Gerenciar configurações de acesso ao dispositivo no Mobilidade básica e segurança

  • Artigo

Se você estiver usando Mobilidade básica e segurança, pode haver dispositivos que você não pode gerenciar com Mobilidade básica e segurança. Nesse caso, você deve bloquear Exchange ActiveSync acesso de aplicativo ao email do Microsoft 365 para dispositivos móveis que não têm suporte por Mobilidade básica e segurança. Bloquear Exchange ActiveSync acesso ao aplicativo ajuda a proteger as informações da organização em mais dispositivos.

Use estas etapas:

  1. Entre no Microsoft 365 com sua conta de administrador global.

  2. No navegador, digite: https://compliance.microsoft.com/basicmobilityandsecurity.

  3. Acesse a guia Configuração da Organização .

  4. Selecione Restrição de acesso para dispositivo MDM sem suporte e verifique se Permitir acesso (o registro de dispositivo é necessário) está selecionado.

Para saber quais dispositivos Mobilidade básica e segurança dão suporte, consulte Recursos de Mobilidade básica e segurança.

Obter detalhes sobre Mobilidade básica e segurança dispositivos gerenciados

Além disso, você pode usar o Microsoft Graph PowerShell para obter detalhes sobre os dispositivos em sua organização que você configurou para Mobilidade básica e segurança.

Aqui está uma divisão para os detalhes do dispositivo disponíveis para você.

Detalhe O que procurar no PowerShell
O dispositivo está registrado no Mobilidade básica e segurança. Para obter mais informações, confira Registrar seu dispositivo móvel usando Mobilidade básica e segurança O valor do parâmetro isManaged é:
O dispositivo True= está registrado.
O dispositivo False= não está registrado.
O dispositivo está em conformidade com as políticas de segurança do dispositivo. Para obter mais informações, consulte Create políticas de segurança do dispositivo O valor do parâmetro isCompliant é:
True = o dispositivo está em conformidade com as políticas.
False = o dispositivo não está em conformidade com as políticas.

Mobilidade básica e segurança parâmetros do PowerShell.

Observação

Os comandos e scripts a seguir também retornam detalhes sobre todos os dispositivos gerenciados por Microsoft Intune.

Aqui estão algumas coisas que você precisa configurar para executar os comandos e scripts a seguir:

Etapa 1: baixar e instalar o SDK do Microsoft Graph PowerShell

Para obter mais informações sobre essas etapas, confira Conectar-se ao Microsoft 365 com o PowerShell.

  1. Instale o SDK do Microsoft Graph PowerShell para Windows PowerShell com estas etapas:

    1. Abra um prompt de comando do PowerShell do nível de administrador.

    2. Execute o seguinte comando:

      Install-Module Microsoft.Graph -Scope AllUsers

    3. Se solicitado a instalar o provedor de NuGet, digite Y e pressione Enter.

    4. Se solicitado a instalar o módulo de PSGallery, digite Y e pressione Enter.

    5. Após a instalação, feche a janela de comando do PowerShell.

Etapa 2: conectar-se à sua assinatura do Microsoft 365

  1. Na janela do Powershell, execute o comando a seguir.

    Connect-MgGraph -Scopes Device.Read.All, User.Read.All

  2. Um pop-up será aberto para você entrar. Forneça as credenciais de sua Conta Administrativa e faça logon.

  3. Se sua conta tiver as permissões necessárias, você verá "Bem-vindo ao Microsoft Graph!" na janela do Powershell.

Etapa 3: verifique se você é capaz de executar scripts do PowerShell

Observação

Você pode ignorar essa etapa se já estiver configurado para executar scripts do PowerShell.

Para executar o script Get-GraphUserDeviceComplianceStatus.ps1, você precisa habilitar a execução de scripts do PowerShell.

  1. Na Área de Trabalho do Windows, selecione Iniciar e digite Windows PowerShell. Clique com o botão direito do mouse em Windows PowerShell e selecione Executar como administrador.

  2. Execute o seguinte comando:

    Set-ExecutionPolicy RemoteSigned

  3. Quando solicitado, digite Y e pressione Enter.

Execute o cmdlet Get-MgDevice para exibir detalhes de todos os dispositivos em sua organização

  1. Abra o módulo Microsoft Azure Active Directory para Windows PowerShell.

  2. Execute o seguinte comando:

    Get-MgDevice -All -ExpandProperty "registeredOwners" | Where-Object {($_.RegisteredOwners -ne $null) -and ($_.RegisteredOwners.Count -gt 0)}

Para obter mais exemplos, consulte Get-MgDevice.

Executar um script para obter detalhes do dispositivo

Primeiro, salve o script no computador.

  1. Copie e cole o texto a seguir no Bloco de Notas.

        param (
 	[Parameter(Mandatory = $false)]
 	[PSObject[]]$users = @(),
 	[Parameter(Mandatory = $false)]
 	[Switch]$export,
 	[Parameter(Mandatory = $false)]
 	[String]$exportFileName = "UserDeviceOwnership_" + (Get-Date -Format "yyMMdd_HHMMss") + ".csv",
 	[Parameter(Mandatory = $false)]
 	[String]$exportPath = [Environment]::GetFolderPath("Desktop")
 )

 #Clearing the screen
 Clear-Host

 #Preparing the output object
 $deviceOwnership = @()


 if ($users.Count -eq 0) {
 	Write-Output "No user has been provided, gathering data for all devices in the tenant"
 	#Getting all Devices and their registered owners
 	$devices = Get-MgDevice -All -Property * -ExpandProperty registeredOwners

 	#For each device which has a registered owner, extract the device data and the registered owner data
 	foreach ($device in $devices) {
 		$DeviceOwners = $device | Select-Object -ExpandProperty 'RegisteredOwners'
 		#Checking if the DeviceOwners Object is empty
 		if ($DeviceOwners -ne $null) {
 			foreach ($DeviceOwner in $DeviceOwners) {
 				$OwnerDictionary = $DeviceOwner.AdditionalProperties
 				$OwnerDisplayName = $OwnerDictionary.Item('displayName')
 				$OwnerUPN = $OwnerDictionary.Item('userPrincipalName')
 				$OwnerID = $deviceOwner.Id
 				$deviceOwnership += [PSCustomObject]@{
 					DeviceDisplayName             = $device.DisplayName
 					DeviceId                      = $device.DeviceId
 					DeviceOSType                  = $device.OperatingSystem
 					DeviceOSVersion               = $device.OperatingSystemVersion
 					DeviceTrustLevel              = $device.TrustType
 					DeviceIsCompliant             = $device.IsCompliant
 					DeviceIsManaged               = $device.IsManaged
 					DeviceObjectId                = $device.Id
 					DeviceOwnerID                 = $OwnerID
 					DeviceOwnerDisplayName        = $OwnerDisplayName
 					DeviceOwnerUPN                = $OwnerUPN
 					ApproximateLastLogonTimestamp = $device.ApproximateLastSignInDateTime
 				}
 			}
 		}

 	}
 }

 else {
 	#Checking that userid is present in the users object
 	Write-Output "List of users has been provided, gathering data for all devices owned by the provided users"
 	foreach ($user in $users) {
 		$devices = Get-MgUserOwnedDevice -UserId $user.Id -Property *
 		foreach ($device in $devices) {
 			$DeviceHashTable = $device.AdditionalProperties
 			$deviceOwnership += [PSCustomObject]@{
 				DeviceId                      = $DeviceHashTable.Item('deviceId')
 				DeviceOSType                  = $DeviceHashTable.Item('operatingSystem')
 				DeviceOSVersion               = $DeviceHashTable.Item('operatingSystemVersion') 
 				DeviceTrustLevel              = $DeviceHashTable.Item('trustType')
 				DeviceDisplayName             = $DeviceHashTable.Item('displayName')
 				DeviceIsCompliant             = $DeviceHashTable.Item('isCompliant')
 				DeviceIsManaged               = $DeviceHashTable.Item('isManaged')
 				DeviceObjectId                = $device.Id
 				DeviceOwnerUPN                = $user.UserPrincipalName
 				DeviceOwnerID                 = $user.Id
 				DeviceOwnerDisplayName        = $user.DisplayName
 				ApproximateLastLogonTimestamp = $DeviceHashTable.Item('approximateLastSignInDateTime')
 			}
 		}
 	}

 }

 $deviceOwnership

 if ($export) {
 	$exportFile = Join-Path -Path $exportPath -ChildPath $exportFileName
 	$deviceOwnership | Export-Csv -Path $exportFile -NoTypeInformation
 	Write-Output "Data has been exported to $exportFile"
 }

  2. Salve-o como um arquivo de script Windows PowerShell usando a extensão de arquivo ".ps1". Por exemplo, Get-MgGraphDeviceOwnership.ps1.

    Observação

    O script também está disponível para download no Github.

Execute o script para obter informações do dispositivo para uma única conta de usuário

  1. Abra o Powershell.

  2. Vá para a pasta em que você salvou o script. Por exemplo, se você o salvou em C:\PS-Scripts, execute o seguinte comando.

    cd C:\PS-Scripts

  3. Execute o comando a seguir para identificar o usuário para o qual você deseja obter detalhes do dispositivo. Este exemplo obtém detalhes para user@contoso.com.

    $user = Get-MgUser -UserId "user@contoso.com"

  4. Execute o comando a seguir para iniciar o script.

    .\Get-GraphUserDeviceComplianceStatus.ps1 -users $user -Export

As informações são exportadas para a Área de Trabalho do Windows como um arquivo CSV. Você pode especificar o nome do arquivo e o caminho do CSV.

Execute o script para obter informações do dispositivo para um grupo de usuários

  1. Abra o Powershell.

  2. Vá para a pasta em que você salvou o script. Por exemplo, se você o salvou em C:\PS-Scripts, execute o seguinte comando.

    cd C:\PS-Scripts

  3. Execute o comando a seguir para identificar o grupo para o qual você deseja obter detalhes do dispositivo. Este exemplo obtém detalhes para usuários do grupo FinanceStaff.

    $groupId = Get-MgGroup -Filter "displayName eq 'FinanceStaff'" | Select-Object -ExpandProperty Id
$Users = Get-MgGroupMember -GroupId $groupId | Select-Object -ExpandProperty Id | % { Get-MgUser -UserId $_ }

  4. Execute o comando a seguir para iniciar o script.

    .\Get-GraphUserDeviceComplianceStatus.ps1 -User $Users -Export

As informações são exportadas para a Área de Trabalho do Windows como um arquivo CSV. Você pode usar parâmetros adicionais para especificar o nome do arquivo e o caminho do CSV.

Conteúdo relacionado

O Microsoft Connect foi desativado

Visão geral da Mobilidade e Segurança Básicas

Anúncio de aposentadoria para cmdlets MSOnline e AzureAD

Get-MgUser

Get-MgDevice

Get-MgUserOwnedDevice