Intuneデバイス登録に多要素認証を要求する
適用対象:
- Android
- iOS/iPadOS
- macOS
- Windows 8.1
- Windows 10
- Windows 11
IntuneとMicrosoft Entra条件付きアクセス ポリシーを使用して、デバイス登録中に多要素認証 (MFA) を要求できます。 MFA が必要な場合、デバイスを登録する従業員と学生は、最初に 2 つ目のデバイスと 2 つの形式の資格情報で認証する必要があります。 MFA では、次の 2 つ以上の検証方法を使用して認証する必要があります。
- パスワードや PIN など、ユーザーが知っているもの。
- 信頼できるデバイスや電話など、重複できないもの。
- 指紋など、彼らは何かです。
前提条件
このポリシーを実装するには、Microsoft Entra ID P1 以降をユーザーに割り当てる必要があります。
デバイス登録時に多要素認証を要求するようにIntuneを構成する
Microsoft Intune登録中に多要素認証を有効にするには、次の手順を実行します。
重要
Microsoft Intune 登録には、デバイス ベースのアクセス規則を構成しないでください。
Microsoft Intune 管理センターにサインインします。
[デバイス>条件付きアクセス] に移動します。 この領域は、Microsoft Entra 管理センターで使用できる条件付きアクセス領域と同じです。 使用可能な設定の詳細については、「 条件付きアクセス ポリシーの構築」を参照してください。
[ 新しいポリシーの作成] を選択します。
ポリシーに名前を付けます。
[ ユーザー ] カテゴリを選択します。
- [ 含める ] タブで、[ ユーザーまたはグループの選択] を選択します。
- その他のオプションが表示されます。 ユーザーおよびグループの選択 ユーザーとグループの一覧が開きます。
- ポリシーを割り当てるユーザーまたはグループを追加し、[ 選択] を選択します。
- ポリシーからユーザーまたはグループを除外するには、[ 除外 ] タブを選択し、前の手順で行ったようにそれらのユーザーまたはグループを追加します。
次のカテゴリ [ ターゲット リソース] を選択します。
- [ 含める ] タブを選択します。
- [アプリの選択>選択] を選択します。
- [登録Microsoft Intune選択>選択してアプリを追加します。 アプリ ピッカーの検索バーを使用して、アプリを見つけます。
先進認証でセットアップ アシスタントを使用する Apple 自動デバイス登録の場合は、2 つのオプションから選択できます。 次の表では、Microsoft Intune オプションと Microsoft Intune登録オプションの違いについて説明します。
クラウド アプリ MFA プロンプトの場所 デバイスの自動登録に関する注意事項 Microsoft Intune 設定アシスタント、
ポータル サイト アプリこのオプションでは、登録中、およびユーザーがポータル サイトアプリまたは Web サイトにサインインするたびに MFA が必要になります。 ポータル サイト サインイン ページに MFA プロンプトが表示されます。 [Microsoft Intune enrollment 設定アシスタント このオプションでは、デバイスの登録中に MFA が必要となり、ポータル サイトサインイン ページに 1 回限りの MFA プロンプトとして表示されます。 注:
Microsoft Intune登録クラウド アプリは、新しいテナントに対して自動的に作成されません。 新しいテナント用のアプリを追加するには、Microsoft Entra管理者が、PowerShell または Microsoft Graph で、アプリ ID d4ebce55-015a-49b5-a083-c84d1797ae8c を持つサービス プリンシパル オブジェクトを作成する必要があります。
[ 許可 ] カテゴリを選択します。
- [ 多要素認証を要求する ] と [デバイスを準拠としてマークする必要がある] を選択します。
- [複数のコントロールの場合] で、[選択したコントロールすべてが必要] を選択します。
- [選択] を選択します。
[セッション] カテゴリを選択します。
- [ サインイン頻度 ] を選択し、[ 毎回] を選択します。
- [選択] を選択します。
[ ポリシーを有効にする]で、[オン] を選択します。
[ 作成] を 選択して、ポリシーを保存して作成します。
このポリシーを適用して展開すると、ユーザーはデバイスを登録するときに 1 回限りの MFA プロンプトが表示されます。
注:
次の種類の企業所有デバイスの MFA チャレンジを完了するには、2 つ目のデバイスまたは一時アクセス パスが必要です。
- Android Enterprise のフル マネージド デバイス
- 仕事用プロファイルを持つ Android Enterprise 企業所有のデバイス
- Apple 自動デバイス登録を使用して登録された iOS/iPadOS デバイス
- Apple 自動デバイス登録を介して登録された macOS デバイス
プライマリ デバイスにより、プロビジョニング処理中に呼び出しまたはテキスト メッセージを受信できないため、2 つ目のデバイスが必要です。