Microsoft Entra MFA Regional Opt-In: hoe Microsoft telefonie-MFA per regio beperkt
Microsoft blijft zijn identiteitsbeveiliging verder versterken. Eén van de minder bekende, maar belangrijke beveiligingsmechanismen in Microsoft Entra multifactor authentication (MFA) is het concept Regional Opt-In voor telefonieverificatie.
Dit mechanisme bepaalt vanuit welke landen SMS- of telefonieverificatie voor MFA standaard is toegestaan of juist geblokkeerd. Voor sommige regio’s moet een organisatie expliciet toestemming aanvragen voordat MFA-verificatie via telefoonnummer mogelijk is.
In deze blog leggen we uit wat Microsoft Entra MFA Regional Opt-In is, waarom het bestaat en wat dit betekent voor organisaties die MFA gebruiken in Microsoft 365 en Entra ID.
Wat is Microsoft Entra MFA Regional Opt-In?
Microsoft Entra MFA ondersteunt verschillende verificatiemethoden, zoals pushmeldingen, passkeys, hardware tokens en telefonieverificatie via SMS of voice calls. MFA voegt een extra beveiligingslaag toe door gebruikers meerdere factoren te laten gebruiken bij het inloggen.
Voor telefonieverificatie gelden echter aanvullende beveiligingsmaatregelen. Microsoft kan voor bepaalde landen telefonieverkeer blokkeren of beperken vanwege een verhoogd risico op fraude.
Daarom bestaat het concept Regional Opt-In:
-
Telefonieverificatie is niet automatisch toegestaan voor alle landcodes
-
Sommige landen vereisen handmatige activering via Microsoft Support
-
Dit voorkomt misbruik van MFA-systemen via frauduleuze telefoondiensten
Waarom Microsoft sommige regio’s blokkeert
Telefoniegebaseerde MFA (zoals SMS of voice calls) kan gevoelig zijn voor fraude. Eén van de belangrijkste risico’s is International Revenue Share Fraud (IRSF).
Bij IRSF:
-
Krijgen aanvallers toegang tot een systeem
-
Genereren ze grote hoeveelheden MFA-verkeer
-
Worden oproepen doorgestuurd naar premium-nummers
Dit wordt ook wel traffic pumping genoemd en kan leiden tot:
-
hoge telecomkosten
-
instabiele authenticatiesystemen
-
misbruik van MFA-processen
Microsoft beperkt daarom telefonieverificatie in risicogebieden om frauduleuze activiteiten te voorkomen en klanten te beschermen.
Daarnaast gebruikt Microsoft heuristiek, machine learning en risicogebaseerde signalen om verdachte telefonieactiviteiten te detecteren en te beperken.
Hoe Regional Opt-In werkt
Wanneer een gebruiker MFA via telefoon probeert te gebruiken in een regio die niet standaard ondersteund wordt, kan Microsoft het verkeer blokkeren.
In dat geval moet een beheerder:
-
Een supportticket bij Microsoft openen
-
Verifiëren waarom telefonieverificatie nodig is
-
Specifieke landcodes laten activeren
Pas daarna kan MFA-verificatie via SMS of spraakoproep voor die regio gebruikt worden.
Dit mechanisme helpt Microsoft om:
-
fraude te beperken
-
verdachte telecomroutes te blokkeren
-
MFA betrouwbaarder te maken
Welke regio’s kunnen een opt-in vereisen?
Microsoft publiceert een lijst met landcodes waarvoor telefonieverificatie niet standaard beschikbaar is.
Dit zijn vaak regio’s met:
-
verhoogde telecomfraude
-
premium-nummermisbruik
-
beperkte telecomregulering
Voor organisaties met internationale gebruikers, partners of klanten kan dit betekenen dat MFA via SMS niet altijd automatisch werkt.
Wat betekent dit voor organisaties?
Voor de meeste organisaties is deze instelling nauwelijks merkbaar, omdat de meeste MFA-gebruikers in standaard ondersteunde regio’s zitten.
Toch zijn er scenario’s waarin Regional Opt-In relevant wordt.
1. Internationale gebruikers
Organisaties met medewerkers in minder gangbare regio’s kunnen merken dat SMS-verificatie niet werkt.
2. B2C of External ID scenario’s
Apps met wereldwijde gebruikers (bijvoorbeeld SaaS-platformen) kunnen tegen regionale beperkingen aanlopen.
