Intune デバイス登録に多要素認証を要求する

  • [アーティクル]

適用対象:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows 8.1
  • Windows 10
  • Windows 11

Intune をMicrosoft Entra条件付きアクセス ポリシーと共に使用して、デバイス登録中に多要素認証 (MFA) を要求できます。 MFA が必要な場合、デバイスを登録する従業員と学生は、最初に 2 つ目のデバイスと 2 つの形式の資格情報で認証する必要があります。 MFA では、次の 2 つ以上の検証方法を使用して認証する必要があります。

  • パスワードや PIN など、ユーザーが知っているもの。
  • 信頼できるデバイスや電話など、重複できないもの。
  • 指紋など、彼らは何かです。

前提条件

このポリシーを実装するには、Microsoft Entra ID P1 以降をユーザーに割り当てる必要があります。

デバイス登録時に多要素認証を要求するように Intune を構成する

Microsoft Intune登録中に多要素認証を有効にするには、次の手順を実行します。

重要

Microsoft Intune 登録には、デバイス ベースのアクセス規則を構成しないでください。

  1. Microsoft Intune 管理センターにサインインします。

  2. [デバイスの条件付きアクセス] に移動します>。 この領域は、Microsoft Entra IDで使用できる条件付きアクセス領域と同じです。 使用可能な設定の詳細については、「 クラウド アプリまたはアクション」を参照してください。

  3. [ 新しいポリシーの作成] を選択します。

  4. ポリシーに名前を付けます。

  5. [ ユーザー ] カテゴリを選択します。

    1. [ 含める ] タブで、[ ユーザーまたはグループの選択] を選択します。
    2. その他のオプションが表示されます。 ユーザーおよびグループの選択 ユーザーとグループの一覧が開きます。
    3. ポリシーを割り当てるユーザーまたはグループを追加し、[ 選択] を選択します。
    4. ポリシーからユーザーまたはグループを除外するには、[ 除外 ] タブを選択し、前の手順で行ったようにそれらのユーザーまたはグループを追加します。

  6. 次のカテゴリ [ ターゲット リソース] を選択します

    1. [ 含める ] タブを選択します。
    2. [アプリの>選択][選択] を選択します
    3. [登録>の選択] Microsoft Intune選択して、アプリを追加します。 アプリ ピッカーの検索バーを使用して、アプリを見つけます。

    先進認証でセットアップ アシスタントを使用する Apple 自動デバイス登録の場合は、2 つのオプションから選択できます。 次の表では、Microsoft Intune オプションと Microsoft Intune登録オプションの違いについて説明します。

    クラウド アプリ MFA プロンプトの場所 デバイスの自動登録に関する注意事項
    Microsoft Intune 設定アシスタント、
    ポータル サイト アプリ    		 このオプションでは、登録中、およびユーザーがポータル サイトアプリまたは Web サイトにサインインするたびに MFA が必要になります。 ポータル サイト サインイン ページに MFA プロンプトが表示されます。
    [Microsoft Intune enrollment 設定アシスタント このオプションでは、デバイスの登録中に MFA が必要となり、ポータル サイトサインイン ページに 1 回限りの MFA プロンプトとして表示されます。

  7. [ 許可 ] カテゴリを選択します。

    1. [ 多要素認証を要求する ] と [デバイスを準拠としてマークする必要がある] を選択します
    2. [複数のコントロールの場合] で、[選択したコントロールすべてが必要] を選択します。
    3. [選択] を選択します。

  8. [セッション] カテゴリを選択します。

    1. [ サインイン頻度 ] を選択し、[ 毎回] を選択します。
    2. [選択] を選択します。

  9. [ ポリシーを有効にする]で、[オン] を選択します。

  10. [ 作成] を 選択して、ポリシーを保存して作成します。

このポリシーを適用して展開すると、ユーザーはデバイスを登録するときに 1 回限りの MFA プロンプトが表示されます。

注:

次の種類の企業所有デバイスの MFA チャレンジを完了するには、2 つ目のデバイスが必要です。

  • Android Enterprise のフル マネージド デバイス
  • 仕事用プロファイルを持つ Android Enterprise 企業所有のデバイス
  • Apple 自動デバイス登録を使用して登録された iOS/iPadOS デバイス
  • Apple 自動デバイス登録を介して登録された macOS デバイス

プライマリ デバイスにより、プロビジョニング処理中に呼び出しまたはテキスト メッセージを受信できないため、2 つ目のデバイスが必要です。