要求对Intune设备注册进行多重身份验证
适用于:
- Android
- iOS/iPadOS
- macOS
- Windows 10
- Windows 11
可以将Intune与Microsoft Entra条件访问策略结合使用,以要求在设备注册期间进行多重身份验证 (MFA) 。 如果需要 MFA,想要注册设备的员工和学生必须首先使用第二台设备和两种形式的凭据进行身份验证。 MFA 要求他们使用以下两种或多种验证方法进行身份验证:
- 他们知道的内容,例如密码或 PIN。
- 他们拥有的无法复制的内容,例如受信任的设备或手机。
- 它们就是一些东西,例如指纹。
如果设备不符合要求,系统会提示设备用户在注册Microsoft Intune之前使设备符合要求。
先决条件
若要实现此策略,必须将Microsoft Entra ID P1 或更高版本分配给用户。
将Intune配置为要求在设备注册时进行多重身份验证
完成这些步骤以在Microsoft Intune注册期间启用多重身份验证。
重要
请勿为 Microsoft Intune 注册配置基于设备的访问规则。
转到 “设备”。
展开 “管理设备”,然后选择“ 条件访问”。 此条件访问区域与Microsoft Entra 管理中心中可用的条件访问区域相同。 有关可用设置的详细信息,请参阅 生成条件访问策略。
选择 “创建新策略”。
命名策略。
选择“ 用户” 类别。
- 在“ 包括 ”选项卡下,选择 “选择用户或组”。
- 将显示其他选项。 选择“用户和组”。 此时会打开用户和组列表。
- 浏览并选择要包含在策略中的Microsoft Entra用户或组。 然后选择 选择。
- 若要从策略中排除用户或组,请选择“ 排除 ”选项卡,并添加这些用户或组,就像在上一步中所做的那样。
选择下一个类别 “目标资源”。 在此步骤中,选择策略应用到的资源。 在这种情况下,我们希望策略应用于用户或组尝试访问Microsoft Intune注册应用的事件。
- 在 “选择此策略的应用对象”下,选择 “资源 (以前的云应用) 。
- 选择“ 包括 ”选项卡。
- 选择 “选择资源”。 将显示其他选项。
- 在 “选择”下,选择“ 无”。 打开的资源列表。
- 搜索Microsoft Intune注册。 然后选择 “选择” 以添加应用。
对于使用具有新式身份验证的设置助手的 Apple 自动设备注册,有两个选项可供选择。 下表描述了“Microsoft Intune”选项与“Microsoft Intune注册”选项之间的差异。
云应用 MFA 提示位置 自动设备注册备注 Microsoft Intune 设置助理,
公司门户应用使用此选项时,在注册期间以及每次用户登录到公司门户应用或网站时,都需要 MFA。 MFA 提示显示在公司门户登录页上。 Microsoft Intune 注册 设置助理 使用此选项时,设备注册期间需要 MFA,并在公司门户登录页上显示为一次性 MFA 提示。 注意
不会自动为新租户创建Microsoft Intune注册云应用。 若要为新租户添加应用,Microsoft Entra管理员必须在 PowerShell 或 Microsoft Graph 中创建应用 ID 为 d4ebce55-015a-49b5-a083-c84d1797ae8c 的服务主体对象。
选择 “授予” 类别。 在此步骤中,将授予或阻止对 Microsoft Intune 注册应用的访问权限。
- 选择 “授予访问权限”。
- 选择“ 需要多重身份验证”。
- 选择“需要将设备标记为兼容”。
- 在“对于多个控件”下,选择“需要所有已选控件”。
- 选择“选择”。
选择 “会话” 类别。 在此步骤中,可以使用会话控件在Microsoft Intune注册应用中启用有限的体验。
- 选择“ 登录频率”。 将显示其他选项。
- 选择 “每次”。
- 选择“选择”。
对于 “启用策略”,请选择“ 打开”。
选择“ 创建 ”以保存并创建策略。
应用并部署此策略后,注册其设备的设备用户会看到一次性 MFA 提示。
注意
需要第二台设备或临时访问密码才能完成以下类型的公司拥有设备的 MFA 质询:
- Android Enterprise 完全托管设备
- 具有工作配置文件的 Android Enterprise 公司拥有的设备
- 通过 Apple 自动设备注册注册的 iOS/iPadOS 设备
- 通过 Apple 自动设备注册注册的 macOS 设备
第二个设备是必需的,因为主设备在预配过程中无法接收呼叫或短信。