Partager via

Exiger l’authentification multifacteur pour les inscriptions d’appareils Intune

  • Article

S’applique à :

  • Android
  • iOS/iPadOS
  • macOS
  • Windows 10
  • Windows 11

Vous pouvez utiliser Intune avec Microsoft Entra stratégies d’accès conditionnel pour exiger l’authentification multifacteur (MFA) lors de l’inscription de l’appareil. Si vous avez besoin de l’authentification multifacteur, les employés et les étudiants qui souhaitent inscrire des appareils doivent d’abord s’authentifier avec un deuxième appareil et deux formes d’informations d’identification. L’authentification multifacteur exige qu’ils s’authentifient à l’aide de deux ou plusieurs des méthodes de vérification suivantes :

  • Quelque chose qu’ils connaissent, comme un mot de passe ou un code confidentiel.
  • Quelque chose qu’ils ont qui ne peut pas être dupliqué, tel qu’un appareil ou un téléphone approuvé.
  • Quelque chose qu’ils sont, comme une empreinte digitale.

Si un appareil n’est pas conforme, l’utilisateur de l’appareil est invité à le rendre conforme avant de l’inscrire dans Microsoft Intune.

Configuration requise

Pour implémenter cette stratégie, vous devez attribuer Microsoft Entra ID P1 ou version ultérieure aux utilisateurs.

Configurer Intune pour exiger l’authentification multifacteur lors de l’inscription de l’appareil

Effectuez ces étapes pour activer l’authentification multifacteur lors de l’inscription Microsoft Intune.

Importante

Ne configurez pas les règles d’accès basées sur les appareils pour l’inscription à Microsoft Intune.

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. Accédez à Appareils.

  3. Développez Gérer les appareils, puis sélectionnez Accès conditionnel. Cette zone d’accès conditionnel est identique à la zone Accès conditionnel disponible dans le centre d’administration Microsoft Entra. Pour plus d’informations sur les paramètres disponibles, consultez Création d’une stratégie d’accès conditionnel.

  4. Choisissez Créer une stratégie.

  5. Nommez votre stratégie.

  6. Sélectionnez la catégorie Utilisateurs .

    1. Sous l’onglet Inclure , choisissez Sélectionner des utilisateurs ou des groupes.
    2. Des options supplémentaires s’affichent. Sélectionnez Utilisateurs et groupes. Une liste d’utilisateurs et de groupes s’ouvre.
    3. Parcourez et sélectionnez les Microsoft Entra utilisateurs ou groupes que vous souhaitez inclure dans la stratégie. Ensuite, choisissezSélectionner.
    4. Pour exclure des utilisateurs ou des groupes de la stratégie, sélectionnez l’onglet Exclure et ajoutez ces utilisateurs ou groupes comme vous l’avez fait à l’étape précédente.

  7. Sélectionnez la catégorie suivante, Ressources cibles. Dans cette étape, vous sélectionnez les ressources auxquelles la stratégie s’applique. Dans ce cas, nous voulons que la stratégie s’applique aux événements dans lesquels des utilisateurs ou des groupes tentent d’accéder à l’application d’inscription Microsoft Intune.

    1. Sous Sélectionner à quoi cette stratégie s’applique, choisissez Ressources (anciennement applications cloud).
    2. Sélectionnez l’onglet Inclure .
    3. Choisissez Sélectionner des ressources. Des options supplémentaires s’affichent.
    4. Sous Sélectionner, choisissez Aucun. Liste des ressources ouvertes.
    5. Recherchez Microsoft Intune Inscription. Choisissez ensuite Sélectionner pour ajouter l’application.

    Pour les inscriptions automatiques d’appareils Apple à l’aide de l’Assistant Configuration avec l’authentification moderne, vous avez le choix entre deux options. Le tableau suivant décrit la différence entre l’option Microsoft Intune et Microsoft Intune’option Inscription.

    Application cloud Emplacement de l’invite MFA Remarques sur l’inscription automatisée des appareils
    Microsoft Intune Assistant Configuration,
    Application Portail d’entreprise    		 Avec cette option, l’authentification multifacteur est requise lors de l’inscription et chaque fois que l’utilisateur se connecte à l’application ou au site web Portail d'entreprise. Les invites MFA s’affichent sur la page de connexion Portail d'entreprise.
    L’inscription à Microsoft Intune Assistant Configuration Avec cette option, l’authentification multifacteur est requise lors de l’inscription de l’appareil et s’affiche sous la forme d’une invite MFA à usage unique sur la page de connexion Portail d'entreprise.

    Remarque

    L’application cloud d’inscription Microsoft Intune n’est pas créée automatiquement pour les nouveaux locataires. Pour ajouter l’application pour les nouveaux locataires, un administrateur Microsoft Entra doit créer un objet principal de service, avec l’ID d’application d4ebce55-015a-49b5-a083-c84d1797ae8c, dans PowerShell ou Microsoft Graph.

  8. Sélectionnez la catégorie Accorder . Dans cette étape, vous accordez ou bloquez l’accès à l’application d’inscription Microsoft Intune.

    1. Choisissez Accorder l’accès.
    2. Sélectionnez Exiger l’authentification multifacteur.
    3. Sélectionnez Exiger que l'appareil soit marqué comme conforme.
    4. Sous Pour plusieurs contrôles, sélectionnez Demander tous les contrôles sélectionnés.
    5. Choisir Sélectionner.

  9. Sélectionnez la catégorie Session . Dans cette étape, vous pouvez utiliser des contrôles de session pour activer des expériences limitées au sein de l’application d’inscription Microsoft Intune.

    1. Sélectionnez Fréquence de connexion. Des options supplémentaires s’affichent.
    2. Choisissez À chaque fois.
    3. Choisir Sélectionner.

  10. Pour Activer la stratégie, sélectionnez Activé.

  11. Sélectionnez Créer pour enregistrer et créer votre stratégie.

Une fois que vous avez appliqué et déployé cette stratégie, les utilisateurs d’appareils qui inscrivent leurs appareils voient une invite MFA à usage unique.

Remarque

Un deuxième appareil ou un pass d’accès temporaire est nécessaire pour effectuer la demande d’authentification multifacteur pour ces types d’appareils appartenant à l’entreprise :

  • Appareils Android Entreprise complètement gérés
  • Appareils Android Entreprise appartenant à l’entreprise avec profil professionnel
  • Appareils iOS/iPadOS inscrits via l’inscription automatisée des appareils Apple
  • Appareils macOS inscrits via l’inscription automatique d’appareils Apple

Un deuxième périphérique est nécessaire, car l’appareil principal ne peut pas recevoir d’appels ni de SMS pendant le provisionnement.