Eszközplatform-korlátozások létrehozása

  • Cikk

A következőkre vonatkozik: Android, iOS/iPadOS, macOS, Windows 10, Windows 11

Hozzon létre egy eszközplatform-regisztrációs korlátozási szabályzatot az eszközök Intune-beli regisztrációjának korlátozásához. Az elérhető korlátozások a következők:

  • Eszközplatform
  • Operációs rendszer verziója
  • Gyártó
  • Tulajdonjog (személyes tulajdonú)

Létrehozhat egy új eszközplatform-korlátozási szabályzatot a Microsoft Intune Felügyeleti központban, vagy használhatja a már elérhető alapértelmezett szabályzatot. Legfeljebb 25 eszközplatform-korlátozási szabályzata lehet.

Ez a cikk a Microsoft Intune által támogatott eszközplatform-korlátozásokat és azok felügyeleti központban történő konfigurálását ismerteti.

Alapértelmezett szabályzat

Microsoft Intune egy alapértelmezett szabályzatot biztosít az eszközplatform-korlátozásokhoz, amelyeket igény szerint szerkeszthet és testre szabhat. Az Intune az alapértelmezett házirendet alkalmazza az összes felhasználói és felhasználó nélküli regisztrációra, amíg magasabb prioritású szabályzatot nem rendel hozzá.

Ajánlott eljárás – Android platformkorlátozások

Mivel az Intune két Android-platformot támogat, fontos megérteni, hogyan működnek az operációs rendszer verziókorlátozásai, ha eszközplatform-korlátozásokkal használja őket:

  • Ha mindkét platformot engedélyezi ugyanahhoz a csoporthoz, majd pontosítja azt adott és nem egymást átfedő verziókhoz, az eszközök a verziójukhoz kiválasztott Android-regisztrációs folyamaton keresztül lesznek elküldve.
  • Ha mindkét platformot engedélyezi, de letiltja ugyanazokat a verziókat, a letiltott verziókat futtató eszközök nem regisztrálhatók. Az ezeken az eszközökön lévő felhasználókat a rendszer az Android-eszközök rendszergazdai regisztrációs folyamatán keresztül küldi el, mielőtt a rendszer letiltja őket, és a rendszer kéri a kijelentkezést.

Fontos

Microsoft Intune 2024. augusztus 30-án megszűnik az Android-eszközök rendszergazdai felügyeletének támogatása a Google Mobile Services (GMS) szolgáltatáshoz hozzáféréssel rendelkező eszközökön. Ezt követően az eszközregisztráció, a technikai támogatás, a hibajavítások és a biztonsági javítások nem lesznek elérhetők. Ha jelenleg eszközadminisztrátori felügyeletet használ, javasoljuk, hogy a támogatás befejeződése előtt váltson egy másik Android-felügyeleti lehetőségre az Intune-ban. További információ: Android-eszközadminisztrátor támogatásának megszüntetése GMS-eszközökön.

Eszközplatform-korlátozás létrehozása

  1. Jelentkezzen be a Microsoft Intune Felügyeleti központba.

  2. Lépjen az Eszközök>regisztrálása területre.

  3. Válassza az Eszközplatform korlátozása lehetőséget.

  4. Válassza a lap tetején található lapot, amely megfelel a konfigurálni kívánt platformnak. Az Ön lehetőségei:

    • Android-korlátozások
    • Windows-korlátozások
    • macOS-korlátozások
    • iOS-korlátozások

  5. Válassza a Korlátozás létrehozása lehetőséget.

  6. Az Alapvető beállítások lapon adjon nevet és opcionális leírást a korlátozásnak.

  7. Válassza a Tovább gombot.

  8. A Platformbeállítások lapon konfigurálja a kiválasztott platformra vonatkozó korlátozásokat. Az Ön lehetőségei:

    • Platform (Android): Válassza az Engedélyezés lehetőséget a platform regisztrációjának engedélyezéséhez, a Letiltás lehetőséget pedig a korlátozáshoz.
    • MDM (Windows, macOS és iOS/iPadOS): Válassza az Engedélyezés lehetőséget egy platform regisztrációjának engedélyezéséhez, és tiltsa le a korlátozást.
    • Személyes tulajdonú: Válassza az Engedélyezés lehetőséget, ha engedélyezni szeretné, hogy az eszközök személyes eszközként regisztráljanak és működjenek.
    • Eszközgyártó (Android): Adja meg a letiltani kívánt gyártók vesszővel tagolt listáját.
    • Minimális/maximális tartomány engedélyezése (Android, Windows, iOS/iPadOS): Adja meg a regisztrálható minimális és maximális operációsrendszer-verziót. A támogatott verzióformátumok a következők:

      • A Windows támogatja a major.minor.build.rev Windows 10 és Windows 11. Az Intune nem kapja meg a verziószámot a regisztráció során, ezért a változatszámként adja meg a 0 értéket.

      • Az Android-eszközök rendszergazdája és az Android Enterprise munkahelyi profilja támogatja a főverzió.alverzió.rev.build verziót.

      • Az iOS/iPadOS támogatja a major.minor.rev fájlt.

        Tipp

        A minimális/maximális tartomány nem vonatkozik azokra az Apple-eszközökre, amelyek az Eszközregisztrációs programban, az Apple School Managerben vagy az Apple Configurator alkalmazásban regisztrálnak. Bár az Intune nem blokkolja a hitelesítéshez Céges portál használó ADE-regisztrációkat, az operációs rendszer követelményeinek való megfelelés hatással van a regisztrációra, mivel az eszközök nem tudják létrehozni a feltételes hozzáférési szabályzatok kiértékeléséhez használt Microsoft Entra eszközrekordot. Ez akkor fordulhat elő, ha egy eszközfelhasználó "Nem sikerült leképezési eszközrekordot egy felhasználóval" hibaüzenetet kap, miután bejelentkezett a Céges portál.

  9. Válassza a Tovább gombot.

  10. Ha szeretné, adjon hozzá hatókörcímkéket a korlátozáshoz. További információ a hatókörcímkékről: Szerepköralapú hozzáférés-vezérlés és hatókörcímkék használata elosztott informatikai eszközökhöz.

    Megjegyzés:

    Ha hatókörcímkéket alkalmaz egy korlátozásra, csak a hatókörön belüli Intune-felhasználók tekinthetik meg és kezelhetik a szabályzatot. A korlátozásokat csak a hatókörrel rendelkező személyek tekinthetik meg és rendezhetik át, illetve módosíthatják annak prioritási szintjét. A korlátozás relatív prioritását akkor is láthatják, ha nem látják az összes korlátozást.

  11. Válassza a Tovább gombot.

  12. A Hozzárendelések lapon válassza a Csoportok hozzáadása lehetőséget, majd a keresőmező használatával keresse meg és válassza ki a csoportokat. Ha a korlátozást az összes eszközfelhasználóhoz szeretné hozzárendelni, válassza az Összes felhasználó hozzáadása lehetőséget. Ha nem rendel hozzá korlátozást legalább egy csoporthoz, a korlátozás nem lép érvénybe.

  13. Ha szeretné, a csoportok hozzárendelése után válassza a Szűrő szerkesztése lehetőséget a szabályzat-hozzárendelés szűrőkkel történő további korlátozásához. A szűrők macOS, iOS és Windows rendszerű szabályzatokhoz érhetők el. További információ: Hozzárendelési szűrők alkalmazása (ebben a cikkben).

  14. Válassza a Tovább gombot.

  15. Tekintse át a szabályzatot, majd a létrehozáshoz válassza a Létrehozás lehetőséget.

Az új korlátozási szabályzatot és annak tulajdonságait a Regisztrációs eszközplatform-korlátozások>Eszköztípus-korlátozások táblázatban tekintheti meg. A korlátozást kijelölve és húzva áthelyezheti a táblában, és módosíthatja a prioritását.

Hozzárendelési szűrők alkalmazása

A hozzárendelési szűrőkkel további eszközöket is belefoglalhat és kizárhat bizonyos csoportspecifikus szabályzatokból. A regisztrációs korlátozások és az ESP-szabályzatok egyaránt támogatják a hozzárendelési szűrők használatát.

Szűrővel például engedélyezheti a személyes Windows-eszközök regisztrálását, miközben letilthatja azokat az eszközöket, amelyek egy adott operációsrendszer-termékváltozatot futtatnak. Az eredmény eléréséhez alkalmazzon egy előre konfigurált szűrőt a regisztrációkorlátozási hozzárendelésekre. A szűrőnek meg kell adni a tulajdonságot a operatingSystemSKU szabályaiban. Példalépések:

  1. Platformregisztráció-korlátozási szabályzat létrehozása Windowshoz.
  2. A platformbeállítások között válassza ki azt a beállítást, amely lehetővé teszi a személyes eszközök regisztrálását.
  3. A hozzárendelési beállítások között válassza ki a hozzárendelni kívánt csoportokat.
  4. Válassza a Szűrő szerkesztése lehetőséget, majd alkalmazza a tulajdonságot tartalmazó előre konfigurált szűrőt operatingSystemSKU . Az alkalmazott tulajdonság letiltja Windows 10 Home kiadást futtató eszközöket.

További információ a szűrők létrehozásáról: Szűrő létrehozása.

Támogatott szűrőtulajdonságok

A regisztrációs korlátozások kevesebb szűrőtulajdonság használatát támogatják, mint a többi, csoportra vonatkozó szabályzat. Ennek az az oka, hogy az eszközök még nincsenek regisztrálva, ezért az Intune nem rendelkezik az összes tulajdonság támogatásához szükséges eszközinformációval. A tulajdonságok korlátozott választéka a következő esetekben jelenik meg:

  • Eszközplatform-korlátozási szabályzat konfigurálása Apple- és Windows-eszközökhöz.
  • Konfiguráljon egy regisztrációs állapotlapra (ESP) vonatkozó szabályzatot a Windowshoz.
  • Szerkessze a regisztrációs korlátozásban vagy ESP-profilban használt szűrőt.

A következő szűrőtulajdonságok mindig használhatók a regisztrációs szabályzatokkal:

A Windows

  • Operációs rendszer verziója
  • Operációs rendszer termékváltozata
  • Tulajdon
  • Regisztrációs profil neve

iOS/iPadOS és macOS

  • Gyártó
  • Modell
  • Operációs rendszer verziója
  • Tulajdon
  • Regisztrációs profil neve

További információ ezekről a tulajdonságokról: eszköztulajdonságok. A szűrők nem használhatók androidos regisztrációs korlátozásokkal.

Regisztrációs korlátozások szerkesztése

A módosítások az új regisztrációkra vonatkoznak, és nincsenek hatással a már regisztrált eszközökre.

  1. Térjen vissza az Eszközök>regisztrálása területre.
  2. Válassza az Eszközplatform korlátozásai lehetőséget.
  3. Az Eszköztípus-korlátozások táblában válassza ki a módosítani kívánt szabályzat nevét.
  4. Válassza a Tulajdonságok parancsot.
  5. Válassza a Szerkesztés lehetőséget.
  6. Végezze el a kívánt módosításokat, és válassza az Áttekintés + mentés lehetőséget.
  7. Tekintse át a módosításokat, és válassza a Mentés lehetőséget.