什麼是註冊限制?
適用於
- Android
- iOS
- macOS
- Windows 10
- Windows 11
重要事項
Microsoft Intune 於 2024 年 8 月 30 日終止在可存取 Google 行動服務 (GMS) 的裝置上進行 Android 裝置系統管理員管理的支援。 在該日期之後,裝置註冊、技術支援、錯誤修正和安全性修正將無法使用。 如果您目前使用裝置系統管理員管理,建議您在支持結束之前,切換至 Intune 中的另一個 Android 管理選項。 如需詳細資訊,請參閱 終止 GMS 裝置上的 Android 裝置系統管理員支援。
裝置註冊限制可讓您根據特定裝置屬性,限制裝置在 Intune 中註冊。 您可以在 Microsoft Intune 中設定兩種類型的裝置註冊限制:
- 裝置平臺限制:根據裝置平臺、版本、製造商或擁有權類型來限制裝置。
- 裝置限制:限制用戶可以在 Intune 註冊的裝置數目。
每個限制類型都隨附一個默認原則,您可以視需要編輯和自定義。 Intune 會將默認原則套用至所有使用者和無用戶註冊,直到您指派較高優先順序的原則為止。
本文提供可用註冊限制和功能限制的概觀。 若要開始建立限制,請跳至本文中 () 的 後續步驟 。
可用的限制
您可以在系統管理中心設定下列限制:
- 裝置限制
- 裝置平臺
- 操作系統版本
- 裝置製造商
- 裝置擁有權 (個人擁有的裝置)
裝置限制
限制人員可以註冊的裝置數目。 您可以將裝置限制從 1 設定為 15。
此設定位於系統管理中心內的 註冊裝置限制下。
裝置平臺
重要事項
Microsoft Intune 於 2024 年 8 月 30 日終止在可存取 Google 行動服務 (GMS) 的裝置上進行 Android 裝置系統管理員管理的支援。 在該日期之後,裝置註冊、技術支援、錯誤修正和安全性修正將無法使用。 如果您目前使用裝置系統管理員管理,建議您在支持結束之前,切換至 Intune 中的另一個 Android 管理選項。 如需詳細資訊,請參閱 終止 GMS 裝置上的 Android 裝置系統管理員支援。
封鎖在特定裝置平台上執行的裝置。 您可以將此限制套用至執行下列動作的裝置:
- Android 裝置系統管理員
- Android Enterprise 工作配置檔
- iOS/iPadOS
- macOS
- Windows 10/11
在允許兩個 Android 平臺的群組中,支援工作配置檔的裝置將會使用工作配置檔註冊。 不支援工作配置檔的裝置會在 Android 裝置系統管理員平台上註冊。 在您完成 Android 註冊的所有必要條件之前,工作配置檔或裝置系統管理員註冊都無法運作。
這項限制位於系統管理中心[ 註冊裝置平臺限制] 底下。
操作系統版本
此限制會強制執行您的 OS 版本需求上限和最低。 這種類型的限制適用於下列作業系統:
- Android 裝置系統管理員*
- Android Enterprise 工作配置檔*
- iOS/iPadOS*
- Windows
* 這些作業系統僅支援透過 Intune 公司入口網站 註冊之裝置的版本限制。
這項限制位於系統管理中心[ 註冊裝置平臺限制] 底下。
裝置製造商
這項限制會封鎖特定製造商所製作的裝置,且僅適用於 Android 裝置。 它位於系統管理中心內的 [註冊裝置平臺限制] 下方。
個人擁有的裝置
這項限制有助於防止裝置使用者不小心註冊其個人裝置,並適用於執行下列動作的裝置:
- Android
- iOS/iPad OS
- macOS
- Windows 10/11
這項限制位於系統管理中心[ 註冊裝置平臺限制] 底下。
封鎖個人 Android 裝置
根據預設,在系統管理中心手動進行變更之前,您的 Android Enterprise 工作設定檔裝置設定和 Android 裝置系統管理員裝置設定都相同。
如果您封鎖個人裝置上的 Android Enterprise 工作配置檔註冊,則只有公司擁有的裝置可以使用 個人擁有的工作配置檔進行註冊。
