Kräv multifaktorautentisering för Intune enhetsregistreringar

Intune kan använda principer för villkorsstyrd åtkomst i Azure Active Directory (Azure AD) för att kräva multifaktorautentisering (MFA) för enhetsregistrering för att skydda företagets resurser.

MFA fungerar genom att kräva två eller flera av följande verifieringsmetoder:

  • Något du känner till (vanligtvis ett lösenord eller en PIN-kod).
  • Något du har (en betrodd enhet som inte är lätt att duplicera, till exempel en telefon).
  • Något du är (biometrisk, som ett fingeravtryck).

MFA stöds för enheter med iOS/iPadOS, macOS, Android och Windows 8.1 eller senare.

När du aktiverar MFA behöver slutanvändarna en andra enhet och måste ange två typer av autentiseringsuppgifter för att registrera en enhet.

Konfigurera Intune för att kräva multifaktorautentisering vid enhetsregistrering

Följ dessa steg om du vill kräva MFA när en enhet har registrerats:

Viktigt

Du måste ha en Azure Active Directory Premium P1 eller senare tilldelad till användarna för att implementera den här principen.

Viktigt

Konfigurera inte enhetsbaserade åtkomstregler för Microsoft Intune registrering.

  1. Logga in till administrationscentret för Microsoft Endpoint Manager.

  2. Bläddra till Enheter>villkorlig åtkomst. Noden för villkorsstyrd åtkomst som nås från Intune är samma nod som används från Azure AD.

  3. Välj Ny princip.

  4. Ge principen ett namn. Vi rekommenderar att organisationer skapar en meningsfull standard för namnen på sina principer.

  5. Under Tilldelningar väljer du Användare eller arbetsbelastningsidentiteter.

    1. Under Inkludera väljer du Välj användare eller grupper och markerar Användare och grupper. Välj sedan de användare och/eller grupper som ska ta emot den här principen
    2. Välj Välj.
  6. Under Molnappar eller åtgärder>Inkludera.

    1. Välj Välj appar>Microsoft Intune Registrering.
    2. Välj Välj. Genom att välja Microsoft Intune registrering tillämpas MFA för villkorsstyrd åtkomst endast på registreringen av enheten (engångsfråga om MFA).

    För Apples automatiska enhetsregistreringar med installationsassistenten med modern autentisering har du två alternativ:

    Molnapp MFA-promptplats Anteckningar om automatisk enhetsregistrering
    Microsoft Intune Inställningsassistent
    Företagsportal app
    Med det här alternativet krävs MFA under registreringen och för varje inloggning till Företagsportal app/Företagsportal webbplats. MFA för villkorsstyrd åtkomst tillämpas endast på inloggningen för Företagsportal på enheten.
    Microsoft Intune registrering Inställningsassistent Med det här alternativet tillämpas MFA endast på registreringen av enheten (engångsfråga om MFA). MFA för villkorsstyrd åtkomst tillämpas endast på inloggningen för Företagsportal på enheten.
  7. Under Villkor behöver du inte konfigurera några inställningar för MFA.

  8. Under Bevilja åtkomstkontroller>

    1. Välj Kräv multifaktorautentisering och Kräv att enheten är markerad som kompatibel.
    2. Se till att Kräv att alla markerade kontroller är markerade under För flera kontroller.
    3. Välj Välj.
  9. Under Session.

    1. Välj Inloggningsfrekvens.
    2. Se till att Varje gång har valts.
    3. Välj Välj.
  10. I Ny princip väljer du Aktivera princip> och sedan Skapa.

Obs!

En andra enhet krävs för att slutföra MFA-utmaningen för företagsenheter som följande:

  • Fullständigt hanterad Android Enterprise.
  • Företagsägd Android Enterprise-arbetsprofil.
  • Automatisk enhetsregistrering i iOS/iPadOS.
  • automatisk enhetsregistrering i macOS.

Den andra enheten krävs eftersom den primära enheten inte kan ta emot samtal eller sms under etableringsprocessen.

Nästa steg

När slutanvändare registrerar sin enhet måste de nu autentisera med en andra form av identifiering, till exempel en PIN-kod, en telefon eller biometri.