在 Intune 中创建设备限制

适用对象

• Android
• iOS
• macOS
• Windows 10
• Windows 11

创建设备限制注册限制策略，以限制用户可以注册Microsoft Intune的设备数。 设备限制适用于满足以下条件的设备：

• Microsoft Intune托管
• 过去 90 天内与 Intune 建立联系的
• 未处于未注册状态超过 24 小时
• Apple 注册失败
• 尚未从 Microsoft Intune 中删除
• 注册类型不处于共享模式下（请参阅 DeviceCountsForDeviceCap 获取详细信息）

可以在Microsoft Intune管理中心创建新的设备限制注册限制策略，也可以使用已提供的默认策略。 最多可以有 25 个设备限制策略。

本文介绍如何在管理中心中创建和配置设备限制注册限制策略。

默认策略

Microsoft Intune为设备限制提供了一个默认策略，你可以根据需要对其进行编辑和自定义。 Intune将默认策略应用于所有用户注册和无用户注册，直到分配更高的优先级策略。

基于角色的访问控制

若要在 Microsoft Intune 中创建设备限制限制，必须分配为Intune服务管理员。 此角色内置于Microsoft Entra ID，可以：

• 创建设备限制

• 编辑设备限制

• 删除设备限制

• 重新设置设备限制的优先级

其他内置Intune角色对设备限制具有只读访问权限。 如果曾经向用户分配了允许他们管理设备限制的自定义权限，则这些权限现在仅限于只读访问权限。 可以将范围标记应用于设备限制，以进一步限制访问。 有关基于角色的访问控制 (RBAC) 的详细信息，请参阅 RBAC with Microsoft Intune。

创建设备限制

1. 登录到 Microsoft Intune 管理中心。
2. 转到 “设备>注册”。
3. 选择 “Windows”、“ Apple”或“ Android ”选项卡。
4. 选择“ 设备限制”。
5. 选择 “创建限制”。
6. 在“基本信息”页上，为限制提供 名称 和可选 说明。
7. 选择“下一步”，转到“设备限制”页。
8. 对于“设备限制”，选择用户可以注册的最大设备数量。
9. 选择“下一步”，以转到“作用域标记”页。
10. 在“作用域标记”页上，可选择添加要应用到此限制的作用域标记。 有关范围标记的详细信息，请参阅 为分布式 IT 使用基于角色的访问控制和范围标记。
11. 选择“下一步”，转到“分配”页。
12. 选择“选择要包含的组”，然后使用搜索框找到想要此限制包含的组。 限制仅适用于它分配到的组。 如果未向至少一个组分配限制，则限制将不会产生任何影响。 然后选择 选择。
13. 选择“下一步”，以转到“查看 + 创建”页。
14. 选择“创建”以创建限制。 新限制显示在限制列表中，其优先级高于默认策略。 有关更改优先级的信息，请参阅本文) 中的 更改限制优先级 (。

编辑注册限制

编辑将应用于新注册，不会影响已注册的设备。

1. 转到 “设备限制限制 ”，查看限制列表。
2. 选择要更改的限制的名称。
3. 选择“属性”。
4. 选择“编辑”。
5. 进行更改，然后选择“ 查看 + 保存”。
6. 查看更改并选择“ 保存”。

更改注册限制优先级

为组分配多个限制时，优先级将确定应用的策略。 最高优先级（1 是最高优先级）的限制，而忽略其他限制。 例如：

1. Joe 属于 Intune 中的两个用户组：A 组和 B 组。
2. A 组分配的限制策略。 优先级为 5。
3. B 组也分配了限制策略。 优先级为 2。
4. Joe 仅受优先级为 2 的限制约束。

创建限制时，限制将添加到刚好超出默认值的列表中。 可更改任何非默认限制的优先级。

1. 转到 “设备限制”。
2. 选择“ 设备限制” 以显示策略列表。
3. 将鼠标悬停在 “优先级 ”列中的策略上，然后选择该优先级并将其拖动到列表中的所需位置。

设备用户体验

在注册期间，达到其设备限制的 BYOD 用户会收到一条消息，说明该限制。 若要继续注册，设备用户必须取消注册现有设备。 或者，作为管理员，你可以在管理中心提高设备限制。 有关此类注册错误疑难解答的详细信息，请参阅设备注册疑难解答。