Wymagaj uwierzytelniania wieloskładnikowego na potrzeby rejestracji urządzeń Intune

Dotyczy:

• Android
• iOS/iPadOS
• macOS
• Windows 8.1
• Windows 10
• Windows 11

Możesz użyć Intune wraz z zasadami dostępu warunkowego Microsoft Entra, aby wymagać uwierzytelniania wieloskładnikowego (MFA) podczas rejestracji urządzeń. Jeśli potrzebujesz uwierzytelniania wieloskładnikowego, pracownicy i studenci, którzy chcą zarejestrować urządzenia, muszą najpierw uwierzytelnić się przy użyciu drugiego urządzenia i dwóch form poświadczeń. Uwierzytelnianie wieloskładnikowe wymaga uwierzytelnienia przy użyciu co najmniej dwóch z tych metod weryfikacji:

• Coś, co wiedzą, takie jak hasło lub numer PIN.
• Coś, czego nie można zduplikować, na przykład zaufane urządzenie lub telefon.
• Coś, czym są, takie jak odcisk palca.

Wymagania wstępne

Aby zaimplementować te zasady, należy przypisać użytkownikom Tożsamość Microsoft Entra P1 lub nowszym.

Konfigurowanie Intune w celu wymagania uwierzytelniania wieloskładnikowego podczas rejestracji urządzenia

Wykonaj te kroki, aby włączyć uwierzytelnianie wieloskładnikowe podczas rejestracji Microsoft Intune.

1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

2. Przejdź do pozycjiDostęp warunkowyurządzeń>. Ten obszar jest taki sam jak obszar dostępu warunkowego dostępny w centrum administracyjne Microsoft Entra. Aby uzyskać więcej informacji na temat dostępnych ustawień, zobacz Tworzenie zasad dostępu warunkowego.

3. Wybierz pozycję Utwórz nowe zasady.

4. Nazwij zasady.

5. Wybierz kategorię Użytkownicy .

   1. Na karcie Dołącz wybierz pozycję Wybierz użytkowników lub grupy.
   2. Zostaną wyświetlone dodatkowe opcje. Wybierz pozycję Użytkownicy i grupy. Zostanie otwarta lista użytkowników i grup.
   3. Dodaj użytkowników lub grupy, do których przypisujesz zasady, a następnie wybierz pozycję Wybierz.
   4. Aby wykluczyć użytkowników lub grupy z zasad, wybierz kartę Wyklucz i dodaj tych użytkowników lub grupy, tak jak w poprzednim kroku.

6. Wybierz następną kategorię Zasoby docelowe.

   1. Wybierz kartę Dołącz .
   2. Wybierz pozycję Wybierz aplikacje>Wybierz.
   3. Wybierz pozycję Microsoft Intune Rejestracja>Wybierz, aby dodać aplikację. Użyj paska wyszukiwania w selektorze aplikacji, aby znaleźć aplikację.

   W przypadku zautomatyzowanych rejestracji urządzeń firmy Apple przy użyciu Asystenta ustawień z nowoczesnym uwierzytelnianiem masz do wyboru dwie opcje. W poniższej tabeli opisano różnicę między opcją Microsoft Intune a opcją rejestracji Microsoft Intune.

   Aplikacja w chmurze	Lokalizacja wiersza polecenia uwierzytelniania wieloskładnikowego	Uwagi dotyczące automatycznej rejestracji urządzeń
   Microsoft Intune	Asystent ustawień, aplikacja Portal firmy	Dzięki tej opcji uwierzytelnianie wieloskładnikowe jest wymagane podczas rejestracji i za każdym razem, gdy użytkownik loguje się do aplikacji lub witryny internetowej Portal firmy. Monity uwierzytelniania wieloskładnikowego są wyświetlane na stronie logowania Portal firmy.
   rejestracja Microsoft Intune	Asystent ustawień	Dzięki tej opcji uwierzytelnianie wieloskładnikowe jest wymagane podczas rejestracji urządzenia i jest wyświetlane jako jednorazowy monit uwierzytelniania wieloskładnikowego na stronie logowania Portal firmy.

7. Wybierz kategorię Udziel .

   1. Wybierz pozycję Wymagaj uwierzytelniania wieloskładnikowego i Wymagaj, aby urządzenie było oznaczone jako zgodne.
   2. W obszarze W przypadku wielu kontrolek wybierz pozycję Wymagaj wszystkich wybranych kontrolek.
   3. Zaznacz pozycję Wybierz.

8. Wybierz kategorię Sesja .

   1. Wybierz pozycję Częstotliwość logowania i wybierz pozycję Za każdym razem.
   2. Zaznacz pozycję Wybierz.

9. W obszarze Włącz zasady wybierz pozycję Włączone.

10. Wybierz pozycję Utwórz , aby zapisać i utworzyć zasady.

Po zastosowaniu i wdrożeniu tych zasad użytkownicy będą widzieć jednorazowy monit uwierzytelniania wieloskładnikowego podczas rejestrowania urządzenia.