Impostare le restrizioni di registrazione

Si applica a

  • Android
  • iOS
  • macOS
  • Windows 10
  • Windows 11

Le restrizioni di registrazione bloccano Intune la registrazione nei dispositivi che non sono soddisfatti dei requisiti del dispositivo. Le configurazioni delle restrizioni di registrazione sono disponibili nell'interfaccia di amministrazione Microsoft Endpoint Manager e includono i tipi di restrizioni seguenti:

  • Restrizioni della piattaforma dei dispositivi, che consentono di limitare le piattaforme dei dispositivi, le versioni del sistema operativo e i dispositivi di proprietà personale.
  • Restrizioni sui limiti dei dispositivi, che consentono di limitare il numero di dispositivi consentiti per la registrazione.

È possibile creare nuove restrizioni o usare le impostazioni predefinite Intune. Ogni tipo di restrizione include un criterio predefinito che è possibile modificare e personalizzare in base alle esigenze. Intune applica il valore predefinito a tutte le registrazioni utente e senza utente fino a quando non si assegna una restrizione con priorità più alta.

È possibile avere fino a 25 restrizioni per tipo.

Restrizioni della piattaforma del dispositivo

Usare le restrizioni della piattaforma del dispositivo per limitare la registrazione in base alla piattaforma del dispositivo e alla versione del sistema operativo. È anche possibile usare le restrizioni della piattaforma per impedire la registrazione dei dispositivi di proprietà personale. Questa sezione descrive le opzioni di restrizione disponibili in Intune e come creare criteri di restrizione.

Limitare la piattaforma del dispositivo

Limitare i dispositivi in esecuzione nelle piattaforme seguenti:

  • Amministratore del dispositivo Android
  • Android Enterprise profilo di lavoro
  • iOS/iPadOS
  • macOS
  • Windows

Suggerimento

Se si consentono entrambe le piattaforme Android per lo stesso gruppo, i dispositivi che supportano il profilo di lavoro verranno registrati con un profilo di lavoro. I dispositivi che non lo supportano verranno registrati nella piattaforma di amministrazione dei dispositivi Android. Né il profilo di lavoro né la registrazione dell'amministratore del dispositivo funzioneranno fino al completamento di tutti i prerequisiti per la registrazione Android.

Limitare la versione del sistema operativo

Limitare le versioni dei dispositivi impostando una versione massima e minima del sistema operativo. I dispositivi che eseguono versioni precedenti o successive non potranno essere registrati. È possibile applicare questo tipo di restrizione ai sistemi operativi seguenti:

  • Amministratore del dispositivo Android
  • Android Enterprise profilo di lavoro
  • iOS/iPadOS
  • Windows

Nota

Per Android e iOS/iPadOS, le restrizioni di versione sono supportate solo nei dispositivi registrati tramite Portale aziendale Intune.

restrizioni della versione Android

Poiché esistono due piattaforme Android, è importante comprendere il funzionamento delle restrizioni di versione in combinazione con le restrizioni della piattaforma:

  • Se si consentono entrambe le piattaforme per lo stesso gruppo e quindi lo si affina per versioni specifiche e non sovrapposte, i dispositivi vengono inviati tramite il flusso di registrazione Android selezionato per la versione.
  • Se si consentono entrambe le piattaforme, ma si bloccano le stesse versioni, i dispositivi che eseguono versioni bloccate non possono essere registrati. Gli utenti in questi dispositivi vengono inviati tramite il flusso di registrazione dell'amministratore del dispositivo Android prima di essere bloccati e viene richiesto di disconnettersi.

Limitare i dispositivi di proprietà personale

Limitare la registrazione dei dispositivi personali in Intune. Questa restrizione consente di impedire agli utenti del dispositivo di registrare accidentalmente i propri dispositivi personali.

Blocco dei dispositivi Android personali

Per impostazione predefinita, fino a quando non si apportano manualmente modifiche nell'interfaccia di amministrazione, le impostazioni del dispositivo del profilo di lavoro Android Enterprise e Android le impostazioni del dispositivo dell'amministratore del dispositivo sono le stesse.

Se si blocca Android Enterprise registrazione del profilo di lavoro nei dispositivi personali, solo i dispositivi di proprietà dell'azienda possono registrarsi con profili di lavoro di proprietà personale.

Blocco dei dispositivi iOS/iPadOS personali

Per impostazione predefinita, Intune classifica i dispositivi iOS/iPadOS come di proprietà personale. Per essere classificato come di proprietà dell'azienda, un dispositivo iOS/iPadOS deve soddisfare una delle condizioni seguenti:

Nota

Un profilo di registrazione utente iOS sostituisce i criteri di restrizione della registrazione. Per altre informazioni, vedere Configurare la registrazione utente di iOS/iPadOS e iPadOS (anteprima).

Blocco dei dispositivi Windows personali

Se si blocca la registrazione dei dispositivi Windows di proprietà personale, Intune verifica che ogni nuova richiesta di registrazione Windows sia stata autorizzata per la registrazione aziendale. Le registrazioni non autorizzate vengono bloccate.

I metodi di registrazione seguenti sono autorizzati per la registrazione aziendale:

Intune contrassegna i dispositivi che eseguono i tipi di registrazioni seguenti come di proprietà dell'azienda. Ma Intune blocca la registrazione dei dispositivi perché non offrono il controllo Intune amministratore per dispositivo, vengono bloccati:

Intune blocca anche i dispositivi personali usando questi metodi di registrazione:

* Questi non verranno bloccati se registrati con Autopilot.

Creare una restrizione della piattaforma del dispositivo

  1. Accedere all'interfaccia di amministrazione di Microsoft Endpoint Manager.

  2. Passare a DispositiviRegistrare > i dispositiviRegistrare > le restrizioni della piattaforma dei dispositivi.

  3. Selezionare la scheda nella parte superiore della pagina corrispondente alla piattaforma che si sta configurando. Le opzioni disponibili sono:

    • restrizioni Android
    • restrizioni Windows
    • Restrizioni per MacOS
    • Restrizioni per iOS
  4. Selezionare Crea restrizione.

  5. Nella pagina Informazioni di base assegnare alla restrizione un nome e una descrizione facoltativa.

  6. Selezionare Avanti.

  7. Nella pagina Impostazioni piattaforma configurare le restrizioni per la piattaforma selezionata. Le opzioni disponibili sono:

    • Piattaforma (solo Android): selezionare Consenti accanto alle piattaforme consentite.
    • MDM (Windows, macOS e iOS/iPadOS): selezionare Consenti accanto alle piattaforme consentite.
    • Consenti intervallo minimo/massimo (solo Android, Windows, iOS/iPadOS): immettere le versioni minime e massime del sistema operativo consentite per la registrazione. I formati di versione supportati includono:
      • Android l'amministratore del dispositivo e Android Enterprise profilo di lavoro supportano major.minor.rev.build.
      • iOS/iPadOS supporta major.minor.rev. Le versioni del sistema operativo non si applicano ai dispositivi Apple che si registrano con il Programma di registrazione dispositivi, Apple School Manager o l'app Apple Configurator.
      • Windows supporta major.minor.build.rev solo per Windows 10 e Windows 11.
    • Proprietà personale: selezionare Consenti per consentire ai dispositivi di registrarsi e operare come dispositivi personali.
    • Produttore del dispositivo: immettere un elenco delimitato da virgole dei produttori che si desidera bloccare.
  8. Selezionare Avanti.

  9. Facoltativamente, aggiungere tag di ambito alla restrizione. Per altre informazioni sui tag di ambito, vedere Usare il controllo degli accessi in base al ruolo e i tag di ambito per l'IT distribuito.

    Nota

    Se si applicano tag di ambito a una restrizione, solo Intune utenti all'interno dell'ambito possono visualizzare e gestire i criteri. Solo gli utenti nell'ambito possono visualizzare e riordinare una restrizione o modificarne il livello di precedenza. Possono anche visualizzare la priorità relativa delle restrizioni, anche se non possono visualizzare tutte le restrizioni.

  10. Selezionare Avanti.

  11. Nella pagina Assegnazioni selezionare Aggiungi gruppi e quindi usare la casella di ricerca per trovare e selezionare gruppi. Per assegnare la restrizione a tutti gli utenti del dispositivo, selezionare Aggiungi tutti gli utenti. Se non si assegna una restrizione ad almeno un gruppo, la restrizione non avrà effetto.

  12. Facoltativamente, dopo aver assegnato i gruppi, selezionare Modifica filtro per limitare ulteriormente l'assegnazione dei criteri con i filtri. I filtri sono disponibili per i criteri macOS, iOS e Windows. Per altre informazioni, vedere Uso di filtri con restrizioni di registrazione e criteri ESP (in questo articolo).

  13. Selezionare Avanti.

  14. Nella pagina Rivedi e crea selezionare Crea per salvare e creare la restrizione.

È possibile visualizzare la nuova restrizione e accedere alle relative proprietà dalla tabella Restrizioni dei tipi di dispositivo . Selezionare e trascinare la restrizione per riposizionarla nella tabella e modificarne la priorità.

Restrizioni relative ai limiti dei dispositivi

È possibile applicare restrizioni sui limiti dei dispositivi ai dispositivi che soddisfano i criteri seguenti:

  • gestito da Intune
  • Contatto stabilito con Intune negli ultimi 90 giorni
  • Non in stato di registrazione in sospeso per più di 24 ore
  • Registrazione Apple non riuscita
  • Non è stato eliminato da Intune
  • Il tipo di registrazione non è in modalità condivisa (controllare DeviceCountsForDeviceCap per informazioni dettagliate)

Non è possibile applicare restrizioni sui limiti dei dispositivi ai dispositivi negli scenari di registrazione Windows seguenti, perché questi scenari usano la modalità dispositivo condiviso:

  • Registrazioni co-gestite
  • registrazioni Criteri di gruppo (GPO)
  • registrazioni aggiunte a Azure Active Directory (Azure AD), incluse le registrazioni bulk
  • Windows registrazioni autopilot
  • Registrazioni di Gestione registrazione dispositivi

È invece possibile configurare un limite rigido per questi tipi di registrazione in Azure AD. Per altre informazioni, vedere Gestire le identità dei dispositivi usando il portale di Azure.

Cosa vedono gli utenti del dispositivo durante la registrazione

Se vengono applicate restrizioni, gli utenti BYOD che raggiungono il limite di dispositivi ricevono un messaggio durante la registrazione che spiega la limitazione. Per continuare la registrazione, l'utente del dispositivo deve annullare la registrazione di un dispositivo esistente. In alternativa, è possibile aumentare il limite del dispositivo nell'interfaccia di amministrazione. Per altre informazioni sulla risoluzione degli errori di registrazione come questo, vedere Risolvere i problemi di registrazione dei dispositivi.

Immagine di esempio della notifica relativa al limite di dispositivi con la funzionalità "Non è stato possibile aggiungere il dispositivo. È stato aggiunto il numero massimo di dispositivi consentiti dal supporto IT. È necessario rimuovere un dispositivo prima di aggiungerne uno nuovo.

Creare una restrizione del limite di dispositivi

  1. Accedere all'interfaccia > di amministrazione Microsoft Endpoint Manager DispositiviLimite > di registrazioneCrea > restrizioneLimite > del dispositivo.
  2. Nella pagina Informazioni di base assegnare alla restrizione un nome e una descrizione facoltativa.
  3. Scegliere Avanti per passare alla pagina Limite dispositivo .
  4. In Limite dispositivo selezionare il numero massimo di dispositivi che un utente può registrare. Limite dello schermo per la scelta del limite del dispositivo
  5. Scegliere Avanti per passare alla pagina Tag ambito .
  6. Nella pagina Tag ambito aggiungere facoltativamente i tag di ambito da applicare a questa restrizione. Per altre informazioni sui tag di ambito, vedere Usare il controllo degli accessi in base al ruolo e i tag di ambito per l'IT distribuito.
  7. Scegliere Avanti per passare alla pagina Assegnazioni .
  8. Scegliere Seleziona gruppi da includere e quindi usare la casella di ricerca per trovare i gruppi da includere in questa restrizione. La restrizione si applica solo ai gruppi a cui è assegnato. Se non si assegna una restrizione ad almeno un gruppo, non avrà alcun effetto. Quindi, scegliere Seleziona. Limite dello schermo per la selezione dei gruppi
  9. Selezionare Avanti per passare alla pagina Rivedi e crea.
  10. Selezionare Crea per creare la restrizione. La nuova restrizione viene visualizzata nell'elenco di restrizioni e viene assegnata una priorità più alta rispetto ai criteri predefiniti. Per informazioni sulla modifica del livello di priorità, vedere Modificare la priorità della restrizione (in questo articolo).

