Exigir autenticação multifator para registros de dispositivos do Intune

  • Artigo

Aplica-se a:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows 8.1
  • Windows 10
  • Windows 11

Você pode usar o Intune junto com Microsoft Entra políticas de Acesso Condicional para exigir MFA (autenticação multifator) durante o registro do dispositivo. Se você precisar de MFA, funcionários e alunos que desejam registrar dispositivos devem primeiro se autenticar com um segundo dispositivo e duas formas de credenciais. O MFA exige que eles se autentiquem usando dois ou mais desses métodos de verificação:

  • Algo que eles sabem, como uma senha ou PIN.
  • Algo que eles têm que não pode ser duplicado, como um dispositivo ou telefone confiável.
  • Algo que eles são, como uma impressão digital.

Pré-requisitos

Para implementar essa política, você deve atribuir Microsoft Entra ID P1 ou posterior aos usuários.

Configurar o Intune para exigir autenticação multifator no registro do dispositivo

Conclua estas etapas para habilitar a autenticação multifator durante Microsoft Intune registro.

Importante

Não configure Regras de acesso baseadas em dispositivo para o registro no Microsoft Intune.

  1. Entre no Centro de administração do Microsoft Intune.

  2. Acesse oacesso condicionalde dispositivos>. Essa área é a mesma que a área de acesso condicional disponível em Microsoft Entra ID. Para obter mais informações sobre as configurações disponíveis, consulte Aplicativos de nuvem ou ações.

  3. Escolha Criar nova política.

  4. Nomeie sua política.

  5. Selecione a categoria Usuários .

    1. Na guia Incluir , escolha Selecionar usuários ou grupos.
    2. Aparecem opções adicionais. Selecione Usuários e grupos. Uma lista de usuários e grupos é aberta.
    3. Adicione os usuários ou grupos aos quais você está atribuindo a política e escolha Selecionar.
    4. Para excluir usuários ou grupos da política, selecione a guia Excluir e adicione os usuários ou grupos como você fez na etapa anterior.

  6. Selecione a próxima categoria, Recursos de destino.

    1. Selecione a guia Incluir .
    2. Escolha Selecionar aplicativos>Selecione.
    3. Escolha Microsoft Intune Registro>Selecione para adicionar o aplicativo. Use a barra de pesquisa no seletor de aplicativos para localizar o aplicativo.

    Para registros de dispositivo automatizados da Apple usando o Assistente de Instalação com autenticação moderna, você tem duas opções para escolher. A tabela a seguir descreve a diferença entre a opção Microsoft Intune e Microsoft Intune opção Registro.

    Aplicativo em nuvem Local do prompt do MFA Observações do Registro automatizado de dispositivos
    Microsoft Intune Assistente de configuração,
    Aplicativo do Portal da Empresa    		 Com essa opção, o MFA é necessário durante o registro e sempre que o usuário entra no aplicativo ou site Portal da Empresa. Os prompts MFA aparecem na página de entrada Portal da Empresa.
    Microsoft Intune Registro Assistente de configuração Com essa opção, o MFA é necessário durante o registro do dispositivo e aparece como um prompt de MFA único na página de entrada Portal da Empresa.

  7. Selecione a categoria Conceder .

    1. Selecione Exigir autenticação multifator e Exigir que o dispositivo seja marcado como compatível.
    2. Em Para vários controles, selecione Exigir todos os controles selecionados.
    3. Escolha Selecionar.

  8. Selecione a categoria Sessão .

    1. Selecione Frequência de entrada e escolha Todas as vezes.
    2. Escolha Selecionar.

  9. Para Habilitar política, selecione Ativado.

  10. Selecione Criar para salvar e criar sua política.

Depois de aplicar e implantar essa política, os usuários verão um prompt de MFA único quando registrarem seu dispositivo.

Observação

Um segundo dispositivo é necessário para concluir o desafio MFA para esses tipos de dispositivos corporativos:

  • Dispositivos Android Enterprise totalmente gerenciados
  • Dispositivos corporativos do Android Enterprise com um perfil de trabalho
  • Dispositivos iOS/iPadOS registrados por meio do registro de dispositivo automatizado da Apple
  • Dispositivos macOS registrados por meio do registro automatizado de dispositivos da Apple

O segundo dispositivo é necessário porque o dispositivo principal não pode receber chamadas ou mensagens de texto durante o processo de provisionamento.