分享方式:


建立裝置平臺限制

適用於:Android、iOS/iPadOS、macOS、Windows 10、Windows 11

建立裝置平台註冊限制原則,以限制裝置在 Intune 中註冊。 可用的限制包括:

  • 裝置平臺
  • 操作系統版本
  • 製造商
  • 個人擁有) (擁有權

您可以在 Microsoft Intune 系統管理中心建立新的裝置平臺限制原則,或使用已可用的默認原則。 您最多可以有 25 個裝置平臺限制原則。

本文說明 Microsoft Intune 中支援的裝置平臺限制,以及如何在系統管理中心進行設定。

角色型存取控制

若要在 Microsoft Intune 中建立裝置平臺限制,您必須被指派為 Intune 系統管理員。 此角色是內建Microsoft Entra ID,而且可以:

  • 建立裝置平臺限制

  • 編輯裝置平臺限制

  • 刪除裝置平臺限制

  • 重新註冊裝置平臺限制

所有其他內建 Intune 角色都具有裝置平臺限制的唯讀存取權。 您可以將範圍標籤套用至裝置平臺限制,以進一步限制存取。 如需角色型訪問控制 (RBAC) 的詳細資訊,請參閱使用 Microsoft Intune 的 RBAC

預設原則

Microsoft Intune 提供一個裝置平臺限制的默認原則,您可以視需要進行編輯和自定義。 Intune 會將默認原則套用至所有使用者和無用戶註冊,直到您指派較高優先順序的原則為止。

最佳做法 - Android 平臺限制

由於 Intune 支援兩個 Android 平臺,因此請務必瞭解當您搭配裝置平臺限制使用作業系統版本限制時,操作系統版本限制的運作方式:

  • 如果您允許相同群組的這兩個平臺,然後針對特定和非重疊版本進行精簡,Intune 會查看版本,以判斷 Android 註冊流程裝置會通過。
  • 如果您允許這兩個平臺,但封鎖相同的版本,則無法註冊執行封鎖版本的裝置。 這些裝置上的使用者會在遭到封鎖並提示註銷之前,透過 Android 裝置系統管理員註冊流程傳送。

重要事項

Microsoft 2024 年 12 月 31 日,Intune 將終止在可存取 Google Mobile Services (GMS) 的裝置上進行 Android 裝置系統管理員管理的支援。 在該日期之後,裝置註冊、技術支援、錯誤修正和安全性修正將無法使用。 如果您目前使用裝置系統管理員管理,建議您在支持結束之前,先切換至 Intune 中的另一個 Android 管理選項。 如需詳細資訊,請參閱 在 GMS 裝置上終止對 Android 裝置系統管理員的支援

建立裝置平臺限制

  1. 登入 Microsoft Intune 系統管理中心 並移至 [裝置]

  2. [裝置上線] 下,選取 [ 註冊]

  3. 在 [ 註冊選項] 下,選取 [ 裝置平臺限制]

  4. 選取頁面頂端的索引標籤,該索引標籤會對應至您要設定的平臺。 選項包括:

    • Windows 限制
    • Android 限制
    • macOS 限制
    • iOS 限制
  5. 取 [建立限制]

  6. 在 [ 基本概念] 頁面上,提供限制的名稱和選擇性描述。

  7. 選取 [下一步]

  8. 在 [ 平台設定] 頁面上,設定所選平臺的限制。 選項包括:

    • 平臺 (Android) :選取 [ 允許 ] 以允許註冊平臺,然後 選取 [封鎖 ] 加以限制。

    • MDM (Windows、macOS 和 iOS/iPadOS) :選取 [ 允許 ] 以允許註冊平台,然後 選取 [封鎖 ] 加以限制。

    • 個人擁有:選取 [允許 ] 以允許裝置註冊並操作為個人裝置。

    • 裝置製造商 (Android) :輸入您要封鎖之製造商的逗號分隔清單。

    • 允許最小/最大範圍 (Android、Windows、iOS/iPadOS) :輸入允許註冊的最小和最大 OS 版本。 支援的版本格式包括:

      • Windows 支持適用於 Windows 10 和 Windows 11 的 major.minor.build.rev。 Intune 在註冊期間不會收到修訂編號,因此請輸入 0 作為修訂編號。

