需要对 Intune 设备注册进行多重身份验证

适用于：

可以将 Intune 与 Microsoft Entra 条件访问策略结合使用，以要求在设备注册期间进行多重身份验证 (MFA) 。如果需要 MFA，想要注册设备的员工和学生必须首先使用第二台设备和两种形式的凭据进行身份验证。 MFA 要求他们使用以下两种或多种验证方法进行身份验证：

先决条件

若要实现此策略，必须将Microsoft Entra ID P1 或更高版本分配给用户。

完成这些步骤以在Microsoft Intune注册期间启用多重身份验证。

重要

请勿为 Microsoft Intune 注册配置基于设备的访问规则。

登录到Microsoft Intune管理中心。
转到 “设备>条件访问”。此区域与 Microsoft Entra ID 中可用的条件访问区域相同。有关可用设置的详细信息，请参阅云应用或操作。
选择 “创建新策略”。
命名策略。
选择“ 用户” 类别。
1. 在“ 包括 ”选项卡下，选择 “选择用户或组”。
2. 将显示其他选项。选择“用户和组”。此时会打开用户和组列表。
3. 添加要向其分配策略的用户或组，然后选择 “选择”。
4. 若要从策略中排除用户或组，请选择“ 排除 ”选项卡，并添加这些用户或组，就像在上一步中所做的那样。

选择下一个类别 “目标资源”。

对于使用具有新式身份验证的设置助手的 Apple 自动设备注册，有两个选项可供选择。下表描述了“Microsoft Intune”选项与“Microsoft Intune注册”选项之间的差异。

云应用	MFA 提示位置	自动设备注册备注
Microsoft Intune	设置助理，公司门户应用	使用此选项时，在注册期间以及每次用户登录到公司门户应用或网站时，都需要 MFA。 MFA 提示显示在公司门户登录页上。
Microsoft Intune 注册	设置助理	使用此选项时，设备注册期间需要 MFA，并在公司门户登录页上显示为一次性 MFA 提示。

选择 “授予” 类别。
1. 选择“ 需要多重身份验证 ”和“ 要求设备标记为合规”。
2. 在“对于多个控件”下，选择“需要所有已选控件”。
3. 选择“选择”。
选择 “会话” 类别。
1. 选择“ 登录频率 ”，然后选择“ 每次”。
2. 选择“选择”。
对于 “启用策略”，请选择“ 打开”。
选择“ 创建 ”以保存并创建策略。

应用并部署此策略后，用户在注册设备时将看到一次性 MFA 提示。

注意

对于这些类型的公司拥有的设备，需要另一台设备才能完成 MFA 质询：