  3. Controleer of het mobiele apparaat voldoet aan alle vereisten voor Conditional Access, waaronder apparaat naleving en locatiebeleid.

Onverwachte blokken na het gebruik van verificatieoverdracht:

  1. Controleer of de aanmelding is geblokkeerd door een protocoltraceringsstatus van een eerdere verificatieoverdracht of een sessie met apparaatcodestroom.
  2. Selecteer in de aanmeldingslogboeken de geblokkeerde aanmelding en controleer de eigenschap Oorspronkelijke overdrachtsmethode in de sectie Basisgegevens . Als de verificatieoverdracht of apparaatcodestroom wordt weergegeven, is de sessie getraceerd.
  3. Als uw beleid voor verificatiestromen van toepassing is op alle toepassingen, ziet u mogelijk de foutcode AADSTS530036. Deze fout geeft aan dat de refresh token ongeldig is vanwege controles van de verificatiestroom door Conditional Access.

Gebruikers kunnen verificatieoverdracht niet initiëren:

  • Als een beleid voor voorwaardelijke toegang de verificatieoverdracht voor de gebruiker beheert, controleert u of aan de gebruiker een Microsoft Entra ID P1-licentie is toegewezen.
  • Controleer of geen beleid voor voorwaardelijke toegang de verificatieoverdracht blokkeert voor de groep of doel-app van de gebruiker.
  • Controleer of de gebruiker een ondersteunde Microsoft-app gebruikt op zowel de bron- als doelapparaten.

Voor meer informatie over het oplossen van problemen met verificatiestromen, zie Problemen met onverwachte blokken oplossen.

Gerelateerde inhoud

  • Last updated on