Compartir a través de

Requerir autenticación multifactor para las inscripciones de dispositivos Intune

  • Artículo

Se aplica a:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows 10
  • Windows 11

Puede usar Intune junto con Microsoft Entra directivas de acceso condicional para requerir la autenticación multifactor (MFA) durante la inscripción de dispositivos. Si necesita MFA, los empleados y los alumnos que quieran inscribir dispositivos deben autenticarse primero con un segundo dispositivo y dos formas de credenciales. MFA requiere que se autentiquen mediante dos o más de estos métodos de verificación:

  • Algo que saben, como una contraseña o un PIN.
  • Algo que no se puede duplicar, como un dispositivo o teléfono de confianza.
  • Algo que son, como una huella digital.

Si un dispositivo no es compatible, se pide al usuario del dispositivo que lo haga compatible antes de inscribirse en Microsoft Intune.

Requisitos previos

Para implementar esta directiva, debe asignar Microsoft Entra ID P1 o posterior a los usuarios.

Configuración de Intune para requerir la autenticación multifactor en la inscripción de dispositivos

Complete estos pasos para habilitar la autenticación multifactor durante Microsoft Intune inscripción.

Importante

No configure reglas de acceso basadas en dispositivos para la inscripción a Microsoft Intune.

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. Vaya a Dispositivos.

  3. Expanda Administrar dispositivos y, a continuación, seleccione Acceso condicional. Este área de acceso condicional es la misma que el área de acceso condicional disponible en el Centro de administración Microsoft Entra. Para obtener más información sobre la configuración disponible, consulte Creación de una directiva de acceso condicional.

  4. Elija Crear nueva directiva.

  5. Asigne un nombre a la directiva.

  6. Seleccione la categoría Usuarios .

    1. En la pestaña Incluir , elija Seleccionar usuarios o grupos.
    2. Aparecen opciones adicionales. Selecciona Usuarios y grupos Se abre una lista de usuarios y grupos.
    3. Examine y seleccione el Microsoft Entra usuarios o grupos que desea incluir en la directiva. Luego elija Seleccionar.
    4. Para excluir usuarios o grupos de la directiva, seleccione la pestaña Excluir y agregue esos usuarios o grupos como hizo en el paso anterior.

  7. Seleccione la siguiente categoría, Recursos de destino. En este paso, seleccionará los recursos a los que se aplica la directiva. En este caso, queremos que la directiva se aplique a eventos en los que los usuarios o grupos intenten acceder a la aplicación de inscripción de Microsoft Intune.

    1. En Seleccionar a qué se aplica esta directiva, elija Recursos (anteriormente aplicaciones en la nube).
    2. Seleccione la pestaña Incluir .
    3. Elija Seleccionar recursos. Aparecen opciones adicionales.
    4. En Seleccionar, elija Ninguno. Se abre una lista de recursos.
    5. Busque inscripción de Microsoft Intune. A continuación, elija Seleccionar para agregar la aplicación.

    En el caso de las inscripciones de dispositivos automatizadas de Apple mediante el Asistente para la instalación con autenticación moderna, tiene dos opciones entre las que elegir. En la tabla siguiente se describe la diferencia entre la opción Microsoft Intune y la opción inscripción de Microsoft Intune.

    Aplicación en la nube Ubicación de la solicitud de MFA Notas sobre la inscripción automatizada de dispositivos
    Microsoft Intune Asistente de configuración,
    Aplicación Portal de empresa    		 Con esta opción, mfa es necesario durante la inscripción y cada vez que el usuario inicia sesión en la aplicación o el sitio web de Portal de empresa. Las solicitudes de MFA aparecen en la página de inicio de sesión de Portal de empresa.
    Inscripción a Microsoft Intune Asistente de configuración Con esta opción, MFA es necesaria durante la inscripción de dispositivos y aparece como una solicitud de MFA única en la página de inicio de sesión de Portal de empresa.

    Nota:

    La aplicación en la nube Microsoft Intune Enrollment no se crea automáticamente para los nuevos inquilinos. Para agregar la aplicación para nuevos inquilinos, un administrador de Microsoft Entra debe crear un objeto de entidad de servicio, con el identificador de aplicación d4ebce55-015a-49b5-a083-c84d1797ae8c, en PowerShell o Microsoft Graph.

  8. Seleccione la categoría Conceder . En este paso, concederá o bloqueará el acceso a la aplicación de inscripción de Microsoft Intune.

    1. Elija Conceder acceso.
    2. Seleccione Requerir autenticación multifactor.
    3. Seleccione Requerir que el dispositivo esté marcado como compatible.
    4. En Para varios controles, seleccione Requerir todos los controles seleccionados.
    5. Elija Seleccionar.

  9. Seleccione la categoría Sesión . En este paso, puede usar los controles de sesión para habilitar experiencias limitadas dentro de la aplicación de inscripción de Microsoft Intune.

    1. Seleccione Frecuencia de inicio de sesión. Aparecen opciones adicionales.
    2. Elija Cada vez.
    3. Elija Seleccionar.

  10. En Habilitar directiva, seleccione Activado.

  11. Seleccione Crear para guardar y crear la directiva.

Después de aplicar e implementar esta directiva, los usuarios del dispositivo que inscriben sus dispositivos verán una solicitud de MFA única.

Nota:

Se requiere un segundo dispositivo o un pase de acceso temporal para completar el desafío de MFA para estos tipos de dispositivos corporativos:

  • Dispositivos totalmente administrados de Android Enterprise
  • Dispositivos corporativos Android Enterprise con un perfil de trabajo
  • Dispositivos iOS/iPadOS inscritos a través de la inscripción de dispositivos automatizada de Apple
  • Dispositivos macOS inscritos a través de la inscripción de dispositivos automatizada de Apple

El segundo dispositivo es necesario porque el dispositivo primario no puede recibir llamadas o mensajes de texto durante el proceso de aprovisionamiento.