ניהול הגדרות גישה למכשירים ב'ניידות ואבטחה בסיסיות'
אם אתה משתמש ב-Basic Mobility and Security, ייתכן שיש מכשירים שלא תוכל לנהל באמצעות Basic Mobility and Security. אם כן, עליך לחסום את הגישה של אפליקציית Exchange ActiveSync לדואר אלקטרוני של Microsoft 365 עבור מכשירים ניידים שאינם נתמכים על-ידי Basic Mobility and Security. חסימת הגישה ליישום Exchange ActiveSync עוזרת לאבטח את מידע הארגון שלך במכשירים נוספים.
השתמש בשלבים אלה:
היכנס ל- Microsoft 365 באמצעות חשבון מנהל תאימות.
בדפדפן, הקלד: https://compliance.microsoft.com/basicmobilityandsecurity.
עבור אל הכרטיסיה הגדרות ארגון.
בחר הגבלת Access עבור מכשיר MDM שאינו נתמך וודא שהאפשרות אפשר גישה (נדרשת הרשמה למכשיר) נבחרה.
כדי ללמוד באילו מכשירים 'ניידות ואבטחה בסיסיות' תומכת, ראה יכולות ניידות ואבטחה בסיסיות.
קבל פרטים אודות מכשירים מנוהלים בסיסיים של ניידות ואבטחה
בנוסף, באפשרותך להשתמש ב- Microsoft Graph PowerShell כדי לקבל פרטים אודות המכשירים בארגון שלך שאתה מגדיר עבור ניידות ואבטחה בסיסיות.
להלן פירוט של פרטי המכשיר הזמינים עבורך.
פרט | מה לחפש ב- PowerShell |
---|---|
המכשיר רשום ב-Basic Mobility and Security. לקבלת מידע נוסף, ראה רישום המכשיר הנייד שלך באמצעות 'ניידות ואבטחה בסיסיות' | הערך של הפרמטר isManaged הוא: True= המכשיר רשום. False= המכשיר אינו רשום. |
המכשיר תואם למדיניות האבטחה של המכשיר שלך. לקבלת מידע נוסף, ראה יצירת מדיניות אבטחה של מכשירים | הערך של הפרמטר isCompliant הוא: True = המכשיר תואם למדיניות. False = המכשיר אינו תואם למדיניות. |
הערה
הפקודות וקובץ ה- Script שלאחריהם מחזירים גם פרטים על כל המכשירים המנוהלות על-ידי Microsoft Intune.
להלן כמה דברים שעליך להגדיר כדי להפעיל את הפקודות ואת קבצי ה- Script הבאים:
שלב 1: הורדה והתקנה של ערכת SDK של Microsoft Graph PowerShell
לקבלת מידע נוסף על שלבים אלה, ראה התחברות ל- Microsoft 365 באמצעות PowerShell.
התקן את Microsoft Graph PowerShell SDK עבור Windows PowerShell באמצעות השלבים הבאים:
פתח שורת פקודה של PowerShell ברמת מנהל המערכת.
הפעל את הפקודה הבאה:
Install-Module Microsoft.Graph -Scope AllUsers
אם תתבקש להתקין את ספק NuGet, הקלד Y והקש ENTER.
אם תתבקש להתקין את המודול מ- PSGallery, הקלד Y והקש ENTER.
לאחר ההתקנה, סגור את חלון הפקודה של PowerShell.
שלב 2: התחברות למנוי Microsoft 365 שלך
בחלון Powershell, הפעל את הפקודה הבאה.
Connect-MgGraph -Scopes Device.Read.All, User.Read.All
חלון מוקפץ ייפתח כדי שתוכל להיכנס. ספק את האישורים של חשבון הניהול שלך והיכנס.
אם החשבון שלך כולל את ההרשאות הנחוצות, תראה "ברוך הבא אל Microsoft Graph!" בחלון Powershell.
שלב 3: ודא שאתה מצליח להפעיל קבצי Script של PowerShell
הערה
באפשרותך לדלג על שלב זה אם אתה כבר מוגדר להפעלת קבצי Script של PowerShell.
כדי להפעיל את קובץ הGet-GraphUserDeviceComplianceStatus.ps1 Script של PowerShell, עליך להפוך את ההפעלה של קבצי Script של PowerShell לזמינה.
בשולחן העבודה של Windows, בחר התחל ולאחר מכן הקלד Windows PowerShell. לחץ באמצעות לחצן העכבר הימני על Windows PowerShell ולאחר מכן בחר הפעל כמנהל מערכת.
הפעל את הפקודה הבאה:
Set-ExecutionPolicy RemoteSigned
כאשר תתבקש, הקלד Y ולאחר מכן הקש Enter.
הפעל את Get-MgDevice cmdlet הבא כדי להציג פרטים עבור כל המכשירים בארגון שלך
פתח את מודול Microsoft Azure Active Directory עבור Windows PowerShell.
הפעל את הפקודה הבאה:
Get-MgDevice -All -ExpandProperty "registeredOwners" | Where-Object {($_.RegisteredOwners -ne $null) -and ($_.RegisteredOwners.Count -gt 0)}
לקבלת דוגמאות נוספות, ראה Get-MgDevice.
הפעל קובץ Script כדי לקבל פרטי מכשיר
תחילה, שמור את קובץ ה- Script במחשב שלך.
העתק והדבק את הטקסט הבא ב'פנקס רשימות'.
param ( [Parameter(Mandatory = $false)] [PSObject[]]$users = @(), [Parameter(Mandatory = $false)] [Switch]$export, [Parameter(Mandatory = $false)] [String]$exportFileName = "UserDeviceOwnership_" + (Get-Date -Format "yyMMdd_HHMMss") + ".csv", [Parameter(Mandatory = $false)] [String]$exportPath = [Environment]::GetFolderPath("Desktop") ) #Clearing the screen Clear-Host #Preparing the output object $deviceOwnership = @() if ($users.Count -eq 0) { Write-Output "No user has been provided, gathering data for all devices in the tenant" #Getting all Devices and their registered owners $devices = Get-MgDevice -All -Property * -ExpandProperty registeredOwners #For each device which has a registered owner, extract the device data and the registered owner data foreach ($device in $devices) { $DeviceOwners = $device | Select-Object -ExpandProperty 'RegisteredOwners' #Checking if the DeviceOwners Object is empty if ($DeviceOwners -ne $null) { foreach ($DeviceOwner in $DeviceOwners) { $OwnerDictionary = $DeviceOwner.AdditionalProperties $OwnerDisplayName = $OwnerDictionary.Item('displayName') $OwnerUPN = $OwnerDictionary.Item('userPrincipalName') $OwnerID = $deviceOwner.Id $deviceOwnership += [PSCustomObject]@{ DeviceDisplayName = $device.DisplayName DeviceId = $device.DeviceId DeviceOSType = $device.OperatingSystem DeviceOSVersion = $device.OperatingSystemVersion DeviceTrustLevel = $device.TrustType DeviceIsCompliant = $device.IsCompliant DeviceIsManaged = $device.IsManaged DeviceObjectId = $device.Id DeviceOwnerID = $OwnerID DeviceOwnerDisplayName = $OwnerDisplayName DeviceOwnerUPN = $OwnerUPN ApproximateLastLogonTimestamp = $device.ApproximateLastSignInDateTime } } } } } else { #Checking that userid is present in the users object Write-Output "List of users has been provided, gathering data for all devices owned by the provided users" foreach ($user in $users) { $devices = Get-MgUserOwnedDevice -UserId $user.Id -Property * foreach ($device in $devices) { $DeviceHashTable = $device.AdditionalProperties $deviceOwnership += [PSCustomObject]@{ DeviceId = $DeviceHashTable.Item('deviceId') DeviceOSType = $DeviceHashTable.Item('operatingSystem') DeviceOSVersion = $DeviceHashTable.Item('operatingSystemVersion') DeviceTrustLevel = $DeviceHashTable.Item('trustType') DeviceDisplayName = $DeviceHashTable.Item('displayName') DeviceIsCompliant = $DeviceHashTable.Item('isCompliant') DeviceIsManaged = $DeviceHashTable.Item('isManaged') DeviceObjectId = $device.Id DeviceOwnerUPN = $user.UserPrincipalName DeviceOwnerID = $user.Id DeviceOwnerDisplayName = $user.DisplayName ApproximateLastLogonTimestamp = $DeviceHashTable.Item('approximateLastSignInDateTime') } } } } $deviceOwnership if ($export) { $exportFile = Join-Path -Path $exportPath -ChildPath $exportFileName $deviceOwnership | Export-Csv -Path $exportFile -NoTypeInformation Write-Output "Data has been exported to $exportFile" }
שמור אותו כקובץ Script של Windows PowerShell באמצעות סיומת הקובץ ".ps1". לדוגמה, Get-MgGraphDeviceOwnership.ps1.
הערה
קובץ ה- Script זמין גם להורדה ב- Github.
הפעל את קובץ ה- Script כדי לקבל פרטי מכשיר עבור חשבון משתמש יחיד
פתח את Powershell.
עבור אל התיקיה שבה שמרת את קובץ ה- Script. לדוגמה, אם שמרת אותו ב- C:\PS-Scripts, הפעל את הפקודה הבאה.
cd C:\PS-Scripts
הפעל את הפקודה הבאה כדי לזהות את המשתמש שעבורו ברצונך לקבל פרטי מכשיר. דוגמה זו מקבלת פרטים עבור user@contoso.com.
$user = Get-MgUser -UserId "user@contoso.com"
הפעל את הפקודה הבאה כדי להפעיל את קובץ ה- Script.
.\Get-GraphUserDeviceComplianceStatus.ps1 -users $user -Export
המידע מיוצא לשולחן העבודה של Windows כקובץ CSV. באפשרותך לציין את שם הקובץ ואת הנתיב של ה- CSV.
הפעל את קובץ ה- Script כדי לקבל פרטי מכשיר עבור קבוצת משתמשים
פתח את Powershell.
עבור אל התיקיה שבה שמרת את קובץ ה- Script. לדוגמה, אם שמרת אותו ב- C:\PS-Scripts, הפעל את הפקודה הבאה.
cd C:\PS-Scripts
הפעל את הפקודה הבאה כדי לזהות את הקבוצה שעבורה ברצונך לקבל פרטי מכשיר. דוגמה זו מקבלת פרטים עבור משתמשים בקבוצה FinanceStaff.
$groupId = Get-MgGroup -Filter "displayName eq 'FinanceStaff'" | Select-Object -ExpandProperty Id $Users = Get-MgGroupMember -GroupId $groupId | Select-Object -ExpandProperty Id | % { Get-MgUser -UserId $_ }
הפעל את הפקודה הבאה כדי להפעיל את קובץ ה- Script.
.\Get-GraphUserDeviceComplianceStatus.ps1 -User $Users -Export
המידע מיוצא לשולחן העבודה של Windows כקובץ CSV. באפשרותך להשתמש בפרמטרים נוספים כדי לציין את שם הקובץ ואת הנתיב של ה- CSV.
תוכן קשור
מבט כולל על ניידות ואבטחה בסיסיות