Vytvoření omezení platformy zařízení
Platí pro: Android, iOS/iPadOS, macOS, Windows 10, Windows 11
Vytvořte zásady omezení registrace platformy zařízení, které zabrání zařízením v registraci v Intune. Mezi dostupná omezení patří:
- Platforma zařízení
- Verze operačního systému
- Výrobce
- Vlastnictví (v osobním vlastnictví)
V Centru pro správu Microsoft Intune můžete vytvořit nové zásady omezení platformy zařízení nebo použít výchozí zásady, které jsou už dostupné. Můžete mít až 25 zásad omezení platformy zařízení.
Tento článek popisuje omezení platformy zařízení podporovaná v Microsoft Intune a postup jejich konfigurace v Centru pro správu.
Řízení přístupu na základě role
Pokud chcete v Microsoft Intune vytvořit omezení platformy zařízení, musíte být přiřazeni jako správce Intune. Tato role je integrovaná pro Microsoft Entra ID a může:
Vytvoření omezení platformy zařízení
Úprava omezení platformy zařízení
Odstranění omezení platformy zařízení
Přeusazení omezení platformy zařízení
Všechny ostatní předdefinované role Intune mají přístup jen pro čtení k omezením platformy zařízení. Pokud chcete dále omezit přístup, můžete použít značky oboru na omezení platformy zařízení. Další informace o řízení přístupu na základě role (RBAC) najdete v tématu RBAC s Microsoft Intune.
Výchozí zásady
Microsoft Intune poskytuje jednu výchozí zásadu pro omezení platformy zařízení, kterou můžete podle potřeby upravit a přizpůsobit. Intune použije výchozí zásadu pro všechny registrace uživatelů a bez uživatelů, dokud nepřiřadíte zásadu s vyšší prioritou.
Osvědčený postup – Omezení platformy Android
Vzhledem k tomu, že Intune podporuje dvě platformy Android, je důležité pochopit, jak fungují omezení verzí operačního systému, když je používáte s omezeními platforem zařízení:
- Pokud povolíte obě platformy pro stejnou skupinu a pak ji zpřesníte pro konkrétní a nepřekryté verze, Intune se na verzi podívá a zjistí, jak zařízení procházejí tokem registrace Androidu.
- Pokud povolíte obě platformy, ale zablokujete stejné verze, zařízení s blokovanými verzemi se nebudou moct zaregistrovat. Uživatelé na těchto zařízeních se odešlou prostřednictvím postupu registrace správce zařízení s Androidem, než se zablokují a zobrazí se výzva k odhlášení.
Důležité
Microsoft Intune končí podpora správy správců zařízení s Androidem na zařízeních s přístupem k Google Mobile Services (GMS) 31. prosince 2024. Po tomto datu nebude registrace zařízení, technická podpora, opravy chyb a opravy zabezpečení k dispozici. Pokud aktuálně používáte správu správce zařízení, doporučujeme přejít na jinou možnost správy Androidu v Intune před ukončením podpory. Další informace najdete v tématu Ukončení podpory správce zařízení s Androidem na zařízeních GMS.
Vytvoření omezení platformy zařízení
Přihlaste se do Centra pro správu Microsoft Intune a přejděte na Zařízení.
V části Onboarding zařízení vyberte Registrace.
V části Možnosti registrace vyberte Omezení platformy zařízení.
Vyberte kartu v horní části stránky, která odpovídá konfigurující platformě. Možnosti:
- Omezení Windows
- Omezení Androidu
- omezení macOS
- Omezení pro iOS
Vyberte Vytvořit omezení.
Na stránce Základy zadejte název a volitelný popis omezení.
Vyberte Další.
Na stránce Nastavení platformy nakonfigurujte omezení pro vybranou platformu. Možnosti:
Platforma (Android): Vyberte Povolit , pokud chcete povolit registraci platformy, a blokovat ji omezíte.
MDM (Windows, macOS a iOS/iPadOS): Vyberte Povolit , pokud chcete povolit registraci platformy, a blokovat ji omezte.
V osobním vlastnictví: Vyberte Povolit , pokud chcete zařízením povolit registraci a provoz jako osobní zařízení.
Výrobce zařízení (Android): Zadejte čárkami oddělený seznam výrobců, které chcete blokovat.
Povolit minimální a maximální rozsah (Android, Windows, iOS/iPadOS): Zadejte minimální a maximální verzi operačního systému, která se může zaregistrovat. Mezi podporované formáty verzí patří:
Systém Windows podporuje pro Windows 10 a Windows 11 major.minor.build.rev. Intune během registrace neobdrží číslo revize, proto jako číslo revize zadejte 0.
Správce zařízení s Androidem a pracovní profil Androidu Enterprise podporují major.minor.rev.build.
iOS/iPadOS podporuje major.minor.rev.
Tip
Minimální a maximální rozsah se nevztahuje na zařízení Apple, která se zaregistrují pomocí Programu registrace zařízení, Apple School Manageru nebo aplikace Apple Configurator. I když Intune neblokuje registrace ADE, které k ověřování používají Portál společnosti, nemá splnění požadavků na operační systém vliv na registraci, protože zařízení nemůžou vytvořit Microsoft Entra záznam zařízení použitý k vyhodnocení zásad podmíněného přístupu. Poznáte to tak, že se uživateli zařízení po přihlášení k Portál společnosti zobrazí chybová zpráva "Nepodařilo se namapovat záznam zařízení s uživatelem".
