Criar restrições de plataforma de dispositivo

  • Artigo

Aplica-se a: Android, iOS/iPadOS, macOS, Windows 10, Windows 11

Crie uma política de restrição de registro de plataforma de dispositivo para restringir o registro de dispositivos no Intune. As restrições disponíveis incluem:

  • Plataforma do dispositivo
  • Versão do SO
  • Fabricante
  • Propriedade (de propriedade pessoal)

Você pode criar uma nova política de restrição de plataforma de dispositivo no centro de administração Microsoft Intune ou usar a política padrão que já está disponível. Você pode ter até 25 políticas de restrição de plataforma de dispositivo.

Este artigo descreve as restrições de plataforma de dispositivo com suporte em Microsoft Intune e como configurá-las no centro de administração.

Política padrão

Microsoft Intune fornece uma política padrão para restrições de plataforma de dispositivo que você pode editar e personalizar conforme necessário. O Intune aplica a política padrão a todos os registros de usuário e sem usuário até atribuir uma política de maior prioridade.

Melhores práticas – restrições de plataforma Android

Como o Intune dá suporte a duas plataformas Android, é importante entender como as restrições de versão do sistema operacional funcionam quando você as usa com restrições de plataforma de dispositivo:

  • Se você permitir as duas plataformas do sistema operacional para o mesmo grupo e refiná-lo para versões específicas e não sobrepostas, os dispositivos passarão pelo fluxo de registro do Android escolhido para sua versão.
  • Se você permitir as duas plataformas, mas bloquear as mesmas versões, os dispositivos que executam versões bloqueadas não poderão se registrar. Os usuários desses dispositivos são enviados pelo fluxo de registro de administrador de dispositivo Android antes de serem bloqueados e solicitados a sair.

Importante

Microsoft Intune está encerrando o suporte para o gerenciamento de administrador de dispositivos Android em dispositivos com acesso ao GMS (Google Mobile Services) em 30 de agosto de 2024. Após essa data, o registro do dispositivo, o suporte técnico, as correções de bug e as correções de segurança não estarão disponíveis. Se você usar atualmente o gerenciamento de administrador de dispositivos, recomendamos mudar para outra opção de gerenciamento android no Intune antes do fim do suporte. Para obter mais informações, leia Fim do suporte para o administrador de dispositivos Android em dispositivos GMS.

Criar uma restrição de plataforma de dispositivo

  1. Entre no Centro de administração do Microsoft Intune.

  2. Acesse Registro de Dispositivos>.

  3. Selecione Restrição de plataforma de dispositivo.

  4. Selecione a guia na parte superior da página que corresponde à plataforma que você está configurando. Suas opções:

    • Restrições do Android
    • Restrições do Windows
    • Restrições do macOS
    • Restrições do iOS

  5. Selecione Criar restrição.

  6. Na página Básico, forneça à restrição um nome e uma descrição opcional.

  7. Selecione Avançar.

  8. Na página Configurações da plataforma, configure as restrições para a plataforma selecionada. Suas opções:

    • Plataforma (Android): selecione Permitir permitir que uma plataforma se registre e Bloqueie para restringi-la.
    • MDM (Windows, macOS e iOS/iPadOS): selecione Permitir permitir que uma plataforma se registre e Bloqueie para restringi-la.
    • Propriedade pessoal: Selecione Permitir para permitir que os dispositivos se registrem e operem como dispositivos pessoais.
    • Fabricante de dispositivos (Android): insira uma lista separada por vírgulas dos fabricantes que você deseja bloquear.
    • Permitir intervalo mínimo/máximo (Android, Windows, iOS/iPadOS): insira as versões mínimas e máximas do sistema operacional permitidas para registro. Os formatos de versão com suporte incluem:

      • O Windows dá suporte a major.minor.build.rev para Windows 10 e Windows 11. O Intune não recebe o número de revisão durante o registro, portanto, insira 0 para o número de revisão.

      • O administrador do dispositivo Android e o perfil de trabalho do Android Enterprise dão suporte a major.minor.rev.build.

      • O iOS/iPadOS dá suporte a major.minor.rev.

        Dica

        O intervalo mínimo/máximo não se aplica a dispositivos Apple que se inscrevem no Programa de registro de dispositivos, Gerente Escolar da Apple ou aplicativo Configurador da Apple. Embora o Intune não bloqueie registros do ADE que usam Portal da Empresa para autenticar, não atender aos requisitos do sistema operacional afeta o registro porque os dispositivos não podem criar o registro de dispositivo Microsoft Entra usado para avaliar políticas de Acesso Condicional. Você pode dizer que esse é o caso se um usuário do dispositivo receber uma mensagem de erro dizendo "Não foi possível mapear o registro do dispositivo com um usuário" depois de entrar no Portal da Empresa.

  9. Selecione Avançar.

  10. Opcionalmente, adicione marcas de escopo à restrição. Para obter mais informações sobre marcas de escopo, veja o artigo Usar controle de acesso baseado em função e marcas de escopo para TI distribuída.

    Observação

    Se você aplicar marcas de escopo a uma restrição, somente usuários do Intune dentro do escopo poderão exibir e gerenciar a política. Somente pessoas no escopo podem exibir e reordenar uma restrição ou alterar seu nível de prioridade. Eles também podem ver a prioridade relativa da restrição, mesmo que não possam ver todas as restrições.

  11. Selecione Avançar.

  12. Na página Atribuições, selecione Adicionar grupos e use a caixa de pesquisa para encontrar e selecionar grupos. Para atribuir a restrição a todos os usuários do dispositivo, selecione Adicionar todos os usuários. Se você não atribuir uma restrição a pelo menos um grupo, a restrição não entrará em vigor.

  13. Opcionalmente, depois de atribuir os grupos, selecione Editar filtro para restringir ainda mais a atribuição da política com filtros. Os filtros estão disponíveis para as políticas do macOS, iOS e Windows. Para obter mais informações, confira Aplicar filtros de atribuição (neste artigo).

  14. Selecione Avançar.

  15. Examine sua política e selecione Criar para criá-la.

Você pode exibir a nova política de restrição e acessar suas propriedades na tabela Restrições> detipo de dispositivo de registro. Selecione e arraste a restrição para reposicioná-la na tabela e alterar sua prioridade.

Aplicar filtros de atribuição

Você pode utilizar filtros de atribuição para incluir e excluir dispositivos adicionais de determinadas políticas direcionadas a grupos específicos. As restrições de registro e as políticas ESP dão suporte ao uso de filtros de atribuição.

Por exemplo, é possível usar um filtro para permitir que dispositivos Windows pessoais sejam registrados ao bloquear dispositivos que executam um SKU de sistema operacional específico. Para obter esse resultado, aplique um filtro pré-configurado às suas atribuições de restrição de registro. O filtro precisa ter a propriedade operatingSystemSKU em suas regras. Etapas de exemplo:

  1. Crie uma política de restrição de registro para o Windows.
  2. Nas configurações da plataforma, selecione a opção que permite que dispositivos pessoais se registrem.
  3. Nas configurações de atribuições, selecione os grupos que você deseja atribuir.
  4. Selecione Editar filtro e aplique o filtro pré-configurado que contém a propriedade operatingSystemSKU. A propriedade aplicada bloqueia os dispositivos que executam a edição do Windows 10 Home.

Para obter mais informações sobre a criação de filtros, consulte Criar um filtro.

Propriedades de filtro compatíveis

As restrições de registro suportam menos propriedades de filtragem do que outras políticas direcionadas ao grupo. Isso ocorre porque os dispositivos ainda não estão registrados, portanto, o Intune não tem as informações do dispositivo para dar suporte a todas as propriedades. Você verá a seleção limitada de propriedades quando:

  • Configure uma política de restrição de plataforma de dispositivos para dispositivos Windows e Apple.
  • Configurar uma política da página de status de registro (ESP) para o Windows.
  • Editar um filtro que está em uso em uma restrição de registro ou perfil ESP.

As seguintes propriedades de filtro estão sempre disponíveis para uso com políticas de registro:

Windows

  • Versão do SO
  • SKU do Sistema Operacional
  • Propriedade
  • Nome do perfil de registro

iOS/iPadOS e macOS

  • Fabricante
  • Modelo
  • Versão do SO
  • Propriedade
  • Nome do perfil de registro

Para obter mais informações sobre essas propriedades, consulte as propriedades do dispositivo. Os filtros não podem ser usados com restrições de registro do Android.

Editar restrições de registro

As edições são aplicadas a novos registros e não afetam dispositivos que já estão registrados.

  1. Retorne ao Registro de Dispositivos>.
  2. Selecione Restrições de plataforma de dispositivo.
  3. Na tabela Restrições de tipo de dispositivo , selecione o nome da política que você deseja alterar.
  4. Selecione Propriedades.
  5. Selecione Editar.
  6. Faça suas alterações e selecione Examinar + salvar.
  7. Examine suas alterações e selecione Salvar.