Teilen über

Erstellen von Geräteplattformeinschränkungen

  • Artikel

Gilt für: Android, iOS/iPadOS, macOS, Windows 10, Windows 11

Erstellen Sie eine Richtlinie zur Geräteplattformregistrierungseinschränkung, um die Registrierung von Geräten bei Intune zu beschränken. Zu den verfügbaren Einschränkungen gehören:

  • Geräteplattform
  • BS-Version
  • Hersteller
  • Besitz (privat)

Sie können eine neue Richtlinie zur Einschränkung der Geräteplattform im Microsoft Intune Admin Center erstellen oder die bereits verfügbare Standardrichtlinie verwenden. Sie können bis zu 25 Richtlinien zur Einschränkung der Geräteplattform verwenden.

In diesem Artikel werden die in Microsoft Intune unterstützten Geräteplattformeinschränkungen und deren Konfiguration im Admin Center beschrieben.

Standardrichtlinie

Microsoft Intune bietet eine Standardrichtlinie für Geräteplattformeinschränkungen, die Sie nach Bedarf bearbeiten und anpassen können. Intune wendet die Standardrichtlinie auf alle Benutzer- und benutzerlosen Registrierungen an, bis Sie eine Richtlinie mit höherer Priorität zuweisen.

Bewährte Methode: Android-Plattformeinschränkungen

Da Intune zwei Android-Plattformen unterstützt, ist es wichtig zu verstehen, wie Betriebssystemversionseinschränkungen funktionieren, wenn Sie sie mit Geräteplattformeinschränkungen verwenden:

  • Wenn Sie beide Plattformen für dieselbe Gruppe zulassen und diese dann für bestimmte und nicht überlappende Versionen verfeinern, werden Geräte über den Android-Registrierungsfluss gesendet, der für ihre Version ausgewählt wurde.
  • Wenn Sie beide Plattformen zulassen, aber die gleichen Versionen blockieren, können Geräte, auf denen blockierte Versionen ausgeführt werden, nicht registriert werden. Benutzer auf diesen Geräten werden über den Registrierungsflow für Android-Geräteadministratoren gesendet, bevor sie blockiert und aufgefordert werden, sich abzumelden.

Wichtig

Microsoft Intune endet am 30. August 2024 die Unterstützung für die Verwaltung von Android-Geräteadministratoren auf Geräten mit Zugriff auf Google Mobile Services (GMS). Nach diesem Datum sind geräteregistrierung, technischer Support, Fehlerbehebungen und Sicherheitskorrekturen nicht mehr verfügbar. Wenn Sie derzeit die Geräteadministratorverwaltung verwenden, empfiehlt es sich, zu einer anderen Android-Verwaltungsoption in Intune zu wechseln, bevor der Support endet. Weitere Informationen finden Sie unter Beenden der Unterstützung für Android-Geräteadministratoren auf GMS-Geräten.

Erstellen Sie eine Geräteplattformbeschränkung

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wechseln Sie zu Geräteregistrierung>.

  3. Wählen Sie Geräteplattformeinschränkung aus.

  4. Wählen Sie oben auf der Seite die Registerkarte aus, die der Plattform entspricht, die Sie konfigurieren. Folgende Optionen sind verfügbar:

    • Android-Einschränkungen
    • Windows Einschränkungen
    • macOS-Einschränkungen
    • iOS-Einschränkungen

  5. Klicken Sie auf Erstellen, um die Einschränkung zu erstellen.

  6. Geben Sie auf der Seite Grundlagen einen Name und optional eine Beschreibung für die Beschränkung ein.

  7. Wählen Sie Weiter aus.

  8. Konfigurieren Sie auf der Seite Plattformeinstellungen die Beschränkungen für Ihre ausgewählte Plattform. Folgende Optionen sind verfügbar:

    • Plattform (Android): Wählen Sie Zulassen aus, um die Registrierung einer Plattform zuzulassen, und blockieren , um sie einzuschränken.
    • MDM (Windows, macOS und iOS/iPadOS): Wählen Sie Zulassen aus, um die Registrierung einer Plattform zuzulassen, und blockieren , um sie einzuschränken.
    • Persönliches Eigentum: Wählen Sie Zulassen, um zuzulassen, dass Geräte als persönliche Geräte registriert und betreiben werden.
    • Gerätehersteller (Android): Geben Sie eine durch Trennzeichen getrennte Liste der Hersteller ein, die Sie blockieren möchten.
    • Mindest-/Maximalbereich zulassen (Android, Windows, iOS/iPadOS): Geben Sie die minimalen und maximalen Betriebssystemversionen ein, die für die Registrierung zulässig sind. Folgende Versionsformate werden unterstützt:

      • Windows unterstützt "major.minor.build.rev" für Windows 10 und Windows 11. Intune erhält die Revisionsnummer während der Registrierung nicht. Geben Sie daher 0 als Revisionsnummer ein.

      • Android-Geräteadministrator und Android Enterprise-Arbeitsprofil unterstützen „Hauptversion.Nebenversion.Revision.Build“.

      • iOS/iPadOS unterstützt major.minor.rev.

        Tipp

        Der Min/Max-Bereich gilt nicht für Apple-Geräte, die sich für das Geräteregistrierungsprogramm, den Apple School Manager oder die Apple Configurator-App registrieren. Obwohl Intune keine ADE-Registrierungen blockiert, die Unternehmensportal für die Authentifizierung verwenden, wirkt sich das Nichtertreffen der Betriebssystemanforderungen auf die Registrierung aus, da Geräte den Microsoft Entra Gerätedatensatz nicht erstellen können, der zum Auswerten von Richtlinien für bedingten Zugriff verwendet wird. Sie erkennen, dass dies der Fall ist, wenn ein Gerätebenutzer nach der Anmeldung beim Unternehmensportal eine Fehlermeldung erhält, die besagt, dass der Gerätedatensatz keinem Benutzer zugeordnet werden konnte.

  9. Wählen Sie Weiter aus.

  10. Fügen Sie der Einschränkung optional Bereichstags hinzu. Weitere Informationen zu Bereichsmarkierungen finden Sie unter Use role-based access control and scope tags for distributed IT (Verwenden der rollenbasierten Zugriffssteuerung und von Bereichsmarkierungen für verteilte IT).

    Hinweis

    Wenn Sie Bereichsmarkierungen auf eine Einschränkung anwenden, können nur Intune-Benutzer innerhalb des Bereichs die Richtlinie anzeigen und verwalten. Nur Personen im Bereich können eine Einschränkung anzeigen und neu anordnen oder deren Prioritätsebene ändern. Sie können auch die relative Priorität der Einschränkung sehen, auch wenn sie nicht alle Einschränkungen sehen können.

  11. Wählen Sie Weiter aus.

  12. Wählen Sie auf der Seite Aufgaben die Option Gruppen hinzufügen aus, und verwenden Sie dann das Suchfeld, um nach Gruppen zu suchen, die Sie in diese Einschränkung einschließen möchten. Um die Einschränkung stattdessen allen Gerätebenutzern zuzuweisen, wählen Sie Alle Benutzer hinzufügen. Wenn Sie mindestens einer Gruppe keine Einschränkung zuweisen, wird die Einschränkung nicht wirksam.

  13. Wählen Sie nach dem Zuweisen von Gruppen optional Filter bearbeiten aus, um die Richtlinienzuweisung weiter einzuschränken. Filter sind für macOS-, iOS- und Windows-Richtlinien verfügbar. Weitere Informationen finden Sie unter Anwenden von Zuweisungsfiltern (in diesem Artikel).

  14. Wählen Sie Weiter aus.

  15. Überprüfen Sie Ihre Richtlinie, und wählen Sie dann Erstellen aus, um sie zu erstellen.

