Condividi tramite


Creare restrizioni per la piattaforma del dispositivo

Si applica a: Android, iOS/iPadOS, macOS, Windows 10, Windows 11

Creare criteri di restrizione per la registrazione della piattaforma per dispositivi per limitare la registrazione dei dispositivi in Intune. Le restrizioni disponibili includono:

  • Piattaforma per i dispositivi
  • Versione sistema operativo
  • Produttore
  • Proprietà (di proprietà personale)

È possibile creare un nuovo criterio di restrizione della piattaforma per dispositivi nell'interfaccia di amministrazione Microsoft Intune o usare i criteri predefiniti già disponibili. È possibile avere fino a 25 criteri di restrizione della piattaforma per dispositivi.

Questo articolo descrive le restrizioni della piattaforma per dispositivi supportate in Microsoft Intune e come configurarle nell'interfaccia di amministrazione.

Controllo dell'accesso basato sui ruoli

Per creare restrizioni per la piattaforma del dispositivo in Microsoft Intune, è necessario essere assegnati come amministratore Intune. Questo ruolo è predefinito per Microsoft Entra ID e può:

  • Creare restrizioni per la piattaforma del dispositivo

  • Modificare le restrizioni della piattaforma del dispositivo

  • Eliminare le restrizioni della piattaforma del dispositivo

  • Ripriritizzare le restrizioni della piattaforma del dispositivo

Tutti gli altri ruoli di Intune predefiniti hanno accesso in sola lettura alle restrizioni della piattaforma del dispositivo. È possibile applicare tag di ambito a una restrizione della piattaforma del dispositivo per limitare ulteriormente l'accesso. Per altre informazioni sul controllo degli accessi in base al ruolo, vedere Controllo degli accessi in base al ruolo con Microsoft Intune.

Criterio predefinito

Microsoft Intune fornisce un criterio predefinito per le restrizioni della piattaforma per dispositivi che è possibile modificare e personalizzare in base alle esigenze. Intune applica i criteri predefiniti a tutte le registrazioni utente e senza utente fino a quando non si assegna un criterio con priorità più alta.

Procedura consigliata - Restrizioni della piattaforma Android

Poiché Intune supporta due piattaforme Android, è importante comprendere come funzionano le restrizioni della versione del sistema operativo quando vengono usate con restrizioni della piattaforma del dispositivo:

  • Se si consentono entrambe le piattaforme per lo stesso gruppo e quindi lo si affina per versioni specifiche e non sovrapposte, Intune esamina la versione per determinare il flusso di registrazione Android che i dispositivi passano attraverso.
  • Se si consentono entrambe le piattaforme, ma si bloccano le stesse versioni, i dispositivi che eseguono versioni bloccate non possono registrarsi. Gli utenti in questi dispositivi vengono inviati tramite il flusso di registrazione dell'amministratore di dispositivi Android prima di essere bloccati e viene richiesto di disconnettersi.

Importante

Microsoft Intune termina il supporto per la gestione dell'amministratore di dispositivi Android nei dispositivi con accesso a Google Mobile Services (GMS) il 31 dicembre 2024. Dopo tale data, la registrazione del dispositivo, il supporto tecnico, le correzioni di bug e le correzioni di sicurezza non saranno disponibili. Se attualmente si usa la gestione dell'amministratore dei dispositivi, è consigliabile passare a un'altra opzione di gestione Android in Intune prima della fine del supporto. Per altre informazioni, vedere Termina il supporto per l'amministratore di dispositivi Android nei dispositivi GMS.

Creare una restrizione della piattaforma del dispositivo

  1. Accedere all'interfaccia di amministrazione Microsoft Intune e passare a Dispositivi.

  2. In Onboarding del dispositivo selezionare Registrazione.

  3. In Opzioni di registrazione selezionare Restrizione della piattaforma del dispositivo.

  4. Selezionare la scheda nella parte superiore della pagina corrispondente alla piattaforma che si sta configurando. Le opzioni disponibili sono:

    • Restrizioni di Windows
    • Restrizioni di Android
    • Restrizioni per macOS
    • Restrizioni per iOS
  5. Selezionare Crea restrizione.

  6. Nella pagina Informazioni di base assegnare alla restrizione un nome e una descrizione facoltativa.

  7. Seleziona Avanti.

  8. Nella pagina Impostazioni piattaforma configurare le restrizioni per la piattaforma selezionata. Le opzioni disponibili sono:

    • Piattaforma (Android): selezionare Consenti per consentire la registrazione di una piattaforma e Blocca per limitarla.

    • MDM (Windows, macOS e iOS/iPadOS): selezionare Consenti per consentire la registrazione di una piattaforma e Blocca per limitarla.

    • Proprietà personale: selezionare Consenti per consentire la registrazione e il funzionamento dei dispositivi come dispositivi personali.

    • Produttore del dispositivo (Android): immettere un elenco delimitato da virgole dei produttori che si desidera bloccare.

    • Consenti intervallo minimo/massimo (Android, Windows, iOS/iPadOS): immettere le versioni minime e massime del sistema operativo consentite per la registrazione. I formati di versione supportati includono:

      • Windows supporta major.minor.build.rev per Windows 10 e Windows 11. Intune non riceve il numero di revisione durante la registrazione, quindi immettere 0 per il numero di revisione.

      • L'amministratore di dispositivi Android e il profilo di lavoro Android Enterprise supportano major.minor.rev.build.

      • iOS/iPadOS supporta major.minor.rev.

