在基本移动性和安全性中管理设备访问设置

如果使用的是基本移动性和安全性,则可能有些设备无法使用基本移动性和安全性进行管理。 如果是这样,则应阻止对基本移动性和安全性不支持的移动设备的 microsoft 365 电子邮件Exchange ActiveSync应用访问权限。 这有助于跨更多设备保护组织信息。

使用以下步骤:

  1. 使用全局管理员帐户登录到 Microsoft 365。

  2. 在浏览器中,键入: https://protection.office.com/.

    重要

    如果这是首次使用基本移动性和安全性进行Microsoft 365 商业标准版,请在此处激活它:激活基本安全性和移动性。 激活后,使用Office 365安全&合规性管理设备。

  3. 转到 数据丢失防护>设备管理>设备策略,然后选择 “管理组织范围的设备访问设置”。

  4. 选择“访问”。

    基本移动性和安全性阻止访问复选框。

  5. 选择“保存”。

若要了解基本移动性和安全性支持的设备,请参阅 基本移动性和安全性功能

获取有关基本移动性和安全性托管设备的详细信息

此外,可以使用 Azure AD PowerShell 获取组织中为基本移动性和安全性设置的设备的详细信息。

下面是可供你使用的设备详细信息的细目。

详情 在 PowerShell 中查找的内容
设备已注册到基本移动性和安全性。 有关详细信息,请参阅 使用基本移动性和安全性注册移动设备 isManaged 参数的值为:
已注册 True= 设备。
未注册 False= 设备。
设备符合设备安全策略。 有关详细信息,请参阅 “创建设备安全策略” isCompliant 参数的值为:
True = 设备符合策略。
False = 设备不符合策略。

基本移动性和安全性 PowerShell 参数。

注意

后面的命令和脚本还返回有关由Microsoft Intune管理的任何设备详细信息。

下面是运行以下命令和脚本需要设置的一些内容:

步骤 1:下载并安装用于Windows PowerShell的 Azure Active Directory 模块

有关这些步骤的详细信息,请参阅 使用 PowerShell 连接到 Microsoft 365

  1. 转到 Microsoft Online Services Sign-In IT 专业人员的助手 RTWl ,然后选择 “下载 Microsoft Online Services 登录助手”。

  2. 安装用于 Windows PowerShell 的 Microsoft Azure Active Directory 模块,具体步骤如下:

    1. 打开管理员级 PowerShell 命令提示符。

    2. 运行 Install-Module MSOnline 命令。

    3. 如果系统提示安装 NuGet 提供程序,请键入 Y,然后按 Enter 键。

    4. 如果系统提示从 PSGallery 安装模块,请键入 Y,然后按 Enter 键。

    5. 安装完成后,关闭 PowerShell 命令窗口。

步骤 2:连接到 Microsoft 365 订阅

  1. 在适用于Windows PowerShell的 Windows Azure Active Directory 模块中,运行以下命令。

    $UserCredential = Get-Credential
    
  2. 在“Windows PowerShell凭据请求”对话框中,键入 Microsoft 365 全局管理员帐户的用户名和密码,然后选择“确定”。

  3. 运行以下命令:

    Connect-MsolService -Credential $UserCredential
    

步骤 3:确保能够运行 PowerShell 脚本

注意

如果已设置为运行 PowerShell 脚本,则可以跳过此步骤。

若要运行Get-MsolUserDeviceComplianceStatus.ps1脚本,需要启用 PowerShell 脚本的运行。

  1. 在 Windows 桌面中,选择“开始”,然后键入Windows PowerShell。 右键单击Windows PowerShell,然后选择“以管理员身份运行”。

  2. 运行以下命令:

    Set-ExecutionPolicy RemoteSigned
    
  3. 出现提示时,键入 Y,然后按 Enter。

运行Get-MsolDevice cmdlet 以显示组织中所有设备的详细信息

  1. 打开用于 Windows PowerShell 的 Microsoft Azure Active Directory 模块。

  2. 运行以下命令:

    Get-MsolDevice -All -ReturnRegisteredOwners | Where-Object {$_.RegisteredOwners.Count -gt 0}
    

