Tworzenie ograniczeń platformy urządzeń
Dotyczy: Android, iOS/iPadOS, macOS, Windows 10, Windows 11
Utwórz zasady ograniczeń rejestracji na platformie urządzeń, aby ograniczyć rejestrowanie urządzeń w usłudze Intune. Dostępne ograniczenia obejmują:
- Platforma urządzeń
- Wersja systemu operacyjnego
- Producent
- Własność (własność osobista)
Możesz utworzyć nowe zasady ograniczeń platformy urządzeń w centrum administracyjnym usługi Microsoft Intune lub użyć domyślnych zasad, które są już dostępne. Możesz mieć do 25 zasad ograniczeń platformy urządzeń.
W tym artykule opisano ograniczenia platformy urządzeń obsługiwane w usłudze Microsoft Intune oraz sposób ich konfigurowania w centrum administracyjnym.
Kontrola dostępu oparta na rolach
Aby utworzyć ograniczenia platformy urządzeń w usłudze Microsoft Intune, musisz mieć przypisaną funkcję administratora usługi Intune. Ta rola jest wbudowana w identyfikator Entra firmy Microsoft i może:
Tworzenie ograniczeń platformy urządzeń
Edytowanie ograniczeń platformy urządzeń
Usuwanie ograniczeń platformy urządzeń
Ponowne zapisywanie ograniczeń platformy urządzeń
Wszystkie inne wbudowane role usługi Intune mają dostęp tylko do odczytu do ograniczeń platformy urządzeń. Tagi zakresu można zastosować do ograniczenia platformy urządzenia w celu dalszego ograniczenia dostępu. Aby uzyskać więcej informacji na temat kontroli dostępu opartej na rolach (RBAC), zobacz RBAC with Microsoft Intune (Kontrola dostępu oparta na rolach w usłudze Microsoft Intune).
Zasady domyślne
Usługa Microsoft Intune udostępnia jedną domyślną zasadę dla ograniczeń platformy urządzeń, które można edytować i dostosowywać zgodnie z potrzebami. Usługa Intune stosuje zasady domyślne do wszystkich rejestracji bez użytkowników i użytkowników do momentu przypisania zasad o wyższym priorytecie.
Najlepsze rozwiązanie — ograniczenia platformy systemu Android
Ponieważ usługa Intune obsługuje dwie platformy systemu Android, ważne jest, aby zrozumieć, jak działają ograniczenia wersji systemu operacyjnego, gdy są używane z ograniczeniami platformy urządzeń:
- Jeśli zezwolisz obu platformom na tę samą grupę, a następnie uściślisz ją pod kątem określonych i nieobróbowanych wersji, usługa Intune przyjrzy się wersji, aby określić przepływ rejestracji urządzeń z systemem Android.
- Jeśli zezwolisz na obie platformy, ale zablokujesz te same wersje, urządzenia z zablokowanymi wersjami nie będą mogły zostać zarejestrowane. Użytkownicy na tych urządzeniach są wysyłani za pośrednictwem przepływu rejestracji administratora urządzeń z systemem Android, zanim zostaną zablokowani i wyświetlą monit o wylogowanie.
Ważna
Usługa Microsoft Intune kończy obsługę zarządzania urządzeniami z systemem Android na urządzeniach z dostępem do usług Google Mobile Services (GMS) 31 grudnia 2024 r. Po tej dacie rejestracja urządzeń, pomoc techniczna, poprawki błędów i poprawki zabezpieczeń będą niedostępne. Jeśli obecnie używasz zarządzania administratorem urządzeń, zalecamy przejście na inną opcję zarządzania systemem Android w usłudze Intune przed zakończeniem pomocy technicznej. Aby uzyskać więcej informacji, zobacz Zakończ obsługę administratora urządzeń z systemem Android na urządzeniach GMS.
Tworzenie ograniczenia platformy urządzeń
Zaloguj się do centrum administracyjnego usługi Microsoft Intune i przejdź do pozycji Urządzenia.
W obszarze Dołączanie urządzenia wybierz pozycję Rejestracja.
W obszarze Opcje rejestracji wybierz pozycję Ograniczenie platformy urządzenia.
