Kräv multifaktorautentisering för Intune enhetsregistreringar

Gäller för:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows 8.1
  • Windows 10
  • Windows 11

Du kan använda Intune tillsammans med Microsoft Entra principer för villkorsstyrd åtkomst för att kräva multifaktorautentisering (MFA) under enhetsregistreringen. Om du behöver MFA måste anställda och studenter som vill registrera enheter först autentisera med en andra enhet och två former av autentiseringsuppgifter. MFA kräver att de autentiserar med två eller flera av dessa verifieringsmetoder:

  • Något de vet, till exempel ett lösenord eller EN PIN-kod.
  • Något de har som inte kan dupliceras, till exempel en betrodd enhet eller telefon.
  • Något de är, till exempel ett fingeravtryck.

Förhandskrav

Om du vill implementera den här principen måste du tilldela Microsoft Entra ID P1 eller senare till användare.

Konfigurera Intune för att kräva multifaktorautentisering vid enhetsregistrering

Slutför de här stegen för att aktivera multifaktorautentisering under Microsoft Intune registrering.

Viktigt

Konfigurera inte enhetsbaserade åtkomstregler för Microsoft Intune registrering.

  1. Logga in på Microsoft Intune administrationscenter.

  2. Gå till Enheter>Villkorlig åtkomst. Det här området är detsamma som området villkorsstyrd åtkomst som är tillgängligt i Microsoft Entra administrationscenter. Mer information om tillgängliga inställningar finns i Skapa en princip för villkorsstyrd åtkomst.

  3. Välj Skapa ny princip.

  4. Ge principen ett namn.

  5. Välj kategorin Användare .

    1. Under fliken Inkludera väljer du Välj användare eller grupper.
    2. Ytterligare alternativ visas. Välj Användare och grupper. En lista över användare och grupper öppnas.
    3. Lägg till de användare eller grupper som du tilldelar principen till och välj sedan Välj.
    4. Om du vill undanta användare eller grupper från principen väljer du fliken Exkludera och lägger till de användare eller grupper som du gjorde i föregående steg.
  6. Välj nästa kategori, Målresurser.

    1. Välj fliken Inkludera .
    2. Välj Välj appar>Välj.
    3. Välj Microsoft Intune Registrering>Välj för att lägga till appen. Använd sökfältet i appväljaren för att hitta appen.

    För apple-automatiska enhetsregistreringar med installationsassistenten med modern autentisering har du två alternativ att välja mellan. I följande tabell beskrivs skillnaden mellan alternativet Microsoft Intune och alternativet Microsoft Intune registrering.

    Molnapp MFA-promptplats Anteckningar om automatisk enhetsregistrering
    Microsoft Intune Inställningsassistent
    Företagsportal app
    Med det här alternativet krävs MFA under registreringen och varje gång användaren loggar in på Företagsportal app eller webbplats. MFA-prompterna visas på inloggningssidan för Företagsportal.
    Microsoft Intune registrering Inställningsassistent Med det här alternativet krävs MFA under enhetsregistreringen och visas som en engångsfråga för MFA på Företagsportal inloggningssida.

    Obs!

    Molnappen Microsoft Intune registrering skapas inte automatiskt för nya klienter. Om du vill lägga till appen för nya klienter måste en Microsoft Entra-administratör skapa ett objekt för tjänstens huvudnamn, med app-ID d4ebce55-015a-49b5-a083-c84d1797ae8c, i PowerShell eller Microsoft Graph.

  7. Välj kategorin Bevilja .

    1. Välj Kräv multifaktorautentisering och Kräv att enheten är markerad som kompatibel.
    2. Under För flera kontroller väljer du Kräv alla valda kontroller.
    3. Välj Välj.
  8. Välj kategorin Session .

    1. Välj Inloggningsfrekvens och välj Varje gång.
    2. Välj Välj.
  9. För Aktivera princip väljer du .

  10. Välj Skapa för att spara och skapa principen.

När du har tillämpat och distribuerat den här principen visas en engångsfråga om MFA när de registrerar sin enhet.

Obs!

En andra enhet eller ett tillfälligt åtkomstkort krävs för att slutföra MFA-utmaningen för dessa typer av företagsägda enheter:

  • Fullständigt hanterade Android Enterprise-enheter
  • Företagsägda Android Enterprise-enheter med en arbetsprofil
  • iOS/iPadOS-enheter som registrerats via Apples automatiska enhetsregistrering
  • macOS-enheter som registrerats via Apples automatiska enhetsregistrering

Den andra enheten krävs eftersom den primära enheten inte kan ta emot samtal eller sms under etableringsprocessen.