Wymagaj uwierzytelniania wieloskładnikowego na potrzeby rejestracji urządzeń Intune

Dotyczy:

• Android
• iOS/iPadOS
• macOS
• Windows 10
• Windows 11

Możesz użyć Intune wraz z zasadami dostępu warunkowego Microsoft Entra, aby wymagać uwierzytelniania wieloskładnikowego (MFA) podczas rejestracji urządzeń. Jeśli potrzebujesz uwierzytelniania wieloskładnikowego, pracownicy i studenci, którzy chcą zarejestrować urządzenia, muszą najpierw uwierzytelnić się przy użyciu drugiego urządzenia i dwóch form poświadczeń. Uwierzytelnianie wieloskładnikowe wymaga uwierzytelnienia przy użyciu co najmniej dwóch z tych metod weryfikacji:

• Coś, co wiedzą, takie jak hasło lub numer PIN.
• Coś, czego nie można zduplikować, na przykład zaufane urządzenie lub telefon.
• Coś, czym są, takie jak odcisk palca.

Jeśli urządzenie nie jest zgodne, użytkownik urządzenia zostanie wyświetlony monit o jego zgodność przed zarejestrowaniem w Microsoft Intune.

Wymagania wstępne

Aby zaimplementować te zasady, należy przypisać użytkownikom Tożsamość Microsoft Entra P1 lub nowszym.

Konfigurowanie Intune w celu wymagania uwierzytelniania wieloskładnikowego podczas rejestracji urządzenia

Wykonaj te kroki, aby włączyć uwierzytelnianie wieloskładnikowe podczas rejestracji Microsoft Intune.

Ważna

Nie konfiguruj reguł dostępu opartych na urządzeniach dla rejestracji Microsoft Intune.

1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

2. Przejdź do pozycji Urządzenia.

3. Rozwiń węzeł Zarządzanie urządzeniami, a następnie wybierz pozycję Dostęp warunkowy. Ten obszar dostępu warunkowego jest taki sam jak obszar dostępu warunkowego dostępny w centrum administracyjne Microsoft Entra. Aby uzyskać więcej informacji na temat dostępnych ustawień, zobacz Tworzenie zasad dostępu warunkowego.

4. Wybierz pozycję Utwórz nowe zasady.

5. Nazwij zasady.

6. Wybierz kategorię Użytkownicy .

   1. Na karcie Dołącz wybierz pozycję Wybierz użytkowników lub grupy.
   2. Zostaną wyświetlone dodatkowe opcje. Wybierz pozycję Użytkownicy i grupy. Zostanie otwarta lista użytkowników i grup.
   3. Przeglądaj i wybierz Microsoft Entra użytkowników lub grupy, które chcesz uwzględnić w zasadach. Następnie wybierz pozycję Wybierz.
   4. Aby wykluczyć użytkowników lub grupy z zasad, wybierz kartę Wyklucz i dodaj tych użytkowników lub grupy, tak jak w poprzednim kroku.

7. Wybierz następną kategorię Zasoby docelowe. W tym kroku wybierzesz zasoby, do których mają zastosowanie zasady. W takim przypadku chcemy, aby zasady były stosowane do zdarzeń, w których użytkownicy lub grupy próbują uzyskać dostęp do aplikacji Microsoft Intune Enrollment.

   1. W obszarze Wybierz, do czego mają zastosowanie te zasady, wybierz pozycję Zasoby (dawniej aplikacje w chmurze)..
   2. Wybierz kartę Dołącz .
   3. Wybierz pozycję Wybierz zasoby. Zostaną wyświetlone dodatkowe opcje.
   4. W obszarze Wybierz wybierz pozycję Brak. Zostanie otwarta lista zasobów.
   5. Wyszukaj Microsoft Intune Rejestracja. Następnie wybierz pozycję Wybierz , aby dodać aplikację.

   W przypadku zautomatyzowanych rejestracji urządzeń firmy Apple przy użyciu Asystenta ustawień z nowoczesnym uwierzytelnianiem masz do wyboru dwie opcje. W poniższej tabeli opisano różnicę między opcją Microsoft Intune a opcją rejestracji Microsoft Intune.

   Aplikacja w chmurze	Lokalizacja wiersza polecenia uwierzytelniania wieloskładnikowego	Uwagi dotyczące automatycznej rejestracji urządzeń
   Microsoft Intune	Asystent ustawień, aplikacja Portal firmy	Dzięki tej opcji uwierzytelnianie wieloskładnikowe jest wymagane podczas rejestracji i za każdym razem, gdy użytkownik loguje się do aplikacji lub witryny internetowej Portal firmy. Monity uwierzytelniania wieloskładnikowego są wyświetlane na stronie logowania Portal firmy.
   rejestracja Microsoft Intune	Asystent ustawień	Dzięki tej opcji uwierzytelnianie wieloskładnikowe jest wymagane podczas rejestracji urządzenia i jest wyświetlane jako jednorazowy monit uwierzytelniania wieloskładnikowego na stronie logowania Portal firmy.

   Uwaga

   Aplikacja w chmurze rejestracji Microsoft Intune nie jest tworzona automatycznie dla nowych dzierżaw. Aby dodać aplikację dla nowych dzierżaw, administrator Microsoft Entra musi utworzyć obiekt jednostki usługi o identyfikatorze aplikacji d4ebce55-015a-49b5-a083-c84d1797ae8c w programie PowerShell lub programie Microsoft Graph.

8. Wybierz kategorię Udziel . W tym kroku udzielisz lub zablokujesz dostęp do aplikacji Microsoft Intune Enrollment.

   1. Wybierz pozycję Udziel dostępu.
   2. Wybierz pozycję Wymagaj uwierzytelniania wieloskładnikowego.
   3. Wybierz pozycję Wymagaj, aby urządzenie było oznaczone jako zgodne.
   4. W obszarze W przypadku wielu kontrolek wybierz pozycję Wymagaj wszystkich wybranych kontrolek.
   5. Zaznacz pozycję Wybierz.

9. Wybierz kategorię Sesja . W tym kroku możesz użyć kontrolek sesji, aby włączyć ograniczone środowiska w aplikacji Microsoft Intune Enrollment.

   1. Wybierz pozycję Częstotliwość logowania. Zostaną wyświetlone dodatkowe opcje.
   2. Wybierz pozycję Za każdym razem.
   3. Zaznacz pozycję Wybierz.

10. W obszarze Włącz zasady wybierz pozycję Włączone.

11. Wybierz pozycję Utwórz , aby zapisać i utworzyć zasady.

Po zastosowaniu i wdrożeniu tych zasad użytkownicy urządzeń rejestrujący swoje urządzenia zobaczą jednorazowy monit uwierzytelniania wieloskładnikowego.

Uwaga

Aby ukończyć wyzwanie uwierzytelniania wieloskładnikowego dla tego typu urządzeń należących do firmy, wymagane jest drugie urządzenie lub tymczasowy dostęp:

• W pełni zarządzane urządzenia z systemem Android Enterprise
• Urządzenia firmowe z systemem Android Enterprise z profilem służbowym
• Urządzenia z systemem iOS/iPadOS zarejestrowane za pośrednictwem zautomatyzowanej rejestracji urządzeń firmy Apple
• Urządzenia z systemem macOS zarejestrowane za pośrednictwem automatycznej rejestracji urządzeń firmy Apple

Drugie urządzenie jest wymagane, ponieważ urządzenie podstawowe nie może odbierać wywołań ani wiadomości SMS podczas procesu aprowizacji.