Administrer indstillinger for enhedsadgang i Grundlæggende mobilitet og sikkerhed

  • Artikel

Hvis du bruger Grundlæggende mobilitet og sikkerhed, kan der være enheder, som du ikke kan administrere med Grundlæggende mobilitet og sikkerhed. Hvis det er tilfældet, skal du blokere Exchange ActiveSync appadgang til Microsoft 365-mail til mobilenheder, der ikke understøttes af Grundlæggende mobilitet og sikkerhed. Blokering af Exchange ActiveSync appadgang hjælper med at beskytte dine organisationsoplysninger på tværs af flere enheder.

Brug disse trin:

  1. Log på Microsoft 365 med din globale administratorkonto.

  2. I din browser skal du skrive: https://compliance.microsoft.com/basicmobilityandsecurity.

  3. Gå til fanen Organisationsindstilling .

  4. Vælg Adgangsbegrænsning for ikke-understøttet MDM-enhed , og sørg for , at Tillad adgang (enhedsregistrering er påkrævet) er valgt.

Du kan få mere at vide om, hvilke enheder Grundlæggende mobilitet og sikkerhed understøtter, under Egenskaber for Grundlæggende mobilitet og sikkerhed.

Få oplysninger om Grundlæggende mobilitet og sikkerhed administrerede enheder

Du kan også bruge Microsoft Graph PowerShell til at få oplysninger om de enheder i din organisation, du har konfigureret til Grundlæggende mobilitet og sikkerhed.

Her er en oversigt over de enhedsoplysninger, der er tilgængelige for dig.

Detaljer Hvad skal du kigge efter i PowerShell?
Enheden er tilmeldt Grundlæggende mobilitet og sikkerhed. Du kan finde flere oplysninger under Tilmeld din mobilenhed ved hjælp af Grundlæggende mobilitet og sikkerhed Værdien af parameteren isManaged er:
True= enheden er tilmeldt.
False= enheden er ikke tilmeldt.
Enheden er kompatibel med dine politikker for enhedssikkerhed. Du kan finde flere oplysninger under Create politikker for enhedssikkerhed Værdien af parameteren isCompliant er:
True = enheden er kompatibel med politikker.
False = enheden er ikke kompatibel med politikker.

Grundlæggende mobilitet og sikkerhed PowerShell-parametre.

Bemærk!

Følgende kommandoer og scripts returnerer også oplysninger om alle enheder, der administreres af Microsoft Intune.

Her er et par ting, du skal konfigurere for at køre følgende kommandoer og scripts:

Trin 1: Download og installér Microsoft Graph PowerShell SDK

Du kan finde flere oplysninger om disse trin under Opret forbindelse til Microsoft 365 med PowerShell.

  1. Installér Microsoft Graph PowerShell SDK til Windows PowerShell ved hjælp af disse trin:

    1. Åbn en PowerShell-kommandoprompt på administratorniveau.

    2. Kør følgende kommando:

      Install-Module Microsoft.Graph -Scope AllUsers

    3. Hvis du bliver bedt om at installere NuGet-udbyderen, skal du skrive Y og trykke på ENTER.

    4. Hvis du bliver bedt om at installere modulet fra PSGallery, skal du skrive Y og trykke på ENTER.

    5. Luk PowerShell-kommandovinduet efter installationen.

Trin 2: Opret forbindelse til dit Microsoft 365-abonnement

  1. Kør følgende kommando i Powershell-vinduet.

    Connect-MgGraph -Scopes Device.Read.All, User.Read.All

  2. Der åbnes et pop op-vindue, hvor du kan logge på. Angiv legitimationsoplysningerne for din administrative konto, og log på.

  3. Hvis din konto har de nødvendige tilladelser, kan du se "Velkommen til Microsoft Graph!" i Powershell-vinduet.

Trin 3: Sørg for, at du kan køre PowerShell-scripts

Bemærk!

Du kan springe dette trin over, hvis du allerede er konfigureret til at køre PowerShell-scripts.

Hvis du vil køre Get-GraphUserDeviceComplianceStatus.ps1-scriptet, skal du aktivere kørsel af PowerShell-scripts.

  1. Vælg Start i Windows Desktop, og skriv derefter Windows PowerShell. Højreklik på Windows PowerShell, og vælg derefter Kør som administrator.

  2. Kør følgende kommando.

    Set-ExecutionPolicy RemoteSigned

  3. Når du bliver bedt om det, skal du skrive Y og derefter trykke på Enter.

Kør cmdlet'en Get-MgDevice for at få vist oplysninger om alle enheder i organisationen

  1. Åbn modulet Microsoft Azure Active Directory for Windows PowerShell.

  2. Kør følgende kommando.

    Get-MgDevice -All -ExpandProperty "registeredOwners" | Where-Object {($_.RegisteredOwners -ne $null) -and ($_.RegisteredOwners.Count -gt 0)}

Du kan få flere eksempler under Get-MgDevice.

Kør et script for at få enhedsoplysninger

Gem først scriptet på computeren.

  1. Kopiér og indsæt følgende tekst i Notesblok.

        param (
 	[Parameter(Mandatory = $false)]
 	[PSObject[]]$users = @(),
 	[Parameter(Mandatory = $false)]
 	[Switch]$export,
 	[Parameter(Mandatory = $false)]
 	[String]$exportFileName = "UserDeviceOwnership_" + (Get-Date -Format "yyMMdd_HHMMss") + ".csv",
 	[Parameter(Mandatory = $false)]
 	[String]$exportPath = [Environment]::GetFolderPath("Desktop")
 )

 #Clearing the screen
 Clear-Host

 #Preparing the output object
 $deviceOwnership = @()


 if ($users.Count -eq 0) {
 	Write-Output "No user has been provided, gathering data for all devices in the tenant"
 	#Getting all Devices and their registered owners
 	$devices = Get-MgDevice -All -Property * -ExpandProperty registeredOwners

 	#For each device which has a registered owner, extract the device data and the registered owner data
 	foreach ($device in $devices) {
 		$DeviceOwners = $device | Select-Object -ExpandProperty 'RegisteredOwners'
 		#Checking if the DeviceOwners Object is empty
 		if ($DeviceOwners -ne $null) {
 			foreach ($DeviceOwner in $DeviceOwners) {
 				$OwnerDictionary = $DeviceOwner.AdditionalProperties
 				$OwnerDisplayName = $OwnerDictionary.Item('displayName')
 				$OwnerUPN = $OwnerDictionary.Item('userPrincipalName')
 				$OwnerID = $deviceOwner.Id
 				$deviceOwnership += [PSCustomObject]@{
 					DeviceDisplayName             = $device.DisplayName
 					DeviceId                      = $device.DeviceId
 					DeviceOSType                  = $device.OperatingSystem
 					DeviceOSVersion               = $device.OperatingSystemVersion
 					DeviceTrustLevel              = $device.TrustType
 					DeviceIsCompliant             = $device.IsCompliant
 					DeviceIsManaged               = $device.IsManaged
 					DeviceObjectId                = $device.Id
 					DeviceOwnerID                 = $OwnerID
 					DeviceOwnerDisplayName        = $OwnerDisplayName
 					DeviceOwnerUPN                = $OwnerUPN
 					ApproximateLastLogonTimestamp = $device.ApproximateLastSignInDateTime
 				}
 			}
 		}

 	}
 }

 else {
 	#Checking that userid is present in the users object
 	Write-Output "List of users has been provided, gathering data for all devices owned by the provided users"
 	foreach ($user in $users) {
 		$devices = Get-MgUserOwnedDevice -UserId $user.Id -Property *
 		foreach ($device in $devices) {
 			$DeviceHashTable = $device.AdditionalProperties
 			$deviceOwnership += [PSCustomObject]@{
 				DeviceId                      = $DeviceHashTable.Item('deviceId')
 				DeviceOSType                  = $DeviceHashTable.Item('operatingSystem')
 				DeviceOSVersion               = $DeviceHashTable.Item('operatingSystemVersion') 
 				DeviceTrustLevel              = $DeviceHashTable.Item('trustType')
 				DeviceDisplayName             = $DeviceHashTable.Item('displayName')
 				DeviceIsCompliant             = $DeviceHashTable.Item('isCompliant')
 				DeviceIsManaged               = $DeviceHashTable.Item('isManaged')
 				DeviceObjectId                = $device.Id
 				DeviceOwnerUPN                = $user.UserPrincipalName
 				DeviceOwnerID                 = $user.Id
 				DeviceOwnerDisplayName        = $user.DisplayName
 				ApproximateLastLogonTimestamp = $DeviceHashTable.Item('approximateLastSignInDateTime')
 			}
 		}
 	}

 }

 $deviceOwnership

 if ($export) {
 	$exportFile = Join-Path -Path $exportPath -ChildPath $exportFileName
 	$deviceOwnership | Export-Csv -Path $exportFile -NoTypeInformation
 	Write-Output "Data has been exported to $exportFile"
 }

  2. Gem den som en Windows PowerShell scriptfil ved hjælp af filtypenavnet ".ps1". F.eks. Get-MgGraphDeviceOwnership.ps1.

    Bemærk!

    Scriptet kan også downloades på Github.

Kør scriptet for at hente enhedsoplysninger for en enkelt brugerkonto

  1. Åbn Powershell.

  2. Gå til den mappe, hvor du gemte scriptet. Hvis du f.eks. har gemt den i C:\PS-Scripts, skal du køre følgende kommando.

    cd C:\PS-Scripts

  3. Kør følgende kommando for at identificere den bruger, du vil hente enhedsoplysninger for. Dette eksempel henter oplysninger om user@contoso.com.

    $user = Get-MgUser -UserId "user@contoso.com"

  4. Kør følgende kommando for at starte scriptet.

    .\Get-GraphUserDeviceComplianceStatus.ps1 -users $user -Export

Oplysningerne eksporteres til Windows Desktop som en CSV-fil. Du kan angive filnavnet og stien til CSV.

Kør scriptet for at hente enhedsoplysninger for en gruppe af brugere

  1. Åbn Powershell.

  2. Gå til den mappe, hvor du gemte scriptet. Hvis du f.eks. har gemt den i C:\PS-Scripts, skal du køre følgende kommando.

    cd C:\PS-Scripts

  3. Kør følgende kommando for at identificere den gruppe, du vil hente enhedsoplysninger for. Dette eksempel henter oplysninger om brugere i gruppen FinanceStaff.

    $groupId = Get-MgGroup -Filter "displayName eq 'FinanceStaff'" | Select-Object -ExpandProperty Id
$Users = Get-MgGroupMember -GroupId $groupId | Select-Object -ExpandProperty Id | % { Get-MgUser -UserId $_ }

  4. Kør følgende kommando for at starte scriptet.

    .\Get-GraphUserDeviceComplianceStatus.ps1 -User $Users -Export

Oplysningerne eksporteres til Windows Desktop som en CSV-fil. Du kan bruge yderligere parametre til at angive filnavnet og stien til CSV.

Relateret indhold

Microsoft Connect er udgået

Oversigt over Basic Mobility og Security

Udfasningsmeddelelse for MSOnline- og AzureAD-cmdlet'er

Get-MgUser

Get-MgDevice

Get-MgUserOwnedDevice