Dela via

Kräv multifaktorautentisering för Intune enhetsregistreringar

  • Artikel

Gäller för:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows 10
  • Windows 11

Du kan använda Intune tillsammans med Microsoft Entra principer för villkorsstyrd åtkomst för att kräva multifaktorautentisering (MFA) under enhetsregistreringen. Om du behöver MFA måste anställda och studenter som vill registrera enheter först autentisera med en andra enhet och två former av autentiseringsuppgifter. MFA kräver att de autentiserar med två eller flera av dessa verifieringsmetoder:

  • Något de vet, till exempel ett lösenord eller EN PIN-kod.
  • Något de har som inte kan dupliceras, till exempel en betrodd enhet eller telefon.
  • Något de är, till exempel ett fingeravtryck.

Om en enhet inte är kompatibel uppmanas enhetsanvändaren att göra enheten kompatibel innan den registreras i Microsoft Intune.

Förhandskrav

Om du vill implementera den här principen måste du tilldela Microsoft Entra ID P1 eller senare till användare.

Konfigurera Intune för att kräva multifaktorautentisering vid enhetsregistrering

Utför de här stegen för att aktivera multifaktorautentisering under Microsoft Intune registrering.

Viktigt

Konfigurera inte enhetsbaserade åtkomstregler för Microsoft Intune registrering.

  1. Logga in på Microsoft Intune administrationscenter.

  2. Gå till Enheter.

  3. Expandera Hantera enheter och välj sedan Villkorlig åtkomst. Det här området för villkorsstyrd åtkomst är detsamma som området villkorsstyrd åtkomst som är tillgängligt i Microsoft Entra administrationscenter. Mer information om tillgängliga inställningar finns i Skapa en princip för villkorsstyrd åtkomst.

  4. Välj Skapa ny princip.

  5. Ge principen ett namn.

  6. Välj kategorin Användare .

    1. Under fliken Inkludera väljer du Välj användare eller grupper.
    2. Ytterligare alternativ visas. Välj Användare och grupper. En lista över användare och grupper öppnas.
    3. Bläddra och välj de Microsoft Entra användare eller grupper som du vill inkludera i principen. Välj sedan Välj.
    4. Om du vill undanta användare eller grupper från principen väljer du fliken Exkludera och lägger till de användare eller grupper som du gjorde i föregående steg.

  7. Välj nästa kategori, Målresurser. I det här steget väljer du de resurser som principen gäller för. I det här fallet vill vi att principen ska gälla för händelser där användare eller grupper försöker komma åt Microsoft Intune registreringsappen.

    1. Under Välj vad den här principen gäller för väljer du Resurser (tidigare molnappar).
    2. Välj fliken Inkludera .
    3. Välj Välj resurser. Ytterligare alternativ visas.
    4. Under Välj väljer du Ingen. En lista över resurser öppnas.
    5. Sök efter Microsoft Intune registrering. Välj sedan Välj för att lägga till appen.

    För apple-automatiska enhetsregistreringar med installationsassistenten med modern autentisering har du två alternativ att välja mellan. I följande tabell beskrivs skillnaden mellan alternativet Microsoft Intune och alternativet Microsoft Intune registrering.

    Molnapp MFA-promptplats Anteckningar om automatisk enhetsregistrering
    Microsoft Intune Inställningsassistent
    Företagsportal app    		 Med det här alternativet krävs MFA under registreringen och varje gång användaren loggar in på Företagsportal app eller webbplats. MFA-prompterna visas på inloggningssidan för Företagsportal.
    Microsoft Intune registrering Inställningsassistent Med det här alternativet krävs MFA under enhetsregistreringen och visas som en engångsfråga för MFA på Företagsportal inloggningssida.

    Obs!

    Molnappen Microsoft Intune registrering skapas inte automatiskt för nya klienter. Om du vill lägga till appen för nya klienter måste en Microsoft Entra-administratör skapa ett objekt för tjänstens huvudnamn, med app-ID d4ebce55-015a-49b5-a083-c84d1797ae8c, i PowerShell eller Microsoft Graph.

  8. Välj kategorin Bevilja . I det här steget beviljar eller blockerar du åtkomst till Microsoft Intune-registreringsappen.

    1. Välj Bevilja åtkomst.
    2. Välj Kräv multifaktorautentisering.
    3. Välj Kräv att enheten ska markeras som kompatibel.
    4. Under För flera kontroller väljer du Kräv alla valda kontroller.
    5. Välj Välj.

  9. Välj kategorin Session . I det här steget kan du använda sessionskontroller för att aktivera begränsade upplevelser i appen Microsoft Intune-registrering.

    1. Välj Inloggningsfrekvens. Ytterligare alternativ visas.
    2. Välj Varje gång.
    3. Välj Välj.

  10. För Aktivera princip väljer du .

  11. Välj Skapa för att spara och skapa principen.

När du har tillämpat och distribuerat den här principen visas en engångsfråga om MFA för enhetsanvändare som registrerar sina enheter.

Obs!

En andra enhet eller ett tillfälligt åtkomstkort krävs för att slutföra MFA-utmaningen för dessa typer av företagsägda enheter:

  • Fullständigt hanterade Android Enterprise-enheter
  • Företagsägda Android Enterprise-enheter med en arbetsprofil
  • iOS/iPadOS-enheter som registrerats via Apples automatiska enhetsregistrering
  • macOS-enheter som registrerats via Apples automatiska enhetsregistrering

Den andra enheten krävs eftersom den primära enheten inte kan ta emot samtal eller sms under etableringsprocessen.