Exiger l’authentification multifacteur pour les inscriptions d’appareils Intune

S’applique à :

  • Android
  • iOS/iPadOS
  • macOS
  • Windows 8.1
  • Windows 10
  • Windows 11

Vous pouvez utiliser Intune avec Microsoft Entra stratégies d’accès conditionnel pour exiger l’authentification multifacteur (MFA) lors de l’inscription de l’appareil. Si vous avez besoin de l’authentification multifacteur, les employés et les étudiants qui souhaitent inscrire des appareils doivent d’abord s’authentifier avec un deuxième appareil et deux formes d’informations d’identification. L’authentification multifacteur exige qu’ils s’authentifient à l’aide de deux ou plusieurs des méthodes de vérification suivantes :

  • Quelque chose qu’ils connaissent, comme un mot de passe ou un code confidentiel.
  • Quelque chose qu’ils ont qui ne peut pas être dupliqué, tel qu’un appareil ou un téléphone approuvé.
  • Quelque chose qu’ils sont, comme une empreinte digitale.

Configuration requise

Pour implémenter cette stratégie, vous devez attribuer Microsoft Entra ID P1 ou version ultérieure aux utilisateurs.

Configurer Intune pour exiger l’authentification multifacteur lors de l’inscription de l’appareil

Effectuez ces étapes pour activer l’authentification multifacteur lors de l’inscription Microsoft Intune.

Importante

Ne configurez pas les règles d’accès basées sur les appareils pour l’inscription à Microsoft Intune.

  1. Connectez-vous au Centre d’administration Microsoft Intune.

  2. Accédez à Appareils>Accès conditionnel. Cette zone est identique à la zone d’accès conditionnel disponible dans Microsoft Entra ID. Pour plus d’informations sur les paramètres disponibles, consultez Applications ou actions cloud.

  3. Choisissez Créer une stratégie.

  4. Nommez votre stratégie.

  5. Sélectionnez la catégorie Utilisateurs .

    1. Sous l’onglet Inclure , choisissez Sélectionner des utilisateurs ou des groupes.
    2. Des options supplémentaires s’affichent. Sélectionnez Utilisateurs et groupes. Une liste d’utilisateurs et de groupes s’ouvre.
    3. Ajoutez les utilisateurs ou les groupes auxquels vous attribuez la stratégie, puis choisissez Sélectionner.
    4. Pour exclure des utilisateurs ou des groupes de la stratégie, sélectionnez l’onglet Exclure et ajoutez ces utilisateurs ou groupes comme vous l’avez fait à l’étape précédente.
  6. Sélectionnez la catégorie suivante, Ressources cibles.

    1. Sélectionnez l’onglet Inclure .
    2. Choisissez Sélectionner des applications>Sélectionner.
    3. Choisissez Microsoft Intune Inscription>Sélectionnez pour ajouter l’application. Utilisez la barre de recherche dans le sélecteur d’application pour rechercher l’application.

    Pour les inscriptions automatiques d’appareils Apple à l’aide de l’Assistant Configuration avec l’authentification moderne, vous avez le choix entre deux options. Le tableau suivant décrit la différence entre l’option Microsoft Intune et Microsoft Intune’option Inscription.

    Application cloud Emplacement de l’invite MFA Remarques sur l’inscription automatisée des appareils
    Microsoft Intune Assistant Configuration,
    Application Portail d’entreprise
    Avec cette option, l’authentification multifacteur est requise lors de l’inscription et chaque fois que l’utilisateur se connecte à l’application ou au site web Portail d'entreprise. Les invites MFA s’affichent sur la page de connexion Portail d'entreprise.
    L’inscription à Microsoft Intune Assistant Configuration Avec cette option, l’authentification multifacteur est requise lors de l’inscription de l’appareil et s’affiche sous la forme d’une invite MFA à usage unique sur la page de connexion Portail d'entreprise.
  7. Sélectionnez la catégorie Accorder .

    1. Sélectionnez Exiger l’authentification multifacteur et Exiger que l’appareil soit marqué comme conforme.
    2. Sous Pour plusieurs contrôles, sélectionnez Demander tous les contrôles sélectionnés.
    3. Choisir Sélectionner.
  8. Sélectionnez la catégorie Session .

    1. Sélectionnez Fréquence de connexion et choisissez À chaque fois.
    2. Choisir Sélectionner.
  9. Pour Activer la stratégie, sélectionnez Activé.

  10. Sélectionnez Créer pour enregistrer et créer votre stratégie.

Une fois que vous avez appliqué et déployé cette stratégie, les utilisateurs voient une invite MFA à usage unique lorsqu’ils inscrivent leur appareil.

Remarque

Un deuxième appareil est nécessaire pour effectuer le défi MFA pour ces types d’appareils appartenant à l’entreprise :

  • Appareils Android Entreprise complètement gérés
  • Appareils Android Entreprise appartenant à l’entreprise avec profil professionnel
  • Appareils iOS/iPadOS inscrits via l’inscription automatisée des appareils Apple
  • Appareils macOS inscrits via l’inscription automatique d’appareils Apple

Un deuxième périphérique est nécessaire, car l’appareil principal ne peut pas recevoir d’appels ni de SMS pendant le provisionnement.