Tworzenie ograniczeń platformy urządzeń

Dotyczy: Android, iOS/iPadOS, macOS, Windows 10, Windows 11

Utwórz zasady ograniczeń rejestracji na platformie urządzeń, aby ograniczyć rejestrowanie urządzeń w Intune. Dostępne ograniczenia obejmują:

• Platforma urządzeń
• Wersja systemu operacyjnego
• Producent
• Własność (własność osobista)

Możesz utworzyć nowe zasady ograniczeń platformy urządzeń w centrum administracyjnym Microsoft Intune lub użyć zasad domyślnych, które są już dostępne. Możesz mieć do 25 zasad ograniczeń platformy urządzeń.

W tym artykule opisano ograniczenia platformy urządzeń obsługiwane w Microsoft Intune i sposób ich konfigurowania w centrum administracyjnym.

Kontrola dostępu oparta na rolach

Aby utworzyć ograniczenia platformy urządzeń w Microsoft Intune, musisz zostać przypisany jako administrator Intune. Ta rola jest wbudowana w Tożsamość Microsoft Entra i może:

• Tworzenie ograniczeń platformy urządzeń

• Edytowanie ograniczeń platformy urządzeń

• Usuwanie ograniczeń platformy urządzeń

• Ponowne zapisywanie ograniczeń platformy urządzeń

Wszystkie inne wbudowane role Intune mają dostęp tylko do odczytu do ograniczeń platformy urządzeń. Tagi zakresu można zastosować do ograniczenia platformy urządzenia w celu dalszego ograniczenia dostępu. Aby uzyskać więcej informacji na temat kontroli dostępu opartej na rolach (RBAC), zobacz RBAC with Microsoft Intune (Kontrola dostępu oparta na rolach z Microsoft Intune).

Zasady domyślne

Microsoft Intune udostępnia jedną domyślną zasadę dla ograniczeń platformy urządzeń, które można edytować i dostosowywać zgodnie z potrzebami. Intune stosuje zasady domyślne do wszystkich rejestracji bez użytkowników i użytkowników do momentu przypisania zasad o wyższym priorytecie.

Najlepsze rozwiązanie — ograniczenia platformy systemu Android

Ponieważ Intune obsługuje dwie platformy systemu Android, ważne jest, aby zrozumieć, jak działają ograniczenia wersji systemu operacyjnego, gdy są używane z ograniczeniami platformy urządzeń:

• Jeśli zezwolisz obu platformom na tę samą grupę, a następnie uściślisz ją pod kątem konkretnych i nieobróbowanych wersji, Intune przyjrzy się wersji, aby określić przepływ rejestracji urządzeń z systemem Android.
• Jeśli zezwolisz na obie platformy, ale zablokujesz te same wersje, urządzenia z zablokowanymi wersjami nie będą mogły zostać zarejestrowane. Użytkownicy na tych urządzeniach są wysyłani za pośrednictwem przepływu rejestracji administratora urządzeń z systemem Android, zanim zostaną zablokowani i wyświetlą monit o wylogowanie.

Ważna

Microsoft Intune kończy obsługę zarządzania przez administratora urządzeń z systemem Android na urządzeniach z dostępem do usług Google Mobile Services (GMS) 31 grudnia 2024 r. Po tej dacie rejestracja urządzeń, pomoc techniczna, poprawki błędów i poprawki zabezpieczeń będą niedostępne. Jeśli obecnie używasz zarządzania administratorem urządzeń, zalecamy przejście na inną opcję zarządzania systemem Android w Intune przed zakończeniem pomocy technicznej. Aby uzyskać więcej informacji, zobacz Zakończ obsługę administratora urządzeń z systemem Android na urządzeniach GMS.

