Meervoudige verificatie vereisen voor Intune-apparaatinschrijvingen

  • Artikel

Van toepassing op:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows 8.1
  • Windows 10
  • Windows 11

U kunt Intune gebruiken in combinatie met Microsoft Entra beleid voor voorwaardelijke toegang om meervoudige verificatie (MFA) te vereisen tijdens de apparaatinschrijving. Als u MFA nodig hebt, moeten werknemers en studenten die apparaten willen inschrijven eerst verifiëren met een tweede apparaat en twee vormen van referenties. MFA vereist dat ze zich verifiëren met behulp van twee of meer van deze verificatiemethoden:

  • Iets wat ze weten, zoals een wachtwoord of pincode.
  • Iets dat ze hebben dat niet kan worden gedupliceerd, zoals een vertrouwd apparaat of telefoon.
  • Iets dat ze zijn, zoals een vingerafdruk.

Vereisten

Als u dit beleid wilt implementeren, moet u Microsoft Entra ID P1 of hoger toewijzen aan gebruikers.

Intune configureren om meervoudige verificatie te vereisen bij apparaatinschrijving

Voer deze stappen uit om meervoudige verificatie in te schakelen tijdens Microsoft Intune inschrijving.

Belangrijk

Configureer geen op apparaten gebaseerde toegangsregels voor Microsoft Intune-inschrijving.

  1. Meld u aan bij het Microsoft Intune-beheercentrum.

  2. Ga naar Apparaten>Voorwaardelijke toegang. Dit gebied is hetzelfde als het gebied voor voorwaardelijke toegang dat beschikbaar is in Microsoft Entra ID. Zie Cloud-apps of -acties voor meer informatie over de beschikbare instellingen.

  3. Kies Nieuw beleid maken.

  4. Geef uw beleid een naam.

  5. Selecteer de categorie Gebruikers .

    1. Kies op het tabblad Opnemende optie Gebruikers of groepen selecteren.
    2. Er worden extra opties weergegeven. Selecteer Gebruikers en groepen. Er wordt een lijst met gebruikers en groepen geopend.
    3. Voeg de gebruikers of groepen toe waaraan u het beleid toewijst en kies vervolgens Selecteren.
    4. Als u gebruikers of groepen wilt uitsluiten van het beleid, selecteert u het tabblad Uitsluiten en voegt u deze gebruikers of groepen toe, zoals u in de vorige stap hebt gedaan.

  6. Selecteer de volgende categorie , Doelresources.

    1. Selecteer het tabblad Opnemen .
    2. Kies Apps selecteren>Selecteren.
    3. Kies Microsoft Intune Inschrijving>selecteren om de app toe te voegen. Gebruik de zoekbalk in de app-kiezer om de app te vinden.

    Voor automatische apparaatinschrijvingen van Apple met behulp van Configuratieassistent met moderne verificatie hebt u twee opties waaruit u kunt kiezen. In de volgende tabel wordt het verschil beschreven tussen de optie Microsoft Intune en Microsoft Intune inschrijvingsoptie.

    Cloud-app Locatie van MFA-prompt Notities bij geautomatiseerde apparaatinschrijving
    Microsoft Intune Configuratieassistent,
    Bedrijfsportal-app    		 Met deze optie is MFA vereist tijdens de inschrijving en telkens wanneer de gebruiker zich aanmeldt bij de Bedrijfsportal app of website. De MFA-prompts worden weergegeven op de aanmeldingspagina van Bedrijfsportal.
    Microsoft Intune-inschrijving Configuratieassistent Met deze optie is MFA vereist tijdens de apparaatinschrijving en wordt deze weergegeven als een eenmalige MFA-prompt op de aanmeldingspagina Bedrijfsportal.

  7. Selecteer de categorie Verlenen .

    1. Selecteer Meervoudige verificatie vereisen en Vereisen dat het apparaat is gemarkeerd als compatibel.
    2. Selecteer onder Voor meerdere besturingselementende optie Alle geselecteerde besturingselementen vereisen.
    3. Kies Selecteren.

  8. Selecteer de categorie Sessie .

    1. Selecteer Aanmeldingsfrequentie en kies Elke keer.
    2. Kies Selecteren.

  9. Bij Beleid inschakelen selecteert u Aan.

  10. Selecteer Maken om uw beleid op te slaan en te maken.

Nadat u dit beleid hebt toegepast en geïmplementeerd, zien gebruikers een eenmalige MFA-prompt wanneer ze hun apparaat inschrijven.

Opmerking

Een tweede apparaat is vereist om de MFA-uitdaging voor deze typen apparaten in bedrijfseigendom te voltooien:

  • Android Enterprise volledig beheerde apparaten
  • Android Enterprise-apparaten in bedrijfseigendom met een werkprofiel
  • iOS-/iPadOS-apparaten die zijn ingeschreven via automatische apple-apparaatinschrijving
  • macOS-apparaten die zijn ingeschreven via automatische apple-apparaatinschrijving

Het tweede apparaat is vereist omdat het primaire apparaat geen oproepen of sms-berichten kan ontvangen tijdens het inrichtingsproces.