Verwalten von Gerätezugriffseinstellungen in Basismobilität und Sicherheit

  • Artikel

Wenn Sie Basismobilität und Sicherheit verwenden, gibt es möglicherweise Geräte, die Sie nicht mit Basismobilität und Sicherheit verwalten können. Wenn dies der Fall ist, sollten Sie Exchange ActiveSync App-Zugriff auf Microsoft 365-E-Mails für mobile Geräte blockieren, die von Basismobilität und Sicherheit nicht unterstützt werden. Das Blockieren Exchange ActiveSync App-Zugriffs trägt dazu bei, Ihre organization Informationen auf mehreren Geräten zu schützen.

Führen Sie die folgenden Schritte aus:

  1. Melden Sie sich mit Ihrem globalen Administratorkonto bei Microsoft 365 an.

  2. Geben Sie in Ihrem Browser Folgendes ein: https://compliance.microsoft.com/basicmobilityandsecurity.

  3. Wechseln Sie zur Registerkarte Organisationseinstellung .

  4. Wählen Sie Zugriffseinschränkung für nicht unterstütztes MDM-Gerät aus, und stellen Sie sicher, dass Zugriff zulassen (Geräteregistrierung erforderlich) ausgewählt ist.

Informationen dazu, welche Geräte Basismobilität und Sicherheit unterstützt, finden Sie unter Funktionen von Basismobilität und Sicherheit.

Abrufen von Details zu Basismobilität und Sicherheit verwalteten Geräten

Darüber hinaus können Sie Microsoft Graph PowerShell verwenden, um Details zu den Geräten in Ihrer organization abzurufen, die Sie für Basismobilität und Sicherheit eingerichtet haben.

Hier finden Sie eine Aufschlüsselung der Gerätedetails, die Ihnen zur Verfügung stehen.

Detail Was sie in PowerShell suchen müssen
Das Gerät ist in Basismobilität und Sicherheit registriert. Weitere Informationen finden Sie unter Registrieren Ihres mobilen Geräts mit Basismobilität und Sicherheit Der Wert des isManaged-Parameters lautet:
True= Gerät ist registriert.
False= Das Gerät ist nicht registriert.
Das Gerät ist mit Ihren Gerätesicherheitsrichtlinien kompatibel. Weitere Informationen finden Sie unter Erstellen von Gerätesicherheitsrichtlinien. Der Wert des parameters isCompliant lautet:
True = Gerät ist mit Richtlinien kompatibel.
False = Das Gerät ist nicht mit Richtlinien kompatibel.

Basismobilität und Sicherheit PowerShell-Parameter.

Hinweis

Die folgenden Befehle und Skripts geben auch Details zu allen Geräten zurück, die von Microsoft Intune verwaltet werden.

Hier sind einige Dinge, die Sie einrichten müssen, um die folgenden Befehle und Skripts auszuführen:

Schritt 1: Herunterladen und Installieren des Microsoft Graph PowerShell SDK

Weitere Informationen zu diesen Schritten finden Sie unter Herstellen einer Verbindung mit Microsoft 365 mit PowerShell.

  1. Installieren Sie das Microsoft Graph PowerShell SDK für Windows PowerShell mit den folgenden Schritten:

    1. Öffnen Sie eine PowerShell-Eingabeaufforderung auf Administratorebene.

    2. Führen Sie den folgenden Befehl aus:

      Install-Module Microsoft.Graph -Scope AllUsers

    3. Wenn Sie zum Installieren des NuGet-Anbieters aufgefordert werden, geben Sie Y ein, und drücken Sie die EINGABETASTE.

    4. Wenn Sie aufgefordert werden, das Modul von PSGallery zu installieren, geben Sie Y ein, und drücken Sie die EINGABETASTE.

    5. Schließen Sie nach der Installation das PowerShell-Befehlsfenster.

Schritt 2: Herstellen einer Verbindung mit Ihrem Microsoft 365-Abonnement

  1. Führen Sie im PowerShell-Fenster den folgenden Befehl aus.

    Connect-MgGraph -Scopes Device.Read.All, User.Read.All

  2. Es wird ein Popup geöffnet, in dem Sie sich anmelden können. Geben Sie die Anmeldeinformationen Ihres Administratorkontos an, und melden Sie sich an.

