什麼是註冊限制?
適用於
- Android
- iOS
- macOS
- Windows 10
- Windows 11
重要事項
Microsoft Intune 於 2024 年 12 月 31 日終止對可存取 Google 行動服務 (GMS) 之裝置上的 Android 裝置系統管理員管理支援。 在該日期之後,裝置註冊、技術支援、錯誤修正和安全性修正將無法使用。 如果您目前使用裝置系統管理員管理,建議您在支持結束之前,切換至 Intune 中的另一個 Android 管理選項。 如需詳細資訊,請參閱 在 GMS 裝置上終止對 Android 裝置系統管理員的支援。
裝置註冊限制可讓您根據特定裝置屬性,限制裝置無法在 Intune 中註冊。 您可以在 Microsoft Intune 中設定兩種類型的裝置註冊限制:
- 裝置平臺限制:根據裝置平臺、版本、製造商或擁有權類型來限制裝置。
- 裝置限制:限制用戶可以在 Intune 註冊的裝置數目。
每個限制類型都隨附一個默認原則,您可以視需要編輯和自定義。 Intune 會將默認原則套用至所有使用者和無用戶註冊,直到您指派較高優先順序的原則為止。
本文提供可用註冊限制和功能限制的概觀。 若要開始建立限制,請跳至本文中 () 的 後續步驟 。
可用的限制
您可以在系統管理中心設定下列限制:
- 裝置限制
- 裝置平臺
- 操作系統版本
- 裝置製造商
- 裝置擁有權 (個人擁有的裝置)
裝置限制
限制人員可以註冊的裝置數目。 您可以將裝置限制從 1 設定為 15。
此設定位於系統管理中心內的 註冊裝置限制下。
裝置平臺
重要事項
Microsoft Intune 於 2024 年 12 月 31 日終止對可存取 Google 行動服務 (GMS) 之裝置上的 Android 裝置系統管理員管理支援。 在該日期之後,裝置註冊、技術支援、錯誤修正和安全性修正將無法使用。 如果您目前使用裝置系統管理員管理,建議您在支持結束之前,切換至 Intune 中的另一個 Android 管理選項。 如需詳細資訊,請參閱 在 GMS 裝置上終止對 Android 裝置系統管理員的支援。
封鎖在特定裝置平台上執行的裝置。 您可以將此限制套用至執行下列動作的裝置:
- Android 裝置系統管理員
- Android Enterprise 工作配置檔
- iOS/iPadOS
- macOS
- Windows 10/11
在允許兩個 Android 平臺的群組中,支援工作配置檔的裝置將會使用工作配置檔註冊。 不支援工作配置檔的裝置會在 Android 裝置系統管理員平台上註冊。 在您完成 Android 註冊的所有必要條件之前,工作配置檔或裝置系統管理員註冊都無法運作。
這項限制位於系統管理中心[ 註冊裝置平臺限制] 底下。
操作系統版本
此限制會強制執行您的 OS 版本需求上限和最低。 這種類型的限制適用於下列作業系統:
- Android 裝置系統管理員*
- Android Enterprise 工作配置檔*
- iOS/iPadOS*
- Windows
* 這些作業系統僅支援透過 Intune 公司入口網站 註冊的裝置版本限制。
這項限制位於系統管理中心[ 註冊裝置平臺限制] 底下。
裝置製造商
這項限制會封鎖特定製造商所製作的裝置,且僅適用於 Android 裝置。 它位於系統管理中心內的 [註冊裝置平臺限制] 下方。
個人擁有的裝置
這項限制有助於防止裝置使用者不小心註冊其個人裝置,並適用於執行下列動作的裝置:
- Android
- iOS/iPad OS
- macOS
- Windows 10/11
這項限制位於系統管理中心[ 註冊裝置平臺限制] 底下。
封鎖個人 Android 裝置
根據預設,在系統管理中心手動進行變更之前,您的 Android Enterprise 工作設定檔裝置設定和 Android 裝置系統管理員裝置設定都相同。
