Vyžadování vícefaktorového ověřování pro registraci zařízení v Intune

intune může používat zásady podmíněného přístupu Azure Active Directory (AD) k vyžádání služby multi-factor authentication (MFA) pro zápis zařízení, které vám pomůžou zabezpečit firemní prostředky.

Vícefaktorové ověřování funguje tak, že vyžaduje jakékoliv dvě nebo více z následujících metod ověřování:

  • Něco, co víte (obvykle heslo nebo PIN).
  • Něco, co máte (důvěryhodné zařízení, které není jednoduše duplikováno, jako je telefon).
  • Něco, co je vaše (biometrika, třeba otisk prstu)

pro zařízení s iOS/iPadOS, macOS, androidem a Windows 8.1 nebo novějším se podporuje MFA.

Pokud povolíte MFA, koncoví uživatelé potřebují druhé zařízení a musí zadat dvě formy přihlašovacích údajů k registraci zařízení.

Konfigurace služby Intune tak, aby při registraci zařízení vyžadovala vícefaktorové ověřování

K vynucení vícefaktorového ověřování při registraci zařízení slouží tento postup:

Důležité

Abyste mohli implementovat tyto zásady, musí mít vaši uživatelé přiřazený plán Azure Active Directory Premium P1 nebo vyšší.

Důležité

nekonfigurujte pravidla přístupu na základě zařízení pro registraci Microsoft Intune.

  1. přihlaste se do centra pro správu Microsoft Endpoint Managera vyberte zařízení > podmíněný přístup. Uzel podmíněného přístupu, ke kterému se přistupuje z Intune, je stejný uzel, ke kterému se přistupuje z Azure AD.

  2. Zvolte Nové zásady.

  3. V nové zásadě zadejte popisný název této zásady.

  4. V části Přiřazení zvolte Uživatelé a skupiny.

  5. V oblasti Uživatelé a skupiny zvolte Vybrat uživatele nebo skupiny a zaškrtněte políčko Uživatelé a skupiny. Pak vyberte uživatele a/nebo skupiny, které obdrží tyto zásady, a zvolte Hotovo.

  6. V části Přiřazení zvolte Cloudové aplikace.

  7. Na kartě Zahrnout okna Cloudové aplikace zvolte Vybrat aplikace, pak zvolte Vybrat > Registrace v Microsoft Intune a nakonec zvolte Hotovo. když zvolíte Microsoft Intune registrace, použije se vícefaktorové přístup MFA jenom na registraci zařízení (jednorázová výzva MFA).

    Pro automatické registrace zařízení Apple pomocí Pomocníka s nastavením moderního ověřování máte dvě možnosti:

    Cloudová aplikace Umístění výzvy pro MFA Automatické poznámky k registraci zařízení
    Microsoft Intune Pomocník s nastavením,
    Aplikace Portál společnosti
    tato možnost vyžaduje MFA během registrace a pro každé přihlášení k webu Portál společnosti app/Portál společnosti. vícefaktorové ověřování s přístupem k podmíněnému přístupu se použije jenom pro přihlášení Portál společnosti na zařízení.
    Microsoft Intune Registraci Pomocník s nastavením Při použití této možnosti se MFA aplikuje jenom na registraci zařízení (jednorázová výzva MFA). vícefaktorové ověřování s přístupem k podmíněnému přístupu se použije jenom pro přihlášení Portál společnosti na zařízení.
  8. Vyberte Hotovo.

  9. V části přiřazení pro podmínky nemusíte konfigurovat žádné nastavení pro vícefaktorové ověřování.

  10. V části Ovládací prvky přístupu zvolte Udělení.

  11. V okně Udělení zvolte Udělit přístup a pak vyberte Vyžadovat vícefaktorové ověřování. Nevybírejte vyžadovat, aby zařízení bylo označené jako vyhovující, protože zařízení se nedá vyhodnotit pro dodržování předpisů, dokud není zaregistrované. Pak zvolte Vybrat.

  12. V nové zásadě zvolte Povolit zásadu > Zapnuto a pak zvolte Vytvořit.

Poznámka

K dokončení ověřování MFA pro podniková zařízení, jako jsou třeba následující, se vyžaduje druhé zařízení:

  • Android Enterprise plně spravovaný.
  • Android Enterprise pracovní profil vlastněný podnikem.
  • iOS/iPadOS automatizované registrace zařízení.
  • macOS automatizované registrace zařízení.

Druhé zařízení je vyžadováno, protože primární zařízení nemůže přijímat volání nebo textové zprávy během procesu zřizování.

Další kroky

Když koncoví uživatelé registrují svá zařízení, musí se teď ověřit druhou formou identifikace, jako je PIN kód, telefon nebo biometrika.