Správa identit zařízení pomocí Azure Portal

Azure Active Directory (Azure AD) poskytuje centrální místo pro správu identit zařízení a monitorování souvisejících informací o událostech.

Snímek obrazovky s přehledem zařízení v Azure Portal

K přehledu zařízení se dostanete provedením těchto kroků:

  1. Přihlaste se k webu Azure Portal.
  2. Přejděte naZařízeníAzure Active Directory>.

V přehledu zařízení můžete zobrazit celkový počet zařízení, zastaralých zařízení, nevyhovujících zařízení a nespravovaných zařízení. Najdete zde také odkazy na Intune, podmíněný přístup, klíče nástroje BitLocker a základní monitorování.

Počty zařízení na stránce přehledu se neaktualizuje v reálném čase. Změny by se měly promítat každých několik hodin.

Odtud můžete přejít na Všechna zařízení , abyste:

  • Identifikovat zařízení, mezi která patří:
    • Zařízení, která byla připojena nebo registrována ve službě Azure AD.
    • Zařízení nasazená přes Windows Autopilot.
    • Tiskárny, které používají Univerzální tisk.
  • Proveďte úlohy správy identit zařízení, jako je povolení, zakázání, odstranění a správa.
    • Možnosti správy pro tiskárny a Windows Autopilot jsou v Azure AD omezené. Tato zařízení musí být spravovaná z příslušných rozhraní pro správu.
  • Konfigurovat nastavení identity zařízení.
  • Povolte nebo zakažte enterprise state roaming.
  • Kontrolovat protokoly auditu související se zařízením.
  • Stáhněte si zařízení.

Snímek obrazovky se zobrazením Všechna zařízení v Azure Portal

Tip

  • Hybridní Azure AD připojená Windows 10 nebo novější zařízení nemají vlastníka. Pokud hledáte zařízení podle vlastníka a nenajdete ho, vyhledejte ho podle ID zařízení.

  • Pokud se ve sloupci Zaregistrované zobrazí zařízení s hybridním Azure AD připojeno se stavem Čeká na vyřízení, bylo zařízení synchronizováno z Azure AD připojení a čeká na dokončení registrace z klienta. Viz Plánování implementace hybridního Azure AD připojení. Další informace najdete v tématu Nejčastější dotazy ke správě zařízení.

  • U některých zařízení s iOSem můžou názvy zařízení obsahující apostrofy používat různé znaky, které vypadají jako apostrofy. Takže hledání takových zařízení je trochu složité. Pokud nevidíte správné výsledky hledání, ujistěte se, že hledaný řetězec obsahuje odpovídající znak apostrofu.

Správa Intune zařízení

Pokud máte oprávnění ke správě zařízení v Intune, můžete spravovat zařízení, pro která je správa mobilních zařízení uvedená jako Microsoft Intune. Pokud zařízení není zaregistrované v Microsoft Intune, nebude možnost Spravovat dostupná.

Povolení nebo zakázání Azure AD zařízení

Existují dva způsoby, jak povolit nebo zakázat zařízení:

  • Panel nástrojů na stránce Všechna zařízení po výběru jednoho nebo více zařízení.
  • Panel nástrojů po přechodu k podrobnostem pro konkrétní zařízení

Důležité

  • Pokud chcete povolit nebo zakázat zařízení, musíte být globálním správcem, správcem Intune nebo správcem cloudových zařízení v Azure AD.
  • Zakázání zařízení zabrání jeho ověřování prostřednictvím Azure AD. Zabráníte tak přístupu k prostředkům Azure AD, které jsou chráněné podmíněným přístupem na základě zařízení, a v používání přihlašovacích údajů Windows Hello pro firmy.
  • Zakázáním zařízení se odvolá primární obnovovací token (PRT) a všechny obnovovací tokeny v zařízení.
  • Tiskárny nelze v Azure AD povolit ani zakázat.

Odstranění zařízení Azure AD

Existují dva způsoby, jak odstranit zařízení:

  • Panel nástrojů na stránce Všechna zařízení po výběru jednoho nebo více zařízení.
  • Panel nástrojů po přechodu k podrobnostem pro konkrétní zařízení

Důležité

  • Pokud chcete odstranit zařízení, musíte být správcem cloudových zařízení, správcem Intune, správcem Windows 365 nebo globálním správcem v Azure AD.
  • Tiskárny a zařízení Windows Autopilot nejde v Azure AD odstranit.
  • Odstranění zařízení:
    • Zabrání mu v přístupu k prostředkům Azure AD.
    • Odebere všechny podrobnosti připojené k zařízení. Například klíče Nástroje BitLocker pro zařízení s Windows.
    • Jedná se o nerekalizovatelnou aktivitu. Nedoporučujeme ho, pokud není potřeba.

Pokud zařízení spravuje jiná autorita pro správu, například Microsoft Intune, před odstraněním se ujistěte, že je vymazané nebo vyřazené. Viz Správa zastaralých zařízení před odstraněním zařízení.

Zobrazení nebo zkopírování ID zařízení

ID zařízení můžete použít k ověření podrobností o ID zařízení na zařízení nebo k řešení potíží prostřednictvím PowerShellu. Pokud chcete získat přístup k možnosti kopírování, vyberte zařízení.

Snímek obrazovky s ID zařízení a tlačítkem pro kopírování

Zobrazení nebo kopírování klíčů nástroje BitLocker

Pokud chcete uživatelům umožnit obnovení šifrovaných jednotek, můžete zobrazit a zkopírovat klíče nástroje BitLocker. Tyto klíče jsou dostupné jenom pro zařízení s Windows, která jsou šifrovaná a ukládají klíče v Azure AD. Tyto klíče najdete při zobrazení podrobností o zařízení výběrem možnosti Zobrazit obnovovací klíč. Výběrem možnosti Zobrazit obnovovací klíč se vygeneruje protokol auditu, který najdete v KeyManagement kategorii.

Snímek obrazovky, který ukazuje, jak zobrazit klíče nástroje BitLocker

Pokud chcete zobrazit nebo zkopírovat klíče nástroje BitLocker, musíte být vlastníkem zařízení nebo mít jednu z těchto rolí:

  • Správce cloudových zařízení
  • Globální správce
  • Správce helpdesku
  • Správce služby Intune
  • Správce zabezpečení
  • Čtenář zabezpečení

Blokovat uživatelům zobrazení klíčů nástroje BitLocker (Preview)

V této verzi Preview můžou správci blokovat samoobslužný přístup ke klíči Nástroje BitLocker registrovanému vlastníkovi zařízení. Výchozí uživatelé bez oprávnění bitlockeru ke čtení nebudou moct zobrazit nebo zkopírovat své klíče BitLockeru pro svá vlastněná zařízení.

Zakázání nebo povolení samoobslužného obnovení nástroje BitLocker:

Connect-MgGraph -Scopes Policy.ReadWrite.Authorization
$authPolicyUri = "https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy"
$body = @{
    defaultUserRolePermissions = @{
        allowedToReadBitlockerKeysForOwnedDevice = $false #Set this to $true to allow BitLocker self-service recovery
    }
}| ConvertTo-Json
Invoke-MgGraphRequest -Uri $authPolicyUri -Method PATCH -Body $body
# Show current policy setting
$authPolicy = Invoke-MgGraphRequest -Uri $authPolicyUri
$authPolicy.defaultUserRolePermissions

Zobrazení a filtrování zařízení (Preview)

V tomto náhledu máte možnost nekonečně se posouvat, měnit pořadí sloupců a vybírat všechna zařízení. Seznam zařízení můžete filtrovat podle těchto atributů zařízení:

  • Stav Povoleno
  • Stav vyhovující předpisům
  • Typ připojení (Azure AD join, hybrid Azure AD join, Azure AD registered)
  • Časové razítko aktivity
  • Operační systém
  • Typ zařízení (tiskárna, zabezpečený virtuální počítač, sdílené zařízení, registrované zařízení)
  • MDM
  • Atributy rozšíření
  • Jednotka pro správu
  • Vlastník

Povolení náhledu v zobrazení Všechna zařízení :

  1. Přihlaste se k webu Azure Portal.
  2. Přejděte naZařízení>Azure Active Directory>Všechna zařízení.
  3. Vyberte tlačítko Funkce ve verzi Preview .
  4. Zapněte přepínač s textem Rozšířené prostředí seznamu zařízení. Vyberte Použít.
  5. Aktualizujte si stránku v prohlížeči.

Teď můžete vyzkoušet vylepšené zobrazení Všechna zařízení .

Stažení zařízení

Globální čtenáři, správci cloudových zařízení, správci Intune a globální správci můžou použít možnost Stáhnout zařízení k exportu souboru CSV se seznamem zařízení. Pomocí filtrů můžete určit, která zařízení se mají vypsat. Pokud nepoužijete žádné filtry, zobrazí se seznam všech zařízení. Úloha exportu může v závislosti na vašem výběru běžet až hodinu. Pokud úloha exportu překročí 1 hodinu, selže a výstupem není žádný soubor.

Exportovaný seznam obsahuje tyto atributy identity zařízení:

accountEnabled, approximateLastLogonTimeStamp, deviceOSType, deviceOSVersion, deviceTrustType, dirSyncEnabled, displayName, isCompliant, isManaged, lastDirSyncTime, objectId, profileType, registeredOwners, systemLabels, registrationTime, mdmDisplayName

Konfigurace nastavení zařízení

Pokud chcete spravovat identity zařízení pomocí Azure Portal, musí být zařízení zaregistrovaná nebo připojená k Azure AD. Jako správce můžete řídit proces registrace a připojování zařízení konfigurací následujících nastavení zařízení.

Pokud chcete zobrazit nebo spravovat nastavení zařízení v Azure Portal, musíte mít přiřazenou jednu z následujících rolí:

  • Globální správce
  • Správce cloudových zařízení
  • Globální čtenář
  • Čtenář adresářů

Snímek obrazovky znázorňující nastavení zařízení související s Azure AD

  • Uživatelé můžou zařízení připojit k Azure AD: Toto nastavení umožňuje vybrat uživatele, kteří můžou registrovat svá zařízení jako Azure AD připojená zařízení. Výchozí hodnota je Vše.

    Poznámka

    Nastavení Uživatelé můžou připojit zařízení k Azure AD platí jenom pro Azure AD připojení v Windows 10 nebo novějších. Toto nastavení se nevztahuje na hybridní Azure AD připojená zařízení, Azure AD připojené virtuální počítače v Azure ani Azure AD připojená zařízení, která používají režim automatického nasazení Windows Autopilotu, protože tyto metody fungují v kontextu bez uživatelů.

  • Další místní správci na zařízeních připojených k Azure AD: Toto nastavení umožňuje vybrat uživatele, kteří mají na zařízení udělená práva místního správce. Tito uživatelé se přidají do role Správci zařízení v Azure AD. Globální správci v Azure AD a vlastníci zařízení mají ve výchozím nastavení udělená práva místního správce. Tato možnost je dostupná prostřednictvím produktů, jako jsou Azure AD Premium a Enterprise Mobility + Security.

  • Uživatelé si můžou zaregistrovat svá zařízení v Azure AD: Toto nastavení musíte nakonfigurovat tak, aby uživatelé mohli registrovat Windows 10 nebo novější osobní zařízení, zařízení s iOSem, Androidem a macOS s Azure AD. Pokud vyberete Možnost Žádné, zařízení se nebudou moct registrovat v Azure AD. Registrace pomocí Microsoft Intune nebo správy mobilních zařízení pro Microsoft 365 vyžaduje registraci. Pokud jste nakonfigurovali některou z těchto služeb, je vybraná možnost ALL (VŠE) a none (ŽÁDNÁ) není k dispozici.

