Definir restrições de inscrição

Como administrador da Intune, pode criar e gerir restrições de inscrição que definam quais os dispositivos que podem inscrever-se na gestão com a Intune, incluindo os:

• Número de dispositivos.
• Sistemas operativos e versões.

Pode criar várias restrições e aplicá-las a diferentes grupos de utilizadores. Pode definir a ordem prioritária para as suas diferentes restrições.

Nota

As restrições de inscrição não são funcionalidades de segurança. A identidade dos dispositivos pode ser falsificada de forma a contornar estas restrições. Estas restrições são uma forma de dissuadir utilizadores sem fins maliciosos.

As restrições de inscrição específicas que pode criar incluem:

• Número máximo de dispositivos inscritos.
• Plataformas de dispositivos que podem ser inscritas:
  • Android device administrator (Administrador de dispositivos Android)
  • Perfil de trabalho da Android Enterprise
  • iOS/iPadOS
  • macOS
  • Windows
• Versão do sistema operativo da plataforma para iOS/iPadOS, administrador de dispositivos Android, perfil de trabalho android Enterprise e Windows.
  • Versão mínima.
  • Versão máxima.
• Restringir dispositivos de propriedade pessoal (iOS, administrador de dispositivos Android, perfil de trabalho android Enterprise, macOS e Windows).

Restrições predefinidas

As restrições predefinidas são fornecidas automaticamente para as restrições de inscrição relativas ao tipo e ao limite de número de dispositivos. Pode alterar as predefinições. As restrições predefinidas aplicam-se a todas as inscrições de utilizadores e sem utilizadores. Pode substituir estas predefinições ao criar novas restrições com prioridades mais altas.

Criar uma restrição de tipo de dispositivo

1. Inscreva-se no centro de Microsoft Endpoint Manager dispositivos de administração > > As restrições de inscrição de dispositivos criam > > > restrições ao tipo de dispositivo de restrição .

2. Na página Basics, dê à restrição um Nome e Descrição opcional.

3. Escolha o próximo para ir à página de definições da Plataforma.

4. Na Plataforma, escolha Permitir as plataformas que pretende que esta restrição permita.

5. Em Versões, escolha as versões mínimas e máximas que pretende que as plataformas admissíveis suportem. No caso do iOS e Android, as restrições de versão aplicam-se apenas aos dispositivos inscritos com o Portal da Empresa. Os formatos suportados pelas versões são os seguintes:

   • Administrador de dispositivo Android e Android Enterprise suporte de perfil de trabalho major.minor.rev.build.
   • iOS/iPadOS suporta major.minor.rev. As versões do sistema operativo não se aplicam a dispositivos apple que se matriculam com o Programa de Inscrição de Dispositivos, o Apple School Manager ou a app Apple Configurator.
   • Windows suporta major.minor.build.rev apenas para Windows 10.

   Importante

   O perfil de trabalho da Android Enterprise e as plataformas de administrador de dispositivos Android têm o seguinte comportamento:

   • Se ambas as plataformas forem permitidas para o mesmo grupo, então os utilizadores serão inscritos com um perfil de trabalho se o seu dispositivo o suportar, caso contrário, irão inscrever-se como administrador do dispositivo.
   • Se ambas as plataformas forem permitidas para o grupo e refinadas para versões específicas e não sobrepostas, os utilizadores receberão o fluxo de inscrição definido para a sua versão OS.
   • Se ambas as plataformas forem permitidas, mas bloqueadas para as mesmas versões, os utilizadores em dispositivos com as versões bloqueadas serão retirados do fluxo de inscrição do administrador de dispositivos Android e depois ficam bloqueados da inscrição e levados a assinar.

   Vale a pena notar que nenhum perfil de trabalho ou inscrição de administrador de dispositivo funcionará a menos que os pré-requisitos apropriados tenham sido preenchidos na Inscrição do Android.

   Nota

   Windows 10 não fornece o número de rev durante a inscrição, por exemplo, se introduzir em 10.0.17134.100 e o dispositivo for 10.0.17134.174, será bloqueado durante a inscrição.

6. Em propriedade pessoal, escolha Permitir as plataformas que pretende permitir como dispositivos de propriedade pessoal.

7. No fabricante do dispositivo, introduza uma lista separada por vírgulas dos fabricantes que pretende bloquear.

8. Escolha o próximo para ir à página de tags Scope.

9. Na página de tags Scope, adicione opcionalmente as etiquetas de âmbito que pretende aplicar a esta restrição. Para obter mais informações sobre etiquetas de âmbito, consulte use o controlo de acesso baseado em funções e etiquetas de âmbito para TI distribuídos. Ao utilizar etiquetas de âmbito com restrições de inscrição, os utilizadores só podem reencaidá-los políticas para as quais têm âmbito. Além disso, só podem reencomendar as posições políticas para as quais têm âmbito. Os utilizadores vêem o verdadeiro número de prioridades da política em cada política. Um utilizador com âmbito pode dizer a prioridade relativa das suas políticas, mesmo que não consigam ver todas as outras políticas.

10. Escolha o próximo para ir à página atribuições.

11. Escolha Selecionar grupos para incluir e, em seguida, usar a caixa de pesquisa para encontrar grupos que deseja incluir nesta restrição. A restrição só será aplicada aos grupos à qual for atribuída. Se não atribuir uma restrição a pelo menos um grupo, a mesma não terá efeito. Em seguida, escolha Selecionar.

12. Selecione Seguinte para ir à página 'Rever + criar'.

13. Selecione Criar para criar a restrição.

14. A nova restrição é criada com uma prioridade diretamente acima das restrições predefinidas. Pode alterar a prioridade.

Criar uma restrição de limite de dispositivo

1. Inscreva-se no centro de Microsoft Endpoint Manager > restrições de inscrição de dispositivos de > administração > Criar > restrição de restrição dispositivo restrição.
2. Na página Basics, dê à restrição um Nome e Descrição opcional.
3. Escolha o próximo para ir à página limite do dispositivo.
4. Para o limite do dispositivo, selecione o número máximo de dispositivos que um utilizador pode inscrever.
5. Escolha o próximo para ir à página de tags Scope.
6. Na página de tags Scope, adicione opcionalmente as etiquetas de âmbito que pretende aplicar a esta restrição. Para obter mais informações sobre etiquetas de âmbito, consulte use o controlo de acesso baseado em funções e etiquetas de âmbito para TI distribuídos. Ao utilizar etiquetas de âmbito com restrições de inscrição, os utilizadores só podem reencaidá-los políticas para as quais têm âmbito. Além disso, só podem reencomendar as posições políticas para as quais têm âmbito. Os utilizadores vêem o verdadeiro número de prioridades da política em cada política. Um utilizador com âmbito pode dizer a prioridade relativa das suas políticas, mesmo que não consigam ver todas as outras políticas.
7. Escolha o próximo para ir à página atribuições.
8. Escolha Selecionar grupos para incluir e, em seguida, usar a caixa de pesquisa para encontrar grupos que deseja incluir nesta restrição. A restrição só será aplicada aos grupos à qual for atribuída. Se não atribuir uma restrição a pelo menos um grupo, a mesma não terá efeito. Em seguida, escolha Selecionar.
9. Selecione Seguinte para ir à página 'Rever + criar'.
10. Selecione Criar para criar a restrição.
11. A nova restrição é criada com uma prioridade diretamente acima das restrições predefinidas. Pode alterar a prioridade.

Durante as inscrições BYOD, os utilizadores verão uma notificação que os informará quando atingirem o limite de dispositivos inscritos. Por exemplo, no iOS:

Importante

As restrições de limite de dispositivos não se aplicam aos seguintes tipos de inscrição do Windows:

• Inscrições cogeridas
• Inscrições GPO
• Inscrições conjuntas no Azure Active Directory
• Inscrições conjuntas em massa no Azure Active Directory
• Inscrições no Autopilot
• Inscrições do Gestor de Inscrição de Dispositivos

As restrições de limite do dispositivo não são aplicadas para estes tipos de inscrição porque são considerados cenários partilhados do dispositivo. Pode definir limites fixos para estes tipos de inscrição no Azure Active Directory.

Alterar restrições de inscrição

Pode alterar as definições para uma restrição de inscrição seguindo os passos abaixo. Estas restrições não afetam dispositivos que já foram matriculados.

1. Inscreva-se no centro de Microsoft Endpoint Manager > restrições de inscrição de dispositivos > > escolha a restrição que pretende alterar > Propriedades.
2. Escolha Editar ao lado das definições que pretende alterar.
3. Na página Editar, faça as alterações que deseja e proceda à página de guardar 'Rever +' e, em seguida, escolha Guardar.

