共用方式為

Intune 裝置註冊需要多重要素驗證

  • 發行項

適用於

  • Android
  • iOS/iPadOS
  • macOS
  • Windows 10
  • Windows 11

您可以使用 Intune 與 Microsoft Entra 條件式存取原則,在裝置註冊期間要求多重要素驗證 (MFA) 。 如果您需要 MFA,想要註冊裝置的員工和學生必須先使用第二個裝置和兩種形式的認證進行驗證。 MFA 需要他們使用下列兩種或多個驗證方法進行驗證:

  • 他們知道的一些資訊,例如密碼或 PIN。
  • 其擁有無法重複的內容,例如受信任的裝置或手機。
  • 其身分,例如指紋。

如果裝置不符合規範,系統會提示裝置使用者先使裝置符合規範,再註冊 Microsoft Intune。

必要條件

若要實作此原則,您必須將 P1 或更新版本 Microsoft Entra ID 指派給使用者。

設定 Intune 在裝置註冊時要求多重要素驗證

完成下列步驟,以在 Microsoft Intune 註冊期間啟用多重要素驗證。

重要事項

請勿針對 Microsoft Intune 註冊設定裝置型存取規則

  1. 登入 Microsoft Intune 系統管理中心

  2. 移至 [裝置]

  3. 展開 [管理裝置],然後選取 [條件式存取]。 此條件式存取區域與 Microsoft Entra 系統管理中心 中可用的條件式存取區域相同。 如需可用設定的詳細資訊,請參閱 建置條件式存取原則

  4. 選擇 [建立新原則]

  5. 為您的原則命名。

  6. 選取 [ 使用者] 類別。

    1. 在 [ 包含] 索 引標籤下,選擇 [選取使用者或群組]
    2. 其他選項隨即出現。 選取 使用者及群組。 使用者和群組清單隨即開啟。
    3. 瀏覽並選取您想要包含在原則中的 Microsoft Entra 使用者或群組。 然後選擇 [選取]
    4. 若要從原則中排除使用者或群組,請選取 [ 排除 ] 索引標籤,並新增這些使用者或群組,就像您在上一個步驟中所做的一樣。

  7. 選取下一個類別: [目標資源]。 在此步驟中,您會選取套用原則的資源。 在此情況下,我們希望原則套用至使用者或群組嘗試存取 Microsoft Intune 註冊應用程式的事件。

    1. [選取此原則適用的內容] 底下,選擇 [資源 (先前的雲端應用程式)
    2. 選取 [ 包含] 索引 標籤。
    3. 選擇 [選取資源]。 其他選項隨即出現。
    4. 在 [ 選取] 底下,選擇 [ 無]。 開啟的資源清單。
    5. 搜尋 Microsoft Intune 註冊。 然後選擇 [選取 ] 以新增應用程式。

    針對使用 Setup Assistant 搭配新式驗證的 Apple 自動化裝置註冊,您有兩個選項可供選擇。 下表描述 [Microsoft Intune] 選項與 [Microsoft Intune註冊] 選項之間的差異。

    雲端應用程式 MFA 提示位置 自動化裝置註冊附註
    Microsoft Intune 設定助理,
    公司入口網站 應用程式    		 使用此選項時,註冊期間以及每次使用者登入 公司入口網站 應用程式或網站時,都需要 MFA。 MFA 提示會出現在 公司入口網站 登入頁面上。
    Microsoft Intune 註冊 設定助理 使用此選項時,在裝置註冊期間需要 MFA,並在 公司入口網站 登入頁面上顯示為一次性 MFA 提示。

    注意事項

    系統不會自動為新租使用者建立 Microsoft Intune 註冊雲端應用程式。 若要新增新租使用者的應用程式,Microsoft Entra 系統管理員必須在PowerShell或 Microsoft Graph 中建立具有應用程式標識碼 d4ebce55-015a-49b5-a083-c84d1797ae8c 的服務主體物件。

  8. 選取 [授與 ] 類別。 在此步驟中,您會授與或封鎖 Microsoft Intune 註冊應用程式的存取權。

    1. 選擇 [授與存取權]
    2. 取 [需要多重要素驗證]
    3. 取 [需要將裝置標示為符合規範]
    4. 在 [針對多個控件] 下,選取 [需要所有選取的控件]
    5. 選擇 [選取]

  9. 選取 [工作階段 ] 類別。 在此步驟中,您可以使用會話控件,在 Microsoft Intune 註冊應用程式內啟用有限的體驗。

    1. 取 [登入頻率]。 其他選項隨即出現。
    2. 選擇 [每次]
    3. 選擇 [選取]

  10. 針對 [啟用原則],選取 [ 開啟]

  11. 取 [建立 ] 以儲存並建立您的原則。

套用並部署此原則之後,註冊其裝置的裝置使用者會看到一次性 MFA 提示。

注意事項

需要第二個裝置或暫時存取階段,才能完成這些公司擁有裝置類型的 MFA 挑戰:

  • Android Enterprise 完全受控裝置
  • 具有工作配置檔的 Android Enterprise 公司擁有裝置
  • 透過Apple自動裝置註冊註冊的iOS/iPadOS裝置
  • 透過 Apple 自動化裝置註冊註冊的 macOS 裝置

第二個裝置是必要的,因為主要裝置無法在布建程式期間接收來電或簡訊。