使用 Microsoft Entra 系統管理中心管理裝置身分識別
Microsoft Entra ID 提供管理裝置身分識別及監視相關事件資訊的集中位置。
您可以完成下列步驟來存取裝置概觀:
- 以至少預設用戶權力的使用者身分登入 Microsoft Entra 系統管理中心。
- 移至 [身分識別裝置>概>觀]。
在裝置概觀中,您可以檢視裝置總數、過時裝置、不符合規範的裝置,以及非受控裝置。 它提供 Intune、條件式存取、BitLocker 金鑰和基本監視的連結。 條件式存取和 Microsoft Intune 等其他功能需要額外的角色指派
[概觀] 頁面上的裝置計數不會即時更新。 變更應該每隔幾個小時反映一次。
您可以從該處移至 [所有裝置 ],以:
- 識別裝置,包括:
- 已加入或註冊在 Microsoft Entra 識別碼中的裝置。
- 透過 Windows Autopilot 部署的裝置。
- 使用 通用印表的印表機。
- 完成裝置身分識別管理工作,例如啟用、停用、刪除和管理。
- 印表機和 Windows Autopilot 的管理選項受限於 Microsoft Entra ID。 這些裝置必須從各自的系統管理介面進行管理。
- 設定您的裝置身分識別設定。
- 啟用或停用企業狀態漫遊。
- 檢閱裝置相關的稽核記錄。
- 下載裝置。
提示
除非主要使用者是在 Microsoft Intune 中設定,否則 Microsoft Entra 混合式加入的 Windows 10 或更新版本裝置沒有擁有者。 如果您要依擁有者尋找裝置,但找不到裝置,請依裝置標識符搜尋。
如果您在 [已註冊] 數據行中看到 Microsoft Entra 混合式聯結的裝置狀態為 [擱置],則裝置已從 Microsoft Entra 連線 同步處理,並正在等候從用戶端完成註冊。 請參閱 如何規劃您的 Microsoft Entra 混合式聯結實作。 如需詳細資訊,請參閱 裝置管理常見問題。
對於某些 iOS 裝置,包含單引號的裝置名稱可以使用看起來類似單引號的不同字元。 因此,搜尋這類裝置有點棘手。 如果看不到正確的搜尋結果,請確定搜尋字串包含相符的單引號字元。
管理 Intune 裝置
如果您有在 Intune 中管理裝置的許可權,您可以管理行動裝置管理的裝置列為 Microsoft Intune。 如果未向 Microsoft Intune 註冊裝置, 就無法使用 [管理] 選項。
啟用或停用 Microsoft Entra 裝置
有兩種方式可以啟用或停用裝置:
- 選取一或多個裝置之後,[所有裝置] 頁面上的工具列。
- 向下切入特定裝置之後,工具列。
重要
- 您必須是 Intune 管理員 istrator 或 Cloud Device 管理員 istrator,才能啟用或停用裝置。
- 停用裝置可防止裝置透過 Microsoft Entra 識別碼進行驗證。 這可防止它存取受裝置型條件式存取保護的 Microsoft Entra 資源,以及使用 Windows Hello 企業版 認證。
- 停用裝置會撤銷主要重新整理令牌 (PRT) 和裝置上的任何重新整理令牌。
- 無法在 Microsoft Entra ID 中啟用或停用印表機。
刪除 Microsoft Entra 裝置
有兩種方式可以刪除裝置:
- 選取一或多個裝置之後,[所有裝置] 頁面上的工具列。
- 向下切入特定裝置之後,工具列。
重要
- 您必須是雲端裝置 管理員 istrator、Intune 管理員 istrator 或 Windows 365 管理員 istrator,才能刪除裝置。
- 在從通用列印中刪除印表機之前,無法刪除印表機。
- 在從 Intune 刪除 Windows Autopilot 裝置之前,無法刪除它們。
- 移除裝置:
- 防止它存取您的 Microsoft Entra 資源。
- 拿掉連結至裝置的所有詳細數據。 例如,適用於 Windows 裝置的 BitLocker 金鑰。
- 這是不可復原的活動。 除非必要,否則不建議這麼做。
如果裝置在另一個管理授權單位中受到管理,例如 Microsoft Intune,請務必先將其抹除或淘汰,再將其刪除。 請參閱 如何管理過時的裝置 ,再刪除裝置。
檢視或複製裝置標識碼
您可以使用裝置標識碼來驗證裝置上的裝置標識碼詳細數據,或透過PowerShell進行疑難解答。 若要存取複製選項,請選取裝置。
檢視或複製 BitLocker 金鑰
您可以檢視及複製 BitLocker 金鑰,以允許使用者復原加密的磁碟驅動器。 這些金鑰僅適用於加密的 Windows 裝置,並將其金鑰儲存在 Microsoft Entra ID 中。 當您選取 [顯示修復金鑰] 來檢視裝置的詳細數據時,可以找到這些密鑰。 選取 [ 顯示復原金鑰 ] 會產生稽核記錄專案,您可以在類別中找到 KeyManagement
此專案。
若要檢視或複製 BitLocker 金鑰,您必須是裝置的擁有者,或具有下列其中一個角色:
注意
重複使用利用 Windows Autopilot 的裝置, 而且有新的裝置擁有者時,新的裝置擁有者必須連絡系統管理員以取得該裝置的 BitLocker 修復密鑰。 管理員 裝置範圍系統管理員在裝置擁有權變更后,將無法存取 BitLocker 修復密鑰。 這些限定範圍的系統管理員必須連絡非範圍系統管理員以取得修復密鑰。 如需詳細資訊,請參閱尋找 Intune 裝置的主要使用者一文。
檢視及篩選您的裝置
您可以依下列屬性來篩選裝置清單:
- 已啟用狀態
- 符合規範的狀態
- 聯結類型 (Microsoft Entra joined, Microsoft Entra hybrid joined, Microsoft Entra registered)
- 啟用時間戳
- OS 類型和 OS 版本
- Windows 會顯示 Windows 11 和 Windows 10 裝置(含KB5006738)。
- Windows Server 會顯示為使用 適用於端點的 Microsoft Defender 管理的支援版本。
- 裝置類型(印表機、安全 VM、共用裝置、已註冊的裝置)
- MDM
- Autopilot
- 擴充屬性
- 系統管理單位
- 負責人
下載裝置
雲端裝置 管理員 istrators 和 Intune 管理員 istrators 可以使用 [下載裝置] 選項來匯出列出裝置的 CSV 檔案。 您可以套用篩選來判斷要列出哪些裝置。 如果您未套用任何篩選,則會列出所有裝置。 視您的選取專案而定,匯出工作可能會執行長達一小時。 如果匯出工作超過 1 小時,就會失敗,而且沒有輸出任何檔案。
匯出的清單包含下列裝置身分識別屬性:
displayName,accountEnabled,operatingSystem,operatingSystemVersion,joinType (trustType),registeredOwners,userNames,mdmDisplayName,isCompliant,registrationTime,approximateLastSignInDateTime,deviceId,isManaged,objectId,profileType,systemLabels,model
下列篩選可以套用到匯出工作:
- 已啟用狀態
- 符合規範的狀態
- 聯結類型
- 啟用時間戳
- OS 類型
- 裝置類型:
設定裝置設定
如果您想要使用 Microsoft Entra 系統管理中心來管理裝置 身分識別,則必須註冊或加入 Microsoft Entra 識別符。 身為系統管理員,您可以藉由設定下列裝置設定來控制註冊和加入裝置的程式。
您必須獲指派下列其中一個角色來管理裝置設定:
用戶可以將裝置加入 Microsoft Entra 識別碼:此設定可讓您選取可將其裝置註冊為 Microsoft Entra 已加入裝置的使用者。 預設為 All。
注意
[ 使用者可以將裝置加入 Microsoft Entra 標識符 ] 設定僅適用於 Windows 10 或更新版本上的 Microsoft Entra Join。 此設定不適用於 Microsoft Entra 混合式已加入裝置、 Azure 中加入 Microsoft Entra 的 VM,或使用 Windows Autopilot 自我部署模式 的 Microsoft Entra 已加入裝置,因為這些方法在無使用者內容中運作。
使用者可以使用 Microsoft Entra 識別元註冊其裝置:您必須設定此設定,以允許使用者使用 Microsoft Entra ID 註冊 Windows 10 或更新的個人、iOS、Android 和 macOS 裝置。 如果您選取 [ 無],則不允許裝置向 Microsoft Entra ID 註冊。 使用 Microsoft Intune 或 Microsoft 365 行動裝置管理進行註冊需要註冊。 如果您已設定其中一項服務, 則會選取ALL ,且 無法使用NONE 。
