Поделиться через

Создание ограничений платформы устройств

  • Статья

Область применения: Android, iOS/iPadOS, macOS, Windows 10, Windows 11

Создайте политику ограничения регистрации платформы устройств, чтобы ограничить регистрацию устройств в Intune. Доступные ограничения:

  • Платформа устройства
  • Версия ОС
  • Производитель
  • Владение (личное владение)

Вы можете создать новую политику ограничения платформы устройств в центре администрирования Microsoft Intune или использовать уже доступную политику по умолчанию. Вы можете использовать до 25 политик ограничения платформы устройств.

В этой статье описаны ограничения платформы устройств, поддерживаемые в Microsoft Intune, и способы их настройки в Центре администрирования.

Управление доступом на основе ролей

Чтобы создать ограничения платформы устройств в Microsoft Intune, необходимо назначить вас администратором Intune. Эта роль встроена в Microsoft Entra ID и может:

  • Создание ограничений платформы устройств

  • Изменение ограничений платформы устройств

  • Удаление ограничений платформы устройств

  • Повторная реприоритизация ограничений платформы устройств

Все остальные встроенные роли Intune имеют доступ только для чтения к ограничениям платформы устройств. Вы можете применить теги область к ограничению платформы устройства, чтобы дополнительно ограничить доступ. Дополнительные сведения об управлении доступом на основе ролей (RBAC) см. в разделе RBAC с Microsoft Intune.

Политика, используемая по умолчанию

Microsoft Intune предоставляет одну политику по умолчанию для ограничений платформы устройств, которую можно изменить и настроить по мере необходимости. Intune применяет политику по умолчанию ко всем регистрациям пользователей и без пользователей, пока вы не назначите политику с более высоким приоритетом.

Рекомендация — ограничения платформы Android

Так как Intune поддерживает две платформы Android, важно понимать, как работают ограничения версий ОС при их использовании с ограничениями платформы устройств:

  • Если вы разрешаете обе платформы для одной группы, а затем уточняете ее для конкретных и неперекрывающихся версий, Intune просмотрите версию, чтобы определить, через какие устройства будут проходить процесс регистрации Android.
  • Если вы разрешаете обе платформы, но блокируете одни и те же версии, устройства с заблокированными версиями не смогут регистрироваться. Пользователи на этих устройствах отправляются через поток регистрации администратора устройств Android, прежде чем они будут заблокированы и им будет предложено выйти из системы.

Важно!

Управление администраторами устройств Android устарело и больше не доступно для устройств с доступом к Google Mobile Services (GMS). Если в настоящее время вы используете управление администраторами устройств, рекомендуется перейти на другой вариант управления Android. Документация по поддержке и справке по-прежнему доступна для некоторых устройств без GMS под управлением Android 15 и более ранних версий. Дополнительные сведения см. в разделе Прекращение поддержки администратора устройств Android на устройствах GMS.

Создайте ограничение платформы устройства

  1. Войдите в Центр администрирования Microsoft Intune и перейдите в раздел Устройства.

  2. В разделе Подключение устройств выберите Регистрация.

  3. В разделе Параметры регистрации выберите Ограничение платформы устройства.

  4. Выберите вкладку в верхней части страницы, соответствующую настраиваемой платформе. Доступны следующие параметры:

    • Ограничения Windows
    • Ограничения Android
    • Ограничения macOS
    • Ограничения iOS

  5. Выберите Создать ограничение.

  6. На странице Основные сведения укажите для ограничения имя и необязательное описание.

  7. Нажмите Далее.

  8. На странице Параметры платформы настройте ограничения для выбранной платформы. Доступны следующие параметры:

    • Платформа (Android). Выберите Разрешить , чтобы разрешить регистрацию платформы, и Блокировать , чтобы ограничить ее.

    • MDM (Windows, macOS и iOS/iPadOS): выберите Разрешить , чтобы разрешить платформу регистрироваться, и Блокировать , чтобы ограничить ее.

    • Личные: выберите Разрешить, чтобы разрешить устройствам регистрироваться и работать в качестве личных устройств.

    • Производитель устройства (Android). Введите разделенный запятыми список производителей, которые нужно заблокировать.

    • Допустимый диапазон минимума и максимума (Android, Windows, iOS/iPadOS): введите минимальную и максимальную версии ОС, разрешенные для регистрации. Поддерживаемые форматы версий включают:

      • Windows поддерживает major.minor.build.rev для Windows 10 и Windows 11. Intune не получает номер редакции во время регистрации, поэтому введите 0 для номера редакции.

      • Администратор устройства Android и рабочий профиль Android Enterprise поддерживают major.minor.rev.build.

      • iOS/iPadOS поддерживает major.minor.rev.

        Совет

        Диапазон min/max неприменим к устройствам Apple, которые регистрируется с помощью программы регистрации устройств, Apple School Manager или приложения Apple Configurator. Хотя Intune не блокирует регистрации ADE, которые используют Корпоративный портал для проверки подлинности, не соответствует требованиям ОС влияет на регистрацию, так как устройства не могут создать запись Microsoft Entra устройства, используемую для оценки политик условного доступа. Вы можете сказать, что это так, если пользователь устройства получает сообщение об ошибке с сообщением "Не удалось сопоставить запись устройства с пользователем" после входа в Корпоративный портал.

  9. Нажмите кнопку Далее.

  10. При необходимости добавьте область теги в ограничение. Дополнительные сведения о тегах области см. в статье Использование управления доступом на основе ролей и тегов области для распределенных ИТ-систем.

    Примечание.

    При применении тегов области к ограничению только пользователи Intune в пределах области могут просматривать политику и управлять ею. Только пользователи область могут просматривать и изменять порядок ограничения или изменять его уровень приоритета. Они также могут видеть относительный приоритет ограничения, даже если они не могут видеть все ограничения.

  11. Нажмите Далее.

  12. На странице Назначения выберите Добавить группы и воспользуйтесь полем поиска, чтобы найти и выбрать группы. Чтобы назначить ограничение всем пользователям устройств, нажмите Добавить всех пользователей. Если не назначить ограничение хотя бы одной группе, ограничение не действует.

  13. При необходимости после назначения групп нажмите Изменить фильтр, чтобы далее ограничить назначение политики с помощью фильтров. Фильтры доступны для политик macOS, iOS и Windows. Дополнительные сведения см. в разделе Применение фильтров назначений в этой статье.

  14. Нажмите кнопку Далее.

  15. Просмотрите политику и нажмите кнопку Создать , чтобы создать ее.

Вы можете просмотреть новую политику ограничений и получить доступ к ее свойствам в таблице Ограничения для платформы> регистрацииустройств. Выберите и перетащите ограничение, чтобы переместить его в таблицу и изменить его приоритет.

Применение фильтров назначений

Фильтры назначений можно использовать, чтобы включать и исключать дополнительные устройства из определенных политик, направленных на группу. Ограничения регистрации и политики ESP поддерживают использование фильтров назначения.

Например, можно использовать фильтр, чтобы разрешить регистрацию личных устройств Windows и одновременно заблокировать устройства, работающие под управлением определенного SKU операционной системы. Чтобы добиться этого результата, примените предварительно настроенный фильтр к назначениям ограничений регистрации. Фильтр должен иметь это свойство operatingSystemSKU в своих правилах. Примеры шагов:

  1. Создание политики ограничения регистрации платформы для Windows.
  2. В параметрах платформы выберите параметр, позволяющий регистрировать личные устройства.
  3. В параметрах назначений выберите группы, которые хотите назначить.
  4. Выберите Изменить фильтр, а затем примените предварительно настроенный фильтр, содержащий свойство operatingSystemSKU. Применяемое свойство блокирует устройства под управлением выпуска Windows 10 Домашняя.

Дополнительные сведения о создании фильтров см. в разделе Создание фильтра.

Примечание.

Обработка фильтров назначений во время регистрации занимает дополнительное время. Обновление между Microsoft Entra и Intune, которое обрабатывает назначения пользователей, групп и фильтров, обычно происходит в течение 15 минут. Это не мгновенно. Это время может повлиять на назначения регистрации. Подождите и зарегистрировать устройства через несколько минут после добавления зарегистрированных пользователей в группу, а не сразу после.

Поддерживаемые свойства фильтра

Ограничения регистрации поддерживают меньше свойств фильтра, чем другие политики, направленные на группу. Это связано с тем, что устройства еще не зарегистрированы, поэтому у Intune нет сведений об устройстве для поддержки всех свойств. Ограниченный выбор свойств становится доступным при выполнении следующих действий:

  • Настройка политики ограничения устройств платформы для устройств с Apple и Windows.
  • Настройка политики состояния страницы регистрации (ESP) для Windows.
  • Изменение фильтра, который используется в ограничении регистрации или профиле ESP.

Следующие свойства фильтра всегда доступны для использования с политиками регистрации:

Windows

iOS/iPadOS и macOS

  • Производитель
  • Модель
  • Версия ОС
  • Собственность
  • Имя профиля регистрации

Дополнительные сведения об этих свойствах см. в разделе Свойства устройств. Фильтры нельзя использовать с ограничениями регистрации Android.

Изменение ограничений регистрации

Изменения применяются к новым регистрациям и не влияют на уже зарегистрированные устройства.

  1. Вернитесь враздел Регистрацияустройств>.
  2. Выберите Ограничения платформы устройств , а затем выберите платформу ОС, к которой относится ограничение.
  3. В таблице Ограничения типов устройств выберите имя политики, которую требуется изменить.
  4. Выберите пункт Свойства.
  5. Нажмите Изменить.
  6. Внесите изменения и выберите Просмотр и сохранение.
  7. Просмотрите изменения и нажмите кнопку Сохранить.