Wymaganie uwierzytelniania wieloskładnikowego na potrzeby rejestracji urządzeń w usłudze Intune

  • Artykuł

Dotyczy:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows 8.1
  • Windows 10
  • Windows 11

Usługi Intune można używać razem z zasadami dostępu warunkowego Microsoft Entra, aby wymagać uwierzytelniania wieloskładnikowego (MFA) podczas rejestracji urządzeń. Jeśli potrzebujesz uwierzytelniania wieloskładnikowego, pracownicy i studenci, którzy chcą zarejestrować urządzenia, muszą najpierw uwierzytelnić się przy użyciu drugiego urządzenia i dwóch form poświadczeń. Uwierzytelnianie wieloskładnikowe wymaga uwierzytelnienia przy użyciu co najmniej dwóch z tych metod weryfikacji:

  • Coś, co wiedzą, takie jak hasło lub numer PIN.
  • Coś, czego nie można zduplikować, na przykład zaufane urządzenie lub telefon.
  • Coś, czym są, takie jak odcisk palca.

Wymagania wstępne

Aby zaimplementować te zasady, należy przypisać użytkownikom Tożsamość Microsoft Entra P1 lub nowszym.

Konfigurowanie usługi Intune w celu wymagania uwierzytelniania wieloskładnikowego podczas rejestracji urządzeń

Wykonaj te kroki, aby włączyć uwierzytelnianie wieloskładnikowe podczas rejestracji Microsoft Intune.

Ważna

Nie konfiguruj reguł dostępu opartych na urządzeniach dla rejestracji Microsoft Intune.

  1. Zaloguj się do centrum administracyjnego Microsoft Intune.

  2. Przejdź do pozycji Urządzenia>Dostęp warunkowy. Ten obszar jest taki sam jak obszar dostępu warunkowego dostępny w Tożsamość Microsoft Entra. Aby uzyskać więcej informacji na temat dostępnych ustawień, zobacz Aplikacje lub akcje w chmurze.

  3. Wybierz pozycję Utwórz nowe zasady.

  4. Nazwij zasady.

  5. Wybierz kategorię Użytkownicy .

    1. Na karcie Dołącz wybierz pozycję Wybierz użytkowników lub grupy.
    2. Zostaną wyświetlone dodatkowe opcje. Wybierz pozycję Użytkownicy i grupy. Zostanie otwarta lista użytkowników i grup.
    3. Dodaj użytkowników lub grupy, do których przypisujesz zasady, a następnie wybierz pozycję Wybierz.
    4. Aby wykluczyć użytkowników lub grupy z zasad, wybierz kartę Wyklucz i dodaj tych użytkowników lub grupy, tak jak w poprzednim kroku.

  6. Wybierz następną kategorię Zasoby docelowe.

    1. Wybierz kartę Dołącz .
    2. Wybierz pozycję Wybierz aplikacje>Wybierz.
    3. Wybierz pozycję Microsoft Intune Rejestracja>Wybierz, aby dodać aplikację. Użyj paska wyszukiwania w selektorze aplikacji, aby znaleźć aplikację.

    W przypadku zautomatyzowanych rejestracji urządzeń firmy Apple przy użyciu Asystenta ustawień z nowoczesnym uwierzytelnianiem masz do wyboru dwie opcje. W poniższej tabeli opisano różnicę między opcją Microsoft Intune a opcją rejestracji Microsoft Intune.

    Aplikacja w chmurze Lokalizacja wiersza polecenia uwierzytelniania wieloskładnikowego Uwagi dotyczące automatycznej rejestracji urządzeń
    Microsoft Intune Asystent ustawień,
    aplikacja Portal firmy    		 Dzięki tej opcji uwierzytelnianie wieloskładnikowe jest wymagane podczas rejestracji i za każdym razem, gdy użytkownik loguje się do aplikacji lub witryny internetowej Portal firmy. Monity uwierzytelniania wieloskładnikowego są wyświetlane na stronie logowania Portal firmy.
    rejestracja Microsoft Intune Asystent ustawień Dzięki tej opcji uwierzytelnianie wieloskładnikowe jest wymagane podczas rejestracji urządzenia i jest wyświetlane jako jednorazowy monit uwierzytelniania wieloskładnikowego na stronie logowania Portal firmy.

  7. Wybierz kategorię Udziel .

    1. Wybierz pozycję Wymagaj uwierzytelniania wieloskładnikowego i Wymagaj, aby urządzenie było oznaczone jako zgodne.
    2. W obszarze W przypadku wielu kontrolek wybierz pozycję Wymagaj wszystkich wybranych kontrolek.
    3. Zaznacz pozycję Wybierz.

  8. Wybierz kategorię Sesja .

    1. Wybierz pozycję Częstotliwość logowania i wybierz pozycję Za każdym razem.
    2. Zaznacz pozycję Wybierz.

  9. W obszarze Włącz zasady wybierz pozycję Włączone.

  10. Wybierz pozycję Utwórz , aby zapisać i utworzyć zasady.

Po zastosowaniu i wdrożeniu tych zasad użytkownicy będą widzieć jednorazowy monit uwierzytelniania wieloskładnikowego podczas rejestrowania urządzenia.

Uwaga

Drugie urządzenie jest wymagane do wykonania zadania uwierzytelniania wieloskładnikowego dla tego typu urządzeń należących do firmy:

  • W pełni zarządzane urządzenia z systemem Android Enterprise
  • Urządzenia firmowe z systemem Android Enterprise z profilem służbowym
  • Urządzenia z systemem iOS/iPadOS zarejestrowane za pośrednictwem zautomatyzowanej rejestracji urządzeń firmy Apple
  • Urządzenia z systemem macOS zarejestrowane za pośrednictwem automatycznej rejestracji urządzeń firmy Apple

Drugie urządzenie jest wymagane, ponieważ urządzenie podstawowe nie może odbierać wywołań ani wiadomości SMS podczas procesu aprowizacji.