Exigir a autenticação multifator para inscrições de dispositivos no Intune
A Intune pode utilizar Azure Ative Directory políticas de acesso condicional (AD) para exigir a autenticação de vários fatores (MFA) para a inscrição do dispositivo para ajudá-lo a garantir os seus recursos corporativos.
A MFA exige dois ou mais dos seguintes métodos de verificação:
- Algo que saiba (normalmente uma palavra-passe ou PIN).
- Algo que tem (um dispositivo de confiança que não é facilmente duplicado, como um telefone).
- Algo que seja (biometria, como uma impressão digital).
O MFA é suportado para iOS/iPadOS, macOS, Android e Windows 8.1 ou dispositivos posteriores.
Quando ativa o MFA, os utilizadores finais precisam de um segundo dispositivo e devem fornecer duas formas de credenciais para inscrever um dispositivo.
Configurar o Intune para exigir a autenticação multifator na inscrição de dispositivos
Para exigir MFA na inscrição de um dispositivo, siga estes passos:
Importante
Tem de ter a edição Azure Active Directory Premium P1 ou superior atribuída aos seus utilizadores para implementar esta política.
Importante
Não configuure as regras de acesso baseadas no dispositivo para Microsoft Intune inscrição.
Inscreva-se no centro de administração Microsoft Endpoint Manager,escolha Dispositivos > acesso condicional. O nó de acesso condicional acedido a partir de Intune é o mesmo nó acedido a partir de Azure AD.
Selecione Nova política.
Em Nova política, escreva um nome descritivo para a política.
Na secção Atribuições, selecione Utilizadores e grupos.
Em Utilizadores e grupos, selecione Selecionar utilizadores ou grupos e a opção Utilizadores e grupos. Em seguida, selecione os utilizadores e/ou grupos que receberão esta política e selecione Concluído.
Na secção Atribuições, selecione Aplicações na cloud.
No separador Incluir das Aplicações na cloud, clique em Selecionar aplicações e, em seguida, Selecionar > Inscrição do Microsoft Intune. Em seguida, selecione Concluído. Ao escolher Microsoft Intune Inscrição, o acesso condicional MFA é aplicado apenas à inscrição do dispositivo (prompt MFA de uma vez).
Para inscrições de dispositivos automatizados da Apple utilizando o assistente de configuração com autenticação moderna, tem duas opções:
Aplicativo cloud Localização imediata do MFA Notas de inscrição de dispositivo automatizado Microsoft Intune Assistente de Configuração,
Aplicação do Portal da EmpresaCom esta opção, o MFA é necessário durante a inscrição e para cada login no Portal da Empresa app/Portal da Empresa website. O acesso condicional MFA é aplicado apenas ao início do Portal da Empresa no dispositivo. Microsoft Intune Inscrição Assistente de Configuração Com esta opção, o MFA é aplicado apenas à inscrição do dispositivo (prompt MFA de uma vez). O acesso condicional MFA é aplicado apenas ao início do Portal da Empresa no dispositivo. Selecione Concluído.
Na secção atribuições, para condições não é necessário configurar quaisquer definições para MFA.
Na secção Controlos de acesso, selecione Conceder.
Em Conceder, selecione Conceder acesso e, em seguida, Exigir autenticação multifator. Não selecione O dispositivo 'Exigir' seja marcado como conforme, porque um dispositivo não pode ser avaliado para conformidade até estar matriculado. Em seguida, escolha Selecionar.
Em Nova política, selecione Ativar política > Ativada e, em seguida, selecione Criar.
Nota
É necessário um segundo dispositivo para completar o desafio MFA para dispositivos corporativos como:
- Android Enterprise Totalmente Gerido.
- Android Enterprise Corporate Corporate Perfil de trabalho.
- Inscrição de dispositivos automatizados iOS/iPadOS.
- Inscrição de dispositivo automatizado macOS.
O segundo dispositivo é necessário porque o dispositivo primário não pode receber chamadas ou mensagens de texto durante o processo de provisionamento.
Passos seguintes
Quando os utilizadores finais inscreverem o respetivo dispositivo, têm de autenticar com uma segunda forma de identificação, como um PIN, telefone ou biometria.