Создание ограничений платформы устройств

Создайте политику ограничения регистрации платформы устройств, чтобы ограничить регистрацию устройств в Intune. Доступные ограничения:

  • Платформа устройства
  • Версия ОС
  • Производитель
  • Владение (личное владение)

Вы можете создать новую политику ограничения платформы устройств в центре администрирования Microsoft Intune или использовать уже доступную политику по умолчанию. Вы можете использовать до 25 политик ограничения платформы устройств.

В этой статье описаны ограничения платформы устройств, поддерживаемые в Microsoft Intune, и способы их настройки в Центре администрирования.

Требования

Требования к платформе устройства

Ограничения платформы устройств доступны для следующих платформ:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows

Требования к ролям

Чтобы создать ограничения платформы устройств, необходимо войти в систему как Intune администратор, встроенная роль для Microsoft Entra ID. Эта роль может создавать, изменять, удалять и повторно изменять ограничения платформы устройств.

Все остальные встроенные роли Intune имеют доступ только для чтения к ограничениям платформы устройств. Вы можете применить теги область к ограничению платформы устройства, чтобы дополнительно ограничить доступ. Дополнительные сведения см. в разделе Управление доступом на основе ролей с помощью Microsoft Intune.

Политика, используемая по умолчанию

Microsoft Intune предоставляет одну политику по умолчанию для ограничений платформы устройств, которую можно изменить и настроить по мере необходимости. Intune применяет политику по умолчанию ко всем регистрациям пользователей и без пользователей, пока вы не назначите политику с более высоким приоритетом.

Рекомендация — ограничения платформы Android

Так как Intune поддерживает две платформы Android, важно понимать, как работают ограничения версий ОС при их использовании с ограничениями платформы устройств:

  • Если вы разрешаете обе платформы для одной группы, а затем уточняете ее для конкретных и неперекрывающихся версий, Intune просмотрите версию, чтобы определить, через какие устройства будут проходить процесс регистрации Android.
  • Если вы разрешаете обе платформы, но блокируете одни и те же версии, устройства с заблокированными версиями не смогут регистрироваться. Пользователи на этих устройствах отправляются через поток регистрации администратора устройств Android, прежде чем они будут заблокированы и им будет предложено выйти из системы.

Важно!

Управление администраторами устройств Android (DA) не рекомендуется и больше не доступно для устройств с доступом к Google Mobile Services (GMS). Если в настоящее время вы используете управление DA, рекомендуется перейти на другой вариант управления Android. Документация по поддержке и справке по-прежнему доступна для некоторых устройств Android 15 и более ранних версий без GMS. Дополнительные сведения см. в разделе Прекращение поддержки администратора устройств Android на устройствах GMS.

Создайте ограничение платформы устройства

  1. Войдите в Центр администрирования Microsoft Intune и перейдите в раздел Устройства.

  2. В разделе Подключение устройств выберите Регистрация.

  3. В разделе Параметры регистрации выберите Ограничение платформы устройства.

  4. Выберите вкладку в верхней части страницы, соответствующую настраиваемой платформе. Доступны следующие параметры:

    • Ограничения Windows
    • Ограничения Android
    • Ограничения macOS
    • Ограничения iOS/iPadOS
    • Ограничения tvOS
    • Ограничения visionOS

  5. Выберите Создать ограничение.

  6. На странице Основные сведения укажите для ограничения имя и необязательное описание.

  7. Нажмите Далее.

  8. На странице Параметры платформы настройте ограничения для выбранной платформы. Доступны следующие параметры:

    • Платформа (Android). Выберите Разрешить , чтобы разрешить регистрацию платформы, и Блокировать , чтобы ограничить ее.

    • MDM (Windows, macOS, iOS/iPadOS, tvOS и visionOS): выберите Разрешить , чтобы разрешить регистрацию платформы, и Блокировать , чтобы ограничить ее.

    • Личные: выберите Разрешить, чтобы разрешить устройствам регистрироваться и работать в качестве личных устройств.

    • Производитель устройства (Android). Введите разделенный запятыми список производителей, которые нужно заблокировать.

    • Допустимый диапазон минимума и максимума (Android, Windows, iOS/iPadOS): введите минимальную и максимальную версии ОС, разрешенные для регистрации. Поддерживаемые форматы версий включают:

      • Windows поддерживает major.minor.build.rev для Windows. Intune не получает номер редакции во время регистрации, поэтому введите 0 для номера редакции.

      • Администратор устройства Android и рабочий профиль Android Enterprise поддерживают major.minor.rev.build.

      • iOS/iPadOS поддерживает major.minor.rev.

