Zarządzanie tożsamościami urządzeń przy użyciu centrum administracyjnego firmy Microsoft Entra

  • Artykuł

Microsoft Entra ID zapewnia centralne miejsce do zarządzania tożsamościami urządzeń i monitorowania powiązanych informacji o zdarzeniach.

Screenshot that shows the devices overview.

Aby uzyskać dostęp do przeglądu urządzeń, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako co najmniej czytelnik globalny.
  2. Przejdź do pozycji Przegląd urządzeń>tożsamości.>

W przeglądzie urządzeń można wyświetlić łączną liczbę urządzeń, nieaktualnych urządzeń, niezgodnych urządzeń i niezarządzanych urządzeń. Udostępnia on linki do usługi Intune, dostępu warunkowego, kluczy funkcji BitLocker i podstawowego monitorowania.

Liczba urządzeń na stronie przeglądu nie jest aktualizowana w czasie rzeczywistym. Zmiany powinny być odzwierciedlane co kilka godzin.

Z tego miejsca możesz przejść do pozycji Wszystkie urządzenia , aby:

  • Identyfikowanie urządzeń, w tym:
    • Urządzenia, które zostały dołączone lub zarejestrowane w usłudze Microsoft Entra ID.
    • Urządzenia wdrożone za pośrednictwem rozwiązania Windows Autopilot.
    • Drukarki korzystające z usługi Universal Print.
  • Wykonaj zadania zarządzania tożsamościami urządzeń, takie jak włączanie, wyłączanie, usuwanie i zarządzanie.
  • Konfigurować ustawienia tożsamości urządzenia.
  • Włączanie lub wyłączanie roamingu stanu przedsiębiorstwa.
  • Przeglądać dzienniki inspekcji związane z urządzeniami.
  • Pobierz urządzenia.

Screenshot that shows the All devices view.

Napiwek

  • Hybrydowe urządzenia z systemem Windows 10 lub nowszym dołączone do firmy Microsoft Entra nie mają właściciela, chyba że użytkownik podstawowy jest ustawiony w usłudze Microsoft Intune. Jeśli szukasz urządzenia według właściciela i go nie znajdziesz, wyszukaj według identyfikatora urządzenia.

  • Jeśli widzisz urządzenie dołączone hybrydą firmy Microsoft Entra ze stanem Oczekujące w kolumnie Zarejestrowane, urządzenie zostało zsynchronizowane z witryny Microsoft Entra Połączenie i oczekuje na ukończenie rejestracji od klienta. Zobacz Jak zaplanować implementację dołączania hybrydowego firmy Microsoft Entra. Aby uzyskać więcej informacji, zobacz Zarządzanie urządzeniami — często zadawane pytania.

  • W przypadku niektórych urządzeń z systemem iOS nazwy urządzeń, które zawierają apostrofy, mogą używać różnych znaków, które wyglądają jak apostrofy. Więc wyszukiwanie takich urządzeń jest trochę trudne. Jeśli nie widzisz poprawnych wyników wyszukiwania, upewnij się, że ciąg wyszukiwania zawiera pasujący znak apostrofu.

Zarządzanie urządzeniem usługi Intune

Jeśli masz uprawnienia do zarządzania urządzeniami w usłudze Intune, możesz zarządzać urządzeniami, dla których zarządzanie urządzeniami przenośnymi jest wyświetlane jako usługa Microsoft Intune. Jeśli urządzenie nie zostało zarejestrowane w usłudze Microsoft Intune, opcja Zarządzaj nie jest dostępna.

Włączanie lub wyłączanie urządzenia Firmy Microsoft Entra

Istnieją dwa sposoby włączania lub wyłączania urządzeń:

  • Pasek narzędzi na stronie Wszystkie urządzenia po wybraniu co najmniej jednego urządzenia.
  • Pasek narzędzi po przejściu do szczegółów określonego urządzenia.

Ważne

  • Aby włączyć lub wyłączyć urządzenie, musisz być globalnym Administracja istratorem, usługą Intune Administracja istratorem lub Administracja istratorem urządzeń w chmurze w usłudze Microsoft Entra ID.
  • Wyłączenie urządzenia uniemożliwia uwierzytelnianie za pośrednictwem identyfikatora Entra firmy Microsoft. Zapobiega to uzyskiwaniu dostępu do zasobów firmy Microsoft Entra chronionych przez dostęp warunkowy oparty na urządzeniach i używania poświadczeń Windows Hello dla firm.
  • Wyłączenie urządzenia spowoduje odwołanie podstawowego tokenu odświeżania (PRT) i wszystkich tokenów odświeżania na urządzeniu.
  • Nie można włączyć ani wyłączyć drukarek w identyfikatorze Entra firmy Microsoft.

Usuwanie urządzenia Firmy Microsoft Entra

Istnieją dwa sposoby usuwania urządzenia:

  • Pasek narzędzi na stronie Wszystkie urządzenia po wybraniu co najmniej jednego urządzenia.
  • Pasek narzędzi po przejściu do szczegółów określonego urządzenia.

Ważne

  • Aby usunąć urządzenie, musisz być Administracja istratorem urządzeń w chmurze, Administracja istratorem usługi Intune, Administracja istratorem systemu Windows 365 lub globalnym Administracja istratorem w usłudze Microsoft Entra ID.
  • Nie można usunąć drukarek i urządzeń rozwiązania Windows Autopilot w identyfikatorze Entra firmy Microsoft.
  • Usuwanie urządzenia:
    • Uniemożliwia dostęp do zasobów firmy Microsoft Entra.
    • Usuwa wszystkie szczegóły dołączone do urządzenia. Na przykład klucze funkcji BitLocker dla urządzeń z systemem Windows.
    • Jest działaniem nieodzyskiwalnym. Nie zalecamy tego, chyba że jest to wymagane.

Jeśli urządzenie jest zarządzane w innym urzędzie zarządzania, na przykład w usłudze Microsoft Intune, przed jego usunięciem upewnij się, że zostało ono wyczyszczone lub wycofane. Zobacz Jak zarządzać nieaktualnymi urządzeniami przed usunięciem urządzenia.

Wyświetlanie lub kopiowanie identyfikatora urządzenia

Możesz użyć identyfikatora urządzenia, aby zweryfikować szczegóły identyfikatora urządzenia na urządzeniu lub rozwiązać problemy za pomocą programu PowerShell. Aby uzyskać dostęp do opcji kopiowania, wybierz urządzenie.

Screenshot that shows a device ID and the copy button.

Wyświetlanie lub kopiowanie kluczy funkcji BitLocker

Możesz wyświetlać i kopiować klucze funkcji BitLocker, aby umożliwić użytkownikom odzyskiwanie zaszyfrowanych dysków. Te klucze są dostępne tylko dla urządzeń z systemem Windows, które są szyfrowane i przechowują swoje klucze w identyfikatorze Entra firmy Microsoft. Te klucze można znaleźć podczas wyświetlania szczegółów urządzenia, wybierając pozycję Pokaż klucz odzyskiwania. Wybranie pozycji Pokaż klucz odzyskiwania powoduje wygenerowanie wpisu dziennika inspekcji, który można znaleźć w KeyManagement kategorii.

Screenshot that shows how to view BitLocker keys.

Aby wyświetlić lub skopiować klucze funkcji BitLocker, musisz być właścicielem urządzenia lub mieć jedną z następujących ról:

  • Administracja istrator urządzeń w chmurze
  • Globalny administrator usługi
  • Pomoc techniczna Administracja istrator
  • Administrator usługi Intune
  • Administrator zabezpieczeń
  • Czytelnik zabezpieczeń

Wyświetlanie i filtrowanie urządzeń

Listę urządzeń można filtrować według następujących atrybutów:

  • Stan włączony
  • Stan zgodności
  • Typ sprzężenia (dołączona do firmy Microsoft Entra, przyłączona hybrydowa firma Microsoft Entra, zarejestrowana w usłudze Microsoft Entra)
  • Znacznik czasu aktywności
  • Typ systemu operacyjnego i wersja systemu operacyjnego
  • Typ urządzenia (drukarka, bezpieczna maszyna wirtualna, urządzenie udostępnione, zarejestrowane urządzenie)
  • MDM
  • Autopilot
  • Atrybuty rozszerzenia
  • Jednostka administracyjna
  • Właściciel

Pobieranie urządzeń

Czytelnicy globalni, Administracja istratory urządzeń w chmurze, Administracja istratory usługi Intune i globalni Administracja istratorzy mogą użyć opcji Pobierz urządzenia, aby wyeksportować plik CSV zawierający listę urządzeń. Filtry można zastosować, aby określić, które urządzenia mają być wyświetlone. Jeśli nie zastosujesz żadnych filtrów, zostaną wyświetlone wszystkie urządzenia. Zadanie eksportu może być uruchamiane tak długo, jak godzinę, w zależności od wybranych opcji. Jeśli zadanie eksportu przekracza 1 godzinę, kończy się niepowodzeniem i żaden plik nie jest wyjściowy.

