Správa nastavení přístupu zařízení v Základní mobilita a zabezpečení

  • Článek

Pokud používáte Základní mobilita a zabezpečení, možná existují zařízení, která nemůžete spravovat pomocí Základní mobilita a zabezpečení. Pokud ano, měli byste blokovat přístup protokol Exchange ActiveSync aplikací k e-mailu Microsoft 365 pro mobilní zařízení, která nejsou podporována Základní mobilita a zabezpečení. Blokování protokol Exchange ActiveSync přístupu k aplikacím pomáhá zabezpečit informace vaší organizace na více zařízeních.

Použijte tento postup:

  1. Přihlaste se k Microsoftu 365 pomocí účtu globálního správce.

  2. V prohlížeči zadejte: https://compliance.microsoft.com/basicmobilityandsecurity.

  3. Přejděte na kartu Nastavení organizace .

  4. Vyberte Omezení přístupu pro nepodporované zařízení MDM a ujistěte se, že je vybraná možnost Povolit přístup (vyžaduje se registrace zařízení).

Informace o zařízeních, která Základní mobilita a zabezpečení podporují, najdete v tématu Možnosti Základní mobilita a zabezpečení.

Získání podrobností o Základní mobilita a zabezpečení spravovaných zařízeních

Kromě toho můžete pomocí Prostředí Microsoft Graph PowerShell získat podrobnosti o zařízeních ve vaší organizaci, která jste nastavili pro Základní mobilita a zabezpečení.

Tady je rozpis podrobností o zařízeních, které máte k dispozici.

Podrobností Co hledat v PowerShellu
Zařízení je zaregistrované v Základní mobilita a zabezpečení. Další informace najdete v tématu Registrace mobilního zařízení pomocí Základní mobilita a zabezpečení Hodnota parametru isManaged je:
True = zařízení je zaregistrované.
False = zařízení není zaregistrované.
Zařízení je v souladu se zásadami zabezpečení zařízení. Další informace najdete v tématu Create zásady zabezpečení zařízení. Hodnota parametru isCompliant je:
True = zařízení vyhovuje zásadám.
False = zařízení nevyhovuje zásadám.

Základní mobilita a zabezpečení parametry PowerShellu.

Poznámka

Následující příkazy a skripty také vrací podrobnosti o všech zařízeních spravovaných službou Microsoft Intune.

Tady je několik věcí, které je potřeba nastavit, abyste mohli spouštět následující příkazy a skripty:

Krok 1: Stažení a instalace sady Microsoft Graph PowerShell SDK

Další informace o těchto krocích najdete v tématu Připojení k Microsoftu 365 pomocí PowerShellu.

  1. Nainstalujte sadu Microsoft Graph PowerShell SDK pro Windows PowerShell pomocí těchto kroků:

    1. Otevřete příkazový řádek PowerShellu na úrovni správce.

    2. Spusťte následující příkaz:

      Install-Module Microsoft.Graph -Scope AllUsers

    3. Pokud se zobrazí výzva k instalaci zprostředkovatele NuGet, zadejte Y a stiskněte enter.

    4. Pokud se zobrazí výzva k instalaci modulu z PSGallery, zadejte Y a stiskněte ENTER.

    5. Po instalaci zavřete příkazové okno PowerShellu.

Krok 2: Připojení k předplatnému Microsoftu 365

  1. V okně PowerShellu spusťte následující příkaz.

    Connect-MgGraph -Scopes Device.Read.All, User.Read.All

  2. Otevře se automaticky otevírané okno, abyste se mohli přihlásit. Zadejte přihlašovací údaje účtu pro správu a přihlaste se.

  3. Pokud má váš účet potřebná oprávnění, zobrazí se v okně PowerShellu "Vítejte v Microsoft Graphu!".

Krok 3: Ujistěte se, že můžete spouštět skripty PowerShellu

Poznámka

Pokud už máte nastavené spouštění skriptů PowerShellu, můžete tento krok přeskočit.

Pokud chcete spustit Get-GraphUserDeviceComplianceStatus.ps1 skript, musíte povolit spouštění skriptů PowerShellu.

  1. Na ploše Windows vyberte Start a zadejte Windows PowerShell. Klikněte pravým tlačítkem na Windows PowerShell a pak vyberte Spustit jako správce.

  2. Spusťte tento příkaz:

    Set-ExecutionPolicy RemoteSigned

  3. Po zobrazení výzvy zadejte Y a stiskněte Enter.

Spuštěním rutiny Get-MgDevice zobrazte podrobnosti o všech zařízeních ve vaší organizaci.

  1. Otevřete modul Microsoft Azure Active Directory pro Windows PowerShell.

  2. Spusťte tento příkaz:

    Get-MgDevice -All -ExpandProperty "registeredOwners" | Where-Object {($_.RegisteredOwners -ne $null) -and ($_.RegisteredOwners.Count -gt 0)}

Další příklady najdete v tématu Get-MgDevice.

Spuštění skriptu pro získání podrobností o zařízení

Nejprve uložte skript do počítače.

  1. Zkopírujte a vložte následující text do Poznámkového bloku.

        param (
 	[Parameter(Mandatory = $false)]
 	[PSObject[]]$users = @(),
 	[Parameter(Mandatory = $false)]
 	[Switch]$export,
 	[Parameter(Mandatory = $false)]
 	[String]$exportFileName = "UserDeviceOwnership_" + (Get-Date -Format "yyMMdd_HHMMss") + ".csv",
 	[Parameter(Mandatory = $false)]
 	[String]$exportPath = [Environment]::GetFolderPath("Desktop")
 )

 #Clearing the screen
 Clear-Host

 #Preparing the output object
 $deviceOwnership = @()


 if ($users.Count -eq 0) {
 	Write-Output "No user has been provided, gathering data for all devices in the tenant"
 	#Getting all Devices and their registered owners
 	$devices = Get-MgDevice -All -Property * -ExpandProperty registeredOwners

 	#For each device which has a registered owner, extract the device data and the registered owner data
 	foreach ($device in $devices) {
 		$DeviceOwners = $device | Select-Object -ExpandProperty 'RegisteredOwners'
 		#Checking if the DeviceOwners Object is empty
 		if ($DeviceOwners -ne $null) {
 			foreach ($DeviceOwner in $DeviceOwners) {
 				$OwnerDictionary = $DeviceOwner.AdditionalProperties
 				$OwnerDisplayName = $OwnerDictionary.Item('displayName')
 				$OwnerUPN = $OwnerDictionary.Item('userPrincipalName')
 				$OwnerID = $deviceOwner.Id
 				$deviceOwnership += [PSCustomObject]@{
 					DeviceDisplayName             = $device.DisplayName
 					DeviceId                      = $device.DeviceId
 					DeviceOSType                  = $device.OperatingSystem
 					DeviceOSVersion               = $device.OperatingSystemVersion
 					DeviceTrustLevel              = $device.TrustType
 					DeviceIsCompliant             = $device.IsCompliant
 					DeviceIsManaged               = $device.IsManaged
 					DeviceObjectId                = $device.Id
 					DeviceOwnerID                 = $OwnerID
 					DeviceOwnerDisplayName        = $OwnerDisplayName
 					DeviceOwnerUPN                = $OwnerUPN
 					ApproximateLastLogonTimestamp = $device.ApproximateLastSignInDateTime
 				}
 			}
 		}

 	}
 }

 else {
 	#Checking that userid is present in the users object
 	Write-Output "List of users has been provided, gathering data for all devices owned by the provided users"
 	foreach ($user in $users) {
 		$devices = Get-MgUserOwnedDevice -UserId $user.Id -Property *
 		foreach ($device in $devices) {
 			$DeviceHashTable = $device.AdditionalProperties
 			$deviceOwnership += [PSCustomObject]@{
 				DeviceId                      = $DeviceHashTable.Item('deviceId')
 				DeviceOSType                  = $DeviceHashTable.Item('operatingSystem')
 				DeviceOSVersion               = $DeviceHashTable.Item('operatingSystemVersion') 
 				DeviceTrustLevel              = $DeviceHashTable.Item('trustType')
 				DeviceDisplayName             = $DeviceHashTable.Item('displayName')
 				DeviceIsCompliant             = $DeviceHashTable.Item('isCompliant')
 				DeviceIsManaged               = $DeviceHashTable.Item('isManaged')
 				DeviceObjectId                = $device.Id
 				DeviceOwnerUPN                = $user.UserPrincipalName
 				DeviceOwnerID                 = $user.Id
 				DeviceOwnerDisplayName        = $user.DisplayName
 				ApproximateLastLogonTimestamp = $DeviceHashTable.Item('approximateLastSignInDateTime')
 			}
 		}
 	}

 }

 $deviceOwnership

 if ($export) {
 	$exportFile = Join-Path -Path $exportPath -ChildPath $exportFileName
 	$deviceOwnership | Export-Csv -Path $exportFile -NoTypeInformation
 	Write-Output "Data has been exported to $exportFile"
 }

  2. Uložte ho jako soubor skriptu Windows PowerShell pomocí přípony souboru ".ps1". Například Get-MgGraphDeviceOwnership.ps1.

    Poznámka

    Skript je také k dispozici ke stažení na GitHubu.

Spuštěním skriptu získejte informace o zařízení pro jeden uživatelský účet.

  1. Otevřete PowerShell.

  2. Přejděte do složky, do které jste skript uložili. Pokud jste ho například uložili do složky C:\PS-Scripts, spusťte následující příkaz.

    cd C:\PS-Scripts

  3. Spuštěním následujícího příkazu identifikujte uživatele, pro kterého chcete získat podrobnosti o zařízení. Tento příklad získá podrobnosti pro user@contoso.com.

    $user = Get-MgUser -UserId "user@contoso.com"

  4. Spuštěním následujícího příkazu spusťte skript.

    .\Get-GraphUserDeviceComplianceStatus.ps1 -users $user -Export

Informace se exportují do plochy Windows jako soubor CSV. Můžete zadat název souboru a cestu k souboru CSV.

Spuštěním skriptu získejte informace o zařízení pro skupinu uživatelů.

  1. Otevřete PowerShell.

  2. Přejděte do složky, do které jste skript uložili. Pokud jste ho například uložili do složky C:\PS-Scripts, spusťte následující příkaz.

    cd C:\PS-Scripts

  3. Spuštěním následujícího příkazu identifikujte skupinu, pro kterou chcete získat podrobnosti o zařízení. Tento příklad získá podrobnosti pro uživatele ve skupině FinanceStaff.

    $groupId = Get-MgGroup -Filter "displayName eq 'FinanceStaff'" | Select-Object -ExpandProperty Id
$Users = Get-MgGroupMember -GroupId $groupId | Select-Object -ExpandProperty Id | % { Get-MgUser -UserId $_ }

  4. Spuštěním následujícího příkazu spusťte skript.

    .\Get-GraphUserDeviceComplianceStatus.ps1 -User $Users -Export

Informace se exportují do plochy Windows jako soubor CSV. K zadání názvu souboru a cesty k souboru CSV můžete použít další parametry.

Související obsah

Microsoft Connect je vyřazený

Přehled základní mobility a zabezpečení

Oznámení o vyřazení z provozu pro rutiny MSOnline a AzureAD

Get-MgUser

Get-MgDevice

Get-MgUserOwnedDevice