Compartilhar via

Exigir autenticação multifator para Intune inscrições de dispositivos

  • Artigo

Aplica-se a:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows 10
  • Windows 11

Pode utilizar Intune em conjunto com Microsoft Entra políticas de Acesso Condicional para exigir a autenticação multifator (MFA) durante a inscrição de dispositivos. Se precisar de MFA, os funcionários e estudantes que pretendam inscrever dispositivos têm primeiro de se autenticar com um segundo dispositivo e duas formas de credenciais. A MFA requer que se autentiquem com dois ou mais destes métodos de verificação:

  • Algo que eles sabem, como uma palavra-passe ou PIN.
  • Algo que têm que não pode ser duplicado, como um dispositivo ou telemóvel fidedigno.
  • Algo que são, como uma impressão digital.

Se um dispositivo não estiver em conformidade, é pedido ao utilizador do dispositivo que torne o dispositivo compatível antes de se inscrever no Microsoft Intune.

Pré-requisitos

Para implementar esta política, tem de atribuir Microsoft Entra ID P1 ou posterior aos utilizadores.

Configurar Intune para exigir a autenticação multifator na inscrição de dispositivos

Conclua estes passos para ativar a autenticação multifator durante Microsoft Intune inscrição.

Importante

Não configure Regras de acesso baseadas em dispositivo para o registro no Microsoft Intune.

  1. Entre no Centro de administração do Microsoft Intune.

  2. Aceda a Dispositivos.

  3. Expanda Gerir dispositivos e, em seguida, selecione Acesso Condicional. Esta área de Acesso Condicional é igual à área acesso condicional disponível no centro de administração do Microsoft Entra. Para obter mais informações sobre as definições disponíveis, veja Criar uma política de Acesso Condicional.

  4. Selecione Criar nova política.

  5. Atribua um nome à sua política.

  6. Selecione a categoria Utilizadores .

    1. No separador Incluir , selecione Selecionar utilizadores ou grupos.
    2. São apresentadas opções adicionais. Selecione Usuários e grupos. É aberta uma lista de utilizadores e grupos.
    3. Procure e selecione o Microsoft Entra utilizadores ou grupos que pretende incluir na política. Depois escolha Selecionar.
    4. Para excluir utilizadores ou grupos da política, selecione o separador Excluir e adicione esses utilizadores ou grupos como fez no passo anterior.

  7. Selecione a categoria seguinte, Recursos de destino. Neste passo, irá selecionar os recursos a que a política se aplica. Neste caso, queremos que a política se aplique a eventos em que utilizadores ou grupos tentam aceder à aplicação inscrição Microsoft Intune.

    1. Em Selecionar a que se aplica esta política, selecioneRecursos (anteriormente aplicações na cloud).
    2. Selecione o separador Incluir .
    3. Selecione Selecionar recursos. São apresentadas opções adicionais.
    4. Em Selecionar, selecioneNenhum. É aberta uma lista de recursos.
    5. Procure Microsoft Intune Inscrição. Em seguida, selecione Selecionar para adicionar a aplicação.

    Para inscrições de dispositivos automatizadas da Apple através do Assistente de Configuração com autenticação moderna, tem duas opções à sua escolha. A tabela seguinte descreve a diferença entre a opção Microsoft Intune e a opção Inscrição Microsoft Intune.

    Aplicativo em nuvem Local do prompt do MFA Observações do Registro automatizado de dispositivos
    Microsoft Intune Assistente de configuração,
    Aplicativo do Portal da Empresa    		 Com esta opção, a MFA é necessária durante a inscrição e sempre que o utilizador iniciar sessão na aplicação ou site Portal da Empresa. Os pedidos de MFA são apresentados na Portal da Empresa página de início de sessão.
    Microsoft Intune Registro Assistente de configuração Com esta opção, a MFA é necessária durante a inscrição de dispositivos e aparece como um pedido de MFA único na página de início de sessão Portal da Empresa.

    Observação

    A aplicação cloud de inscrição Microsoft Intune não é criada automaticamente para novos inquilinos. Para adicionar a aplicação para novos inquilinos, um administrador de Microsoft Entra tem de criar um objeto de principal de serviço, com o ID da aplicação d4ebce55-015a-49b5-a083-c84d1797ae8c, no PowerShell ou no Microsoft Graph.

  8. Selecione a categoria Conceder . Neste passo, concede ou bloqueia o acesso à aplicação inscrição Microsoft Intune.

    1. Selecione Conceder acesso.
    2. Selecione Exigir autenticação multifator.
    3. Selecione Exigir que o dispositivo seja marcado como em conformidade.
    4. Em Para vários controles, selecione Exigir todos os controles selecionados.
    5. Escolha Selecionar.

  9. Selecione a categoria Sessão . Neste passo, pode utilizar os controlos de sessão para permitir experiências limitadas na aplicação inscrição Microsoft Intune.

    1. Selecione Frequência de início de sessão. São apresentadas opções adicionais.
    2. Selecione Sempre.
    3. Escolha Selecionar.

  10. Em Ativar política, selecione Ativado.

  11. Selecione Criar para guardar e criar a sua política.

Depois de aplicar e implementar esta política, os utilizadores de dispositivos que inscrevem os respetivos dispositivos verão um pedido de MFA único.

Observação

É necessário um segundo dispositivo ou um Passe de Acesso Temporário para concluir o desafio da MFA para estes tipos de dispositivos pertencentes à empresa:

  • Dispositivos Android Enterprise totalmente gerenciados
  • Dispositivos pertencentes à empresa do Android Enterprise com um perfil de trabalho
  • Dispositivos iOS/iPadOS inscritos através da inscrição de dispositivos automatizados da Apple
  • Dispositivos macOS inscritos através da inscrição de dispositivos automatizados da Apple

O segundo dispositivo é necessário porque o dispositivo principal não pode receber chamadas ou mensagens de texto durante o processo de provisionamento.