什麼是註冊限制？

適用於

• Android
• iOS
• macOS
• Windows 10
• Windows 11

重要事項

Microsoft Intune 於 2024 年 8 月 30 日終止在可存取 Google 行動服務 (GMS) 的裝置上進行 Android 裝置系統管理員管理的支援。 在該日期之後，裝置註冊、技術支援、錯誤修正和安全性修正將無法使用。 如果您目前使用裝置系統管理員管理，建議您在支持結束之前，切換至 Intune 中的另一個 Android 管理選項。 如需詳細資訊，請參閱 終止 GMS 裝置上的 Android 裝置系統管理員支援。

裝置註冊限制可讓您根據特定裝置屬性，限制裝置在 Intune 中註冊。 您可以在 Microsoft Intune 中設定兩種類型的裝置註冊限制：

• 裝置平臺限制：根據裝置平臺、版本、製造商或擁有權類型來限制裝置。
• 裝置限制：限制用戶可以在 Intune 註冊的裝置數目。

每個限制類型都隨附一個默認原則，您可以視需要編輯和自定義。 Intune 會將默認原則套用至所有使用者和無用戶註冊，直到您指派較高優先順序的原則為止。

本文提供可用註冊限制和功能限制的概觀。 若要開始建立限制，請跳至本文中 () 的 後續步驟 。

可用的限制

您可以在系統管理中心設定下列限制：

• 裝置限制
• 裝置平臺
• 操作系統版本
• 裝置製造商
• 裝置擁有權 (個人擁有的裝置)

裝置限制

限制人員可以註冊的裝置數目。 您可以將裝置限制從 1 設定為 15。

此設定位於系統管理中心內的 註冊裝置限制下。

裝置平臺

重要事項

Microsoft Intune 於 2024 年 8 月 30 日終止在可存取 Google 行動服務 (GMS) 的裝置上進行 Android 裝置系統管理員管理的支援。 在該日期之後，裝置註冊、技術支援、錯誤修正和安全性修正將無法使用。 如果您目前使用裝置系統管理員管理，建議您在支持結束之前，切換至 Intune 中的另一個 Android 管理選項。 如需詳細資訊，請參閱 終止 GMS 裝置上的 Android 裝置系統管理員支援。

封鎖在特定裝置平台上執行的裝置。 您可以將此限制套用至執行下列動作的裝置：

• Android 裝置系統管理員
• Android Enterprise 工作配置檔
• iOS/iPadOS
• macOS
• Windows 10/11

在允許兩個 Android 平臺的群組中，支援工作配置檔的裝置將會使用工作配置檔註冊。 不支援工作配置檔的裝置會在 Android 裝置系統管理員平台上註冊。 在您完成 Android 註冊的所有必要條件之前，工作配置檔或裝置系統管理員註冊都無法運作。

