需要多要素驗證以進行 Intune 裝置登記

Intune 可使用 Azure Active Directory (AD) 條件式存取原則,以要求裝置註冊的多重要素驗證 (MFA) ,以協助您保護公司資源。

MFA 的運作方式是要求使用下列兩種或多種驗證方法:

  • 您知道 (通常是密碼或 PIN) 的內容。
  • 您 (的信任裝置沒有輕易重複,例如電話) 。
  • 您 (生物辨識,如指紋) 所示。

對 iOS/iPadOS、macOS、Android 和 Windows 8.1 或更新版本的裝置支援 MFA。

當您啟用 MFA 時,使用者需要第二個裝置,而且必須提供兩種形式的認證才能註冊裝置。

將 Intune 設定為要求在裝置註冊時進行多重要素驗證

若要在裝置註冊時要求 MFA,請遵循下列步驟:

重要

您必須將 Azure Active Directory Premium P1 或以上指派給您的使用者,才能執行此原則。

重要

請勿設定 Microsoft Intune 註冊的 裝置型存取規則

  1. 登入 Microsoft 端點管理員系統 管理中心,選擇 [裝置 > 條件式存取]。 從 Intune 存取的條件式存取節點與從 Azure AD 所存取的節點相同。

  2. 選擇 [新增原則]。

  3. 在 [ 新增 原則] 中,輸入原則的描述性名稱。

  4. 在 [ 工作分派 ] 區段中,選擇 [ 使用者和群組]。

  5. 在 [ 使用者和群組] 中,選擇 [ 選取使用者或群組],然後檢查 [ 使用者和群組]。 然後選取要接收此原則的使用者和/or 群組,然後選擇 [ 完成]。

  6. 在 [ 工作分派 ] 區段中,選擇 [ 雲端應用程式]。

  7. 雲端 app 的 [包含] 索引標籤上,選擇 [選取應用程式],然後選擇 [選取 > Microsoft Intune 註冊],然後選擇 [完成]。 透過選擇 Microsoft Intune 註冊,條件式存取 MFA 只會套用至裝置的註冊 (一次 MFA prompt) 。

    針對使用 設定助理搭配新式驗證 的 Apple 自動裝置註冊,您有兩個選項:

    雲端應用程式 MFA 提示位置 自動裝置註冊筆記
    Microsoft Intune 設定助理、
    公司入口網站應用程式
    使用此選項時,會在登記期間和每次登入公司入口網站 app/公司入口網站網站時需要 MFA。 條件式存取 MFA 只適用于裝置上的公司入口網站登入。
    Microsoft Intune 登記 設定助理 使用此選項時,MFA 只會套用到裝置的註冊 (一次 MFA 提示) 。 條件式存取 MFA 只適用于裝置上的公司入口網站登入。
  8. 選擇 [完成]

  9. 在 [ 工作分派 ] 區段中,針對 條件 您不需要為 MFA 設定任何設定。

  10. 在 [ 存取控制 ] 區段中,選擇 [授 與]。

  11. [授 與] 中,選擇 [授與存取],然後選取 [ 需要多重要素驗證]。 請勿選取 [ 需要將裝置標示為相容 ],因為在註冊裝置之前無法評估其相容性。 然後選擇 [選取]

  12. 在 [新增原則] 中,選擇 [啟用原則] > ****,然後選擇 [建立]。

注意

需要有第二個裝置,才能完成公司裝置的 MFA 挑戰,如下所示:

  • Enterprise 完全管理的 Android 版。
  • Android Enterprise 公司擁有的工作設定檔。
  • iOS/iPadOS 自動裝置註冊。
  • macOS 自動裝置註冊。

第二個裝置是必要的,因為主要裝置在布建過程中無法接收來電或短信。

後續步驟

當使用者註冊其裝置時,他們現在必須使用第二種形式的身分驗證,像是 PIN、電話或生物特徵。