Mehrstufige Authentifizierung für Intune Geräteregistrierungen erforderlich

Gilt für:

• Android
• iOS/iPadOS
• macOS
• Windows 10
• Windows 11

Sie können Intune zusammen mit Microsoft Entra Richtlinien für bedingten Zugriff verwenden, um die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) während der Geräteregistrierung zu erfordern. Wenn Sie MFA benötigen, müssen sich Mitarbeiter und Studenten, die Geräte registrieren möchten, zuerst mit einem zweiten Gerät und zwei Arten von Anmeldeinformationen authentifizieren. MFA erfordert, dass sie sich mit zwei oder mehr dieser Überprüfungsmethoden authentifizieren:

• Etwas, das ihnen bekannt ist, z. B. ein Kennwort oder eine PIN.
• Etwas, das nicht dupliziert werden kann, z. B. ein vertrauenswürdiges Gerät oder Telefon.
• Etwas, was sie sind, z. B. ein Fingerabdruck.

Wenn ein Gerät nicht konform ist, wird der Gerätebenutzer aufgefordert, das Gerät vor der Registrierung bei Microsoft Intune kompatibel zu machen.

Voraussetzungen

Um diese Richtlinie zu implementieren, müssen Sie Benutzern Microsoft Entra ID P1 oder höher zuweisen.

Konfigurieren sie Intune so, dass die mehrstufige Authentifizierung bei der Geräteregistrierung erforderlich ist.

Führen Sie diese Schritte aus, um die mehrstufige Authentifizierung während Microsoft Intune Registrierung zu aktivieren.

1. Melden Sie sich beim Microsoft Intune Admin Center an.

2. Wechseln Sie zu Geräte.

3. Erweitern Sie Geräte verwalten, und wählen Sie dann Bedingter Zugriff aus. Dieser Bereich für bedingten Zugriff entspricht dem Bereich für bedingten Zugriff, der im Microsoft Entra Admin Center verfügbar ist. Weitere Informationen zu den verfügbaren Einstellungen finden Sie unter Erstellen einer Richtlinie für bedingten Zugriff.

4. Wählen Sie Neue Richtlinie erstellen aus.

5. Benennen Sie Ihre Richtlinie.

6. Wählen Sie die Kategorie Benutzer aus.

   1. Wählen Sie auf der Registerkarte Einschließen die Option Benutzer oder Gruppen auswählen aus.
   2. Zusätzliche Optionen werden angezeigt. Wählen Sie Benutzer und Gruppen aus. Eine Liste von Benutzern und Gruppen wird geöffnet.
   3. Navigieren Sie zu den Microsoft Entra Benutzern oder Gruppen, die Sie in die Richtlinie aufnehmen möchten, und wählen Sie sie aus. Wählen Sie dann „Auswählen“ aus.
   4. Um Benutzer oder Gruppen von der Richtlinie auszuschließen, wählen Sie die Registerkarte Ausschließen aus, und fügen Sie diese Benutzer oder Gruppen wie im vorherigen Schritt hinzu.

7. Wählen Sie die nächste Kategorie Zielressourcen aus. In diesem Schritt wählen Sie die Ressourcen aus, für die die Richtlinie gilt. In diesem Fall soll die Richtlinie auf Ereignisse angewendet werden, bei denen Benutzer oder Gruppen versuchen, auf die Microsoft Intune Enrollment-App zuzugreifen.

   1. Wählen Sie unter Auswählen, wofür diese Richtlinie gilt die Option Ressourcen (früher Cloud-Apps) aus.
   2. Wählen Sie die Registerkarte Einschließen aus.
   3. Wählen Sie Ressourcen auswählen aus. Zusätzliche Optionen werden angezeigt.
   4. Wählen Sie unter Auswählen die Option Keine aus. Eine Liste geöffneter Ressourcen.
   5. Suchen Sie nach Microsoft Intune Registrierung. Wählen Sie dann Auswählen aus, um die App hinzuzufügen.

   Für automatisierte Apple-Geräteregistrierungen mit dem Setup-Assistenten mit moderner Authentifizierung haben Sie zwei Optionen zur Auswahl. In der folgenden Tabelle wird der Unterschied zwischen der Option Microsoft Intune und Microsoft Intune Registrierungsoption beschrieben.

   Cloud-App	Ort der MFA-Eingabeaufforderung	Hinweise zur automatischen Geräteregistrierung
   Microsoft Intune	Setup-Assistent, Unternehmensportal-App	Bei dieser Option ist MFA während der Registrierung und jedes Mal erforderlich, wenn sich der Benutzer bei der Unternehmensportal App oder Website anmeldet. Die MFA-Eingabeaufforderungen werden auf der Unternehmensportal Anmeldeseite angezeigt.
   Microsoft Intune-Registrierung	Setup-Assistent	Bei dieser Option ist MFA während der Geräteregistrierung erforderlich und wird als einmalige MFA-Aufforderung auf der Unternehmensportal Anmeldeseite angezeigt.

   Hinweis

   Die Cloud-App Microsoft Intune Registrierung wird nicht automatisch für neue Mandanten erstellt. Um die App für neue Mandanten hinzuzufügen, muss ein Microsoft Entra Administrator ein Dienstprinzipalobjekt mit der App-ID d4ebce55-015a-49b5-a083-c84d1797ae8c in PowerShell oder Microsoft Graph erstellen.

8. Wählen Sie die Kategorie Gewähren aus. In diesem Schritt gewähren oder blockieren Sie den Zugriff auf die Microsoft Intune Registrierungs-App.

   1. Wählen Sie Zugriff gewähren aus.
   2. Wählen Sie Mehrstufige Authentifizierung erforderlich aus.
   3. Klicken Sie auf Markieren des Geräts als konform erforderlich.
   4. Klicken Sie unter Für mehrere Steuerelemente auf Alle ausgewählten Kontrollen anfordern.
   5. Klicken Sie auf Auswählen.

9. Wählen Sie die Kategorie Sitzung aus. In diesem Schritt können Sie Sitzungssteuerelemente verwenden, um eingeschränkte Funktionen innerhalb der Microsoft Intune-Registrierungs-App zu ermöglichen.

   1. Wählen Sie Anmeldehäufigkeit aus. Zusätzliche Optionen werden angezeigt.
   2. Wählen Sie Jedes Mal aus.
   3. Klicken Sie auf Auswählen.

10. Wählen Sie unter Richtlinie aktivieren die Option Ein aus.

11. Wählen Sie Erstellen aus, um Ihre Richtlinie zu speichern und zu erstellen.

Nachdem Sie diese Richtlinie angewendet und bereitgestellt haben, sehen Gerätebenutzer, die ihre Geräte registrieren, eine einmalige MFA-Eingabeaufforderung.