Udostępnij za pośrednictwem


Zarządzanie tożsamościami urządzeń przy użyciu centrum administracyjnego firmy Microsoft Entra

Microsoft Entra ID zapewnia centralne miejsce do zarządzania tożsamościami urządzeń i monitorowania powiązanych informacji o zdarzeniach.

Zrzut ekranu przedstawiający przegląd urządzeń.

Aby uzyskać dostęp do przeglądu urządzeń, wykonaj następujące kroki:

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako użytkownik z co najmniej domyślnymi uprawnieniami użytkownika.
  2. Przejdź do pozycji Przegląd urządzeń>tożsamości.>

W przeglądzie urządzeń można wyświetlić łączną liczbę urządzeń, nieaktualnych urządzeń, niezgodnych urządzeń i niezarządzanych urządzeń. Udostępnia on linki do usługi Intune, dostępu warunkowego, kluczy funkcji BitLocker i podstawowego monitorowania. Inne funkcje, takie jak dostęp warunkowy i usługa Microsoft Intune, wymagają dodatkowych przypisań ról

Liczba urządzeń na stronie przeglądu nie jest aktualizowana w czasie rzeczywistym. Zmiany powinny być odzwierciedlane co kilka godzin.

Z tego miejsca możesz przejść do pozycji Wszystkie urządzenia , aby:

  • Identyfikowanie urządzeń, w tym:
  • Wykonaj zadania zarządzania tożsamościami urządzeń, takie jak włączanie, wyłączanie, usuwanie i zarządzanie.
  • Konfigurować ustawienia tożsamości urządzenia.
  • Włączanie lub wyłączanie roamingu stanu przedsiębiorstwa.
  • Przeglądać dzienniki inspekcji związane z urządzeniami.
  • Pobierz urządzenia.

Zrzut ekranu przedstawiający widok Wszystkie urządzenia.

Napiwek

  • Hybrydowe urządzenia z systemem Windows 10 lub nowszym dołączone do firmy Microsoft Entra nie mają właściciela, chyba że użytkownik podstawowy jest ustawiony w usłudze Microsoft Intune. Jeśli szukasz urządzenia według właściciela i go nie znajdziesz, wyszukaj według identyfikatora urządzenia.

  • Jeśli widzisz urządzenie dołączone hybrydą firmy Microsoft Entra ze stanem Oczekujące w kolumnie Zarejestrowane , urządzenie zostało zsynchronizowane z programu Microsoft Entra Connect i oczekuje na ukończenie rejestracji od klienta. Zobacz Jak zaplanować implementację dołączania hybrydowego firmy Microsoft Entra. Aby uzyskać więcej informacji, zobacz Zarządzanie urządzeniami — często zadawane pytania.

  • W przypadku niektórych urządzeń z systemem iOS nazwy urządzeń, które zawierają apostrofy, mogą używać różnych znaków, które wyglądają jak apostrofy. Więc wyszukiwanie takich urządzeń jest trochę trudne. Jeśli nie widzisz poprawnych wyników wyszukiwania, upewnij się, że ciąg wyszukiwania zawiera pasujący znak apostrofu.

Zarządzanie urządzeniem usługi Intune

Jeśli masz uprawnienia do zarządzania urządzeniami w usłudze Intune, możesz zarządzać urządzeniami, dla których zarządzanie urządzeniami przenośnymi jest wyświetlane jako usługa Microsoft Intune. Jeśli urządzenie nie zostało zarejestrowane w usłudze Microsoft Intune, opcja Zarządzaj nie jest dostępna.

Włączanie lub wyłączanie urządzenia Firmy Microsoft Entra

Istnieją dwa sposoby włączania lub wyłączania urządzeń:

  • Pasek narzędzi na stronie Wszystkie urządzenia po wybraniu co najmniej jednego urządzenia.
  • Pasek narzędzi po przejściu do szczegółów określonego urządzenia.

Ważne

  • Aby włączyć lub wyłączyć urządzenie, musisz być administratorem usługi Intune lub administratorem urządzeń w chmurze.
  • Wyłączenie urządzenia uniemożliwia uwierzytelnianie za pośrednictwem identyfikatora Entra firmy Microsoft. Zapobiega to uzyskiwaniu dostępu do zasobów firmy Microsoft Entra chronionych przez dostęp warunkowy oparty na urządzeniach i używania poświadczeń Windows Hello dla firm.
  • Wyłączenie urządzenia spowoduje odwołanie podstawowego tokenu odświeżania (PRT) i wszystkich tokenów odświeżania na urządzeniu.
  • Nie można włączyć ani wyłączyć drukarek w identyfikatorze Entra firmy Microsoft.

Usuwanie urządzenia Firmy Microsoft Entra

Istnieją dwa sposoby usuwania urządzenia:

  • Pasek narzędzi na stronie Wszystkie urządzenia po wybraniu co najmniej jednego urządzenia.
  • Pasek narzędzi po przejściu do szczegółów określonego urządzenia.

Ważne

  • Aby usunąć urządzenie, musisz być administratorem urządzeń w chmurze, administratorem usługi Intune lub administratorem systemu Windows 365.
  • Nie można usunąć drukarek przed ich usunięciem z usługi Universal Print.
  • Nie można usunąć urządzeń z rozwiązaniem Windows Autopilot przed usunięciem ich z usługi Intune.
  • Usuwanie urządzenia:
    • Uniemożliwia dostęp do zasobów firmy Microsoft Entra.
    • Usuwa wszystkie szczegóły dołączone do urządzenia. Na przykład klucze funkcji BitLocker dla urządzeń z systemem Windows.
    • Jest działaniem nieodzyskiwalnym. Nie zalecamy tego, chyba że jest to wymagane.

Jeśli urządzenie jest zarządzane w innym urzędzie zarządzania, na przykład w usłudze Microsoft Intune, przed jego usunięciem upewnij się, że zostało ono wyczyszczone lub wycofane. Zobacz Jak zarządzać nieaktualnymi urządzeniami przed usunięciem urządzenia.

Wyświetlanie lub kopiowanie identyfikatora urządzenia

Możesz użyć identyfikatora urządzenia, aby zweryfikować szczegóły identyfikatora urządzenia na urządzeniu lub rozwiązać problemy za pomocą programu PowerShell. Aby uzyskać dostęp do opcji kopiowania, wybierz urządzenie.

Zrzut ekranu przedstawiający identyfikator urządzenia i przycisk kopiowania.

Wyświetlanie lub kopiowanie kluczy funkcji BitLocker

Możesz wyświetlać i kopiować klucze funkcji BitLocker, aby umożliwić użytkownikom odzyskiwanie zaszyfrowanych dysków. Te klucze są dostępne tylko dla urządzeń z systemem Windows, które są szyfrowane i przechowują swoje klucze w identyfikatorze Entra firmy Microsoft. Te klucze można znaleźć podczas wyświetlania szczegółów urządzenia, wybierając pozycję Pokaż klucz odzyskiwania. Wybranie pozycji Pokaż klucz odzyskiwania powoduje wygenerowanie wpisu dziennika inspekcji, który można znaleźć w KeyManagement kategorii.

Zrzut ekranu przedstawiający sposób wyświetlania kluczy funkcji BitLocker.

Aby wyświetlić lub skopiować klucze funkcji BitLocker, musisz być właścicielem urządzenia lub mieć jedną z następujących ról:

Uwaga

Gdy urządzenia korzystające z rozwiązania Windows Autopilot są ponownie używane i istnieje nowy właściciel urządzenia, ten nowy właściciel urządzenia musi skontaktować się z administratorem w celu uzyskania klucza odzyskiwania funkcji BitLocker dla tego urządzenia. Administratorzy z zakresem roli niestandardowej lub jednostki administracyjnej utracą dostęp do kluczy odzyskiwania funkcji BitLocker dla tych urządzeń, które uległy zmianie własności urządzeń. Administratorzy o określonym zakresie muszą skontaktować się z administratorem niebędącym zakresem dla kluczy odzyskiwania. Aby uzyskać więcej informacji, zobacz artykuł Znajdowanie podstawowego użytkownika urządzenia usługi Intune.

