Ustawianie ograniczeń rejestracjiSet enrollment restrictions

Jako administrator usługi Intune możesz utworzyć ograniczenia rejestracji i nimi zarządzać. Ograniczenia te definiują, które urządzenia mogą zarejestrować się do zarządzania przy użyciu usługi Intune, m.in.:As an Intune administrator, you can create and manage enrollment restrictions that define what devices can enroll into management with Intune, including the:

  • Liczba urządzeń.Number of devices.
  • Systemy operacyjne i wersje.Operating systems and versions.

Możesz utworzyć wiele ograniczeń i zastosować je do różnych grup użytkowników.You can create multiple restrictions and apply them to different user groups. Możesz ustawić priorytet dla różnych ograniczeń.You can set the priority order for your different restrictions.

Uwaga

Ograniczenia rejestrowania nie są funkcjami zabezpieczeń.Enrollment restrictions are not security features. Urządzenia, na których złamano zabezpieczenia, mogą błędnie podawać swój charakter.Compromised devices can misrepresent their character. Te ograniczenia stanowią optymalną barierę dla niezłośliwych użytkowników.These restrictions are a best-effort barrier for non-malicious users.

Konkretne ograniczenia rejestracji, które możesz utworzyć, obejmują poniższe:The specific enrollment restrictions that you can create include:

  • Maksymalna liczba zarejestrowanych urządzeń.Maximum number of enrolled devices.
  • Platformy urządzeń, które można zarejestrować:Device platforms that can enroll:
    • Administrator urządzenia z systemem AndroidAndroid device administrator
    • Android Enterprise — profil służbowyAndroid Enterprise work profile
    • iOS/iPadOSiOS/iPadOS
    • macOSmacOS
    • WindowsWindows
  • Wersja systemu operacyjnego platformy dla urządzeń iOS/iPadOS, Android (administrator urządzeń), Android Enterprise (profil służbowy) i Windows.Platform operating system version for iOS/iPadOS, Android device administrator, Android Enterprise work profile, and Windows.
    • Minimalna wersja.Minimum version.
    • Maksymalna wersja.Maximum version.
  • Ogranicz urządzenia osobiste (iOS, Android — administrator urządzeń, Android Enterprise — profil służbowy, macOS i Windows).Restrict personally owned devices (iOS, Android device administrator, Android Enterprise work profile, macOS, and Windows).

Ograniczenia domyślneDefault restrictions

Ograniczenia domyślne są automatycznie zapewniane w przypadku ograniczeń rejestracji dla typu urządzeń i liczby urządzeń.Default restrictions are automatically provided for both device type and device limit enrollment restrictions. Możesz zmienić opcje domyślne.You can change the options for the defaults. Domyślnie ograniczenia mają zastosowanie do wszystkich użytkowników i rejestracji bez użytkowników.Default restrictions apply to all user and userless enrollments. Możesz przesłonić te ustawienia domyślne, tworząc nowe ograniczenia o wyższych priorytetach.You can override these defaults by creating new restrictions with higher priorities.

Tworzenie ograniczenia typu urządzeniaCreate a device type restriction

  1. Zaloguj się do centrum administracyjnego programu Microsoft Endpoint Manager > Urządzenia > Ograniczenia rejestracji > Utwórz ograniczenie > Ograniczenie typu urządzeń.Sign in to the Microsoft Endpoint Manager admin center > Devices > Enrollment restrictions > Create restriction > Device type restriction.

  2. Na stronie Podstawowe wypełnij pole Nazwa i opcjonalne pole Opis.On the Basics page, give the restriction a Name and optional Description.

  3. Wybierz przycisk Dalej, aby przejść do strony Ustawienia platformy.Choose Next to go to the Platform settings page.

  4. W obszarze Platforma wybierz opcję Zezwalaj dla platform, dla których chcesz zezwolić na to ograniczenie.Under Platform, choose Allow for the platforms that you want this restriction to allow. Zrzut ekranu wybierania ustawieńScreen cap for choosing settings

  5. W obszarze Wersje wybierz minimalne i maksymalne wersje, które mają być obsługiwane przez dozwolone platformy.Under Versions, choose the minimum and maximum versions that you want the allowable platforms to support. W przypadku systemów iOS i Android ograniczenia wersji mają zastosowanie tylko do urządzeń zarejestrowanych w aplikacji Portal firmy.For iOS and Android, version restrictions only apply to devices enrolled with the Company Portal. Obsługiwane formaty wersji obejmują:Supported version formats include:

    • Administrator urządzenia z systemem Android i profil służbowy systemu Android Enterprise obsługują wersję major.minor.rev.build.Android device administrator and Android Enterprise work profile support major.minor.rev.build.
    • System iOS/iPadOS obsługuje wersję major.minor.rev. Wersje systemu operacyjnego nie mają zastosowania do urządzeń firmy Apple rejestrowanych przy użyciu programu Device Enrollment Program, usługi Apple School Manager lub aplikacji Apple Configurator.iOS/iPadOS supports major.minor.rev. Operating system versions don't apply to Apple devices that enroll with the Device Enrollment Program, Apple School Manager, or the Apple Configurator app.
    • System Windows obsługuje tylko wersję major.minor.build.rev dla systemu Windows 10.Windows supports major.minor.build.rev for Windows 10 only.

