建立裝置平臺限制
適用於:Android、iOS/iPadOS、macOS、Windows 10、Windows 11
建立裝置平臺註冊限制原則,以限制裝置無法在 Intune 中註冊。 可用的限制包括:
- 裝置平臺
- 操作系統版本
- 製造商
- 個人擁有) (擁有權
您可以在 Microsoft Intune 系統管理中心建立新的裝置平臺限制原則,或使用已可用的默認原則。 您最多可以有 25 個裝置平臺限制原則。
本文說明 Microsoft Intune 中支援的裝置平臺限制,以及如何在系統管理中心進行設定。
角色型存取控制
若要在 Microsoft Intune 中建立裝置平臺限制,您必須指派為 Intune 系統管理員。 此角色是 Microsoft Entra ID 的內建角色,而且可以:
建立裝置平臺限制
編輯裝置平臺限制
刪除裝置平臺限制
重新註冊裝置平臺限制
所有其他內建 Intune 角色都具有裝置平臺限制的唯讀存取權。 您可以將範圍標籤套用至裝置平臺限制,以進一步限制存取。 如需角色型訪問控制 (RBAC) 的詳細資訊,請參閱具有 Microsoft Intune 的 RBAC。
預設原則
Microsoft Intune 針對裝置平臺限制提供一個默認原則,您可以視需要進行編輯和自定義。 Intune 會將默認原則套用至所有使用者和無用戶註冊,直到您指派較高優先順序的原則為止。
最佳做法 - Android 平臺限制
由於 Intune 支援兩個 Android 平臺,因此請務必了解當您搭配裝置平臺限制使用作業系統版本限制時,操作系統版本限制的運作方式:
- 如果您允許相同群組的這兩個平臺,然後針對特定和非重疊版本進行精簡,Intune 查看版本來判斷 Android 註冊流程裝置會通過。
- 如果您允許這兩個平臺,但封鎖相同的版本,則無法註冊執行封鎖版本的裝置。 這些裝置上的使用者會在遭到封鎖並提示註銷之前,透過 Android 裝置系統管理員註冊流程傳送。
重要事項
Microsoft Intune 於 2024 年 12 月 31 日終止在可存取 Google 行動服務 (GMS) 的裝置上進行 Android 裝置系統管理員管理的支援。 在該日期之後,裝置註冊、技術支援、錯誤修正和安全性修正將無法使用。 如果您目前使用裝置系統管理員管理,建議您在支持結束之前,切換至 Intune 中的另一個 Android 管理選項。 如需詳細資訊,請參閱 在 GMS 裝置上終止對 Android 裝置系統管理員的支援。
建立裝置平臺限制
登入 Microsoft Intune 系統管理中心,然後移至 [裝置]。
在 [裝置上線] 下,選取 [ 註冊]。
在 [ 註冊選項] 下,選取 [ 裝置平臺限制]。
選取頁面頂端的索引標籤,該索引標籤會對應至您要設定的平臺。 選項包括:
- Windows 限制
- Android 限制
- macOS 限制
- iOS 限制
選 取 [建立限制]。
在 [ 基本概念] 頁面上,提供限制的名稱和選擇性描述。
選取 [下一步]。
在 [ 平台設定] 頁面上,設定所選平臺的限制。 選項包括:
平臺 (Android) :選取 [ 允許 ] 以允許註冊平臺,然後 選取 [封鎖 ] 加以限制。
MDM (Windows、macOS 和 iOS/iPadOS) :選取 [ 允許 ] 以允許註冊平台,然後 選取 [封鎖 ] 加以限制。
個人擁有:選取 [允許 ] 以允許裝置註冊並操作為個人裝置。
裝置製造商 (Android) :輸入您要封鎖之製造商的逗號分隔清單。
允許最小/最大範圍 (Android、Windows、iOS/iPadOS) :輸入允許註冊的最小和最大 OS 版本。 支援的版本格式包括:
Windows 支援 major.minor.build.rev 來 Windows 10 和 Windows 11。 Intune 在註冊期間不會收到修訂編號,因此請輸入 0 作為修訂編號。
Android 裝置系統管理員和 Android Enterprise 工作配置文件支援 major.minor.rev.build。