Wyeksportowana lista zawiera następujące atrybuty tożsamości urządzenia:

displayName,accountEnabled,operatingSystem,operatingSystemVersion,joinType (trustType),registeredOwners,userNames,mdmDisplayName,isCompliant,registrationTime,approximateLastSignInDateTime,deviceId,isManaged,objectId,profileType,systemLabels,model

Dla zadania eksportu można zastosować następujące filtry:

  • Stan włączony
  • Stan zgodności
  • Typ sprzężenia
  • Znacznik czasu aktywności
  • Typ systemu operacyjnego
  • Typ urządzenia

Konfigurowanie ustawień urządzenia

Jeśli chcesz zarządzać tożsamościami urządzeń przy użyciu centrum administracyjnego firmy Microsoft Entra, urządzenia muszą być zarejestrowane lub dołączone do identyfikatora Entra firmy Microsoft. Jako administrator możesz kontrolować proces rejestrowania i dołączania urządzeń, konfigurując następujące ustawienia urządzenia.

Aby wyświetlić ustawienia urządzenia, musisz mieć przypisaną jedną z następujących ról:

  • Globalny administrator usługi
  • Czytelnik globalny
  • Administracja istrator urządzeń w chmurze
  • Administrator usługi Intune
  • Windows 365 Administracja istrator
  • Recenzent katalogu

Aby zarządzać ustawieniami urządzenia, musisz mieć przypisaną jedną z następujących ról:

  • Globalny administrator usługi
  • Administracja istrator urządzeń w chmurze

Screenshot that shows device settings related to Microsoft Entra ID.

  • Użytkownicy mogą dołączać urządzenia do identyfikatora Entra firmy Microsoft: to ustawienie umożliwia wybranie użytkowników, którzy mogą zarejestrować swoje urządzenia jako urządzenia dołączone do firmy Microsoft. Wartością domyślną jest wszystkich.

    Uwaga

    Ustawienie Użytkownicy mogą dołączać urządzenia do identyfikatora Entra firmy Microsoft ma zastosowanie tylko do dołączania do firmy Microsoft w systemie Windows 10 lub nowszym. To ustawienie nie dotyczy urządzeń dołączonych hybrydowo do firmy Microsoft, maszyn wirtualnych dołączonych do firmy Microsoft Entra na platformie Azure ani urządzeń dołączonych do firmy Microsoft Entra korzystających z trybu samodzielnego wdrażania rozwiązania Windows Autopilot, ponieważ te metody działają w kontekście bezużytkowym.

  • Użytkownicy mogą rejestrować swoje urządzenia przy użyciu identyfikatora Entra firmy Microsoft: należy skonfigurować to ustawienie, aby umożliwić użytkownikom rejestrowanie urządzeń osobistych z systemem Windows 10 lub nowszym, iOS, Android i macOS przy użyciu identyfikatora Entra firmy Microsoft. Jeśli wybierzesz pozycję Brak, urządzenia nie będą mogły rejestrować się w usłudze Microsoft Entra ID. Rejestracja w usłudze Microsoft Intune lub zarządzanie urządzeniami przenośnymi na platformie Microsoft 365 wymaga rejestracji. Jeśli skonfigurowano jedną z tych usług, wybrano opcję WSZYSTKIE , a opcja NONE jest niedostępna .

  • Wymagaj uwierzytelniania wieloskładnikowego do rejestrowania lub dołączania urządzeń za pomocą identyfikatora Entra firmy Microsoft:

    • W celu wymuszenia uwierzytelniania wieloskładnikowego zaleca się, aby organizacje korzystały z akcji Rejestrowanie lub dołączanie urządzeń w obszarze Dostęp warunkowy. Ten przełącznik należy skonfigurować na wartość Nie , jeśli używasz zasad dostępu warunkowego do wymagania uwierzytelniania wieloskładnikowego.
    • To ustawienie umożliwia określenie, czy użytkownicy są zobowiązani do zapewnienia innego czynnika uwierzytelniania w celu dołączenia lub zarejestrowania swoich urządzeń w identyfikatorze Entra firmy Microsoft. Wartość domyślna to Nie. Zalecamy wymaganie uwierzytelniania wieloskładnikowego po zarejestrowaniu lub dołączeniu urządzenia. Przed włączeniem uwierzytelniania wieloskładnikowego dla tej usługi należy upewnić się, że uwierzytelnianie wieloskładnikowe jest skonfigurowane dla użytkowników rejestrujących swoje urządzenia. Aby uzyskać więcej informacji na temat usług uwierzytelniania wieloskładnikowego firmy Microsoft Entra, zobacz wprowadzenie do uwierzytelniania wieloskładnikowego firmy Microsoft. To ustawienie może nie działać z dostawcami tożsamości innych firm.

    Uwaga

    Ustawienie Wymagaj uwierzytelniania wieloskładnikowego do rejestrowania lub dołączania urządzeń przy użyciu identyfikatora Entra firmy Microsoft ma zastosowanie do urządzeń, które są przyłączone do firmy Microsoft (z pewnymi wyjątkami) lub zarejestrowane w usłudze Microsoft Entra. To ustawienie nie dotyczy urządzeń dołączonych hybrydowo do firmy Microsoft, maszyn wirtualnych dołączonych do firmy Microsoft Entra na platformie Azure ani urządzeń dołączonych do firmy Microsoft Entra korzystających z trybu samodzielnego wdrażania rozwiązania Windows Autopilot.

  • Maksymalna liczba urządzeń: to ustawienie umożliwia wybranie maksymalnej liczby urządzeń dołączonych do firmy Microsoft lub zarejestrowanych przez firmę Microsoft Entra urządzeń, które użytkownik może mieć w identyfikatorze Firmy Microsoft Entra. Jeśli użytkownicy osiągną ten limit, nie będą mogli dodawać więcej urządzeń do momentu usunięcia co najmniej jednego z istniejących urządzeń. Wartość domyślna to 50. Możesz zwiększyć wartość do 100. Jeśli wprowadzisz wartość powyżej 100, identyfikator Entra firmy Microsoft ustawia go na 100. Możesz również użyć funkcji Unlimited , aby wymusić brak limitu innego niż istniejące limity przydziału.

    Uwaga

    Ustawienie Maksymalna liczba urządzeń dotyczy urządzeń, które są przyłączone do firmy Microsoft lub zarejestrowane przez firmę Microsoft Entra. To ustawienie nie ma zastosowania do urządzeń dołączonych hybrydowych do firmy Microsoft Entra.

  • Dodatkowi administratorzy lokalni na urządzeniach dołączonych do firmy Microsoft: to ustawienie umożliwia wybranie użytkowników, którzy mają przyznane uprawnienia administratora lokalnego na urządzeniu. Ci użytkownicy są dodawani do roli Device Administracja istrators w identyfikatorze Entra firmy Microsoft. Globalne Administracja istratory w usłudze Microsoft Entra ID i właściciele urządzeń domyślnie otrzymują prawa administratora lokalnego. Ta opcja jest funkcją wersji Premium dostępną za pośrednictwem produktów, takich jak Microsoft Entra ID P1 lub P2 i Enterprise Mobility + Security.

  • Włącz rozwiązanie Microsoft Entra Local Administracja istrator Password Solution (LAPS) (wersja zapoznawcza):LAPS to zarządzanie hasłami kont lokalnych na urządzeniach z systemem Windows. Rozwiązanie LAPS zapewnia bezpieczne zarządzanie wbudowanym hasłem administratora lokalnego i pobieranie go. Dzięki wersji rozwiązania LAPS w chmurze klienci mogą włączyć przechowywanie i rotację haseł administratora lokalnego zarówno dla urządzeń microsoft Entra ID, jak i Microsoft Entra hybrid join. Aby dowiedzieć się, jak zarządzać usługą LAPS w usłudze Microsoft Entra ID, zobacz artykuł z omówieniem.

  • Ogranicz użytkownikom niebędącym administratorem odzyskiwanie kluczy funkcji BitLocker dla urządzeń należących do użytkownika: Administracja może zablokować dostęp do klucza funkcji BitLocker samoobsługi do zarejestrowanego właściciela urządzenia. Użytkownicy domyślni bez uprawnień do odczytu funkcji BitLocker nie mogą wyświetlać ani kopiować ich kluczy funkcji BitLocker dla swoich urządzeń należących do użytkownika. Aby zaktualizować to ustawienie, musisz być administratorem globalnym Administracja lub role uprzywilejowanej Administracja istratorem.

  • Enterprise State Roaming: aby uzyskać informacje o tym ustawieniu, zobacz artykuł z omówieniem.

Dzienniki inspekcji

Działania urządzeń są widoczne w dziennikach aktywności. Te dzienniki obejmują działania wyzwalane przez usługę rejestracji urządzeń i przez użytkowników:

  • Tworzenie urządzeń i dodawanie właścicieli/użytkowników na urządzeniu
  • Zmiany ustawień urządzenia
  • Operacje na urządzeniach, takie jak usuwanie lub aktualizowanie urządzenia

Punktem wejścia do danych inspekcji jest dzienniki inspekcji w sekcji Aktywność na stronie Urządzenia.

Dziennik inspekcji ma domyślny widok listy, który pokazuje:

  • Data i godzina wystąpienia.
  • Cele.
  • Inicjator/aktor działania.
  • Działanie.

Screenshot that shows a table in the Activity section of the Devices page. The table shows the date, target, actor, and activity for four audit logs.

Widok listy można dostosować, wybierając pozycję Kolumny na pasku narzędzi:

Screenshot that shows the toolbar of the Devices page.

Aby zmniejszyć zgłoszone dane do poziomu, który działa dla Ciebie, możesz je filtrować przy użyciu następujących pól:

  • Kategoria
  • Typ zasobu działania
  • Activity
  • Zakres dat
  • Obiekt docelowy
  • Zainicjowane przez (aktor)

Możesz również wyszukać określone wpisy.

Screenshot that shows audit data filtering controls.

Następne kroki