什么是注册限制?
适用对象
- Android
- iOS
- macOS
- Windows 10
- Windows 11
重要
Microsoft Intune 已于 2024 年 12 月 31 日终止对有权访问 Google 移动服务的设备上的 Android 设备管理员管理的支持, (GMS) 。 在此日期之后,设备注册、技术支持、bug 修复和安全修复将不可用。 如果当前使用设备管理员管理,建议在支持结束之前切换到 Intune 中的另一个 Android 管理选项。 有关详细信息,请参阅 在 GMS 设备上结束对 Android 设备管理员的支持。
设备注册限制允许根据某些设备属性限制设备在 Intune 中注册。 可在 Microsoft Intune 中配置两种类型的设备注册限制:
- 设备平台限制:基于设备平台、版本、制造商或所有权类型限制设备。
- 设备限制:限制用户可以在 Intune 中注册的设备数。
每种限制类型都附带一个默认策略,可以根据需要对其进行编辑和自定义。 在分配更高优先级的策略之前,Intune 会将默认策略应用于所有用户和无用户注册。
本文概述了可用的注册限制和功能限制。 若要开始创建限制,请跳到本文 () 的 后续步骤 。
可用限制
可以在管理中心配置以下限制:
- 设备限制
- 设备平台
- OS 版本
- 设备制造商
- 设备所有权 (个人拥有的设备)
设备限制
限制用户可以注册的设备数。 设备限制可以设置为 1 到 15 之间的数字。
此配置在管理中心的注册设备限制下设置。
设备平台
重要
Microsoft Intune 已于 2024 年 12 月 31 日终止对有权访问 Google 移动服务的设备上的 Android 设备管理员管理的支持, (GMS) 。 在此日期之后,设备注册、技术支持、bug 修复和安全修复将不可用。 如果当前使用设备管理员管理,建议在支持结束之前切换到 Intune 中的另一个 Android 管理选项。 有关详细信息,请参阅 在 GMS 设备上结束对 Android 设备管理员的支持。
阻止在特定设备平台上运行的设备。 可以将此限制应用于运行以下操作系统的设备:
- Android 设备管理员
- Android Enterprise 工作配置文件
- iOS/iPadOS
- macOS
- windows 10/11
在允许两个 Android 平台的组中,支持工作配置文件的设备将使用工作配置文件进行注册。 不支持它的设备将在 Android 设备管理员平台上注册。 除非 Android 注册的所有先决条件都已完成,否则工作配置文件和设备管理员注册都不起作用。
此限制在管理中心的注册设备平台限制下设置。
OS 版本
此限制强制实施最高和最低 OS 版本要求。 此类限制适用于以下操作系统:
- Android 设备管理员*
- Android Enterprise 工作配置文件*
- iOS/iPadOS*
- Windows
* 这些操作系统仅支持通过 Intune 公司门户注册的设备的版本限制。
此限制在管理中心的注册设备平台限制下设置。
设备制造商
此限制阻止由特定制造商制造的设备,并且仅适用于 Android 设备。 它在管理中心的注册设备平台限制下设置。
个人拥有的设备
此限制有助于防止设备用户意外注册其个人设备,并适用于运行以下操作系统的设备:
- Android
- iOS/iPad OS
- macOS
- windows 10/11
此限制在管理中心的注册设备平台限制下设置。
阻止个人 Android 设备
默认情况下,在管理中心手动进行更改之前,Android Enterprise 工作配置文件设备设置和 Android 设备管理员设备设置是相同的。
如果在个人设备上阻止 Android Enterprise 工作配置文件注册,则只有公司拥有的设备可以使用 个人拥有的工作配置文件进行注册。
阻止个人 iOS/iPadOS 设备
默认情况下,Intune 将 iOS/iPadOS 设备分类为个人拥有。 要分类为公司拥有的设备,iOS/iPadOS 设备必须满足以下条件之一:
- 已使用序列号或 IMEI 注册。
- 已使用自动设备注册(以前称为设备注册计划)进行注册。
注意
iOS 用户注册配置文件替代注册限制策略。 有关详细信息,请参阅设置 iOS/iPadOS 和 iPadOS 用户注册(预览版)。
阻止个人 Mac
默认情况下,Intune 将 macOS 设备分类为个人拥有。 Mac 设备必须满足以下条件之一才能归类为公司拥有的设备:
- 已使用序列号注册。
- 通过 Apple 自动设备注册 (ADE) 注册。
阻止个人 Windows 设备
如果阻止个人拥有的 Windows 设备注册,Intune 会进行检查,以确保每个新的 Windows 注册请求都已获得公司注册的授权。 阻止未经授权的注册。
以下注册方法已获得授权,可进行公司注册:
- 设备通过 Windows Autopilot 进行注册。
- 设备通过 GPO 或从 Configuration Manager 自动注册以执行共同管理进行注册。
- 设备通过 批量预配包 进行注册。
- 注册用户使用的是 设备注册管理员帐户。
注意
由于共同托管设备根据其Microsoft Entra 设备令牌(而不是用户令牌)在 Microsoft Intune 服务中注册,因此只有默认的 Intune 注册限制才会应用于该服务。
Intune 将经历以下注册类型的设备标记为公司拥有的设备,并阻止它们注册 (,除非已注册到 Autopilot) ,因为这些方法不提供 Intune 管理员每个设备的控制:
- 在 Windows 安装过程中使用 Microsoft Entra 联接进行自动 MDM 注册。
- 从 Windows 设置使用 Microsoft Entra 联接的自动 MDM 注册。
- 通过 Windows Autopilot 为现有设备使用 Microsoft Entra 联接或混合 Entra 联接进行自动 MDM 注册。
Intune 还使用以下注册方法阻止个人设备:
- 通过 从 Windows 设置中添加工作帐户 实现的 自动 MDM 注册。
- Windows 设置中的 仅 MDM 注册 选项。
- 使用 Intune 公司门户应用进行注册。
- 通过 Microsoft 365 应用进行注册,当用户在应用登录期间选择 “允许我的组织管理我的设备 ”选项时,会出现这种情况。
重要
如果工作区联接加入的设备以前曾Microsoft Entra 加入租户,则可能会阻止其注册。 若要避免被阻止,请在尝试通过 Workplace Join 加入设备之前,在 Microsoft Entra ID 中取消注册并删除设备的关联对象。
限制
用户受注册限制约束。 对于非用户驱动的注册方案,例如 Windows Autopilot 自部署模式和用于预预配部署的 Autopilot、批量注册 (WCD) 、Azure 虚拟桌面或无用户 Apple 自动设备注册 (ADE,没有用户设备相关性) ,Intune 强制实施默认策略。
在以下 Windows 注册方案中,设备限制无法应用于设备,因为这些方案使用共享设备模式:
- 共同托管的注册
- 组策略 (GPO) 注册
- Microsoft已加入 Entra 的注册,包括批量注册
- Windows Autopilot 注册
- 设备注册管理员注册
相反,可以在 Entra ID 中为这些注册类型配置硬性限制Microsoft。 有关详细信息,请参阅使用 Azure 门户管理设备标识。
后续步骤
选择要应用的注册限制类型并创建配置文件: