Co to są ograniczenia rejestracji?

Dotyczy

• Android
• iOS
• macOS
• Windows 10
• Windows 11

Ważna

Microsoft Intune kończy obsługę zarządzania przez administratora urządzeń z systemem Android na urządzeniach z dostępem do usług Google Mobile Services (GMS) 30 sierpnia 2024 r. Po tej dacie rejestracja urządzeń, pomoc techniczna, poprawki błędów i poprawki zabezpieczeń będą niedostępne. Jeśli obecnie używasz zarządzania administratorem urządzeń, zalecamy przejście na inną opcję zarządzania systemem Android w Intune przed zakończeniem pomocy technicznej. Aby uzyskać więcej informacji, przeczytaj Zakończ obsługę administratora urządzeń z systemem Android na urządzeniach GMS.

Ograniczenia rejestracji urządzeń pozwalają ograniczyć rejestrowanie urządzeń w Intune na podstawie określonych atrybutów urządzeń. Istnieją dwa typy ograniczeń rejestracji urządzeń, które można skonfigurować w Microsoft Intune:

• Ograniczenia platformy urządzeń: ograniczanie urządzeń na podstawie platformy urządzenia, wersji, producenta lub typu własności.
• Ograniczenia limitu urządzeń: ogranicz liczbę urządzeń, które użytkownik może zarejestrować w Intune.

Każdy typ ograniczeń zawiera jedną domyślną zasadę, którą można edytować i dostosowywać zgodnie z potrzebami. Intune stosuje zasady domyślne do wszystkich rejestracji bez użytkowników i użytkowników do momentu przypisania zasad o wyższym priorytecie.

Ten artykuł zawiera omówienie dostępnych ograniczeń rejestracji i ograniczeń funkcji. Aby rozpocząć tworzenie ograniczeń, przejdź do pozycji Następne kroki (w tym artykule).

Dostępne ograniczenia

W centrum administracyjnym można skonfigurować następujące ograniczenia:

• Limit urządzenia
• Platforma urządzeń
• Wersja systemu operacyjnego
• Producent urządzenia
• Własność urządzenia (urządzenia osobiste)

Limit urządzenia

Ogranicz liczbę urządzeń, które osoba może zarejestrować. Możesz ustawić limit urządzenia z zakresu od 1 do 15.

Ta konfiguracja znajduje się w centrum administracyjnym w obszarze Ograniczenia limitu urządzeń rejestracji.

Platforma urządzeń

Ważna

Microsoft Intune kończy obsługę zarządzania przez administratora urządzeń z systemem Android na urządzeniach z dostępem do usług Google Mobile Services (GMS) 30 sierpnia 2024 r. Po tej dacie rejestracja urządzeń, pomoc techniczna, poprawki błędów i poprawki zabezpieczeń będą niedostępne. Jeśli obecnie używasz zarządzania administratorem urządzeń, zalecamy przejście na inną opcję zarządzania systemem Android w Intune przed zakończeniem pomocy technicznej. Aby uzyskać więcej informacji, przeczytaj Zakończ obsługę administratora urządzeń z systemem Android na urządzeniach GMS.

Blokuj urządzenia uruchomione na określonej platformie urządzeń. To ograniczenie można zastosować do urządzeń z systemem:

• Administratora urządzenia z systemem Android
• Profil służbowy systemu Android Enterprise
• iOS/iPadOS
• macOS
• Windows 10/11

W grupach, w których obie platformy systemu Android są dozwolone, urządzenia obsługujące profil służbowy będą rejestrowane przy użyciu profilu służbowego. Urządzenia, które nie obsługują profilu służbowego, będą rejestrowane na platformie administratora urządzeń z systemem Android. Rejestracja profilu służbowego ani administratora urządzenia nie będzie działać do momentu ukończenia wszystkich wymagań wstępnych dotyczących rejestracji w systemie Android.

To ograniczenie znajduje się w centrum administracyjnym w obszarze Ograniczenia platformy urządzeń rejestracji.

Wersja systemu operacyjnego

To ograniczenie wymusza maksymalne i minimalne wymagania dotyczące wersji systemu operacyjnego. Ten typ ograniczeń działa w następujących systemach operacyjnych:

• Administrator urządzeń z systemem Android*
• Profil służbowy systemu Android Enterprise*
• iOS/iPadOS*
• System Windows

* Ograniczenia wersji są obsługiwane w tych systemach operacyjnych tylko dla urządzeń zarejestrowanych za pośrednictwem Intune — Portal firmy.

To ograniczenie znajduje się w centrum administracyjnym w obszarze Ograniczenia platformy urządzeń rejestracji.

Producent urządzenia

To ograniczenie blokuje urządzenia wytwarzane przez określonych producentów i ma zastosowanie tylko do urządzeń z systemem Android. Znajduje się ono w centrum administracyjnym w obszarze Ograniczenia platformy urządzeń rejestracji.

Urządzenia należące do użytkownika

To ograniczenie pomaga uniemożliwić użytkownikom urządzeń przypadkowe rejestrowanie urządzeń osobistych i dotyczy urządzeń z systemem:

• Android
• System operacyjny iOS/iPad
• macOS
• Windows 10/11

To ograniczenie znajduje się w centrum administracyjnym w obszarze Ograniczenia platformy urządzeń rejestracji.

Blokowanie osobistych urządzeń z systemem Android

Domyślnie, dopóki nie wprowadzisz ręcznie zmian w centrum administracyjnym, ustawienia urządzenia z profilem służbowym systemu Android Enterprise i ustawienia urządzenia administratora urządzeń z systemem Android będą takie same.

Jeśli zablokujesz rejestrację profilu służbowego systemu Android Enterprise na urządzeniach osobistych, tylko urządzenia należące do firmy mogą rejestrować się przy użyciu profilów służbowych należących do użytkownika.

Blokowanie osobistych urządzeń z systemem iOS/iPadOS

Domyślnie Intune klasyfikuje urządzenia z systemem iOS/iPadOS jako należące do użytkownika. Aby można je było sklasyfikować jako należące do firmy, urządzenie z systemem iOS/iPadOS musi spełniać jeden z następujących warunków:

• Zarejestrowano przy użyciu numeru seryjnego lub imei.
• Zarejestrowane przy użyciu zautomatyzowanej rejestracji urządzeń (dawniej Device Enrollment Program).

Uwaga

Profil rejestracji użytkowników systemu iOS zastępuje zasady ograniczeń rejestracji. Aby uzyskać więcej informacji, zobacz Konfigurowanie rejestracji użytkowników w systemach iOS/iPadOS i iPadOS (wersja zapoznawcza).

Blokowanie osobistych komputerów Mac

Domyślnie Intune klasyfikuje urządzenia z systemem macOS jako należące do użytkownika. Aby można je było sklasyfikować jako należące do firmy, komputer Mac musi spełnić jeden z następujących warunków:

• Zarejestrowano przy użyciu numeru seryjnego.
• Zarejestrowane za pośrednictwem usługi Apple Automated Device Enrollment (ADE).

Blokowanie osobistych urządzeń z systemem Windows

Jeśli zablokujesz rejestrację urządzeń osobistych z systemem Windows, Intune sprawdza, czy każde nowe żądanie rejestracji systemu Windows zostało autoryzowane do rejestracji firmowej. Nieautoryzowane rejestracje są blokowane.

Następujące metody rejestracji są autoryzowane do rejestracji firmowej:

• Urządzenie jest rejestrowane za pośrednictwem rozwiązania Windows Autopilot.
• Urządzenie jest rejestrowane za pośrednictwem obiektu zasad grupy lub automatycznej rejestracji z Configuration Manager na potrzeby współzarządzania.
• Urządzenie jest rejestrowane za pośrednictwem pakietu aprowizacji zbiorczej.
• Użytkownik rejestrujący korzysta z konta menedżera rejestracji urządzeń.