3. Legacy MFA-methodes
Telefoniegebaseerde MFA wordt steeds minder aanbevolen. Microsoft adviseert organisaties steeds vaker om sterkere methoden zoals authenticator-apps of passkeys te gebruiken.
Waarom authenticator-apps veiliger zijn
Hoewel SMS-MFA nog steeds wordt gebruikt, zijn modernere methoden veiliger.
Voorbeelden:
-
Microsoft Authenticator pushmeldingen
-
Passkeys (FIDO2)
-
Windows Hello for Business
-
hardware security keys
Deze methoden zijn minder kwetsbaar voor telecomfraude en passen beter binnen een Zero Trust-architectuur.
Best practices voor MFA in Microsoft Entra
Om MFA zo veilig mogelijk te maken, raden Microsoft en securityspecialisten aan:
1. Gebruik authenticator-apps als standaard MFA-methode
Pushmeldingen zijn veiliger dan SMS.
2. Verminder afhankelijkheid van telefonie-MFA
SMS en voice calls zijn gevoeliger voor fraude.
3. Controleer internationale gebruikersscenario’s
Zorg dat MFA werkt in alle regio’s waar je organisatie actief is.
4. Gebruik Conditional Access
Hiermee kun je MFA alleen afdwingen bij risicovolle aanmeldingen.
Korte samenvatting MFA en telefoonverificatie
Microsoft Entra MFA Regional Opt-In is een belangrijk maar vaak onbekend beveiligingsmechanisme dat organisaties beschermt tegen telecomfraude.
Kort samengevat:
-
Niet alle landcodes ondersteunen automatisch telefonieverificatie
-
Sommige regio’s vereisen een handmatige opt-in via Microsoft Support
-
Dit helpt fraude en misbruik van MFA-systemen te voorkomen
-
Authenticator-apps en passkeys blijven de veiligste MFA-methoden
Voor organisaties die wereldwijd opereren is het verstandig om MFA-methoden regelmatig te evalueren en modernere authenticatievormen te implementeren.
Lijst met Regiocodes voor MFA in Entra
| Region Code | Region Name |
|---|---|
| Afghanistan | 93 |
| Albania | 355 |
| Algeria | 213 |
| American Samoa | 1684 |
| Andorra | 376 |
| Angola | 244 |
| Anguilla | 1264 |
| Antarctica | 672 |
| Antigua and Barbuda | 1268 |
| Argentina | 54 |
| Armenia | 374 |
| Aruba | 297 |
| Ascension | 247 |
| Azerbaijan | 994 |
| Bahamas | 1242 |
| Bahrain | 973 |
| Bangladesh | 880 |
| Barbados | 1246 |
| Belarus | 375 |
| Belgium | 32 |
| Belize | 501 |
| Benin | 229 |
| Bermuda | 1441 |
| Bhutan | 975 |
| Bolivia | 591 |
| Bosnia and Herzegovina | 387 |
| Botswana | 267 |
| British Indian Ocean Territory | 246 |
| British Virgin Islands | 1284 |
| Brunei | 673 |
| Bulgaria | 359 |
| Burkina Faso | 226 |
| Burundi | 257 |
| Cambodia | 855 |
| Cameroon | 237 |
| Cape Verde | 238 |
| Cayman Islands | 1345 |
| Central African Republic | 236 |
| Chad | 235 |
| Chile | 56 |
| Comoros | 269 |
| Cook Islands | 682 |
| Costa Rica | 506 |
| Croatia | 385 |
| Cuba | 53 |
| Curacao, Netherlands Antilles | 599 |
| Cyprus | 357 |
| Democratic Republic of the Congo | 243 |
| Denmark | 45 |
| Djibouti | 253 |
| Dominica | 1767 |
| Dominican Republic | 1829 |
| Dominican Republic | 1849 |
| Dominican Republic | 1809 |
| East Timor | 670 |
| Ecuador | 593 |
| Egypt | 20 |
| El Salvador | 503 |
| Equatorial Guinea | 240 |
| Eritrea | 291 |
| Estonia | 372 |
| Ethiopia | 251 |
| Falkland Islands | 500 |
