共用方式為

需要 Intune 裝置註冊的多重要素驗證

您可以將 Intune 與Microsoft Entra條件式存取原則搭配使用,以在裝置註冊期間要求多重要素驗證 (MFA) 。 如果您需要 MFA,想要註冊裝置的員工和學生必須先使用第二部裝置和兩種形式的認證進行驗證。 MFA 要求他們使用下列兩種或多種驗證方法進行驗證:

  • 他們知道的東西,例如密碼或 PIN。
  • 他們擁有的無法複製的東西,例如受信任的設備或手機。
  • 它們是某種東西,例如指紋。

如果裝置不符合規範,系統會提示裝置使用者在註冊 Microsoft Intune 之前讓裝置符合規範。

需求

多重要素驗證適用於下列平台:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows

重要事項

2025 年 10 月 14 日,Windows 10 終止支援,不會收到品質和功能更新。 Windows 10 是 Intune 中允許的版本。 執行此版本的裝置仍然可以在 Intune 中註冊並使用符合資格的功能,但無法保證功能,而且可能會有所不同。

若要實作此原則,您必須將 Microsoft Entra ID P1 或更新版本指派給使用者。

將 Intune 設定為在裝置註冊時需要多重要素驗證

請完成這些步驟,以在 Microsoft Intune 註冊期間啟用多重要素驗證。

重要事項

請勿設定 Microsoft Intune 註冊的 裝置型存取規則

  1. 登入 Microsoft Intune 系統管理中心

  2. 前往 裝置

  3. 展開 [管理裝置],然後選取 [條件式存取]。 此條件式存取區域與 Microsoft Entra 系統管理中心中可用的條件式存取區域相同。 如需可用設定的詳細資訊,請參閱 建置條件式存取原則

  4. 選擇 Create new policy (建立新政策)。

  5. 為您的政策命名。

  6. 選取 使用者 類別。

    1. [包含 ] 索引標籤下,選擇 [選取使用者或群組]。
    2. 其他選項隨即出現。 選取 使用者及群組。 使用者和群組清單隨即開啟。
    3. 瀏覽並選取您要包含在原則中的 Microsoft Entra 使用者或群組。 然後選擇 [選取]
    4. 若要從原則中排除使用者或群組,請選取 [ 排除 ] 索引標籤,然後像上一個步驟一樣新增這些使用者或群組。

  7. 選取下一個類別, 目標資源。 在此步驟中,您可以選取原則套用的資源。 在此情況下,我們希望原則套用至使用者或群組嘗試存取 Microsoft Intune 註冊應用程式的事件。

    1. 在 [ 選取此原則適用的內容] 底下,選擇 [資源] (先前稱為雲端應用程式)
    2. 選取 包含 索引標籤。
    3. 選擇 [選取資源]。 其他選項隨即出現。
    4. [選取] 下,選擇 [無]。 開啟的資源清單。
    5. 搜尋 Microsoft Intune 註冊。 然後選擇 選取 以新增應用程式。

    對於使用「設定輔助程式」和現代驗證的 Apple 自動裝置註冊,你有兩個選項可供選擇。 下表說明 Microsoft Intune 選項與 Microsoft Intune 註冊 選項之間的差異。

    雲端應用程式 MFA 提示位置 自動化裝置註冊備註
    Microsoft Intune 設定助理、
    公司入口網站應用程式    		 使用此選項時,在註冊期間以及每次使用者登入公司入口網站應用程式或網站時都需要 MFA。 MFA 提示會出現在公司入口網站登入頁面上。
    Microsoft Intune 註冊 設定助理 使用此選項時,裝置註冊期間需要 MFA,並在公司入口網站登入頁面上顯示為一次性 MFA 提示。

    注意事項

    Microsoft Intune 註冊雲端應用程式不會自動為新租用戶建立。 若要新增租用戶的應用程式,Microsoft Entra 系統管理員必須在 PowerShell 或 Microsoft Graph 中建立應用程式識別碼為 d4ebce55-015a-49b5-a083-c84d1797ae8c 的服務主體物件。

  8. 選取 [ 授與 ] 類別。 在此步驟中,您會授與或封鎖 Microsoft Intune 註冊應用程式的存取權。

    1. 選擇 Grant access (授與存取權)。
    2. 選取 [需要多重要素驗證]。
    3. 選取 [要求裝置標示為符合規範]。
    4. [針對多個控制項] 底下,選取 [需要所有選取的控制項]。
    5. 選擇 Select (選取)。

  9. 選取 工作階段 類別。 在此步驟中,您可以使用會話控制項,在 Microsoft Intune 註冊應用程式內啟用有限的體驗。

    1. 選取 [登入頻率]。 其他選項隨即出現。
    2. 選擇 每次
    3. 選擇 Select (選取)。

  10. 針對 [啟用原則],選取 [ 開啟]。

  11. 選取 [ 建立 ] 以儲存並建立您的原則。

套用並部署此原則之後,註冊其裝置的裝置使用者會看到一次性 MFA 提示。

注意事項

需要第二台裝置或臨時存取通行證,才能完成這些型別公司擁有裝置的 MFA 挑戰:

  • Android Enterprise 完全受控裝置
  • 具有工作配置檔的 Android Enterprise 公司擁有的裝置
  • 透過 Apple 自動化裝置註冊註冊的 iOS/iPadOS 裝置
  • 透過 Apple 自動裝置註冊註冊的 macOS 裝置

需要第二個裝置,因為主要裝置無法在佈建程式期間接收通話或簡訊。

  • Last updated on