    Ważne

    Profil służbowy platformy Android Enterprise i platforma Administrator urządzenia z systemem Android mają następujące zachowanie:Android Enterprise work profile and Android device administrator platforms have the following behavior:

    • Jeśli obie platformy są dozwolone dla tej samej grupy, użytkownicy zostaną zarejestrowani przy użyciu profilu służbowego, jeśli ich urządzenia go obsługują. W przeciwnym razie zostaną oni zarejestrowani jako administratorzy urządzeń.If both platforms are allowed for the same group, then users will be enrolled with a work profile if their device supports it, otherwise they will enroll as device administrator.
    • Jeśli obie platformy są dozwolone dla grupy i zostały ulepszone dla określonych i nienakładających się wersji, użytkownicy otrzymają przepływ rejestracji zdefiniowany dla ich wersji systemu operacyjnego.If both platforms are allowed for the group and refined for specific and non-overlapping versions, then users will receive the enrollment flow defined for their OS version.
    • Jeśli obie platformy są dozwolone, ale są blokowane dla tych samych wersji, użytkownicy na urządzeniach z zablokowanymi wersjami zostaną przekierowani do przepływu rejestracji administratora urządzeń z systemem Android, a następnie zostanie im zablokowana możliwość rejestracji i pojawi się prośba o wylogowanie się.If both platforms are allowed, but blocked for the same versions, then users on devices with the blocked versions will be taken down the Android device administrator enrollment flow and then get blocked from enrollment and prompted to sign out.

    Należy pamiętać, że ani rejestracja przy użyciu profilu służbowego, ani jako administrator urządzenia nie będą działały, jeśli nie zostaną spełnione odpowiednie wymagania wstępne rejestracji w systemie Android.Worth noting that neither work profile or device administrator enrollment will work unless the appropriate prequisites have been completed in Android Enrollment.

    Uwaga

    System Windows 10 nie udostępnia numeru wersji podczas rejestracji, więc jeśli na przykład wprowadzisz kompilację 10.0.17134.174, a urządzenie korzysta z kompilacji 10.0.17134.100, urządzenie zostanie zablokowane podczas rejestracji.Windows 10 does not provide the rev number during enrollment so for instance if you enter in 10.0.17134.100 and the device is 10.0.17134.174 it will be blocked during enrollment.

  6. W obszarze Własność użytkownika wybierz opcję Zezwalaj dla platform, na które chcesz zezwalać jako urządzenia będące własnością użytkowników.Under Personally owned, choose Allow for the platforms that you want to permit as personally owned devices.

  7. W obszarze Producent urządzenia wprowadź rozdzielaną przecinkami listę producentów, których chcesz zablokować.Under Device manufacturer, enter a comma-separated list of the manufacturers that you want to block.

  8. Wybierz pozycję Dalej, aby przejść na stronę Tagi zakresu.Choose Next to go to the Scope tags page.

  9. Na stronie Tagi zakresu opcjonalnie dodaj tagi zakresu, które chcesz zastosować względem tego ograniczenia.On the Scope tags page, optionally add the scope tags you want to apply to this restriction. Więcej informacji na temat tagów zakresu można znaleźć w artykule Używanie kontroli dostępu opartej na rolach (RBAC) i tagów zakresu w rozproszonej infrastrukturze informatycznej.For more information about scope tags, see Use role-based access control and scope tags for distributed IT. W przypadku używania tagów zakresu z ograniczeniami rejestracji użytkownicy mogą zmienić kolejność tylko tych zasad, które znajdują się w ich zakresie.When using scope tags with enrollment restrictions, users can only re-order policies for which they have scope. Ponadto mogą oni zmienić kolejność tylko tych pozycji zasad, które znajdują się w ich zakresie.Also, they can only reorder for the policy positions for which they have scope. Użytkownicy widzą prawdziwy numer priorytetu poszczególnych zasad.Users see the true policy priority number on each policy. Użytkownik w danym zakresie może określić względny priorytet swoich zasad, nawet jeśli nie widzi wszystkich innych zasad.A scoped user can tell the relative priority of their policies even if they can't see all the other policies.

