Поделиться через

Требовать многофакторную проверку подлинности для регистрации устройств Intune

  • Статья

Применимо к:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows 10
  • Windows 11

Вы можете использовать Intune вместе с политиками условного доступа Microsoft Entra, чтобы требовать многофакторную проверку подлинности (MFA) во время регистрации устройства. Если требуется MFA, сотрудники и учащиеся, желающие зарегистрировать устройства, должны сначала пройти проверку подлинности с помощью второго устройства и двух форм учетных данных. MFA требует, чтобы они прошли проверку подлинности с помощью двух или более из следующих методов проверки:

  • То, что они знают, например пароль или ПИН-код.
  • То, что у них есть, что невозможно дублировать, например доверенное устройство или телефон.
  • То, что они есть, например отпечаток пальца.

Если устройство не соответствует требованиям, пользователю устройства предлагается сделать устройство совместимым перед регистрацией в Microsoft Intune.

Предварительные условия

Чтобы реализовать эту политику, необходимо назначить пользователям Microsoft Entra ID P1 или более поздней версии.

Настройка Intune для требования многофакторной проверки подлинности при регистрации устройства

Выполните эти действия, чтобы включить многофакторную проверку подлинности во время Microsoft Intune регистрации.

Важно!

Не настраивайте правила доступа на основе устройств для регистрации в Microsoft Intune.

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Перейдите в раздел Устройства.

  3. Разверните узел Управление устройствами, а затем выберите Условный доступ. Эта область условного доступа совпадает с областью условного доступа, доступной в Центр администрирования Microsoft Entra. Дополнительные сведения о доступных параметрах см. в статье Создание политики условного доступа.

  4. Выберите Создать политику.

  5. Присвойте политике имя.

  6. Выберите категорию Пользователи .

    1. На вкладке Включить выберите Выбрать пользователей или группы.
    2. Появятся дополнительные параметры. Выберите Пользователи и группы Откроется список пользователей и групп.
    3. Найдите и выберите Microsoft Entra пользователей или группы, которые вы хотите включить в политику. Затем нажмите кнопку Выбрать.
    4. Чтобы исключить пользователей или группы из политики, перейдите на вкладку Исключить и добавьте этих пользователей или группы, как это было на предыдущем шаге.

  7. Выберите следующую категорию Целевые ресурсы. На этом шаге вы выберете ресурсы, к которым применяется политика. В этом случае мы хотим, чтобы политика применялась к событиям, когда пользователи или группы пытаются получить доступ к приложению регистрации Microsoft Intune.

    1. В разделе Выберите, к чему применяется эта политика, выберите Ресурсы (прежнее название — облачные приложения).
    2. Выберите вкладку Включить .
    3. Выберите Выбрать ресурсы. Появятся дополнительные параметры.
    4. В разделе Выбрать выберите Нет. Открытый список ресурсов.
    5. Выполните поиск Microsoft Intune регистрации. Затем нажмите кнопку Выбрать , чтобы добавить приложение.

    Для автоматической регистрации устройств Apple с помощью помощника по настройке с современной проверкой подлинности можно выбрать два варианта. В следующей таблице описана разница между параметром Microsoft Intune и параметром регистрации Microsoft Intune.

    облачное приложение; расположение запроса MFA. Примечания по автоматической регистрации устройств
    Microsoft Intune Помощник по настройке,
    Приложение корпоративного портала    		 При использовании этого параметра MFA требуется во время регистрации и при каждом входе пользователя в приложение или веб-сайт Корпоративный портал. Запросы MFA отображаются на странице входа Корпоративный портал.
    Регистрация в Microsoft Intune Помощник по настройке При использовании этого параметра MFA требуется во время регистрации устройства и отображается в виде одноразового запроса MFA на странице входа Корпоративный портал.

    Примечание.

    Облачное приложение Microsoft Intune регистрации не создается автоматически для новых клиентов. Чтобы добавить приложение для новых клиентов, администратор Microsoft Entra должен создать объект субъекта-службы с идентификатором приложения d4ebce55-015a-49b5-a083-c84d1797ae8c в PowerShell или Microsoft Graph.

  8. Выберите категорию Предоставление . На этом шаге вы предоставите или заблокируйте доступ к приложению регистрации Microsoft Intune.

    1. Выберите Предоставить доступ.
    2. Выберите Требовать многофакторную проверку подлинности.
    3. Выберите Требовать, чтобы устройство было отмечено как соответствующее.
    4. В разделе Для нескольких элементов управления выберите Требовать все выбранные элементы управления.
    5. Нажмите Выбрать.

  9. Выберите категорию Сеанс . На этом шаге вы можете использовать элементы управления сеансами, чтобы включить ограниченные возможности в приложении регистрации Microsoft Intune.

    1. Выберите Частота входа. Появятся дополнительные параметры.
    2. Выберите Каждый раз.
    3. Нажмите Выбрать.

  10. Для параметра Включить политику выберите Включено.

  11. Нажмите кнопку Создать , чтобы сохранить и создать политику.

После применения и развертывания этой политики пользователи устройств, регистрируя свои устройства, увидят одноразовый запрос MFA.

Примечание.

Для выполнения задачи MFA для следующих типов корпоративных устройств требуется второе устройство или временный пропуск доступа:

  • Полностью управляемые устройства Android Enterprise
  • Корпоративные устройства Android Enterprise с рабочим профилем
  • Устройства iOS/iPadOS, зарегистрированные с помощью автоматической регистрации устройств Apple
  • Устройства macOS, зарегистрированные с помощью автоматической регистрации устройств Apple

Второе устройство требуется потому, что основное устройство не может принимать вызовы или текстовые сообщения в процессе подготовки к работе.