Sie können die neue Einschränkungsrichtlinie anzeigen und auf die zugehörigen Eigenschaften in der Tabelle Einschränkungen desGerätetypsregistrieren>. Wählen Sie die Einschränkung aus, und bewegen Sie sie, um sie in der Tabelle neu zu positionieren und ihre Priorität zu ändern.

Anwenden von Zuweisungsfiltern

Sie können Zuweisungsfilter verwenden, um zusätzliche Geräte in bestimmte gruppenbezogene Richtlinien einzuschließen oder auszuschließen. Registrierungseinschränkungen und ESP-Richtlinien unterstützen beide die Verwendung von Zuweisungsfiltern.

Beispielsweise können Sie einen Filter verwenden, um persönlichen Windows-Geräten die Registrierung zu ermöglichen, während Geräte blockiert werden, auf denen eine bestimmte Betriebssystem-SKU ausgeführt wird. Um dieses Ergebnis zu erzielen, wenden Sie einen vorkonfigurierten Filter auf Ihre Zuweisungen von Registrierungseinschränkungen an. Der Filter muss über die operatingSystemSKU-Eigenschaft in den Regeln verfügen. Beispielschritte:

  1. Erstellen Sie eine Plattformregistrierungseinschränkungsrichtlinie für Windows.
  2. Wählen Sie in den Plattformeinstellungen die Option aus, mit der persönliche Geräte registriert werden können.
  3. Wählen Sie in den Zuweisungseinstellungen die Gruppen aus, die Sie zuweisen möchten.
  4. Wählen Sie Filter bearbeiten aus, und wenden Sie dann den vorkonfigurierten Filter an, der die operatingSystemSKU-Eigenschaft enthält. Die angewendete Eigenschaft blockiert Geräte, auf denen Windows 10 Home Edition ausgeführt wird.

Weitere Informationen zum Erstellen von Filtern finden Sie unter Einen Filter erstellen.

Unterstützte Filtereigenschaften

Registrierungseinschränkungen unterstützen weniger Filtereigenschaften als andere gruppenorientierte Richtlinien. Dies liegt daran, dass Geräte noch nicht registriert sind, sodass Intune nicht über die Geräteinformationen verfügt, um alle Eigenschaften zu unterstützen. Die eingeschränkte Auswahl von Eigenschaften wird angezeigt, wenn Sie:

  • Konfigurieren Sie eine Geräteplattformeinschränkungsrichtlinie für Apple- und Windows-Geräte.
  • Konfigurieren Sie eine Richtlinie für die Registrierungsstatusseite (ESP) für Windows.
  • Bearbeiten Sie einen Filter, der in einer Registrierungsbeschränkung oder einem ESP-Profil verwendet wird.

Die folgenden Filtereigenschaften stehen mit Registrierungsrichtlinien immer zur Verwendung zur Verfügung:

Windows

  • BS-Version
  • Betriebssystem-SKU
  • Besitz
  • Name des Registrierungsprofils

iOS/iPadOS und macOS

  • Hersteller
  • Modell
  • BS-Version
  • Besitz
  • Name des Registrierungsprofils

Weitere Informationen zu diesen Eigenschaften finden Sie unter Geräteeigenschaften. Filter können nicht mit Android-Registrierungseinschränkungen verwendet werden.

Registrierungseinschränkungen bearbeiten

Änderungen werden auf neue Registrierungen angewendet und wirken sich nicht auf Geräte aus, die bereits registriert sind.

  1. Kehren Sie zu Geräteregistrierung>zurück.
  2. Wählen Sie Geräteplattformeinschränkungen aus.
  3. Wählen Sie in der Tabelle Gerätetypeinschränkungen den Namen der Richtlinie aus, die Sie ändern möchten.
  4. Wählen Sie Eigenschaften aus.
  5. Wählen Sie Bearbeiten aus.
  6. Nehmen Sie Ihre Änderungen vor, und wählen Sie Überprüfen + speichern aus.
  7. Überprüfen Sie Ihre Änderungen, und wählen Sie Speichern aus.