Vyberte Další.
Volitelně můžete k omezení přidat značky oboru. Další informace o značkách oboru najdete v tématu Použití řízení přístupu na základě role a značek oboru pro distribuované IT.
Poznámka
Pokud na omezení použijete značky oboru, můžou zásady zobrazit a spravovat jenom Intune uživatelé v rámci oboru. Omezení si můžou zobrazit a změnit jeho pořadí nebo změnit jeho úroveň priority jenom lidé v oboru. Uvidí také relativní prioritu omezení, i když nevidí všechna omezení.
Vyberte Další.
Na stránce Přiřazení vyberte Přidat skupiny a pak pomocí vyhledávacího pole vyhledejte a vyberte skupiny. Pokud chcete omezení přiřadit všem uživatelům zařízení, vyberte Přidat všechny uživatele. Pokud nepřiřadíte omezení alespoň k jedné skupině, omezení se neprojeví.
Volitelně můžete po přiřazení skupin vybrat Upravit filtr , abyste přiřazení zásad dále omezili pomocí filtrů. Filtry jsou dostupné pro zásady pro macOS, iOS a Windows. Další informace najdete v části Použití filtrů přiřazení v tomto článku.
Vyberte Další.
Zkontrolujte zásadu a pak ji vytvořte tak, že vyberete Vytvořit .
Nové zásady omezení si můžete prohlédnout a získat přístup k jejich vlastnostem v tabulceOmezení typu zařízení v tabulce Omezení> typu zařízení. Výběrem a přetažením omezení změňte umístění v tabulce a změňte jeho prioritu.
Použití filtrů přiřazení
Filtry přiřazení můžete použít k zahrnutí a vyloučení dalších zařízení z určitých zásad cílených na skupiny. Omezení registrace a zásady ESP podporují použití filtrů přiřazení.
Pomocí filtru můžete například povolit registraci osobních zařízení s Windows a zároveň blokovat zařízení, která používají konkrétní skladovou položku operačního systému. Pokud chcete tohoto výsledku dosáhnout, použijte na přiřazení omezení registrace předkonfigurovaný filtr. Filtr musí mít operatingSystemSKU
vlastnost ve svých pravidlech. Příklad kroků:
- Vytvořte zásady omezení registrace platformy pro Windows.
- V nastavení platformy vyberte možnost, která umožňuje registraci osobních zařízení.
- V nastavení přiřazení vyberte skupiny, které chcete přiřadit.
- Vyberte Upravit filtr a pak použijte předkonfigurovaný filtr, který obsahuje
operatingSystemSKU
vlastnost . Použitá vlastnost blokuje zařízení se spuštěnou edicí Windows 10 Home.
Další informace o vytváření filtrů najdete v tématu Vytvoření filtru.
Poznámka
Zpracování filtrů přiřazení během registrace trvá delší dobu. Aktualizace mezi Microsoft Entra a Intune, která zpracovává přiřazení uživatelů, skupin a filtrů, se obvykle provede během 15 minut. Není to okamžité. Tato doba může mít vliv na přiřazení registrace. Měli byste počkat a zaregistrovat zařízení několik minut po přidání registrujícího uživatele do skupiny, ne hned po.
Podporované vlastnosti filtru
Omezení registrace podporují méně vlastností filtru než jiné zásady cílené na skupiny. Důvodem je to, že zařízení ještě nejsou zaregistrovaná, takže Intune nemá informace o zařízení, které by podporovaly všechny vlastnosti. Omezený výběr vlastností se zpřístupní, když:
- Nakonfigurujte zásady omezení platformy zařízení pro zařízení s Apple a Windows.
- Nakonfigurujte zásady stránky stavu registrace (ESP) pro Windows.
- Upravte filtr, který se používá v profilu ESP nebo omezení registrace.
Následující vlastnosti filtru jsou vždy k dispozici pro použití se zásadami registrace:
Windows
- Výrobce – pro Windows 11 verze 22H2 a novější s KB5035942 (buildy operačního systému 22621.3374 a 22631.3374).
- Model – pro Windows 11 verze 22H2 a novější s KB5035942 (buildy operačního systému 22621.3374 a 22631.3374).
- Verze operačního systému
- Skladová položka operačního systému
- Vlastnictví
- Název registračního profilu
iOS/iPadOS a macOS
- Výrobce
- Model
- Verze operačního systému
- Vlastnictví
- Název registračního profilu
Další informace o těchto vlastnostech najdete v tématu Vlastnosti zařízení. Filtry se nedají použít s omezeními registrace Androidu.
Úprava omezení registrace
Úpravy se použijí u nových registrací a nemají vliv na zařízení, která jsou už zaregistrovaná.
- Vraťte se dočásti Registracezařízení>.
- Vyberte Omezení platformy zařízení a pak vyberte platformu operačního systému, do které omezení patří.
- V tabulce Omezení typu zařízení vyberte název zásady, kterou chcete změnit.
- Vyberte Vlastnosti.
- Vyberte Upravit.
- Proveďte změny a vyberte Zkontrolovat a uložit.
- Zkontrolujte provedené změny a vyberte Uložit.