有关更多示例,请参阅 Get-MsolDevice

运行脚本以获取设备详细信息

首先,将脚本保存到计算机。

  1. 将以下文本复制并粘贴到记事本中。

    param (
    [PSObject[]]$users = @(),
    [Switch]$export,
    [String]$exportFileName = "UserDeviceComplianceStatus_" + (Get-Date -Format "yyMMdd_HHMMss") + ".csv",
    [String]$exportPath = [Environment]::GetFolderPath("Desktop")
    )
    [System.Collections.IDictionary]$script:schema = @{
    DeviceId = ''
    DeviceOSType = ''
    DeviceOSVersion = ''
    DeviceTrustLevel = ''
    DisplayName = ''
    IsCompliant = ''
    IsManaged = ''
    ApproximateLastLogonTimestamp = ''
    DeviceObjectId = ''
    RegisteredOwnerUpn = ''
    RegisteredOwnerObjectId = ''
    RegisteredOwnerDisplayName = ''
    }
    function createResultObject
    {
    [PSObject]$resultObject = New-Object -TypeName PSObject -Property $script:schema
    return $resultObject
    }
    If ($users.Count -eq 0)
    {
    $users = Get-MsolUser
    }
    [PSObject[]]$result = foreach ($u in $users)
    {
    [PSObject]$devices = get-msoldevice -RegisteredOwnerUpn $u.UserPrincipalName
    foreach ($d in $devices)
    {
    [PSObject]$deviceResult = createResultObject
    $deviceResult.DeviceId = $d.DeviceId
    $deviceResult.DeviceOSType = $d.DeviceOSType
    $deviceResult.DeviceOSVersion = $d.DeviceOSVersion
    $deviceResult.DeviceTrustLevel = $d.DeviceTrustLevel
    $deviceResult.DisplayName = $d.DisplayName
    $deviceResult.IsCompliant = $d.GraphDeviceObject.IsCompliant
    $deviceResult.IsManaged = $d.GraphDeviceObject.IsManaged
    $deviceResult.DeviceObjectId = $d.ObjectId
    $deviceResult.RegisteredOwnerUpn = $u.UserPrincipalName
    $deviceResult.RegisteredOwnerObjectId = $u.ObjectId
    $deviceResult.RegisteredOwnerDisplayName = $u.DisplayName
    $deviceResult.ApproximateLastLogonTimestamp = $d.ApproximateLastLogonTimestamp
    $deviceResult
    }
    }
    If ($export)
    {
    $result | Export-Csv -path ($exportPath + "\" + $exportFileName) -NoTypeInformation
    }
    Else
    {
    $result
    }
    
  2. 使用文件扩展名.ps1将其另存为Windows PowerShell脚本文件;例如,Get-MsolUserDeviceComplianceStatus.ps1。

运行脚本以获取单个用户帐户的设备信息

  1. 打开用于 Windows PowerShell 的 Microsoft Azure Active Directory 模块。

  2. 转到保存脚本的文件夹。 例如,如果将其保存到 C:\PS-Scripts,请运行以下命令。

    cd C:\PS-Scripts
    
  3. 运行以下命令以标识要获取其设备详细信息的用户。 本示例获取有关的详细信息 bar@example.com。

    $u = Get-MsolUser -UserPrincipalName bar@example.com
    
  4. 运行以下命令以启动脚本。

    .\Get-MsolUserDeviceComplianceStatus.ps1 -User $u -Export
    

信息将作为 CSV 文件导出到 Windows 桌面。 可以使用其他参数来指定 CSV 的文件名和路径。

运行脚本以获取一组用户的设备信息

  1. 打开用于 Windows PowerShell 的 Microsoft Azure Active Directory 模块。

  2. 转到保存脚本的文件夹。 例如,如果将其保存到 C:\PS-Scripts,请运行以下命令。

    cd C:\PS-Scripts
    
  3. 运行以下命令以标识要获取其设备详细信息的组。 本示例获取 FinanceStaff 组中用户的详细信息。

    $u = Get-MsolGroupMember -SearchString "FinanceStaff" | % { Get-MsolUser -ObjectId $_.ObjectId }
    
  4. 运行以下命令以启动脚本。

    .\Get-MsolUserDeviceComplianceStatus.ps1 -User $u -Export
    

信息将作为 CSV 文件导出到 Windows 桌面。 可以使用其他参数来指定 CSV 的文件名和路径。

Microsoft Connect 已停用

基本移动性和安全性概览

Get-MsolDevice