Требовать многофакторную проверку подлинности для регистрации устройств Intune

  • Статья

Применимо к:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows 8.1
  • Windows 10
  • Windows 11

Intune можно использовать вместе с политиками Microsoft Entra условного доступа, чтобы требовать многофакторную проверку подлинности (MFA) во время регистрации устройства. Если требуется MFA, сотрудники и учащиеся, желающие зарегистрировать устройства, должны сначала пройти проверку подлинности с помощью второго устройства и двух форм учетных данных. MFA требует, чтобы они прошли проверку подлинности с помощью двух или более из следующих методов проверки:

  • То, что они знают, например пароль или ПИН-код.
  • То, что у них есть, что невозможно дублировать, например доверенное устройство или телефон.
  • То, что они есть, например отпечаток пальца.

Предварительные требования

Чтобы реализовать эту политику, необходимо назначить пользователям Microsoft Entra ID P1 или более поздней версии.

Настройка Intune для требования многофакторной проверки подлинности при регистрации устройства

Выполните следующие действия, чтобы включить многофакторную проверку подлинности во время регистрации Microsoft Intune.

Важно!

Не настраивайте правила доступа на основе устройств для регистрации в Microsoft Intune.

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Перейдите в раздел Устройства>Условный доступ. Эта область аналогична области условного доступа, доступной в Microsoft Entra ID. Дополнительные сведения о доступных параметрах см. в разделе Облачные приложения или действия.

  3. Выберите Создать политику.

  4. Присвойте политике имя.

  5. Выберите категорию Пользователи .

    1. На вкладке Включить выберите Выбрать пользователей или группы.
    2. Появятся дополнительные параметры. Выберите Пользователи и группы Откроется список пользователей и групп.
    3. Добавьте пользователей или группы, для которые назначается политика, и нажмите кнопку Выбрать.
    4. Чтобы исключить пользователей или группы из политики, перейдите на вкладку Исключить и добавьте этих пользователей или группы, как это было на предыдущем шаге.

  6. Выберите следующую категорию Целевые ресурсы.

    1. Выберите вкладку Включить .
    2. Выберите Выбрать приложения>Выбрать.
    3. Выберите Microsoft Intune Регистрация>Выберите, чтобы добавить приложение. Используйте панель поиска в элементе выбора приложений, чтобы найти приложение.

    Для автоматической регистрации устройств Apple с помощью помощника по настройке с современной проверкой подлинности можно выбрать два варианта. В следующей таблице описана разница между параметром Microsoft Intune и параметром регистрации Microsoft Intune.

    облачное приложение; расположение запроса MFA. Примечания по автоматической регистрации устройств
    Microsoft Intune Помощник по настройке,
    Приложение корпоративного портала    		 При использовании этого параметра MFA требуется во время регистрации и при каждом входе пользователя в приложение или веб-сайт Корпоративный портал. Запросы MFA отображаются на странице входа Корпоративный портал.
    Регистрация в Microsoft Intune Помощник по настройке При использовании этого параметра MFA требуется во время регистрации устройства и отображается в виде одноразового запроса MFA на странице входа Корпоративный портал.

  7. Выберите категорию Предоставление .

    1. Выберите Требовать многофакторную проверку подлинности и Требовать, чтобы устройство было помечено как соответствующее.
    2. В разделе Для нескольких элементов управления выберите Требовать все выбранные элементы управления.
    3. Нажмите Выбрать.

  8. Выберите категорию Сеанс .

    1. Выберите Частота входа и выберите Каждый раз.
    2. Нажмите Выбрать.

  9. Для параметра Включить политику выберите Включено.

  10. Нажмите кнопку Создать , чтобы сохранить и создать политику.

После применения и развертывания этой политики пользователи увидят одноразовый запрос MFA при регистрации устройства.

Примечание.

Для выполнения задачи MFA требуется второе устройство для следующих типов корпоративных устройств:

  • Полностью управляемые устройства Android Enterprise
  • Корпоративные устройства Android Enterprise с рабочим профилем
  • Устройства iOS/iPadOS, зарегистрированные с помощью автоматической регистрации устройств Apple
  • Устройства macOS, зарегистрированные с помощью автоматической регистрации устройств Apple

Второе устройство требуется потому, что основное устройство не может принимать вызовы или текстовые сообщения в процессе подготовки к работе.