创建设备平台限制

适用于：Android、iOS/iPadOS、macOS、Windows 10、Windows 11

创建设备平台注册限制策略，以限制设备在 Intune 中注册。 可用限制包括：

• 设备平台
• OS 版本
• 制造商
• 所有权 (个人拥有)

可以在Microsoft Intune管理中心创建新的设备平台限制策略，也可以使用已提供的默认策略。 最多可以有 25 个设备平台限制策略。

本文介绍Microsoft Intune支持的设备平台限制以及如何在管理中心对其进行配置。

基于角色的访问控制

若要在 Microsoft Intune 中创建设备平台限制，必须分配为Intune管理员。 此角色内置于Microsoft Entra ID，可以：

• 创建设备平台限制

• 编辑设备平台限制

• 删除设备平台限制

• 重新设置设备平台限制的优先级

所有其他内置Intune角色对设备平台限制具有只读访问权限。 可以将范围标记应用于设备平台限制，以进一步限制访问。 有关基于角色的访问控制 (RBAC) 的详细信息，请参阅 RBAC with Microsoft Intune。

默认策略

Microsoft Intune为设备平台限制提供了一个默认策略，你可以根据需要对其进行编辑和自定义。 Intune将默认策略应用于所有用户注册和无用户注册，直到分配更高的优先级策略。

最佳做法 - Android 平台限制

由于 Intune 支持两个 Android 平台，因此请务必了解将 OS 版本限制与设备平台限制配合使用时的工作原理：

• 如果允许同一组使用这两个平台，然后针对特定和非重叠版本对其进行优化，Intune查看版本以确定 Android 注册流设备通过。
• 如果允许这两个平台，但阻止相同的版本，则运行被阻止版本的设备将无法注册。 这些设备上的用户先通过 Android 设备管理员注册流发送，然后才会被阻止并提示他们注销。

重要

Microsoft Intune已于 2024 年 12 月 31 日终止对有权访问 Google 移动服务 (GMS) 的设备上的 Android 设备管理员管理支持。 在此日期之后，设备注册、技术支持、bug 修复和安全修复将不可用。 如果当前使用设备管理员管理，建议在支持结束之前切换到 Intune 中的另一个 Android 管理选项。 有关详细信息，请参阅 在 GMS 设备上结束对 Android 设备管理员的支持。

创建设备平台限制

1. 登录到Microsoft Intune管理中心，然后转到“设备”。

2. 在 “设备载入”下，选择“ 注册”。

3. 在 “注册选项”下，选择“ 设备平台限制”。

4. 选择与要配置的平台相对应的页面顶部的选项卡。 选项包括：

   • Windows 限制
   • Android 限制
   • macOS 限制
   • iOS 限制

5. 选择”创建限制”。

6. 在“基本信息”页面上，为限制提供名称和可选说明。

7. 选择下一步。

8. 在 平台设置 页面上，配置所选平台的限制。 选项包括：

   • 平台 (Android) ：选择 “允许” 以允许平台注册，选择 “阻止” 以限制它。

   • MDM (Windows、macOS 和 iOS/iPadOS) ：选择 “允许” 以允许平台注册，选择 “阻止” 以限制它。

   • 个人拥有: 选择“允许”以允许设备作为个人设备注册及操作。

   • 设备制造商 (Android) ：输入要阻止的制造商的逗号分隔列表。

   • 允许最小/最大范围 (Android、Windows、iOS/iPadOS) ：输入允许注册的最低和最大操作系统版本。 支持的版本格式包括：

     • Windows 支持 major.minor.build.rev Windows 10 和 Windows 11。 Intune在注册期间未收到修订号，因此输入 0 为修订号。

     • Android 设备管理员和 Android Enterprise 工作配置文件支持 major.minor.rev.build。

     • iOS/iPadOS 支持 major.minor.rev。

       提示

       最小/最大范围不适用于使用设备注册计划、Apple School Manager 或 Apple Configurator 应用注册的 Apple 设备。 尽管 Intune 不会阻止使用 公司门户 进行身份验证的 ADE 注册，但不符合 OS 要求会影响注册，因为设备无法创建用于评估条件访问策略Microsoft Entra设备记录。 如果设备用户在登录到公司门户后收到错误消息，提示“无法通过用户映射设备记录”。

