Compartilhar via

Criar restrições da plataforma de dispositivos

  • Artigo

Aplica-se a: Android, iOS/iPadOS, macOS, Windows 10, Windows 11

Crie uma política de restrição de inscrição de plataforma de dispositivos para restringir a inscrição de dispositivos no Intune. As restrições disponíveis incluem:

  • Plataforma do dispositivo
  • Versão do SO
  • Fabricante
  • Propriedade (propriedade pessoal)

Pode criar uma nova política de restrição de plataforma de dispositivos no centro de administração do Microsoft Intune ou utilizar a política predefinida que já está disponível. Pode ter até 25 políticas de restrição da plataforma de dispositivos.

Este artigo descreve as restrições da plataforma de dispositivos suportadas no Microsoft Intune e como configurá-las no centro de administração.

Política padrão

O Microsoft Intune fornece uma política predefinida para restrições da plataforma de dispositivos que pode editar e personalizar conforme necessário. O Intune aplica a política predefinida a todas as inscrições de utilizador e sem utilizador até atribuir uma política de prioridade superior.

Melhores práticas - restrições de plataformas Android

Uma vez que o Intune suporta duas plataformas Android, é importante compreender como funcionam as restrições de versões do SO quando as utiliza com restrições da plataforma de dispositivos:

  • Se você permitir as duas plataformas do sistema operacional para o mesmo grupo e refiná-lo para versões específicas e não sobrepostas, os dispositivos passarão pelo fluxo de registro do Android escolhido para sua versão.
  • Se permitir ambas as plataformas, mas bloquear as mesmas versões, os dispositivos com versões bloqueadas não poderão ser inscritos. Os utilizadores nestes dispositivos são enviados através do fluxo de inscrição de administradores de dispositivos Android antes de serem bloqueados e ser-lhes pedido para terminarem sessão.

Importante

O Microsoft Intune vai terminar o suporte para a gestão de administradores de dispositivos Android em dispositivos com acesso ao Google Mobile Services (GMS) a 31 de dezembro de 2024. Após essa data, a inscrição de dispositivos, suporte técnico, correções de erros e correções de segurança estarão indisponíveis. Se utilizar atualmente a gestão de administradores de dispositivos, recomendamos que mude para outra opção de gestão do Android no Intune antes de o suporte terminar. Para obter mais informações, veja Terminar o suporte para administradores de dispositivos Android em dispositivos GMS.

Criar uma restrição de plataforma de dispositivo

  1. Entre no Centro de administração do Microsoft Intune.

  2. Aceda aInscrição de Dispositivos>.

  3. Selecione Restrição da plataforma de dispositivos.

  4. Selecione o separador na parte superior da página que corresponde à plataforma que está a configurar. Suas opções:

    • Restrições do Android
    • Restrições do Windows
    • Restrições do macOS
    • Restrições do iOS

  5. Selecione Criar restrição.

  6. Na página Básico, forneça à restrição um nome e uma descrição opcional.

  7. Selecione Avançar.

  8. Na página Configurações da plataforma, configure as restrições para a plataforma selecionada. Suas opções:

    • Plataforma (Android): selecione Permitir para permitir a inscrição de uma plataforma e Bloquear para a restringir.
    • MDM (Windows, macOS e iOS/iPadOS): selecione Permitir a inscrição de uma plataforma e Bloquear para a restringir.
    • Propriedade pessoal: Selecione Permitir para permitir que os dispositivos se registrem e operem como dispositivos pessoais.
    • Fabricante do dispositivo (Android): introduza uma lista separada por vírgulas dos fabricantes que pretende bloquear.
    • Permitir intervalo mínimo/máximo (Android, Windows, iOS/iPadOS): introduza as versões mínimas e máximas do SO permitidas para inscrição. Os formatos de versão com suporte incluem:

      • O Windows suporta major.minor.build.rev para Windows 10 e Windows 11. O Intune não recebe o número de revisão durante a inscrição, por isso introduza 0 para o número de revisão.

      • O administrador do dispositivo Android e o perfil de trabalho do Android Enterprise dão suporte a major.minor.rev.build.

      • O iOS/iPadOS dá suporte a major.minor.rev.

        Dica

        O intervalo mínimo/máximo não se aplica a dispositivos Apple que se inscrevem no Programa de registro de dispositivos, Gerente Escolar da Apple ou aplicativo Configurador da Apple. Embora o Intune não bloqueie as inscrições do ADE que utilizam o Portal da Empresa para autenticação, não cumprir os requisitos do SO afeta o registo porque os dispositivos não podem criar o registo do dispositivo Microsoft Entra utilizado para avaliar as políticas de Acesso Condicional. Você pode dizer que esse é o caso se um usuário do dispositivo receber uma mensagem de erro dizendo "Não foi possível mapear o registro do dispositivo com um usuário" depois de entrar no Portal da Empresa.

