今天这一篇简短的文章,将演示如何限制哪些Windows 10用户可以使用Microsoft Intune加入Azure AD。
Intune或Azure Active Directory并未为此提供现成的解决方案,但是使用自定义的Intune配置文件,我们可以完成此工作。
我的第一个想法是使用配置服务提供的程序(CSP)策略ConfigureGroupMembership从内置用户组中删除经过身份验证的用户,然后将允许登录到该设备的Azure AD用户添加到用户组中。我成功删除了“身份验证用户”并添加了AAD用户,但其他用户仍可以登录到该设备。
在这里,我通过使用CSP策略AllowLocalLogon(本地登录用户权限)将登录权限限制为仅本地帐户。
经过一些测试,我能够将多个Azure AD帐户添加到AllowLocalLogon设置,该设置禁止其他用户登录Windows设备。
配置自定义配置配置文件
为了达到所需的限制,我们使用CSP策略AllowLocalLogon。要将策略设置部署到Intune托管设备,我们需要使用“自定义配置”配置文件。
- 登录到Endpoint Manager管理中心
- 浏览到 设备 – Windows
- 在“配置文件配置文件”选项卡上,单击+创建配置文件
选择 Windows 10及更高版本 作为平台
选择“ 自定义” 作为配置文件类型
点击创建
为配置文件 命名
输入 描述 (可选)
点击设置标签
点击添加
创建OMA-URI所需的信息和其他信息可以在Microsoft Docs上找到。
在值字段中,我们需要输入允许登录设备的帐户。将帐户放在<![CDATA [和]]>之间以具有正确的格式。
当您添加多个帐户时,这些帐户之间用&#xF000;分隔。
在政策中输入以下信息;
名称:UserRights – AllowLocalLogOn
OMA-URI:./ Device/Vendor/MSFT/Policy/Config/UserRights /AllowLocalLogOn
数据类型:字符串
值:
<![CDATA [Administrators&#xF000; AzureAD \ demo.user@peterklapwijk.com ; AzureAD \ demo.user02@peterklapwijk.com]]>
单击确定(两次),然后单击创建。
将配置文件分配给安全组,即可进行测试。
最终用户体验
一旦将策略应用到设备,我们就可以在MDMDiagnostics日志中看到设置已成功应用。
并且当用户尝试登录Windows 10设备(未授予其本地登录用户权限(AllowLocalLogOn))时,将被禁止并收到此错误消息。
您尝试使用的登录方法是不允许的。有关更多信息,请与您的网络管理员联系。
注意:在Endpoint Manager管理中心中,即使策略成功应用,该策略也会显示错误状态。
