Exigir autenticação multifator para Intune inscrições de dispositivos
Aplica-se a:
- Android
- iOS/iPadOS
- macOS
- Windows 8.1
- Windows 10
- Windows 11
Pode utilizar Intune em conjunto com Microsoft Entra políticas de Acesso Condicional para exigir a autenticação multifator (MFA) durante a inscrição de dispositivos. Se precisar de MFA, os funcionários e estudantes que pretendam inscrever dispositivos têm primeiro de se autenticar com um segundo dispositivo e duas formas de credenciais. A MFA requer que se autentiquem com dois ou mais destes métodos de verificação:
- Algo que eles sabem, como uma palavra-passe ou PIN.
- Algo que têm que não pode ser duplicado, como um dispositivo ou telemóvel fidedigno.
- Algo que são, como uma impressão digital.
Pré-requisitos
Para implementar esta política, tem de atribuir Microsoft Entra ID P1 ou posterior aos utilizadores.
Configurar Intune para exigir a autenticação multifator na inscrição de dispositivos
Conclua estes passos para ativar a autenticação multifator durante Microsoft Intune inscrição.
Importante
Não configure Regras de acesso baseadas em dispositivo para o registro no Microsoft Intune.
Aceda a Dispositivos>Acesso Condicional. Esta área é a mesma que a área acesso condicional disponível no centro de administração do Microsoft Entra. Para obter mais informações sobre as definições disponíveis, veja Criar uma política de Acesso Condicional.
Selecione Criar nova política.
Atribua um nome à sua política.
Selecione a categoria Utilizadores .
- No separador Incluir , selecione Selecionar utilizadores ou grupos.
- São apresentadas opções adicionais. Selecione Usuários e grupos. É aberta uma lista de utilizadores e grupos.
- Adicione os utilizadores ou grupos aos quais está a atribuir a política e, em seguida, selecione Selecionar.
- Para excluir utilizadores ou grupos da política, selecione o separador Excluir e adicione esses utilizadores ou grupos como fez no passo anterior.
Selecione a categoria seguinte, Recursos de destino.
- Selecione o separador Incluir .
- Selecione Selecionar aplicações>Selecionar.
- SelecioneMicrosoft Intune Seleção de Inscrição> para adicionar a aplicação. Utilize a barra de pesquisa no seletor de aplicações para localizar a aplicação.
Para inscrições de dispositivos automatizadas da Apple através do Assistente de Configuração com autenticação moderna, tem duas opções à sua escolha. A tabela seguinte descreve a diferença entre a opção Microsoft Intune e a opção Inscrição Microsoft Intune.
Aplicativo em nuvem Local do prompt do MFA Observações do Registro automatizado de dispositivos Microsoft Intune Assistente de configuração,
Aplicativo do Portal da EmpresaCom esta opção, a MFA é necessária durante a inscrição e sempre que o utilizador iniciar sessão na aplicação ou site Portal da Empresa. Os pedidos de MFA são apresentados na Portal da Empresa página de início de sessão. Microsoft Intune Registro Assistente de configuração Com esta opção, a MFA é necessária durante a inscrição de dispositivos e aparece como um pedido de MFA único na página de início de sessão Portal da Empresa. Observação
A aplicação cloud de inscrição Microsoft Intune não é criada automaticamente para novos inquilinos. Para adicionar a aplicação para novos inquilinos, um administrador de Microsoft Entra tem de criar um objeto de principal de serviço, com o ID da aplicação d4ebce55-015a-49b5-a083-c84d1797ae8c, no PowerShell ou no Microsoft Graph.
Selecione a categoria Conceder .
- Selecione Exigir autenticação multifator e Exigir que o dispositivo seja marcado como conforme.
- Em Para vários controles, selecione Exigir todos os controles selecionados.
- Escolha Selecionar.
Selecione a categoria Sessão .
- Selecione Frequência de início de sessão e selecione Sempre.
- Escolha Selecionar.
Em Ativar política, selecione Ativado.
Selecione Criar para guardar e criar a sua política.
Depois de aplicar e implementar esta política, os utilizadores verão um pedido de MFA único quando inscreverem o respetivo dispositivo.
Observação
É necessário um segundo dispositivo ou um Passe de Acesso Temporário para concluir o desafio da MFA para estes tipos de dispositivos pertencentes à empresa:
- Dispositivos Android Enterprise totalmente gerenciados
- Dispositivos pertencentes à empresa do Android Enterprise com um perfil de trabalho
- Dispositivos iOS/iPadOS inscritos através da inscrição de dispositivos automatizados da Apple
- Dispositivos macOS inscritos através da inscrição de dispositivos automatizados da Apple
O segundo dispositivo é necessário porque o dispositivo principal não pode receber chamadas ou mensagens de texto durante o processo de provisionamento.