Wybierz kartę w górnej części strony, która odpowiada konfigurowanej platformie. Dostępne opcje:
- Ograniczenia systemu Windows
- Ograniczenia systemu Android
- Ograniczenia systemu macOS
- Ograniczenia systemu iOS
Wybierz pozycję Utwórz ograniczenie.
Na stronie Podstawy nadaj ograniczeniu nazwę i opcjonalny opis.
Wybierz pozycję Dalej.
Na stronie Ustawienia platformy skonfiguruj ograniczenia dla wybranej platformy. Dostępne opcje:
Platforma (Android): wybierz pozycję Zezwalaj , aby zezwolić platformie na rejestrację, i blokuj , aby ją ograniczyć.
MDM (Windows, macOS i iOS/iPadOS): wybierz pozycję Zezwalaj na rejestrację platformy i Blokuj , aby ją ograniczyć.
Własność osobista: wybierz pozycję Zezwalaj, aby zezwolić urządzeniom na rejestrowanie i działanie jako urządzenia osobiste.
Producent urządzenia (Android): wprowadź rozdzielaną przecinkami listę producentów, których chcesz zablokować.
Zezwalaj na minimalny/maksymalny zakres (Android, Windows, iOS/iPadOS): wprowadź minimalną i maksymalną dozwoloną wersję systemu operacyjnego. Obsługiwane formaty wersji obejmują:
System Windows obsługuje plik major.minor.build.rev dla systemów Windows 10 i Windows 11. Usługa Intune nie otrzymuje numeru poprawki podczas rejestracji, więc wprowadź wartość 0 , aby uzyskać numer poprawki.
Administrator urządzeń z systemem Android i profil służbowy systemu Android Enterprise obsługują plik major.minor.rev.build.
System iOS/iPadOS obsługuje plik major.minor.rev.
Porada
Zakres minimalny/maksymalny nie ma zastosowania do urządzeń firmy Apple, które rejestrują się w programie Device Enrollment Program, apple school manager lub aplikacji Apple Configurator. Mimo że usługa Intune nie blokuje rejestracji ADE, które używają portalu firmy do uwierzytelniania, niespełnienie wymagań systemu operacyjnego ma wpływ na rejestrację, ponieważ urządzenia nie mogą utworzyć rekordu urządzenia Microsoft Entra używanego do oceny zasad dostępu warunkowego. Jeśli użytkownik urządzenia otrzyma komunikat o błędzie z komunikatem "Nie można zamapować rekordu urządzenia z użytkownikiem" po zalogowaniu się do Portalu firmy, możesz poinformować o tym użytkownika.
Wybierz pozycję Dalej.
Opcjonalnie dodaj tagi zakresu do ograniczenia. Aby uzyskać więcej informacji na temat tagów zakresu, zobacz Używanie kontroli dostępu opartej na rolach i tagów zakresu dla rozproszonego it.
Uwaga
Jeśli zastosujesz tagi zakresu do ograniczenia, tylko użytkownicy usługi Intune w zakresie będą mogli wyświetlać zasady i zarządzać nimi. Tylko osoby w zakresie mogą wyświetlać i zmieniać kolejność ograniczeń lub zmieniać jego poziom priorytetu. Mogą również zobaczyć względny priorytet ograniczenia, nawet jeśli nie widzą wszystkich ograniczeń.
Wybierz pozycję Dalej.
Na stronie Przypisania wybierz pozycję Dodaj grupy , a następnie użyj pola wyszukiwania, aby znaleźć i wybrać grupy. Aby przypisać ograniczenie do wszystkich użytkowników urządzeń, wybierz pozycję Dodaj wszystkich użytkowników. Jeśli nie przypiszesz ograniczenia do co najmniej jednej grupy, ograniczenie nie zostanie zastosowane.
Opcjonalnie po przypisaniu grup wybierz pozycję Edytuj filtr , aby jeszcze bardziej ograniczyć przypisanie zasad przy użyciu filtrów. Filtry są dostępne dla zasad systemu macOS, iOS i Windows. Aby uzyskać więcej informacji, zobacz Stosowanie filtrów przypisań w tym artykule.
