Impostare le restrizioni di registrazioneSet enrollment restrictions

Gli amministratori di Intune sono in grado di creare e gestire restrizioni di registrazione che definiscono i tipi e il numero di dispositivi che possono essere registrati per la gestione con Intune.As an Intune administrator, you can create and manage enrollment restrictions that define the number and types of devices that can enroll into management with Intune. È possibile creare più restrizioni e applicarle a gruppi utenti diversi.You can create multiple restrictions and apply them to different user groups. È anche possibile impostare l'ordine di priorità delle diverse restrizioni.You can set the priority order for your different restrictions.

Nota

Le restrizioni di registrazione non sono una funzionalità di sicurezza.Enrollment restrictions are not security features. I dispositivi compromessi possano dare risultati non previsti.Compromised devices can misrepresent their character. Queste restrizioni sono una barriera di massimo sforzo per gli utenti legittimi.These restrictions are a best-effort barrier for non-malicious users.

Le restrizioni di registrazione specifiche che è possibile creare includono:The specific enrollment restrictions that you can create include:

  • Numero massimo di dispositivi registrati.Maximum number of enrolled devices.
  • Piattaforme per dispositivi che possono registrare:Device platforms that can enroll:
    • AndroidAndroid
    • Profilo di lavoro AndroidAndroid work profile
    • iOSiOS
    • macOSmacOS
    • WindowsWindows
    • Windows MobileWindows Mobile
  • Versione del sistema operativo della piattaforma per iOS, Android, profilo di lavoro Android, Windows e Windows Mobile.Platform operating system version for iOS, Android, Android work profile, Windows, and Windows Mobile. (È possibile usare solo le versioni di Windows 10.(Only Windows 10 versions can be used. Lasciare questo campo vuoto se è consentito Windows 8.1.)Leave this blank if Windows 8.1 is allowed.)
    • Versione minima.Minimum version.
    • Versione massima.Maximum version.
  • Limitare i dispositivi personali (solo iOS, Android, profilo di lavoro Android, macOS, Windows e Windows Mobile).Restrict personally owned devices (iOS, Android, Android work profile, macOS, Windows, and Windows Mobile only).

Restrizioni predefiniteDefault restrictions

Per il tipo e il numero massimo di dispositivi vengono applicate automaticamente restrizioni predefiniteDefault restrictions are automatically provided for both device type and device limit enrollment restrictions. che possono essere modificate.You can change the options for the defaults. Le restrizioni predefinite si applicano a tutte le registrazioni, con e senza utente.Default restrictions apply to all user and userless enrollments. È possibile sostituire queste impostazioni predefinite tramite la creazione di nuove restrizioni con priorità più alta.You can override these defaults by creating new restrictions with higher priorities.

Creare una restrizioneCreate a restriction

  1. Accedere al portale di Azure.Sign in to the Azure portal.
  2. Selezionare Altri servizi, cercare Intune e quindi scegliere Intune.Select More Services, search for Intune, and then choose Intune.
  3. Selezionare Registrazione del dispositivo > Restrizioni registrazione.Select Device enrollment > Enrollment restrictions.
  4. Selezionare Crea restrizione.Select Create restriction.
  5. Assegnare un nome e una descrizione alla restrizione.Give the restriction a name and description.
  6. Scegliere un Tipo di restrizione e quindi selezionare Crea.Choose a Restriction type, and then select Create.
  7. Per le restrizioni relative al numero di dispositivi selezionare Limite di dispositivi per impostare il numero massimo di dispositivi che un utente è autorizzato a registrare.For device limit restrictions, select Device limit to set the maximum number of devices that a user can enroll.
  8. Per le restrizioni relative ai tipi di dispositivo, selezionare Piattaforme e su Configurazioni della piattaforma per consentire o bloccare varie versioni di diverse piattaforme.For device type restrictions, select Platforms and Platform configurations to allow or block various platforms and versions.
  9. Selezionare Assegnazioni > + Seleziona i gruppi.Select Assignments > + Select groups.
  10. In Selezionare i gruppi selezionare uno o più gruppi e quindi scegliere Seleziona.Under Select groups, select one or more groups, and then choose Select. La restrizione si applica solo ai gruppi a cui è assegnata.The restriction applies only to groups to which it's assigned. La restrizione ha effetto solo se viene assegnata ad almeno un gruppo.If you don't assign a restriction to at least one group, it won't have any effect.
  11. Selezionare Salva.Select Save.
  12. La nuova restrizione viene creata con una priorità di livello immediatamente superiore a quello dell'impostazione predefinita.The new restriction is created with a priority just above the default. È possibile modificare la priorità.You can change the priority.

Impostare le restrizioni sul tipo di dispositiviSet device type restrictions

È possibile modificare le impostazioni relative al tipo di dispositivo tramite la procedura seguente.You can change the settings for a device type restriction by following the steps below. Queste restrizioni non influiscono sui dispositivi già registrati.These restrictions don't effect on devices that have already been enrolled. I dispositivi registrati con l'agente del computer di Intune non possono essere bloccati con questa funzionalità.Devices enrolled with Intune PC agent can't be blocked with this feature.

  1. Accedere al portale di Azure.Sign in to the Azure portal.
  2. Selezionare Altri servizi, cercare Intune e quindi scegliere Intune.Select More Services, search for Intune, and then choose Intune.
  3. Selezionare Registrazione del dispositivo > Restrizioni registrazione.Select Device enrollment > Enrollment restrictions.
  4. In Restrizioni dei tipi di dispositivo scegliere la restrizione che si vuole impostare > Proprietà > Seleziona le piattaforme.Under Device Type Restrictions, choose the restriction that you want to set > Properties > Select platforms. Scegliere Consenti o Blocca per ogni piattaforma elencata.Choose Allow or Block for each platform listed. Acquisizione schermo per consentire o bloccare una piattaformaScreen cap for allowing or blocking a platform
  5. Scegliere OK.Choose OK.
  6. Scegliere Configura piattaforme.Choose Configure platforms. Acquisizione schermo per la configurazione di piattaformeScreen cap for configuring platforms
  7. Selezionare le Versioni minima e massima per le piattaforme elencate.Choose the minimum and maximum Versions for the platforms listed. I formati delle versioni supportate includono:Supported version formats include:
    • Il profilo di lavoro Android supporta il formato maggiore.minore.revisione.build.Android work profile support major.minor.rev.build.
    • iOS supporta il formato di versione maggiore.minore.revisione. Le versioni del sistema operativo non si applicano ai dispositivi Apple registrati in Device Enrollment Program, Apple School Manager o nell'app Apple Configurator.iOS supports major.minor.rev. Operating system versions don't apply to Apple devices that enroll with the Device Enrollment Program, Apple School Manager, or the Apple Configurator app.
    • Windows supporta il formato maggiore.minore.revisione.build solo per Windows 10.Windows supports major.minor.rev.build for Windows 10 only.

Nota

Windows 10 non fornisce il numero di build durante la registrazione, quindi se si immette ad esempio 10.0.17134.100 e il dispositivo è 10.0.17134.174, il dispositivo verrà bloccato durante la registrazione.Windows 10 does not provide the build number during enrollment so for instance if you enter in 10.0.17134.100 and the device is 10.0.17134.174 it will be blocked during enrollment. 8. Scegliere Consenti o Blocca per i dispositivi di proprietà personale per ogni piattaforma elencata.Choose whether to Allow or Block Personally owned devices for each platform listed. 9. Scegliere OK.Choose OK.

Blocco dei dispositivi Android personaliBlocking personal Android devices

  • Anche se si blocca la registrazione dei dispositivi personali Android, i dispositivi personali del profilo di lavoro Android possono ancora essere registrati.If you block personally owned Android devices from enrollment, personally owned Android work profile devices can still enroll.
  • Per impostazione predefinita, le impostazioni dei dispositivi del profilo di lavoro Android corrispondono alle impostazioni dei dispositivi Android.By default, your Android work profile devices settings are the same as your settings for your Android devices. Dopo la modifica delle impostazioni del profilo di lavoro Android questa corrispondenza andrà persa.After you change your Android work profile settings, that's no longer the case.
  • Se si blocca la registrazione dei dispositivi del profilo di lavoro Android personali, solo i dispositivi Android aziendali possono essere registrati come profilo di lavoro Android.If you block personal Android work profile enrollment, only corporate Android devices can enroll as Android work profile.

Blocco dei dispositivi Windows personaliBlocking personal Windows devices

Se si blocca la registrazione dei dispositivi Windows personali, Intune verifica che ogni nuova richiesta di registrazione Windows sia stata autorizzata come registrazione aziendale.If you block personally owned Windows devices from enrollment, Intune checks to make sure that each new Windows enrollment request has been authorized as a corporate enrollment. Le registrazioni non autorizzate verranno bloccate.Unauthorized enrollments will be blocked.

I metodi seguenti si qualificano per essere autorizzati come registrazione aziendale Windows:The following methods qualify as being authorized as a Windows corporate enrollment:

Le registrazioni seguenti sono contrassegnate come aziendali da Intune,The following enrollments are marked as corporate by Intune. ma dal momento che non offrono all'amministratore di Intune il controllo per ogni dispositivo, vengono bloccate:But since they don't offer the Intune administrator per-device control, they'll be blocked:

Verranno bloccati anche i seguenti metodi di registrazione personale:The following personal enrollment methods will also be blocked:

* Questi elementi non verranno bloccati se la registrazione avviene con Autopilot.* These won't be blocked if registered with Autopilot.