| Faroe Islands | 298 |
| Fiji | 679 |
| French Guiana | 594 |
| French Polynesia | 689 |
| Gabon | 241 |
| Gambia | 220 |
| Georgia | 995 |
| Ghana | 233 |
| Gibraltar | 350 |
| Greece | 30 |
| Greenland | 299 |
| Grenada | 1473 |
| Guam | 1671 |
| Guatemala | 502 |
| Guinea | 224 |
| Guinea-Bissau | 245 |
| Guyana | 592 |
| Haiti | 509 |
| Honduras | 504 |
| Hong Kong | 852 |
| Hungary | 36 |
| Iceland | 354 |
| Indonesia | 62 |
| Iran | 98 |
| Iraq | 964 |
| Israel | 972 |
| Ivory Coast | 225 |
| Jamaica | 1876 |
| Jamaica | 1658 |
| Jordan | 962 |
| Kenya | 254 |
| Kiribati | 686 |
| Kosovo | 383 |
| Kuwait | 965 |
| Kyrgyzstan | 996 |
| Laos | 856 |
| Latvia | 371 |
| Lebanon | 961 |
| Lesotho | 266 |
| Liberia | 231 |
| Libya | 218 |
| Liechtenstein | 423 |
| Lithuania | 370 |
| Luxembourg | 352 |
| Macao | 853 |
| Macedonia | 389 |
| Madagascar | 261 |
| Malawi | 265 |
| Malaysia | 60 |
| Maldives | 960 |
| Mali | 223 |
| Malta | 356 |
| Marshall Islands | 692 |
| Martinique | 596 |
| Mauritania | 222 |
| Mauritius | 230 |
| Mayotte, Reunion | 262 |
| Micronesia | 691 |
| Moldova | 373 |
| Monaco | 377 |
| Mongolia | 976 |
| Montenegro | 382 |
| Montserrat | 1664 |
| Morocco, Western Sahara | 212 |
| Mozambique | 258 |
| Myanmar | 95 |
| Namibia | 264 |
| Nauru | 674 |
| Nepal | 977 |
| Netherlands | 31 |
| New Caledonia | 687 |
| New Zealand, Pitcairn | 64 |
| Nicaragua | 505 |
| Niger | 227 |
| Nigeria | 234 |
| Niue | 683 |
| North Korea | 850 |
| Northern Mariana Islands | 1670 |
| Norway, Svalbard and Jan Mayen | 47 |
| Oman | 968 |
| Pakistan | 92 |
| Palau | 680 |
| Palestine | 970 |
| Panama | 507 |
| Papua New Guinea | 675 |
| Paraguay | 595 |
| Peru | 51 |
| Philippines | 63 |
| Portugal | 351 |
| Puerto Rico | 1939 |
| Puerto Rico | 1787 |
| Qatar | 974 |
| Republic of the Congo | 242 |
| Russia, Kazakhstan | 7 |
| Rwanda | 250 |
| Saint Barthelemy, Saint Martin, Guadeloupe | 590 |
| Saint Helena | 290 |
| Saint Kitts and Nevis | 1869 |
| Saint Lucia | 1758 |
| Saint Pierre and Miquelon | 508 |
| Saint Vincent and the Grenadines | 1784 |
| Samoa | 685 |
| San Marino | 378 |
| Sao Tome and Principe | 239 |
| Saudi Arabia | 966 |
| Senegal | 221 |
| Serbia | 381 |
| Seychelles | 248 |
| Sierra Leone | 232 |
| Slovakia | 421 |
| Slovenia | 386 |
| Solomon Islands | 677 |
| Somalia | 252 |
| South Africa | 27 |
| South Sudan | 211 |
| Sri Lanka | 94 |
| Sudan | 249 |
| Suriname | 597 |
| Swaziland, Eswatini | 268 |
| Sweden | 46 |
| Syria | 963 |
| Taiwan | 886 |
| Tajikistan | 992 |
| Tanzania | 255 |
| Thailand | 66 |
| Togo | 228 |
| Tokelau | 690 |
| Tonga | 676 |
| Trinidad & Tobago | 1868 |
| Tunisia | 216 |
| Turkmenistan | 993 |
| Turks and Caicos Islands | 1649 |
| Tuvalu | 688 |
| U.S. Virgin Islands | 1340 |
| Uganda | 256 |
| Ukraine | 380 |
| United Arab Emirates | 971 |
| Uruguay | 598 |
| Uzbekistan | 998 |
| Vanuatu | 678 |
| Venezuela | 58 |
| Vietnam | 84 |
| Wallis and Futuna | 681 |
| Yemen | 967 |
| Zambia | 260 |
| Zimbabwe | 263 |
Bron: https://learn.microsoft.com/en-us/entra/identity/authentication/concept-mfa-regional-opt-in
