Richiedere l'autenticazione a più fattori per le registrazioni dei dispositivi in Intune

  • Articolo

Si applica a:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows 8.1
  • Windows 10
  • Windows 11

È possibile usare Intune insieme a Microsoft Entra criteri di accesso condizionale per richiedere l'autenticazione a più fattori durante la registrazione del dispositivo. Se è necessaria l'autenticazione a più fattori, i dipendenti e gli studenti che vogliono registrare i dispositivi devono prima eseguire l'autenticazione con un secondo dispositivo e due forme di credenziali. L'autenticazione a più fattori richiede l'autenticazione usando due o più di questi metodi di verifica:

  • Qualcosa che conoscono, ad esempio una password o un PIN.
  • Qualcosa che non può essere duplicato, ad esempio un dispositivo o un telefono attendibile.
  • Qualcosa che sono, come un'impronta digitale.

Prerequisiti

Per implementare questo criterio, è necessario assegnare Microsoft Entra ID P1 o versione successiva agli utenti.

Configurare Intune per richiedere l'autenticazione a più fattori durante la registrazione del dispositivo

Completare questi passaggi per abilitare l'autenticazione a più fattori durante la registrazione Microsoft Intune.

Importante

Non configurare le regole di accesso basate su dispositivo per la registrazione Microsoft Intune.

  1. Accedere all'interfaccia di amministrazione Microsoft Intune.

  2. Passare a Dispositivi>Accesso condizionale. Questa area è la stessa dell'area di accesso condizionale disponibile in Microsoft Entra ID. Per altre informazioni sulle impostazioni disponibili, vedere App cloud o azioni.

  3. Scegliere Crea nuovo criterio.

  4. Assegnare un nome ai criteri.

  5. Selezionare la categoria Utenti .

    1. Nella scheda Includi scegliere Seleziona utenti o gruppi.
    2. Vengono visualizzate altre opzioni. Selezionare Utenti e gruppi. Verrà visualizzato un elenco di utenti e gruppi.
    3. Aggiungere gli utenti o i gruppi a cui si assegnano i criteri e quindi scegliere Seleziona.
    4. Per escludere utenti o gruppi dai criteri, selezionare la scheda Escludi e aggiungere gli utenti o i gruppi come nel passaggio precedente.

  6. Selezionare la categoria successiva Risorse di destinazione.

    1. Selezionare la scheda Includi .
    2. Scegliere Seleziona app>Selezionare.
    3. Scegliere Microsoft Intune Registrazione>Selezionare per aggiungere l'app. Usare la barra di ricerca nel selettore dell'app per trovare l'app.

    Per le registrazioni automatizzate dei dispositivi Apple con Assistente configurazione con l'autenticazione moderna, è possibile scegliere tra due opzioni. Nella tabella seguente viene descritta la differenza tra l'opzione Microsoft Intune e l'opzione registrazione Microsoft Intune.

    App cloud Percorso del prompt dell'autenticazione a più fattori Note sulla registrazione automatica dei dispositivi
    Microsoft Intune Assistente configurazione,
    Portale aziendale'app    		 Con questa opzione, l'autenticazione a più fattori è necessaria durante la registrazione e ogni volta che l'utente accede all'app o al sito Web Portale aziendale. I prompt MFA vengono visualizzati nella pagina di accesso Portale aziendale.
    Registrazione Microsoft Intune Assistente installazione Con questa opzione, l'autenticazione a più fattori è necessaria durante la registrazione del dispositivo e viene visualizzata come richiesta di autenticazione a più fattori una tantum nella pagina di accesso Portale aziendale.

  7. Selezionare la categoria Concedi .

    1. Selezionare Richiedi autenticazione a più fattori e Richiedi che il dispositivo sia contrassegnato come conforme.
    2. In Per più controlli selezionare Richiedi tutti i controlli selezionati.
    3. Scegliere Seleziona.

  8. Selezionare la categoria Sessione .

    1. Selezionare Frequenza di accesso e scegliere Ogni volta.
    2. Scegliere Seleziona.

  9. In Abilita criterio selezionare .

  10. Selezionare Crea per salvare e creare i criteri.

Dopo aver applicato e distribuito questo criterio, gli utenti visualizzeranno una richiesta di autenticazione a più fattori una tantum quando registrano il dispositivo.

Nota

È necessario un secondo dispositivo per completare la richiesta di autenticazione a più fattori per questi tipi di dispositivi di proprietà dell'azienda:

  • Dispositivi Android Enterprise completamente gestiti
  • Dispositivi Android Enterprise di proprietà dell'azienda con un profilo di lavoro
  • Dispositivi iOS/iPadOS registrati tramite registrazione automatica dei dispositivi Apple
  • Dispositivi macOS registrati tramite registrazione automatica dei dispositivi Apple

Il secondo dispositivo è necessario perché il dispositivo primario non può ricevere chiamate o sms durante il processo di provisioning.