Mehrstufige Authentifizierung für Intune-Geräteregistrierungen erforderlich
Gilt für:
- Android
- iOS/iPadOS
- macOS
- Windows 8.1
- Windows 10
- Windows 11
Sie können Intune zusammen mit Microsoft Entra-Richtlinien für bedingten Zugriff verwenden, um die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) während der Geräteregistrierung zu erfordern. Wenn Sie MFA benötigen, müssen sich Mitarbeiter und Studenten, die Geräte registrieren möchten, zuerst mit einem zweiten Gerät und zwei Arten von Anmeldeinformationen authentifizieren. MFA erfordert, dass sie sich mit zwei oder mehr dieser Überprüfungsmethoden authentifizieren:
- Etwas, das ihnen bekannt ist, z. B. ein Kennwort oder eine PIN.
- Etwas, das nicht dupliziert werden kann, z. B. ein vertrauenswürdiges Gerät oder Telefon.
- Etwas, was sie sind, z. B. ein Fingerabdruck.
Voraussetzungen
Um diese Richtlinie zu implementieren, müssen Sie Benutzern die Microsoft Entra-ID P1 oder höher zuweisen.
Konfigurieren von Intune für die Mehrstufige Authentifizierung bei der Geräteregistrierung
Führen Sie diese Schritte aus, um die mehrstufige Authentifizierung während der Microsoft Intune-Registrierung zu aktivieren.
Wichtig
Konfigurieren Sie keine gerätebasierten Zugriffsregeln für die Microsoft Intune-Registrierung.
Melden Sie sich beim Microsoft Intune Admin Center an.
Wechseln Sie zu Geräte>Bedingter Zugriff. Dieser Bereich ist identisch mit dem Bereich für bedingten Zugriff, der im Microsoft Entra Admin Center verfügbar ist. Weitere Informationen zu den verfügbaren Einstellungen finden Sie unter Erstellen einer Richtlinie für bedingten Zugriff.
Wählen Sie Neue Richtlinie erstellen aus.
Benennen Sie Ihre Richtlinie.
Wählen Sie die Kategorie Benutzer aus.
- Wählen Sie auf der Registerkarte Einschließen die Option Benutzer oder Gruppen auswählen aus.
- Zusätzliche Optionen werden angezeigt. Wählen Sie Benutzer und Gruppen aus. Eine Liste von Benutzern und Gruppen wird geöffnet.
- Fügen Sie die Benutzer oder Gruppen hinzu, der Sie die Richtlinie zuweisen möchten, und wählen Sie dann Auswählen aus.
- Um Benutzer oder Gruppen von der Richtlinie auszuschließen, wählen Sie die Registerkarte Ausschließen aus, und fügen Sie diese Benutzer oder Gruppen wie im vorherigen Schritt hinzu.
Wählen Sie die nächste Kategorie Zielressourcen aus.
- Wählen Sie die Registerkarte Einschließen aus.
- Wählen Sie Apps> auswählenAuswählen aus.
- Wählen Sie Microsoft Intune-Registrierung>aus Wählen Sie aus, um die App hinzuzufügen. Verwenden Sie die Suchleiste in der App-Auswahl, um die App zu finden.
Für automatisierte Apple-Geräteregistrierungen mit dem Setup-Assistenten mit moderner Authentifizierung haben Sie zwei Optionen zur Auswahl. In der folgenden Tabelle wird der Unterschied zwischen der Option Microsoft Intune und der Microsoft Intune-Registrierung beschrieben.
Cloud-App Ort der MFA-Eingabeaufforderung Hinweise zur automatischen Geräteregistrierung Microsoft Intune Setup-Assistent,
Unternehmensportal-AppBei dieser Option ist MFA während der Registrierung und jedes Mal erforderlich, wenn sich der Benutzer bei der Unternehmensportal-App oder -Website anmeldet. Die MFA-Eingabeaufforderungen werden auf der Anmeldeseite des Unternehmensportals angezeigt. Microsoft Intune-Registrierung Setup-Assistent Bei dieser Option ist MFA während der Geräteregistrierung erforderlich und wird als einmalige MFA-Aufforderung auf der Anmeldeseite des Unternehmensportals angezeigt. Wählen Sie die Kategorie Gewähren aus.
- Wählen Sie Mehrstufige Authentifizierung erforderlich und Gerät muss als konform gekennzeichnet werden.
- Klicken Sie unter Für mehrere Steuerelemente auf Alle ausgewählten Kontrollen anfordern.
- Klicken Sie auf Auswählen.
Wählen Sie die Kategorie Sitzung aus.
- Wählen Sie Anmeldehäufigkeit und dann Jedes Mal aus.
- Klicken Sie auf Auswählen.
Wählen Sie unter Richtlinie aktivieren die Option Ein aus.
Wählen Sie Erstellen aus, um Ihre Richtlinie zu speichern und zu erstellen.
Nachdem Sie diese Richtlinie angewendet und bereitgestellt haben, wird benutzern bei der Registrierung ihres Geräts eine einmalige MFA-Aufforderung angezeigt.
Hinweis
Ein zweites Gerät ist erforderlich, um die MFA-Herausforderung für diese Arten von unternehmenseigenen Geräten abzuschließen:
- Vollständig verwaltete Android Enterprise-Geräte
- Unternehmenseigene Android Enterprise-Geräte mit einem Arbeitsprofil
- iOS-/iPadOS-Geräte, die über die automatisierte Apple-Geräteregistrierung registriert wurden
- macOS-Geräte, die über die automatisierte Apple-Geräteregistrierung registriert wurden
Das zweite Gerät ist erforderlich, da das primäre Gerät während des Bereitstellungsvorgangs keine Anrufe oder Textnachrichten empfangen kann.
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter:Einreichen und Feedback anzeigen für