這項限制位於系統管理中心[ 註冊裝置平臺限制] 底下。

操作系統版本

此限制會強制執行您的 OS 版本需求上限和最低。 這種類型的限制適用於下列作業系統：

• Android 裝置系統管理員*
• Android Enterprise 工作配置檔*
• iOS/iPadOS*
• Windows

* 這些作業系統僅支援透過 Intune 公司入口網站 註冊之裝置的版本限制。

這項限制位於系統管理中心[ 註冊裝置平臺限制] 底下。

裝置製造商

這項限制會封鎖特定製造商所製作的裝置，且僅適用於 Android 裝置。 它位於系統管理中心內的 [註冊裝置平臺限制] 下方。

個人擁有的裝置

這項限制有助於防止裝置使用者不小心註冊其個人裝置，並適用於執行下列動作的裝置：

• Android
• iOS/iPad OS
• macOS
• Windows 10/11

這項限制位於系統管理中心[ 註冊裝置平臺限制] 底下。

封鎖個人 Android 裝置

根據預設，在系統管理中心手動進行變更之前，您的 Android Enterprise 工作設定檔裝置設定和 Android 裝置系統管理員裝置設定都相同。

如果您封鎖個人裝置上的 Android Enterprise 工作配置檔註冊，則只有公司擁有的裝置可以使用 個人擁有的工作配置檔進行註冊。

封鎖個人 iOS/iPadOS 裝置

根據預設，Intune 將iOS/iPadOS裝置分類為個人擁有。 若要分類為公司擁有的裝置，iOS/iPadOS 裝置必須符合下列其中一個條件：

• 使用序號或 IMEI 註冊。
• 使用自動化裝置註冊 (先前的裝置註冊計劃) 進行註冊。

注意事項

iOS 用戶註冊配置檔會覆寫註冊限制原則。 如需詳細資訊， 請參閱設定 iOS/iPadOS 和 iPadOS 用戶註冊 (預覽) 。

封鎖個人 Mac

根據預設，Intune 將macOS裝置分類為個人擁有。 若要分類為公司擁有，Mac 必須滿足下列其中一個條件：

• 使用序號註冊。
• 透過 Apple Automated Device Enrollment (ADE) 註冊。

封鎖個人 Windows 裝置

如果您封鎖個人擁有的 Windows 裝置進行註冊，Intune 檢查以確定每個新的 Windows 註冊要求都已獲得公司註冊的授權。 已封鎖未經授權的註冊。

下列註冊方法已獲得公司註冊的授權：

• 裝置會透過 Windows Autopilot 註冊。
• 裝置會透過 GPO 註冊，或從 Configuration Manager 自動註冊以進行共同管理。
• 裝置會透過 大量布建套件註冊。
• 註冊的使用者使用 裝置註冊管理員帳戶。

注意事項

由於共同管理的裝置會根據其 Microsoft Entra 裝置令牌而非使用者令牌，在 Microsoft Intune 服務中註冊，因此只會套用預設的 Intune 註冊限制。

Intune 會將進行下列註冊類型的裝置標示為公司擁有的註冊，並封鎖裝置註冊 (，除非向 Autopilot) 註冊，因為這些方法不會提供 Intune 系統管理員的個別裝置控件：

• 在 Windows 安裝期間使用 Microsoft Entra 加入的自動 MDM 註冊。
• 自動 MDM 註冊，Microsoft Entra 從 Windows 設定加入。
• 透過 適用現有裝置的 Windows Autopilot 使用 Microsoft Entra 加入或混合式加入的 MDM 自動註冊。

Intune 也會使用下列註冊方法來封鎖個人裝置：

• 使用 [從 Windows 設定新增工作帳戶自動註冊 MDM]。
• 僅限來自 Windows 設定的 MDM 註冊選項。
• 使用 Intune 公司入口網站 應用程式註冊。
• 透過 Microsoft 365 應用程式註冊，當使用者在應用程式登入期間選取 [ 允許我的組織管理我的裝置 ] 選項時發生。

重要事項

如果裝置先前曾 Microsoft Entra 加入租使用者，則可能封鎖加入 Workplace Join 的裝置註冊。 若要避免遭到封鎖，請先在 Microsoft Entra ID 中取消註冊並移除裝置的相關聯物件，再嘗試透過 Workplace Join 加入裝置。

限制

• 註冊限制會套用至使用者。 針對非使用者驅動的註冊案例，例如 Windows Autopilot 自我部署模式和預先布建部署的 Autopilot、大量註冊 (WCD) 、Azure 虛擬桌面或無使用者的 Apple Automated 裝置註冊 (ADE，而不需要使用者裝置親和性) ，Intune 強制執行默認原則。

• 在下列 Windows 註冊案例中，裝置限制無法套用至裝置，因為這些案例會利用共用裝置模式：

  • 共同管理的註冊
  • 群組原則 (GPO) 註冊
  • Microsoft Entra 加入的註冊，包括大量註冊
  • Windows Autopilot 註冊
  • 裝置註冊管理員註冊

  相反地，您可以在 Microsoft Entra ID 中設定這些註冊類型的硬性限制。 如需詳細資訊，請參閱使用 Azure 入口網站 管理裝置身分識別。

後續步驟

選取您要套用的註冊限制類型，並建立設定檔：

• 建立裝置平台註冊限制
• 建立裝置限制註冊限制