Intune 디바이스 등록을 위한 다단계 인증 필요

  • 아티클

적용 대상:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows 8.1
  • Windows 10
  • Windows 11

Intune을 Microsoft Entra 조건부 액세스 정책과 함께 사용하여 디바이스 등록 중에 MFA(다단계 인증)를 요구할 수 있습니다. MFA가 필요한 경우 디바이스를 등록하려는 직원과 학생은 먼저 두 번째 디바이스와 두 가지 형태의 자격 증명으로 인증해야 합니다. MFA를 사용하려면 다음 두 가지 이상의 확인 방법을 사용하여 인증해야 합니다.

  • 암호 또는 PIN과 같이 알고 있는 항목입니다.
  • 신뢰할 수 있는 장치 또는 휴대폰과 같이 복제할 수 없는 항목이 있습니다.
  • 지문과 같은 항목입니다.

필수 구성 요소

이 정책을 구현하려면 Microsoft Entra ID P1 이상을 사용자에게 할당해야 합니다.

디바이스 등록 시 다단계 인증을 요구하도록 Intune 구성

Microsoft Intune 등록하는 동안 다단계 인증을 사용하도록 설정하려면 다음 단계를 완료합니다.

중요

Microsoft Intune 등록에 대한 디바이스 기반 액세스 규칙을 구성하지 마세요.

  1. Microsoft Intune 관리 센터에 로그인합니다.

  2. 디바이스>조건부 액세스로 이동합니다. 이 영역은 Microsoft Entra ID 사용할 수 있는 조건부 액세스 영역과 동일합니다. 사용 가능한 설정에 대한 자세한 내용은 클라우드 앱 또는 작업을 참조하세요.

  3. 새 정책 만들기를 선택합니다.

  4. 정책 이름을 지정합니다.

  5. 사용자 범주를 선택합니다.

    1. 포함 탭에서 사용자 또는 그룹 선택을 선택합니다.
    2. 추가 옵션이 나타납니다. 사용자 및 그룹을 선택합니다. 사용자 및 그룹 목록이 열립니다.
    3. 정책을 할당할 사용자 또는 그룹을 추가한 다음 선택을 선택합니다.
    4. 정책에서 사용자 또는 그룹을 제외하려면 제외 탭을 선택하고 이전 단계에서와 같이 해당 사용자 또는 그룹을 추가합니다.

  6. 다음 범주인 대상 리소스를 선택합니다.

    1. 포함 탭을 선택합니다.
    2. > 선택을선택합니다.
    3. Microsoft Intune 등록>선택을 선택하여 앱을 추가합니다. 앱 선택기에서 검색 창을 사용하여 앱을 찾습니다.

    최신 인증을 사용하는 설치 도우미를 사용하는 Apple 자동화 디바이스 등록의 경우 선택할 수 있는 두 가지 옵션이 있습니다. 다음 표에서는 Microsoft Intune 옵션과 Microsoft Intune 등록 옵션의 차이점을 설명합니다.

    클라우드 앱 MFA 프롬프트 위치 자동 디바이스 등록 정보
    Microsoft Intune 설정 도우미
    회사 포털 앱    		 이 옵션을 사용하면 등록하는 동안 사용자가 회사 포털 앱 또는 웹 사이트에 로그인할 때마다 MFA가 필요합니다. MFA 프롬프트는 회사 포털 로그인 페이지에 표시됩니다.
    Microsoft Intune 등록 설정 도우미 이 옵션을 사용하면 디바이스 등록 중에 MFA가 필요하며 회사 포털 로그인 페이지에 일회성 MFA 프롬프트로 표시됩니다.

  7. 허용 범주를 선택합니다.

    1. 다단계 인증 필요디바이스를 규격으로 표시해야 을 선택합니다.
    2. 여러 컨트롤의 경우에서 선택된 컨트롤이 모두 필요함을 선택합니다.
    3. 선택을 선택합니다.

  8. 세션 범주를 선택합니다.

    1. 로그인 빈도를 선택하고 매번 선택합니다.
    2. 선택을 선택합니다.

  9. 정책 사용에서 켜기를 선택합니다.

  10. 만들기를 선택하여 정책을 저장하고 만듭니다.

이 정책을 적용하고 배포하면 디바이스를 등록할 때 사용자에게 일회성 MFA 프롬프트가 표시됩니다.

참고

다음 유형의 회사 소유 디바이스에 대한 MFA 챌린지를 완료하려면 두 번째 디바이스가 필요합니다.

  • Android Enterprise 완전 관리형 디바이스
  • 회사 프로필이 있는 Android Enterprise 회사 소유 디바이스
  • Apple 자동 디바이스 등록을 통해 등록된 iOS/iPadOS 디바이스
  • Apple 자동 디바이스 등록을 통해 등록된 macOS 디바이스

두 번째 디바이스는 기본 디바이스가 프로비저닝 프로세스 중에 통화나 문자 메시지를 수신할 수 없기 때문에 필요합니다.