Was sind Registrierungseinschränkungen?

Gilt für

• Android
• iOS
• macOS
• Windows 10
• Windows 11

Wichtig

Microsoft Intune beendet am 30. August 2024 die Unterstützung für die Verwaltung von Android-Geräten per Geräteadministrator auf Geräten mit Zugriff auf Google Mobile Services (GMS). Nach diesem Datum sind die Geräteregistrierung, der technische Support sowie Behebungen von Programmfehlern und Sicherheitslücken nicht mehr verfügbar. Wenn Sie zurzeit die Verwaltung per Geräteadministrator verwenden, empfiehlt es sich, vor dem Ende des Supports zu einer anderen Android-Verwaltungsoption in Intune zu wechseln. Weitere Informationen finden Sie unter Ende der Unterstützung für Android-Geräteadministrator auf GMS-Geräten.

Mit Einschränkungen bei der Geräteregistrierung können Sie die Registrierung von Geräten bei Intune basierend auf bestimmten Geräteattributen einschränken. Es gibt zwei Arten von Geräteregistrierungseinschränkungen, die Sie in Microsoft Intune konfigurieren können:

• Geräteplattformeinschränkungen: Schränken Sie Geräte basierend auf Geräteplattform, Version, Hersteller oder Besitzertyp ein.
• Gerätelimiteinschränkungen: Schränken Sie die Anzahl der Geräte ein, die ein Benutzer bei Intune registrieren kann.

Jeder Einschränkungstyp kommt mit einer Standardrichtlinie, die Sie bei Bedarf bearbeiten und anpassen können. Intune wendet die Standardrichtlinie auf alle benutzer- und benutzerlosen Registrierungen an, bis Sie eine Richtlinie mit höherer Priorität zuweisen.

Dieser Artikel bietet eine Übersicht über die verfügbaren Registrierungseinschränkungen und Featureeinschränkungen. Um mit dem Erstellen von Einschränkungen zu beginnen, fahren Sie mit Nächste Schritte (in diesem Artikel) fort.

Verfügbare Einschränkungen

Sie können die folgenden Einschränkungen im Admin Center konfigurieren:

• Gerätelimit
• Geräteplattform
• BS-Version
• Gerätehersteller
• Gerätebesitz (persönliche Geräte)

Gerätelimit

Legen Sie ein Limit für die Anzahl der Geräte fest, die eine Person registrieren kann. Sie können das Gerätelimit zwischen 1 und 15 festlegen.

Diese Konfiguration befindet sich im Admin Center unter Registrierungseinschränkungen für Gerätelimits.

Geräteplattform

Wichtig

Microsoft Intune beendet am 30. August 2024 die Unterstützung für die Verwaltung von Android-Geräten per Geräteadministrator auf Geräten mit Zugriff auf Google Mobile Services (GMS). Nach diesem Datum sind die Geräteregistrierung, der technische Support sowie Behebungen von Programmfehlern und Sicherheitslücken nicht mehr verfügbar. Wenn Sie zurzeit die Verwaltung per Geräteadministrator verwenden, empfiehlt es sich, vor dem Ende des Supports zu einer anderen Android-Verwaltungsoption in Intune zu wechseln. Weitere Informationen finden Sie unter Ende der Unterstützung für Android-Geräteadministrator auf GMS-Geräten.

Geräte blockieren, die auf einer bestimmten Geräteplattform ausgeführt werden. Sie können diese Einschränkung auf Geräte anwenden, auf denen Folgendes ausgeführt wird:

• Android-Geräteadministrator
• Android Enterprise-Arbeitsprofil
• iOS/iPadOS
• macOS
• Windows 10/11

In Gruppen, in denen beide Android-Plattformen zulässig sind, werden sich Geräte, die das Arbeitsprofil unterstützen, mit einem Arbeitsprofil registrieren. Geräte, die das Arbeitsprofil nicht unterstützen, werden auf der Android-Geräteadministratorplattform registriert. Weder das Arbeitsprofil noch die Geräteadministratorregistrierung funktioniert, bis Sie alle Voraussetzungen für die Android-Registrierung erfüllt haben.

Diese Einschränkung befindet sich im Admin Center unter Registrierungseinschränkungen für Geräteplattformen.

BS-Version

Diese Einschränkung erzwingt ihre maximalen und minimalen Anforderungen an die Betriebssystemversion. Diese Art von Einschränkung funktioniert mit den folgenden Betriebssystemen:

• Android-Geräteadministrator*
• Android Enterprise-Arbeitsprofil*
• iOS/iPadOS*
• Windows

* Versionseinschränkungen werden auf diesen Betriebssystemen nur für Geräte unterstützt, die über Intune-Unternehmensportal registriert wurden.

Diese Einschränkung befindet sich im Admin Center unter Registrierungseinschränkungen für Geräteplattformen.

Gerätehersteller

Diese Einschränkung blockiert Geräte bestimmter Hersteller und ist nur für Android-Geräte anwendbar. Sie befindet sich im Admin Center unter Registrierungseinschränkungen für Geräteplattformen.

Persönliche Geräte

Diese Einschränkung verhindert, dass Gerätebenutzer versehentlich ihre persönlichen Geräte registrieren und gilt für Geräte, auf denen Folgendes ausgeführt wird:

• Android
• iOS/iPad-Betriebssystem
• macOS
• Windows 10/11

Diese Einschränkung befindet sich im Admin Center unter Registrierungseinschränkungen für Geräteplattformen.

Blockieren privater Android-Geräte

Standardmäßig sind ihre Android Enterprise-Arbeitsprofil-Geräteeinstellungen und Android-Geräteadministrator-Geräteeinstellungen identisch, bis Sie manuell Änderungen im Admin Center vornehmen.

