Delen via


Beperkingen voor apparaatplatformen maken

Van toepassing op: Android, iOS/iPadOS, macOS, Windows 10, Windows 11

Maak een beperkingsbeleid voor apparaatplatformregistratie om te voorkomen dat apparaten worden ingeschreven bij Intune. Beschikbare beperkingen zijn onder andere:

  • Apparaatplatform
  • Versie van besturingssysteem
  • Fabrikant
  • Eigendom (persoonlijk eigendom)

U kunt een nieuw beperkingsbeleid voor het apparaatplatform maken in het Microsoft Intune-beheercentrum of het standaardbeleid gebruiken dat al beschikbaar is. U kunt maximaal 25 beleidsregels voor apparaatplatformbeperkingen hebben.

In dit artikel worden de beperkingen voor het apparaatplatform beschreven die worden ondersteund in Microsoft Intune en hoe u deze configureert in het beheercentrum.

Toegangsbeheer op basis van rollen

Als u beperkingen voor het apparaatplatform in Microsoft Intune wilt maken, moet u zijn toegewezen als Intune beheerder. Deze rol is ingebouwd in Microsoft Entra ID en kan:

  • Beperkingen voor apparaatplatformen maken

  • Beperkingen voor apparaatplatforms bewerken

  • Beperkingen voor apparaatplatform verwijderen

  • Beperkingen voor het apparaatplatform opnieuw rioritiseren

Alle andere ingebouwde Intune-rollen hebben alleen-lezentoegang tot apparaatplatformbeperkingen. U kunt bereiktags toepassen op een beperking van een apparaatplatform om de toegang verder te beperken. Zie RBAC met Microsoft Intune voor meer informatie over op rollen gebaseerd toegangsbeheer (RBAC).

Standaardbeleid

Microsoft Intune biedt één standaardbeleid voor apparaatplatformbeperkingen die u naar behoefte kunt bewerken en aanpassen. Intune past het standaardbeleid toe op alle gebruikers- en gebruikersloze inschrijvingen totdat u een beleid met een hogere prioriteit toewijst.

Best practice - Android-platformbeperkingen

Omdat Intune twee Android-platforms ondersteunt, is het belangrijk om te begrijpen hoe versiebeperkingen van het besturingssysteem werken wanneer u ze gebruikt met apparaatplatformbeperkingen:

  • Als u beide platforms voor dezelfde groep toestaat en deze vervolgens verfijnt voor specifieke en niet-overlapping-versies, kijkt Intune naar de versie om te bepalen welke Android-inschrijvingsstroomapparaten worden doorlopen.
  • Als u beide platforms toestaat, maar dezelfde versies blokkeert, kunnen apparaten met geblokkeerde versies niet worden ingeschreven. Gebruikers op deze apparaten worden verzonden via de inschrijvingsstroom van android-apparaatbeheerder voordat ze worden geblokkeerd en worden gevraagd zich af te melden.

Belangrijk

Microsoft Intune beëindigt de ondersteuning voor beheer van Android-apparaten op apparaten met toegang tot Google Mobile Services (GMS) op 31 december 2024. Na die datum zijn apparaatinschrijving, technische ondersteuning, bugfixes en beveiligingspatches niet meer beschikbaar. Als u momenteel apparaatbeheer gebruikt, raden we u aan over te schakelen naar een andere Android-beheeroptie in Intune voordat de ondersteuning wordt beëindigd. Zie Ondersteuning voor Android-apparaatbeheerder op GMS-apparaten beëindigen voor meer informatie.

Een beperking voor een apparaatplatform maken

  1. Meld u aan bij het Microsoft Intune-beheercentrum en ga naar Apparaten.

  2. Selecteer onder Onboarding van apparaatde optie Inschrijving.

  3. Selecteer onder Inschrijvingsoptiesde optie Apparaatplatformbeperking.

  4. Selecteer het tabblad bovenaan de pagina dat overeenkomt met het platform dat u configureert. Uw opties:

    • Windows-beperkingen
    • Android-beperkingen
    • macOS-beperkingen
    • iOS-beperkingen
  5. Selecteer Beperking maken.

  6. Geef op de pagina Basisbeginselen een naam en optionele beschrijving op voor de beperking.

  7. Selecteer Volgende.

  8. Configureer op de pagina Platforminstellingen de beperkingen voor het geselecteerde platform. Uw opties:

    • Platform (Android): selecteer Toestaan om een platform in te schrijven en Blokkeren om het te beperken.

    • MDM (Windows, macOS en iOS/iPadOS): selecteer Toestaan om een platform in te schrijven en Blokkeren om het te beperken.

    • Persoonlijk eigendom: selecteer Toestaan om toe te staan dat apparaten worden ingeschreven en als persoonlijke apparaten worden gebruikt.

    • Apparaatfabrikant (Android): voer een door komma's gescheiden lijst in van de fabrikanten die u wilt blokkeren.

    • Minimum-/maximumbereik toestaan (Android, Windows, iOS/iPadOS): voer de minimale en maximale versie van het besturingssysteem in die mogen worden ingeschreven. Ondersteunde versie-indelingen zijn:

      • Windows ondersteunt major.minor.build.rev voor Windows 10 en Windows 11. Intune ontvangt het revisienummer niet tijdens de inschrijving, dus voer 0 in als revisienummer.

      • Android-apparaatbeheerder en Android Enterprise-werkprofiel ondersteunen major.minor.rev.build.

      • iOS/iPadOS ondersteunt major.minor.rev.