Wyświetlanie i filtrowanie urządzeń

Listę urządzeń można filtrować według następujących atrybutów:

  • Stan włączony
  • Stan zgodności
  • Typ sprzężenia (dołączona do firmy Microsoft Entra, przyłączona hybrydowa firma Microsoft Entra, zarejestrowana w usłudze Microsoft Entra)
  • Znacznik czasu aktywności
  • Typ systemu operacyjnego i wersja systemu operacyjnego
  • Typ urządzenia (drukarka, bezpieczna maszyna wirtualna, urządzenie udostępnione, zarejestrowane urządzenie)
  • MDM
  • Autopilot
  • Atrybuty rozszerzenia
  • Jednostka administracyjna
  • Właściciel

Pobieranie urządzeń

Administratorzy urządzeń w chmurze i administratorzy usługi Intune mogą użyć opcji Pobierz urządzenia , aby wyeksportować plik CSV zawierający listę urządzeń. Filtry można zastosować, aby określić, które urządzenia mają być wyświetlone. Jeśli nie zastosujesz żadnych filtrów, zostaną wyświetlone wszystkie urządzenia. Zadanie eksportu może być uruchamiane tak długo, jak godzinę, w zależności od wybranych opcji. Jeśli zadanie eksportu przekracza 1 godzinę, kończy się niepowodzeniem i żaden plik nie jest wyjściowy.

Wyeksportowana lista zawiera następujące atrybuty tożsamości urządzenia:

displayName,accountEnabled,operatingSystem,operatingSystemVersion,joinType (trustType),registeredOwners,userNames,mdmDisplayName,isCompliant,registrationTime,approximateLastSignInDateTime,deviceId,isManaged,objectId,profileType,systemLabels,model

Dla zadania eksportu można zastosować następujące filtry:

  • Stan włączony
  • Stan zgodności
  • Typ sprzężenia
  • Znacznik czasu aktywności
  • Typ systemu operacyjnego
  • Typ urządzenia

Konfigurowanie ustawień urządzenia

Jeśli chcesz zarządzać tożsamościami urządzeń przy użyciu centrum administracyjnego firmy Microsoft Entra, urządzenia muszą być zarejestrowane lub dołączone do identyfikatora Entra firmy Microsoft. Jako administrator możesz kontrolować proces rejestrowania i dołączania urządzeń, konfigurując następujące ustawienia urządzenia.

Aby odczytywać lub modyfikować ustawienia urządzenia, musisz mieć przypisaną jedną z następujących ról:

Zrzut ekranu przedstawiający ustawienia urządzenia związane z identyfikatorem Entra firmy Microsoft.

  • Użytkownicy mogą dołączać urządzenia do identyfikatora Entra firmy Microsoft: to ustawienie umożliwia wybranie użytkowników, którzy mogą zarejestrować swoje urządzenia jako urządzenia dołączone do firmy Microsoft. Wartością domyślną jest wszystkich.

    Uwaga

    Ustawienie Użytkownicy mogą dołączać urządzenia do identyfikatora Entra firmy Microsoft ma zastosowanie tylko do dołączania do firmy Microsoft w systemie Windows 10 lub nowszym. To ustawienie nie dotyczy urządzeń dołączonych hybrydowo do firmy Microsoft, maszyn wirtualnych dołączonych do firmy Microsoft Entra na platformie Azure ani urządzeń dołączonych do firmy Microsoft Entra korzystających z trybu samodzielnego wdrażania rozwiązania Windows Autopilot, ponieważ te metody działają w kontekście bezużytkowym.

  • Użytkownicy mogą rejestrować swoje urządzenia przy użyciu identyfikatora Entra firmy Microsoft: należy skonfigurować to ustawienie, aby umożliwić użytkownikom rejestrowanie urządzeń osobistych z systemem Windows 10 lub nowszym, iOS, Android i macOS przy użyciu identyfikatora Entra firmy Microsoft. Jeśli wybierzesz pozycję Brak, urządzenia nie będą mogły rejestrować się w usłudze Microsoft Entra ID. Rejestracja w usłudze Microsoft Intune lub zarządzanie urządzeniami przenośnymi na platformie Microsoft 365 wymaga rejestracji. Jeśli skonfigurowano jedną z tych usług, wybrano opcję WSZYSTKIE , a opcja NONE jest niedostępna .

  • Wymagaj uwierzytelniania wieloskładnikowego do rejestrowania lub dołączania urządzeń za pomocą identyfikatora Entra firmy Microsoft:

    • W celu wymuszenia uwierzytelniania wieloskładnikowego zaleca się, aby organizacje korzystały z akcji Rejestrowanie lub dołączanie urządzeń w obszarze Dostęp warunkowy. Ten przełącznik należy skonfigurować na wartość Nie , jeśli używasz zasad dostępu warunkowego do wymagania uwierzytelniania wieloskładnikowego.
    • To ustawienie umożliwia określenie, czy użytkownicy są zobowiązani do zapewnienia innego czynnika uwierzytelniania w celu dołączenia lub zarejestrowania swoich urządzeń w identyfikatorze Entra firmy Microsoft. Wartość domyślna to Nie. Zalecamy wymaganie uwierzytelniania wieloskładnikowego po zarejestrowaniu lub dołączeniu urządzenia. Przed włączeniem uwierzytelniania wieloskładnikowego dla tej usługi należy upewnić się, że uwierzytelnianie wieloskładnikowe jest skonfigurowane dla użytkowników rejestrujących swoje urządzenia. Aby uzyskać więcej informacji na temat usług uwierzytelniania wieloskładnikowego firmy Microsoft Entra, zobacz wprowadzenie do uwierzytelniania wieloskładnikowego firmy Microsoft. To ustawienie może nie działać z dostawcami tożsamości innych firm.

    Uwaga

    Ustawienie Wymagaj uwierzytelniania wieloskładnikowego do rejestrowania lub dołączania urządzeń przy użyciu identyfikatora Entra firmy Microsoft ma zastosowanie do urządzeń, które są przyłączone do firmy Microsoft (z pewnymi wyjątkami) lub zarejestrowane w usłudze Microsoft Entra. To ustawienie nie dotyczy urządzeń dołączonych hybrydowo do firmy Microsoft, maszyn wirtualnych dołączonych do firmy Microsoft Entra na platformie Azure ani urządzeń dołączonych do firmy Microsoft Entra korzystających z trybu samodzielnego wdrażania rozwiązania Windows Autopilot.

  • Maksymalna liczba urządzeń: to ustawienie umożliwia wybranie maksymalnej liczby urządzeń dołączonych do firmy Microsoft lub zarejestrowanych przez firmę Microsoft Entra urządzeń, które użytkownik może mieć w identyfikatorze Firmy Microsoft Entra. Jeśli użytkownicy osiągną ten limit, nie będą mogli dodawać więcej urządzeń do momentu usunięcia co najmniej jednego z istniejących urządzeń. Wartość domyślna to 50. Możesz zwiększyć wartość do 100. Jeśli wprowadzisz wartość powyżej 100, identyfikator Entra firmy Microsoft ustawia go na 100. Możesz również użyć funkcji Unlimited , aby wymusić brak limitu innego niż istniejące limity przydziału.

    Uwaga

    Ustawienie Maksymalna liczba urządzeń dotyczy urządzeń, które są przyłączone do firmy Microsoft lub zarejestrowane przez firmę Microsoft Entra. To ustawienie nie ma zastosowania do urządzeń dołączonych hybrydowych do firmy Microsoft Entra.

  • Zarządzanie dodatkowymi administratorami lokalnymi na urządzeniach dołączonych do firmy Microsoft: to ustawienie umożliwia wybranie użytkowników, którzy mają przyznane uprawnienia administratora lokalnego na urządzeniu. Ci użytkownicy są dodawani do roli Administratorzy urządzeń w identyfikatorze Entra firmy Microsoft.

