Sdílet prostřednictvím

Vyžadování vícefaktorového ověřování pro registraci Intune zařízení

  • Článek

Platí pro:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows 10
  • Windows 11

Intune můžete použít společně se zásadami podmíněného přístupu Microsoft Entra a vyžadovat vícefaktorové ověřování (MFA) během registrace zařízení. Pokud požadujete vícefaktorové ověřování, musí se zaměstnanci a studenti, kteří chtějí zařízení zaregistrovat, nejprve ověřit pomocí druhého zařízení a dvou forem přihlašovacích údajů. Vícefaktorové ověřování vyžaduje, aby se ověřili pomocí dvou nebo více těchto metod ověření:

  • Něco, co znají, například heslo nebo PIN kód.
  • Něco, co se nedá duplikovat, třeba důvěryhodné zařízení nebo telefon.
  • Něco, čím jsou, třeba otiskem prstu.

Pokud zařízení nevyhovuje, zobrazí se uživateli zařízení výzva, aby zařízení vyhovovalo před registrací do Microsoft Intune.

Požadavky

Pokud chcete tuto zásadu implementovat, musíte uživatelům přiřadit Microsoft Entra ID P1 nebo novější.

Konfigurace Intune tak, aby při registraci zařízení vyžadovala vícefaktorové ověřování

Provedením těchto kroků povolte vícefaktorové ověřování během registrace Microsoft Intune.

Důležité

Nekonfigurujte pravidla přístupu na základě zařízení pro registraci Microsoft Intune.

  1. Přihlaste se k Centru pro správu Microsoft 365.

  2. Přejděte na Zařízení.

  3. Rozbalte Spravovat zařízení a pak vyberte Podmíněný přístup. Tato oblast podmíněného přístupu je stejná jako oblast podmíněného přístupu, která je dostupná v Centrum pro správu Microsoft Entra. Další informace o dostupných nastaveních najdete v tématu Vytvoření zásad podmíněného přístupu.

  4. Zvolte Vytvořit novou zásadu.

  5. Pojmenujte zásadu.

  6. Vyberte kategorii Uživatelé .

    1. Na kartě Zahrnout zvolte Vybrat uživatele nebo skupiny.
    2. Zobrazí se další možnosti. Vyberte Uživatelé a skupiny. Otevře se seznam uživatelů a skupin.
    3. Projděte a vyberte Microsoft Entra uživatele nebo skupiny, které chcete zahrnout do zásady. Pak zvolte Vybrat.
    4. Pokud chcete ze zásad vyloučit uživatele nebo skupiny, vyberte kartu Vyloučit a přidejte uživatele nebo skupiny jako v předchozím kroku.

  7. Vyberte další kategorii Cílové prostředky. V tomto kroku vyberete prostředky, na které se zásady vztahují. V tomto případě chceme, aby se zásady vztahovaly na události, kdy se uživatelé nebo skupiny pokusí získat přístup k aplikaci Microsoft Intune Enrollment.

    1. V části Vyberte, na co se tato zásada vztahuje, zvolte Prostředky (dříve cloudové aplikace).
    2. Vyberte kartu Zahrnout .
    3. Zvolte Vybrat prostředky. Zobrazí se další možnosti.
    4. V části Vybrat zvolte Žádné. Seznam prostředků je otevřený.
    5. Vyhledejte Microsoft Intune Enrollment. Potom zvolte Vybrat a přidejte aplikaci.

    U automatizovaných registrací zařízení Apple pomocí Pomocníka s nastavením s moderním ověřováním máte na výběr ze dvou možností. Následující tabulka popisuje rozdíl mezi možností Microsoft Intune a možností registrace Microsoft Intune.

    Cloudová aplikace Umístění výzvy vícefaktorového ověřování Poznámky k automatické registraci zařízení
    Microsoft Intune Pomocník s nastavením,
    Portál společnosti aplikace    		 S touto možností se vícefaktorové ověřování vyžaduje během registrace a pokaždé, když se uživatel přihlásí k Portál společnosti aplikaci nebo webu. Výzvy vícefaktorového ověřování se zobrazí na přihlašovací stránce Portál společnosti.
    registrace Microsoft Intune Pomocník s nastavením Při této možnosti se vícefaktorové ověřování vyžaduje při registraci zařízení a na přihlašovací stránce Portál společnosti se zobrazí jako jednorázová výzva k vícefaktorovém ověřování.

    Poznámka

    Cloudová aplikace Microsoft Intune Enrollment se pro nové tenanty nevytvořila automaticky. Pokud chcete přidat aplikaci pro nové tenanty, musí správce Microsoft Entra vytvořit instanční objekt s ID aplikace d4ebce55-015a-49b5-a083-c84d1797ae8c v PowerShellu nebo Microsoft Graphu.

  8. Vyberte kategorii Udělit . V tomto kroku udělíte nebo zablokujete přístup k aplikaci Microsoft Intune Enrollment.

    1. Zvolte Udělit přístup.
    2. Vyberte Vyžadovat vícefaktorové ověřování.
    3. Vyberte Vyžadovat, aby zařízení bylo označené jako vyhovující.
    4. V části Pro více ovládacích prvků vyberte Vyžadovat všechny vybrané ovládací prvky.
    5. Zvolte Vybrat.

  9. Vyberte kategorii Relace . V tomto kroku můžete pomocí ovládacích prvků relací povolit omezené možnosti v aplikaci Microsoft Intune Enrollment.

    1. Vyberte Četnost přihlašování. Zobrazí se další možnosti.
    2. Zvolte Pokaždé.
    3. Zvolte Vybrat.

  10. V části Povolit zásadu vyberte Zapnuto.

  11. Vyberte Vytvořit , abyste zásadu uložili a vytvořili.

Po použití a nasazení této zásady se uživatelům zařízení při registraci zařízení zobrazí jednorázová výzva vícefaktorového ověřování.

Poznámka

K dokončení úkolu vícefaktorového ověřování pro tyto typy zařízení vlastněných společností se vyžaduje druhé zařízení nebo dočasný přístup:

  • Plně spravovaná zařízení s Androidem Enterprise
  • Zařízení s Androidem Enterprise vlastněná společností s pracovním profilem
  • Zařízení s iOS/iPadOS zaregistrovaná prostřednictvím automatizované registrace zařízení Apple
  • Zařízení s macOS zaregistrovaná prostřednictvím automatizované registrace zařízení Apple

Druhé zařízení je povinné, protože primární zařízení nemůže během procesu zřizování přijímat hovory ani textové zprávy.