需要多重要素驗證,才能使用 Microsoft Entra ID 註冊或加入裝置:
- 我們建議組織使用 條件式存取中的註冊或加入裝置用戶 動作來強制執行多重要素驗證。 如果您使用條件式存取原則來要求多重要素驗證,則必須將此切換設定為 [否 ]。
- 此設定可讓您指定使用者是否需要提供另一個驗證要素,才能將他們的裝置加入或註冊到 Microsoft Entra ID。 默認值為 [否]。 建議您在註冊或加入裝置時要求多重要素驗證。 啟用此服務的多重要素驗證之前,您必須確定已針對註冊其裝置的用戶設定多重要素驗證。 如需 Microsoft Entra 多重要素驗證服務的詳細資訊,請參閱 開始使用 Microsoft Entra 多重要素驗證。 此設定可能無法與第三方識別提供者搭配使用。
注意
[需要多重要素驗證以使用 Microsoft Entra ID 註冊或加入裝置] 設定會套用至已加入 Microsoft Entra 的裝置(但有一些例外狀況)或已註冊 Microsoft Entra 的裝置。 此設定不適用於使用 Windows Autopilot 自我部署模式的 Microsoft Entra 混合式已加入裝置、Azure 中加入 Microsoft Entra 的 VM 或已加入 Microsoft Entra 的裝置。
裝置數目上限:此設定可讓您選取使用者可在 Microsoft Entra 標識符中擁有的 Microsoft Entra 或 Microsoft Entra 註冊裝置數目上限。 如果用戶達到此限制,在移除一或多個現有裝置之前,他們就無法新增更多裝置。 預設值是 50。 您可以增加最多 100 的值。 如果您輸入超過 100 的值,Microsoft Entra ID 會將它設定為 100。 您也可以使用 [無限制 ] 來強制執行現有配額限制以外的限制。
注意
[ 裝置 數目上限] 設定適用於已加入 Microsoft Entra 或已註冊 Microsoft Entra 的裝置。 此設定不適用於 Microsoft Entra 混合式已加入裝置。
管理 Microsoft Entra 已加入裝置的其他本機系統管理員:此設定可讓您選取在裝置上授與本機系統管理員許可權的使用者。 這些使用者會新增至 Microsoft Entra ID 中的 Device 管理員 istrators 角色。
啟用 Microsoft Entra Local 管理員 istrator 密碼解決方案 (LAPS) (預覽):LAPS 是管理 Windows 裝置上的本機帳戶密碼。 LAPS 提供一個解決方案,可安全地管理及擷取內建的本機系統管理員密碼。 透過雲端版本的 LAPS,客戶可以針對 Microsoft Entra ID 和 Microsoft Entra 混合式加入裝置啟用本機系統管理員密碼的儲存和輪替。 若要瞭解如何在 Microsoft Entra ID 中管理 LAPS,請參閱 概觀文章。
限制非系統管理員用戶復原其擁有裝置的 BitLocker 金鑰:管理員 可以封鎖裝置註冊擁有者的自助式 BitLocker 金鑰存取。 沒有 BitLocker 讀取許可權的預設使用者無法檢視或複製其自有裝置的 BitLocker 金鑰。 您必須至少是特殊許可權角色 管理員 istrator,才能更新此設定。
企業狀態漫遊:如需此設定的相關信息,請參閱 概觀文章。
稽核記錄
裝置活動會顯示在活動記錄中。 這些記錄包括由裝置註冊服務和使用者觸發的活動:
- 裝置建立及新增裝置上的擁有者/使用者
- 裝置設定的變更
- 裝置作業,例如刪除或更新裝置
稽核數據的進入點是 [裝置] 頁面的 [活動] 區段中的 [稽核記錄]。
稽核記錄具有預設清單檢視,顯示:
- 出現的日期和時間。
- 目標。
- 活動的啟動器/動作專案。
- 活動。
您可以選擇工具列中的資料列來自定義清單檢視:
若要將報告的數據減少到適合您的層級,您可以使用下列欄位來篩選它:
- 類別
- 活動資源類型
- Activity
- 日期範圍
- Target
- 由 (動作專案)
您也可以搜尋特定專案。