        Tip

        Het minimum/maximumbereik is niet van toepassing op Apple-apparaten die zijn ingeschreven met het Device Enrollment Program, Apple School Manager of de App Apple Configurator. Hoewel Intune geen ADE-inschrijvingen blokkeert die gebruikmaken van Bedrijfsportal om te verifiëren, heeft het niet voldoen aan de vereisten van het besturingssysteem invloed op de registratie omdat apparaten de Microsoft Entra apparaatrecord die wordt gebruikt om beleid voor voorwaardelijke toegang te evalueren, niet kunnen maken. U kunt zien dat dit het geval is als een apparaatgebruiker een foutbericht ontvangt met de tekst 'Kan apparaatrecord niet toewijzen met een gebruiker' nadat deze zich heeft aangemeld bij Bedrijfsportal.

  9. Selecteer Volgende.

  10. Voeg eventueel bereiktags toe aan de beperking. Zie Op rollen gebaseerd toegangsbeheer en bereiktags gebruiken voor gedistribueerde IT voor meer informatie over bereiktags.

    Opmerking

    Als u bereiktags toepast op een beperking, kunnen alleen Intune gebruikers binnen het bereik het beleid bekijken en beheren. Alleen personen binnen het bereik kunnen een beperking bekijken en opnieuw ordenen of het prioriteitsniveau ervan wijzigen. Ze kunnen ook de relatieve prioriteit van de beperking zien, zelfs als ze niet alle beperkingen kunnen zien.

  11. Selecteer Volgende.

  12. Selecteer op de pagina Toewijzingende optie Groepen toevoegen en gebruik vervolgens het zoekvak om groepen te zoeken en te selecteren. Als u de beperking wilt toewijzen aan alle apparaatgebruikers, selecteert u Alle gebruikers toevoegen. Als u geen beperking toewijst aan ten minste één groep, wordt de beperking niet van kracht.

  13. Nadat u groepen hebt toegewezen, selecteert u desgewenst Filter bewerken om de beleidstoewijzing verder te beperken met filters. Filters zijn beschikbaar voor macOS-, iOS- en Windows-beleid. Zie Toewijzingsfilters toepassen in dit artikel voor meer informatie.

  14. Selecteer Volgende.

  15. Controleer uw beleid en selecteer vervolgens Maken om het te maken.

U kunt het nieuwe beperkingsbeleid bekijken en de eigenschappen ervan openen in de tabel Beperkingen vanapparaattype voorinschrijvingsplatforms>. Selecteer en sleep de beperking om deze in de tabel te verplaatsen en de prioriteit ervan te wijzigen.

Toewijzingsfilters toepassen

U kunt toewijzingsfilters gebruiken om extra apparaten op te nemen en uit te sluiten van bepaalde groepsbeleidsregels. Inschrijvingsbeperkingen en ESP-beleid ondersteunen beide het gebruik van toewijzingsfilters.

U kunt bijvoorbeeld een filter gebruiken om persoonlijke Windows-apparaten in te schrijven terwijl apparaten met een specifieke SKU van het besturingssysteem worden geblokkeerd. U kunt dit resultaat bereiken door een vooraf geconfigureerd filter toe te passen op uw toewijzingen voor inschrijvingsbeperkingen. Het filter moet de eigenschap in de operatingSystemSKU regels hebben. Voorbeeldstappen:

  1. Maak een beperkingsbeleid voor platforminschrijving voor Windows.
  2. Selecteer in de platforminstellingen de optie waarmee persoonlijke apparaten kunnen worden ingeschreven.
  3. Selecteer in de instellingen voor toewijzingen de groepen die u wilt toewijzen.
  4. Selecteer Filter bewerken en pas vervolgens het vooraf geconfigureerde filter toe dat de operatingSystemSKU eigenschap bevat. De toegepaste eigenschap blokkeert apparaten met Windows 10 Home-editie.

Zie Een filter maken voor meer informatie over het maken van filters.

Ondersteunde filtereigenschappen

Inschrijvingsbeperkingen ondersteunen minder filtereigenschappen dan andere groepsbeleidsregels. Dit komt omdat apparaten nog niet zijn ingeschreven, dus Intune niet beschikt over de apparaatgegevens om alle eigenschappen te ondersteunen. De beperkte selectie van eigenschappen wordt beschikbaar wanneer u:

  • Configureer een beperkingsbeleid voor apparaatplatforms voor Apple- en Windows-apparaten.
  • Configureer een ESP-beleid (Statuspagina voor inschrijving) voor Windows.
  • Bewerk een filter dat wordt gebruikt in een inschrijvingsbeperking of ESP-profiel.

De volgende filtereigenschappen zijn altijd beschikbaar voor gebruik met inschrijvingsbeleid:

Windows

iOS/iPadOS en macOS

  • Fabrikant
  • Model
  • Versie van besturingssysteem
  • Eigendom
  • Naam van inschrijvingsprofiel

Zie Apparaateigenschappen voor meer informatie over deze eigenschappen. Filters kunnen niet worden gebruikt met android-inschrijvingsbeperkingen.

Inschrijvingsbeperkingen bewerken

Wijzigingen worden toegepast op nieuwe inschrijvingen en hebben geen invloed op apparaten die al zijn ingeschreven.

  1. Ga terug naarApparaatinschrijving>.
  2. Selecteer Beperkingen voor apparaatplatformen en selecteer vervolgens het besturingssysteemplatform waartoe de beperking behoort.
  3. Selecteer in de tabel Apparaattypebeperkingen de naam van het beleid dat u wilt wijzigen.
  4. Selecteer Eigenschappen.
  5. Selecteer Bewerken.
  6. Breng uw wijzigingen aan en selecteer Beoordelen en opslaan.
  7. Controleer uw wijzigingen en selecteer Opslaan.