  10. Wybierz przycisk Dalej, aby przejść do strony Przypisania.Choose Next to go to the Assignments page.

  11. Wybierz opcję Wybierz grupy do uwzględnienia, a następnie użyj pola wyszukiwania, aby znaleźć grupy, które chcesz uwzględnić w tym ograniczeniu.Choose Select groups to include and then use the search box to find groups that you want to include in this restriction. Ograniczenie ma zastosowanie wyłącznie do grup, do których zostało przypisane.The restriction applies only to groups to which it's assigned. Jeśli nie przypiszesz ograniczenia do co najmniej jednej grupy, nie będzie mieć żadnego efektu.If you don't assign a restriction to at least one group, it won't have any effect. Następnie wybierz opcję Wybierz.Then choose Select. Zrzut ekranu wybierania ustawień platformyScreen cap for choosing platform settings

  12. Wybierz pozycję Dalej, aby przejść do strony Recenzja i tworzenie.Select Next to go to the Review + create page.

  13. Wybierz pozycję Utwórz, aby utworzyć ograniczenie.Select Create to create the restriction.

  14. Nowe ograniczenie jest tworzone z priorytetem tuż nad ograniczeniami domyślnymi.The new restriction is created with a priority just above the default. Możesz zmienić priorytet.You can change the priority.

Tworzenie ograniczenia limitu urządzeńCreate a device limit restriction

  1. Zaloguj się do centrum administracyjnego programu Microsoft Endpoint Manager > Urządzenia > Ograniczenia rejestracji > Utwórz ograniczenie > Ograniczenie limitu urządzeń.Sign in to the Microsoft Endpoint Manager admin center > Devices > Enrollment restrictions > Create restriction > Device limit restriction.
  2. Na stronie Podstawowe wypełnij pole Nazwa i opcjonalne pole Opis.On the Basics page, give the restriction a Name and optional Description.
  3. Wybierz opcję Dalej, aby przejść do strony Limit urządzeń.Choose Next to go to the Device limit page.
  4. Dla opcji Limit urządzeń wybierz maksymalną liczbę urządzeń, którą może zarejestrować użytkownik.For Device limit, select the maximum number of devices that a user can enroll. Zrzut ekranu wybierania limitu urządzeńScreen cap for choosing device limit
  5. Wybierz pozycję Dalej, aby przejść na stronę Tagi zakresu.Choose Next to go to the Scope tags page.
  6. Na stronie Tagi zakresu opcjonalnie dodaj tagi zakresu, które chcesz zastosować względem tego ograniczenia.On the Scope tags page, optionally add the scope tags you want to apply to this restriction. Więcej informacji na temat tagów zakresu można znaleźć w artykule Używanie kontroli dostępu opartej na rolach (RBAC) i tagów zakresu w rozproszonej infrastrukturze informatycznej.For more information about scope tags, see Use role-based access control and scope tags for distributed IT. W przypadku używania tagów zakresu z ograniczeniami rejestracji użytkownicy mogą zmienić kolejność tylko tych zasad, które znajdują się w ich zakresie.When using scope tags with enrollment restrictions, users can only re-order policies for which they have scope. Ponadto mogą oni zmienić kolejność tylko tych pozycji zasad, które znajdują się w ich zakresie.Also, they can only reorder for the policy positions for which they have scope. Użytkownicy widzą prawdziwy numer priorytetu poszczególnych zasad.Users see the true policy priority number on each policy. Użytkownik w danym zakresie może określić względny priorytet swoich zasad, nawet jeśli nie widzi wszystkich innych zasad.A scoped user can tell the relative priority of their policies even if they can't see all the other policies.
  7. Wybierz przycisk Dalej, aby przejść do strony Przypisania.Choose Next to go to the Assignments page.
  8. Wybierz opcję Wybierz grupy do uwzględnienia, a następnie użyj pola wyszukiwania, aby znaleźć grupy, które chcesz uwzględnić w tym ograniczeniu.Choose Select groups to include and then use the search box to find groups that you want to include in this restriction. Ograniczenie ma zastosowanie wyłącznie do grup, do których zostało przypisane.The restriction applies only to groups to which it's assigned. Jeśli nie przypiszesz ograniczenia do co najmniej jednej grupy, nie będzie mieć żadnego efektu.If you don't assign a restriction to at least one group, it won't have any effect. Następnie wybierz opcję Wybierz.Then choose Select. Zrzut ekranu wybierania grupScreen cap for selecting groups
  9. Wybierz pozycję Dalej, aby przejść do strony Recenzja i tworzenie.Select Next to go to the Review + create page.
  10. Wybierz pozycję Utwórz, aby utworzyć ograniczenie.Select Create to create the restriction.
  11. Nowe ograniczenie jest tworzone z priorytetem tuż nad ograniczeniami domyślnymi.The new restriction is created with a priority just above the default. Możesz zmienić priorytet.You can change the priority.

Podczas rejestracji urządzeń BYOD zostanie wyświetlone powiadomienie dla użytkowników, gdy osiągną limit liczby zarejestrowanych urządzeń.During BYOD enrollments, users see a notification that tells them when they've met their limit of enrolled devices. Przykładowo w systemie iOS:For example, on iOS:

Powiadomienie o limicie urządzeń w systemie iOS

Ważne

Ograniczenia limitu urządzeń nie dotyczą następujących typów rejestracji w systemie Windows:Device limit restrictions don't apply for the following Windows enrollment types:

  • Rejestracje współzarządzaneCo-managed enrollments
  • Rejestracje obiektów zasad grupyGPO enrollments
  • Rejestracje dołączane do usługi Azure Active DirectoryAzure Active Directory joined enrollments
  • Zbiorcze rejestracje dołączane do usługi Azure Active DirectoryBulk Azure Active Directory joined enrollments
  • Rejestracje rozwiązania AutopilotAutopilot enrollments
  • Rejestracje Menedżera rejestracji urządzeńDevice Enrollment Manager enrollments

Ograniczenia limitu urządzeń nie są wymuszane dla tych typów rejestracji, ponieważ są one traktowane jako scenariusze dotyczące urządzeń udostępnionych.Device limit restrictions are not enforced for these enrollment types because they're considered shared device scenarios. Limity stałe dla tych typów rejestracji można ustawić w usłudze Azure Active Directory.You can set hard limits for these enrollment types in Azure Active Directory.

Zmiana ograniczeń rejestracjiChange enrollment restrictions

Możesz zmienić ustawienia ograniczeń dotyczących rejestracji, wykonując poniższe czynności.You can change the settings for an enrollment restriction by following the steps below. Te ograniczenia nie wpływają na urządzenia, które zostały już zarejestrowane.These restrictions don't effect devices that have already been enrolled. Za pomocą tej funkcji nie można zablokować urządzeń zarejestrowanych przy użyciu agenta usługi Intune na komputerze.Devices enrolled with Intune PC agent can't be blocked with this feature.

  1. Zaloguj się do centrum administracyjnego programu Microsoft Endpoint Manager > Urządzenia > Ograniczenia rejestracji > wybierz ograniczenie, które chcesz zmienić > Właściwości.Sign in to the Microsoft Endpoint Manager admin center > Devices > Enrollment restrictions > choose the restriction that you want to change > Properties.
  2. Wybierz opcję Edytuj obok ustawień, które chcesz zmienić.Choose Edit next to the settings that you want to change.
  3. Na stronie Edycja wprowadź odpowiednie zmiany i przejdź do strony Przejrzyj i zapisz, a następnie wybierz opcję Zapisz.On the Edit page, make the changes that you want and proceed to the Review + save page, then choose Save.

Blokowanie urządzeń osobistych z systemem AndroidBlocking personal Android devices

  • Jeśli zablokujesz rejestrację urządzeń prywatnych administratora urządzeń z systemem Android, prywatne urządzenia z profilami służbowymi systemu Android Enterprise nadal będą mogły być rejestrowane.If you block personally owned Android device administrator devices from enrollment, personally-owned Android Enterprise work profile devices can still enroll.
  • Domyślnie ustawienia urządzeń z profilami służbowymi systemu Android Enterprise są takie same jak ustawienia urządzeń administratora urządzeń z systemem Android.By default, your Android Enterprise work profile devices settings are the same as your settings for your Android device administrator devices. Po zmianie profilu służbowego prywatnego urządzenia z systemem Android Enterprise lub ustawień administratora urządzeń z systemem Android nie jest to już możliwe.After you change your Android Enterprise personally-owned work profile or your Android device administrator settings, that's no longer the case.
  • Jeśli zablokujesz rejestrację urządzeń osobistych z profilami służbowymi systemu Android Enterprise, jako należące do użytkownika profile służbowe systemu Android Enterprise będzie można rejestrować tylko firmowe urządzenia z systemem Android.If you block Android Enterprise personal work profile enrollment, only corporate-owned Android devices can enroll with Android Enterprise personally-owned work profiles.