Wybierz pozycję Dalej.
Przejrzyj zasady, a następnie wybierz pozycję Utwórz , aby je utworzyć.
Nowe zasady ograniczeń i dostęp do ich właściwości można wyświetlić w tabeli Ograniczenia dotyczące urządzeń Ograniczenia>dotyczące platformy urządzeń. Wybierz i przeciągnij ograniczenie, aby zmienić jego położenie w tabeli i zmienić jego priorytet.
Stosowanie filtrów przypisania
Filtry przypisań umożliwiają dołączanie i wykluczanie dodatkowych urządzeń z niektórych zasad docelowych dla grupy. Zarówno ograniczenia rejestracji, jak i zasady esp obsługują korzystanie z filtrów przypisań.
Na przykład możesz użyć filtru, aby zezwolić osobistym urządzeniom z systemem Windows na rejestrację podczas blokowania urządzeń z określoną jednostką SKU systemu operacyjnego. Aby osiągnąć ten wynik, zastosuj wstępnie skonfigurowany filtr do przypisań ograniczeń rejestracji. Filtr musi mieć właściwość operatingSystemSKU
w swoich regułach. Przykładowe kroki:
- Utwórz zasady ograniczeń rejestracji platformy dla systemu Windows.
- W ustawieniach platformy wybierz opcję umożliwiającą rejestrowanie urządzeń osobistych.
- W ustawieniach przypisań wybierz grupy, które chcesz przypisać.
- Wybierz pozycję Edytuj filtr , a następnie zastosuj wstępnie skonfigurowany filtr zawierający właściwość
operatingSystemSKU
. Zastosowana właściwość blokuje urządzenia z systemem Windows 10 Home Edition.
Aby uzyskać więcej informacji na temat tworzenia filtrów, zobacz Tworzenie filtru.
Obsługiwane właściwości filtru
Ograniczenia rejestracji obsługują mniejszą liczbę właściwości filtru niż inne zasady przeznaczone dla grupy. Dzieje się tak, ponieważ urządzenia nie są jeszcze zarejestrowane, więc usługa Intune nie ma informacji o urządzeniu do obsługi wszystkich właściwości. Ograniczony wybór właściwości staje się dostępny w następujących przypadkach:
- Skonfiguruj zasady ograniczeń platformy urządzeń dla urządzeń z systemem Apple i Windows.
- Skonfiguruj zasady strony stanu rejestracji (ESP) dla systemu Windows.
- Edytuj filtr używany w ramach ograniczenia rejestracji lub profilu ESP.
Następujące właściwości filtru są zawsze dostępne do użycia z zasadami rejestracji:
Windows
- Producent — dla systemu Windows 11 w wersji 22H2 lub nowszej z KB5035942 (kompilacje systemu operacyjnego 22621.3374 i 22631.3374).
- Model — dla systemu Windows 11 w wersji 22H2 lub nowszej z KB5035942 (kompilacje systemu operacyjnego 22621.3374 i 22631.3374).
- Wersja systemu operacyjnego
- Jednostka SKU systemu operacyjnego
- Własność
- Nazwa profilu rejestracji
Systemy iOS/iPadOS i macOS
- Producent
- Model
- Wersja systemu operacyjnego
- Własność
- Nazwa profilu rejestracji
Aby uzyskać więcej informacji na temat tych właściwości, zobacz właściwości urządzenia. Filtrów nie można używać z ograniczeniami rejestracji systemu Android.
Edytowanie ograniczeń rejestracji
Zmiany są stosowane do nowych rejestracji i nie mają wpływu na urządzenia, które zostały już zarejestrowane.
- Wróć dopozycji Rejestracjaurządzeń>.
- Wybierz pozycję Ograniczenia platformy urządzeń , a następnie wybierz platformę systemu operacyjnego, do której należy ograniczenie.
- W tabeli Ograniczenia typu urządzenia wybierz nazwę zasad, które chcesz zmienić.
- Wybierz polecenie Właściwości.
- Wybierz pozycję Edytuj.
- Wprowadź zmiany i wybierz pozycję Przejrzyj i zapisz.
- Przejrzyj zmiany i wybierz pozycję Zapisz.