Exiger l’authentification multifacteur pour l’inscription d’appareils dans Intune

Pour vous aider à sécuriser vos ressources d’entreprise, Intune peut utiliser des stratégies d’accès conditionnel Azure Active Directory (AD) afin de demander une authentification multifacteur (MFA) pour l’inscription d’appareils.

Elle nécessite au moins deux des méthodes de vérification suivantes :

  • Quelque chose que vous connaissez (généralement un mot de passe ou code PIN).
  • Quelque chose que vous possédez (un appareil de confiance qu’il est difficile de dupliquer, comme un téléphone).
  • Quelque chose qui vous représente (biométrie, comme une empreinte digitale).

L’authentification MFA est prise en charge pour les appareils iOS/iPadOS, macOS, Android et Windows 8.1 (et versions ultérieures).

Quand l’authentification MFA est activée, les utilisateurs finaux ont besoin d’un deuxième appareil et doivent fournir deux formes d’informations d’identification pour inscrire un appareil.

Configurer Intune pour exiger une authentification multifacteur lors de l’inscription des appareils

Pour exiger l’authentification multifacteur à l’inscription d’un appareil, procédez comme suit :

Important

Vous devez avoir un abonnement Azure Active Directory Premium P1 ou supérieur affecté à vos utilisateurs pour implémenter cette stratégie.

Important

Ne configurez pas les règles d’accès basées sur les appareils pour l’inscription à Microsoft Intune.

  1. Connectez-vous au Centre d’administration Microsoft Endpoint Manager, choisissez Appareils > Accès conditionnel. Le nœud d’accès conditionnel accessible à partir d’Intune est le même nœud que celui accessible à partir d’Azure AD.

  2. Choisissez Nouvelle stratégie.

  3. Dans Nouvelle stratégie, tapez un nom descriptif pour la stratégie.

  4. Dans la section Affectations, choisissez Utilisateurs et groupes.

  5. Dans Utilisateurs et groupes, choisissez Sélectionner les utilisateurs ou les groupes et cochez Utilisateurs et groupes. Sélectionnez ensuite les utilisateurs et/ou les groupes auxquels attribuer cette stratégie, puis choisissez Terminé.

  6. Dans la section Affectations, choisissez Applications cloud.

  7. Sous l’onglet Inclure des Applications cloud, choisissez Sélectionner les applications, puis Sélectionner > Inscription à Microsoft Intune, puis choisissez OK. En choisissant l’inscription Microsoft Intune, l’authentification multifacteur avec l’accès conditionnel est appliquée uniquement à l’inscription de l’appareil (invite d’authentification multifacteur à usage unique).

    Pour l’inscription automatisée des appareils effectuée à l’aide de l’Assistant Configuration avec authentification moderne, deux options sont proposées :

    Application cloud Emplacement de l’invite MFA Remarques sur l’inscription automatisée des appareils
    Microsoft Intune Assistant Configuration,
    Application Portail d’entreprise
    Avec cette option, l’authentification MFA est nécessaire lors de l’inscription et pour chaque connexion à l’application ou au site Web Portail d’entreprise. L’authentification MFA par accès conditionnel n’est appliquée qu’à la connexion du Portail d’entreprise sur l’appareil.
    L’inscription à Microsoft Intune Assistant Configuration Avec cette option, l’authentification MFA n’est appliquée qu’à l’inscription de l’appareil (invite MFA ponctuelle). L’authentification MFA par accès conditionnel n’est appliquée qu’à la connexion du Portail d’entreprise sur l’appareil.
  8. Choisissez OK.

  9. Dans la section Affectations, pour Conditions, vous n’avez pas besoin de configurer de paramètres pour MFA.

  10. Dans la section Contrôles d’accès, choisissez Accorder.

  11. Dans Accorder, choisissez Accorder l’accès, puis sélectionnez Exiger l’authentification multifacteur. Ne sélectionnez pas Exiger que l’appareil soit marqué comme conforme, car la conformité d’un appareil ne peut pas être évaluée tant qu’il n’est pas inscrit. Ensuite, choisissez Sélectionner.

  12. Dans Nouvelle stratégie, choisissez Activer la stratégie > Activée, puis choisissez Créer.

Notes

Un deuxième appareil est nécessaire pour mener à bien le test MFA pour des appareils d’entreprise tels que les suivants :

  • Android Entreprise – Complètement managé.
  • Android Enterprise – Profil professionnel appartenant à l’entreprise.
  • iOS/iPadOS – Inscription automatique des appareils.
  • macOS – Inscription automatisée des appareils.

Un deuxième périphérique est nécessaire, car l’appareil principal ne peut pas recevoir d’appels ni de SMS pendant le provisionnement.

Prochaines étapes

Quand les utilisateurs finaux inscrivent leur appareil, ils doivent maintenant s’authentifier avec une deuxième forme d’identification, comme un code PIN, un téléphone ou des données biométriques.