Co to są ograniczenia rejestracji?
Dotyczy
- Android
- iOS
- macOS
- Windows 10
- Windows 11
Ograniczenia rejestracji urządzeń pozwalają ograniczyć rejestrowanie urządzeń w Intune na podstawie określonych atrybutów urządzeń. Istnieją dwa typy ograniczeń rejestracji urządzeń, które można skonfigurować w Microsoft Intune:
- Ograniczenia platformy urządzeń: ograniczanie urządzeń na podstawie platformy urządzenia, wersji, producenta lub typu własności.
- Ograniczenia limitu urządzeń: ogranicz liczbę urządzeń, które użytkownik może zarejestrować w Intune.
Każdy typ ograniczeń zawiera jedną domyślną zasadę, którą można edytować i dostosowywać zgodnie z potrzebami. Intune stosuje zasady domyślne do wszystkich rejestracji bez użytkowników i użytkowników do momentu przypisania zasad o wyższym priorytecie.
Ten artykuł zawiera omówienie dostępnych ograniczeń rejestracji i ograniczeń funkcji. Aby rozpocząć tworzenie ograniczeń, przejdź do pozycji Następne kroki (w tym artykule).
Dostępne ograniczenia
W centrum administracyjnym można skonfigurować następujące ograniczenia:
- Limit urządzenia
- Platforma urządzeń
- Wersja systemu operacyjnego
- Producent urządzenia
- Własność urządzenia (urządzenia należące do użytkownika)
Limit urządzenia
Ogranicz liczbę urządzeń, które osoba może zarejestrować. Możesz ustawić limit urządzenia z zakresu od 1 do 15.
Ta konfiguracja znajduje się w centrum administracyjnym w obszarze Ograniczenia limitu urządzeń rejestracji.
Platforma urządzeń
Blokuj urządzenia uruchomione na określonej platformie urządzeń. To ograniczenie można zastosować do urządzeń z systemem:
- Administratora urządzenia z systemem Android
- Profil służbowy systemu Android Enterprise
- iOS/iPadOS
- macOS
- Windows 10/11
W grupach, w których obie platformy systemu Android są dozwolone, urządzenia obsługujące profil służbowy będą rejestrowane przy użyciu profilu służbowego. Urządzenia, które nie obsługują profilu służbowego, będą rejestrowane na platformie administratora urządzeń z systemem Android. Rejestracja profilu służbowego ani administratora urządzenia nie będzie działać do momentu ukończenia wszystkich wymagań wstępnych dotyczących rejestracji w systemie Android.
To ograniczenie znajduje się w centrum administracyjnym w obszarze Ograniczenia platformy urządzeń rejestracji.
Wersja systemu operacyjnego
To ograniczenie wymusza maksymalne i minimalne wymagania dotyczące wersji systemu operacyjnego. Ten typ ograniczeń działa w następujących systemach operacyjnych:
- Administrator urządzeń z systemem Android*
- Profil służbowy systemu Android Enterprise*
- iOS/iPadOS*
- System Windows
* Ograniczenia wersji są obsługiwane w tych systemach operacyjnych tylko dla urządzeń zarejestrowanych za pośrednictwem Intune — Portal firmy.
To ograniczenie znajduje się w centrum administracyjnym w obszarze Ograniczenia platformy urządzeń rejestracji.
Producent urządzenia
To ograniczenie blokuje urządzenia wytwarzane przez określonych producentów i ma zastosowanie tylko do urządzeń z systemem Android. Znajduje się ono w centrum administracyjnym w obszarze Ograniczenia platformy urządzeń rejestracji.
Urządzenia należące do użytkownika
To ograniczenie pomaga uniemożliwić użytkownikom urządzeń przypadkowe rejestrowanie urządzeń osobistych i dotyczy urządzeń z systemem:
- Android
- System operacyjny iOS/iPad
- macOS
- Windows 10/11
To ograniczenie znajduje się w centrum administracyjnym w obszarze Ograniczenia platformy urządzeń rejestracji.
Blokowanie osobistych urządzeń z systemem Android
Domyślnie, dopóki nie wprowadzisz ręcznie zmian w centrum administracyjnym, ustawienia urządzenia z profilem służbowym systemu Android Enterprise i ustawienia urządzenia administratora urządzeń z systemem Android będą takie same.
Jeśli zablokujesz rejestrację profilu służbowego systemu Android Enterprise na urządzeniach osobistych, tylko urządzenia należące do firmy mogą rejestrować się w profilach służbowych należących do użytkownika.
Blokowanie osobistych urządzeń z systemem iOS/iPadOS
Domyślnie Intune klasyfikuje urządzenia z systemem iOS/iPadOS jako należące do użytkownika. Aby można je było sklasyfikować jako należące do firmy, urządzenie z systemem iOS/iPadOS musi spełniać jeden z następujących warunków:
- Zarejestrowano przy użyciu numeru seryjnego lub imei.
- Zarejestrowane przy użyciu zautomatyzowanej rejestracji urządzeń (dawniej Device Enrollment Program).
Uwaga
Profil rejestracji użytkowników systemu iOS zastępuje zasady ograniczeń rejestracji. Aby uzyskać więcej informacji, zobacz Konfigurowanie rejestracji użytkowników w systemach iOS/iPadOS i iPadOS (wersja zapoznawcza).
Blokowanie osobistych komputerów Mac
Domyślnie Intune klasyfikuje urządzenia z systemem macOS jako należące do użytkownika. Aby można je było sklasyfikować jako należące do firmy, komputer Mac musi spełnić jeden z następujących warunków:
- Zarejestrowano przy użyciu numeru seryjnego.
- Zarejestrowane przy użyciu zautomatyzowanej rejestracji urządzeń (dawniej Device Enrollment Program).
Blokowanie osobistych urządzeń z systemem Windows
Jeśli zablokujesz rejestrację urządzeń osobistych z systemem Windows, Intune sprawdza, czy każde nowe żądanie rejestracji systemu Windows zostało autoryzowane do rejestracji firmowej. Nieautoryzowane rejestracje są blokowane.
Następujące metody rejestracji są autoryzowane do rejestracji firmowej:
- Urządzenie jest rejestrowane za pośrednictwem rozwiązania Windows Autopilot.
- Urządzenie jest rejestrowane za pośrednictwem obiektu zasad grupy lub automatycznej rejestracji z Configuration Manager na potrzeby współzarządzania.
- Urządzenie jest rejestrowane za pośrednictwem pakietu aprowizacji zbiorczej.
- Użytkownik rejestrujący korzysta z konta menedżera rejestracji urządzeń.
Uwaga
Ponieważ urządzenie współzarządzane rejestruje się w usłudze Microsoft Intune na podstawie tokenu urządzenia Azure AD, a nie tokenu użytkownika, dotyczy go tylko domyślne ograniczenie rejestracji Intune.
Intune oznacza urządzenia przechodzące przez następujące typy rejestracji jako należące do firmy i blokuje ich rejestrację (chyba że są zarejestrowane w rozwiązaniu Autopilot), ponieważ te metody nie oferują kontroli administratora Intune na urządzenie:
- Automatyczna rejestracja w usłudze MDM przy użyciu dołączania do usługi Azure Active Directory podczas instalacji systemu Windows.
- Automatyczna rejestracja w usłudze MDM przy użyciu dołączania do usługi Azure Active Directory z poziomu ustawień systemu Windows.
Intune blokuje również urządzenia osobiste przy użyciu następujących metod rejestracji:
- Automatyczna rejestracja w usłudze MDM przy użyciu opcji Dodaj konto służbowe z ustawień systemu Windows.
- Tylko opcja rejestracji mdm z ustawień systemu Windows.
Ważna
Automatyczna rejestracja w usłudze MDM przy użyciu opcji Dodaj konto służbowe z ustawień systemu Windows (dołączanie do miejsca pracy) zakończy się niepowodzeniem, jeśli urządzenie zostanie zarejestrowane przy użyciu rozwiązania Autopilot.
Ograniczenia
Ograniczenia rejestracji są stosowane do użytkowników. W przypadku scenariuszy rejestracji, które nie są sterowane przez użytkownika, takich jak tryb samodzielnego wdrażania rozwiązania Windows Autopilot, rejestracja zbiorcza (WCD) lub usługa Azure Virtual Desktop, Intune wymusza zasady domyślne.
Ograniczeń limitu urządzeń nie można zastosować do urządzeń w następujących scenariuszach rejestracji systemu Windows, ponieważ w tych scenariuszach jest używany tryb urządzenia udostępnionego:
- Rejestracje współzarządzane
- rejestracje zasady grupy (GPO)
- Rejestracje przyłączone do usługi Azure Active Directory (Azure AD), w tym rejestracje zbiorcze
- Rejestracje rozwiązania Windows Autopilot
- Rejestracje menedżera rejestracji urządzeń
Zamiast tego można skonfigurować twardy limit dla tych typów rejestracji w Azure AD. Aby uzyskać więcej informacji, zobacz Zarządzanie tożsamościami urządzeń przy użyciu Azure Portal.
Następne kroki
Wybierz typ ograniczenia rejestracji, które chcesz zastosować, i utwórz profil: