Vytvoření omezení platformy zařízení

Platí pro: Android, iOS/iPadOS, macOS, Windows 10, Windows 11

Vytvořte zásadu omezení registrace platformy zařízení, která omezí registraci zařízení v Intune. Mezi dostupná omezení patří:

• Platforma zařízení
• Verze operačního systému
• Výrobce
• Vlastnictví (v osobním vlastnictví)

V Centru pro správu Microsoft Intune můžete vytvořit nové zásady omezení platformy zařízení nebo použít výchozí zásady, které jsou už dostupné. Můžete mít až 25 zásad omezení platformy zařízení.

Tento článek popisuje omezení platformy zařízení podporovaná v Microsoft Intune a postup jejich konfigurace v Centru pro správu.

Výchozí zásady

Microsoft Intune poskytuje jednu výchozí zásadu pro omezení platformy zařízení, kterou můžete podle potřeby upravit a přizpůsobit. Intune použije výchozí zásadu pro všechny registrace uživatelů a bez uživatelů, dokud nepřiřadíte zásadu s vyšší prioritou.

Osvědčený postup – Omezení platformy Android

Vzhledem k tomu, že Intune podporuje dvě platformy Android, je důležité pochopit, jak fungují omezení verzí operačního systému, když je používáte s omezeními platforem zařízení:

• Pokud povolíte obě platformy pro stejnou skupinu a pak ji upřesníte pro konkrétní a nepřekrývající se verze, zařízení se odesílají prostřednictvím toku registrace Androidu, který se vybere pro jejich verzi.
• Pokud povolíte obě platformy, ale zablokujete stejné verze, zařízení s blokovanými verzemi se nebudou moct zaregistrovat. Uživatelé na těchto zařízeních se odešlou prostřednictvím postupu registrace správce zařízení s Androidem, než se zablokují a zobrazí se výzva k odhlášení.

Důležité

Microsoft Intune končí podpora správy správců zařízení s Androidem na zařízeních s přístupem k Google Mobile Services (GMS) 30. srpna 2024. Po tomto datu nebude registrace zařízení, technická podpora, opravy chyb a opravy zabezpečení k dispozici. Pokud aktuálně používáte správu správce zařízení, doporučujeme před ukončením podpory přepnout na jinou možnost správy Androidu v Intune. Další informace najdete v článku Ukončení podpory pro správce zařízení s Androidem na zařízeních GMS.

Vytvoření omezení platformy zařízení

1. Přihlaste se do Centra pro správu Microsoft Intune.

2. Přejděte na Registrace zařízení>.

3. Vyberte Omezení platformy zařízení.

4. Vyberte kartu v horní části stránky, která odpovídá konfigurující platformě. Možnosti:

   • Omezení Androidu
   • Omezení Windows
   • omezení macOS
   • Omezení pro iOS

5. Vyberte Vytvořit omezení.

6. Na stránce Základy zadejte název a volitelný popis omezení.

7. Vyberte Další.

8. Na stránce Nastavení platformy nakonfigurujte omezení pro vybranou platformu. Možnosti:

   • Platforma (Android): Vyberte Povolit , pokud chcete povolit registraci platformy, a blokovat ji omezíte.
   • MDM (Windows, macOS a iOS/iPadOS): Vyberte Povolit , pokud chcete povolit registraci platformy, a blokovat ji omezte.
   • V osobním vlastnictví: Vyberte Povolit , pokud chcete zařízením povolit registraci a provoz jako osobní zařízení.
   • Výrobce zařízení (Android): Zadejte čárkami oddělený seznam výrobců, které chcete blokovat.
   • Povolit minimální a maximální rozsah (Android, Windows, iOS/iPadOS): Zadejte minimální a maximální verzi operačního systému, která se může zaregistrovat. Mezi podporované formáty verzí patří:

     • Systém Windows podporuje pro Windows 10 a Windows 11 major.minor.build.rev. Intune během registrace neobdrží číslo revize, proto jako číslo revize zadejte 0 .

     • Správce zařízení s Androidem a pracovní profil Androidu Enterprise podporují major.minor.rev.build.

     • iOS/iPadOS podporuje major.minor.rev.

       Tip

       Minimální a maximální rozsah se nevztahuje na zařízení Apple, která se zaregistrují pomocí Programu registrace zařízení, Apple School Manageru nebo aplikace Apple Configurator. I když Intune neblokuje registrace ADE, které k ověřování používají Portál společnosti, nedodržování požadavků na operační systém má vliv na registraci, protože zařízení nemůžou vytvořit záznam Microsoft Entra zařízení, který se používá k vyhodnocení zásad podmíněného přístupu. Poznáte to tak, že se uživateli zařízení po přihlášení k Portál společnosti zobrazí chybová zpráva "Nepodařilo se namapovat záznam zařízení s uživatelem".

9. Vyberte Další.

10. Volitelně můžete k omezení přidat značky oboru. Další informace o značkách oboru najdete v tématu Použití řízení přístupu na základě role a značek oboru pro distribuované IT.

    Poznámka

    Pokud u omezení použijete značky oboru, můžou zásady zobrazit a spravovat jenom uživatelé Intune v rámci oboru. Omezení si můžou zobrazit a změnit jeho pořadí nebo změnit jeho úroveň priority jenom lidé v oboru. Uvidí také relativní prioritu omezení, i když nevidí všechna omezení.

11. Vyberte Další.

12. Na stránce Přiřazení vyberte Přidat skupiny a pak pomocí vyhledávacího pole vyhledejte a vyberte skupiny. Pokud chcete omezení přiřadit všem uživatelům zařízení, vyberte Přidat všechny uživatele. Pokud nepřiřadíte omezení alespoň k jedné skupině, omezení se neprojeví.

13. Volitelně můžete po přiřazení skupin vybrat Upravit filtr , abyste přiřazení zásad dále omezili pomocí filtrů. Filtry jsou dostupné pro zásady pro macOS, iOS a Windows. Další informace najdete v tématu Použití filtrů přiřazení (v tomto článku).

14. Vyberte Další.

15. Zkontrolujte zásadu a pak ji vytvořte tak, že vyberete Vytvořit .

Nové zásady omezení si můžete prohlédnout a získat přístup k jejich vlastnostem v tabulceOmezení typu zařízení v tabulce Omezení> typu zařízení. Výběrem a přetažením omezení změňte umístění v tabulce a změňte jeho prioritu.

Použití filtrů přiřazení

Filtry přiřazení můžete použít k zahrnutí a vyloučení dalších zařízení z určitých zásad cílených na skupiny. Omezení registrace a zásady ESP podporují použití filtrů přiřazení.

Pomocí filtru můžete například povolit registraci osobních zařízení s Windows a zároveň blokovat zařízení, která používají konkrétní skladovou položku operačního systému. Pokud chcete tohoto výsledku dosáhnout, použijte na přiřazení omezení registrace předkonfigurovaný filtr. Filtr musí mít operatingSystemSKU vlastnost ve svých pravidlech. Příklad kroků:

1. Vytvořte zásady omezení registrace platformy pro Windows.
2. V nastavení platformy vyberte možnost, která umožňuje registraci osobních zařízení.
3. V nastavení přiřazení vyberte skupiny, které chcete přiřadit.
4. Vyberte Upravit filtr a pak použijte předkonfigurovaný filtr, který obsahuje operatingSystemSKU vlastnost . Použitá vlastnost blokuje zařízení se spuštěnou edicí Windows 10 Home.

Další informace o vytváření filtrů najdete v tématu Vytvoření filtru.

Podporované vlastnosti filtru

Omezení registrace podporují méně vlastností filtru než jiné zásady cílené na skupiny. Důvodem je to, že zařízení ještě nejsou zaregistrovaná, takže Intune nemá informace o zařízení, které by podporovalo všechny vlastnosti. Omezený výběr vlastností se zobrazí v následujících případech:

• Nakonfigurujte zásady omezení platformy zařízení pro zařízení s Apple a Windows.
• Nakonfigurujte zásady stránky stavu registrace (ESP) pro Windows.
• Upravte filtr, který se používá v profilu ESP nebo omezení registrace.

Následující vlastnosti filtru jsou vždy k dispozici pro použití se zásadami registrace:

Windows

• Verze operačního systému
• Skladová položka operačního systému
• Vlastnictví
• Název registračního profilu

iOS/iPadOS a macOS

• Výrobce
• Model
• Verze operačního systému
• Vlastnictví
• Název registračního profilu

Další informace o těchto vlastnostech najdete v tématu Vlastnosti zařízení. Filtry se nedají použít s omezeními registrace Androidu.

Úprava omezení registrace

Úpravy se použijí u nových registrací a nemají vliv na zařízení, která jsou už zaregistrovaná.

1. Vraťte se dočásti Registracezařízení>.
2. Vyberte Omezení platformy zařízení.
3. V tabulce Omezení typu zařízení vyberte název zásady, kterou chcete změnit.
4. Vyberte Vlastnosti.
5. Vyberte Upravit.
6. Proveďte změny a vyberte Zkontrolovat a uložit.
7. Zkontrolujte provedené změny a vyberte Uložit.