Impostare le restrizioni sul limite dei dispositiviSet device limit restrictions

È possibile modificare le impostazioni relative al numero di dispositivi tramite la procedura seguente:You can change the settings for a device limit restriction by following these steps:

  1. Accedere al portale di Azure.Sign in to the Azure portal.
  2. Selezionare Altri servizi, cercare Intune e quindi scegliere Intune.Select More Services, search for Intune, and then choose Intune.
  3. Selezionare Registrazione del dispositivo > Restrizioni registrazione.Select Device enrollment > Enrollment restrictions.
  4. In Restrizione sul limite di dispositivi scegliere la restrizione che si vuole impostare.Under Device Limit Restrictions, choose the restriction that you want to set.
  5. Selezionare Limite di dispositivi e quindi nell'elenco a discesa selezionare il numero massimo di dispositivi che un utente può registrare.Select Device Limit, and then in the drop-down list, select the maximum number of devices a user can enroll. Pannello delle restrizioni sul limite di dispositivi con le restrizioni sul limite del dispositivoDevice limit restrictions blade with the device limit restrictions
  6. Selezionare Salva.Select Save.

Durante le registrazioni BYOD viene visualizzata una notifica che informa gli utenti quando raggiungono il limite di dispositivi registrati.During BYOD enrollments, users see a notification that tells them when they've met their limit of enrolled devices. Ad esempio, in iOS:For example, on iOS:

notifica iOS per il limite di dispositivi

Importante

Le restrizioni sul limite di dispositivi non vengono applicate ai tipi di registrazione di Windows seguenti:Device limit restrictions don't apply for the following Windows enrollment types:

  • Registrazioni con co-gestioneCo-managed enrollments
  • Registrazioni di oggetti Criteri di gruppoGPO enrollments
  • Registrazioni aggiunte ad Azure Active DirectoryAzure Active Directory joined enrollments
  • Registrazioni in blocco aggiunte ad Azure Active DirectoryBulk Azure Active Directory joined enrollments
  • Registrazioni di AutoPilotAutopilot enrollments

Le restrizioni sul limite di dispositivi non vengono applicate a questi tipi di registrazione perché sono considerati scenari di dispositivi condivisi.Device limit restrictions are not enforced for these enrollment types because they are considered shared device scenarios. È possibile impostare limiti rigidi per questi tipi di registrazione in Azure Active Directory.You can set hard limits for these enrollment types in Azure Active Directory.

Modificare la priorità delle restrizioni di registrazioneChange enrollment restriction priority

La priorità viene usata se un utente appartiene a più gruppi a cui sono assegnate restrizioni.Priority is used when a user exists in multiple groups that are assigned restrictions. Gli utenti sono soggetti solo alla restrizione con priorità più alta assegnata a un gruppo di cui fanno parte.Users are subject only to the highest priority restriction assigned to a group that they are in. Si supponga ad esempio che Joe appartenga al gruppo A, a cui sono assegnate restrizioni con priorità 5, e anche al gruppo B, a cui sono assegnate restrizioni con priorità 2.For example, Joe is in group A assigned to priority 5 restrictions and also in group B assigned to priority 2 restrictions. Joe è soggetto solo alle restrizioni con priorità 2.Joe is subject only to the priority 2 restrictions.

Quando si crea una restrizione, questa viene aggiunta all'elenco al livello immediatamente superiore a quello dell'impostazione predefinita.When you create a restriction, it's added to the list just above the default.

La registrazione di dispositivi prevede restrizioni predefinite sia per il tipo che per il numero di dispositivi.Device enrollment includes default restrictions for both device type and device limit restrictions. Queste due restrizioni si applicano a tutti gli utenti, a meno che non vengano sostituite da restrizioni con priorità più alta.These two restrictions apply to all users unless they're overridden by higher-priority restrictions.

È possibile modificare la priorità di tutte le restrizioni non predefinite.You can change the priority of any non-default restriction.

  1. Accedere al portale di Azure.Sign in to the Azure portal.
  2. Selezionare Altri servizi, cercare Intune e quindi scegliere Intune.Select More Services, search for Intune, and then choose Intune.
  3. Selezionare Registrazione del dispositivo > Restrizioni registrazione.Select Device enrollment > Enrollment restrictions.
  4. Passare il puntatore del mouse sulla restrizione nell'elenco delle priorità.Hover over the restriction in the priority list.
  5. Usando i tre punti verticali, trascinare la priorità nella posizione voluta nell'elenco.Using the three vertical dots, drag the priority to the desired position in the list.