        Совет

        Диапазон min/max неприменим к устройствам Apple, которые регистрируется с помощью программы регистрации устройств, Apple School Manager или приложения Apple Configurator. Хотя Intune не блокирует регистрации ADE, которые используют Корпоративный портал для проверки подлинности, не соответствует требованиям ОС влияет на регистрацию, так как устройства не могут создать запись Microsoft Entra устройства, используемую для оценки политик условного доступа. Вы можете сказать, что это так, если пользователь устройства получает сообщение об ошибке с сообщением "Не удалось сопоставить запись устройства с пользователем" после входа в Корпоративный портал.

  9. Нажмите кнопку Далее.

  10. При необходимости добавьте область теги в ограничение. Дополнительные сведения о тегах области см. в статье Использование управления доступом на основе ролей и тегов области для распределенных ИТ-систем.

    Примечание.

    При применении тегов области к ограничению только пользователи Intune в пределах области могут просматривать политику и управлять ею. Только пользователи область могут просматривать и изменять порядок ограничения или изменять его уровень приоритета. Они также могут видеть относительный приоритет ограничения, даже если они не могут видеть все ограничения.

  11. Нажмите Далее.

  12. На странице Назначения выберите Добавить группы и воспользуйтесь полем поиска, чтобы найти и выбрать группы. Чтобы назначить ограничение всем пользователям устройств, нажмите Добавить всех пользователей. Если не назначить ограничение хотя бы одной группе, ограничение не действует.

  13. При необходимости после назначения групп нажмите Изменить фильтр, чтобы далее ограничить назначение политики с помощью фильтров. Фильтры доступны для политик macOS, iOS и Windows. Дополнительные сведения см. в разделе Применение фильтров назначений в этой статье.

  14. Нажмите кнопку Далее.

  15. Просмотрите политику и нажмите кнопку Создать , чтобы создать ее.

Вы можете просмотреть новую политику ограничений и получить доступ к ее свойствам в таблице Ограничения для платформы> регистрацииустройств. Выберите и перетащите ограничение, чтобы переместить его в таблицу и изменить его приоритет.

Применение фильтров назначений

Фильтры назначений можно использовать, чтобы включать и исключать дополнительные устройства из определенных политик, направленных на группу. Ограничения регистрации и политики ESP поддерживают использование фильтров назначения.

Например, можно использовать фильтр, чтобы разрешить регистрацию личных устройств Windows и одновременно заблокировать устройства, работающие под управлением определенного SKU операционной системы. Чтобы добиться этого результата, примените предварительно настроенный фильтр к назначениям ограничений регистрации. Фильтр должен иметь это свойство operatingSystemSKU в своих правилах. Примеры шагов:

  1. Создание политики ограничения регистрации платформы для Windows.
  2. В параметрах платформы выберите параметр, позволяющий регистрировать личные устройства.
  3. В параметрах назначений выберите группы, которые хотите назначить.
  4. Выберите Изменить фильтр, а затем примените предварительно настроенный фильтр, содержащий свойство operatingSystemSKU. Применяемое свойство блокирует устройства под управлением выпуска Windows 10 Домашняя.

Дополнительные сведения о создании фильтров см. в разделе Создание фильтра.

Примечание.

Обработка фильтров назначений во время регистрации занимает дополнительное время. Обновление между Microsoft Entra и Intune, которое обрабатывает назначения пользователей, групп и фильтров, обычно происходит в течение 15 минут. Это не мгновенно. Это время может повлиять на назначения регистрации. Подождите и зарегистрировать устройства через несколько минут после добавления зарегистрированных пользователей в группу, а не сразу после.

Поддерживаемые свойства фильтра

Ограничения регистрации поддерживают меньше свойств фильтра, чем другие политики, направленные на группу. Это связано с тем, что устройства еще не зарегистрированы, поэтому у Intune нет сведений об устройстве для поддержки всех свойств. Ограниченный выбор свойств становится доступным при выполнении следующих действий:

  • Настройка политики ограничения устройств платформы для устройств с Apple и Windows.
  • Настройка политики состояния страницы регистрации (ESP) для Windows.
  • Измените фильтр, используемый в ограничениях регистрации или политике ESP.

Следующие свойства фильтра всегда доступны для использования с политиками регистрации:

Windows

iOS/iPadOS и macOS

  • Производитель
  • Модель
  • Версия ОС
  • Собственность
  • Имя политики регистрации

Дополнительные сведения об этих свойствах см. в разделе Свойства устройств. Фильтры нельзя использовать с ограничениями регистрации Android.

Изменение ограничений регистрации

Изменения применяются к новым регистрациям и не влияют на уже зарегистрированные устройства.

  1. Вернитесь враздел Регистрацияустройств>.
  2. Выберите Ограничения платформы устройств , а затем выберите платформу ОС, к которой относится ограничение.
  3. В таблице Ограничения типов устройств выберите имя политики, которую требуется изменить.
  4. Выберите пункт Свойства.
  5. Нажмите Изменить.
  6. Внесите изменения и выберите Просмотр и сохранение.
  7. Просмотрите изменения и нажмите кнопку Сохранить.
  • Last updated on