  9. Selecione Avançar.

  10. Opcionalmente, adicione etiquetas de âmbito à restrição. Para obter mais informações sobre marcas de escopo, veja o artigo Usar controle de acesso baseado em função e marcas de escopo para TI distribuída.

    Observação

    Se você aplicar marcas de escopo a uma restrição, somente usuários do Intune dentro do escopo poderão exibir e gerenciar a política. Apenas as pessoas no âmbito podem ver e reordenar uma restrição ou alterar o nível de prioridade. Também podem ver a prioridade relativa da restrição, mesmo que não consigam ver todas as restrições.

  11. Selecione Avançar.

  12. Na página Atribuições, selecione Adicionar grupos e use a caixa de pesquisa para encontrar e selecionar grupos. Para atribuir a restrição a todos os usuários do dispositivo, selecione Adicionar todos os usuários. Se você não atribuir uma restrição a pelo menos um grupo, a restrição não entrará em vigor.

  13. Opcionalmente, depois de atribuir os grupos, selecione Editar filtro para restringir ainda mais a atribuição da política com filtros. Os filtros estão disponíveis para as políticas do macOS, iOS e Windows. Para obter mais informações, veja Aplicar filtros de atribuição (neste artigo).

  14. Selecione Avançar.

  15. Reveja a política e, em seguida, selecione Criar para a criar.

Pode ver a nova política de restrição e aceder às respetivas propriedades na tabela Restrições da plataforma de dispositivos> de inscriçãoRestrições de tipo de dispositivo. Selecione e arraste a restrição para reposicioná-la na tabela e alterar sua prioridade.

Aplicar filtros de atribuição

Você pode utilizar filtros de atribuição para incluir e excluir dispositivos adicionais de determinadas políticas direcionadas a grupos específicos. As restrições de registro e as políticas ESP dão suporte ao uso de filtros de atribuição.

Por exemplo, é possível usar um filtro para permitir que dispositivos Windows pessoais sejam registrados ao bloquear dispositivos que executam um SKU de sistema operacional específico. Para obter esse resultado, aplique um filtro pré-configurado às suas atribuições de restrição de registro. O filtro precisa ter a propriedade operatingSystemSKU em suas regras. Etapas de exemplo:

  1. Crie uma política de restrição de registro para o Windows.
  2. Nas definições da plataforma, selecione a opção que permite a inscrição de dispositivos pessoais.
  3. Nas configurações de atribuições, selecione os grupos que você deseja atribuir.
  4. Selecione Editar filtro e aplique o filtro pré-configurado que contém a propriedade operatingSystemSKU. A propriedade aplicada bloqueia os dispositivos que executam a edição do Windows 10 Home.

Para obter mais informações sobre a criação de filtros, consulte Criar um filtro.

Propriedades de filtro compatíveis

As restrições de registro suportam menos propriedades de filtragem do que outras políticas direcionadas ao grupo. Isto acontece porque os dispositivos ainda não estão inscritos, pelo que o Intune não tem as informações do dispositivo para suportar todas as propriedades. Você verá a seleção limitada de propriedades quando:

  • Configure uma política de restrição de plataforma de dispositivos para dispositivos Windows e Apple.
  • Configurar uma política da página de status de registro (ESP) para o Windows.
  • Editar um filtro que está em uso em uma restrição de registro ou perfil ESP.

As seguintes propriedades de filtro estão sempre disponíveis para uso com políticas de registro:

Windows

  • Fabricante - Para o Windows 11, versão 22H2 e posterior
  • Modelo - Para o Windows 11, versão 22H2 e posterior
  • Versão do SO
  • SKU do Sistema Operacional
  • Propriedade
  • Nome do perfil de registro

iOS/iPadOS e macOS

  • Fabricante
  • Modelo
  • Versão do SO
  • Propriedade
  • Nome do perfil de registro

Para obter mais informações sobre essas propriedades, consulte as propriedades do dispositivo. Os filtros não podem ser utilizados com restrições de inscrição do Android.

Editar restrições de registro

As edições são aplicadas a novas inscrições e não afetam os dispositivos que já estão inscritos.

  1. Regresse àInscrição de Dispositivos>.
  2. Selecione Restrições da plataforma de dispositivos.
  3. Na tabela Restrições de tipo de dispositivo, selecione o nome da política que pretende alterar.
  4. Selecione Propriedades.
  5. Selecione Editar.
  6. Faça as suas alterações e selecione Rever + guardar.
  7. Reveja as alterações e selecione Guardar.