  • Vyžadovat vícefaktorové ověřování k registraci nebo připojení zařízení s Azure AD:

    • K vynucení vícefaktorového ověřování doporučujeme organizacím použít akci uživatele Zaregistrovat nebo připojit zařízení v podmíněném přístupu. Pokud používáte zásady podmíněného přístupu k vyžadování vícefaktorového ověřování, musíte tento přepínač nakonfigurovat na Ne .
    • Toto nastavení umožňuje určit, jestli mají uživatelé k připojení nebo registraci svých zařízení k Azure AD zadat další ověřovací faktor. Výchozí hodnota je Ne. Při registraci nebo připojení zařízení doporučujeme vyžadovat vícefaktorové ověřování. Před povolením vícefaktorového ověřování pro tuto službu musíte zajistit, aby bylo vícefaktorové ověřování nakonfigurováno pro uživatele, kteří registrují svá zařízení. Další informace o službě Azure AD Multi-Factor Authentication najdete v tématu Začínáme se službou Azure AD Multi-Factor Authentication. Toto nastavení nemusí fungovat se zprostředkovateli identity třetích stran.

    Poznámka

    Nastavení Vyžadovat vícefaktorové ověřování k registraci nebo připojení zařízení s Azure AD platí pro zařízení, která jsou připojená Azure AD (s některými výjimkami) nebo Azure AD zaregistrovaná. Toto nastavení se nevztahuje na hybridní Azure AD připojená zařízení, Azure AD připojené virtuální počítače v Azure ani Azure AD zařízení připojená k systému Windows, která používají režim automatického nasazení Windows Autopilotu.

  • Maximální počet zařízení: Toto nastavení umožňuje vybrat maximální počet Azure AD připojených nebo Azure AD registrovaných zařízení, která může uživatel mít v Azure AD. Pokud uživatelé tohoto limitu dosáhnou, nebudou moct přidat další zařízení, dokud se neodebere jedno nebo více stávajících zařízení. Výchozí hodnota je 50. Hodnotu můžete zvýšit až na 100. Pokud zadáte hodnotu vyšší než 100, Azure AD ji nastaví na 100. Pomocí možnosti Unlimited můžete také vynutit žádné jiné omezení než existující limity kvót.

    Poznámka

    Nastavení Maximální počet zařízení platí pro zařízení, která jsou připojená Azure AD nebo Azure AD zaregistrovaná. Toto nastavení se nevztahuje na zařízení připojená k hybridním Azure AD.

  • Enterprise State Roaming: Informace o tomto nastavení najdete v článku s přehledem.

Protokoly auditu

Aktivity zařízení se zobrazují v protokolech aktivit. Tyto protokoly zahrnují aktivity aktivované službou registrace zařízení a uživateli:

  • Vytvoření zařízení a přidání vlastníků/uživatelů na zařízení
  • Změny nastavení zařízení
  • Operace zařízení, jako je odstranění nebo aktualizace zařízení

Vstupním bodem k datům auditování jsou protokoly auditu v části Aktivita na stránce Zařízení .

Protokol auditování má výchozí zobrazení seznamu, které zobrazuje:

  • Datum a čas výskytu.
  • Cíle.
  • Iniciátor/aktér aktivity.
  • Aktivita.

Snímek obrazovky znázorňující tabulku v části Aktivita na stránce Zařízení Tabulka zobrazuje datum, cíl, objekt actor a aktivitu pro čtyři protokoly auditu.

Zobrazení seznamu můžete přizpůsobit výběrem možnosti Sloupce na panelu nástrojů:

Snímek obrazovky znázorňující panel nástrojů stránky Zařízení

Pokud chcete vykazované údaje snížit na úroveň, která vám vyhovuje, můžete je filtrovat pomocí těchto polí:

  • Kategorie
  • Typ prostředku aktivity
  • Aktivita
  • Rozsah dat
  • Cíl
  • Zahájil (aktér)

Můžete také vyhledat konkrétní položky.

Snímek obrazovky znázorňující ovládací prvky filtrování dat auditu

Další kroky