Intune - 通过Windows公司标识符阻止非公司设备注册
之前 gOxiA 分享了“Intune - Windows 公司设备标识符”,通过收集 Windows 设备的制造商(Manufacturer)、型号(Model)和序列号(SerialNumber),可将其添加至 Windows 公司标识符,以标注该设备属于公司拥有的。
当我们完成 Windows 公司标识符的添加后,可以配置“设备 - 注册 - 设备平台限制”策略,将 “Windows (MDM)” 的 “个人拥有” 改为 “阻止”,这样一来当用户使用非公司拥有的设备或个人设备在 OOBE 阶段通过公司账号(M365)登录和配置时将提示“80180014”错误,从而有效的阻止了非授权或不合规的设备加入到公司环境,避免了组织资源和数据的泄露风险。
需要注意的是 Windows 公司标识符仅受 Windows 10 的2024年6月累计更新及以上版本,或 Windows 11 的204年3月累计更新及以上版本支持。
如果当前组织无法为设备进行 Windows Autopilot 设备注册,那么可以考虑利用 Windows 公司标识符和 Windows Autopilot device preparation 方案来实现,尤其是在使用 21v 租户和使用 Windows 11 的组织。Windows Autopilot device preparation 的过程可参考下面的 Demo 视频。
https://weibo.com/tv/show/1034:5056036852138048
https://www.youtube.com/watch?v=73vOVzd-bhg
推荐官方文档:
Understand Intune and Microsoft Entra device limit restrictions | Microsoft Learn