Bloquear dispositivos Android pessoais

• Se bloquear dispositivos de administrador de dispositivos Android de propriedade pessoal a partir da inscrição, os dispositivos de perfil de trabalho do Android Enterprise de propriedade pessoal ainda podem inscrever-se.
• Por predefinição, as definições de dispositivos de perfil de trabalho do Android Enterprise são as mesmas que as definições para os seus dispositivos de administrador de dispositivos Android. Depois de alterar o seu perfil de trabalho pessoal da Android Enterprise ou as definições do administrador de dispositivos Android, isso já não acontece.
• Se bloquear a inscrição no perfil de trabalho pessoal da Android Enterprise, apenas dispositivos Android de propriedade corporativa podem inscrever-se com perfis de trabalho de propriedade pessoal do Android Enterprise.

Bloquear dispositivos Windows pessoais

Se bloquear a inscrição de dispositivos Windows de propriedade pessoal, o Intune verifica se cada novo pedido de inscrição do Windows foi autorizado como uma inscrição empresarial. As inscrições não autorizadas serão bloqueadas.

Os seguintes métodos estão qualificados como autorizados como uma inscrição empresarial Windows:

• A inscrição de utilizadores está a utilizar uma conta do gestor de inscrição de dispositivos.
• O dispositivo inscreve-se através Windows Autopilot.
• O dispositivo está registado no Windows Autopilot, mas não é uma opção de apenas inscrição na MDM a partir das Definições do Windows.
• O dispositivo é inscrito através de um pacote de aprovisionamento em massa.
• O dispositivo matricula-se através de GPO, ou inscrição automática do Gestor de Configuração para cogestão.

As inscrições seguintes são marcadas como empresariais pelo Intune. Mas, uma vez que não permitem o controlo por dispositivo pelo administrador do Intune, serão bloqueadas:

• Inscrição na MDM automática com associação do Azure Active Directory durante a configuração do Windows*.
• Inscrição automática de MDM com Azure Ative Directory aderir à Windows Definições * .

Os seguintes métodos de inscrição pessoal também serão bloqueados:

• Inscrição na MDM automática com Adicionar Conta Profissional a partir das Definições do Windows*.
• Opção Apenas inscrição na MDM a partir das Definições do Windows.

* Não serão bloqueados se estiverem registados no Autopilot.

Bloquear dispositivos pessoais iOS/iPadOS

Por padrão, o Intune classifica os dispositivos iOS/iPadOS como propriedade pessoal. Para ser classificado como propriedade da empresa, um dispositivo iOS/iPadOS deve preencher uma das seguintes condições:

• Registado com um número de série.
• Matriculado por utilização de Inscrição automática de Dispositivos (anteriormente Programa de Inscrição de Dispositivos)

Nota

Um perfil de inscrição de utilizadores do iOS substitui uma política de restrição de inscrição. Para obter mais informações, consulte Configurar a inscrição do utilizador iOS/iPadOS e iPadOS (pré-visualização).

Alterar a prioridade das restrições de inscrição

A prioridade é utilizada quando um utilizador existe em múltiplos grupos que têm restrições atribuídas. Os utilizadores só estão sujeitos à restrição de prioridade mais alta atribuída ao grupo ao qual pertencem. Por exemplo, o João está no grupo A, com a prioridade 5 atribuída, e também está no grupo B, com a prioridade 2 atribuída. O João só está sujeito às restrições com a prioridade 2.

Quando criar uma restrição, a mesma será adicionada à lista diretamente acima das prioridades predefinidas.

A inscrição de dispositivos inclui restrições predefinidas para tipos e limites de dispositivos. Estas duas restrições aplicam-se a todos os utilizadores, a menos que sejam substituídas por restrições de prioridade mais alta.

Nota

As restrições de inscrição são aplicadas aos utilizadores. Em cenários de inscrição que não sejam orientados pelo utilizador (por exemplo, Windows modo de auto-implantação do Autopilot ou o provisionamento de luvas brancas), apenas serão aplicadas as restrições prioritárias predefinidas (direcionadas para "Todos os Utilizadores") serão aplicadas.

Pode alterar a prioridade de qualquer restrição que não seja predefinida.

1. Inicie sessão no portal do Azure.
2. Selecione Mais Serviços, procure o Intune e, em seguida, selecione Intune.
3. Selecione > as restrições de inscrição do dispositivo .
4. Paire o cursor do rato sobre a lista de prioridades das restrições.
5. Utilize os três pontos verticais para arrastar a prioridade para a posição pretendida na lista.