Поделиться через

Управление идентификацией устройств с помощью центра администрирования Microsoft Entra

Идентификатор Microsoft Entra предоставляет центральное место для управления идентификацией устройств и мониторинга информации о связанных событиях.

Снимок экрана: обзор устройств.

Вы можете получить доступ к общим сведениям об устройствах, выполнив следующие действия:

  1. Войдите в Центр администрирования Microsoft Entra как пользователь, имеющий хотя бы разрешения по умолчанию.
  2. Перейдите к Entra ID>Устройства>Обзор.

В разделе "Общие сведения об устройствах" можно просмотреть общее число устройств, а также количество неактивных устройств, несоответствующих устройств и неуправляемых устройств. Он предоставляет ссылки на Intune, условный доступ, ключи BitLocker и базовый мониторинг. Другие функции, такие как условный доступ и Microsoft Intune, требуют дополнительных назначений ролей

Количество устройств на странице обзора не обновляется в режиме реального времени. Изменения должны отражаться каждые несколько часов.

Оттуда можно перейти ко всем устройствам :

  • Определите устройства, в том числе:
    • Устройства, присоединенные или зарегистрированные в идентификаторе Microsoft Entra.
    • Устройства, развернутые с помощью Windows Autopilot.
    • Принтеры, использующие универсальную печать.
  • Выполнение задач управления идентификацией устройств, таких как активация, деактивация, удаление и управление.
    • Параметры управления принтерами и Windows Autopilot ограничены в идентификаторе Microsoft Entra. Эти устройства должны управляться из соответствующих им интерфейсов администратора.
  • Настройка параметров идентификации устройства.
  • Включение или отключение службы Enterprise State Roaming.
  • Проверка журналов аудита, связанных с устройствами.
  • Скачайте устройства.

Снимок экрана, показывающий вид

Совет

  • Гибридные устройства Microsoft Entra, присоединённые к Windows 10 или более новым, не имеют владельца, если основной пользователь не назначен в Microsoft Intune. Если вы ищете устройство по владельцу и оно не обнаруживается, выполните поиск по коду устройства.

  • Если вы видите устройство, гибридно присоединенное к Microsoft Entra со статусом "Ожидание" в столбце "Зарегистрировано", это означает, что устройство было синхронизировано из Microsoft Entra Connect и ожидает завершения регистрации на стороне клиента. Ознакомьтесь с тем, как спланировать внедрение гибридного подключения Microsoft Entra. Дополнительные сведения см. в статье "Часто задаваемые вопросы об управлении устройствами".

  • Для некоторых устройств iOS, имена которых содержат апострофы, можно использовать другие знаки, которые выглядят как апострофы. Поэтому поиск таких устройств является немного сложным. Если не отображаются правильные результаты поиска, убедитесь, что строка поиска содержит соответствующий символ апострофа.

Управление устройством Intune

Если у вас есть права на управление устройствами в Intune, вы можете управлять устройствами, для которых управление мобильными устройствами указано как Microsoft Intune. Если устройство не зарегистрировано в Microsoft Intune, параметр "Управление " недоступен.

Включение или отключение устройства Microsoft Entra

Включить или отключить устройства можно двумя способами:

  • Панель инструментов на странице "Все устройства" после выбора одного или нескольких устройств.
  • Панель инструментов появляется после детализации определенного устройства.

Внимание

  • Для включения или отключения устройства необходимо быть администратором Intune или администратором облачных устройств.
  • Отключение устройства предотвращает проверку подлинности с помощью идентификатора Microsoft Entra. Это предотвращает доступ к ресурсам Microsoft Entra, защищенным условным доступом на основе устройств, и использование учетных данных Windows Hello для бизнеса.
  • Отключение устройства приведет к отмене основного маркера обновления (PRT) и всех маркеров обновления на устройстве.
  • Принтеры не могут быть включены или отключены в идентификаторе Microsoft Entra.

Удаление устройства Microsoft Entra

Существует два способа удаления устройства:

  • Панель инструментов на странице "Все устройства" после выбора одного или нескольких устройств.
  • Панель инструментов появляется после детализации определенного устройства.

Внимание

  • Для удаления устройства необходимо быть администратором облачных устройств, администратором Intune или администратором Windows 365.
  • Не удается удалить принтеры перед их удалением из универсальной печати.
  • Устройства Windows Autopilot не могут быть удалены до их удаления из Intune.
  • Удаление устройства:
    • Препятствует получению доступа к ресурсам Microsoft Entra.
    • Удаляет все сведения, присоединенные к устройству. Например, ключи BitLocker для устройств Windows.
    • Является невосстанавливаемым действием. Мы не рекомендуем его, если это не требуется.

Если устройство управляется в другом центре управления, например Microsoft Intune, убедитесь, что оно очищается или удаляется перед удалением. Узнайте , как управлять устаревшими устройствами перед удалением устройства.

Просмотр и копирование кода устройства

С помощью кода устройства можно проверять соответствующие сведения об устройстве или устранять неполадки, используя PowerShell. Чтобы перейти к функции копирования, выберите устройство.

Снимок экрана: идентификатор устройства и кнопка копирования.

