Delen via

Meervoudige verificatie vereisen voor Intune apparaatinschrijvingen

  • Artikel

Van toepassing op:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows 10
  • Windows 11

U kunt Intune samen met Microsoft Entra beleid voor voorwaardelijke toegang gebruiken om meervoudige verificatie (MFA) te vereisen tijdens de inschrijving van het apparaat. Als u MFA nodig hebt, moeten werknemers en studenten die apparaten willen inschrijven eerst verifiëren met een tweede apparaat en twee vormen van referenties. MFA vereist dat ze zich verifiëren met behulp van twee of meer van deze verificatiemethoden:

  • Iets wat ze weten, zoals een wachtwoord of pincode.
  • Iets dat ze hebben dat niet kan worden gedupliceerd, zoals een vertrouwd apparaat of telefoon.
  • Iets dat ze zijn, zoals een vingerafdruk.

Als een apparaat niet compatibel is, wordt de gebruiker van het apparaat gevraagd het apparaat compatibel te maken voordat hij zich registreert bij Microsoft Intune.

Vereisten

Als u dit beleid wilt implementeren, moet u Microsoft Entra ID P1 of hoger toewijzen aan gebruikers.

Configureer Intune om meervoudige verificatie te vereisen bij apparaatinschrijving

Voer deze stappen uit om meervoudige verificatie in te schakelen tijdens Microsoft Intune inschrijving.

Belangrijk

Configureer geen op apparaten gebaseerde toegangsregels voor Microsoft Intune-inschrijving.

  1. Meld je aan bij het Microsoft Intune-beheercentrum.

  2. Ga naar Apparaten.

  3. Vouw Apparaten beheren uit en selecteer vervolgens Voorwaardelijke toegang. Dit gebied voor voorwaardelijke toegang is hetzelfde als het gebied voor voorwaardelijke toegang dat beschikbaar is in de Microsoft Entra-beheercentrum. Zie Een beleid voor voorwaardelijke toegang bouwen voor meer informatie over de beschikbare instellingen.

  4. Kies Nieuw beleid maken.

  5. Geef uw beleid een naam.

  6. Selecteer de categorie Gebruikers .

    1. Kies op het tabblad Opnemende optie Gebruikers of groepen selecteren.
    2. Er worden extra opties weergegeven. Selecteer Gebruikers en groepen. Er wordt een lijst met gebruikers en groepen geopend.
    3. Blader en selecteer de Microsoft Entra gebruikers of groepen die u wilt opnemen in het beleid. Kies vervolgens Selecteren.
    4. Als u gebruikers of groepen wilt uitsluiten van het beleid, selecteert u het tabblad Uitsluiten en voegt u deze gebruikers of groepen toe, zoals u in de vorige stap hebt gedaan.

  7. Selecteer de volgende categorie , Doelresources. In deze stap selecteert u de resources waarop het beleid van toepassing is. In dit geval willen we dat het beleid wordt toegepast op gebeurtenissen waarbij gebruikers of groepen toegang proberen te krijgen tot de Microsoft Intune Inschrijvings-app.

    1. Kies resources (voorheen cloud-apps) onder Selecteren waarop dit beleid van toepassing is.
    2. Selecteer het tabblad Opnemen .
    3. Kies Resources selecteren. Er worden extra opties weergegeven.
    4. Kies onder Selecterende optie Geen. Een lijst met geopende resources.
    5. Zoek naar Microsoft Intune-inschrijving. Kies vervolgens Selecteren om de app toe te voegen.

    Voor automatische apparaatinschrijvingen van Apple met behulp van Configuratieassistent met moderne verificatie hebt u twee opties waaruit u kunt kiezen. In de volgende tabel wordt het verschil beschreven tussen de optie Microsoft Intune en Microsoft Intune inschrijvingsoptie.

    Cloud-app Locatie van MFA-prompt Notities bij geautomatiseerde apparaatinschrijving
    Microsoft Intune Configuratieassistent,
    Bedrijfsportal-app    		 Met deze optie is MFA vereist tijdens de inschrijving en telkens wanneer de gebruiker zich aanmeldt bij de Bedrijfsportal app of website. De MFA-prompts worden weergegeven op de aanmeldingspagina van Bedrijfsportal.
    Microsoft Intune-inschrijving Configuratieassistent Met deze optie is MFA vereist tijdens de apparaatinschrijving en wordt deze weergegeven als een eenmalige MFA-prompt op de aanmeldingspagina Bedrijfsportal.

    Opmerking

    De cloud-app Microsoft Intune Inschrijving wordt niet automatisch gemaakt voor nieuwe tenants. Als u de app voor nieuwe tenants wilt toevoegen, moet een Microsoft Entra-beheerder een service-principalobject maken, met app-id d4ebce55-015a-49b5-a083-c84d1797ae8c, in PowerShell of Microsoft Graph.

  8. Selecteer de categorie Verlenen . In deze stap verleent of blokkeert u toegang tot de app Microsoft Intune Inschrijving.

    1. Kies Toegang verlenen.
    2. Selecteer Meervoudige verificatie vereisen.
    3. Selecteer Vereisen dat het apparaat als compatibel moet worden gemarkeerd.
    4. Selecteer onder Voor meerdere besturingselementende optie Alle geselecteerde besturingselementen vereisen.
    5. Kies Selecteren.

  9. Selecteer de categorie Sessie . In deze stap kunt u sessiebesturingselementen gebruiken om beperkte ervaringen in de Microsoft Intune-inschrijvings-app in te schakelen.

    1. Selecteer Aanmeldingsfrequentie. Er worden extra opties weergegeven.
    2. Kies Elke keer.
    3. Kies Selecteren.

  10. Bij Beleid inschakelen selecteert u Aan.

  11. Selecteer Maken om uw beleid op te slaan en te maken.

Nadat u dit beleid hebt toegepast en geïmplementeerd, zien apparaatgebruikers die hun apparaten inschrijven een eenmalige MFA-prompt.

Opmerking

Een tweede apparaat of een tijdelijke toegangspas is vereist om de MFA-uitdaging voor dit type apparaten in bedrijfseigendom te voltooien:

  • Android Enterprise volledig beheerde apparaten
  • Android Enterprise-apparaten in bedrijfseigendom met een werkprofiel
  • iOS-/iPadOS-apparaten die zijn ingeschreven via automatische apple-apparaatinschrijving
  • macOS-apparaten die zijn ingeschreven via automatische apple-apparaatinschrijving

Het tweede apparaat is vereist omdat het primaire apparaat geen oproepen of sms-berichten kan ontvangen tijdens het inrichtingsproces.