Wymaganie uwierzytelniania wieloskładnikowego na potrzeby rejestracji urządzeń w usłudze Intune

Usługi Intune można używać razem z zasadami dostępu warunkowego Microsoft Entra, aby wymagać uwierzytelniania wieloskładnikowego (MFA) podczas rejestracji urządzeń. Jeśli potrzebujesz uwierzytelniania wieloskładnikowego, pracownicy i studenci, którzy chcą zarejestrować urządzenia, muszą najpierw uwierzytelnić się przy użyciu drugiego urządzenia i dwóch form poświadczeń. Uwierzytelnianie wieloskładnikowe wymaga uwierzytelnienia przy użyciu co najmniej dwóch z tych metod weryfikacji:

• Coś, co wiedzą, takie jak hasło lub numer PIN.
• Coś, czego nie można zduplikować, na przykład zaufane urządzenie lub telefon.
• Coś, czym są, takie jak odcisk palca.

Jeśli urządzenie nie jest zgodne, przed zarejestrowaniem w usłudze Microsoft Intune użytkownik urządzenia zostanie wyświetlony monit o jego zgodność.

Wymagania

Uwierzytelnianie wieloskładnikowe jest dostępne dla następujących platform:

• Android
• iOS/iPadOS
• macOS
• System Windows

Aby zaimplementować te zasady, należy przypisać użytkownikom identyfikator Microsoft Entra P1 lub nowszy.

Konfigurowanie usługi Intune w celu wymagania uwierzytelniania wieloskładnikowego podczas rejestracji urządzeń

Wykonaj te kroki, aby włączyć uwierzytelnianie wieloskładnikowe podczas rejestracji w usłudze Microsoft Intune.

1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

2. Przejdź do pozycji Urządzenia.

3. Rozwiń węzeł Zarządzanie urządzeniami, a następnie wybierz pozycję Dostęp warunkowy. Ten obszar dostępu warunkowego jest taki sam jak obszar dostępu warunkowego dostępny w centrum administracyjnym Microsoft Entra. Aby uzyskać więcej informacji na temat dostępnych ustawień, zobacz Tworzenie zasad dostępu warunkowego.

4. Wybierz pozycję Utwórz nowe zasady.

5. Nazwij zasady.

6. Wybierz kategorię Użytkownicy .

   1. Na karcie Dołącz wybierz pozycję Wybierz użytkowników lub grupy.
   2. Zostaną wyświetlone dodatkowe opcje. Wybierz pozycję Użytkownicy i grupy. Zostanie otwarta lista użytkowników i grup.
   3. Przeglądaj i wybierz Microsoft Entra użytkowników lub grupy, które chcesz uwzględnić w zasadach. Następnie wybierz pozycję Wybierz.
   4. Aby wykluczyć użytkowników lub grupy z zasad, wybierz kartę Wyklucz i dodaj tych użytkowników lub grupy, tak jak w poprzednim kroku.

7. Wybierz następną kategorię Zasoby docelowe. W tym kroku wybierzesz zasoby, do których mają zastosowanie zasady. W takim przypadku chcemy, aby zasady miały zastosowanie do zdarzeń, w których użytkownicy lub grupy próbują uzyskać dostęp do aplikacji Rejestracji usługi Microsoft Intune.

   1. W obszarze Wybierz, do czego mają zastosowanie te zasady, wybierz pozycję Zasoby (dawniej aplikacje w chmurze)..
   2. Wybierz kartę Dołącz .
   3. Wybierz pozycję Wybierz zasoby. Zostaną wyświetlone dodatkowe opcje.
   4. W obszarze Wybierz wybierz pozycję Brak. Zostanie otwarta lista zasobów.
   5. Wyszukaj pozycję Rejestracja w usłudze Microsoft Intune. Następnie wybierz pozycję Wybierz , aby dodać aplikację.

   W przypadku zautomatyzowanych rejestracji urządzeń firmy Apple przy użyciu Asystenta ustawień z nowoczesnym uwierzytelnianiem masz do wyboru dwie opcje. W poniższej tabeli opisano różnicę między opcją usługi Microsoft Intune a opcją Rejestracja w usłudze Microsoft Intune .

   Aplikacja w chmurze	Lokalizacja wiersza polecenia uwierzytelniania wieloskładnikowego	Uwagi dotyczące automatycznej rejestracji urządzeń
   Microsoft Intune	Asystent ustawień, aplikacja Portal firmy	Dzięki tej opcji uwierzytelnianie wieloskładnikowe jest wymagane podczas rejestracji i za każdym razem, gdy użytkownik loguje się do aplikacji lub witryny internetowej Portal firmy. Monity uwierzytelniania wieloskładnikowego są wyświetlane na stronie logowania Portal firmy.
   Rejestracja w usłudze Microsoft Intune	Asystent ustawień	Dzięki tej opcji uwierzytelnianie wieloskładnikowe jest wymagane podczas rejestracji urządzenia i jest wyświetlane jako jednorazowy monit uwierzytelniania wieloskładnikowego na stronie logowania Portal firmy.

   Uwaga

   Aplikacja w chmurze rejestracji w usłudze Microsoft Intune nie jest tworzona automatycznie dla nowych dzierżaw. Aby dodać aplikację dla nowych dzierżaw, administrator Microsoft Entra musi utworzyć obiekt jednostki usługi o identyfikatorze aplikacji d4ebce55-015a-49b5-a083-c84d1797ae8c w programie PowerShell lub programie Microsoft Graph.

8. Wybierz kategorię Udziel . W tym kroku udzielisz lub zablokujesz dostęp do aplikacji Rejestracji usługi Microsoft Intune.

   1. Wybierz pozycję Udziel dostępu.
   2. Wybierz pozycję Wymagaj uwierzytelniania wieloskładnikowego.
   3. Wybierz pozycję Wymagaj, aby urządzenie było oznaczone jako zgodne.
   4. W obszarze W przypadku wielu kontrolek wybierz pozycję Wymagaj wszystkich wybranych kontrolek.
   5. Zaznacz pozycję Wybierz.

9. Wybierz kategorię Sesja . W tym kroku możesz użyć kontrolek sesji, aby włączyć ograniczone środowiska w aplikacji Rejestracja w usłudze Microsoft Intune.

   1. Wybierz pozycję Częstotliwość logowania. Zostaną wyświetlone dodatkowe opcje.
   2. Wybierz pozycję Za każdym razem.
   3. Zaznacz pozycję Wybierz.

10. W obszarze Włącz zasady wybierz pozycję Włączone.

11. Wybierz pozycję Utwórz , aby zapisać i utworzyć zasady.

Po zastosowaniu i wdrożeniu tych zasad użytkownicy urządzeń rejestrujący swoje urządzenia zobaczą jednorazowy monit uwierzytelniania wieloskładnikowego.