Richiedere l'autenticazione a più fattori per le registrazioni dei dispositivi in Intune
Si applica a:
- Android
- iOS/iPadOS
- macOS
- Windows 8.1
- Windows 10
- Windows 11
È possibile usare Intune insieme a Microsoft Entra criteri di accesso condizionale per richiedere l'autenticazione a più fattori durante la registrazione del dispositivo. Se è necessaria l'autenticazione a più fattori, i dipendenti e gli studenti che vogliono registrare i dispositivi devono prima eseguire l'autenticazione con un secondo dispositivo e due forme di credenziali. L'autenticazione a più fattori richiede l'autenticazione usando due o più di questi metodi di verifica:
- Qualcosa che conoscono, ad esempio una password o un PIN.
- Qualcosa che non può essere duplicato, ad esempio un dispositivo o un telefono attendibile.
- Qualcosa che sono, come un'impronta digitale.
Prerequisiti
Per implementare questo criterio, è necessario assegnare Microsoft Entra ID P1 o versione successiva agli utenti.
Configurare Intune per richiedere l'autenticazione a più fattori durante la registrazione del dispositivo
Completare questi passaggi per abilitare l'autenticazione a più fattori durante la registrazione Microsoft Intune.
Importante
Non configurare le regole di accesso basate su dispositivo per la registrazione Microsoft Intune.
Accedere all'interfaccia di amministrazione Microsoft Intune.
Passare a Dispositivi>Accesso condizionale. Questa area è la stessa dell'area di accesso condizionale disponibile in Microsoft Entra ID. Per altre informazioni sulle impostazioni disponibili, vedere App cloud o azioni.
Scegliere Crea nuovo criterio.
Assegnare un nome ai criteri.
Selezionare la categoria Utenti .
- Nella scheda Includi scegliere Seleziona utenti o gruppi.
- Vengono visualizzate altre opzioni. Selezionare Utenti e gruppi. Verrà visualizzato un elenco di utenti e gruppi.
- Aggiungere gli utenti o i gruppi a cui si assegnano i criteri e quindi scegliere Seleziona.
- Per escludere utenti o gruppi dai criteri, selezionare la scheda Escludi e aggiungere gli utenti o i gruppi come nel passaggio precedente.
Selezionare la categoria successiva Risorse di destinazione.
- Selezionare la scheda Includi .
- Scegliere Seleziona app>Selezionare.
- Scegliere Microsoft Intune Registrazione>Selezionare per aggiungere l'app. Usare la barra di ricerca nel selettore dell'app per trovare l'app.
Per le registrazioni automatizzate dei dispositivi Apple con Assistente configurazione con l'autenticazione moderna, è possibile scegliere tra due opzioni. Nella tabella seguente viene descritta la differenza tra l'opzione Microsoft Intune e l'opzione registrazione Microsoft Intune.
App cloud Percorso del prompt dell'autenticazione a più fattori Note sulla registrazione automatica dei dispositivi Microsoft Intune Assistente configurazione,
Portale aziendale'appCon questa opzione, l'autenticazione a più fattori è necessaria durante la registrazione e ogni volta che l'utente accede all'app o al sito Web Portale aziendale. I prompt MFA vengono visualizzati nella pagina di accesso Portale aziendale. Registrazione Microsoft Intune Assistente installazione Con questa opzione, l'autenticazione a più fattori è necessaria durante la registrazione del dispositivo e viene visualizzata come richiesta di autenticazione a più fattori una tantum nella pagina di accesso Portale aziendale. Selezionare la categoria Concedi .
- Selezionare Richiedi autenticazione a più fattori e Richiedi che il dispositivo sia contrassegnato come conforme.
- In Per più controlli selezionare Richiedi tutti i controlli selezionati.
- Scegliere Seleziona.
Selezionare la categoria Sessione .
- Selezionare Frequenza di accesso e scegliere Ogni volta.
- Scegliere Seleziona.
In Abilita criterio selezionare Sì.
Selezionare Crea per salvare e creare i criteri.
Dopo aver applicato e distribuito questo criterio, gli utenti visualizzeranno una richiesta di autenticazione a più fattori una tantum quando registrano il dispositivo.
Nota
È necessario un secondo dispositivo per completare la richiesta di autenticazione a più fattori per questi tipi di dispositivi di proprietà dell'azienda:
- Dispositivi Android Enterprise completamente gestiti
- Dispositivi Android Enterprise di proprietà dell'azienda con un profilo di lavoro
- Dispositivi iOS/iPadOS registrati tramite registrazione automatica dei dispositivi Apple
- Dispositivi macOS registrati tramite registrazione automatica dei dispositivi Apple
Il secondo dispositivo è necessario perché il dispositivo primario non può ricevere chiamate o sms durante il processo di provisioning.
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per