Поделиться через

Создание ограничений платформы устройств

  • Статья

Область применения: Android, iOS/iPadOS, macOS, Windows 10, Windows 11

Создайте политику ограничения регистрации платформы устройств, чтобы запретить регистрацию устройств в Intune. Доступные ограничения:

  • Платформа устройства
  • Версия ОС
  • Производитель
  • Владение (личное владение)

Вы можете создать новую политику ограничения платформы устройств в центре администрирования Microsoft Intune или использовать уже доступную политику по умолчанию. Вы можете использовать до 25 политик ограничения платформы устройств.

В этой статье описаны ограничения платформы устройств, поддерживаемые в Microsoft Intune, и способы их настройки в Центре администрирования.

Политика, используемая по умолчанию

Microsoft Intune предоставляет одну политику по умолчанию для ограничений платформы устройств, которую можно изменить и настроить по мере необходимости. Intune применяет политику по умолчанию ко всем регистрациям пользователей и без пользователей, пока вы не назначите политику с более высоким приоритетом.

Рекомендация — ограничения платформы Android

Так как Intune поддерживает две платформы Android, важно понимать, как работают ограничения версий ОС при их использовании с ограничениями платформы устройств:

  • Если вы разрешите обе платформы для одной и той же группы, а затем уточните ее для определенных и непересекающихся версий, устройства отправляются через регистрацию Android, выбранную для их версии.
  • Если вы разрешаете обе платформы, но блокируете одни и те же версии, устройства с заблокированными версиями не смогут регистрироваться. Пользователи на этих устройствах отправляются через поток регистрации администратора устройств Android, прежде чем они будут заблокированы и им будет предложено выйти из системы.

Важно!

Microsoft Intune прекращает поддержку управления администраторами устройств Android на устройствах с доступом к Google Mobile Services (GMS) 30 августа 2024 г. После этой даты регистрация устройств, техническая поддержка, исправления ошибок и исправления безопасности будут недоступны. Если в настоящее время вы используете управление администраторами устройств, мы рекомендуем перейти на другой вариант управления Android в Intune до окончания поддержки. Дополнительные сведения см. в статье Прекращение поддержки администратора устройств Android на устройствах GMS.

Создайте ограничение платформы устройства

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Перейдите в разделРегистрацияустройств>.

  3. Выберите Ограничение платформы устройства.

  4. Выберите вкладку в верхней части страницы, соответствующую настраиваемой платформе. Доступны следующие параметры:

    • Ограничения Android
    • Ограничения Windows
    • Ограничения macOS
    • Ограничения iOS

  5. Выберите Создать ограничение.

  6. На странице Основные сведения укажите для ограничения имя и необязательное описание.

  7. Нажмите Далее.

  8. На странице Параметры платформы настройте ограничения для выбранной платформы. Доступны следующие параметры:

    • Платформа (Android). Выберите Разрешить , чтобы разрешить регистрацию платформы, и Блокировать , чтобы ограничить ее.
    • MDM (Windows, macOS и iOS/iPadOS): выберите Разрешить , чтобы разрешить платформу регистрироваться, и Блокировать , чтобы ограничить ее.
    • Личные: выберите Разрешить, чтобы разрешить устройствам регистрироваться и работать в качестве личных устройств.
    • Производитель устройства (Android). Введите разделенный запятыми список производителей, которые нужно заблокировать.
    • Допустимый диапазон минимума и максимума (Android, Windows, iOS/iPadOS): введите минимальную и максимальную версии ОС, разрешенные для регистрации. Поддерживаемые форматы версий включают:

      • Windows поддерживает major.minor.build.rev для Windows 10 и Windows 11. Intune не получает номер редакции во время регистрации, поэтому введите 0 для номера редакции.

      • Администратор устройства Android и рабочий профиль Android Enterprise поддерживают major.minor.rev.build.

      • iOS/iPadOS поддерживает major.minor.rev.

        Совет

        Диапазон min/max неприменим к устройствам Apple, которые регистрируется с помощью программы регистрации устройств, Apple School Manager или приложения Apple Configurator. Хотя Intune не блокирует регистрации ADE, которые используют Корпоративный портал для проверки подлинности, несоответствие требованиям ОС влияет на регистрацию, так как устройства не могут создать запись Microsoft Entra устройства, используемую для оценки политик условного доступа. Вы можете сказать, что это так, если пользователь устройства получает сообщение об ошибке с сообщением "Не удалось сопоставить запись устройства с пользователем" после входа в Корпоративный портал.

