Sdílet prostřednictvím


Vyžadování vícefaktorového ověřování pro registraci Intune zařízení

Platí pro:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows 8.1
  • Windows 10
  • Windows 11

Intune můžete použít společně se zásadami podmíněného přístupu Microsoft Entra a vyžadovat vícefaktorové ověřování (MFA) během registrace zařízení. Pokud požadujete vícefaktorové ověřování, musí se zaměstnanci a studenti, kteří chtějí zařízení zaregistrovat, nejprve ověřit pomocí druhého zařízení a dvou forem přihlašovacích údajů. Vícefaktorové ověřování vyžaduje, aby se ověřili pomocí dvou nebo více těchto metod ověření:

  • Něco, co znají, například heslo nebo PIN kód.
  • Něco, co se nedá duplikovat, třeba důvěryhodné zařízení nebo telefon.
  • Něco, čím jsou, třeba otiskem prstu.

Požadavky

Pokud chcete tuto zásadu implementovat, musíte uživatelům přiřadit Microsoft Entra ID P1 nebo novější.

Konfigurace Intune tak, aby při registraci zařízení vyžadovala vícefaktorové ověřování

Provedením těchto kroků povolte vícefaktorové ověřování během Microsoft Intune registrace.

Důležité

Nekonfigurujte pravidla přístupu na základě zařízení pro registraci Microsoft Intune.

  1. Přihlaste se k Centru pro správu Microsoft 365.

  2. Přejděte naPodmíněný přístup zařízení>. Tato oblast je stejná jako oblast podmíněného přístupu, která je dostupná v Centrum pro správu Microsoft Entra. Další informace o dostupných nastaveních najdete v tématu Vytvoření zásad podmíněného přístupu.

  3. Zvolte Vytvořit novou zásadu.

  4. Pojmenujte zásadu.

  5. Vyberte kategorii Uživatelé .

    1. Na kartě Zahrnout zvolte Vybrat uživatele nebo skupiny.
    2. Zobrazí se další možnosti. Vyberte Uživatelé a skupiny. Otevře se seznam uživatelů a skupin.
    3. Přidejte uživatele nebo skupiny, ke které zásady přiřazujete, a pak zvolte Vybrat.
    4. Pokud chcete ze zásad vyloučit uživatele nebo skupiny, vyberte kartu Vyloučit a přidejte uživatele nebo skupiny jako v předchozím kroku.
  6. Vyberte další kategorii Cílové prostředky.

    1. Vyberte kartu Zahrnout .
    2. Zvolte Vybrat aplikace>Vybrat.
    3. Zvolte Microsoft Intune EnrollmentSelect (Vybrat registraci>) a přidejte aplikaci. K vyhledání aplikace použijte panel hledání ve výběru aplikace.

    U automatizovaných registrací zařízení Apple pomocí Pomocníka s nastavením s moderním ověřováním máte na výběr ze dvou možností. Následující tabulka popisuje rozdíl mezi možností Microsoft Intune a možností registrace Microsoft Intune.

    Cloudová aplikace Umístění výzvy vícefaktorového ověřování Poznámky k automatické registraci zařízení
    Microsoft Intune Pomocník s nastavením,
    Portál společnosti aplikace
    S touto možností se vícefaktorové ověřování vyžaduje během registrace a pokaždé, když se uživatel přihlásí k Portál společnosti aplikaci nebo webu. Výzvy vícefaktorového ověřování se zobrazí na přihlašovací stránce Portál společnosti.
    registrace Microsoft Intune Pomocník s nastavením Při této možnosti se vícefaktorové ověřování vyžaduje při registraci zařízení a na přihlašovací stránce Portál společnosti se zobrazí jako jednorázová výzva k vícefaktorovém ověřování.

    Poznámka

    Cloudová aplikace Microsoft Intune Enrollment se pro nové tenanty nevytvořila automaticky. Pokud chcete přidat aplikaci pro nové tenanty, musí správce Microsoft Entra vytvořit instanční objekt s ID aplikace d4ebce55-015a-49b5-a083-c84d1797ae8c v PowerShellu nebo Microsoft Graphu.

  7. Vyberte kategorii Udělit .

    1. Vyberte Vyžadovat vícefaktorové ověřování a Vyžadovat, aby zařízení bylo označené jako vyhovující.
    2. V části Pro více ovládacích prvků vyberte Vyžadovat všechny vybrané ovládací prvky.
    3. Zvolte Vybrat.
  8. Vyberte kategorii Relace .

    1. Vyberte Četnost přihlašování a zvolte Pokaždé.
    2. Zvolte Vybrat.
  9. V části Povolit zásadu vyberte Zapnuto.

  10. Vyberte Vytvořit , abyste zásadu uložili a vytvořili.

Po použití a nasazení této zásady se uživatelům při registraci zařízení zobrazí jednorázová výzva k vícefaktorovém ověřování.

Poznámka

K dokončení úkolu vícefaktorového ověřování pro tyto typy zařízení vlastněných společností se vyžaduje druhé zařízení nebo dočasný přístup:

  • Plně spravovaná zařízení s Androidem Enterprise
  • Zařízení s Androidem Enterprise vlastněná společností s pracovním profilem
  • Zařízení s iOS/iPadOS zaregistrovaná prostřednictvím automatizované registrace zařízení Apple
  • Zařízení s macOS zaregistrovaná prostřednictvím automatizované registrace zařízení Apple

Druhé zařízení je povinné, protože primární zařízení nemůže během procesu zřizování přijímat hovory ani textové zprávy.