Meervoudige verificatie vereisen voor Intune apparaatinschrijvingen
Van toepassing op:
- Android
- iOS/iPadOS
- macOS
- Windows 8.1
- Windows 10
- Windows 11
U kunt Intune samen met Microsoft Entra beleid voor voorwaardelijke toegang gebruiken om meervoudige verificatie (MFA) te vereisen tijdens de inschrijving van het apparaat. Als u MFA nodig hebt, moeten werknemers en studenten die apparaten willen inschrijven eerst verifiëren met een tweede apparaat en twee vormen van referenties. MFA vereist dat ze zich verifiëren met behulp van twee of meer van deze verificatiemethoden:
- Iets wat ze weten, zoals een wachtwoord of pincode.
- Iets dat ze hebben dat niet kan worden gedupliceerd, zoals een vertrouwd apparaat of telefoon.
- Iets dat ze zijn, zoals een vingerafdruk.
Vereisten
Als u dit beleid wilt implementeren, moet u Microsoft Entra ID P1 of hoger toewijzen aan gebruikers.
Configureer Intune om meervoudige verificatie te vereisen bij apparaatinschrijving
Voer deze stappen uit om meervoudige verificatie in te schakelen tijdens Microsoft Intune inschrijving.
Belangrijk
Configureer geen op apparaten gebaseerde toegangsregels voor Microsoft Intune-inschrijving.
Meld je aan bij het Microsoft Intune-beheercentrum.
Ga naar Apparaten>Voorwaardelijke toegang. Dit gebied is hetzelfde als het gebied voor voorwaardelijke toegang dat beschikbaar is in de Microsoft Entra-beheercentrum. Zie Een beleid voor voorwaardelijke toegang bouwen voor meer informatie over de beschikbare instellingen.
Kies Nieuw beleid maken.
Geef uw beleid een naam.
Selecteer de categorie Gebruikers .
- Kies op het tabblad Opnemende optie Gebruikers of groepen selecteren.
- Er worden extra opties weergegeven. Selecteer Gebruikers en groepen. Er wordt een lijst met gebruikers en groepen geopend.
- Voeg de gebruikers of groepen toe waaraan u het beleid toewijst en kies vervolgens Selecteren.
- Als u gebruikers of groepen wilt uitsluiten van het beleid, selecteert u het tabblad Uitsluiten en voegt u deze gebruikers of groepen toe, zoals u in de vorige stap hebt gedaan.
Selecteer de volgende categorie , Doelresources.
- Selecteer het tabblad Opnemen .
- Kies Apps selecteren>Selecteren.
- Kies Microsoft Intune Inschrijving>selecteren om de app toe te voegen. Gebruik de zoekbalk in de app-kiezer om de app te vinden.
Voor automatische apparaatinschrijvingen van Apple met behulp van Configuratieassistent met moderne verificatie hebt u twee opties waaruit u kunt kiezen. In de volgende tabel wordt het verschil beschreven tussen de optie Microsoft Intune en Microsoft Intune inschrijvingsoptie.
Cloud-app Locatie van MFA-prompt Notities bij geautomatiseerde apparaatinschrijving Microsoft Intune Configuratieassistent,
Bedrijfsportal-appMet deze optie is MFA vereist tijdens de inschrijving en telkens wanneer de gebruiker zich aanmeldt bij de Bedrijfsportal app of website. De MFA-prompts worden weergegeven op de aanmeldingspagina van Bedrijfsportal. Microsoft Intune-inschrijving Configuratieassistent Met deze optie is MFA vereist tijdens de apparaatinschrijving en wordt deze weergegeven als een eenmalige MFA-prompt op de aanmeldingspagina Bedrijfsportal. Opmerking
De cloud-app Microsoft Intune Inschrijving wordt niet automatisch gemaakt voor nieuwe tenants. Als u de app voor nieuwe tenants wilt toevoegen, moet een Microsoft Entra-beheerder een service-principalobject maken, met app-id d4ebce55-015a-49b5-a083-c84d1797ae8c, in PowerShell of Microsoft Graph.
Selecteer de categorie Verlenen .
- Selecteer Meervoudige verificatie vereisen en Vereisen dat het apparaat is gemarkeerd als compatibel.
- Selecteer onder Voor meerdere besturingselementende optie Alle geselecteerde besturingselementen vereisen.
- Kies Selecteren.
Selecteer de categorie Sessie .
- Selecteer Aanmeldingsfrequentie en kies Elke keer.
- Kies Selecteren.
Bij Beleid inschakelen selecteert u Aan.
Selecteer Maken om uw beleid op te slaan en te maken.
Nadat u dit beleid hebt toegepast en geïmplementeerd, zien gebruikers een eenmalige MFA-prompt wanneer ze hun apparaat inschrijven.
Opmerking
Een tweede apparaat of een tijdelijke toegangspas is vereist om de MFA-uitdaging voor dit type apparaten in bedrijfseigendom te voltooien:
- Android Enterprise volledig beheerde apparaten
- Android Enterprise-apparaten in bedrijfseigendom met een werkprofiel
- iOS-/iPadOS-apparaten die zijn ingeschreven via automatische apple-apparaatinschrijving
- macOS-apparaten die zijn ingeschreven via automatische apple-apparaatinschrijving
Het tweede apparaat is vereist omdat het primaire apparaat geen oproepen of sms-berichten kan ontvangen tijdens het inrichtingsproces.