Blokowanie urządzeń osobistych z systemem WindowsBlocking personal Windows devices

Jeśli blokujesz rejestrację urządzeń osobistych z systemem Windows, usługa Intune sprawdza, czy każde nowe żądanie rejestracji systemu Windows zostało autoryzowane jako rejestracja firmowa.If you block personally owned Windows devices from enrollment, Intune checks to make sure that each new Windows enrollment request has been authorized as a corporate enrollment. Nieautoryzowane rejestracje będą blokowane.Unauthorized enrollments will be blocked.

Następujące metody kwalifikują się do autoryzacji jako rejestracja firmowa systemu Windows:The following methods qualify as being authorized as a Windows corporate enrollment:

Poniższe rejestracje zostały oznaczone jako firmowe przez usługę Intune.The following enrollments are marked as corporate by Intune. Ale ponieważ nie oferują one administratorowi usługi Intune możliwości kontroli poszczególnych urządzeń, zostaną zablokowane:But since they don't offer the Intune administrator per-device control, they'll be blocked:

Następujące metody rejestracji urządzeń osobistych będą także blokowane:The following personal enrollment methods will also be blocked:

* Te urządzenia nie są blokowane w przypadku zarejestrowania w rozwiązaniu Autopilot.* These won't be blocked if registered with Autopilot.

Blokowanie urządzeń osobistych z systemem iOS/iPadOSBlocking personal iOS/iPadOS devices

Domyślnie usługa Intune klasyfikuje urządzenia z systemem iOS/iPadOS jako własność użytkownika.By default, Intune classifies iOS/iPadOS devices as personally-owned. Aby można było sklasyfikować urządzenie z systemem iOS/iPadOS jako należące do firmy, musi ono spełniać jeden z następujących warunków:To be classified as corporate-owned, an iOS/iPadOS device must fulfill one of the following conditions:

Zmiana priorytetu ograniczenia rejestracjiChange enrollment restriction priority

Priorytet jest używany, jeśli użytkownik istnieje w wielu grupach, którym przypisano ograniczenia.Priority is used when a user exists in multiple groups that are assigned restrictions. Użytkownicy podlegają tylko ograniczeniu o najwyższym priorytecie, które zostało przypisane do grupy, w której się znajdują.Users are subject only to the highest priority restriction assigned to a group that they are in. Przykładowo Jan znajduje się w grupie A, której przypisano ograniczenia o priorytecie 5, oraz w grupie B, której przypisano ograniczenia o priorytecie 2.For example, Joe is in group A assigned to priority 5 restrictions and also in group B assigned to priority 2 restrictions. Jan podlega wyłącznie ograniczeniom o priorytecie 2.Joe is subject only to the priority 2 restrictions.

Po utworzeniu ograniczenia jest ono dodawane do listy bezpośrednio nad ograniczeniem domyślnym.When you create a restriction, it's added to the list just above the default.

Rejestracja urządzeń obejmuje domyślne ograniczenia dla typu urządzeń i liczby urządzeń.Device enrollment includes default restrictions for both device type and device limit restrictions. Te dwa ograniczenia mają zastosowanie do wszystkich użytkowników, chyba że zostaną zastąpione przez ograniczenia o wyższym priorytecie.These two restrictions apply to all users unless they're overridden by higher-priority restrictions.

Uwaga

Ograniczenia rejestracji są stosowane do użytkowników.Enrollment restrictions are applied to users. W scenariuszach rejestracji, które nie są sterowane przez użytkownika (np. tryb samoobsługowego wdrażania lub dokładna aprowizacja rozwiązania Windows Autopilot), zostaną wymuszone tylko domyślne ograniczenia priorytetów (przeznaczone dla wszystkich użytkowników).In enrollment scenarios that are not user-driven (e.g. Windows Autopilot self-deploying mode or white glove provisioning), only the Default priority restrictions (targeted to "All Users") will be enforced.

Możesz zmienić priorytet dowolnego ograniczenia innego niż domyślne.You can change the priority of any non-default restriction.

  1. Zaloguj się do witryny Azure Portal.Sign in to the Azure portal.
  2. Wybierz opcję Więcej usług, wyszukaj usługę Intune, a następnie wybierz usługę Intune.Select More Services, search for Intune, and then choose Intune.
  3. Wybierz pozycję Rejestrowanie urządzenia > Ograniczenia rejestracji.Select Device enrollment > Enrollment restrictions.
  4. Umieść kursor nad ograniczeniem na liście priorytetów.Hover over the restriction in the priority list.
  5. Używając trzech pionowych punktów, przeciągnij priorytet do żądanej pozycji na liście.Using the three vertical dots, drag the priority to the desired position in the list.