Tworzenie ograniczenia platformy urządzeń

1. Zaloguj się do centrum administracyjnego Microsoft Intune i przejdź do pozycji Urządzenia.

2. W obszarze Dołączanie urządzenia wybierz pozycję Rejestracja.

3. W obszarze Opcje rejestracji wybierz pozycję Ograniczenie platformy urządzenia.

4. Wybierz kartę w górnej części strony, która odpowiada konfigurowanej platformie. Dostępne opcje:

   • Ograniczenia systemu Windows
   • Ograniczenia systemu Android
   • Ograniczenia systemu macOS
   • Ograniczenia systemu iOS

5. Wybierz pozycję Utwórz ograniczenie.

6. Na stronie Podstawy nadaj ograniczeniu nazwę i opcjonalny opis.

7. Wybierz pozycję Dalej.

8. Na stronie Ustawienia platformy skonfiguruj ograniczenia dla wybranej platformy. Dostępne opcje:

   • Platforma (Android): wybierz pozycję Zezwalaj , aby zezwolić platformie na rejestrację, i blokuj , aby ją ograniczyć.

   • MDM (Windows, macOS i iOS/iPadOS): wybierz pozycję Zezwalaj na rejestrację platformy i Blokuj , aby ją ograniczyć.

   • Własność osobista: wybierz pozycję Zezwalaj, aby zezwolić urządzeniom na rejestrowanie i działanie jako urządzenia osobiste.

   • Producent urządzenia (Android): wprowadź rozdzielaną przecinkami listę producentów, których chcesz zablokować.

   • Zezwalaj na minimalny/maksymalny zakres (Android, Windows, iOS/iPadOS): wprowadź minimalną i maksymalną dozwoloną wersję systemu operacyjnego. Obsługiwane formaty wersji obejmują:

     • System Windows obsługuje plik major.minor.build.rev dla Windows 10 i Windows 11. Intune nie otrzymuje numeru poprawki podczas rejestracji, więc wprowadź wartość 0, aby uzyskać numer poprawki.

     • Administrator urządzeń z systemem Android i profil służbowy systemu Android Enterprise obsługują plik major.minor.rev.build.

     • System iOS/iPadOS obsługuje plik major.minor.rev.

       Porada

       Zakres minimalny/maksymalny nie ma zastosowania do urządzeń firmy Apple, które rejestrują się w programie Device Enrollment Program, apple school manager lub aplikacji Apple Configurator. Chociaż Intune nie blokuje rejestracji ADE, które używają Portal firmy do uwierzytelniania, niespełnienie wymagań systemu operacyjnego ma wpływ na rejestrację, ponieważ urządzenia nie mogą utworzyć rekordu urządzenia Microsoft Entra używanego do oceny zasad dostępu warunkowego. Jeśli użytkownik urządzenia otrzyma komunikat o błędzie "Nie można zamapować rekordu urządzenia z użytkownikiem" po zalogowaniu się do Portal firmy, możesz poinformować, że tak jest.

9. Wybierz pozycję Dalej.

10. Opcjonalnie dodaj tagi zakresu do ograniczenia. Aby uzyskać więcej informacji na temat tagów zakresu, zobacz Używanie kontroli dostępu opartej na rolach i tagów zakresu dla rozproszonego it.

    Uwaga

    Jeśli zastosujesz tagi zakresu do ograniczenia, tylko Intune użytkownicy w zakresie mogą wyświetlać zasady i zarządzać nimi. Tylko osoby w zakresie mogą wyświetlać i zmieniać kolejność ograniczeń lub zmieniać jego poziom priorytetu. Mogą również zobaczyć względny priorytet ograniczenia, nawet jeśli nie widzą wszystkich ograniczeń.

11. Wybierz pozycję Dalej.

12. Na stronie Przypisania wybierz pozycję Dodaj grupy , a następnie użyj pola wyszukiwania, aby znaleźć i wybrać grupy. Aby przypisać ograniczenie do wszystkich użytkowników urządzeń, wybierz pozycję Dodaj wszystkich użytkowników. Jeśli nie przypiszesz ograniczenia do co najmniej jednej grupy, ograniczenie nie zostanie zastosowane.

13. Opcjonalnie po przypisaniu grup wybierz pozycję Edytuj filtr , aby jeszcze bardziej ograniczyć przypisanie zasad przy użyciu filtrów. Filtry są dostępne dla zasad systemu macOS, iOS i Windows. Aby uzyskać więcej informacji, zobacz Stosowanie filtrów przypisań w tym artykule.