iOS/iPadOS 支援 major.minor.rev。
提示
最小/最大範圍不適用於使用裝置註冊計劃、Apple School Manager 或 Apple Configurator 應用程式註冊的 Apple 裝置。 雖然 Intune 不會封鎖使用 公司入口網站 進行驗證的 ADE 註冊,但不符合 OS 需求會影響註冊,因為裝置無法建立用來評估條件式存取原則的 Microsoft Entra 裝置記錄。 您可以知道,如果裝置使用者在登入 公司入口網站後收到錯誤訊息,指出「無法對應裝置記錄與使用者」的情況。
選取 [下一步]。
選擇性地將範圍標籤新增至限制。 如需範圍標籤的詳細資訊,請 參閱針對分散式IT使用角色型訪問控制和範圍標籤。
注意事項
如果您將範圍標籤套用至限制,則只有範圍內 Intune 使用者可以檢視和管理原則。 只有範圍內的人員可以檢視和重新排序限制,或變更其優先順序層級。 他們也可以查看限制的相對優先順序,即使看不到所有限制也一般。
選取 [下一步]。
在 [ 指派] 頁面上,選取 [ 新增群組 ],然後使用搜尋方塊來尋找和選取群組。 若要將限制指派給所有裝置使用者,請選取 [新增所有使用者]。 如果您未將限制指派給至少一個群組,限制將不會生效。
或者,在您指派群組之後,選取 [ 編輯篩選 ] 以進一步使用篩選條件限制原則指派。 篩選適用於macOS、iOS和 Windows 原則。 如需詳細資訊,請參閱本文中的 套用指派篩選 。
選取 [下一步]。
檢閱您的原則,然後選取 [建立 ] 加以建立。
您可以在註冊裝置平臺限制>裝置類型限制資料表中檢視新的限制原則並存取其屬性。 選取並拖曳限制,將它重新放置在數據表中,並變更其優先順序。
套用指派篩選
您可以使用指派篩選條件,從特定的群組目標原則中包含和排除其他裝置。 註冊限制和 ESP 原則都支援使用指派篩選。
例如,您可以使用篩選條件來允許個人 Windows 裝置註冊,同時封鎖執行特定作業系統 SKU 的裝置。 若要達到此結果,請將預先設定的篩選套用至您的註冊限制指派。 篩選條件的規則中必須有 operatingSystemSKU
屬性。 範例步驟:
- 建立適用於 Windows 的平台註冊限制原則。
- 在平台設定中,選取允許個人裝置註冊的選項。
- 在 [指派設定] 中,選取您要指派的群組。
- 選 取 [編輯篩選 ],然後套用包含
operatingSystemSKU
屬性的預先設定篩選。 套用的 屬性會封鎖執行 Windows 10 家用版 版本的裝置。
如需建立篩選的詳細資訊,請參閱 建立篩選。
支援的篩選屬性
相較於其他以群組為目標的原則,註冊限制支援較少的篩選屬性。 這是因為裝置尚未註冊,因此 Intune 沒有支援所有屬性的裝置資訊。 當您:
- 設定 Apple 和 Windows 裝置的裝置平臺限制原則。
- 設定適用於 Windows 的 ESP) 原則 (註冊狀態頁面。
- 編輯註冊限制或 ESP 設定檔中使用的篩選條件。
下列篩選屬性一律可搭配註冊原則使用:
Windows
- 製造商 - 針對 Windows 11 版本 22H2 和更新版本,KB5035942 (操作系统组建 22621.3374 和 22631.3374) 。
- 模型 - 針對 Windows 11 版本 22H2 和更新版本,KB5035942 (操作系统组建 22621.3374 和 22631.3374) 。
- 操作系統版本
- 操作系統 SKU
- 擁有權
- 註冊配置檔名稱
iOS/iPadOS 和 macOS
- 製造商
- Model
- 操作系統版本
- 擁有權
- 註冊配置檔名稱
如需這些屬性的詳細資訊,請參閱 裝置屬性。 篩選條件無法與Android註冊限制搭配使用。
編輯註冊限制
編輯會套用至新的註冊,而且不會影響已註冊的裝置。
- 返回 裝置>註冊。
- 選 取 [裝置平臺限制 ],然後選取限制所屬的OS平臺。
- 在 [ 裝置類型限制 ] 資料表中,選取您想要變更的原則名稱。
- 選取 [內容]。
- 選取 [編輯]。
- 進行變更,然後選 取 [檢閱 + 儲存]。
- 檢閱您的變更,然後選取 [ 儲存]。