Criar restrições da plataforma de dispositivos

Aplica-se a: Android, iOS/iPadOS, macOS, Windows 10, Windows 11

Crie uma política de restrição de inscrição de plataforma de dispositivos para impedir que os dispositivos se inscrevam no Intune. As restrições disponíveis incluem:

• Plataforma do dispositivo
• Versão do SO
• Fabricante
• Propriedade (propriedade pessoal)

Pode criar uma nova política de restrição de plataforma de dispositivos no centro de administração do Microsoft Intune ou utilizar a política predefinida que já está disponível. Pode ter até 25 políticas de restrição da plataforma de dispositivos.

Este artigo descreve as restrições da plataforma de dispositivos suportadas no Microsoft Intune e como configurá-las no centro de administração.

Controle de acesso baseado em função

Para criar restrições de plataforma de dispositivos no Microsoft Intune, tem de ser atribuído como Administrador Intune. Esta função está incorporada no Microsoft Entra ID e pode:

• Criar restrições da plataforma de dispositivos

• Editar restrições da plataforma de dispositivos

• Eliminar restrições da plataforma de dispositivos

• Repriorizar restrições da plataforma de dispositivos

Todas as outras funções de Intune incorporadas têm acesso só de leitura às restrições da plataforma de dispositivos. Pode aplicar etiquetas de âmbito a uma restrição de plataforma de dispositivos para limitar ainda mais o acesso. Para obter mais informações sobre o controlo de acesso baseado em funções (RBAC), veja RBAC com Microsoft Intune.

Política padrão

Microsoft Intune fornece uma política predefinida para restrições da plataforma de dispositivos que pode editar e personalizar conforme necessário. Intune aplica a política predefinida a todas as inscrições de utilizador e sem utilizador até atribuir uma política de prioridade superior.

Melhores práticas - restrições de plataformas Android

Uma vez que Intune suporta duas plataformas Android, é importante compreender como funcionam as restrições de versões do SO quando as utiliza com restrições da plataforma de dispositivos:

• Se permitir ambas as plataformas para o mesmo grupo e, em seguida, refiná-lo para versões específicas e que não estejam a ser utilizadas, Intune analisa a versão para determinar o fluxo de inscrição do Android que os dispositivos passam.
• Se permitir ambas as plataformas, mas bloquear as mesmas versões, os dispositivos com versões bloqueadas não poderão ser inscritos. Os utilizadores nestes dispositivos são enviados através do fluxo de inscrição de administradores de dispositivos Android antes de serem bloqueados e ser-lhes pedido para terminarem sessão.

Importante

Microsoft Intune está a terminar o suporte para a gestão de administradores de dispositivos Android em dispositivos com acesso ao Google Mobile Services (GMS) a 31 de dezembro de 2024. Após essa data, a inscrição de dispositivos, suporte técnico, correções de erros e correções de segurança estarão indisponíveis. Se utilizar atualmente a gestão de administradores de dispositivos, recomendamos que mude para outra opção de gestão do Android no Intune antes de o suporte terminar. Para obter mais informações, veja Terminar o suporte para administradores de dispositivos Android em dispositivos GMS.

Criar uma restrição de plataforma de dispositivo

1. Inicie sessão no centro de administração do Microsoft Intune e aceda a Dispositivos.

2. Em Inclusão de dispositivos, selecione Inscrição.

3. Em Opções de inscrição, selecione Restrição da plataforma de dispositivos.

4. Selecione o separador na parte superior da página que corresponde à plataforma que está a configurar. Suas opções:

   • Restrições do Windows
   • Restrições do Android
   • Restrições do macOS
   • Restrições do iOS

5. Selecione Criar restrição.

6. Na página Básico, forneça à restrição um nome e uma descrição opcional.

7. Selecione Avançar.

8. Na página Configurações da plataforma, configure as restrições para a plataforma selecionada. Suas opções:

   • Plataforma (Android): selecione Permitir para permitir a inscrição de uma plataforma e Bloquear para a restringir.

   • MDM (Windows, macOS e iOS/iPadOS): selecione Permitir a inscrição de uma plataforma e Bloquear para a restringir.

   • Propriedade pessoal: Selecione Permitir para permitir que os dispositivos se registrem e operem como dispositivos pessoais.

   • Fabricante do dispositivo (Android): introduza uma lista separada por vírgulas dos fabricantes que pretende bloquear.

   • Permitir intervalo mínimo/máximo (Android, Windows, iOS/iPadOS): introduza as versões mínimas e máximas do SO permitidas para inscrição. Os formatos de versão com suporte incluem:

     • O Windows suporta major.minor.build.rev para Windows 10 e Windows 11. Intune não recebe o número de revisão durante a inscrição, por isso introduza 0 para o número de revisão.

     • O administrador do dispositivo Android e o perfil de trabalho do Android Enterprise dão suporte a major.minor.rev.build.

     • O iOS/iPadOS dá suporte a major.minor.rev.

       Dica

       O intervalo mínimo/máximo não se aplica a dispositivos Apple que se inscrevem no Programa de registro de dispositivos, Gerente Escolar da Apple ou aplicativo Configurador da Apple. Embora Intune não bloqueie as inscrições do ADE que utilizam Portal da Empresa para autenticar, não cumprir os requisitos do SO afeta o registo porque os dispositivos não podem criar o registo de dispositivo Microsoft Entra utilizado para avaliar as políticas de Acesso Condicional. Você pode dizer que esse é o caso se um usuário do dispositivo receber uma mensagem de erro dizendo "Não foi possível mapear o registro do dispositivo com um usuário" depois de entrar no Portal da Empresa.

9. Selecione Avançar.

10. Opcionalmente, adicione etiquetas de âmbito à restrição. Para obter mais informações sobre marcas de escopo, veja o artigo Usar controle de acesso baseado em função e marcas de escopo para TI distribuída.

    Observação

    Se você aplicar marcas de escopo a uma restrição, somente usuários do Intune dentro do escopo poderão exibir e gerenciar a política. Apenas as pessoas no âmbito podem ver e reordenar uma restrição ou alterar o nível de prioridade. Também podem ver a prioridade relativa da restrição, mesmo que não consigam ver todas as restrições.

11. Selecione Avançar.

12. Na página Atribuições, selecione Adicionar grupos e use a caixa de pesquisa para encontrar e selecionar grupos. Para atribuir a restrição a todos os usuários do dispositivo, selecione Adicionar todos os usuários. Se você não atribuir uma restrição a pelo menos um grupo, a restrição não entrará em vigor.

13. Opcionalmente, depois de atribuir os grupos, selecione Editar filtro para restringir ainda mais a atribuição da política com filtros. Os filtros estão disponíveis para as políticas do macOS, iOS e Windows. Para obter mais informações, veja Aplicar filtros de atribuição neste artigo.

14. Selecione Avançar.

15. Reveja a política e, em seguida, selecione Criar para a criar.

Pode ver a nova política de restrição e aceder às respetivas propriedades na tabela Restrições da plataforma de dispositivos> de inscriçãoRestrições de tipo de dispositivo. Selecione e arraste a restrição para reposicioná-la na tabela e alterar sua prioridade.

Aplicar filtros de atribuição

Você pode utilizar filtros de atribuição para incluir e excluir dispositivos adicionais de determinadas políticas direcionadas a grupos específicos. As restrições de registro e as políticas ESP dão suporte ao uso de filtros de atribuição.

Por exemplo, é possível usar um filtro para permitir que dispositivos Windows pessoais sejam registrados ao bloquear dispositivos que executam um SKU de sistema operacional específico. Para obter esse resultado, aplique um filtro pré-configurado às suas atribuições de restrição de registro. O filtro precisa ter a propriedade operatingSystemSKU em suas regras. Etapas de exemplo:

1. Crie uma política de restrição de registro para o Windows.
2. Nas definições da plataforma, selecione a opção que permite a inscrição de dispositivos pessoais.
3. Nas configurações de atribuições, selecione os grupos que você deseja atribuir.
4. Selecione Editar filtro e aplique o filtro pré-configurado que contém a propriedade operatingSystemSKU. A propriedade aplicada bloqueia os dispositivos que executam a edição do Windows 10 Home.

Para obter mais informações sobre a criação de filtros, consulte Criar um filtro.

Observação

Demora mais tempo a processar filtros de atribuição durante a inscrição. A atualização entre Microsoft Entra e Intune que processa atribuições de utilizadores, grupos e filtros normalmente ocorre dentro de 15 minutos. Não é instantâneo. Este período de tempo pode afetar as atribuições de inscrição. Deve aguardar e inscrever dispositivos vários minutos depois de adicionar os utilizadores inscritos a um grupo e não imediatamente depois.

Propriedades de filtro compatíveis

As restrições de registro suportam menos propriedades de filtragem do que outras políticas direcionadas ao grupo. Isto acontece porque os dispositivos ainda não estão inscritos, pelo que Intune não tem as informações do dispositivo para suportar todas as propriedades. A seleção limitada de propriedades fica disponível quando:

• Configure uma política de restrição de plataforma de dispositivos para dispositivos Windows e Apple.
• Configurar uma política da página de status de registro (ESP) para o Windows.
• Editar um filtro que está em uso em uma restrição de registro ou perfil ESP.

As seguintes propriedades de filtro estão sempre disponíveis para uso com políticas de registro:

Windows

• Fabricante – para Windows 11, versão 22H2 e posterior com KB5035942 (Compilações 22621.3374 e 22631.3374 do SO).
• Modelo – para Windows 11, versão 22H2 e posterior com KB5035942 (Compilações 22621.3374 e 22631.3374 do SO).
• Versão do SO
• SKU do sistema operativo
• Propriedade
• Nome do perfil de registro

iOS/iPadOS e macOS

• Fabricante
• Modelo
• Versão do SO
• Propriedade
• Nome do perfil de registro

Para obter mais informações sobre essas propriedades, consulte as propriedades do dispositivo. Os filtros não podem ser utilizados com restrições de inscrição do Android.

Editar restrições de registro

As edições são aplicadas a novas inscrições e não afetam os dispositivos que já estão inscritos.

1. Regresse àInscrição de Dispositivos>.
2. Selecione Restrições da plataforma de dispositivos e, em seguida, selecione a plataforma do SO à qual pertence a restrição.
3. Na tabela Restrições de tipo de dispositivo, selecione o nome da política que pretende alterar.
4. Selecione Propriedades.
5. Selecione Editar.
6. Faça as suas alterações e selecione Rever + guardar.
7. Reveja as alterações e selecione Guardar.