如果您封鎖個人裝置上的 Android Enterprise 工作配置檔註冊,則只有公司擁有的裝置可以使用 個人擁有的工作配置檔進行註冊。
封鎖個人 iOS/iPadOS 裝置
根據預設,Intune 將iOS/iPadOS裝置分類為個人擁有。 若要分類為公司擁有的裝置,iOS/iPadOS 裝置必須符合下列其中一個條件:
- 使用序號或 IMEI 註冊。
- 使用自動化裝置註冊 (先前的裝置註冊計劃) 進行註冊。
注意事項
iOS 用戶註冊配置檔會覆寫註冊限制原則。 如需詳細資訊, 請參閱設定 iOS/iPadOS 和 iPadOS 用戶註冊 (預覽) 。
封鎖個人 Mac
根據預設,Intune 將macOS裝置分類為個人擁有。 若要分類為公司擁有,Mac 必須滿足下列其中一個條件:
- 使用序號註冊。
- 透過 Apple Automated Device Enrollment (ADE) 註冊。
封鎖個人 Windows 裝置
如果您封鎖個人擁有的 Windows 裝置進行註冊,Intune 檢查以確定每個新的 Windows 註冊要求都已獲得公司註冊的授權。 已封鎖未經授權的註冊。
下列註冊方法已獲得公司註冊的授權:
- 裝置會透過 Windows Autopilot 註冊。
- 裝置會透過 GPO 註冊,或從 Configuration Manager 自動註冊以進行共同管理。
- 裝置會透過 大量布建套件註冊。
- 註冊的使用者使用 裝置註冊管理員帳戶。
注意事項
由於共同管理的裝置會根據其 Microsoft Entra 裝置令牌而非使用者令牌,在 Microsoft Intune 服務中註冊,因此只會套用預設 Intune 註冊限制。
Intune 將通過下列註冊類型的裝置標示為公司擁有,並封鎖裝置註冊 (,除非向 Autopilot) 註冊,因為這些方法不會提供 Intune 系統管理員的個別裝置控制:
- 在 Windows 安裝期間使用 Microsoft Entra 加入的自動 MDM 註冊。
- 自動 MDM 註冊,Microsoft Entra 從 Windows 設定加入。
- 透過 適用現有裝置的 Windows Autopilot 使用 Microsoft Entra 加入或混合式加入的 MDM 自動註冊。
Intune 也會使用下列註冊方法封鎖個人裝置:
- 使用 [從 Windows 設定新增工作帳戶自動註冊 MDM]。
- 僅限來自 Windows 設定的 MDM 註冊選項。
- 使用 Intune 公司入口網站 應用程式註冊。
- 透過 Microsoft 365 應用程式註冊,這會在使用者在應用程式登入期間選取 [ 允許我的組織管理我的裝置 ] 選項時發生。
重要事項
如果裝置先前曾 Microsoft Entra 加入租使用者,則可能封鎖加入 Workplace Join 的裝置註冊。 若要避免遭到封鎖,請先在 Microsoft Entra ID 中取消註冊並移除裝置的相關聯物件,再嘗試透過 Workplace Join 加入裝置。
限制
註冊限制會套用至用戶驅動的註冊。 Intune 會在非用戶驅動的註冊案例中強制執行默認原則,例如:
- 預先布建部署的 Windows Autopilot 自我部署模式和 Autopilot
- 透過 Windows 組態 Designer 進行大量註冊
- 無使用者的Apple自動裝置註冊 (沒有使用者裝置親和性)
- Azure 虛擬桌面
- Windows 365
在下列 Windows 註冊案例中,裝置限制無法套用至裝置,因為這些案例會利用共用裝置模式:
- 共同管理的註冊
- 群組原則 (GPO) 註冊
- Microsoft Entra 加入的註冊,包括大量註冊
- Windows Autopilot 註冊
- 裝置註冊管理員註冊
相反地,您可以在 Microsoft Entra ID 中設定這些註冊類型的硬性限制。 如需詳細資訊,請參閱使用 Azure 入口網站 管理裝置身分識別。
後續步驟
選取您要套用的註冊限制類型,並建立設定檔: