Zarządzanie ustawieniami dostępu do urządzeń w Podstawowa Mobilność i Zabezpieczenia
Jeśli używasz Podstawowa Mobilność i Zabezpieczenia, mogą istnieć urządzenia, którymi nie można zarządzać przy użyciu Podstawowa Mobilność i Zabezpieczenia. Jeśli tak, należy zablokować dostęp aplikacji Exchange ActiveSync do poczty e-mail platformy Microsoft 365 dla urządzeń przenośnych, które nie są obsługiwane przez Podstawowa Mobilność i Zabezpieczenia. Blokowanie dostępu Exchange ActiveSync aplikacji pomaga zabezpieczyć informacje organizacji na większej liczby urządzeń.
Wykonaj następujące kroki:
Zaloguj się na platformie Microsoft 365 przy użyciu konta administratora globalnego.
W przeglądarce wpisz: https://compliance.microsoft.com/basicmobilityandsecurity.
Przejdź do karty Ustawienia organizacji .
Wybierz pozycję Ograniczenie dostępu dla nieobsługiwanego urządzenia MDM i upewnij się, że wybrano opcję Zezwalaj na dostęp (rejestracja urządzenia jest wymagana).
Aby dowiedzieć się, jakie urządzenia Podstawowa Mobilność i Zabezpieczenia obsługuje, zobacz Możliwości Podstawowa Mobilność i Zabezpieczenia.
Uzyskiwanie szczegółowych informacji o urządzeniach zarządzanych Podstawowa Mobilność i Zabezpieczenia
Ponadto możesz użyć programu Microsoft Graph PowerShell, aby uzyskać szczegółowe informacje o urządzeniach w organizacji skonfigurowanych dla Podstawowa Mobilność i Zabezpieczenia.
Poniżej przedstawiono podział szczegółów urządzenia dostępnych dla Ciebie.
Szczegóły | Czego szukać w programie PowerShell |
---|---|
Urządzenie jest zarejestrowane w Podstawowa Mobilność i Zabezpieczenia. Aby uzyskać więcej informacji, zobacz Rejestrowanie urządzenia przenośnego przy użyciu Podstawowa Mobilność i Zabezpieczenia | Wartość parametru isManaged to: True = urządzenie jest zarejestrowane. False = urządzenie nie jest zarejestrowane. |
Urządzenie jest zgodne z zasadami zabezpieczeń urządzeń. Aby uzyskać więcej informacji, zobacz Twórca zasad zabezpieczeń urządzeń | Wartość parametru isCompliant to: True = urządzenie jest zgodne z zasadami. False = urządzenie nie jest zgodne z zasadami. |
Uwaga
Polecenia i skrypty, które są zgodne, zwracają również szczegółowe informacje o wszystkich urządzeniach zarządzanych przez Microsoft Intune.
Oto kilka elementów, które należy skonfigurować, aby uruchamiać następujące polecenia i skrypty:
Krok 1. Pobieranie i instalowanie zestawu Microsoft Graph PowerShell SDK
Aby uzyskać więcej informacji na temat tych kroków, zobacz Connect to Microsoft 365 with PowerShell (Łączenie z platformą Microsoft 365 przy użyciu programu PowerShell).
Zainstaluj zestaw Microsoft Graph PowerShell SDK dla Windows PowerShell, wykonując następujące kroki:
Otwórz wiersz polecenia programu PowerShell na poziomie administratora.
Uruchom następujące polecenie:
Install-Module Microsoft.Graph -Scope AllUsers
Jeśli zostanie wyświetlony monit o zainstalowanie dostawcy NuGet, wpisz Y i naciśnij klawisz ENTER.
Jeśli zostanie wyświetlony monit o zainstalowanie modułu z galerii PSGallery, wpisz Y i naciśnij klawisz ENTER.
Po instalacji zamknij okno polecenia programu PowerShell.
Krok 2. Nawiązywanie połączenia z subskrypcją platformy Microsoft 365
W oknie programu PowerShell uruchom następujące polecenie.
Connect-MgGraph -Scopes Device.Read.All, User.Read.All
Zostanie otwarte okno podręczne umożliwiające zalogowanie się. Podaj poświadczenia konta administracyjnego i zaloguj się.
Jeśli Twoje konto ma niezbędne uprawnienia, w oknie programu PowerShell zostanie wyświetlona wartość "Witamy w programie Microsoft Graph!".
Krok 3. Upewnij się, że możesz uruchamiać skrypty programu PowerShell
Uwaga
Możesz pominąć ten krok, jeśli masz już skonfigurowane uruchamianie skryptów programu PowerShell.
Aby uruchomić skrypt Get-GraphUserDeviceComplianceStatus.ps1, należy włączyć uruchamianie skryptów programu PowerShell.
W programie Windows Desktop wybierz pozycję Start, a następnie wpisz Windows PowerShell. Kliknij prawym przyciskiem myszy Windows PowerShell, a następnie wybierz pozycję Uruchom jako administrator.
Uruchom następujące polecenie:
Set-ExecutionPolicy RemoteSigned
Po wyświetleniu monitu wpisz Y , a następnie naciśnij klawisz Enter.
Uruchom polecenie cmdlet Get-MgDevice, aby wyświetlić szczegóły dotyczące wszystkich urządzeń w organizacji
Otwórz moduł Microsoft Azure Active Directory dla Windows PowerShell.
Uruchom następujące polecenie:
Get-MgDevice -All -ExpandProperty "registeredOwners" | Where-Object {($_.RegisteredOwners -ne $null) -and ($_.RegisteredOwners.Count -gt 0)}
Aby uzyskać więcej przykładów, zobacz Get-MgDevice.
Uruchamianie skryptu w celu uzyskania szczegółów urządzenia
Najpierw zapisz skrypt na komputerze.
Skopiuj i wklej następujący tekst do Notatnika.
param ( [Parameter(Mandatory = $false)] [PSObject[]]$users = @(), [Parameter(Mandatory = $false)] [Switch]$export, [Parameter(Mandatory = $false)] [String]$exportFileName = "UserDeviceOwnership_" + (Get-Date -Format "yyMMdd_HHMMss") + ".csv", [Parameter(Mandatory = $false)] [String]$exportPath = [Environment]::GetFolderPath("Desktop") ) #Clearing the screen Clear-Host #Preparing the output object $deviceOwnership = @() if ($users.Count -eq 0) { Write-Output "No user has been provided, gathering data for all devices in the tenant" #Getting all Devices and their registered owners $devices = Get-MgDevice -All -Property * -ExpandProperty registeredOwners #For each device which has a registered owner, extract the device data and the registered owner data foreach ($device in $devices) { $DeviceOwners = $device | Select-Object -ExpandProperty 'RegisteredOwners' #Checking if the DeviceOwners Object is empty if ($DeviceOwners -ne $null) { foreach ($DeviceOwner in $DeviceOwners) { $OwnerDictionary = $DeviceOwner.AdditionalProperties $OwnerDisplayName = $OwnerDictionary.Item('displayName') $OwnerUPN = $OwnerDictionary.Item('userPrincipalName') $OwnerID = $deviceOwner.Id $deviceOwnership += [PSCustomObject]@{ DeviceDisplayName = $device.DisplayName DeviceId = $device.DeviceId DeviceOSType = $device.OperatingSystem DeviceOSVersion = $device.OperatingSystemVersion DeviceTrustLevel = $device.TrustType DeviceIsCompliant = $device.IsCompliant DeviceIsManaged = $device.IsManaged DeviceObjectId = $device.Id DeviceOwnerID = $OwnerID DeviceOwnerDisplayName = $OwnerDisplayName DeviceOwnerUPN = $OwnerUPN ApproximateLastLogonTimestamp = $device.ApproximateLastSignInDateTime } } } } } else { #Checking that userid is present in the users object Write-Output "List of users