      • Android 裝置系統管理員和 Android Enterprise 工作配置文件支援 major.minor.rev.build。

      • iOS/iPadOS 支援 major.minor.rev。

        提示

        最小/最大範圍不適用於使用裝置註冊計劃、Apple School Manager 或 Apple Configurator 應用程式註冊的 Apple 裝置。 雖然 Intune 不會封鎖使用公司入口網站進行驗證的 ADE 註冊,但不符合 OS 需求會影響註冊,因為裝置無法建立用來評估條件式存取原則的 Microsoft Entra 裝置記錄。 您可以知道,如果裝置使用者在登入公司入口網站後收到錯誤訊息,指出「無法對應裝置記錄與使用者」,

  9. 選取 [下一步]

  10. 選擇性地將範圍標籤新增至限制。 如需範圍標籤的詳細資訊,請 參閱針對分散式IT使用角色型訪問控制和範圍標籤

    注意事項

    如果您將範圍標籤套用至限制,則只有範圍內的 Intune 使用者可以檢視和管理原則。 只有範圍內的人員可以檢視和重新排序限制,或變更其優先順序層級。 他們也可以查看限制的相對優先順序,即使看不到所有限制也一般。

  11. 選取 [下一步]

  12. 在 [ 指派] 頁面上,選取 [ 新增群組 ],然後使用搜尋方塊來尋找和選取群組。 若要將限制指派給所有裝置使用者,請選取 [新增所有使用者]。 如果您未將限制指派給至少一個群組,限制將不會生效。

  13. 或者,在您指派群組之後,選取 [ 編輯篩選 ] 以進一步使用篩選條件限制原則指派。 篩選適用於macOS、iOS和 Windows 原則。 如需詳細資訊,請參閱本文中的 套用指派篩選

  14. 選取 [下一步]

  15. 檢閱您的原則,然後選取 [建立 ] 加以建立。

您可以在註冊裝置平臺限制>裝置類型限制資料表中檢視新的限制原則並存取其屬性。 選取並拖曳限制,將它重新放置在數據表中,並變更其優先順序。

套用指派篩選

您可以使用指派篩選條件,從特定的群組目標原則中包含和排除其他裝置。 註冊限制和 ESP 原則都支援使用指派篩選。

例如,您可以使用篩選條件來允許個人 Windows 裝置註冊,同時封鎖執行特定作業系統 SKU 的裝置。 若要達到此結果,請將預先設定的篩選套用至您的註冊限制指派。 篩選條件的規則中必須有 operatingSystemSKU 屬性。 範例步驟:

  1. 建立適用於 Windows 的平台註冊限制原則。
  2. 在平台設定中,選取允許個人裝置註冊的選項。
  3. 在 [指派設定] 中,選取您要指派的群組。
  4. 取 [編輯篩選 ],然後套用包含 operatingSystemSKU 屬性的預先設定篩選。 套用的屬性會封鎖執行 Windows 10 家用版的裝置。

如需建立篩選的詳細資訊,請參閱 建立篩選

支援的篩選屬性

相較於其他以群組為目標的原則,註冊限制支援較少的篩選屬性。 這是因為裝置尚未註冊,因此 Intune 沒有支援所有屬性的裝置資訊。 當您:

  • 設定 Apple 和 Windows 裝置的裝置平臺限制原則。
  • 設定適用於 Windows 的 ESP) 原則 (註冊狀態頁面。
  • 編輯註冊限制或 ESP 設定檔中使用的篩選條件。

下列篩選屬性一律可搭配註冊原則使用:

Windows

iOS/iPadOS 和 macOS

  • 製造商
  • Model
  • 操作系統版本
  • 擁有權
  • 註冊配置檔名稱

如需這些屬性的詳細資訊,請參閱 裝置屬性。 篩選條件無法與Android註冊限制搭配使用。

編輯註冊限制

編輯會套用至新的註冊,而且不會影響已註冊的裝置。

  1. 返回 裝置>註冊
  2. 取 [裝置平臺限制 ],然後選取限制所屬的OS平臺。
  3. 在 [ 裝置類型限制 ] 資料表中,選取您想要變更的原則名稱。
  4. 選取 [內容]
  5. 選取 [編輯]
  6. 進行變更,然後選 取 [檢閱 + 儲存]
  7. 檢閱您的變更,然後選取 [ 儲存]