Zarządzanie tożsamościami urządzeń przy użyciu Azure Portal

Usługa Azure Active Directory (Azure AD) zapewnia centralne miejsce do zarządzania tożsamościami urządzeń i monitorowania powiązanych informacji o zdarzeniach.

Zrzut ekranu przedstawiający przegląd urządzeń w Azure Portal.

Aby uzyskać dostęp do przeglądu urządzeń, wykonaj następujące kroki:

  1. Zaloguj się w witrynie Azure Portal.
  2. Przejdź dopozycji Urządzeniausługi Azure Active Directory>.

W przeglądzie urządzeń można wyświetlić łączną liczbę urządzeń, nieaktualnych urządzeń, niezgodnych urządzeń i urządzeń niezarządzanych. Znajdziesz również linki do Intune, dostępu warunkowego, kluczy funkcji BitLocker i podstawowego monitorowania.

Liczba urządzeń na stronie przeglądu nie jest aktualizowana w czasie rzeczywistym. Zmiany powinny być odzwierciedlane co kilka godzin.

W tym miejscu możesz przejść do pozycji Wszystkie urządzenia , aby:

  • Identyfikować urządzenia, w tym:
    • Urządzenia, które zostały przyłączone lub zarejestrowane w usłudze Azure AD.
    • Urządzenia wdrożone za pośrednictwem rozwiązania Windows Autopilot.
    • Drukarki korzystające z usługi Universal Print.
  • Wykonaj zadania zarządzania tożsamościami urządzeń, takie jak włączanie, wyłączanie, usuwanie i zarządzanie.
  • Konfigurować ustawienia tożsamości urządzenia.
  • Włączanie lub wyłączanie roamingu stanu przedsiębiorstwa.
  • Przeglądać dzienniki inspekcji związane z urządzeniami.
  • Pobieranie urządzeń.

Zrzut ekranu przedstawiający widok Wszystkie urządzenia w Azure Portal.

Porada

  • Przyłączone Azure AD hybrydowe Windows 10 lub nowsze urządzenia nie mają właściciela. Jeśli szukasz urządzenia według właściciela i go nie znajdziesz, wyszukaj według identyfikatora urządzenia.

  • Jeśli zobaczysz urządzenie dołączone do Azure AD hybrydowego ze stanem Oczekujące w kolumnie Zarejestrowane, urządzenie zostało zsynchronizowane z Azure AD nawiązać połączenie i oczekuje na ukończenie rejestracji od klienta. Zobacz Jak zaplanować implementację sprzężenia hybrydowego Azure AD. Aby uzyskać więcej informacji, zobacz Zarządzanie urządzeniami — często zadawane pytania.

  • W przypadku niektórych urządzeń z systemem iOS nazwy urządzeń, które zawierają apostrofy, mogą używać różnych znaków, które wyglądają jak apostrofy. Więc wyszukiwanie takich urządzeń jest trochę trudne. Jeśli nie widzisz poprawnych wyników wyszukiwania, upewnij się, że ciąg wyszukiwania zawiera pasujący znak apostrofu.

Zarządzanie urządzeniem Intune

Jeśli masz uprawnienia do zarządzania urządzeniami w Intune, możesz zarządzać urządzeniami, dla których zarządzanie urządzeniami przenośnymi jest wyświetlane jako Microsoft Intune. Jeśli urządzenie nie zostało zarejestrowane w usłudze Microsoft Intune, opcja Zarządzaj nie będzie dostępna.

Włączanie lub wyłączanie urządzenia Azure AD

Istnieją dwa sposoby włączania lub wyłączania urządzeń:

  • Pasek narzędzi na stronie Wszystkie urządzenia po wybraniu co najmniej jednego urządzenia.
  • Pasek narzędzi po przejściu do szczegółów określonego urządzenia.

Ważne

  • Aby włączyć lub wyłączyć urządzenie, musisz być administratorem globalnym, administratorem Intune lub administratorem urządzeń w chmurze w Azure AD.
  • Wyłączenie urządzenia uniemożliwia uwierzytelnianie za pośrednictwem Azure AD. Zapobiega to uzyskiwaniu dostępu do zasobów Azure AD chronionych przez dostęp warunkowy oparty na urządzeniach i używaniu poświadczeń Windows Hello dla firm.
  • Wyłączenie urządzenia spowoduje odwołanie podstawowego tokenu odświeżania (PRT) i wszystkich tokenów odświeżania na urządzeniu.
  • Nie można włączyć ani wyłączyć drukarek w Azure AD.