Wenn Sie die Registrierung von Android Enterprise-Arbeitsprofilen auf persönlichen Geräten blockieren, können nur unternehmenseigene Geräte mit persönlichen Arbeitsprofilen registriert werden.

Blockieren privater iOS-/iPadOS-Geräte

Standardmäßig klassifiziert Intune iOS-/iPadOS-Geräte als persönliche Geräte. Um als unternehmenseigen klassifiziert zu werden, muss ein iOS-/iPadOS-Gerät eine der folgenden Bedingungen erfüllen:

• Registriert mit einer Seriennummer oder IMEI.
• Registriert mithilfe der automatisierten Geräteregistrierung (früher Programm zur Geräteregistrierung).

Hinweis

Ein iOS-Benutzerregistrierungsprofil überschreibt eine Registrierungseinschränkungsrichtlinie. Weitere Informationen finden Sie unter Einrichten der iOS-/iPadOS- und iPadOS-Benutzerregistrierung (Vorschau).

Blockieren von persönlichen Macs

Standardmäßig klassifiziert Intune macOS-Geräte als persönliche Geräte. Um als unternehmenseigen klassifiziert zu werden, muss ein Mac eine der folgenden Bedingungen erfüllen:

• Registriert mit einer Seriennummer
• Registriert über die automatisierte Geräteregistrierung (ADE) von Apple.

Blockieren privater Windows-Geräte

Wenn Sie die Registrierung von persönlichen Windows-Geräten blockieren, überprüft Intune, ob jede neue Windows-Registrierungsanforderung für die Unternehmensregistrierung autorisiert wurde. Nicht autorisierte Registrierungen werden blockiert.

Die folgenden Registrierungsmethoden sind für die Unternehmensregistrierung autorisiert:

• Das Gerät wird über Windows Autopilot registriert.
• Die Geräteregistrierung erfolgt über ein GPO oder eine automatische Registrierung aus Configuration Manager für die Co-Verwaltung.
• Das Gerät wird über ein Massenbereitstellungspaket registriert.
• Der Benutzer, der sich registriert, verwendet ein Konto für den Geräteregistrierungs-Manager.

Hinweis

Da sich ein gemeinsam verwaltetes Gerät auf Grundlage seines Microsoft Entra Gerätetokens und nicht auf einem Benutzertoken beim Microsoft Intune-Dienst registriert, gilt nur die standardbasierte Intune Registrierungseinschränkung.

Intune kennzeichnet Geräte, die die folgenden Arten von Registrierungen durchlaufen, als unternehmenseigene Geräte und hindert sie an der Registrierung (sofern sie nicht mit Autopilot registriert sind), da diese Methoden dem Intune Administrator nicht die Steuerung pro Gerät bieten:

• Automatische MDM-Registrierung mit Microsoft Entra Join während des Windows-Setups.
• Automatische MDM-Registrierung mit Microsoft Entra Join über Die Windows-Einstellungen.
• Automatische MDM-Registrierung mit Microsoft Entra Join oder Hybrid-Entra-Einbindung über Windows Autopilot für vorhandene Geräte.

Intune blockiert auch persönliche Geräte mithilfe der folgenden Registrierungsmethoden:

• Automatische MDM-Registrierung durch Hinzufügen eines Geschäftskontos über die Windows-Einstellungen.
• Die Option MDM enrollment only (Nur MDM-Registrierung) in den Windows-Einstellungen.
• Registrierung mithilfe der Intune-Unternehmensportal-App.
• Registrierung über eine Microsoft 365-App, die erfolgt, wenn Benutzer während der App-Anmeldung die Option Meinem organization erlauben, mein Gerät zu verwalten auswählen.

Wichtig

Geräte, die von Workplace Join eingebunden werden, können für die Registrierung blockiert werden, wenn sie zuvor Microsoft Entra dem Mandanten hinzugefügt wurden. Um zu vermeiden, dass blockiert wird, heben Sie die Registrierung des dem Gerät zugeordneten Objekts in Microsoft Entra ID auf, und entfernen Sie es, bevor Sie versuchen, das Gerät durch Workplace Join zu verbinden.

Einschränkungen

• Registrierungseinschränkungen werden auf Benutzer angewendet. Für Registrierungsszenarien, die nicht benutzergesteuert sind, z. B. windows Autopilot im Selbstbereitstellungsmodus und Autopilot für vorab bereitgestellte Bereitstellung, Massenregistrierung (WCD), Azure Virtual Desktop oder benutzerlose automatisierte Apple-Geräteregistrierung (ADE ohne Affinität zwischen Benutzer und Gerät) erzwingt Intune die Standardrichtlinie.

• Gerätelimiteinschränkungen können in den folgenden Windows-Registrierungsszenarien nicht auf Geräte angewendet werden, da in diesen Szenarien der Modus für gemeinsam genutzte Geräte verwendet wird:

  • Gemeinsam verwaltete Registrierungen
  • Gruppenrichtlinie-Registrierungen (GPO)
  • Microsoft Entra beigetretenen Registrierungen, einschließlich Massenregistrierungen
  • Windows Autopilot-Registrierungen
  • Registrierungen über den Geräteregistrierungs-Manager

  Stattdessen können Sie einen harten Grenzwert für diese Registrierungstypen in Microsoft Entra ID konfigurieren. Weitere Informationen finden Sie unter Verwalten von Geräteidentitäten mithilfe des Azure-Portals.

Nächste Schritte

Wählen Sie den Typ der Registrierungseinschränkung aus, die Sie anwenden möchten, und erstellen Sie das Profil:

• Registrierungseinschränkungen für Geräteplattform erstellen
• Registrierungseinschränkungen für Gerätelimits erstellen