        Consiglio

        L'intervallo minimo/massimo non è applicabile ai dispositivi Apple che si registrano con il programma di registrazione dispositivi, Apple School Manager o l'app Apple Configurator. Anche se Intune non blocca le registrazioni ADE che usano Portale aziendale per l'autenticazione, il mancato rispetto dei requisiti del sistema operativo influisce sulla registrazione perché i dispositivi non possono creare il record del dispositivo Microsoft Entra usato per valutare i criteri di accesso condizionale. Si può dire che questo è il caso se un utente del dispositivo riceve un messaggio di errore che dice "Impossibile eseguire il mapping del record del dispositivo con un utente" dopo l'accesso a Portale aziendale.

  9. Seleziona Avanti.

  10. Facoltativamente, aggiungere tag di ambito alla restrizione. Per altre informazioni sui tag di ambito, vedere Usare il controllo degli accessi in base al ruolo e i tag di ambito per l'IT distribuito.

    Nota

    Se si applicano tag di ambito a una restrizione, solo Intune utenti all'interno dell'ambito possono visualizzare e gestire i criteri. Solo gli utenti nell'ambito possono visualizzare e riordinare una restrizione o modificarne il livello di priorità. Possono anche visualizzare la priorità relativa della restrizione, anche se non possono visualizzare tutte le restrizioni.

  11. Seleziona Avanti.

  12. Nella pagina Assegnazioni selezionare Aggiungi gruppi e quindi usare la casella di ricerca per trovare e selezionare gruppi. Per assegnare la restrizione a tutti gli utenti del dispositivo, selezionare Aggiungi tutti gli utenti. Se non si assegna una restrizione ad almeno un gruppo, la restrizione non avrà effetto.

  13. Facoltativamente, dopo aver assegnato i gruppi, selezionare Modifica filtro per limitare ulteriormente l'assegnazione dei criteri con i filtri. I filtri sono disponibili per i criteri macOS, iOS e Windows. Per altre informazioni, vedere Applicare filtri di assegnazione in questo articolo.

  14. Seleziona Avanti.

  15. Esaminare i criteri e quindi selezionare Crea per crearli.

È possibile visualizzare i nuovi criteri di restrizione e accedere alle relative proprietà nella tabella Restrizioni > della piattaforma del dispositivo di registrazioneRestrizioni del tipo di dispositivo. Selezionare e trascinare la restrizione per riposizionarla nella tabella e modificarne la priorità.

Applicare filtri di assegnazione

È possibile usare i filtri di assegnazione per includere ed escludere dispositivi aggiuntivi da determinati criteri di destinazione del gruppo. Le restrizioni di registrazione e i criteri ESP supportano entrambi l'uso dei filtri di assegnazione.

Ad esempio, è possibile usare un filtro per consentire la registrazione dei dispositivi Windows personali durante il blocco dei dispositivi che eseguono uno SKU del sistema operativo specifico. Per ottenere questo risultato, applicare un filtro preconfigurato alle assegnazioni di restrizioni di registrazione. Il filtro deve avere la operatingSystemSKU proprietà nelle regole. Passaggi di esempio:

  1. Creare un criterio di restrizione della registrazione della piattaforma per Windows.
  2. Nelle impostazioni della piattaforma selezionare l'opzione che consente la registrazione dei dispositivi personali.
  3. Nelle impostazioni delle assegnazioni selezionare i gruppi da assegnare.
  4. Selezionare Modifica filtro e quindi applicare il filtro preconfigurato che contiene la operatingSystemSKU proprietà . La proprietà applicata blocca i dispositivi che eseguono Windows 10 Home edizione.

Per altre informazioni sulla creazione di filtri, vedere Creare un filtro.

Nota

L'elaborazione dei filtri di assegnazione durante la registrazione richiede tempo aggiuntivo. L'aggiornamento tra Microsoft Entra e Intune che elabora le assegnazioni di utenti, gruppi e filtri avviene in genere entro 15 minuti. Non è istantaneo. Questa quantità di tempo può influire sulle assegnazioni di registrazione. È consigliabile attendere e registrare i dispositivi diversi minuti dopo l'aggiunta degli utenti di registrazione a un gruppo, non immediatamente dopo.

Proprietà di filtro supportate

Le restrizioni di registrazione supportano meno proprietà di filtro rispetto ad altri criteri di destinazione del gruppo. Questo perché i dispositivi non sono ancora registrati, quindi Intune non dispone delle informazioni sul dispositivo per supportare tutte le proprietà. La selezione limitata di proprietà diventa disponibile quando si:

  • Configurare criteri di restrizione della piattaforma per dispositivi Apple e Windows.
  • Configurare un criterio della pagina dello stato di registrazione (ESP) per Windows.
  • Modificare un filtro in uso in una restrizione di registrazione o in un profilo ESP.

Le proprietà di filtro seguenti sono sempre disponibili per l'uso con i criteri di registrazione:

Windows

iOS/iPadOS e macOS

  • Produttore
  • Modello
  • Versione sistema operativo
  • Ownership
  • Nome del profilo di registrazione

Per altre informazioni su queste proprietà, vedere Proprietà del dispositivo. I filtri non possono essere usati con restrizioni di registrazione Android.

Modificare le restrizioni di registrazione

Le modifiche vengono applicate alle nuove registrazioni e non influiscono sui dispositivi già registrati.

  1. Tornare allaregistrazionedei dispositivi>.
  2. Selezionare Restrizioni della piattaforma del dispositivo e quindi selezionare la piattaforma del sistema operativo a cui appartiene la restrizione.
  3. Nella tabella Restrizioni tipo di dispositivo selezionare il nome dei criteri da modificare.
  4. Selezionare Proprietà.
  5. Selezionare Modifica.
  6. Apportare le modifiche e selezionare Rivedi e salva.
  7. Esaminare le modifiche e selezionare Salva.