  9. Нажмите кнопку Далее.

  10. При необходимости добавьте область теги в ограничение. Дополнительные сведения о тегах области см. в статье Использование управления доступом на основе ролей и тегов области для распределенных ИТ-систем.

    Примечание.

    При применении тегов области к ограничению только пользователи Intune в пределах области могут просматривать политику и управлять ею. Только пользователи область могут просматривать и изменять порядок ограничения или изменять его уровень приоритета. Они также могут видеть относительный приоритет ограничения, даже если они не могут видеть все ограничения.

  11. Нажмите Далее.

  12. На странице Назначения выберите Добавить группы и воспользуйтесь полем поиска, чтобы найти и выбрать группы. Чтобы назначить ограничение всем пользователям устройств, нажмите Добавить всех пользователей. Если не назначить ограничение хотя бы одной группе, ограничение не действует.

  13. При необходимости после назначения групп нажмите Изменить фильтр, чтобы далее ограничить назначение политики с помощью фильтров. Фильтры доступны для политик macOS, iOS и Windows. Дополнительные сведения см. в разделе Применение фильтров назначений (в этой статье).

  14. Нажмите кнопку Далее.

  15. Просмотрите политику и нажмите кнопку Создать , чтобы создать ее.

Вы можете просмотреть новую политику ограничений и получить доступ к ее свойствам в таблице Ограничения для платформы> регистрацииустройств. Выберите и перетащите ограничение, чтобы переместить его в таблицу и изменить его приоритет.

Применение фильтров назначений

Фильтры назначений можно использовать, чтобы включать и исключать дополнительные устройства из определенных политик, направленных на группу. Ограничения регистрации и политики ESP поддерживают использование фильтров назначения.

Например, можно использовать фильтр, чтобы разрешить регистрацию личных устройств Windows и одновременно заблокировать устройства, работающие под управлением определенного SKU операционной системы. Чтобы добиться этого результата, примените предварительно настроенный фильтр к назначениям ограничений регистрации. Фильтр должен иметь это свойство operatingSystemSKU в своих правилах. Примеры шагов:

  1. Создание политики ограничения регистрации платформы для Windows.
  2. В параметрах платформы выберите параметр, позволяющий регистрировать личные устройства.
  3. В параметрах назначений выберите группы, которые хотите назначить.
  4. Выберите Изменить фильтр, а затем примените предварительно настроенный фильтр, содержащий свойство operatingSystemSKU. Применяемое свойство блокирует устройства под управлением выпуска Windows 10 Домашняя.

Дополнительные сведения о создании фильтров см. в разделе Создание фильтра.

Поддерживаемые свойства фильтра

Ограничения регистрации поддерживают меньше свойств фильтра, чем другие политики, направленные на группу. Это связано с тем, что устройства еще не зарегистрированы, поэтому Intune не имеет сведений об устройстве для поддержки всех свойств. Ограниченный список свойств доступен в следующих случаях:

  • Настройка политики ограничения устройств платформы для устройств с Apple и Windows.
  • Настройка политики состояния страницы регистрации (ESP) для Windows.
  • Изменение фильтра, который используется в ограничении регистрации или профиле ESP.

Следующие свойства фильтра всегда доступны для использования с политиками регистрации:

Windows

  • Версия ОС
  • SKU операционной системы
  • Собственность
  • Имя профиля регистрации

iOS/iPadOS и macOS

  • Производитель
  • Модель
  • Версия ОС
  • Собственность
  • Имя профиля регистрации

Дополнительные сведения об этих свойствах см. в разделе Свойства устройств. Фильтры нельзя использовать с ограничениями регистрации Android.

Изменение ограничений регистрации

Изменения применяются к новым регистрациям и не влияют на уже зарегистрированные устройства.

  1. Вернитесь враздел Регистрацияустройств>.
  2. Выберите Ограничения платформы устройств.
  3. В таблице Ограничения типов устройств выберите имя политики, которую требуется изменить.
  4. Выберите пункт Свойства.
  5. Нажмите Изменить.
  6. Внесите изменения и выберите Просмотр и сохранение.
  7. Просмотрите изменения и нажмите кнопку Сохранить.