Usuwanie urządzenia Azure AD

Istnieją dwa sposoby usuwania urządzenia:

  • Pasek narzędzi na stronie Wszystkie urządzenia po wybraniu co najmniej jednego urządzenia.
  • Pasek narzędzi po przejściu do szczegółów określonego urządzenia.

Ważne

  • Aby usunąć urządzenie, musisz być administratorem urządzeń w chmurze, administratorem Intune, administratorem Windows 365 lub administratorem globalnym w Azure AD.
  • Nie można usunąć drukarek i urządzeń rozwiązania Windows Autopilot w Azure AD.
  • Usuwanie urządzenia:
    • Uniemożliwia dostęp do zasobów Azure AD.
    • Usuwa wszystkie szczegóły dołączone do urządzenia. Na przykład klucze funkcji BitLocker dla urządzeń z systemem Windows.
    • Jest działaniem nieodzyskiwalnym. Nie zalecamy tego, chyba że jest to wymagane.

Jeśli urządzenie jest zarządzane przez inny urząd zarządzania, taki jak Microsoft Intune, upewnij się, że zostało ono wyczyszczone lub wycofane przed jego usunięciem. Zobacz Jak zarządzać nieaktualnymi urządzeniami przed usunięciem urządzenia.

Wyświetlanie lub kopiowanie identyfikatora urządzenia

Możesz użyć identyfikatora urządzenia, aby zweryfikować szczegóły identyfikatora urządzenia na urządzeniu lub rozwiązać problemy za pośrednictwem programu PowerShell. Aby uzyskać dostęp do opcji kopiowania, wybierz urządzenie.

Zrzut ekranu przedstawiający identyfikator urządzenia i przycisk kopiowania.

Wyświetlanie lub kopiowanie kluczy funkcji BitLocker

Klucze funkcji BitLocker można wyświetlać i kopiować, aby umożliwić użytkownikom odzyskiwanie zaszyfrowanych dysków. Te klucze są dostępne tylko dla urządzeń z systemem Windows, które są szyfrowane i przechowują swoje klucze w Azure AD. Te klucze można znaleźć podczas wyświetlania szczegółów urządzenia, wybierając pozycję Pokaż klucz odzyskiwania. Wybranie pozycji Pokaż klucz odzyskiwania spowoduje wygenerowanie dziennika inspekcji, który można znaleźć w KeyManagement kategorii.

Zrzut ekranu przedstawiający sposób wyświetlania kluczy funkcji BitLocker.

Aby wyświetlić lub skopiować klucze funkcji BitLocker, musisz być właścicielem urządzenia lub mieć jedną z następujących ról:

  • Administrator urządzeń w chmurze
  • Administrator globalny
  • Administrator pomocy technicznej
  • Administrator usługi Intune
  • Administrator zabezpieczeń
  • Czytelnik zabezpieczeń

Blokowanie użytkownikom wyświetlania kluczy funkcji BitLocker (wersja zapoznawcza)

W tej wersji zapoznawczej administratorzy mogą blokować samoobsługowy dostęp do klucza funkcji BitLocker zarejestrowanego właściciela urządzenia. Użytkownicy domyślni bez uprawnień do odczytu funkcji BitLocker nie będą mogli wyświetlać ani kopiować swoich kluczy funkcji BitLocker dla urządzeń należących do niego.

Aby wyłączyć/włączyć samoobsługowe odzyskiwanie funkcji BitLocker:

Connect-MgGraph -Scopes Policy.ReadWrite.Authorization
$authPolicyUri = "https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy"
$body = @{
    defaultUserRolePermissions = @{
        allowedToReadBitlockerKeysForOwnedDevice = $false #Set this to $true to allow BitLocker self-service recovery
    }
}| ConvertTo-Json
Invoke-MgGraphRequest -Uri $authPolicyUri -Method PATCH -Body $body
# Show current policy setting
$authPolicy = Invoke-MgGraphRequest -Uri $authPolicyUri
$authPolicy.defaultUserRolePermissions

Wyświetlanie i filtrowanie urządzeń (wersja zapoznawcza)

W tej wersji zapoznawczej masz możliwość nieskończonego przewijania, zmieniania kolejności kolumn i wybierania wszystkich urządzeń. Listę urządzeń można filtrować według następujących atrybutów urządzenia:

  • Stan włączony
  • Stan zgodności
  • Typ sprzężenia (Azure AD przyłączone, przyłączone Azure AD hybrydowe, zarejestrowane Azure AD)
  • Znacznik czasu aktywności
  • System operacyjny
  • Typ urządzenia (drukarka, bezpieczna maszyna wirtualna, urządzenie udostępnione, zarejestrowane urządzenie)
  • ZARZĄDZANIE URZĄDZENIAMI PRZENOŚNYMI
  • Atrybuty rozszerzenia
  • Jednostka administracyjna
  • Właściciel

Aby włączyć podgląd w widoku Wszystkie urządzenia :

  1. Zaloguj się w witrynie Azure Portal.
  2. Przejdź do pozycjiUrządzenia>usługi Azure Active Directory>Wszystkie urządzenia.
  3. Wybierz przycisk Funkcje w wersji zapoznawczej .
  4. Włącz przełącznik z listą rozszerzonych urządzeń. Wybierz przycisk Zastosuj.
  5. Odśwież przeglądarkę.

Teraz możesz wyświetlić rozszerzony widok Wszystkie urządzenia .

Pobieranie urządzeń

Czytelnicy globalni, administratorzy urządzeń w chmurze, administratorzy Intune i administratorzy globalni mogą użyć opcji Pobierz urządzenia, aby wyeksportować plik CSV zawierający listę urządzeń. Filtry można stosować, aby określić, które urządzenia mają być wyświetlone. Jeśli nie zastosujesz żadnych filtrów, zostaną wyświetlone wszystkie urządzenia. Zadanie eksportu może być uruchamiane tak długo, jak na godzinę, w zależności od wybranych opcji. Jeśli zadanie eksportu przekracza 1 godzinę, kończy się niepowodzeniem i żaden plik nie jest wyjściowy.

Wyeksportowana lista zawiera następujące atrybuty tożsamości urządzenia:

accountEnabled, approximateLastLogonTimeStamp, deviceOSType, deviceOSVersion, deviceTrustType, dirSyncEnabled, displayName, isCompliant, isManaged, lastDirSyncTime, objectId, profileType, registeredOwners, systemLabels, registrationTime, mdmDisplayName

Konfiguruj ustawienia urządzenia

Jeśli chcesz zarządzać tożsamościami urządzeń przy użyciu Azure Portal, urządzenia muszą być zarejestrowane lub przyłączone do Azure AD. Jako administrator możesz kontrolować proces rejestrowania i dołączania urządzeń, konfigurując następujące ustawienia urządzenia.

Aby wyświetlić ustawienia urządzenia w Azure Portal lub zarządzać nimi, musisz mieć przypisaną jedną z następujących ról:

  • Administrator globalny
  • Administrator urządzeń w chmurze
  • Czytelnik globalny
  • Czytelnik katalogu

Zrzut ekranu przedstawiający ustawienia urządzenia związane z Azure AD.

  • Użytkownicy mogą dołączać urządzenia do Azure AD: to ustawienie umożliwia wybranie użytkowników, którzy mogą zarejestrować swoje urządzenia jako urządzenia przyłączone Azure AD. Wartością domyślną jest wszystkich.

    Uwaga

    Ustawienie Użytkownicy mogą dołączać urządzenia do Azure AD ma zastosowanie tylko do Azure AD sprzężenia w Windows 10 lub nowszym. To ustawienie nie ma zastosowania do urządzeń dołączonych hybrydowo Azure AD, Azure AD dołączonych maszyn wirtualnych na platformie Azure ani urządzeń dołączonych do Azure AD korzystających z trybu samodzielnego wdrażania rozwiązania Windows Autopilot, ponieważ te metody działają w kontekście bez użytkownika.

  • Dodatkowi administratorzy lokalni na urządzeniach Azure AD dołączonych: to ustawienie umożliwia wybranie użytkowników, którzy mają przyznane uprawnienia administratora lokalnego na urządzeniu. Ci użytkownicy są dodawani do roli Administratorzy urządzeń w Azure AD. Administratorzy globalni w Azure AD i właściciele urządzeń domyślnie otrzymują uprawnienia administratora lokalnego. Ta opcja jest funkcją wersji Premium dostępną za pośrednictwem produktów, takich jak Azure AD Premium i Enterprise Mobility + Security.

  • Użytkownicy mogą rejestrować swoje urządzenia przy użyciu Azure AD: należy skonfigurować to ustawienie, aby umożliwić użytkownikom rejestrowanie Windows 10 lub nowszych urządzeń osobistych, iOS, Android i macOS przy użyciu Azure AD. Jeśli wybierzesz pozycję Brak, urządzenia nie będą mogły się zarejestrować w Azure AD. Rejestracja przy użyciu Microsoft Intune lub zarządzania urządzeniami przenośnymi na potrzeby Microsoft 365 wymaga rejestracji. Jeśli skonfigurowano jedną z tych usług, wybrano opcję WSZYSTKIE , a opcja BRAK jest niedostępna.

