Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Door het systeem geprefereerde authenticatie vraagt gebruikers om zich aan te melden door middel van de veiligste methode die ze hebben geregistreerd. Het is een belangrijke beveiligingsverbetering voor gebruikers die zich verifiëren met behulp van minder veilige methoden, zoals wachtwoorden of SMS.
Als een gebruiker bijvoorbeeld zowel een wachtwoord als een wachtwoordsleutel heeft geregistreerd, wordt de gebruiker door het systeem gevraagd zich aan te melden met de wachtwoordsleutel in plaats van het wachtwoord. De gebruiker kan zich nog steeds aanmelden met een andere methode, maar wordt eerst gevraagd om de veiligste methode te proberen die ze hebben geregistreerd.
Authenticatie met systeemvoorkeur is een door Microsoft beheerde instelling, die een beleid met drie statussen is (ingeschakeld, uitgeschakeld of door Microsoft beheerd). Als u authenticatie volgens systeemvoorkeur niet wilt inschakelen, wijzigt u de status van Microsoft-beheerd in Uitgeschakeld, of sluit u gebruikers en groepen uit van het beleid.
Nadat de voorkeursverificatie van het systeem is ingeschakeld, zorgt het verificatiesysteem voor alles. Gebruikers hoeven geen verificatiemethode in te stellen als standaardmethode, omdat het systeem dit altijd bepaalt en de veiligste methode presenteert die ze hebben geregistreerd.
Hoe systeemgepreseerde verificatie van toepassing is op aanmelding
Authenticatie met systeemvoorkeur heeft drie modi:
- Uitgeschakeld - Geen wijziging in aanmeldingslogica.
- Ingeschakeld - authenticatie volgens systeemvoorkeur is alleen van toepassing op de tweede factor. Het bestaande aanmeldingsgedrag blijft van toepassing op first-factor authentication.
- Microsoft managed - Authenticatie met systeemvoorkeur is van toepassing op zowel authenticatie met de eerste factor als authenticatie met de tweede factor. Het systeem evalueert welke referenties zijn geregistreerd voor de gebruiker en selecteert de methode met de hoogste classificatie voor elke verificatiestap.
Met zowel ingeschakelde als door Microsoft beheerde modi kunnen beheerders specifieke gebruikers of groepen opnemen of uitsluiten.
Tip
Als u niet wilt dat authenticatie met systeemvoorkeur wordt gebruikt voor verificatie met de eerste factor, schakelt u over van Door Microsoft beheerd naar Ingeschakeld. De status Ingeschakeld past systeemgepreseerde logica alleen toe op tweede factor.
Note
Authenticatie met systeemvoorkeur geldt voor gebruikers, niet voor apparaten. Beheerders kunnen gebruikers of groepen opnemen of uitsluiten, maar kunnen de functie niet toewijzen aan specifieke apparaten of apparaatgroepen.
Bekende beperkingen
- Wanneer u het beleid voor een doelgroep wijzigt, wordt de wijziging mogelijk niet van kracht op de volgende aanmelding van de gebruiker. Het is van toepassing op alle volgende aanmeldingen hierna.
- Het beleid voor voorwaardelijke toegang wordt alleen gevalideerd bij authenticatie met een tweede factor en is niet van toepassing op authenticatie met een eerste factor. Verificatie vindt eerst plaats en vervolgens evalueert voorwaardelijke toegang autorisatie. De door het systeem aanbevolen verificatie overschrijft geen beleid voor voorwaardelijke toegang of vereisten voor verificatiesterkte.
Schakel de systeemvoorkeursverificatie in het Microsoft Entra-beheercentrum in
Standaard wordt de verificatie met systeemvoorkeur voor alle gebruikers door Microsoft beheerd.
- Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een Authentication Policy Administrator.
- Blader naar Microsoft Entra ID>Verificatiemethoden>Instellingen.
- Voor System-preferred authentication, kies Microsoft-managed, Enabled of Disabled en neem gebruikers op of uit. Uitgesloten groepen hebben voorrang op include-groepen.
- Nadat u klaar bent met het aanbrengen van wijzigingen, selecteert u Opslaan.
Systeemvoorkeursverificatie inschakelen met behulp van Graph API's
Als u authenticatie met systeemvoorkeur vooraf wilt inschakelen, kiest u één doelgroep voor de schemaconfiguratie, zoals weergegeven in het Request-voorbeeld.
Configuratie-eigenschappen van verificatiemethodefuncties
Standaard is de voorkeursverificatie van het systeem Microsoft beheerd.
| Property | Type | Description |
|---|---|---|
| doel uitsluiten | eigenschapDoelwit | Eén entiteit die is uitgesloten van deze functie. U kunt slechts één groep uitsluiten van systeem-voorkeursverificatie. Dit kan een dynamische of geneste groep zijn. |
| doelwit opnemen | eigenschapDoelwit | Eén entiteit die is opgenomen in deze functie. U kunt slechts één groep opnemen voor systeemspecifieke verificatie. Dit kan een dynamische of geneste groep zijn. |
| State | advancedConfigState | Mogelijke waarden zijn: enabled: de functie wordt expliciet ingeschakeld voor de geselecteerde groep. disabled: de functie wordt expliciet uitgeschakeld voor de geselecteerde groep. Standaard staat Microsoft Entra ID toe te beheren of de functie wel of niet is ingeschakeld voor de geselecteerde groep. |
Eigenschappen van functiedoel
Systeemvoorkeursauthenticatie kan slechts voor één groep worden geactiveerd, die een dynamische of geneste groep kan zijn.
| Property | Type | Description |
|---|---|---|
| ID-kaart | string | Id van de doelentiteit. |
| doeltype | EigenschapDoelType | Het type entiteit waarop wordt gericht, zoals groep, rol of beheereenheid. De mogelijke waarden zijn: 'groep', 'administratieveEenheid', 'rol', 'onbekendeToekomstigeWaarde'. |
Gebruik het volgende API-eindpunt om systemCredentialPreferences in te schakelen en groepen op te nemen of uit te sluiten:
https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Note
In Graph Explorer moet u instemmen met de Policy.ReadWrite.AuthenticationMethod-machtiging.
Verzoek
In het volgende voorbeeld wordt een voorbeelddoelgroep uitgesloten en worden alle gebruikers opgenomen. Zie Update authenticationMethodsPolicy voor meer informatie.
PATCH https://graph.microsoft.com/v1.0/policies/authenticationMethodsPolicy
Content-Type: application/json
{
"systemCredentialPreferences": {
"state": "enabled",
"excludeTargets": [
{
"id": "aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb",
"targetType": "group"
}
],
"includeTargets": [
{
"id": "all_users",
"targetType": "group"
}
]
}
}
Veelgestelde vragen
Hoe bepaalt de systeem-voorkeursverificatie de veiligste methode?
Wanneer een gebruiker zich aanmeldt, controleert het verificatieproces welke methoden zijn geregistreerd. De gebruiker wordt gevraagd zich aan te melden met de veiligste methode volgens de volgende volgorde. De methodevolgorde is dynamisch en wordt bijgewerkt wanneer het beveiligingslandschap verandert. Gebruikers kunnen altijd annuleren en een andere beschikbare aanmeldingsmethode kiezen. Als uw organisatie beleid voor voorwaardelijke toegang heeft waarvoor specifieke verificatiemethoden zijn vereist, blijven deze beleidsregels prioriteit hebben boven de verificatievolgorde van het systeem.
Wanneer het systeem de status Microsoft beheerd heeft, evalueert het systeem beschikbare referenties en selecteert het de hoogste gerangschikte methode voor zowel de eerste-factor als de tweede factor-verificatie.
| Rank | Credential | Categorie | Voldoet aan de vereiste voor |
|---|---|---|---|
| 1 | Tijdelijke toegangspas (TAP) | Recovery | 1FA + MFA |
| 2 | Wachtwoordsleutel1 | Phishingbestendig | 1FA + MFA |
| 3 | Verificatie op basis van certificaten (CBA) | Phishingbestendig | 1FA of 1FA + MFA |
| 4 | Microsoft Authenticator-meldingen | Zonder wachtwoord | 1FA + MFA |
| 5 | Externe meervoudige verificatie (MFA) | — | MFA |
| 6 | Op tijd gebaseerd eenmalig wachtwoord (TOTP)2 | — | MFA |
| 7 | Telefonie3 | — | MFA |
| 8 | QR-code | Eerstelijnsmedewerker | 1FA |
| 9 | Wachtwoord | — | 1FA |
1Bevat beveiligingssleutels, wachtwoordsleutels in authenticator-app, gesynchroniseerde wachtwoordsleutels, Windows Hello voor Bedrijven en eenmalige aanmelding voor macOS Platform.
2Bevat hardware of software TOTP van Microsoft Authenticator, Authenticator Lite of toepassingen van derden.
3Inclusief sms- en spraakoproepen.
Important
Verificatie op basis van certificaten (CBA) werd eerder voor het laatst in de verificatievolgorde van het systeem geplaatst vanwege bekende problemen met CBA en systeem-voorkeursverificatie. Nu deze problemen zijn opgelost, is vanaf 18 maart 2026 verificatie op basis van certificaten verplaatst naar de derde positie in de verificatievolgorde.
Met het huidige Microsoft beheerd gedrag worden gebruikers omgeleid naar de best beschikbare verificatiemethoden voor zowel eerste als tweede factoren op basis van de MFA-volgorde van het systeem. Hoewel hiermee wordt voorkomen dat de wachtwoordpagina standaard wordt weergegeven, ondervinden gebruikers zonder certificaten op hun apparaat direct een fout tijdens CBA en moeten ze handmatig Op een andere manier aanmelden selecteren om verder te gaan met een alternatieve methode.
Hoe heeft systeemvoorkeursauthenticatie invloed op de NPS-extensie?
Systeemvoorkeur voor authenticatie heeft geen invloed op gebruikers die zich aanmelden met de NPS-extensie (Network Policy Server). Deze gebruikers zien geen wijzigingen in hun aanmeldingservaring.
Hoe beïnvloedt authenticatie met systeemvoorkeur de aanmelding met de eerste factor?
Als deze optie is ingesteld op Microsoft beheerd, past het systeem de classificatie van referenties toe op zowel de eerste-factor als de tweede factor-verificatie. Als een gebruiker bijvoorbeeld zowel een wachtwoord als een wachtwoordcode heeft geregistreerd, wordt deze gevraagd om de wachtwoordsleutel bij de eerste factor aanmelding in plaats van het wachtwoord. De gebruiker kan nog steeds andere aanmeldingsopties selecteren.
Als deze optie is ingesteld op Ingeschakeld, is de referentieclassificatie alleen van toepassing op tweede-factor-verificatie. Het gedrag van aanmelding met de eerste factor blijft ongewijzigd.
Kunnen gebruikers nog steeds een andere aanmeldingsmethode kiezen?
Ja. Bij systeemeigen verificatie wordt gebruikers standaard het hoogst gerangschikte aanmeldingsgegeven aangeboden, maar gebruikers kunnen tijdens het aanmelden ook andere toegestane methoden kiezen.