次の方法で共有


Intuneデバイス登録に多要素認証を要求する

適用対象:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows 10
  • Windows 11

IntuneとMicrosoft Entra条件付きアクセス ポリシーを使用して、デバイス登録中に多要素認証 (MFA) を要求できます。 MFA が必要な場合、デバイスを登録する従業員と学生は、最初に 2 つ目のデバイスと 2 つの形式の資格情報で認証する必要があります。 MFA では、次の 2 つ以上の検証方法を使用して認証する必要があります。

  • パスワードや PIN など、ユーザーが知っているもの。
  • 信頼できるデバイスや電話など、重複できないもの。
  • 指紋など、彼らは何かです。

デバイスが準拠していない場合、デバイス ユーザーは、Microsoft Intuneに登録する前にデバイスを準拠するように求められます。

前提条件

このポリシーを実装するには、Microsoft Entra ID P1 以降をユーザーに割り当てる必要があります。

デバイス登録時に多要素認証を要求するようにIntuneを構成する

Microsoft Intune登録中に多要素認証を有効にするには、次の手順を実行します。

重要

Microsoft Intune 登録には、デバイス ベースのアクセス規則を構成しないでください。

  1. Microsoft Intune 管理センターにサインインします。

  2. [デバイス] に移動します。

  3. [ デバイスの管理] を展開し、[ 条件付きアクセス] を選択します。 この条件付きアクセス領域は、Microsoft Entra 管理センターで使用できる条件付きアクセス領域と同じです。 使用可能な設定の詳細については、「 条件付きアクセス ポリシーの構築」を参照してください。

  4. [ 新しいポリシーの作成] を選択します。

  5. ポリシーに名前を付けます。

  6. [ ユーザー ] カテゴリを選択します。

    1. [ 含める ] タブで、[ ユーザーまたはグループの選択] を選択します。
    2. その他のオプションが表示されます。 ユーザーおよびグループの選択 ユーザーとグループの一覧が開きます。
    3. ポリシーに含めるMicrosoft Entraユーザーまたはグループを参照して選択します。 次に、[選択] を選びます。
    4. ポリシーからユーザーまたはグループを除外するには、[ 除外 ] タブを選択し、前の手順で行ったようにそれらのユーザーまたはグループを追加します。
  7. 次のカテゴリ [ ターゲット リソース] を選択します。 この手順では、ポリシーが適用されるリソースを選択します。 この場合、ユーザーまたはグループがMicrosoft Intune登録アプリにアクセスしようとするイベントにポリシーを適用する必要があります。

    1. [ このポリシーが適用される内容の選択] で、[ リソース (旧称クラウド アプリ)] を選択します。
    2. [ 含める ] タブを選択します。
    3. [ リソースの選択] を選択します。 その他のオプションが表示されます。
    4. [ 選択] で [なし] を選択 します。 開いているリソースの一覧。
    5. Microsoft Intune登録を検索します。 次に、[選択] を 選択 してアプリを追加します。

    先進認証でセットアップ アシスタントを使用する Apple 自動デバイス登録の場合は、2 つのオプションから選択できます。 次の表では、Microsoft Intune オプションと Microsoft Intune登録オプションの違いについて説明します。

    クラウド アプリ MFA プロンプトの場所 デバイスの自動登録に関する注意事項
    Microsoft Intune 設定アシスタント、
    ポータル サイト アプリ
    このオプションでは、登録中、およびユーザーがポータル サイトアプリまたは Web サイトにサインインするたびに MFA が必要になります。 ポータル サイト サインイン ページに MFA プロンプトが表示されます。
    [Microsoft Intune enrollment 設定アシスタント このオプションでは、デバイスの登録中に MFA が必要となり、ポータル サイトサインイン ページに 1 回限りの MFA プロンプトとして表示されます。

    注:

    Microsoft Intune登録クラウド アプリは、新しいテナントに対して自動的に作成されません。 新しいテナント用のアプリを追加するには、Microsoft Entra管理者が、PowerShell または Microsoft Graph で、アプリ ID d4ebce55-015a-49b5-a083-c84d1797ae8c を持つサービス プリンシパル オブジェクトを作成する必要があります。

  8. [ 許可 ] カテゴリを選択します。 この手順では、Microsoft Intune登録アプリへのアクセスを許可またはブロックします。

    1. [ アクセス権の付与] を選択します
    2. [ 多要素認証が必要] を選択します
    3. [デバイスは準拠としてマーク済みである必要があります] を選択します。
    4. [複数のコントロールの場合] で、[選択したコントロールすべてが必要] を選択します。
    5. [選択] を選択します。
  9. [セッション] カテゴリを選択します。 この手順では、セッション コントロールを使用して、Microsoft Intune登録アプリ内の制限付きエクスペリエンスを有効にすることができます。

    1. [ サインイン頻度] を選択します。 その他のオプションが表示されます。
    2. [毎回] を選択します。
    3. [選択] を選択します。
  10. [ ポリシーを有効にする]で、[オン] を選択します。

  11. [ 作成] を 選択して、ポリシーを保存して作成します。

このポリシーを適用して展開すると、デバイスを登録しているデバイス ユーザーに 1 回限りの MFA プロンプトが表示されます。

注:

次の種類の企業所有デバイスの MFA チャレンジを完了するには、2 つ目のデバイスまたは一時アクセス パスが必要です。

  • Android Enterprise のフル マネージド デバイス
  • 仕事用プロファイルを持つ Android Enterprise 企業所有のデバイス
  • Apple 自動デバイス登録を使用して登録された iOS/iPadOS デバイス
  • Apple 自動デバイス登録を介して登録された macOS デバイス

プライマリ デバイスにより、プロビジョニング処理中に呼び出しまたはテキスト メッセージを受信できないため、2 つ目のデバイスが必要です。