has been provided, gathering data for all devices owned by the provided users" foreach ($user in $users) { $devices = Get-MgUserOwnedDevice -UserId $user.Id -Property * foreach ($device in $devices) { $DeviceHashTable = $device.AdditionalProperties $deviceOwnership += [PSCustomObject]@{ DeviceId = $DeviceHashTable.Item('deviceId') DeviceOSType = $DeviceHashTable.Item('operatingSystem') DeviceOSVersion = $DeviceHashTable.Item('operatingSystemVersion') DeviceTrustLevel = $DeviceHashTable.Item('trustType') DeviceDisplayName = $DeviceHashTable.Item('displayName') DeviceIsCompliant = $DeviceHashTable.Item('isCompliant') DeviceIsManaged = $DeviceHashTable.Item('isManaged') DeviceObjectId = $device.Id DeviceOwnerUPN = $user.UserPrincipalName DeviceOwnerID = $user.Id DeviceOwnerDisplayName = $user.DisplayName ApproximateLastLogonTimestamp = $DeviceHashTable.Item('approximateLastSignInDateTime') } } } } $deviceOwnership if ($export) { $exportFile = Join-Path -Path $exportPath -ChildPath $exportFileName $deviceOwnership | Export-Csv -Path $exportFile -NoTypeInformation Write-Output "Data has been exported to $exportFile" }
Zapisz go jako plik skryptu Windows PowerShell przy użyciu rozszerzenia pliku ".ps1". Na przykład Get-MgGraphDeviceOwnership.ps1.
Uwaga
Skrypt jest również dostępny do pobrania w serwisie GitHub.
Uruchom skrypt, aby uzyskać informacje o urządzeniu dla pojedynczego konta użytkownika
Otwórz program PowerShell.
Przejdź do folderu, w którym zapisano skrypt. Jeśli na przykład zapisano go w programie C:\PS-Scripts, uruchom następujące polecenie.
cd C:\PS-Scripts
Uruchom następujące polecenie, aby zidentyfikować użytkownika, dla który chcesz uzyskać szczegółowe informacje o urządzeniu. W tym przykładzie są pobierane szczegółowe informacje dotyczące elementu user@contoso.com.
$user = Get-MgUser -UserId "user@contoso.com"
Uruchom następujące polecenie, aby zainicjować skrypt.
.\Get-GraphUserDeviceComplianceStatus.ps1 -users $user -Export
Informacje są eksportowane do programu Windows Desktop jako plik CSV. Możesz określić nazwę pliku i ścieżkę pliku CSV.
Uruchom skrypt, aby uzyskać informacje o urządzeniu dla grupy użytkowników
Otwórz program PowerShell.
Przejdź do folderu, w którym zapisano skrypt. Jeśli na przykład zapisano go w programie C:\PS-Scripts, uruchom następujące polecenie.
cd C:\PS-Scripts
Uruchom następujące polecenie, aby zidentyfikować grupę, dla którą chcesz uzyskać szczegółowe informacje o urządzeniu. W tym przykładzie są pobierane szczegółowe informacje dla użytkowników w grupie FinanceStaff.
$groupId = Get-MgGroup -Filter "displayName eq 'FinanceStaff'" | Select-Object -ExpandProperty Id $Users = Get-MgGroupMember -GroupId $groupId | Select-Object -ExpandProperty Id | % { Get-MgUser -UserId $_ }
Uruchom następujące polecenie, aby zainicjować skrypt.
.\Get-GraphUserDeviceComplianceStatus.ps1 -User $Users -Export
Informacje są eksportowane do programu Windows Desktop jako plik CSV. Możesz użyć dodatkowych parametrów, aby określić nazwę pliku i ścieżkę pliku CSV.
Zawartość pokrewna
Program Microsoft Connect został wycofany
Omówienie funkcji Podstawowa mobilność i zabezpieczenia
Ogłoszenie o wycofaniu dla poleceń cmdlet MSOnline i AzureAD
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla