需要对 Intune 设备注册进行多重身份验证
适用于:
- Android
- iOS/iPadOS
- macOS
- Windows 8.1
- Windows 10
- Windows 11
可以将 Intune 与 Microsoft Entra 条件访问策略结合使用,以要求在设备注册期间进行多重身份验证 (MFA) 。 如果需要 MFA,想要注册设备的员工和学生必须首先使用第二台设备和两种形式的凭据进行身份验证。 MFA 要求他们使用以下两种或多种验证方法进行身份验证:
- 他们知道的内容,例如密码或 PIN。
- 他们拥有的无法复制的内容,例如受信任的设备或手机。
- 它们就是一些东西,例如指纹。
先决条件
若要实现此策略,必须将Microsoft Entra ID P1 或更高版本分配给用户。
将 Intune 配置为要求在设备注册时进行多重身份验证
完成这些步骤以在Microsoft Intune注册期间启用多重身份验证。
重要
请勿为 Microsoft Intune 注册配置基于设备的访问规则。
转到 “设备>条件访问”。 此区域与 Microsoft Entra ID 中可用的条件访问区域相同。 有关可用设置的详细信息,请参阅 云应用或操作。
选择 “创建新策略”。
命名策略。
选择“ 用户” 类别。
- 在“ 包括 ”选项卡下,选择 “选择用户或组”。
- 将显示其他选项。 选择“用户和组”。 此时会打开用户和组列表。
- 添加要向其分配策略的用户或组,然后选择 “选择”。
- 若要从策略中排除用户或组,请选择“ 排除 ”选项卡,并添加这些用户或组,就像在上一步中所做的那样。
选择下一个类别 “目标资源”。
- 选择“ 包括 ”选项卡。
- 选择 “选择应用>”“选择”。
- 选择“Microsoft Intune注册>选择”以添加应用。 使用应用选取器中的搜索栏查找应用。
对于使用具有新式身份验证的设置助手的 Apple 自动设备注册,有两个选项可供选择。 下表描述了“Microsoft Intune”选项与“Microsoft Intune注册”选项之间的差异。
云应用 MFA 提示位置 自动设备注册备注 Microsoft Intune 设置助理,
公司门户应用使用此选项时,在注册期间以及每次用户登录到公司门户应用或网站时,都需要 MFA。 MFA 提示显示在公司门户登录页上。 Microsoft Intune 注册 设置助理 使用此选项时,设备注册期间需要 MFA,并在公司门户登录页上显示为一次性 MFA 提示。 选择 “授予” 类别。
- 选择“ 需要多重身份验证 ”和“ 要求设备标记为合规”。
- 在“对于多个控件”下,选择“需要所有已选控件”。
- 选择“选择”。
选择 “会话” 类别。
- 选择“ 登录频率 ”,然后选择“ 每次”。
- 选择“选择”。
对于 “启用策略”,请选择“ 打开”。
选择“ 创建 ”以保存并创建策略。
应用并部署此策略后,用户在注册设备时将看到一次性 MFA 提示。
注意
对于这些类型的公司拥有的设备,需要另一台设备才能完成 MFA 质询:
- Android Enterprise 完全托管设备
- 具有工作配置文件的 Android Enterprise 公司拥有的设备
- 通过 Apple 自动设备注册注册的 iOS/iPadOS 设备
- 通过 Apple 自动设备注册注册的 macOS 设备
第二个设备是必需的,因为主设备在预配过程中无法接收呼叫或短信。
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