Applicare filtri alle restrizioni di registrazione e ai criteri ESP

È possibile usare i filtri di assegnazione per includere ed escludere dispositivi aggiuntivi da determinati criteri di destinazione del gruppo. Le restrizioni di registrazione e i criteri ESP supportano entrambi l'uso dei filtri di assegnazione.

Ad esempio, è possibile usare un filtro per consentire la registrazione dei dispositivi Windows personali durante il blocco dei dispositivi che eseguono uno SKU del sistema operativo specifico. Per ottenere questo risultato, applicare un filtro preconfigurato alle assegnazioni di restrizioni di registrazione. Il filtro deve avere la operatingSystemSKU proprietà nelle regole. Passaggi di esempio:

  1. Creare criteri di restrizione della registrazione della piattaforma per Windows.
  2. Nelle impostazioni della piattaforma selezionare l'opzione che consente la registrazione dei dispositivi di proprietà personale.
  3. Nelle impostazioni delle assegnazioni selezionare i gruppi da assegnare.
  4. Selezionare Modifica filtro e quindi applicare il filtro preconfigurato che contiene la operatingSystemSKU proprietà . La proprietà applicata blocca i dispositivi che eseguono Windows 10 Home edizione.

Per altre informazioni sulla creazione di filtri, vedere Creare un filtro.

Proprietà di filtro supportate

Le restrizioni di registrazione supportano meno proprietà di filtro rispetto ad altri criteri di destinazione del gruppo. Questo perché i dispositivi non sono ancora registrati, quindi Intune non dispone delle informazioni sul dispositivo per supportare tutte le proprietà. Verrà visualizzata la selezione limitata di proprietà quando si:

  • Configurare criteri di restrizione della piattaforma per dispositivi Apple e Windows.
  • Configurare un criterio della pagina dello stato di registrazione (ESP) per Windows.
  • Modificare un filtro in uso in una restrizione di registrazione o in un profilo ESP.

Le proprietà di filtro seguenti sono sempre disponibili per l'uso con i criteri di registrazione:

Windows

  • Versione sistema operativo
  • SKU del sistema operativo
  • Nome del profilo di registrazione

iOS/iPadOS e macOS

  • Produttore
  • Modello
  • Versione sistema operativo
  • Ownership
  • Nome del profilo di registrazione

Per altre informazioni su queste proprietà, vedere Proprietà del dispositivo. I filtri non possono essere usati con restrizioni di registrazione Android.

Modificare le restrizioni di registrazione

Le modifiche vengono applicate alle nuove registrazioni e non influiscono sui dispositivi già registrati.

  1. Accedere all'interfaccia > di amministrazione Microsoft Endpoint Manager DispositiviLimitazioni > di registrazione > scegliere la restrizione da modificare > Proprietà.
  2. Scegliere Modifica accanto alle impostazioni che si desidera modificare.
  3. Nella pagina Modifica apportare le modifiche desiderate e passare alla pagina Rivedi e salva , quindi scegliere Salva.

Modificare la priorità della restrizione

Quando a un gruppo vengono assegnate più restrizioni, il livello di priorità determina quali criteri vengono applicati. Viene applicata la restrizione con la priorità più alta (1 è la posizione con priorità più alta) e le altre restrizioni vengono ignorate. Ad esempio:

  1. Joe appartiene a due gruppi di utenti in Intune: Gruppo A e Gruppo B.
  2. Al gruppo A vengono assegnati criteri di restrizione. Il livello di priorità è 5.
  3. Al gruppo B vengono assegnati criteri di restrizione. Il livello di priorità è 2.
  4. Joe è soggetto solo alle restrizioni di priorità 2.

Quando si crea una restrizione, viene aggiunta all'elenco appena sopra l'impostazione predefinita. È possibile modificare la priorità delle restrizioni non predefinite.

  1. Accedere all'interfaccia di amministrazione Microsoft Endpoint Manager e selezionare DispositiviRegistra > dispositiviRestrizioni > di registrazione.
  2. Selezionare Restrizioni del tipo di dispositivo o Restrizioni relative ai limiti di dispositivo per visualizzare l'elenco delle priorità.
  3. Nell'elenco passare il puntatore del mouse su qualsiasi restrizione nella colonna Priorità . Quando vengono visualizzati tre punti verticali, selezionare e trascinare la priorità nella posizione desiderata nell'elenco.

