Instellingen voor apparaattoegang beheren in Basismobiliteit en -beveiliging

Als u Basismobiliteit en -beveiliging gebruikt, zijn er mogelijk apparaten die u niet kunt beheren met Basismobiliteit en -beveiliging. Als dit het geval is, moet u Exchange ActiveSync app-toegang tot Microsoft 365-e-mail blokkeren voor mobiele apparaten die niet worden ondersteund door Basismobiliteit en -beveiliging. Dit helpt uw organisatiegegevens op meer apparaten te beveiligen.

Voer de volgende stappen uit:

  1. Meld u aan bij Microsoft 365 met uw globale beheerdersaccount.

  2. Typ in uw browser: https://compliance.microsoft.com/basicmobilityandsecurity.

  3. Ga naar het tabblad Organisatie-instelling .

  4. Selecteer Toegangsbeperking voor niet-ondersteund MDM-apparaat en zorg ervoor dat Toegang toestaan (apparaatinschrijving is vereist) is geselecteerd.

Zie Mogelijkheden van Basismobiliteit en -beveiliging voor meer informatie over welke apparaten Basismobiliteit en -beveiliging ondersteunt.

Meer informatie over Basismobiliteit en -beveiliging beheerde apparaten

Daarnaast kunt u Microsoft Graph PowerShell gebruiken om details te krijgen over de apparaten in uw organisatie die u hebt ingesteld voor Basismobiliteit en -beveiliging.

Hier volgt een uitsplitsing van de apparaatgegevens die voor u beschikbaar zijn.

Details Wat u moet zoeken in PowerShell
Het apparaat is ingeschreven bij Basismobiliteit en -beveiliging. Zie Uw mobiele apparaat inschrijven met behulp van Basismobiliteit en -beveiliging voor meer informatie De waarde van de parameter isManaged is:
True= apparaat is ingeschreven.
False= apparaat is niet ingeschreven.
Het apparaat voldoet aan het beveiligingsbeleid van uw apparaat. Zie Apparaatbeveiligingsbeleid maken voor meer informatie De waarde van de parameter isCompliant is:
Waar = apparaat voldoet aan het beleid.
Onwaar = apparaat voldoet niet aan het beleid.

Basismobiliteit en -beveiliging PowerShell-parameters.

Opmerking

De opdrachten en scripts die volgen, retourneren ook details over alle apparaten die worden beheerd door Microsoft Intune.

Hier volgen enkele dingen die u moet instellen om de volgende opdrachten en scripts uit te voeren:

Stap 1: De Microsoft Graph PowerShell SDK downloaden en installeren

Zie Verbinding maken met Microsoft 365 met PowerShell voor meer informatie over deze stappen.

  1. Installeer de Microsoft Graph PowerShell SDK voor Windows PowerShell met de volgende stappen:

    1. Open een PowerShell-opdrachtprompt op beheerdersniveau.

    2. Voer de volgende opdracht uit:

      Install-Module Microsoft.Graph -Scope AllUsers
      
    3. Als u wordt gevraagd om de NuGet provider te installeren, typt u Y en drukt u op ENTER.

    4. Als u wordt gevraagd om de module van PSGallery te installeren, typt u Y en drukt u op ENTER.

    5. Sluit na de installatie het PowerShell-opdrachtvenster.

Stap 2: verbinding maken met uw Microsoft 365-abonnement

  1. Voer in het PowerShell-venster de volgende opdracht uit.

    Connect-MgGraph -Scopes Device.Read.All, User.Read.All
    
  2. Er wordt een pop-up geopend waarin u zich kunt aanmelden. Geef de referenties van uw beheerdersaccount op en meld u aan.

  3. Als uw account de benodigde machtigingen heeft, ziet u 'Welkom bij Microsoft Graph!' in het PowerShell-venster.

Stap 3: Zorg ervoor dat u PowerShell-scripts kunt uitvoeren

Opmerking

U kunt deze stap overslaan als u al bent ingesteld om PowerShell-scripts uit te voeren.

Als u het Get-GraphUserDeviceComplianceStatus.ps1-script wilt uitvoeren, moet u het uitvoeren van PowerShell-scripts inschakelen.

  1. Selecteer start op uw Windows-bureaublad en typ Windows PowerShell. Klik met de rechtermuisknop op Windows PowerShell en selecteer vervolgens Als beheerder uitvoeren.

  2. Voer de volgende opdracht uit:

    Set-ExecutionPolicy RemoteSigned
    
  3. Wanneer u hierom wordt gevraagd, typt u Y en drukt u op Enter.

Voer de cmdlet Get-MgDevice uit om details weer te geven voor alle apparaten in uw organisatie

  1. Open de Microsoft Azure Active Directory-module voor Windows PowerShell.

  2. Voer de volgende opdracht uit:

    Get-MgDevice -All -ExpandProperty "registeredOwners" | Where-Object {($_.RegisteredOwners -ne $null) -and ($_.RegisteredOwners.Count -gt 0)}
    

Zie Get-MgDevice voor meer voorbeelden.

Een script uitvoeren om apparaatdetails op te halen

Sla eerst het script op uw computer op.

  1. Kopieer en plak de volgende tekst in Kladblok.

        param (
     	[Parameter(Mandatory = $false)]
     	[PSObject[]]$users = @(),
     	[Parameter(Mandatory = $false)]
     	[Switch]$export,
     	[Parameter(Mandatory = $false)]
     	[String]$exportFileName = "UserDeviceOwnership_" + (Get-Date -Format "yyMMdd_HHMMss") + ".csv",
     	[Parameter(Mandatory = $false)]
     	[String]$exportPath = [Environment]::GetFolderPath("Desktop")
     )
    
     #Clearing the screen
     Clear-Host
    
     #Preparing the output object
     $deviceOwnership = @()
    
    
     if ($users.Count -eq 0) {
     	Write-Output "No user has been provided, gathering data for all devices in the tenant"
     	#Getting all Devices and their registered owners
     	$devices = Get-MgDevice -All -Property * -ExpandProperty registeredOwners
    
     	#For each device which has a registered owner, extract the device data and the registered owner data
     	foreach ($device in $devices) {
     		$DeviceOwners = $device | Select-Object -ExpandProperty 'RegisteredOwners'
     		#Checking if the DeviceOwners Object is empty
     		if ($DeviceOwners -ne $null) {
     			foreach ($DeviceOwner in $DeviceOwners) {
     				$OwnerDictionary = $DeviceOwner.AdditionalProperties
     				$OwnerDisplayName = $OwnerDictionary.Item('displayName')
     				$OwnerUPN = $OwnerDictionary.Item('userPrincipalName')
     				$OwnerID = $deviceOwner.Id
     				$deviceOwnership += [PSCustomObject]@{
     					DeviceDisplayName             = $device.DisplayName
     					DeviceId                      = $device.DeviceId
     					DeviceOSType                  = $device.OperatingSystem
     					DeviceOSVersion               = $device.OperatingSystemVersion
     					DeviceTrustLevel              = $device.TrustType
     					DeviceIsCompliant             = $device.IsCompliant
     					DeviceIsManaged               = $device.IsManaged
     					DeviceObjectId                = $device.Id
     					DeviceOwnerID                 = $OwnerID
     					DeviceOwnerDisplayName        = $OwnerDisplayName
     					DeviceOwnerUPN                = $OwnerUPN
     					ApproximateLastLogonTimestamp = $device.ApproximateLastSignInDateTime
     				}
     			}
     		}
    