  • Włącz rozwiązanie LAPS (Microsoft Entra Local Administrator Password Solution) (wersja zapoznawcza): LAPS to zarządzanie hasłami kont lokalnych na urządzeniach z systemem Windows. Rozwiązanie LAPS zapewnia bezpieczne zarządzanie wbudowanym hasłem administratora lokalnego i pobieranie go. Dzięki wersji rozwiązania LAPS w chmurze klienci mogą włączyć przechowywanie i rotację haseł administratora lokalnego zarówno dla urządzeń microsoft Entra ID, jak i Microsoft Entra hybrid join. Aby dowiedzieć się, jak zarządzać usługą LAPS w usłudze Microsoft Entra ID, zobacz artykuł z omówieniem.

  • Ogranicz użytkownikom niebędącym administratorem odzyskiwanie kluczy funkcji BitLocker dla swoich urządzeń należących do użytkownika: Administratorzy mogą zablokować dostęp do klucza funkcji BitLocker samoobsługi do zarejestrowanego właściciela urządzenia. Użytkownicy domyślni bez uprawnień do odczytu funkcji BitLocker nie mogą wyświetlać ani kopiować ich kluczy funkcji BitLocker dla swoich urządzeń należących do użytkownika. Aby zaktualizować to ustawienie, musisz być co najmniej administratorem ról uprzywilejowanych.

  • Enterprise State Roaming: aby uzyskać informacje o tym ustawieniu, zobacz artykuł z omówieniem.

Dzienniki inspekcji

Działania urządzeń są widoczne w dziennikach aktywności. Te dzienniki obejmują działania wyzwalane przez usługę rejestracji urządzeń i przez użytkowników:

  • Tworzenie urządzeń i dodawanie właścicieli/użytkowników na urządzeniu
  • Zmiany ustawień urządzenia
  • Operacje na urządzeniach, takie jak usuwanie lub aktualizowanie urządzenia
  • Operacje zbiorcze, takie jak pobieranie wszystkich urządzeń

Uwaga

Podczas wykonywania operacji zbiorczych, takich jak importowanie lub tworzenie, może wystąpić problem, jeśli operacja zbiorcza nie zostanie ukończona w ciągu godziny. Aby obejść ten problem, zalecamy podzielenie liczby rekordów przetworzonych na partię. Na przykład przed rozpoczęciem eksportu można ograniczyć zestaw wyników przez filtrowanie według typu grupy lub nazwy użytkownika w celu zmniejszenia rozmiaru wyników. Uściślijąc filtry, zasadniczo ograniczasz dane zwracane przez operację zbiorczą. Aby uzyskać więcej informacji, zobacz Ograniczenia usługi operacji zbiorczych.

Punktem wejścia do danych inspekcji jest dzienniki inspekcji w sekcji Aktywność na stronie Urządzenia.

Dziennik inspekcji ma domyślny widok listy, który pokazuje:

  • Data i godzina wystąpienia.
  • Cele.
  • Inicjator/aktor działania.
  • Działanie.

Zrzut ekranu przedstawiający tabelę w sekcji Działanie na stronie Urządzenia. W tabeli przedstawiono datę, element docelowy, aktor i aktywność dla czterech dzienników inspekcji.

Widok listy można dostosować, wybierając pozycję Kolumny na pasku narzędzi:

Zrzut ekranu przedstawiający pasek narzędzi strony Urządzenia.

Aby zmniejszyć zgłoszone dane do poziomu, który działa dla Ciebie, możesz je filtrować przy użyciu następujących pól:

  • Kategoria
  • Typ zasobu działania
  • Activity
  • Zakres dat
  • Obiekt docelowy
  • Zainicjowane przez (aktor)

Możesz również wyszukać określone wpisy.

Zrzut ekranu przedstawiający kontrolki filtrowania danych inspekcji.

Następne kroki