什么是注册限制?
适用对象
- Android
- iOS
- macOS
- Windows 10
- Windows 11
重要
Microsoft Intune已于 2024 年 12 月 31 日终止对有权访问 Google 移动服务 (GMS) 的设备上的 Android 设备管理员管理支持。 在此日期之后,设备注册、技术支持、bug 修复和安全修复将不可用。 如果当前使用设备管理员管理,建议在支持结束之前切换到 Intune 中的另一个 Android 管理选项。 有关详细信息,请参阅 在 GMS 设备上结束对 Android 设备管理员的支持。
通过设备注册限制,可以根据某些设备属性限制设备注册Intune。 可在 Microsoft Intune 中配置两种类型的设备注册限制:
- 设备平台限制:基于设备平台、版本、制造商或所有权类型限制设备。
- 设备限制:限制用户可以注册Intune的设备数。
每种限制类型都附带一个默认策略,可以根据需要对其进行编辑和自定义。 Intune将默认策略应用于所有用户注册和无用户注册,直到分配更高的优先级策略。
本文概述了可用的注册限制和功能限制。 若要开始创建限制,请跳到本文 () 的 后续步骤 。
可用限制
可以在管理中心配置以下限制:
- 设备限制
- 设备平台
- OS 版本
- 设备制造商
- 设备所有权 (个人拥有的设备)
设备限制
限制用户可以注册的设备数。 设备限制可以设置为 1 到 15 之间的数字。
此配置在管理中心的注册设备限制下设置。
设备平台
重要
Microsoft Intune已于 2024 年 12 月 31 日终止对有权访问 Google 移动服务 (GMS) 的设备上的 Android 设备管理员管理支持。 在此日期之后,设备注册、技术支持、bug 修复和安全修复将不可用。 如果当前使用设备管理员管理,建议在支持结束之前切换到 Intune 中的另一个 Android 管理选项。 有关详细信息,请参阅 在 GMS 设备上结束对 Android 设备管理员的支持。
阻止在特定设备平台上运行的设备。 可以将此限制应用于运行以下操作系统的设备:
- Android 设备管理员
- Android Enterprise 工作配置文件
- iOS/iPadOS
- macOS
- windows 10/11
在允许两个 Android 平台的组中,支持工作配置文件的设备将使用工作配置文件进行注册。 不支持它的设备将在 Android 设备管理员平台上注册。 除非 Android 注册的所有先决条件都已完成,否则工作配置文件和设备管理员注册都不起作用。
此限制在管理中心的注册设备平台限制下设置。
OS 版本
此限制强制实施最高和最低 OS 版本要求。 此类限制适用于以下操作系统:
- Android 设备管理员*
- Android Enterprise 工作配置文件*
- iOS/iPadOS*
- Windows
* 这些操作系统仅支持通过 Intune 公司门户 注册的设备的版本限制。
此限制在管理中心的注册设备平台限制下设置。
设备制造商
此限制阻止由特定制造商制造的设备,并且仅适用于 Android 设备。 它在管理中心的注册设备平台限制下设置。
个人拥有的设备
此限制有助于防止设备用户意外注册其个人设备,并适用于运行以下操作系统的设备:
- Android
- iOS/iPad OS
- macOS
- windows 10/11
此限制在管理中心的注册设备平台限制下设置。
阻止个人 Android 设备
默认情况下,在管理中心手动进行更改之前,Android Enterprise 工作配置文件设备设置和 Android 设备管理员设备设置是相同的。
如果在个人设备上阻止 Android Enterprise 工作配置文件注册,则只有公司拥有的设备可以使用 个人拥有的工作配置文件进行注册。
阻止个人 iOS/iPadOS 设备
默认情况下,Intune将 iOS/iPadOS 设备分类为个人拥有。 要分类为公司拥有的设备,iOS/iPadOS 设备必须满足以下条件之一:
- 已使用序列号或 IMEI 注册。
- 已使用自动设备注册(以前称为设备注册计划)进行注册。
注意
iOS 用户注册配置文件替代注册限制策略。 有关详细信息,请参阅设置 iOS/iPadOS 和 iPadOS 用户注册(预览版)。
阻止个人 Mac
默认情况下,Intune将 macOS 设备分类为个人拥有。 Mac 设备必须满足以下条件之一才能归类为公司拥有的设备:
- 已使用序列号注册。
- 通过 Apple 自动设备注册 (ADE) 注册。
阻止个人 Windows 设备
如果阻止个人拥有的 Windows 设备注册,Intune检查以确保每个新的 Windows 注册请求都已获得公司注册的授权。 阻止未经授权的注册。
以下注册方法已获得授权,可进行公司注册:
- 设备通过 Windows Autopilot 进行注册。
- 设备通过 GPO 或从 Configuration Manager 自动注册以执行共同管理进行注册。
- 设备通过 批量预配包 进行注册。
- 注册用户使用的是 设备注册管理员帐户。
注意
由于共同管理的设备根据其Microsoft Entra设备令牌(而不是用户令牌)在Microsoft Intune服务中注册,因此只有默认Intune注册限制将应用于该服务。
Intune将经历以下注册类型的设备标记为公司拥有的设备,并阻止它们注册 (,除非已注册到 Autopilot) ,因为这些方法不提供每个设备的Intune管理员控制:
- 在 Windows 安装过程中使用Microsoft Entra加入的自动 MDM 注册。
- 从 Windows 设置Microsoft Entra加入的自动 MDM 注册。
- 通过面向现有设备的 Windows Autopilot使用Microsoft Entra联接或混合 Entra 联接进行自动 MDM 注册。
Intune 还使用以下注册方法阻止个人设备:
- 通过 从 Windows 设置中添加工作帐户 实现的 自动 MDM 注册。
- Windows 设置中的 仅 MDM 注册 选项。
- 使用 Intune 公司门户 应用进行注册。
- 通过 Microsoft 365 应用进行注册,当用户在应用登录期间选择 “允许我的组织管理我的设备 ”选项时,会出现这种情况。
重要
如果工作区联接加入的设备以前Microsoft Entra加入租户,则可能会阻止其注册。 若要避免被阻止,请在 Microsoft Entra ID 中注销并删除设备的关联对象,然后再尝试通过 Workplace Join 加入设备。
限制
注册限制应用于用户驱动的注册。 Intune在非用户驱动的注册方案中强制实施默认策略,例如:
- 用于预预配部署的 Windows Autopilot 自部署模式和 Autopilot
- 通过 Windows 配置Designer批量注册
- 无用户 Apple 自动设备注册 (没有用户设备相关性)
- Azure 虚拟桌面
- Windows 365
在以下 Windows 注册方案中,设备限制无法应用于设备,因为这些方案使用共享设备模式:
- 共同托管的注册
- 组策略 (GPO) 注册
- Microsoft Entra加入的注册,包括批量注册
- Windows Autopilot 注册
- 设备注册管理员注册
相反,可以在 Microsoft Entra ID 中为这些注册类型配置硬性限制。 有关详细信息,请参阅使用 Azure 门户管理设备标识。
后续步骤
选择要应用的注册限制类型并创建配置文件: