Meervoudige verificatie vereisen voor Intune apparaatinschrijvingen

Intune kunt beleid voor voorwaardelijke toegang van Azure Active Directory (Azure AD) gebruiken om meervoudige verificatie (MFA) te vereisen voor apparaatinschrijving om u te helpen uw bedrijfsresources te beveiligen.

MFA werkt door twee of meer van de volgende verificatiemethoden te vereisen:

  • Iets dat u weet (meestal een wachtwoord of pincode).
  • Iets dat u hebt (een vertrouwd apparaat dat niet gemakkelijk kan worden gedupliceerd, zoals een telefoon).
  • Iets dat u bent (biometrie, zoals een vingerafdruk).

MFA wordt ondersteund voor apparaten met iOS/iPadOS, macOS, Android en Windows 8.1 of hoger.

Wanneer u MFA inschakelt, hebben eindgebruikers een tweede apparaat nodig en moeten ze twee vormen van referenties opgeven om een apparaat in te schrijven.

Configureer Intune om meervoudige verificatie te vereisen bij apparaatinschrijving

Voer de volgende stappen uit om MFA te vereisen wanneer een apparaat wordt ingeschreven:

Belangrijk

U moet een Azure Active Directory Premium P1 of hoger hebben toegewezen aan uw gebruikers om dit beleid te kunnen implementeren.

Belangrijk

Configureer geen op apparaten gebaseerde toegangsregels voor Microsoft Intune-inschrijving.

  1. Meld u aan bij het Microsoft Endpoint Manager-beheercentrum.

  2. Blader naar Apparaten>voor voorwaardelijke toegang. Het knooppunt voor voorwaardelijke toegang dat vanuit Intune wordt geopend, is hetzelfde knooppunt als dat wordt geopend vanuit Azure AD.

  3. Kies Nieuw beleid.

  4. Geef uw beleid een naam. We raden organisaties aan een zinvolle standaard te maken voor de namen van hun beleid.

  5. Selecteer onder Toewijzingende optie Gebruikers of workloadidentiteiten.

    1. Selecteer onder Opnemende optie Gebruikers of groepen selecteren en schakel Gebruikers en groepen in. Selecteer vervolgens de gebruikers en/of groepen die dit beleid ontvangen
    2. Kies Selecteren.
  6. Onder Cloud-apps of -acties>Opnemen.

    1. Kies Apps>selecteren Microsoft Intune Inschrijving.
    2. Kies Selecteren. Als u Microsoft Intune inschrijving kiest, wordt MFA voor voorwaardelijke toegang alleen toegepast op de inschrijving van het apparaat (eenmalige MFA-prompt).

    Voor automatische apparaatinschrijvingen van Apple met behulp van configuratieassistent met moderne verificatie hebt u twee opties:

    Cloud-app Locatie van MFA-prompt Notities bij geautomatiseerde apparaatinschrijving
    Microsoft Intune Configuratieassistent,
    Bedrijfsportal-app
    Met deze optie is MFA vereist tijdens de inschrijving en voor elke aanmelding bij de Bedrijfsportal app/Bedrijfsportal website. MFA voor voorwaardelijke toegang wordt alleen toegepast op de aanmelding van de Bedrijfsportal op het apparaat.
    Microsoft Intune-inschrijving Configuratieassistent Met deze optie wordt MFA alleen toegepast op de inschrijving van het apparaat (eenmalige MFA-prompt). MFA voor voorwaardelijke toegang wordt alleen toegepast op de aanmelding van de Bedrijfsportal op het apparaat.
  7. Onder Voorwaarden hoeft u geen instellingen voor MFA te configureren.

  8. Onder Toegangsbeheer>verlenen

    1. Selecteer Meervoudige verificatie vereisen en Vereisen dat het apparaat is gemarkeerd als compatibel.
    2. Zorg ervoor dat Alle geselecteerde besturingselementen vereisen is geselecteerd onder Voor meerdere besturingselementen.
    3. Kies Selecteren.
  9. Onder Sessie.

    1. Selecteer Aanmeldingsfrequentie.
    2. Zorg ervoor dat Elke keer is geselecteerd.
    3. Selecteer Selecteren.
  10. Kies in Nieuw beleidde optie Beleid> inschakelenaan en kies vervolgens Maken.

Opmerking

Een tweede apparaat is vereist om de MFA-uitdaging voor zakelijke apparaten te voltooien, zoals de volgende:

  • Android Enterprise Volledig beheerd.
  • Android Enterprise-werkprofiel in bedrijfseigendom.
  • Automatische apparaatinschrijving van iOS/iPadOS.
  • automatische apparaatinschrijving van macOS.

Het tweede apparaat is vereist omdat het primaire apparaat geen oproepen of sms-berichten kan ontvangen tijdens het inrichtingsproces.

Volgende stappen

Wanneer eindgebruikers hun apparaat inschrijven, moeten ze zich nu verifiëren met een tweede vorm van identificatie, zoals een pincode, een telefoon of biometrie.