     	}
     }
    
     else {
     	#Checking that userid is present in the users object
     	Write-Output "List of users has been provided, gathering data for all devices owned by the provided users"
     	foreach ($user in $users) {
     		$devices = Get-MgUserOwnedDevice -UserId $user.Id -Property *
     		foreach ($device in $devices) {
     			$DeviceHashTable = $device.AdditionalProperties
     			$deviceOwnership += [PSCustomObject]@{
     				DeviceId                      = $DeviceHashTable.Item('deviceId')
     				DeviceOSType                  = $DeviceHashTable.Item('operatingSystem')
     				DeviceOSVersion               = $DeviceHashTable.Item('operatingSystemVersion') 
     				DeviceTrustLevel              = $DeviceHashTable.Item('trustType')
     				DeviceDisplayName             = $DeviceHashTable.Item('displayName')
     				DeviceIsCompliant             = $DeviceHashTable.Item('isCompliant')
     				DeviceIsManaged               = $DeviceHashTable.Item('isManaged')
     				DeviceObjectId                = $device.Id
     				DeviceOwnerUPN                = $user.UserPrincipalName
     				DeviceOwnerID                 = $user.Id
     				DeviceOwnerDisplayName        = $user.DisplayName
     				ApproximateLastLogonTimestamp = $DeviceHashTable.Item('approximateLastSignInDateTime')
     			}
     		}
     	}
    
     }
    
     $deviceOwnership
    
     if ($export) {
     	$exportFile = Join-Path -Path $exportPath -ChildPath $exportFileName
     	$deviceOwnership | Export-Csv -Path $exportFile -NoTypeInformation
     	Write-Output "Data has been exported to $exportFile"
     }
    
  2. Sla het bestand op als een Windows PowerShell scriptbestand met de bestandsextensie .ps1, bijvoorbeeld Get-MgGraphDeviceOwnership.ps1.

    Opmerking

    Het script kan ook worden gedownload op Github.

Voer het script uit om apparaatgegevens op te halen voor één gebruikersaccount

  1. Open Powershell.

  2. Ga naar de map waarin u het script hebt opgeslagen. Als u deze bijvoorbeeld hebt opgeslagen in C:\PS-Scripts, voert u de volgende opdracht uit.

    cd C:\PS-Scripts
    
  3. Voer de volgende opdracht uit om de gebruiker te identificeren waarvoor u apparaatgegevens wilt ophalen. In dit voorbeeld worden details voor user@contoso.com.

    $user = Get-MgUser -UserId "user@contoso.com"
    
  4. Voer de volgende opdracht uit om het script te initiëren.

    .\Get-GraphUserDeviceComplianceStatus.ps1 -users $user -Export
    

De informatie wordt geëxporteerd naar uw Windows-bureaublad als een CSV-bestand. U kunt aanvullende parameters gebruiken om de bestandsnaam en het pad van het CSV-bestand op te geven.

Voer het script uit om apparaatgegevens op te halen voor een groep gebruikers

  1. Open Powershell.

  2. Ga naar de map waarin u het script hebt opgeslagen. Als u deze bijvoorbeeld hebt opgeslagen in C:\PS-Scripts, voert u de volgende opdracht uit.

    cd C:\PS-Scripts
    
  3. Voer de volgende opdracht uit om de groep te identificeren waarvoor u apparaatgegevens wilt ophalen. In dit voorbeeld worden details voor gebruikers in de groep FinanceStaff opgeslagen.

    $groupId = Get-MgGroup -Filter "displayName eq 'FinanceStaff'" | Select-Object -ExpandProperty Id
    $Users = Get-MgGroupMember -GroupId $groupId | Select-Object -ExpandProperty Id | % { Get-MgUser -UserId $_ }
    
  4. Voer de volgende opdracht uit om het script te initiëren.

    .\Get-GraphUserDeviceComplianceStatus.ps1 -User $Users -Export
    

De informatie wordt geëxporteerd naar uw Windows-bureaublad als een CSV-bestand. U kunt aanvullende parameters gebruiken om de bestandsnaam en het pad van het CSV-bestand op te geven.

Microsoft Connect is buiten gebruik gesteld

Overzicht van de Basic Mobility en Security

Aankondiging van buitengebruikstelling voor MSOnline- en AzureAD-cmdlets

Get-MgUser

Get-MgDevice

Get-MgUserOwnedDevice