Wat zijn inschrijvingsbeperkingen?

Van toepassing op

• Android
• iOS
• macOS
• Windows 10
• Windows 11

Belangrijk

Microsoft Intune beëindigt de ondersteuning voor beheer van Android-apparaten op apparaten met toegang tot Google Mobile Services (GMS) op 31 december 2024. Na die datum zijn apparaatinschrijving, technische ondersteuning, bugfixes en beveiligingspatches niet meer beschikbaar. Als u momenteel apparaatbeheer gebruikt, raden we u aan over te schakelen naar een andere Android-beheeroptie in Intune voordat de ondersteuning wordt beëindigd. Zie Ondersteuning voor Android-apparaatbeheerder op GMS-apparaten beëindigen voor meer informatie.

Met apparaatinschrijvingsbeperkingen kunt u de registratie van apparaten bij Intune beperken op basis van bepaalde apparaatkenmerken. Er zijn twee typen beperkingen voor apparaatinschrijving die u kunt configureren in Microsoft Intune:

• Beperkingen voor apparaatplatforms: beperk apparaten op basis van het apparaatplatform, de versie, de fabrikant of het eigendomstype.
• Beperkingen voor apparaatlimieten: beperk het aantal apparaten dat een gebruiker kan inschrijven voor Intune.

Elk beperkingstype wordt geleverd met één standaardbeleid dat u naar behoefte kunt bewerken en aanpassen. Intune past het standaardbeleid toe op alle gebruikers- en gebruikersloze inschrijvingen totdat u een beleid met een hogere prioriteit toewijst.

Dit artikel bevat een overzicht van de beschikbare inschrijvingsbeperkingen en functiebeperkingen. Ga naar Volgende stappen (in dit artikel) om te beginnen met het maken van beperkingen.

Beschikbare beperkingen

U kunt de volgende beperkingen configureren in het beheercentrum:

• Apparaatlimiet
• Apparaatplatform
• Versie van besturingssysteem
• Apparaatfabrikant
• Apparaateigendom (apparaten in persoonlijk eigendom)

Apparaatlimiet

Stel een limiet in voor het aantal apparaten dat een persoon kan inschrijven. U kunt de apparaatlimiet instellen van 1 tot 15.

Deze configuratie bevindt zich in het beheercentrum onder Apparaatlimietbeperkingen voor inschrijving.

Apparaatplatform

Belangrijk

Microsoft Intune beëindigt de ondersteuning voor beheer van Android-apparaten op apparaten met toegang tot Google Mobile Services (GMS) op 31 december 2024. Na die datum zijn apparaatinschrijving, technische ondersteuning, bugfixes en beveiligingspatches niet meer beschikbaar. Als u momenteel apparaatbeheer gebruikt, raden we u aan over te schakelen naar een andere Android-beheeroptie in Intune voordat de ondersteuning wordt beëindigd. Zie Ondersteuning voor Android-apparaatbeheerder op GMS-apparaten beëindigen voor meer informatie.

Blokkeer apparaten die worden uitgevoerd op een specifiek apparaatplatform. U kunt deze beperking toepassen op apparaten met:

• Android apparaatbeheerder
• Android Enterprise-werkprofiel
• iOS/iPadOS
• macOS
• Windows 10/11

In groepen waar beide Android-platforms zijn toegestaan, worden apparaten die een werkprofiel ondersteunen, ingeschreven met een werkprofiel. Apparaten die geen werkprofiel ondersteunen, worden ingeschreven op het Android-apparaatbeheerplatform. De inschrijving van het werkprofiel en de apparaatbeheerder werkt niet totdat u aan alle vereisten voor Android-inschrijving hebt voldaan.

Deze beperking bevindt zich in het beheercentrum onder Apparaatplatformbeperkingen inschrijven.

Versie van besturingssysteem

Deze beperking dwingt uw maximale en minimale vereisten voor de versie van het besturingssysteem af. Dit type beperking werkt met de volgende besturingssystemen:

• Android-apparaatbeheerder*
• Android Enterprise-werkprofiel*
• iOS/iPadOS*
• Windows

* Versiebeperkingen worden alleen ondersteund op deze besturingssystemen voor apparaten die zijn ingeschreven via Intune-bedrijfsportal.

Deze beperking bevindt zich in het beheercentrum onder Apparaatplatformbeperkingen inschrijven.

Apparaatfabrikant

Deze beperking blokkeert apparaten die zijn gemaakt door specifieke fabrikanten en is alleen van toepassing op Android-apparaten. Deze bevindt zich in het beheercentrum onder Beperkingen voor het inschrijvingsplatform voor apparaten.

Apparaten in persoonlijk eigendom

Deze beperking helpt te voorkomen dat apparaatgebruikers hun persoonlijke apparaten per ongeluk registreren en is van toepassing op apparaten met:

• Android
• iOS/iPad OS
• macOS
• Windows 10/11

Deze beperking bevindt zich in het beheercentrum onder Apparaatplatformbeperkingen inschrijven.

Persoonlijke Android-apparaten blokkeren

Totdat u handmatig wijzigingen aanbrengt in het beheercentrum, zijn de apparaatinstellingen van uw Android Enterprise-werkprofiel en de apparaatinstellingen voor Android-apparaatbeheerder standaard hetzelfde.

Als u de inschrijving van Android Enterprise-werkprofielen op persoonlijke apparaten blokkeert, kunnen alleen apparaten in bedrijfseigendom worden ingeschreven met werkprofielen in persoonlijk eigendom.