9. 选择 下一步。

10. （可选）将范围标记添加到限制。 有关范围标记的详细信息，请参阅 为分布式 IT 使用基于角色的访问控制和范围标记。

    注意

    如果将作用域标记应用于限制，则只有作用域内的 Intune 用户才能查看和管理策略。 只有范围内的人员才能查看和重新排序限制，或更改其优先级。 他们还可以查看限制的相对优先级，即使他们看不到所有限制。

11. 选择“下一步”。

12. 在“分配”页面上，选择“添加组”，然后使用搜索框查找和选择组。 若要将限制分配给所有设备用户，请选择“添加所有用户”。 如果未向至少一个组分配限制，该限制将不会生效。

13. （可选）分配组后，请选择“编辑筛选器”以使用筛选器进一步限制策略分配。 筛选器可用于 macOS、iOS 和 Windows 策略。 有关详细信息，请参阅本文中的 应用分配筛选器 。

14. 选择 下一步。

15. 查看策略，然后选择“ 创建 ”以创建它。

可以在注册设备平台限制设备类型限制>表中查看新的限制策略并访问其属性。 选择并拖动限制条件，以调整其在表中的位置并改变其优先级。

应用分配筛选器

可以使用分配筛选器来包括和排除来自某些组目标策略中的其他设备。 注册限制和 ESP 策略都支持使用分配筛选器。

例如，可以使用筛选器允许个人 Windows 设备注册，同时阻止运行特定操作系统 SKU 的设备。 若要实现此效果，请将预配置的筛选器应用于注册限制分配。 筛选器需要在其规则中包含 operatingSystemSKU 属性。 示例步骤：

1. 为 Windows 创建平台注册限制策略。
2. 在平台设置中，选择允许个人设备注册的选项。
3. 在分配设置中，选择要分配的组。
4. 选择“编辑筛选器”，然后应用包含 operatingSystemSKU 属性的预配置筛选器。 应用的属性会限止运行 Windows 10 家庭版的设备。

有关创建筛选器的详细信息，请参阅 创建筛选器。

注意

在注册期间处理分配筛选器需要额外的时间。 处理用户、组和筛选器分配的Microsoft Entra和Intune之间的更新通常在 15 分钟内完成。 这不是即时的。 此时间量可能会影响注册分配。 在将注册用户添加到组后，应等待并注册设备几分钟，而不是在之后立即注册设备。

支持的筛选器属性

与其他面向组的策略相比，注册限制支持的筛选器属性更少。 这是因为设备尚未注册，因此Intune没有支持所有属性的设备信息。 在以下情况下，有限选择的属性将变为可用：

• 为 Apple 和 Windows 设备配置设备平台限制策略。
• 配置 Windows 的注册状态页 (ESP) 策略。
• 编辑正在使用的注册限制或 ESP 配置文件中的筛选器。

以下筛选器属性始终可用于注册策略:

Windows

• 制造商 - 对于Windows 11版本 22H2 及更高版本，KB5035942 (操作系统内部版本 22621.3374 和 22631.3374) 。
• 模型 - 对于Windows 11版本 22H2 及更高版本，KB5035942 (操作系统内部版本 22621.3374 和 22631.3374) 。
• OS 版本
• 操作系统 SKU
• Ownership
• 注册配置文件名称

iOS/iPadOS 和 macOS

• 制造商
• 模型
• OS 版本
• Ownership
• 注册配置文件名称

有关这些属性的更多信息，请参阅 设备属性。 筛选器不能与 Android 注册限制一起使用。

编辑注册限制

编辑将应用于新注册，不会影响已注册的设备。

1. 返回到 设备>注册。
2. 选择“ 设备平台限制 ”，然后选择该限制所属的 OS 平台。
3. 在 “设备类型限制 ”表中，选择要更改的策略的名称。
4. 选择“属性”。
5. 选择“编辑”。
6. 进行更改，然后选择“ 查看 + 保存”。
7. 查看更改并选择“ 保存”。