Uwaga

Ponieważ urządzenie współzarządzane rejestruje się w usłudze Microsoft Intune na podstawie tokenu urządzenia Microsoft Entra, a nie tokenu użytkownika, dotyczy go tylko domyślne ograniczenie rejestracji Intune.

Intune oznacza urządzenia przechodzące przez następujące typy rejestracji jako należące do firmy i blokuje ich rejestrację (chyba że są zarejestrowane w rozwiązaniu Autopilot), ponieważ te metody nie oferują kontroli administratora Intune na urządzenie:

• Automatyczna rejestracja w usłudze MDM przy użyciu Microsoft Entra dołączania podczas instalacji systemu Windows.
• Automatyczna rejestracja w usłudze MDM przy użyciu Microsoft Entra dołączania z ustawień systemu Windows.
• Automatyczna rejestracja w usłudze MDM przy użyciu sprzężenia Microsoft Entra lub przyłączania hybrydowego do usługi Entra za pośrednictwem Windows Autopilot dla istniejących urządzeń.

Intune blokuje również urządzenia osobiste przy użyciu następujących metod rejestracji:

• Automatyczna rejestracja w usłudze MDM przy użyciu opcji Dodaj konto służbowe z ustawień systemu Windows.
• Tylko opcja rejestracji mdm z ustawień systemu Windows.
• Rejestracja przy użyciu aplikacji Intune — Portal firmy.
• Rejestracja za pośrednictwem aplikacji platformy Microsoft 365, która występuje, gdy użytkownicy wybierają opcję Zezwalaj mojej organizacji na zarządzanie moim urządzeniem podczas logowania do aplikacji.

Ważna

Rejestracja urządzeń przyłączonych do aplikacji Workplace Join może zostać zablokowana, jeśli kiedykolwiek były one Microsoft Entra przyłączone do dzierżawy. Aby uniknąć zablokowania, wyrejestruj i usuń skojarzony obiekt urządzenia w Tożsamość Microsoft Entra przed próbą dołączenia urządzenia za pomocą funkcji Dołączanie do miejsca pracy.

Ograniczenia

• Ograniczenia rejestracji są stosowane do użytkowników. W przypadku scenariuszy rejestracji, które nie są sterowane przez użytkownika, takich jak tryb samodzielnego wdrażania rozwiązania Windows Autopilot i rozwiązanie Autopilot na potrzeby wstępnie aprowizowanego wdrożenia, rejestracji zbiorczej (WCD), usługi Azure Virtual Desktop lub bezustanowej automatycznej rejestracji urządzeń firmy Apple (ADE bez koligacji urządzenia użytkownika), Intune wymusza zasady domyślne.

• Ograniczeń limitu urządzeń nie można zastosować do urządzeń w następujących scenariuszach rejestracji systemu Windows, ponieważ w tych scenariuszach jest używany tryb urządzenia udostępnionego:

  • Rejestracje współzarządzane
  • rejestracje zasady grupy (GPO)
  • Microsoft Entra rejestracje przyłączone, w tym rejestracje zbiorcze
  • Rejestracje rozwiązania Windows Autopilot
  • Rejestracje menedżera rejestracji urządzeń

  Zamiast tego można skonfigurować twardy limit dla tych typów rejestracji w Tożsamość Microsoft Entra. Aby uzyskać więcej informacji, zobacz Zarządzanie tożsamościami urządzeń przy użyciu Azure Portal.

Następne kroki

Wybierz typ ograniczenia rejestracji, które chcesz zastosować, i utwórz profil:

• Tworzenie ograniczeń rejestracji na platformie urządzeń
• Tworzenie ograniczeń rejestracji limitu urządzeń