Freigeben über

Erstellen von Geräteplattformeinschränkungen

  • Artikel

Gilt für: Android, iOS/iPadOS, macOS, Windows 10, Windows 11

Erstellen Sie eine Richtlinie für die Geräteplattformregistrierungseinschränkung, um die Registrierung von Geräten bei Intune zu beschränken. Zu den verfügbaren Einschränkungen gehören:

  • Geräteplattform
  • BS-Version
  • Hersteller
  • Besitz (privat)

Sie können eine neue Richtlinie zur Einschränkung der Geräteplattform im Microsoft Intune Admin Center erstellen oder die bereits verfügbare Standardrichtlinie verwenden. Sie können bis zu 25 Richtlinien zur Einschränkung der Geräteplattform verwenden.

In diesem Artikel werden die in Microsoft Intune unterstützten Geräteplattformeinschränkungen und deren Konfiguration im Admin Center beschrieben.

Rollenbasierte Zugriffssteuerung

Um Geräteplattformeinschränkungen in Microsoft Intune zu erstellen, müssen Sie als Intune Administrator zugewiesen werden. Diese Rolle ist in Microsoft Entra ID integriert und kann:

  • Erstellen von Geräteplattformeinschränkungen

  • Bearbeiten von Geräteplattformeinschränkungen

  • Löschen von Geräteplattformeinschränkungen

  • Einschränkungen der Geräteplattform neu festlegen

Alle anderen integrierten Intune Rollen haben schreibgeschützten Zugriff auf Geräteplattformeinschränkungen. Sie können Bereichstags auf eine Geräteplattformeinschränkung anwenden, um den Zugriff weiter einzuschränken. Weitere Informationen zur rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) finden Sie unter RBAC mit Microsoft Intune.

Standardrichtlinie

Microsoft Intune bietet eine Standardrichtlinie für Geräteplattformeinschränkungen, die Sie nach Bedarf bearbeiten und anpassen können. Intune wendet die Standardrichtlinie auf alle benutzer- und benutzerlosen Registrierungen an, bis Sie eine Richtlinie mit höherer Priorität zuweisen.

Bewährte Methode: Android-Plattformeinschränkungen

Da Intune zwei Android-Plattformen unterstützt, ist es wichtig zu verstehen, wie Betriebssystemversionseinschränkungen funktionieren, wenn Sie sie mit Geräteplattformeinschränkungen verwenden:

  • Wenn Sie beide Plattformen für dieselbe Gruppe zulassen und diese dann für bestimmte und nicht überlappende Versionen verfeinern, prüft Intune die Version, um zu bestimmen, welche Android-Registrierungsflowgeräte durchlaufen.
  • Wenn Sie beide Plattformen zulassen, aber die gleichen Versionen blockieren, können Geräte, auf denen blockierte Versionen ausgeführt werden, nicht registriert werden. Benutzer auf diesen Geräten werden über den Registrierungsflow für Android-Geräteadministratoren gesendet, bevor sie blockiert und aufgefordert werden, sich abzumelden.

Wichtig

Microsoft Intune beendet den Support für die Android-Geräteadministratorverwaltung auf Geräten mit Zugriff auf Google Mobile Services (GMS) am 31. Dezember 2024. Nach diesem Datum sind die Geräteregistrierung, der technische Support sowie Behebungen von Programmfehlern und Sicherheitslücken nicht mehr verfügbar. Wenn Sie zurzeit die Verwaltung per Geräteadministrator verwenden, empfiehlt es sich, vor dem Ende des Supports zu einer anderen Android-Verwaltungsoption in Intune zu wechseln. Weitere Informationen finden Sie unter Beenden der Unterstützung für Android-Geräteadministratoren auf GMS-Geräten.

Erstellen Sie eine Geräteplattformbeschränkung

  1. Melden Sie sich beim Microsoft Intune Admin Center an, und wechseln Sie zu Geräte.

  2. Wählen Sie unter Geräte-Onboarding die Option Registrierung aus.

  3. Wählen Sie unter Registrierungsoptionen die Option Geräteplattformeinschränkung aus.

  4. Wählen Sie oben auf der Seite die Registerkarte aus, die der Plattform entspricht, die Sie konfigurieren. Ihre Optionen:

    • Windows Einschränkungen
    • Android-Einschränkungen
    • macOS-Einschränkungen
    • iOS-Einschränkungen

  5. Klicken Sie auf Erstellen, um die Einschränkung zu erstellen.

  6. Geben Sie auf der Seite Grundlagen einen Name und optional eine Beschreibung für die Beschränkung ein.

  7. Wählen Sie Weiter aus.

  8. Konfigurieren Sie auf der Seite Plattformeinstellungen die Beschränkungen für Ihre ausgewählte Plattform. Folgende Optionen sind verfügbar:

    • Plattform (Android): Wählen Sie Zulassen aus, um die Registrierung einer Plattform zuzulassen, und blockieren , um sie einzuschränken.

