使用 Microsoft Entra 管理中心管理设备标识
Microsoft Entra ID 提供了用于管理设备标识和监视相关事件信息的集中场所。
可以通过完成以下步骤访问设备概述:
- 以至少具有默认用户权限的用户身份登录到 Microsoft Entra 管理中心。
- 转到“标识”>“设备”>“概述”。
从设备概述中,可以了解设备总数、陈旧设备、不兼容设备和非托管的设备。 它还提供了指向 Intune、条件访问、BitLocker 密钥和基本监视的链接。 条件访问和 Microsoft Intune 等其他功能需要额外的角色分配
概览页上的设备计数不会实时更新。 更改应每隔几个小时反映一次。
可以从概述页面中访问“所有设备”页,从而执行以下操作:
- 识别设备,包括:
- 加入或注册到 Microsoft Entra ID 中的设备。
- 通过 Windows Autopilot 部署的设备。
- 使用通用打印的打印机。
- 完成启用、禁用、删除和管理等设备标识管理任务。
- 打印机和 Windows Autopilot 的管理选项在 Microsoft Entra ID 中受限。 这些设备必须从其各自的管理界面进行管理。
- 配置设备标识设置。
- 启用或禁用企业状态漫游。
- 查看与设备相关的审核日志。
- 下载设备。
提示
除非在 Microsoft Intune 中设置主要用户,否则进行 Microsoft Entra 混合联接的 Windows 10 或更高版本的设备没有所有者。 如果按所有者查找设备未找到它,请按设备 ID 搜索。
如果在“已注册”列中看到状态为“待定”的“已进行 Microsoft Entra 混合联接”的设备,则表示该设备已从 Microsoft Entra 同步,正在等待从客户端完成注册。 请参阅如何规划 Microsoft Entra 混合联接实现。 有关详细信息,请参阅设备管理常见问题解答。
对于某些 iOS 设备,包含单引号的设备名可能会使用看起来像单引号的不同字符。 因此,搜索此类设备有些棘手。 如果未看到正确的搜索结果,请确保搜索字符串包含匹配的撇号字符。
管理 Intune 设备
如果你有权在 Intune 中管理设备,则可以管理“移动设备管理”列为“Microsoft Intune”的设备。 如果设备未注册到 Microsoft Intune,则“管理”选项将不可用。
启用或禁用 Microsoft Entra 设备
有两种方法可以启用或禁用设备:
- 选择一个或多个设备后,使用“所有设备”页面上的工具栏。
- 在向下钻取特定设备后,使用工具栏。
重要
- 必须是 Intune 管理员或云设备管理员才能启用或禁用设备。
- 禁用设备会阻止它通过 Microsoft Entra ID 进行身份验证。 这会阻止它访问受基于设备的条件访问保护的 Microsoft Entra 资源以及使用 Windows Hello 企业版凭据。
- 禁用设备将撤销该设备上的主刷新令牌 (PRT) 和所有刷新令牌。
- 无法在 Microsoft Entra ID 中启用或禁用打印机。
删除 Microsoft Entra 设备
有两种方法可以删除设备:
- 选择一个或多个设备后,使用“所有设备”页面上的工具栏。
- 在向下钻取特定设备后,使用工具栏。
重要
- 必须是云设备管理员、Intune 管理员或 Windows 365 管理员才能删除设备。
- 在从通用打印中删除打印机之前,无法将其删除。
- 在从 Intune 中删除 Windows Autopilot 设备之前,无法将其删除。
- 删除设备:
- 阻止它访问 Microsoft Entra 资源。
- 删除附加到设备的所有详细信息。 例如,Windows 设备的 BitLocker 密钥。
- 是不可恢复的活动。 除非必要,否则不建议使用。
如果设备由另一管理机构(如 Microsoft Intune)管理,请确保删除设备前,已擦除或停用该设备。 删除设备之前,请参阅如何管理陈旧设备。
查看或复制设备 ID
可以使用设备 ID 来验证设备上的设备 ID 详细信息或通过 PowerShell 进行故障排除。 要访问复制选项,请选择设备。
查看或复制 BitLocker 密钥
可以查看和复制 BitLocker 密钥以允许用户恢复加密驱动器。 这些密钥仅适用于已加密并将其密钥存储在 Microsoft Entra ID 中的 Windows 设备。 可以在查看设备详细信息时通过选择“显示恢复密钥”找到这些密钥。 选择“显示恢复密钥”会生成一个审核日志条目,可以在 KeyManagement
