Requerir autenticación multifactor para las inscripciones de dispositivos de Intune

  • Artículo

Se aplica a:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows 8.1
  • Windows 10
  • Windows 11

Puede usar Intune junto con Microsoft Entra directivas de acceso condicional para requerir la autenticación multifactor (MFA) durante la inscripción de dispositivos. Si necesita MFA, los empleados y los alumnos que quieran inscribir dispositivos deben autenticarse primero con un segundo dispositivo y dos formas de credenciales. MFA requiere que se autentiquen mediante dos o más de estos métodos de verificación:

  • Algo que saben, como una contraseña o un PIN.
  • Algo que no se puede duplicar, como un dispositivo o teléfono de confianza.
  • Algo que son, como una huella digital.

Requisitos previos

Para implementar esta directiva, debe asignar Microsoft Entra ID P1 o posterior a los usuarios.

Configuración de Intune para requerir la autenticación multifactor en la inscripción de dispositivos

Complete estos pasos para habilitar la autenticación multifactor durante Microsoft Intune inscripción.

Importante

No configure reglas de acceso basadas en dispositivos para la inscripción a Microsoft Intune.

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. Vaya a Dispositivos>Acceso condicional. Esta área es la misma que el área de acceso condicional disponible en Microsoft Entra ID. Para obtener más información sobre la configuración disponible, consulte Aplicaciones o acciones en la nube.

  3. Elija Crear nueva directiva.

  4. Asigne un nombre a la directiva.

  5. Seleccione la categoría Usuarios .

    1. En la pestaña Incluir , elija Seleccionar usuarios o grupos.
    2. Aparecen opciones adicionales. Selecciona Usuarios y grupos Se abre una lista de usuarios y grupos.
    3. Agregue los usuarios o grupos a los que va a asignar la directiva y, a continuación, elija Seleccionar.
    4. Para excluir usuarios o grupos de la directiva, seleccione la pestaña Excluir y agregue esos usuarios o grupos como hizo en el paso anterior.

  6. Seleccione la siguiente categoría, Recursos de destino.

    1. Seleccione la pestaña Incluir .
    2. Elija Seleccionar aplicaciones>Seleccione.
    3. Elija Microsoft Intune Inscripción>Seleccione para agregar la aplicación. Use la barra de búsqueda en el selector de aplicaciones para buscar la aplicación.

    En el caso de las inscripciones de dispositivos automatizadas de Apple mediante el Asistente para la instalación con autenticación moderna, tiene dos opciones entre las que elegir. En la tabla siguiente se describe la diferencia entre la opción Microsoft Intune y la opción inscripción de Microsoft Intune.

    Aplicación en la nube Ubicación de la solicitud de MFA Notas sobre la inscripción automatizada de dispositivos
    Microsoft Intune Asistente de configuración,
    Aplicación Portal de empresa    		 Con esta opción, mfa es necesario durante la inscripción y cada vez que el usuario inicia sesión en la aplicación o el sitio web de Portal de empresa. Las solicitudes de MFA aparecen en la página de inicio de sesión de Portal de empresa.
    Inscripción a Microsoft Intune Asistente de configuración Con esta opción, MFA es necesaria durante la inscripción de dispositivos y aparece como una solicitud de MFA única en la página de inicio de sesión de Portal de empresa.

  7. Seleccione la categoría Conceder .

    1. Seleccione Requerir autenticación multifactor y Requerir que el dispositivo se marque como compatible.
    2. En Para varios controles, seleccione Requerir todos los controles seleccionados.
    3. Elija Seleccionar.

  8. Seleccione la categoría Sesión .

    1. Seleccione Frecuencia de inicio de sesión y elija Cada vez.
    2. Elija Seleccionar.

  9. En Habilitar directiva, seleccione Activado.

  10. Seleccione Crear para guardar y crear la directiva.

Después de aplicar e implementar esta directiva, los usuarios verán una solicitud de MFA única cuando inscriban su dispositivo.

Nota:

Se requiere un segundo dispositivo para completar el desafío de MFA para estos tipos de dispositivos corporativos:

  • Dispositivos totalmente administrados de Android Enterprise
  • Dispositivos corporativos Android Enterprise con un perfil de trabajo
  • Dispositivos iOS/iPadOS inscritos a través de la inscripción de dispositivos automatizada de Apple
  • Dispositivos macOS inscritos a través de la inscripción de dispositivos automatizada de Apple

El segundo dispositivo es necesario porque el dispositivo primario no puede recibir llamadas o mensajes de texto durante el proceso de aprovisionamiento.