    • MDM (Windows, macOS und iOS/iPadOS): Wählen Sie Zulassen aus, um die Registrierung einer Plattform zuzulassen, und blockieren , um sie einzuschränken.

    • Persönliches Eigentum: Wählen Sie Zulassen, um zuzulassen, dass Geräte als persönliche Geräte registriert und betreiben werden.

    • Gerätehersteller (Android): Geben Sie eine durch Trennzeichen getrennte Liste der Hersteller ein, die Sie blockieren möchten.

    • Mindest-/Maximalbereich zulassen (Android, Windows, iOS/iPadOS): Geben Sie die minimalen und maximalen Betriebssystemversionen ein, die für die Registrierung zulässig sind. Folgende Versionsformate werden unterstützt:

      • Windows unterstützt "major.minor.build.rev" für Windows 10 und Windows 11. Intune die Revisionsnummer während der Registrierung nicht erhält, geben Sie daher 0 als Revisionsnummer ein.

      • Android-Geräteadministrator und Android Enterprise-Arbeitsprofil unterstützen „Hauptversion.Nebenversion.Revision.Build“.

      • iOS/iPadOS unterstützt major.minor.rev.

        Tipp

        Der Min/Max-Bereich gilt nicht für Apple-Geräte, die sich für das Geräteregistrierungsprogramm, den Apple School Manager oder die Apple Configurator-App registrieren. Obwohl Intune keine ADE-Registrierungen blockiert, die Unternehmensportal für die Authentifizierung verwenden, wirkt sich das Nichtertreffen der Betriebssystemanforderungen auf die Registrierung aus, da Geräte den Microsoft Entra Gerätedatensatz nicht erstellen können, der zum Auswerten von Richtlinien für bedingten Zugriff verwendet wird. Sie erkennen, dass dies der Fall ist, wenn ein Gerätebenutzer nach der Anmeldung beim Unternehmensportal eine Fehlermeldung erhält, die besagt, dass der Gerätedatensatz keinem Benutzer zugeordnet werden konnte.

  9. Wählen Sie Weiter aus.

  10. Fügen Sie der Einschränkung optional Bereichstags hinzu. Weitere Informationen zu Bereichsmarkierungen finden Sie unter Use role-based access control and scope tags for distributed IT (Verwenden der rollenbasierten Zugriffssteuerung und von Bereichsmarkierungen für verteilte IT).

    Hinweis

    Wenn Sie Bereichsmarkierungen auf eine Einschränkung anwenden, können nur Intune-Benutzer innerhalb des Bereichs die Richtlinie anzeigen und verwalten. Nur Personen im Bereich können eine Einschränkung anzeigen und neu anordnen oder deren Prioritätsebene ändern. Sie können auch die relative Priorität der Einschränkung sehen, auch wenn sie nicht alle Einschränkungen sehen können.

  11. Wählen Sie Weiter aus.

  12. Wählen Sie auf der Seite Aufgaben die Option Gruppen hinzufügen aus, und verwenden Sie dann das Suchfeld, um nach Gruppen zu suchen, die Sie in diese Einschränkung einschließen möchten. Um die Einschränkung stattdessen allen Gerätebenutzern zuzuweisen, wählen Sie Alle Benutzer hinzufügen. Wenn Sie mindestens einer Gruppe keine Einschränkung zuweisen, wird die Einschränkung nicht wirksam.

  13. Wählen Sie nach dem Zuweisen von Gruppen optional Filter bearbeiten aus, um die Richtlinienzuweisung weiter einzuschränken. Filter sind für macOS-, iOS- und Windows-Richtlinien verfügbar. Weitere Informationen finden Sie unter Anwenden von Zuweisungsfiltern in diesem Artikel.

  14. Wählen Sie Weiter aus.

  15. Überprüfen Sie Ihre Richtlinie, und wählen Sie dann Erstellen aus, um sie zu erstellen.

Sie können die neue Einschränkungsrichtlinie anzeigen und auf die zugehörigen Eigenschaften in der Tabelle Einschränkungen desGerätetypsregistrieren>. Wählen Sie die Einschränkung aus, und bewegen Sie sie, um sie in der Tabelle neu zu positionieren und ihre Priorität zu ändern.

Anwenden von Zuweisungsfiltern

Sie können Zuweisungsfilter verwenden, um zusätzliche Geräte in bestimmte gruppenbezogene Richtlinien einzuschließen oder auszuschließen. Registrierungseinschränkungen und ESP-Richtlinien unterstützen beide die Verwendung von Zuweisungsfiltern.

Beispielsweise können Sie einen Filter verwenden, um persönlichen Windows-Geräten die Registrierung zu ermöglichen, während Geräte blockiert werden, auf denen eine bestimmte Betriebssystem-SKU ausgeführt wird. Um dieses Ergebnis zu erzielen, wenden Sie einen vorkonfigurierten Filter auf Ihre Zuweisungen von Registrierungseinschränkungen an. Der Filter muss über die operatingSystemSKU-Eigenschaft in den Regeln verfügen. Beispielschritte:

  1. Erstellen Sie eine Plattformregistrierungseinschränkungsrichtlinie für Windows.
  2. Wählen Sie in den Plattformeinstellungen die Option aus, mit der persönliche Geräte registriert werden können.
  3. Wählen Sie in den Zuweisungseinstellungen die Gruppen aus, die Sie zuweisen möchten.
  4. Wählen Sie Filter bearbeiten aus, und wenden Sie dann den vorkonfigurierten Filter an, der die operatingSystemSKU-Eigenschaft enthält. Die angewendete Eigenschaft blockiert Geräte, auf denen Windows 10 Home Edition ausgeführt wird.

Weitere Informationen zum Erstellen von Filtern finden Sie unter Einen Filter erstellen.

Hinweis

Die Verarbeitung von Zuweisungsfiltern während der Registrierung dauert mehr Zeit. Die Aktualisierung zwischen Microsoft Entra und Intune, die Benutzer-, Gruppen- und Filterzuweisungen verarbeitet, erfolgt in der Regel innerhalb von 15 Minuten. Es ist nicht sofort. Dieser Zeitraum kann sich auf Registrierungszuweisungen auswirken. Sie sollten nach dem Hinzufügen der registrierten Benutzer zu einer Gruppe einige Minuten warten und Geräte registrieren, nicht unmittelbar danach.

Unterstützte Filtereigenschaften

Registrierungseinschränkungen unterstützen weniger Filtereigenschaften als andere gruppenorientierte Richtlinien. Dies liegt daran, dass Geräte noch nicht registriert sind, sodass Intune nicht über die Geräteinformationen verfügt, um alle Eigenschaften zu unterstützen. Die eingeschränkte Auswahl an Eigenschaften wird verfügbar, wenn Sie:

  • Konfigurieren Sie eine Geräteplattformeinschränkungsrichtlinie für Apple- und Windows-Geräte.
  • Konfigurieren Sie eine Richtlinie für die Registrierungsstatusseite (ESP) für Windows.
  • Bearbeiten Sie einen Filter, der in einer Registrierungsbeschränkung oder einem ESP-Profil verwendet wird.

Die folgenden Filtereigenschaften stehen mit Registrierungsrichtlinien immer zur Verwendung zur Verfügung:

Windows

iOS/iPadOS und macOS

  • Hersteller
  • Modell
  • BS-Version
  • Besitz
  • Name des Registrierungsprofils

Weitere Informationen zu diesen Eigenschaften finden Sie unter Geräteeigenschaften. Filter können nicht mit Android-Registrierungseinschränkungen verwendet werden.

Registrierungseinschränkungen bearbeiten

Änderungen werden auf neue Registrierungen angewendet und wirken sich nicht auf Geräte aus, die bereits registriert sind.

  1. Kehren Sie zu Geräteregistrierung>zurück.
  2. Wählen Sie Geräteplattformeinschränkungen und dann die Betriebssystemplattform aus, zu der die Einschränkung gehört.
  3. Wählen Sie in der Tabelle Gerätetypeinschränkungen den Namen der Richtlinie aus, die Sie ändern möchten.
  4. Wählen Sie Eigenschaften aus.
  5. Wählen Sie Bearbeiten aus.
  6. Nehmen Sie Ihre Änderungen vor, und wählen Sie Überprüfen + speichern aus.
  7. Überprüfen Sie Ihre Änderungen, und wählen Sie Speichern aus.