Mehrstufige Authentifizierung für Intune Geräteregistrierungen erforderlich

Gilt für:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows 8.1
  • Windows 10
  • Windows 11

Sie können Intune zusammen mit Microsoft Entra Richtlinien für bedingten Zugriff verwenden, um die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) während der Geräteregistrierung zu erfordern. Wenn Sie MFA benötigen, müssen sich Mitarbeiter und Studenten, die Geräte registrieren möchten, zuerst mit einem zweiten Gerät und zwei Arten von Anmeldeinformationen authentifizieren. MFA erfordert, dass sie sich mit zwei oder mehr dieser Überprüfungsmethoden authentifizieren:

  • Etwas, das ihnen bekannt ist, z. B. ein Kennwort oder eine PIN.
  • Etwas, das nicht dupliziert werden kann, z. B. ein vertrauenswürdiges Gerät oder Telefon.
  • Etwas, was sie sind, z. B. ein Fingerabdruck.

Voraussetzungen

Um diese Richtlinie zu implementieren, müssen Sie Benutzern Microsoft Entra ID P1 oder höher zuweisen.

Konfigurieren sie Intune so, dass die mehrstufige Authentifizierung bei der Geräteregistrierung erforderlich ist.

Führen Sie diese Schritte aus, um die mehrstufige Authentifizierung während Microsoft Intune Registrierung zu aktivieren.

Wichtig

Konfigurieren Sie keine gerätebasierten Zugriffsregeln für die Microsoft Intune-Registrierung.

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wechseln Sie zu Geräte>Bedingter Zugriff. Dieser Bereich ist identisch mit dem Bereich für bedingten Zugriff, der im Microsoft Entra Admin Center verfügbar ist. Weitere Informationen zu den verfügbaren Einstellungen finden Sie unter Erstellen einer Richtlinie für bedingten Zugriff.

  3. Wählen Sie Neue Richtlinie erstellen aus.

  4. Benennen Sie Ihre Richtlinie.

  5. Wählen Sie die Kategorie Benutzer aus.

    1. Wählen Sie auf der Registerkarte Einschließen die Option Benutzer oder Gruppen auswählen aus.
    2. Zusätzliche Optionen werden angezeigt. Wählen Sie Benutzer und Gruppen aus. Eine Liste von Benutzern und Gruppen wird geöffnet.
    3. Fügen Sie die Benutzer oder Gruppen hinzu, der Sie die Richtlinie zuweisen möchten, und wählen Sie dann Auswählen aus.
    4. Um Benutzer oder Gruppen von der Richtlinie auszuschließen, wählen Sie die Registerkarte Ausschließen aus, und fügen Sie diese Benutzer oder Gruppen wie im vorherigen Schritt hinzu.
  6. Wählen Sie die nächste Kategorie Zielressourcen aus.

    1. Wählen Sie die Registerkarte Einschließen aus.
    2. Wählen Sie Apps> auswählenAuswählen aus.
    3. Wählen Sie Microsoft Intune Registrierung>Wählen Sie aus, um die App hinzuzufügen. Verwenden Sie die Suchleiste in der App-Auswahl, um die App zu finden.

    Für automatisierte Apple-Geräteregistrierungen mit dem Setup-Assistenten mit moderner Authentifizierung haben Sie zwei Optionen zur Auswahl. In der folgenden Tabelle wird der Unterschied zwischen der Option Microsoft Intune und Microsoft Intune Registrierungsoption beschrieben.

    Cloud-App Ort der MFA-Eingabeaufforderung Hinweise zur automatischen Geräteregistrierung
    Microsoft Intune Setup-Assistent,
    Unternehmensportal-App
    Bei dieser Option ist MFA während der Registrierung und jedes Mal erforderlich, wenn sich der Benutzer bei der Unternehmensportal App oder Website anmeldet. Die MFA-Eingabeaufforderungen werden auf der Unternehmensportal Anmeldeseite angezeigt.
    Microsoft Intune-Registrierung Setup-Assistent Bei dieser Option ist MFA während der Geräteregistrierung erforderlich und wird als einmalige MFA-Aufforderung auf der Unternehmensportal Anmeldeseite angezeigt.

    Hinweis

    Die Cloud-App Microsoft Intune Registrierung wird nicht automatisch für neue Mandanten erstellt. Um die App für neue Mandanten hinzuzufügen, muss ein Microsoft Entra Administrator ein Dienstprinzipalobjekt mit der App-ID d4ebce55-015a-49b5-a083-c84d1797ae8c in PowerShell oder Microsoft Graph erstellen.

  7. Wählen Sie die Kategorie Gewähren aus.

    1. Wählen Sie Mehrstufige Authentifizierung erforderlich und Gerät muss als konform gekennzeichnet werden.
    2. Klicken Sie unter Für mehrere Steuerelemente auf Alle ausgewählten Kontrollen anfordern.
    3. Klicken Sie auf Auswählen.
  8. Wählen Sie die Kategorie Sitzung aus.

    1. Wählen Sie Anmeldehäufigkeit und dann Jedes Mal aus.
    2. Klicken Sie auf Auswählen.
  9. Wählen Sie unter Richtlinie aktivieren die Option Ein aus.

  10. Wählen Sie Erstellen aus, um Ihre Richtlinie zu speichern und zu erstellen.

Nachdem Sie diese Richtlinie angewendet und bereitgestellt haben, wird benutzern bei der Registrierung ihres Geräts eine einmalige MFA-Aufforderung angezeigt.

Hinweis

Ein zweites Gerät oder ein temporärer Zugriffspass ist erforderlich, um die MFA-Herausforderung für diese Arten von unternehmenseigenen Geräten abzuschließen:

  • Vollständig verwaltete Android Enterprise-Geräte
  • Unternehmenseigene Android Enterprise-Geräte mit einem Arbeitsprofil
  • iOS-/iPadOS-Geräte, die über die automatisierte Apple-Geräteregistrierung registriert wurden
  • macOS-Geräte, die über die automatisierte Apple-Geräteregistrierung registriert wurden

Das zweite Gerät ist erforderlich, da das primäre Gerät während des Bereitstellungsvorgangs keine Anrufe oder Textnachrichten empfangen kann.