Просмотр и копирование ключей BitLocker

Вы можете просмотреть и скопировать ключи BitLocker, чтобы дать пользователям возможность восстановить свои зашифрованные диски. Эти ключи доступны только для устройств Windows, которые шифруются и хранят их ключи в идентификаторе Microsoft Entra. Эти ключи можно найти при просмотре сведений об устройстве, нажав кнопку "Показать ключ восстановления". При нажатии кнопки "Показать ключ восстановления" создается запись журнала аудита, которую можно найти в KeyManagement категории.

Снимок экрана: просмотр ключей BitLocker.

Чтобы просмотреть или скопировать ключи BitLocker, необходимо быть владельцем устройства или иметь одну из следующих ролей:

Примечание.

Когда устройства, использующие Windows Autopilot , повторно используются и есть новый владелец устройства, новый владелец устройства должен обратиться к администратору, чтобы получить ключ восстановления BitLocker для этого устройства. Пользовательские роли или администраторы, привязанные к административной единице, будут продолжать иметь доступ к ключам восстановления BitLocker для устройств, которые сменили владельца, если только новый владелец устройства не входит в пользовательскую роль или область административной единицы. В таком случае пользователю потребуется обратиться к другому администратору области для ключей восстановления. Дополнительные сведения см. в статье "Поиск основного пользователя устройства Intune".

Просмотр и фильтрация устройств

Список устройств можно отфильтровать по следующим атрибутам:

  • Включенное состояние
  • Состояние соответствия
  • Тип присоединения (присоединено к Microsoft Entra, гибридное присоединение к Microsoft Entra, зарегистрировано в системе Microsoft Entra)
  • Отметка времени активности
  • Тип ОС и версия ОС
  • Тип устройства (принтер, защищенная виртуальная машина, общее устройство, зарегистрированное устройство)
  • МDM
  • Автопилот
  • Атрибуты расширения
  • Административная единица
  • Владелец

Скачивание устройств

Администраторы облачных устройств и администраторы Intune могут использовать параметр "Скачать устройства " для экспорта CSV-файла, который перечисляет устройства. Вы можете применить фильтры, чтобы определить, какие устройства следует добавить в список. Если вы не применяете фильтры, отображаются все устройства. Задача экспорта может выполняться в течение часа в зависимости от выбранных параметров. Если задача экспорта занимает более 1 часа, она завершается ошибкой и файл не выводится.

Экспортированный список содержит эти параметры идентификации устройства:

displayName,accountEnabled,operatingSystem,operatingSystemVersion,joinType (trustType),registeredOwners,userNames,mdmDisplayName,isCompliant,registrationTime,approximateLastSignInDateTime,deviceId,isManaged,objectId,profileType,systemLabels,model

Для задачи экспорта можно применить следующие фильтры:

  • Включенное состояние
  • Состояние соответствия
  • Тип соединения
  • Отметка времени активности
  • Тип ОС
  • Тип устройства

Настройка параметров устройства

Если вы хотите управлять удостоверениями устройств с помощью Центра администрирования Microsoft Entra, устройства должны быть зарегистрированы или присоединены в Microsoft Entra ID. Администратор может управлять процессом регистрации и присоединения устройств, задав перечисленные ниже параметры устройства.

Для чтения или изменения параметров устройства необходимо назначить одну из следующих ролей:

Снимок экрана: параметры устройства, связанные с идентификатором Microsoft Entra.

  • Пользователи могут присоединяться к устройствам с идентификатором Microsoft Entra. Этот параметр позволяет выбрать пользователей, которые могут зарегистрировать свои устройства в качестве присоединенных к Microsoft Entra устройств. Значение по умолчанию — All.

    Примечание.

    Пользователи могут присоединять устройства к Microsoft Entra ID, применяется только для присоединения к Microsoft Entra в Windows 10 и более поздних версиях. Этот параметр не применяется к устройствам, подключенным через гибридное присоединение Microsoft Entra, виртуальным машинам, подключенным к Microsoft Entra в Azure или устройствам, подключенным через Microsoft Entra и использующим режим самостоятельного развертывания Windows Autopilot, так как эти методы работают в контексте без пользователя.

  • Пользователи могут зарегистрировать свои устройства с идентификатором Microsoft Entra ID: необходимо настроить этот параметр, чтобы разрешить пользователям регистрировать устройства Windows 10 или более новые личные, iOS, Android и macOS с помощью идентификатора Microsoft Entra ID. Если выбрать None, устройства не могут зарегистрироваться в Microsoft Entra ID. Для регистрации в Microsoft Intune или службе управления мобильными устройствами для Microsoft 365 требуется регистрация. Если вы настроили любой из этих служб, выбрано значение ALL , и NONE недоступен.

  • Требуется многофакторная проверка подлинности для регистрации или соединения устройств с идентификатором Microsoft Entra:

    • Мы рекомендуем организациям использовать действие "Регистрация или присоединение устройств" в условном доступе для применения многофакторной проверки подлинности. Чтобы использовать политику условного доступа для требования многофакторной аутентификации, вы должны установить этот переключатель в положение Нет.
    • Этот параметр позволяет указать, должны ли пользователи предоставлять другой фактор проверки подлинности для присоединения или регистрации устройств в идентификаторе Microsoft Entra. Значение по умолчанию — Нет. Рекомендуется требовать многофакторную проверку подлинности при регистрации или присоединении устройства. Перед включением многофакторной проверки подлинности для этой службы необходимо убедиться, что она настроена для пользователей, которые регистрируют свои устройства. Дополнительные сведения о службах многофакторной проверки подлинности Microsoft Entra см. в статье о начале работы с многофакторной проверкой подлинности Microsoft Entra. Этот параметр может не работать с сторонними поставщиками удостоверений.

    Примечание.

    Требование многофакторной проверки подлинности для регистрации или соединения устройств с параметром идентификатора Microsoft Entra применяется к устройствам, присоединенным (с некоторыми исключениями) или зарегистрированным Microsoft Entra. Этот параметр не применяется к гибридным устройствам, присоединенным к Microsoft Entra виртуальным машинам в Azure или устройствам, присоединенным к Microsoft Entra, которые используют режим самостоятельного развертывания Windows Autopilot.

  • Максимальное количество устройств: этот параметр позволяет выбрать максимальное количество присоединенных к Microsoft Entra устройств или зарегистрированных устройств Microsoft Entra, которые пользователь может иметь в идентификаторе Microsoft Entra. Если пользователи достигли этого ограничения, они не смогут добавить больше устройств, пока не будет удалено одно или несколько из доступных устройств. Значение по умолчанию — 50. Значение можно увеличить до 100. Если ввести значение выше 100, идентификатор Microsoft Entra задает для него значение 100. Вы также можете использовать Неограниченное, чтобы не устанавливать никаких ограничений, помимо существующих ограничений квоты.

    Примечание.

    Максимальное число параметров устройств применяется к устройствам, присоединенным к Microsoft Entra или зарегистрированным Microsoft Entra. Этот параметр не применяется к гибридным устройствам, присоединенным к Microsoft Entra.

  • Управление дополнительными локальными администраторами на устройствах, присоединенных к Microsoft Entra. Этот параметр позволяет выбрать пользователей, которым предоставлены права локального администратора на устройстве. Эти пользователи добавляются в роль "Администраторы устройств" в идентификаторе Microsoft Entra.

  • Включение решения Microsoft Entra для управления паролями локального администратора (LAPS) (предварительная версия): LAPS — это система управления паролями локальных учетных записей на устройствах Windows. LAPS предоставляет решение для безопасного управления и получения встроенного пароля локального администратора. С облачной версией LAPS клиенты могут включить хранение и ротацию паролей локальных администраторов для устройств, подключенных к Microsoft Entra ID и для устройств гибридного подключения Microsoft Entra. Чтобы узнать, как управлять LAPS в Microsoft Entra ID, см. обзорную статью.

  • Ограничить восстановление ключей BitLocker для своих собственных устройств пользователями, не являющихся администраторами. Администраторы могут блокировать самостоятельный доступ к ключу BitLocker зарегистрированного владельца устройства. Пользователи по умолчанию без разрешения на чтение BitLocker не могут просматривать или копировать ключи BitLocker для своих собственных устройств. Чтобы обновить этот параметр, необходимо быть по крайней мере администратором привилегированных ролей .

  • Enterprise State Roaming: см. статью обзора для получения дополнительных сведений об этом параметре.

Журналы аудита

Действия устройства отображаются в журналах действий. В эти журналы записываются действия, активированные службой регистрации устройств и пользователями:

  • создание устройства и добавление владельцев или пользователей устройства;
  • изменение параметров устройства;
  • операции с устройством, например удаление или обновление устройства.
  • Массовые операции, такие как скачивание всех устройств

Примечание.

При выполнении массовых операций, таких как импорт или создание, можно столкнуться с проблемой, если массовая операция не завершается в течение часа. Чтобы обойти эту проблему, рекомендуется разделить количество записей, обработанных на пакет. Например, перед началом экспорта можно ограничить результирующий набор, отфильтровав тип группы или имя пользователя, чтобы уменьшить размер результатов. Уточняя фильтры, вы, по сути, ограничиваете данные, возвращаемые групповой операцией. Дополнительные сведения см. в разделе об ограничениях службы массовых операций.

Точка входа в данные аудита — журналы аудита в разделе "Действия " страницы "Устройства ".

Журнал аудита содержит представление списка по умолчанию, в котором отображаются:

  • Дата и время выполнения действия.
  • Целевые объекты.
  • Инициатор или субъект действия.
  • Активность.

Снимок экрана: таблица в разделе действий страницы

Чтобы настроить представление списка, выберите "Столбцы " на панели инструментов:

Снимок экрана: панель инструментов страницы

Чтобы сократить сообщаемые данные до подходящего уровня, можно отфильтровать их с помощью следующих полей:

  • Категория
  • Тип ресурса действия
  • Активность
  • Диапазон дат
  • Цель
  • Инициировано исполнителем

Кроме того, можно выполнять поиск конкретных записей.

Снимок экрана: элементы управления фильтрацией данных аудита.

Следующие шаги