  3. Wenn Ihr Konto über die erforderlichen Berechtigungen verfügt, wird im PowerShell-Fenster "Willkommen bei Microsoft Graph!" angezeigt.

Schritt 3: Sicherstellen, dass PowerShell-Skripts ausgeführt werden können

Hinweis

Sie können diesen Schritt überspringen, wenn Sie bereits für die Ausführung von PowerShell-Skripts eingerichtet sind.

Zum Ausführen des Get-GraphUserDeviceComplianceStatus.ps1 Skripts müssen Sie die Ausführung von PowerShell-Skripts aktivieren.

  1. Wählen Sie auf Ihrem Windows-Desktop Start aus, und geben Sie dann Windows PowerShell ein. Klicken Sie mit der rechten Maustaste auf Windows PowerShell, und wählen Sie dann Als Administrator ausführen aus.

  2. Führen Sie den folgenden Befehl aus.

    Set-ExecutionPolicy RemoteSigned

  3. Wenn Sie dazu aufgefordert werden, geben Sie Y ein, und drücken Sie dann die EINGABETASTE.

Führen Sie das Cmdlet Get-MgDevice aus, um Details für alle Geräte in Ihrem organization

  1. Öffnen Sie das modul Microsoft Azure Active Directory für Windows PowerShell.

  2. Führen Sie den folgenden Befehl aus.

    Get-MgDevice -All -ExpandProperty "registeredOwners" | Where-Object {($_.RegisteredOwners -ne $null) -and ($_.RegisteredOwners.Count -gt 0)}

Weitere Beispiele finden Sie unter Get-MgDevice.

Ausführen eines Skripts zum Abrufen von Gerätedetails

Speichern Sie zunächst das Skript auf Ihrem Computer.

  1. Kopieren Sie den folgenden Text, und fügen Sie ihn in Editor ein.

        param (
 	[Parameter(Mandatory = $false)]
 	[PSObject[]]$users = @(),
 	[Parameter(Mandatory = $false)]
 	[Switch]$export,
 	[Parameter(Mandatory = $false)]
 	[String]$exportFileName = "UserDeviceOwnership_" + (Get-Date -Format "yyMMdd_HHMMss") + ".csv",
 	[Parameter(Mandatory = $false)]
 	[String]$exportPath = [Environment]::GetFolderPath("Desktop")
 )

 #Clearing the screen
 Clear-Host

 #Preparing the output object
 $deviceOwnership = @()


 if ($users.Count -eq 0) {
 	Write-Output "No user has been provided, gathering data for all devices in the tenant"
 	#Getting all Devices and their registered owners
 	$devices = Get-MgDevice -All -Property * -ExpandProperty registeredOwners

 	#For each device which has a registered owner, extract the device data and the registered owner data
 	foreach ($device in $devices) {
 		$DeviceOwners = $device | Select-Object -ExpandProperty 'RegisteredOwners'
 		#Checking if the DeviceOwners Object is empty
 		if ($DeviceOwners -ne $null) {
 			foreach ($DeviceOwner in $DeviceOwners) {
 				$OwnerDictionary = $DeviceOwner.AdditionalProperties
 				$OwnerDisplayName = $OwnerDictionary.Item('displayName')
 				$OwnerUPN = $OwnerDictionary.Item('userPrincipalName')
 				$OwnerID = $deviceOwner.Id
 				$deviceOwnership += [PSCustomObject]@{
 					DeviceDisplayName             = $device.DisplayName
 					DeviceId                      = $device.DeviceId
 					DeviceOSType                  = $device.OperatingSystem
 					DeviceOSVersion               = $device.OperatingSystemVersion
 					DeviceTrustLevel              = $device.TrustType
 					DeviceIsCompliant             = $device.IsCompliant
 					DeviceIsManaged               = $device.IsManaged
 					DeviceObjectId                = $device.Id
 					DeviceOwnerID                 = $OwnerID
 					DeviceOwnerDisplayName        = $OwnerDisplayName
 					DeviceOwnerUPN                = $OwnerUPN
 					ApproximateLastLogonTimestamp = $device.ApproximateLastSignInDateTime
 				}
 			}
 		}

 	}
 }

 else {
 	#Checking that userid is present in the users object
 	Write-Output "List of users has been provided, gathering data for all devices owned by the provided users"
 	foreach ($user in $users) {
 		$devices = Get-MgUserOwnedDevice -UserId $user.Id -Property *
 		foreach ($device in $devices) {
 			$DeviceHashTable = $device.AdditionalProperties
 			$deviceOwnership += [PSCustomObject]@{
 				DeviceId                      = $DeviceHashTable.Item('deviceId')
 				DeviceOSType                  = $DeviceHashTable.Item('operatingSystem')
 				DeviceOSVersion               = $DeviceHashTable.Item('operatingSystemVersion') 
 				DeviceTrustLevel              = $DeviceHashTable.Item('trustType')
 				DeviceDisplayName             = $DeviceHashTable.Item('displayName')
 				DeviceIsCompliant             = $DeviceHashTable.Item('isCompliant')
 				DeviceIsManaged               = $DeviceHashTable.Item('isManaged')
 				DeviceObjectId                = $device.Id
 				DeviceOwnerUPN                = $user.UserPrincipalName
 				DeviceOwnerID                 = $user.Id
 				DeviceOwnerDisplayName        = $user.DisplayName
 				ApproximateLastLogonTimestamp = $DeviceHashTable.Item('approximateLastSignInDateTime')
 			}
 		}
 	}

 }

 $deviceOwnership

 if ($export) {
 	$exportFile = Join-Path -Path $exportPath -ChildPath $exportFileName
 	$deviceOwnership | Export-Csv -Path $exportFile -NoTypeInformation
 	Write-Output "Data has been exported to $exportFile"
 }

  2. Speichern Sie es als Windows PowerShell Skriptdatei, indem Sie die Dateierweiterung ".ps1" verwenden. Beispiel: Get-MgGraphDeviceOwnership.ps1.

    Hinweis

    Das Skript steht auch auf GitHub zum Download zur Verfügung.

Ausführen des Skripts zum Abrufen von Geräteinformationen für ein einzelnes Benutzerkonto

  1. Öffnen Sie PowerShell.

  2. Wechseln Sie zu dem Ordner, in dem Sie das Skript gespeichert haben. Wenn Sie sie beispielsweise unter C:\PS-Scripts gespeichert haben, führen Sie den folgenden Befehl aus.

    cd C:\PS-Scripts

  3. Führen Sie den folgenden Befehl aus, um den Benutzer zu identifizieren, für den Sie Gerätedetails abrufen möchten. In diesem Beispiel werden Details für user@contoso.comabgerufen.

    $user = Get-MgUser -UserId "user@contoso.com"

  4. Führen Sie den folgenden Befehl aus, um das Skript zu initiieren.

    .\Get-GraphUserDeviceComplianceStatus.ps1 -users $user -Export

Die Informationen werden als CSV-Datei in Ihren Windows-Desktop exportiert. Sie können den Dateinamen und pfad der CSV-Datei angeben.

Ausführen des Skripts zum Abrufen von Geräteinformationen für eine Gruppe von Benutzern

  1. Öffnen Sie PowerShell.

  2. Wechseln Sie zu dem Ordner, in dem Sie das Skript gespeichert haben. Wenn Sie sie beispielsweise unter C:\PS-Scripts gespeichert haben, führen Sie den folgenden Befehl aus.

    cd C:\PS-Scripts

  3. Führen Sie den folgenden Befehl aus, um die Gruppe zu identifizieren, für die Sie Gerätedetails abrufen möchten. In diesem Beispiel werden Details für Benutzer in der Gruppe FinanceStaff abgerufen.

    $groupId = Get-MgGroup -Filter "displayName eq 'FinanceStaff'" | Select-Object -ExpandProperty Id
$Users = Get-MgGroupMember -GroupId $groupId | Select-Object -ExpandProperty Id | % { Get-MgUser -UserId $_ }

  4. Führen Sie den folgenden Befehl aus, um das Skript zu initiieren.

    .\Get-GraphUserDeviceComplianceStatus.ps1 -User $Users -Export

Die Informationen werden als CSV-Datei in Ihren Windows-Desktop exportiert. Sie können zusätzliche Parameter verwenden, um den Dateinamen und pfad der CSV-Datei anzugeben.

Verwandte Inhalte

Microsoft Connect wurde eingestellt

Übersicht von grundlegender Mobilität und Sicherheit

Ankündigung der Einstellung für MSOnline- und AzureAD-Cmdlets

Get-MgUser

Get-MgDevice

Get-MgUserOwnedDevice