Uwierzytelnianie wieloskładnikowe na potrzeby rejestracji urządzeń w usłudze IntuneMulti-factor authentication for Intune device enrollments

Dotyczy: usługa Intune w portalu klasycznymApplies to: Intune in the classic portal
Szukasz dokumentacji dotyczącej usługi Intune w witrynie Azure Portal?Looking for documentation about Intune in the Azure portal? Przejdź tutaj.Go here.

Usługę Intune można zintegrować z usługą uwierzytelniania wieloskładnikowego (MFA) przy użyciu usługi Azure AD pod kątem rejestracji urządzeń, aby zabezpieczyć zasoby firmowe.Intune integrates Azure AD multi-factor authentication (MFA) for device enrollment to help you secure your corporate resources.

Uwierzytelnianie wieloskładnikowe wymaga co najmniej dwóch poniższych metod weryfikacji:MFA works by requiring any two or more of the following verification methods:

  • Coś, co wiesz (zwykle hasło lub numer PIN).Something you know (typically a password or PIN).
  • Coś, co masz (zaufane urządzenie, którego nie można łatwo zduplikować, takie jak telefon).Something you have (a trusted device that is not easily duplicated, like a phone).
  • Coś, co Ciebie cechuje (biometria).Something you are (biometrics).

Uwierzytelnianie wieloskładnikowe jest obsługiwane w systemach iOS, Android, Windows 8.1 i nowszych, jak również na urządzeniach z systemem Windows Phone 8.1 lub nowszym.MFA is supported for iOS, Android, Windows 8.1 or later, or Windows Phone 8.1 or later devices.

Uwaga

W starszych wersjach programu Configuration Manager (wcześniejszych niż 1610) w konsoli administracyjnej programu Configuration Manager nadal widoczne jest ustawienie uwierzytelniania wieloskładnikowego.In older versions of Configuration Manager (earlier than release 1610), you will still see the MFA setting in the Configuration Manager admin console. Nie należy próbować skonfigurować uwierzytelniania wieloskładnikowego w konsoli administracyjnej programu Configuration Manager, ponieważ nie będzie ono działać.Do not attempt to configure MFA in the Configuration Manager admin console, as it will not work. Należy skonfigurować uwierzytelnianie wieloskładnikowe zgodnie z opisem zawartym w tym temacie.Configure MFA as described in this topic.

Konfigurowanie usługi Intune pod kątem wymogu uwierzytelniania wieloskładnikowego na etapie rejestracji urządzeńConfigure Intune to require multi-factor authentication at device enrollment

Aby ustawić wymóg uwierzytelniania wieloskładnikowego na etapie rejestracji urządzenia, wykonaj następujące kroki:To require MFA when a device is enrolled, follow these steps:

  1. Zaloguj się do portalu usługi Microsoft Azure przy użyciu poświadczeń administratora.Sign in to your Microsoft Azure portal with your admin credentials.
  2. Wybierz dzierżawcę.Choose your tenant.
  3. Wybierz kartę Aplikacje. Zostanie wyświetlona lista usług, dla których można skonfigurować funkcje zabezpieczeń usługi Azure AD.Choose the applications tab. You will see a list of services for which you can configure Azure AD security features.
  4. Wybierz opcję Rejestracja w usłudze Microsoft Intune.Choose Microsoft Intune enrollment.
  5. Wybierz pozycję Konfiguruj.Choose Configure.
  6. W obszarze Uwierzytelnianie wieloskładnikowe i reguły dostępu na podstawie lokalizacji można wykonywać następujące czynności:Under multi-factor authentication and location-based access rules you can:

    • Włączyć reguły dostępuEnable the access rules
    • Określić, czy chcesz, aby reguły miały zastosowanie do wszystkich użytkowników, czy też do określonych grup zabezpieczeń w usłudze Azure AD.Choose whether to apply the rules to all users or to specific Azure AD security groups.
    • Wymagać uwierzytelniania wieloskładnikowego w celu przeprowadzenia rejestracji wszystkich urządzeń.Require multi-factor authentication for enrollment of all devices.
    • Wymagać uwierzytelniania wieloskładnikowego w celu przeprowadzenia rejestracji w przypadku, gdy urządzenie nie znajduje się w miejscu pracy.Require multi-factor authentication for enrollment when the device is not at work.
    • Wybierz opcję Zablokuj dostęp do zasobów firmowych, aby zapobiec rejestracji urządzeń, które nie są podłączone do sieci firmowej.Choose Block access to corporate resources to prevent enrollment of a device when it is not connected to the corporate network.
  7. Możesz również kliknąć odpowiedni link, aby zdefiniować/zmodyfikować firmową lokalizację sieciową w celu skonfigurowania wymagań dotyczących łączności sieciowej pod kątem rejestracji urządzeń.You can also click the link to define/edit your work network location, to configure network connectivity requirements for device enrollment.

Ważne

Nie należy konfigurować opcji Reguły dostępu na podstawie urządzeń pod kątem rejestracji w usłudze Microsoft Intune.Do not configure Device based access rules for Microsoft Intune Enrollment.