类别中找到该日志。
若要查看或复制 BitLocker 密钥,你需要是设备所有者或者是具有以下其中一个角色的用户:
注意
如果利用 Windows Autopilot 的设备被重复使用,且存在新的设备所有者,则新的设备所有者必须联系管理员以获取该设备的 BitLocker 恢复密钥。 自定义角色或管理单元范围的管理员将失去对已进行设备所有权更改的设备对 BitLocker 恢复密钥的访问权限。 这些限定了范围的管理员需要联系未限定范围的管理员以获取恢复密钥。 有关详细信息,请参阅查找 Intune 设备的主要用户一文。
查看和筛选设备
可以按以下属性筛选设备列表:
- 已启用状态
- 合规状态
- 联接类型(已建立 Microsoft Entra 联接、已进行 Microsoft Entra 混合联接和已注册 Microsoft Entra)
- 活动时间戳
- OS 类型和 OS 版本
- 为 Windows 11 和 Windows 10 设备显示 Windows (KB5006738)。
- 为使用 Microsoft Defender for Endpoint 管理的受支持版本显示 Windows Server。
- 设备类型(打印机、安全 VM、共享设备、已注册设备)
- MDM
- Autopilot
- 扩展属性
- 管理单元
- 所有者
下载设备
云设备管理员和 Intune 管理员可以使用“下载设备”选项导出列出设备的 CSV 文件。 可以应用筛选器来确定要列出哪些设备。 如果未应用任何筛选器,将列出所有设备。 导出任务可能会运行长达一个小时,具体取决于你的选择。 如果导出任务过程超过 1 小时,则导出将失败,并且不会输出任何文件。
导出的列表包含以下设备标识属性:
displayName,accountEnabled,operatingSystem,operatingSystemVersion,joinType (trustType),registeredOwners,userNames,mdmDisplayName,isCompliant,registrationTime,approximateLastSignInDateTime,deviceId,isManaged,objectId,profileType,systemLabels,model
可为导出任务应用以下筛选器:
- 已启用状态
- 合规状态
- 联接类型
- 活动时间戳
- OS 类型
- 设备类型
配置设备设置
若要使用 Microsoft Entra 管理中心管理设备标识,设备需要在 Microsoft Entra ID 中已注册或已建立联接。 作为管理员,可以通过配置以下设备设置来控制注册和加入设备的过程。
若要读取或修改设备设置,你必须具有以下角色之一:
- 云设备管理员(读取和修改)
- Intune 管理员(只读)
- Windows 365 管理员(只读)
用户可以建立设备与 Microsoft Entra ID 的联接 - 可通过此设置选择可以将其设备注册为已建立 Microsoft Entra 联接的设备的用户。 默认值是 All。
注意
“用户可以建立设备与 Microsoft Entra ID 的联接”设置仅适用于 Windows 10 或以上版本上的 Microsoft Entra 联接。 此设置不适用于已进行 Microsoft Entra 混合联接的设备、Azure 中已建立 Microsoft Entra 联接的 VM 或使用 Windows Autopilot 自部署模式的已建立 Microsoft Entra 联接的设备,因为这些方法在无用户上下文中起作用。
用户可向 Microsoft Entra ID 注册其设备:需要配置此设置,以允许用户向 Microsoft Entra ID 注册 Windows 10 或以上个人版本、iOS、Android 和 macOS 设备。 如果选择“无”,则不允许向 Microsoft Entra ID 注册设备。 登记到 Microsoft Intune 或适用于 Microsoft 365 的移动设备管理需要进行注册。 如果已配置其中的任一服务,则会选中“全部”且“无”不可用。
需要多重身份验证才能向 Microsoft Entra ID 注册设备或建立设备与 Microsoft Entra ID 的联接:
- 我们建议组织使用条件访问中的“注册或加入设备用户”操作来强制实施多重身份验证。 如果你使用要求多重身份验证的条件访问策略,则必须将此切换开关配置为“否”。
- 通过此设置可指定是否需要用户提供另一重身份验证才能建立其设备与 Microsoft Entra ID 的联接或将设备注册到 Microsoft Entra ID。 默认值为 No。 建议在注册或加入设备时要求进行多重身份验证。 为此设备启用多重身份验证前,必须确保已针对注册其设备的用户配置多重身份验证。 有关 Microsoft Entra 多重身份验证的详细信息,请参阅 Microsoft Entra 多重身份验证入门。 此设置可能不适用于第三方标识提供者。
注意
“需要多重身份验证才能向 Microsoft Entra ID 注册设备或建立设备与 Microsoft Entra ID 的联接”设置适用于已建立 Microsoft Entra 联接(但有一些例外)或已注册 Microsoft Entra 的设备。 此设置不适用于已进行 Microsoft Entra 混合联接的设备、Azure 中已建立 Microsoft Entra 联接的 VM 或使用 Windows Autopilot 自部署模式的已建立 Microsoft Entra 联接的设备。
最大设备数:通过此设置可选择用户在 Microsoft Entra ID 中可以拥有的已建立 Microsoft Entra 联接或已注册 Microsoft Entra 的最大设备数。 如果用户达到此限制,则必须先删除一个或多个现有设备,然后才可添加其他设备。 默认值为“50” 。 可以将值增至 100。 如果输入的值大于 100,Microsoft Entra ID 会将其设置为 100。 还可以使用“Unlimited”来强制实施无限制的配额限制,而非现有的配额限制。
注意
“最大设备数”设置适用于已建立 Microsoft Entra 联接或已注册 Microsoft Entra 的设备。 此设置不适用于已进行 Microsoft Entra 混合联接的设备。
管理已加入 Microsoft Entra 的设备上的其他本地管理员:通过此设置可以选择在设备上被授予本地管理员权限的用户。 这些用户将添加到 Microsoft Entra ID 中的设备管理员角色。
启用 Microsoft Entra 本地管理员密码解决方案 (LAPS)(预览版):LAPS 是在 Windows 设备上对本地帐户密码的管理。 LAPS 提供了一种解决方案,用于安全地管理和检索内置的本地管理员密码。 借助云版本的 LAPS,客户可以为 Microsoft Entra ID 和 Microsoft Entra 混合联接设备启用本地管理员密码的存储和轮换。 若要了解如何在 Microsoft Entra ID 中管理 LAPS,请参阅概述文章。
限制非管理员用户恢复自己设备的 BitLocker 密钥:管理员可以阻止设备的注册所有者访问自助 BitLocker 密钥。 没有 BitLocker 读取权限的默认用户将无法在他们自己的设备上查看或复制其 BitLocker 密钥。 必须至少是特权角色管理员才能更新此设置。
企业状态漫游:有关此设置的信息,请参阅概述文章。
审核日志
设备活动在活动日志中可见。 这些日志包括由设备注册服务或用户触发的活动:
- 创建设备并在设备上添加所有者/用户
- 更改设备设置
- 删除设备或更新设备等设备操作
- 批量操作,例如下载所有设备
注意
执行批量操作(如导入或创建)时,如果批量操作未在一小时内完成,则可能是遇到了问题。 若要解决此问题,建议拆分每批处理的记录数。 例如,在开始导出之前,可以通过筛选组类型或用户名来限制结果集,以减少结果的大小。 通过优化筛选器,实质上你是在限制批量操作返回的数据。 有关详细信息,请参阅批量操作服务限制。
审核数据的入口点为“设备”页的“活动”部分中的“审核日志” 。
审核日志有一个默认列表视图,用于显示:
- 匹配项的日期和时间。
- 目标。
- 活动的发起者/参与者。
- 活动。
选择工具栏中的“列”可以自定义列表视图:
要将所报告数据减少到适当的级别,可以使用以下字段对其进行筛选:
- 类别
- 活动资源类型
- 活动
- 日期范围
- Target
- 发起者(参与者)
还可以搜索特定条目。