Persoonlijke iOS-/iPadOS-apparaten blokkeren

Standaard classificeert Intune iOS-/iPadOS-apparaten als persoonlijk eigendom. Als u wilt worden geclassificeerd als bedrijfseigendom, moet een iOS-/iPadOS-apparaat voldoen aan een van de volgende voorwaarden:

• Geregistreerd met een serienummer of IMEI.
• Ingeschreven met behulp van geautomatiseerde apparaatinschrijving (voorheen Device Enrollment Program).

Opmerking

Een iOS-gebruikersinschrijvingsprofiel overschrijft een beperkingsbeleid voor inschrijvingen. Zie iOS-/iPadOS- en iPadOS-gebruikersinschrijving (preview) instellen voor meer informatie.

Persoonlijke Macs blokkeren

Standaard classificeert Intune macOS-apparaten als persoonlijk eigendom. Als u wilt worden geclassificeerd als bedrijfseigendom, moet een Mac voldoen aan een van de volgende voorwaarden:

• Geregistreerd met een serienummer.
• Ingeschreven via ADE (Automated Device Enrollment) van Apple.

Persoonlijke Windows-apparaten blokkeren

Als u de inschrijving van Windows-apparaten in persoonlijk eigendom blokkeert, controleert Intune of elke nieuwe Windows-inschrijvingsaanvraag is geautoriseerd voor bedrijfsinschrijving. Niet-geautoriseerde inschrijvingen worden geblokkeerd.

De volgende inschrijvingsmethoden zijn geautoriseerd voor bedrijfsinschrijving:

• Het apparaat wordt ingeschreven via Windows Autopilot.
• Het apparaat wordt ingeschreven via GPO of automatische inschrijving van Configuration Manager voor co-beheer.
• Het apparaat wordt ingeschreven via een bulksgewijs inrichtingspakket.
• De ingeschreven gebruiker gebruikt een apparaatinschrijvingsmanageraccount.

Opmerking

Omdat een medebeheerd apparaat wordt ingeschreven in de Microsoft Intune-service op basis van het Microsoft Entra apparaattoken en geen gebruikerstoken, is alleen de standaard Intune inschrijvingsbeperking van toepassing op het apparaat.

Intune markeert apparaten die de volgende typen inschrijvingen doorlopen als bedrijfseigendom en blokkeert ze voor inschrijving (tenzij geregistreerd bij Autopilot), omdat deze methoden de Intune beheerder per apparaat niet kunnen beheren:

• Automatische MDM-inschrijving met Microsoft Entra deelnemen tijdens de installatie van Windows.
• Automatische MDM-inschrijving met Microsoft Entra join vanuit Windows-instellingen.
• Automatische MDM-inschrijving met Microsoft Entra join of hybride Entra-deelname via Windows Autopilot voor bestaande apparaten.

Intune blokkeert ook persoonlijke apparaten met behulp van deze inschrijvingsmethoden:

• Automatische MDM-inschrijving met Werkaccount toevoegen vanuit Windows-instellingen.
• Alleen de optie MDM-inschrijving via Windows-instellingen.
• Inschrijving met behulp van de Intune-bedrijfsportal-app.
• Inschrijving via een Microsoft 365-app. Dit gebeurt wanneer gebruikers de optie Mijn organisatie toestaan mijn apparaat te beheren selecteren tijdens het aanmelden bij de app.

Belangrijk

Apparaten die lid zijn van Workplace Join, kunnen worden geblokkeerd voor registratie als ze ooit eerder zijn Microsoft Entra toegevoegd aan de tenant. Als u wilt voorkomen dat het apparaat wordt geblokkeerd, moet u de registratie ongedaan maken en het bijbehorende object verwijderen in Microsoft Entra ID voordat u probeert het apparaat te koppelen via Workplace Join.

Beperkingen

• Inschrijvingsbeperkingen worden toegepast op inschrijvingen die op gebruikers gebaseerd zijn. Intune dwingt het standaardbeleid af in inschrijvingsscenario's die niet op basis van de gebruiker zijn, zoals:

  • Windows Autopilot zelf-implementerende modus en Autopilot voor vooraf ingerichte implementatie
  • Bulkinschrijving via Windows Configuration Designer
  • Geautomatiseerde apple-apparaatinschrijving zonder gebruiker (zonder gebruikers-apparaataffiniteit)
  • Azure Virtual Desktop
  • Windows 365

• Beperkingen voor apparaatlimieten kunnen niet worden toegepast op apparaten in de volgende Windows-inschrijvingsscenario's, omdat deze scenario's gebruikmaken van de modus voor gedeelde apparaten:

  • Co-beheerde inschrijvingen
  • groepsbeleid (GPO)-inschrijvingen
  • Microsoft Entra gekoppelde inschrijvingen, inclusief bulkinschrijvingen
  • Windows Autopilot-inschrijvingen
  • Inschrijvingen van apparaatinschrijvingsmanagers

  In plaats daarvan kunt u een vaste limiet configureren voor deze inschrijvingstypen in Microsoft Entra ID. Zie Apparaat-id's beheren met behulp van de Azure Portal voor meer informatie.

Volgende stappen

Selecteer het type inschrijvingsbeperking dat u wilt toepassen en maak het profiel:

• Inschrijvingsbeperkingen voor apparaatplatforms maken
• Inschrijvingsbeperkingen voor apparaatlimieten maken