封鎖個人 iOS/iPadOS 裝置
根據預設,Intune 將iOS/iPadOS裝置分類為個人擁有。 若要分類為公司擁有的裝置,iOS/iPadOS 裝置必須符合下列其中一個條件:
- 使用序號或 IMEI 註冊。
- 使用自動化裝置註冊 (先前的裝置註冊計劃) 進行註冊。
注意事項
iOS 用戶註冊配置檔會覆寫註冊限制原則。 如需詳細資訊, 請參閱設定 iOS/iPadOS 和 iPadOS 用戶註冊 (預覽) 。
封鎖個人 Mac
根據預設,Intune 將macOS裝置分類為個人擁有。 若要分類為公司擁有,Mac 必須滿足下列其中一個條件:
- 使用序號註冊。
- 透過 Apple Automated Device Enrollment (ADE) 註冊。
封鎖個人 Windows 裝置
如果您封鎖個人擁有的 Windows 裝置進行註冊,Intune 檢查以確定每個新的 Windows 註冊要求都已獲得公司註冊的授權。 已封鎖未經授權的註冊。
下列註冊方法已獲得公司註冊的授權:
- 裝置會透過 Windows Autopilot 註冊。
- 裝置會透過 GPO 註冊,或從 Configuration Manager 自動註冊以進行共同管理。
- 裝置會透過 大量布建套件註冊。
- 註冊的使用者使用 裝置註冊管理員帳戶。
注意事項
由於共同管理的裝置會根據其 Microsoft Entra 裝置令牌而非使用者令牌,在 Microsoft Intune 服務中註冊,因此只會套用預設的 Intune 註冊限制。
Intune 會將進行下列註冊類型的裝置標示為公司擁有的註冊,並封鎖裝置註冊 (,除非向 Autopilot) 註冊,因為這些方法不會提供 Intune 系統管理員的個別裝置控件:
- 在 Windows 安裝期間使用 Microsoft Entra 加入的自動 MDM 註冊。
- 自動 MDM 註冊,Microsoft Entra 從 Windows 設定加入。
- 透過 適用現有裝置的 Windows Autopilot 使用 Microsoft Entra 加入或混合式加入的 MDM 自動註冊。
Intune 也會使用下列註冊方法來封鎖個人裝置:
- 使用 [從 Windows 設定新增工作帳戶自動註冊 MDM]。
- 僅限來自 Windows 設定的 MDM 註冊選項。
- 使用 Intune 公司入口網站 應用程式註冊。
- 透過 Microsoft 365 應用程式註冊,當使用者在應用程式登入期間選取 [ 允許我的組織管理我的裝置 ] 選項時發生。
重要事項
如果裝置先前曾 Microsoft Entra 加入租使用者,則可能封鎖加入 Workplace Join 的裝置註冊。 若要避免遭到封鎖,請先在 Microsoft Entra ID 中取消註冊並移除裝置的相關聯物件,再嘗試透過 Workplace Join 加入裝置。
限制
註冊限制會套用至使用者。 針對非使用者驅動的註冊案例,例如 Windows Autopilot 自我部署模式和預先布建部署的 Autopilot、大量註冊 (WCD) 、Azure 虛擬桌面或無使用者的 Apple Automated 裝置註冊 (ADE,而不需要使用者裝置親和性) ,Intune 強制執行默認原則。
在下列 Windows 註冊案例中,裝置限制無法套用至裝置,因為這些案例會利用共用裝置模式:
- 共同管理的註冊
- 群組原則 (GPO) 註冊
- Microsoft Entra 加入的註冊,包括大量註冊
- Windows Autopilot 註冊
- 裝置註冊管理員註冊
相反地,您可以在 Microsoft Entra ID 中設定這些註冊類型的硬性限制。 如需詳細資訊,請參閱使用 Azure 入口網站 管理裝置身分識別。
後續步驟
選取您要套用的註冊限制類型,並建立設定檔:
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應