Udostępnij za pośrednictwem

Wymagaj uwierzytelniania wieloskładnikowego na potrzeby rejestracji urządzeń Intune

  • Artykuł

Dotyczy:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows 8.1
  • Windows 10
  • Windows 11

Możesz użyć Intune wraz z zasadami dostępu warunkowego Microsoft Entra, aby wymagać uwierzytelniania wieloskładnikowego (MFA) podczas rejestracji urządzeń. Jeśli potrzebujesz uwierzytelniania wieloskładnikowego, pracownicy i studenci, którzy chcą zarejestrować urządzenia, muszą najpierw uwierzytelnić się przy użyciu drugiego urządzenia i dwóch form poświadczeń. Uwierzytelnianie wieloskładnikowe wymaga uwierzytelnienia przy użyciu co najmniej dwóch z tych metod weryfikacji:

  • Coś, co wiedzą, takie jak hasło lub numer PIN.
  • Coś, czego nie można zduplikować, na przykład zaufane urządzenie lub telefon.
  • Coś, czym są, takie jak odcisk palca.

Wymagania wstępne

Aby zaimplementować te zasady, należy przypisać użytkownikom Tożsamość Microsoft Entra P1 lub nowszym.

Konfigurowanie Intune w celu wymagania uwierzytelniania wieloskładnikowego podczas rejestracji urządzenia

Wykonaj te kroki, aby włączyć uwierzytelnianie wieloskładnikowe podczas rejestracji Microsoft Intune.

Ważna

Nie konfiguruj reguł dostępu opartych na urządzeniach dla rejestracji Microsoft Intune.

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

  2. Przejdź do pozycjiDostęp warunkowyurządzeń>. Ten obszar jest taki sam jak obszar dostępu warunkowego dostępny w centrum administracyjne Microsoft Entra. Aby uzyskać więcej informacji na temat dostępnych ustawień, zobacz Tworzenie zasad dostępu warunkowego.

  3. Wybierz pozycję Utwórz nowe zasady.

  4. Nazwij zasady.

  5. Wybierz kategorię Użytkownicy .

    1. Na karcie Dołącz wybierz pozycję Wybierz użytkowników lub grupy.
    2. Zostaną wyświetlone dodatkowe opcje. Wybierz pozycję Użytkownicy i grupy. Zostanie otwarta lista użytkowników i grup.
    3. Dodaj użytkowników lub grupy, do których przypisujesz zasady, a następnie wybierz pozycję Wybierz.
    4. Aby wykluczyć użytkowników lub grupy z zasad, wybierz kartę Wyklucz i dodaj tych użytkowników lub grupy, tak jak w poprzednim kroku.

  6. Wybierz następną kategorię Zasoby docelowe.

    1. Wybierz kartę Dołącz .
    2. Wybierz pozycję Wybierz aplikacje>Wybierz.
    3. Wybierz pozycję Microsoft Intune Rejestracja>Wybierz, aby dodać aplikację. Użyj paska wyszukiwania w selektorze aplikacji, aby znaleźć aplikację.

    W przypadku zautomatyzowanych rejestracji urządzeń firmy Apple przy użyciu Asystenta ustawień z nowoczesnym uwierzytelnianiem masz do wyboru dwie opcje. W poniższej tabeli opisano różnicę między opcją Microsoft Intune a opcją rejestracji Microsoft Intune.

    Aplikacja w chmurze Lokalizacja wiersza polecenia uwierzytelniania wieloskładnikowego Uwagi dotyczące automatycznej rejestracji urządzeń
    Microsoft Intune Asystent ustawień,
    aplikacja Portal firmy    		 Dzięki tej opcji uwierzytelnianie wieloskładnikowe jest wymagane podczas rejestracji i za każdym razem, gdy użytkownik loguje się do aplikacji lub witryny internetowej Portal firmy. Monity uwierzytelniania wieloskładnikowego są wyświetlane na stronie logowania Portal firmy.
    rejestracja Microsoft Intune Asystent ustawień Dzięki tej opcji uwierzytelnianie wieloskładnikowe jest wymagane podczas rejestracji urządzenia i jest wyświetlane jako jednorazowy monit uwierzytelniania wieloskładnikowego na stronie logowania Portal firmy.

    Uwaga

    Aplikacja w chmurze rejestracji Microsoft Intune nie jest tworzona automatycznie dla nowych dzierżaw. Aby dodać aplikację dla nowych dzierżaw, administrator Microsoft Entra musi utworzyć obiekt jednostki usługi o identyfikatorze aplikacji d4ebce55-015a-49b5-a083-c84d1797ae8c w programie PowerShell lub programie Microsoft Graph.

  7. Wybierz kategorię Udziel .

    1. Wybierz pozycję Wymagaj uwierzytelniania wieloskładnikowego i Wymagaj, aby urządzenie było oznaczone jako zgodne.
    2. W obszarze W przypadku wielu kontrolek wybierz pozycję Wymagaj wszystkich wybranych kontrolek.
    3. Zaznacz pozycję Wybierz.

  8. Wybierz kategorię Sesja .

    1. Wybierz pozycję Częstotliwość logowania i wybierz pozycję Za każdym razem.
    2. Zaznacz pozycję Wybierz.

  9. W obszarze Włącz zasady wybierz pozycję Włączone.

  10. Wybierz pozycję Utwórz , aby zapisać i utworzyć zasady.

Po zastosowaniu i wdrożeniu tych zasad użytkownicy będą widzieć jednorazowy monit uwierzytelniania wieloskładnikowego podczas rejestrowania urządzenia.

Uwaga

Aby ukończyć wyzwanie uwierzytelniania wieloskładnikowego dla tego typu urządzeń należących do firmy, wymagane jest drugie urządzenie lub tymczasowy dostęp:

  • W pełni zarządzane urządzenia z systemem Android Enterprise
  • Urządzenia firmowe z systemem Android Enterprise z profilem służbowym
  • Urządzenia z systemem iOS/iPadOS zarejestrowane za pośrednictwem zautomatyzowanej rejestracji urządzeń firmy Apple
  • Urządzenia z systemem macOS zarejestrowane za pośrednictwem automatycznej rejestracji urządzeń firmy Apple

Drugie urządzenie jest wymagane, ponieważ urządzenie podstawowe nie może odbierać wywołań ani wiadomości SMS podczas procesu aprowizacji.