Erfordert mehrstufige Authentifizierung für Intune-Geräteregistrierungen

Intune kann Richtlinien für bedingten Zugriff von Azure Active Directory verwenden, um die mehrstufige Authentifizierung (MFA) bei der Geräteregistrierung zu erfordern und Sie somit beim Schutz Ihrer Unternehmensressourcen zu unterstützen.

MFA funktioniert, da zwei oder mehr der folgenden Überprüfungsmethoden erforderlich sind:

  • Etwas, das Sie kennen (normalerweise ein Kennwort oder eine PIN)
  • Etwas, das Sie besitzen (ein vertrauenswürdiges Gerät, das nicht auf einfache Weise dupliziert werden kann, z. B. ein Telefon)
  • Etwas Biometrisches (z.B. ein Fingerabdruck)

MFA wird für Geräte mit iOS/iPadOS, macOS, Android und Windows 8.1 oder höher unterstützt.

Wenn Sie MFA aktivieren, benötigen Benutzer ein zweites Gerät und müssen zwei Formen von Anmeldeinformationen angeben, um ein Gerät zu registrieren.

Konfigurieren von Intune für das Anfordern der mehrstufigen Authentifizierung bei der Geräteregistrierung

Befolgen Sie die folgenden Schritte, um MFA anzufordern, wenn ein Gerät registriert wird:

Wichtig

Ihren Benutzern muss ein Azure Active Directory Premium P1-Abonnement oder höher zugewiesen sein, damit Sie diese Richtlinie implementieren können.

Wichtig

Konfigurieren Sie keine gerätebasierten Zugriffsregeln für die Microsoft Intune-Registrierung.

  1. Melden Sie sich beim Microsoft Endpoint Manager Admin Center an, und navigieren Sie zu Geräte > Bedingter Zugriff. Bei dem Knoten für bedingten Zugriff, auf den aus Intune zugegriffen wird, handelt es sich um denselben Knoten, auf den aus Azure AD zugegriffen wird.

  2. Wählen Sie Neue Richtlinie aus.

  3. Geben Sie unter Neue Richtlinie einen beschreibenden Namen für die Richtlinie ein.

  4. Wählen Sie im Abschnitt Zuweisungen die Option Benutzer und Gruppen aus.

  5. Klicken Sie unter Benutzer und Gruppen auf Select users or groups (Benutzer oder Gruppen auswählen), und aktivieren Sie das Kontrollkästchen für Benutzer und Gruppen. Wählen Sie dann die Benutzer und/oder Gruppen aus, für die diese Richtlinie gelten soll, und klicken Sie anschließend auf Fertig.

  6. Wählen Sie im Abschnitt Zuweisungen die Option Cloud-Apps aus.

  7. Wählen Sie auf der Registerkarte Einbeziehen von Cloud-Apps die Option Apps auswählen aus, klicken Sie dann auf Auswählen > Microsoft Intune-Registrierung, und klicken Sie dann auf Fertig. Wenn Sie Microsoft Intune-Registrierung auswählen, wird die MFA für bedingten Zugriff nur auf die Registrierung des Geräts angewendet (einmalige MFA-Eingabeaufforderung).

    Bei automatisierten Apple-Geräteregistrierungen mithilfe des Setup-Assistenten mit moderner Authentifizierung haben Sie zwei Möglichkeiten:

    Cloud-App Ort der MFA-Eingabeaufforderung Hinweise zur automatischen Geräteregistrierung
    Microsoft Intune Setup-Assistent,
    Unternehmensportal-App
    Bei dieser Option ist MFA während der Registrierung und für jede Anmeldung bei der Unternehmensportal-App/Unternehmensportal-Website erforderlich. MFA für bedingten Zugriff wird nur auf die Anmeldung beim Unternehmensportal auf dem Gerät angewendet.
    Microsoft Intune-Registrierung Setup-Assistent Bei dieser Option wird die MFA nur auf die Registrierung des Geräts angewendet (einmalige MFA-Eingabeaufforderung). MFA für bedingten Zugriff wird nur auf die Anmeldung beim Unternehmensportal auf dem Gerät angewendet.
  8. Klicken Sie auf Fertig.

  9. Sie müssen im Abschnitt Zuweisungen unter Bedingungen keine Einstellungen für die mehrstufige Authentifizierung konfigurieren.

  10. Wählen Sie im Abschnitt Zugriffssteuerung die Option Erteilen aus.

  11. Wählen Sie unter Erteilen die Option Zugriff gewähren aus, und wählen Sie dann Mehrstufige Authentifizierung anfordern aus. Wählen Sie nicht Markieren des Geräts als kompatibel erforderlich aus, da ein Gerät vor der Registrierung nicht auf Kompatibilität geprüft werden kann. Klicken Sie anschließend auf Auswählen.

  12. Wählen Sie unter Neue Richtlinie die Optionen Richtlinie aktivieren > An aus, und klicken Sie dann auf Erstellen.

Hinweis

Ein zweites Gerät ist erforderlich, um die MFA-Abfrage für Unternehmensgeräte wie folgt abzuschließen:

  • Android Enterprise: vollständig verwaltet
  • Android Enterprise: Unternehmenseigenes Arbeitsprofil
  • Automatisierte Geräteregistrierung für iOS/macOS
  • Automatische Geräteregistrierung von Apple für macOS.

Das zweite Gerät ist erforderlich, da das primäre Gerät während des Bereitstellungsvorgangs keine Anrufe oder Textnachrichten empfangen kann.

Nächste Schritte

Wenn Benutzer ihre Geräte registrieren, müssen Sie sich jetzt mit einer zweiten Identifikationsart, z.B. mit einer PIN, einer Telefonnummer oder mit biometrischen Daten authentifizieren.