Condividi tramite


Richiedere l'autenticazione a più fattori per le registrazioni di dispositivi Intune

Si applica a:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows 10
  • Windows 11

È possibile usare Intune insieme ai criteri di accesso condizionale Microsoft Entra per richiedere l'autenticazione a più fattori durante la registrazione del dispositivo. Se è necessaria l'autenticazione a più fattori, i dipendenti e gli studenti che vogliono registrare i dispositivi devono prima eseguire l'autenticazione con un secondo dispositivo e due forme di credenziali. L'autenticazione a più fattori richiede l'autenticazione usando due o più di questi metodi di verifica:

  • Qualcosa che conoscono, ad esempio una password o un PIN.
  • Qualcosa che non può essere duplicato, ad esempio un dispositivo o un telefono attendibile.
  • Qualcosa che sono, come un'impronta digitale.

Se un dispositivo non è conforme, all'utente del dispositivo viene richiesto di rendere il dispositivo conforme prima della registrazione in Microsoft Intune.

Prerequisiti

Per implementare questo criterio, è necessario assegnare Microsoft Entra ID P1 o versione successiva agli utenti.

Configurare Intune per richiedere l'autenticazione a più fattori durante la registrazione del dispositivo

Completare questi passaggi per abilitare l'autenticazione a più fattori durante Microsoft Intune registrazione.

Importante

Non configurare le regole di accesso basate su dispositivo per la registrazione Microsoft Intune.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.

  2. Passare a Dispositivi.

  3. Espandere Gestisci dispositivi e quindi selezionare Accesso condizionale. Questa area di accesso condizionale è la stessa dell'area di accesso condizionale disponibile nel Interfaccia di amministrazione di Microsoft Entra. Per altre informazioni sulle impostazioni disponibili, vedere Creazione di criteri di accesso condizionale.

  4. Scegliere Crea nuovo criterio.

  5. Assegnare un nome ai criteri.

  6. Selezionare la categoria Utenti .

    1. Nella scheda Includi scegliere Seleziona utenti o gruppi.
    2. Vengono visualizzate altre opzioni. Selezionare Utenti e gruppi. Verrà visualizzato un elenco di utenti e gruppi.
    3. Esplorare e selezionare il Microsoft Entra utenti o gruppi da includere nei criteri. Quindi, scegliere Seleziona.
    4. Per escludere utenti o gruppi dai criteri, selezionare la scheda Escludi e aggiungere gli utenti o i gruppi come nel passaggio precedente.
  7. Selezionare la categoria successiva Risorse di destinazione. In questo passaggio si selezionano le risorse a cui si applicano i criteri. In questo caso, si vuole che i criteri si applichino agli eventi in cui utenti o gruppi tentano di accedere all'app di registrazione Microsoft Intune.

    1. In Selezionare a cosa si applica questo criterio scegliere Risorse (in precedenza app cloud).
    2. Selezionare la scheda Includi .
    3. Scegliere Seleziona risorse. Vengono visualizzate altre opzioni.
    4. In Seleziona scegliere Nessuno. Elenco di risorse aperte.
    5. Cercare Microsoft Intune registrazione. Scegliere quindi Seleziona per aggiungere l'app.

    Per le registrazioni automatizzate dei dispositivi Apple con Assistente configurazione con l'autenticazione moderna, è possibile scegliere tra due opzioni. Nella tabella seguente viene descritta la differenza tra l'opzione Microsoft Intune e l'opzione registrazione Microsoft Intune.

    App cloud Percorso del prompt dell'autenticazione a più fattori Note sulla registrazione automatica dei dispositivi
    Microsoft Intune Assistente configurazione,
    Portale aziendale'app
    Con questa opzione, l'autenticazione a più fattori è necessaria durante la registrazione e ogni volta che l'utente accede all'app o al sito Web Portale aziendale. I prompt MFA vengono visualizzati nella pagina di accesso Portale aziendale.
    Registrazione Microsoft Intune Assistente installazione Con questa opzione, l'autenticazione a più fattori è necessaria durante la registrazione del dispositivo e viene visualizzata come richiesta di autenticazione a più fattori una tantum nella pagina di accesso Portale aziendale.

    Nota

    L'app cloud di registrazione Microsoft Intune non viene creata automaticamente per i nuovi tenant. Per aggiungere l'app per i nuovi tenant, un amministratore Microsoft Entra deve creare un oggetto entità servizio, con ID app d4ebce55-015a-49b5-a083-c84d1797ae8c, in PowerShell o Microsoft Graph.

  8. Selezionare la categoria Concedi . In questo passaggio si concede o si blocca l'accesso all'app di registrazione Microsoft Intune.

    1. Scegliere Concedi accesso.
    2. Selezionare Richiedi autenticazione a più fattori.
    3. Selezionare Richiedi che il dispositivo sia contrassegnato come conforme.
    4. In Per più controlli selezionare Richiedi tutti i controlli selezionati.
    5. Scegliere Seleziona.
  9. Selezionare la categoria Sessione . In questo passaggio è possibile usare i controlli sessione per abilitare esperienze limitate all'interno dell'app di registrazione Microsoft Intune.

    1. Selezionare Frequenza di accesso. Vengono visualizzate altre opzioni.
    2. Scegliere Ogni volta.
    3. Scegliere Seleziona.
  10. In Abilita criterio selezionare .

  11. Selezionare Crea per salvare e creare i criteri.

Dopo aver applicato e distribuito questo criterio, gli utenti dei dispositivi che registrano i dispositivi visualizzano un prompt di autenticazione a più fattori una tantum.

Nota

È necessario un secondo dispositivo o un pass di accesso temporaneo per completare la richiesta di autenticazione a più fattori per questi tipi di dispositivi di proprietà dell'azienda:

  • Dispositivi Android Enterprise completamente gestiti
  • Dispositivi Android Enterprise di proprietà dell'azienda con un profilo di lavoro
  • Dispositivi iOS/iPadOS registrati tramite registrazione automatica dei dispositivi Apple
  • Dispositivi macOS registrati tramite registrazione automatica dei dispositivi Apple

Il secondo dispositivo è necessario perché il dispositivo primario non può ricevere chiamate o sms durante il processo di provisioning.