Nota

Le restrizioni di registrazione vengono applicate agli utenti. Per gli scenari di registrazione che non sono basati sull'utente, ad esempio Windows modalità di distribuzione automatica di Autopilot, Intune applica solo le restrizioni predefinite destinate a tutti gli utenti.

Visualizzare i report di registrazione

È possibile usare i report seguenti per risolvere i problemi relativi alle restrizioni di registrazione e alle assegnazioni della pagina di stato della registrazione:

  • Report degli errori di registrazione
  • Pagina Risoluzione dei problemi e supporto tecnico
  • Pagina di registrazione del dispositivo

Questa sezione descrive lo scopo di ogni risorsa per la risoluzione dei problemi e la posizione in cui trovarle nell'interfaccia di amministrazione.

Report degli errori di registrazione

Usare il report degli errori di registrazione per visualizzare gli errori di registrazione per tutti gli utenti o per utenti selezionati. Questo report mostra ogni tentativo di registrazione non riuscito insieme alla data in cui si è verificato, al motivo dell'errore, al sistema operativo, alla versione del sistema operativo, al nome utente e al metodo di registrazione.

  1. Accedere all'interfaccia di amministrazione Microsoft Endpoint Manager e selezionare DispositiviMonitoraggi > > Errori di registrazione.

  2. Selezionare Tutti gli utenti o Selezionare l'utente, a seconda dello scenario di risoluzione dei problemi.

  3. Selezionare una riga nella tabella per altri dettagli sull'errore e sui passaggi di correzione consigliati.

    Immagine di esempio del report degli errori di registrazione che mostra i dettagli degli errori di registrazione per una riga selezionata.

Pagina Risoluzione dei problemi e supporto tecnico

Usare il report sugli errori di registrazione nella pagina Risoluzione dei problemi e supporto tecnico per visualizzare gli errori di registrazione per un utente selezionato. Questo report mostra ogni tentativo di registrazione non riuscito rilevato dall'utente insieme alla data in cui si è verificato, al motivo dell'errore, al sistema operativo, alla versione del sistema operativo, al nome utente e al metodo di registrazione. È anche possibile visualizzare altri dati sull'utente in questa pagina, inclusi tutti gli stati di assegnazione, dispositivi e protezione delle app a cui sono associati.

  1. Accedere all'interfaccia di amministrazione Microsoft Endpoint Manager e selezionare Risoluzione dei problemi e supportoSelezionare > l'utente.
  2. Scegliere un utente > Seleziona.
  3. In Errori di registrazione selezionare una riga per visualizzare altri dettagli sull'errore e i passaggi di correzione consigliati.

Pagina di registrazione del dispositivo

La pagina di registrazione del dispositivo mostra i criteri di registrazione (sia la restrizione di registrazione che i criteri della pagina di stato della registrazione) applicati a un dispositivo quando è stato registrato per la prima volta in Microsoft Intune. Usare questo report per individuare l'origine dell'errore, ad esempio un criterio imprevisto, una destinazione o un filtro. I dati sono disponibili per i dispositivi iOS/iPadOS, macOS e Windows e includono:

  • Profile name (Nome del profilo)
  • Nome entità utente
  • Tipo di profilo (pagina dello stato della registrazione o restrizione di registrazione del tipo di dispositivo)
  • Priorità
  • Destinazione (utente o dispositivo)
  • Filtri, con un collegamento ai risultati della valutazione del filtro (disponibile solo se i criteri di registrazione sono stati assegnati usando un filtro di assegnazione)

Per accedere ai dati del report:

  1. Accedere all'interfaccia di amministrazione Microsoft Endpoint Manager e selezionare DispositiviTutti > i dispositivi.

  2. Selezionare un dispositivo iOS/iPadOS, macOS o Windows registrato.

  3. In Monitoraggio selezionare Registrazione.

  4. Esaminare i dati del report.

    Immagine di esempio della pagina Registrazione dispositivo, che mostra una tabella dei profili di registrazione.

Nota

I dati del report sono disponibili solo per i dispositivi registrati dopo la versione del servizio Microsoft Intune 2112. Non sono disponibili risultati per i dispositivi registrati prima di tale versione.