14. Wybierz pozycję Dalej.

15. Przejrzyj zasady, a następnie wybierz pozycję Utwórz , aby je utworzyć.

Nowe zasady ograniczeń i dostęp do ich właściwości można wyświetlić w tabeli Ograniczenia dotyczące urządzeń Ograniczenia>dotyczące platformy urządzeń. Wybierz i przeciągnij ograniczenie, aby zmienić jego położenie w tabeli i zmienić jego priorytet.

Stosowanie filtrów przypisania

Filtry przypisań umożliwiają dołączanie i wykluczanie dodatkowych urządzeń z niektórych zasad docelowych dla grupy. Zarówno ograniczenia rejestracji, jak i zasady esp obsługują korzystanie z filtrów przypisań.

Na przykład możesz użyć filtru, aby zezwolić osobistym urządzeniom z systemem Windows na rejestrację podczas blokowania urządzeń z określoną jednostką SKU systemu operacyjnego. Aby osiągnąć ten wynik, zastosuj wstępnie skonfigurowany filtr do przypisań ograniczeń rejestracji. Filtr musi mieć właściwość operatingSystemSKU w swoich regułach. Przykładowe kroki:

1. Utwórz zasady ograniczeń rejestracji platformy dla systemu Windows.
2. W ustawieniach platformy wybierz opcję umożliwiającą rejestrowanie urządzeń osobistych.
3. W ustawieniach przypisań wybierz grupy, które chcesz przypisać.
4. Wybierz pozycję Edytuj filtr , a następnie zastosuj wstępnie skonfigurowany filtr zawierający właściwość operatingSystemSKU . Zastosowana właściwość blokuje urządzenia z systemem Windows 10 Home edition.

Aby uzyskać więcej informacji na temat tworzenia filtrów, zobacz Tworzenie filtru.

Obsługiwane właściwości filtru

Ograniczenia rejestracji obsługują mniejszą liczbę właściwości filtru niż inne zasady przeznaczone dla grupy. Dzieje się tak, ponieważ urządzenia nie są jeszcze zarejestrowane, dlatego Intune nie ma informacji o urządzeniu do obsługi wszystkich właściwości. Ograniczony wybór właściwości staje się dostępny w następujących przypadkach:

• Skonfiguruj zasady ograniczeń platformy urządzeń dla urządzeń z systemem Apple i Windows.
• Skonfiguruj zasady strony stanu rejestracji (ESP) dla systemu Windows.
• Edytuj filtr używany w ramach ograniczenia rejestracji lub profilu ESP.

Następujące właściwości filtru są zawsze dostępne do użycia z zasadami rejestracji:

Windows

• Producent — w przypadku Windows 11 wersja 22H2 i nowsze z KB5035942 (kompilacje systemu operacyjnego 22621.3374 i 22631.3374).
• Model — w przypadku Windows 11 wersja 22H2 i nowsze z KB5035942 (kompilacje systemu operacyjnego 22621.3374 i 22631.3374).
• Wersja systemu operacyjnego
• Jednostka SKU systemu operacyjnego
• Własność
• Nazwa profilu rejestracji

Systemy iOS/iPadOS i macOS

• Producent
• Model
• Wersja systemu operacyjnego
• Własność
• Nazwa profilu rejestracji

Aby uzyskać więcej informacji na temat tych właściwości, zobacz właściwości urządzenia. Filtrów nie można używać z ograniczeniami rejestracji systemu Android.

Edytowanie ograniczeń rejestracji

Zmiany są stosowane do nowych rejestracji i nie mają wpływu na urządzenia, które zostały już zarejestrowane.

1. Wróć dopozycji Rejestracjaurządzeń>.
2. Wybierz pozycję Ograniczenia platformy urządzeń , a następnie wybierz platformę systemu operacyjnego, do której należy ograniczenie.
3. W tabeli Ograniczenia typu urządzenia wybierz nazwę zasad, które chcesz zmienić.
4. Wybierz polecenie Właściwości.
5. Wybierz pozycję Edytuj.
6. Wprowadź zmiany i wybierz pozycję Przejrzyj i zapisz.
7. Przejrzyj zmiany i wybierz pozycję Zapisz.