  • Wymagaj uwierzytelniania wieloskładnikowego do rejestrowania lub dołączania urządzeń w usłudze Azure AD:

    • W celu wymuszenia uwierzytelniania wieloskładnikowego zaleca się, aby organizacje korzystały z akcji Rejestrowanie lub dołączanie urządzeń w obszarze Dostęp warunkowy. Należy skonfigurować ten przełącznik na Nie , jeśli używasz zasad dostępu warunkowego do wymagania uwierzytelniania wieloskładnikowego.
    • To ustawienie umożliwia określenie, czy użytkownicy są zobowiązani do zapewnienia innego czynnika uwierzytelniania w celu dołączenia lub zarejestrowania urządzeń w celu Azure AD. Wartość domyślna to Nie. Zalecamy wymaganie uwierzytelniania wieloskładnikowego w przypadku zarejestrowania lub dołączenia urządzenia. Przed włączeniem uwierzytelniania wieloskładnikowego dla tej usługi należy się upewnić, że uwierzytelnianie wieloskładnikowe jest skonfigurowane dla użytkowników rejestrujących swoje urządzenia. Aby uzyskać więcej informacji na temat usług Azure AD Multi-Factor Authentication, zobacz wprowadzenie do usługi Azure AD Multi-Factor Authentication. To ustawienie może nie działać z dostawcami tożsamości innych firm.

    Uwaga

    Ustawienie Wymagaj usługi Multi-Factor Authentication do rejestrowania lub dołączania urządzeń przy użyciu Azure AD dotyczy urządzeń, które są Azure AD przyłączone (z pewnymi wyjątkami) lub Azure AD zarejestrowane. To ustawienie nie ma zastosowania do urządzeń dołączonych hybrydowo Azure AD, Azure AD dołączonych maszyn wirtualnych na platformie Azure ani urządzeń dołączonych Azure AD korzystających z trybu samodzielnego wdrażania rozwiązania Windows Autopilot.

  • Maksymalna liczba urządzeń: to ustawienie umożliwia wybranie maksymalnej liczby Azure AD dołączonych lub Azure AD zarejestrowanych urządzeń, które użytkownik może mieć w Azure AD. Jeśli użytkownicy osiągną ten limit, nie będą mogli dodać więcej urządzeń, dopóki co najmniej jedno z istniejących urządzeń nie zostanie usunięte. Wartość domyślna to 50. Można zwiększyć wartość do 100. Jeśli wprowadzisz wartość powyżej 100, Azure AD ustawi ją na 100. Możesz również użyć funkcji Nieograniczone , aby wymusić brak limitu innego niż istniejące limity przydziału.

    Uwaga

    Ustawienie Maksymalna liczba urządzeń dotyczy urządzeń, które są Azure AD przyłączone lub zarejestrowane Azure AD. To ustawienie nie dotyczy urządzeń przyłączonych hybrydowo do usługi Azure AD.

  • Enterprise State Roaming: aby uzyskać informacje o tym ustawieniu, zobacz artykuł z omówieniem.

Dzienniki inspekcji

Działania urządzeń są widoczne w dziennikach aktywności. Te dzienniki obejmują działania wyzwalane przez usługę rejestracji urządzeń i przez użytkowników:

  • Tworzenie i dodawanie właścicieli/użytkowników na urządzeniu
  • Zmiany ustawień urządzenia
  • Operacje na urządzeniach, takie jak usuwanie lub aktualizowanie urządzenia

Punkt wejścia do danych inspekcji to Dzienniki inspekcji w sekcji Aktywność na stronie Urządzenia .

Dziennik inspekcji ma domyślny widok listy, który pokazuje:

  • Data i godzina wystąpienia.
  • Cele.
  • Inicjator/aktor działania.
  • Działanie.

Zrzut ekranu przedstawiający tabelę w sekcji Działanie na stronie Urządzenia. W tabeli przedstawiono datę, element docelowy, aktor i aktywność dla czterech dzienników inspekcji.

Widok listy można dostosować, wybierając pozycję Kolumny na pasku narzędzi:

Zrzut ekranu przedstawiający pasek narzędzi strony Urządzenia.

Aby zmniejszyć zgłoszone dane do poziomu, który działa dla Ciebie, możesz je filtrować przy użyciu następujących pól:

  • Kategoria
  • Typ zasobu działania
  • Działanie
  • Zakres dat
  • Cel
  • Zainicjowane przez (aktor)

Możesz również wyszukać określone wpisy.

Zrzut ekranu przedstawiający kontrolki filtrowania danych inspekcji.

Następne kroki