Skapa begränsningar för enhetsplattformen
Gäller för: Android, iOS/iPadOS, macOS, Windows 10, Windows 11
Skapa en begränsningsprincip för enhetsplattformsregistrering för att hindra enheter från att registreras i Intune. Tillgängliga begränsningar är:
- Enhetsplattform
- OS-version
- Tillverkare
- Ägarskap (personligt ägd)
Du kan skapa en ny begränsningsprincip för enhetsplattformen i administrationscentret för Microsoft Intune eller använda den standardprincip som redan är tillgänglig. Du kan ha upp till 25 begränsningsprinciper för enhetsplattformen.
I den här artikeln beskrivs de begränsningar för enhetsplattformen som stöds i Microsoft Intune och hur du konfigurerar dem i administrationscentret.
Rollbaserad åtkomstkontroll
Om du vill skapa begränsningar för enhetsplattformen i Microsoft Intune måste du tilldelas som Intune-administratör. Den här rollen är inbyggd i Microsoft Entra-ID och kan:
Skapa begränsningar för enhetsplattformen
Redigera begränsningar för enhetsplattformen
Ta bort begränsningar för enhetsplattform
Omprioritera begränsningar för enhetsplattformen
Alla andra inbyggda Intune-roller har skrivskyddad åtkomst till enhetsplattformsbegränsningar. Du kan använda omfångstaggar för en enhetsplattformsbegränsning för att ytterligare begränsa åtkomsten. Mer information om rollbaserad åtkomstkontroll (RBAC) finns i RBAC med Microsoft Intune.
Standardprincip
Microsoft Intune tillhandahåller en standardprincip för enhetsplattformsbegränsningar som du kan redigera och anpassa efter behov. Intune tillämpar standardprincipen på alla användar- och användarlösa registreringar tills du tilldelar en princip med högre prioritet.
Bästa praxis – Begränsningar för Android-plattformen
Eftersom Intune har stöd för två Android-plattformar är det viktigt att förstå hur versionsbegränsningar för operativsystem fungerar när du använder dem med begränsningar för enhetsplattformen:
- Om du tillåter båda plattformarna för samma grupp och sedan förfinar den för specifika och icke-överlappande versioner, tittar Intune på versionen för att fastställa vilka Android-registreringsflödesenheter som går igenom.
- Om du tillåter båda plattformarna, men blockerar samma versioner, kan enheter som kör blockerade versioner inte registreras. Användare på dessa enheter skickas via registreringsflödet för Android-enhetsadministratören innan de blockeras och uppmanas att logga ut.
Viktigt
Microsoft Intune upphör stödet för hantering av Android-enhetsadministratörer på enheter med åtkomst till Google Mobile Services (GMS) den 31 december 2024. Efter det datumet är enhetsregistrering, teknisk support, felkorrigeringar och säkerhetskorrigeringar otillgängliga. Om du för närvarande använder hantering av enhetsadministratörer rekommenderar vi att du växlar till ett annat Android-hanteringsalternativ i Intune innan supporten upphör. Mer information finns i Avsluta stöd för Android-enhetsadministratör på GMS-enheter.
Skapa en enhetsplattformsbegränsning
Logga in på administrationscentret för Microsoft Intune och gå till Enheter.
Under Enhetsregistrering väljer du Registrering.
Under Registreringsalternativ väljer du Begränsning av enhetsplattform.
Välj fliken längst upp på sidan som motsvarar den plattform som du konfigurerar. Dina alternativ:
- Windows-begränsningar
- Android-begränsningar
- macOS-begränsningar
- iOS-begränsningar
Välj Skapa begränsning.
På sidan Grundinställningar ger du begränsningen ett namn och en valfri beskrivning.
Välj Nästa.
På sidan Plattformsinställningar konfigurerar du begränsningarna för den valda plattformen. Dina alternativ:
Plattform (Android): Välj Tillåt om du vill tillåta att en plattform registreras och Blockera för att begränsa den.
MDM (Windows, macOS och iOS/iPadOS): Välj Tillåt för att tillåta att en plattform registreras och Blockera för att begränsa den.
Personligt ägd: Välj Tillåt om du vill tillåta att enheter registreras och fungerar som personliga enheter.
Enhetstillverkare (Android): Ange en kommaavgränsad lista över de tillverkare som du vill blockera.
Tillåt minsta/högsta intervall (Android, Windows, iOS/iPadOS): Ange de lägsta och högsta operativsystemversioner som tillåts att registreras. Versionsformat som stöds är:
Windows stöder major.minor.build.rev för Windows 10 och Windows 11. Intune får inte revisionsnumret under registreringen, så ange 0 som revisionsnummer.
Android-enhetsadministratör och Android Enterprise-arbetsprofil stöder major.minor.rev.build.
iOS/iPadOS stöder major.minor.rev.
Tips
Minimiintervallet/maxintervallet gäller inte för Apple-enheter som registreras med programmet för enhetsregistrering, Apple School Manager eller Apple Configurator-appen. Även om Intune inte blockerar ADE-registreringar som använder företagsportalen för att autentisera, påverkar inte operativsystemets krav registreringen eftersom enheter inte kan skapa den Microsoft Entra-enhetspost som används för att utvärdera principer för villkorsstyrd åtkomst. Du kan se att så är fallet om en enhetsanvändare får ett felmeddelande som säger "Det gick inte att mappa enhetspost med en användare" efter att de loggat in på företagsportalen.
Välj Nästa.
Du kan också lägga till omfångstaggar i begränsningen. Mer information om omfångstaggar finns i Använda rollbaserad åtkomstkontroll och omfångstaggar för distribuerad IT.
Obs!
Om du tillämpar omfångstaggar på en begränsning kan endast Intune-användare i omfånget visa och hantera principen. Endast personer i omfånget kan visa och ändra ordning på en begränsning eller ändra dess prioritetsnivå. De kan också se begränsningens relativa prioritet, även om de inte kan se alla begränsningar.
Välj Nästa.
På sidan Tilldelningar väljer du Lägg till grupper och använder sedan sökrutan för att hitta och välja grupper. Om du vill tilldela begränsningen till alla enhetsanvändare väljer du Lägg till alla användare. Om du inte tilldelar en begränsning till minst en grupp börjar begränsningen inte gälla.
När du har tilldelat grupper kan du välja Redigera filter för att begränsa principtilldelningen ytterligare med filter. Filter är tillgängliga för macOS-, iOS- och Windows-principer. Mer information finns i Tillämpa tilldelningsfilter i den här artikeln.
Välj Nästa.
Granska principen och välj sedan Skapa för att skapa den.
Du kan visa den nya begränsningsprincipen och komma åt dess egenskaper i tabellen Registreringsenhetsplattformsbegränsningar>Enhetstypsbegränsningar . Markera och dra begränsningen för att flytta den i tabellen och ändra dess prioritet.
Tillämpa tilldelningsfilter
Du kan använda tilldelningsfilter för att inkludera och exkludera ytterligare enheter från vissa gruppinriktade principer. Både registreringsbegränsningar och ESP-principer stöder användning av tilldelningsfilter.
Du kan till exempel använda ett filter för att tillåta att personliga Windows-enheter registreras samtidigt som enheter som kör en specifik operativsystem-SKU blockeras. För att uppnå det här resultatet använder du ett förkonfigurerat filter för dina tilldelningar av registreringsbegränsningar. Filtret måste ha operatingSystemSKU
egenskapen i sina regler. Exempelsteg:
- Skapa en princip för begränsning av plattformsregistrering för Windows.
- I plattformsinställningarna väljer du det alternativ som gör att personliga enheter kan registreras.
- I tilldelningsinställningarna väljer du de grupper som du vill tilldela.
- Välj Redigera filter och tillämpa sedan det förkonfigurerade filtret som innehåller
operatingSystemSKU
egenskapen . Den tillämpade egenskapen blockerar enheter som kör Windows 10 Home Edition.
Mer information om hur du skapar filter finns i Skapa ett filter.
Filteregenskaper som stöds
Registreringsbegränsningar stöder färre filteregenskaper än andra grupinriktade principer. Det beror på att enheterna ännu inte har registrerats, så Intune har inte enhetsinformationen som stöder alla egenskaper. Det begränsade valet av egenskaper blir tillgängligt när du:
- Konfigurera en begränsningsprincip för enhetsplattformen för Apple- och Windows-enheter.
- Konfigurera en princip för registreringsstatussidan (ESP) för Windows.
- Redigera ett filter som används i en registreringsbegränsning eller ESP-profil.
Följande filteregenskaper är alltid tillgängliga för användning med registreringsprinciper:
Windows
- Tillverkare – För Windows 11, version 22H2 och senare med KB5035942 (OS Builds 22621.3374 och 22631.3374).
- Modell – För Windows 11, version 22H2 och senare med KB5035942 (OS Builds 22621.3374 och 22631.3374).
- OS-version
- SKU för operativsystem
- Ägande
- Namn på registreringsprofil
iOS/iPadOS och macOS
- Tillverkare
- Modell
- OS-version
- Ägande
- Namn på registreringsprofil
Mer information om dessa egenskaper finns i enhetsegenskaper. Filter kan inte användas med Android-registreringsbegränsningar.
Redigera registreringsbegränsningar
Redigeringar tillämpas på nya registreringar och påverkar inte enheter som redan har registrerats.
- Gå tillbaka till Enhetsregistrering>.
- Välj Begränsningar för enhetsplattform och välj sedan den OS-plattform som begränsningen tillhör.
- I tabellen Begränsningar för enhetstyp väljer du namnet på den princip som du vill ändra.
- Välj Egenskaper.
- Välj Redigera.
- Gör dina ändringar och välj Granska + spara.
- Granska ändringarna och välj Spara.