创建设备平台限制

  • 项目

适用于:Android、iOS/iPadOS、macOS、Windows 10、Windows 11

创建设备平台注册限制策略,以限制设备在 Intune 中注册。 可用限制包括:

  • 设备平台
  • OS 版本
  • 制造商
  • 所有权 (个人拥有)

可以在Microsoft Intune管理中心创建新的设备平台限制策略,也可以使用已提供的默认策略。 最多可以有 25 个设备平台限制策略。

本文介绍Microsoft Intune支持的设备平台限制以及如何在管理中心对其进行配置。

默认策略

Microsoft Intune为设备平台限制提供了一个默认策略,你可以根据需要对其进行编辑和自定义。 在分配更高优先级的策略之前,Intune 会将默认策略应用于所有用户和无用户注册。

最佳做法 - Android 平台限制

由于 Intune 支持两个 Android 平台,因此在将 OS 版本限制用于设备平台限制时,请务必了解它们的工作原理:

  • 如果允许同一组使用两个平台,然后针对特定版本和非重叠版本对其进行优化,则设备将经历为其版本选择的 Android 注册引发。
  • 如果允许这两个平台,但阻止相同的版本,则运行被阻止版本的设备将无法注册。 这些设备上的用户先通过 Android 设备管理员注册流发送,然后才会被阻止并提示他们注销。

重要

Microsoft Intune于 2024 年 8 月 30 日终止对有权访问 Google 移动服务的设备上的 Android 设备管理员管理的支持, (GMS) 。 在此日期之后,设备注册、技术支持、bug 修复和安全修复将不可用。 如果当前使用设备管理员管理,建议在支持结束之前切换到 Intune 中的另一个 Android 管理选项。 有关详细信息,请阅读 在 GMS 设备上终止对 Android 设备管理员的支持

创建设备平台限制

  1. 登录到Microsoft Intune管理中心

  2. 转到 “设备>注册”。

  3. 选择“ 设备平台限制”。

  4. 选择与要配置的平台相对应的页面顶部的选项卡。 选项包括:

    • Android 限制
    • Windows 限制
    • macOS 限制
    • iOS 限制

  5. 选择”创建限制”。

  6. 在“基本信息”页面上,为限制提供名称和可选说明。

  7. 选择下一步

  8. 平台设置 页面上,配置所选平台的限制。 选项包括:

    • 平台 (Android) :选择 “允许” 以允许平台注册,选择 “阻止” 以限制它。
    • MDM (Windows、macOS 和 iOS/iPadOS) :选择 “允许” 以允许平台注册,选择 “阻止” 以限制它。
    • 个人拥有: 选择“允许”以允许设备作为个人设备注册及操作。
    • 设备制造商 (Android) :输入要阻止的制造商的逗号分隔列表。
    • 允许最小/最大范围 (Android、Windows、iOS/iPadOS) :输入允许注册的最低和最大操作系统版本。 支持的版本格式包括:

      • Windows 支持 major.minor.build.rev Windows 10 和 Windows 11。 Intune 在注册期间不会收到修订号,因此输入 0 为修订号。

      • Android 设备管理员和 Android Enterprise 工作配置文件支持 major.minor.rev.build。

      • iOS/iPadOS 支持 major.minor.rev。

        提示

        最小/最大范围不适用于使用设备注册计划、Apple School Manager 或 Apple Configurator 应用注册的 Apple 设备。 尽管 Intune 不会阻止使用公司门户进行身份验证的 ADE 注册,但不符合 OS 要求会影响注册,因为设备无法创建用于评估条件访问策略的Microsoft Entra设备记录。 如果设备用户在登录到公司门户后收到错误消息,提示“无法通过用户映射设备记录”。

  9. 选择“下一步”。

  10. (可选)将范围标记添加到限制。 有关范围标记的详细信息,请参阅 为分布式 IT 使用基于角色的访问控制和范围标记

    注意

    如果将作用域标记应用于限制,则只有作用域内的 Intune 用户才能查看和管理策略。 只有范围内的人员才能查看和重新排序限制,或更改其优先级。 他们还可以查看限制的相对优先级,即使他们看不到所有限制。

  11. 选择“下一步”。

  12. 在“分配”页面上,选择“添加组”,然后使用搜索框查找和选择组。 若要将限制分配给所有设备用户,请选择“添加所有用户”。 如果未向至少一个组分配限制,该限制将不会生效。

  13. (可选)分配组后,请选择“编辑筛选器”以使用筛选器进一步限制策略分配。 筛选器可用于 macOS、iOS 和 Windows 策略。 有关详细信息,请参阅本文) (应用分配筛选器

  14. 选择“下一步”。

  15. 查看策略,然后选择“ 创建 ”以创建它。

可以在注册设备平台限制设备类型限制>表中查看新的限制策略并访问其属性。 选择并拖动限制条件,以调整其在表中的位置并改变其优先级。

应用分配筛选器

可以使用分配筛选器来包括和排除来自某些组目标策略中的其他设备。 注册限制和 ESP 策略都支持使用分配筛选器。

例如,可以使用筛选器允许个人 Windows 设备注册,同时阻止运行特定操作系统 SKU 的设备。 若要实现此效果,请将预配置的筛选器应用于注册限制分配。 筛选器需要在其规则中包含 operatingSystemSKU 属性。 示例步骤:

  1. 为 Windows 创建平台注册限制策略。
  2. 在平台设置中,选择允许个人设备注册的选项。
  3. 在分配设置中,选择要分配的组。
  4. 选择“编辑筛选器”,然后应用包含 operatingSystemSKU 属性的预配置筛选器。 应用的属性会限止运行 Windows 10 家庭版的设备。

有关创建筛选器的详细信息,请参阅 创建筛选器

支持的筛选器属性

与其他面向组的策略相比,注册限制支持的筛选器属性更少。 这是因为设备尚未注册,因此 Intune 没有支持所有属性的设备信息。 当你执行以下操作时,你将看到有限的属性选择:

  • 为 Apple 和 Windows 设备配置设备平台限制策略。
  • 配置 Windows 的注册状态页 (ESP) 策略。
  • 编辑正在使用的注册限制或 ESP 配置文件中的筛选器。

以下筛选器属性始终可用于注册策略:

Windows

  • OS 版本
  • 操作系统 SKU
  • Ownership
  • 注册配置文件名称

iOS/iPadOS 和 macOS

  • 制造商
  • 模型
  • OS 版本
  • Ownership
  • 注册配置文件名称

有关这些属性的更多信息,请参阅 设备属性。 筛选器不能与 Android 注册限制一起使用。

编辑注册限制

编辑将应用于新注册,不会影响已注册的设备。

  1. 返回到 设备>注册
  2. 选择 “设备平台限制”。
  3. “设备类型限制 ”表中,选择要更改的策略的名称。
  4. 选择“属性”
  5. 选择“编辑”。
  6. 进行更改,然后选择“ 查看 + 保存”。
  7. 查看更改并选择“ 保存”。