什么是注册限制?

适用对象

  • Android
  • iOS
  • macOS
  • Windows 10
  • Windows 11

重要

Microsoft Intune已于 2024 年 12 月 31 日终止对有权访问 Google 移动服务 (GMS) 的设备上的 Android 设备管理员管理支持。 在此日期之后,设备注册、技术支持、bug 修复和安全修复将不可用。 如果当前使用设备管理员管理,建议在支持结束之前切换到 Intune 中的另一个 Android 管理选项。 有关详细信息,请参阅 在 GMS 设备上结束对 Android 设备管理员的支持

通过设备注册限制,可以根据某些设备属性限制设备注册Intune。 可在 Microsoft Intune 中配置两种类型的设备注册限制:

  • 设备平台限制:基于设备平台、版本、制造商或所有权类型限制设备。
  • 设备限制:限制用户可以注册Intune的设备数。

每种限制类型都附带一个默认策略,可以根据需要对其进行编辑和自定义。 Intune将默认策略应用于所有用户注册和无用户注册,直到分配更高的优先级策略。

本文概述了可用的注册限制和功能限制。 若要开始创建限制,请跳到本文 () 的 后续步骤

可用限制

可以在管理中心配置以下限制:

  • 设备限制
  • 设备平台
  • OS 版本
  • 设备制造商
  • 设备所有权 (个人拥有的设备)

设备限制

限制用户可以注册的设备数。 设备限制可以设置为 1 到 15 之间的数字。

此配置在管理中心的注册设备限制下设置。

设备平台

重要

Microsoft Intune已于 2024 年 12 月 31 日终止对有权访问 Google 移动服务 (GMS) 的设备上的 Android 设备管理员管理支持。 在此日期之后,设备注册、技术支持、bug 修复和安全修复将不可用。 如果当前使用设备管理员管理,建议在支持结束之前切换到 Intune 中的另一个 Android 管理选项。 有关详细信息,请参阅 在 GMS 设备上结束对 Android 设备管理员的支持

阻止在特定设备平台上运行的设备。 可以将此限制应用于运行以下操作系统的设备:

  • Android 设备管理员
  • Android Enterprise 工作配置文件
  • iOS/iPadOS
  • macOS
  • windows 10/11

在允许两个 Android 平台的组中,支持工作配置文件的设备将使用工作配置文件进行注册。 不支持它的设备将在 Android 设备管理员平台上注册。 除非 Android 注册的所有先决条件都已完成,否则工作配置文件和设备管理员注册都不起作用。

此限制位于管理中心设备载入>注册>设备>平台限制下。

注意

设备平台注册限制使用分配筛选器。 处理用户、组和筛选器分配的Microsoft Entra和Intune之间的更新通常在 15 分钟内完成。 这不是即时的。 此时间量可能会影响注册分配。 在将注册用户添加到组后,应等待并注册设备几分钟,而不是在之后立即注册设备。

OS 版本

此限制强制实施最高和最低 OS 版本要求。 此类限制适用于以下操作系统:

  • Android 设备管理员*
  • Android Enterprise 工作配置文件*
  • iOS/iPadOS*
  • Windows

* 这些操作系统仅支持通过 Intune 公司门户 注册的设备的版本限制。

此限制位于管理中心设备载入>注册>设备>平台限制下。

设备制造商

此限制阻止由特定制造商制造的设备,并且仅适用于 Android 设备。 它位于管理中心设备载入>注册>设备>平台限制下。

个人拥有的设备

此限制有助于防止设备用户意外注册其个人设备,并适用于运行以下操作系统的设备:

  • Android
  • iOS/iPad OS
  • macOS
  • Windows 10/11

此限制位于管理中心设备载入>注册>设备>平台限制下。

阻止个人 Android 设备

默认情况下,在管理中心手动进行更改之前,Android Enterprise 工作配置文件设备设置和 Android 设备管理员设备设置是相同的。

如果在个人设备上阻止 Android Enterprise 工作配置文件注册,则只有公司拥有的设备可以使用 个人拥有的工作配置文件进行注册。

阻止个人 iOS/iPadOS 设备

默认情况下,Intune将 iOS/iPadOS 设备分类为个人拥有。 要分类为公司拥有的设备,iOS/iPadOS 设备必须满足以下条件之一:

注意

iOS 用户注册配置文件替代注册限制策略。 有关详细信息,请参阅设置 iOS/iPadOS 和 iPadOS 用户注册(预览版)

阻止个人 Mac

默认情况下,Intune将 macOS 设备分类为个人拥有。 Mac 设备必须满足以下条件之一才能归类为公司拥有的设备:

阻止个人 Windows 设备

如果阻止个人拥有的 Windows 设备注册,Intune检查以确保每个新的 Windows 注册请求都已获得公司注册的授权。 阻止未经授权的注册。

以下注册方法已获得授权,可进行公司注册:

注意

由于共同管理的设备根据其Microsoft Entra设备令牌(而不是用户令牌)在Microsoft Intune服务中注册,因此只有默认Intune注册限制将应用于该服务。

Intune将经历以下注册类型的设备标记为公司拥有的设备,并阻止它们注册 (,除非已注册到 Autopilot) ,因为这些方法不提供每个设备的Intune管理员控制:

Intune 还使用以下注册方法阻止个人设备:

重要

如果工作区联接加入的设备以前Microsoft Entra加入租户,则可能会阻止其注册。 若要避免被阻止,请在 Microsoft Entra ID 中注销并删除设备的关联对象,然后再尝试通过 Workplace Join 加入设备。

限制

  • 注册限制应用于用户驱动的注册。 Intune在非用户驱动的注册方案中强制实施默认策略,例如:

    • 用于预预配部署的 Windows Autopilot 自部署模式和 Autopilot
    • 通过 Windows 配置Designer批量注册
    • 共同托管的注册
    • 无用户 Apple 自动设备注册 (没有用户设备相关性)
    • Azure 虚拟桌面
    • Windows 365
  • 在以下 Windows 注册方案中,设备限制无法应用于设备,因为这些方案使用共享设备模式:

    • 共同托管的注册
    • 组策略 (GPO) 注册
    • Microsoft Entra加入的注册,包括批量注册
    • Windows Autopilot 注册
    • 设备注册管理员注册

    相反,可以在 Microsoft Entra ID 中为这些注册类型配置硬性限制。 有关详细信息,请参阅使用 Azure 门户管理设备标识

后续步骤

选择要应用的注册限制类型并创建配置文件: