Laitteen käyttöasetusten hallinta Perusliikkuvuus ja tietoturva

  • Artikkeli

Jos käytät Perusliikkuvuus ja tietoturva, on ehkä laitteita, joita ei voi hallita Perusliikkuvuus ja tietoturva. Jos näin on, estä Exchange ActiveSync sovellukselta Microsoft 365 -sähköpostin käyttö mobiililaitteissa, joita Perusliikkuvuus ja tietoturva eivät tue. Sovellusten käytön estäminen Exchange ActiveSync auttaa suojaamaan organisaatiotietojasi useammissa laitteissa.

Toimi seuraavasti:

  1. Kirjaudu sisään Microsoft 365:een yleisen järjestelmänvalvojan tililläsi.

  2. Kirjoita selaimeen: https://compliance.microsoft.com/basicmobilityandsecurity.

  3. Siirry Organisaation asetukset -välilehteen .

  4. Valitse käyttöoikeusrajoitus mdm-laitteelle, jota ei tueta , ja varmista, että Salli käyttö (laitteen rekisteröinti vaaditaan) on valittuna.

Lisätietoja siitä, mitä laitteita Perusliikkuvuus ja tietoturva tukee, on artikkelissa Perusliikkuvuus ja tietoturva ominaisuudet.

Lisätietoja Perusliikkuvuus ja tietoturva hallituista laitteista

Lisäksi voit Microsoft Graph PowerShellin avulla saada tietoja organisaatiosi laitteista, jotka olet määrittänyt Perusliikkuvuus ja tietoturva varten.

Tässä on erittely käytettävissä olevista laitteen tiedoista.

Yksityiskohtaisesti Mitä etsiä PowerShellistä
Laite on rekisteröity Perusliikkuvuus ja tietoturva. Lisätietoja on artikkelissa Mobiililaitteen rekisteröinti Perusliikkuvuus ja tietoturva avulla IsManaged-parametrin arvo on:
True= laite on rekisteröity.
False = laitetta ei ole rekisteröity.
Laite on yhteensopiva laitteen suojauskäytäntöjen kanssa. Lisätietoja on kohdassa Create laitteen suojauskäytännöt IsCompliant-parametrin arvo on:
True = laite on yhteensopiva käytäntöjen kanssa.
False = laite ei ole yhteensopiva käytäntöjen kanssa.

Perusliikkuvuus ja tietoturva PowerShell-parametreja.

Huomautus

Seuraavat komennot ja komentosarjat palauttavat myös tietoja kaikista Microsoft Intune hallitsemista laitteista.

Seuraavassa on muutamia asioita, jotka sinun on määritettävä, jotta voit suorittaa seuraavat komennot ja komentosarjat:

Vaihe 1: Microsoft Graph PowerShell SDK:n lataaminen ja asentaminen

Lisätietoja näistä vaiheista on artikkelissa Yhteyden muodostaminen Microsoft 365:een PowerShellin avulla.

  1. Asenna Microsoft Graph PowerShell SDK Windows PowerShell varten seuraavasti:

    1. Avaa järjestelmänvalvojatason PowerShell-komentokehote.

    2. Suorita seuraava komento:

      Install-Module Microsoft.Graph -Scope AllUsers

    3. Jos sinua kehotetaan asentamaan NuGet-palvelu, kirjoita Y ja paina ENTER-näppäintä.

    4. Jos sinua kehotetaan asentamaan moduuli PSGallery-valikoimasta, kirjoita Y ja paina ENTER-näppäintä.

    5. Sulje asennuksen jälkeen PowerShell-komentoikkuna.

Vaihe 2: Muodosta yhteys Microsoft 365 -tilaukseesi

  1. Suorita seuraava komento Powershell-ikkunassa.

    Connect-MgGraph -Scopes Device.Read.All, User.Read.All

  2. Näyttöön avautuu ponnahdusikkuna, jossa voit kirjautua sisään. Anna hallintatilisi tunnistetiedot ja kirjaudu sisään.

  3. Jos tililläsi on tarvittavat käyttöoikeudet, Powershell-ikkunassa näkyy "Tervetuloa Microsoft Graphiin!".

Vaihe 3: Varmista, että pystyt suorittamaan PowerShell-komentosarjoja

Huomautus

Voit ohittaa tämän vaiheen, jos olet jo määrittänyt PowerShell-komentosarjojen suorittamisen.

Jotta voit suorittaa Get-GraphUserDeviceComplianceStatus.ps1-komentosarjan, sinun on otettava käyttöön PowerShell-komentosarjojen suorittaminen.

  1. Valitse Windowsin työpöydältä Käynnistä ja kirjoita sitten Windows PowerShell. Napsauta Windows PowerShell hiiren kakkospainikkeella ja valitse sitten Suorita järjestelmänvalvojana.

  2. Suorita seuraava komento:

    Set-ExecutionPolicy RemoteSigned

  3. Kirjoita pyydettäessä Y ja paina Enter-näppäintä.

Suorita Get-MgDevice cmdlet,niin saat näkyviin kaikkien organisaatiosi laitteiden tiedot

  1. Avaa Windows PowerShell Microsoft Azure Active Directory -moduuli.

  2. Suorita seuraava komento:

    Get-MgDevice -All -ExpandProperty "registeredOwners" | Where-Object {($_.RegisteredOwners -ne $null) -and ($_.RegisteredOwners.Count -gt 0)}

Katso lisää esimerkkejä artikkelista Get-MgDevice.

Hae laitteen tiedot suorittamalla komentosarja

Tallenna ensin komentosarja tietokoneeseesi.

  1. Kopioi ja liitä seuraava teksti Muistioon.

        param (
 	[Parameter(Mandatory = $false)]
 	[PSObject[]]$users = @(),
 	[Parameter(Mandatory = $false)]
 	[Switch]$export,
 	[Parameter(Mandatory = $false)]
 	[String]$exportFileName = "UserDeviceOwnership_" + (Get-Date -Format "yyMMdd_HHMMss") + ".csv",
 	[Parameter(Mandatory = $false)]
 	[String]$exportPath = [Environment]::GetFolderPath("Desktop")
 )

 #Clearing the screen
 Clear-Host

 #Preparing the output object
 $deviceOwnership = @()


 if ($users.Count -eq 0) {
 	Write-Output "No user has been provided, gathering data for all devices in the tenant"
 	#Getting all Devices and their registered owners
 	$devices = Get-MgDevice -All -Property * -ExpandProperty registeredOwners

 	#For each device which has a registered owner, extract the device data and the registered owner data
 	foreach ($device in $devices) {
 		$DeviceOwners = $device | Select-Object -ExpandProperty 'RegisteredOwners'
 		#Checking if the DeviceOwners Object is empty
 		if ($DeviceOwners -ne $null) {
 			foreach ($DeviceOwner in $DeviceOwners) {
 				$OwnerDictionary = $DeviceOwner.AdditionalProperties
 				$OwnerDisplayName = $OwnerDictionary.Item('displayName')
 				$OwnerUPN = $OwnerDictionary.Item('userPrincipalName')
 				$OwnerID = $deviceOwner.Id
 				$deviceOwnership += [PSCustomObject]@{
 					DeviceDisplayName             = $device.DisplayName
 					DeviceId                      = $device.DeviceId
 					DeviceOSType                  = $device.OperatingSystem
 					DeviceOSVersion               = $device.OperatingSystemVersion
 					DeviceTrustLevel              = $device.TrustType
 					DeviceIsCompliant             = $device.IsCompliant
 					DeviceIsManaged               = $device.IsManaged
 					DeviceObjectId                = $device.Id
 					DeviceOwnerID                 = $OwnerID
 					DeviceOwnerDisplayName        = $OwnerDisplayName
 					DeviceOwnerUPN                = $OwnerUPN
 					ApproximateLastLogonTimestamp = $device.ApproximateLastSignInDateTime
 				}
 			}
 		}

 	}
 }

 else {
 	#Checking that userid is present in the users object
 	Write-Output "List of users has been provided, gathering data for all devices owned by the provided users"
 	foreach ($user in $users) {
 		$devices = Get-MgUserOwnedDevice -UserId $user.Id -Property *
 		foreach ($device in $devices) {
 			$DeviceHashTable = $device.AdditionalProperties
 			$deviceOwnership += [PSCustomObject]@{
 				DeviceId                      = $DeviceHashTable.Item('deviceId')
 				DeviceOSType                  = $DeviceHashTable.Item('operatingSystem')
 				DeviceOSVersion               = $DeviceHashTable.Item('operatingSystemVersion') 
 				DeviceTrustLevel              = $DeviceHashTable.Item('trustType')
 				DeviceDisplayName             = $DeviceHashTable.Item('displayName')
 				DeviceIsCompliant             = $DeviceHashTable.Item('isCompliant')
 				DeviceIsManaged               = $DeviceHashTable.Item('isManaged')
 				DeviceObjectId                = $device.Id
 				DeviceOwnerUPN                = $user.UserPrincipalName
 				DeviceOwnerID                 = $user.Id
 				DeviceOwnerDisplayName        = $user.DisplayName
 				ApproximateLastLogonTimestamp = $DeviceHashTable.Item('approximateLastSignInDateTime')
 			}
 		}
 	}

 }

 $deviceOwnership

 if ($export) {
 	$exportFile = Join-Path -Path $exportPath -ChildPath $exportFileName
 	$deviceOwnership | Export-Csv -Path $exportFile -NoTypeInformation
 	Write-Output "Data has been exported to $exportFile"
 }

  2. Tallenna se Windows PowerShell komentosarjatiedostona tiedostotunnisteella ".ps1". Esimerkiksi Get-MgGraphDeviceOwnership.ps1.

    Huomautus

    Komentosarja on ladattavissa myös Githubissa.

Suorita komentosarja saadaksesi laitetiedot yksittäiselle käyttäjätilille

  1. Avaa Powershell.

  2. Siirry kansioon, johon tallensit komentosarjan. Jos esimerkiksi tallensit sen kohteeseen C:\PS-Scripts, suorita seuraava komento.

    cd C:\PS-Scripts

  3. Suorita seuraava komento sen käyttäjän tunnistamiseksi, jolle haluat saada laitteen tiedot. Tässä esimerkissä noutaa tiedot ille user@contoso.com.

    $user = Get-MgUser -UserId "user@contoso.com"

  4. Käynnistä komentosarja suorittamalla seuraava komento.

    .\Get-GraphUserDeviceComplianceStatus.ps1 -users $user -Export

Tiedot viedään Windows Desktopiin CSV-tiedostona. Voit määrittää CSV-tiedoston tiedostonimen ja polun.

Hae laitetiedot käyttäjäryhmälle suorittamalla komentosarja

  1. Avaa Powershell.

  2. Siirry kansioon, johon tallensit komentosarjan. Jos esimerkiksi tallensit sen kohteeseen C:\PS-Scripts, suorita seuraava komento.

    cd C:\PS-Scripts

  3. Suorita seuraava komento sen ryhmän tunnistamiseksi, jolle haluat saada laitteen tiedot. Tämä esimerkki hakee tietoja FinanceStaff-ryhmän käyttäjistä.

    $groupId = Get-MgGroup -Filter "displayName eq 'FinanceStaff'" | Select-Object -ExpandProperty Id
$Users = Get-MgGroupMember -GroupId $groupId | Select-Object -ExpandProperty Id | % { Get-MgUser -UserId $_ }

  4. Käynnistä komentosarja suorittamalla seuraava komento.

    .\Get-GraphUserDeviceComplianceStatus.ps1 -User $Users -Export

Tiedot viedään Windows Desktopiin CSV-tiedostona. Lisäparametrien avulla voit määrittää CSV-tiedoston nimen ja polun.

Aiheeseen liittyvä sisältö

Microsoft Connect on poistettu käytöstä

Basic Mobility and Securityn yleiskatsaus

MSOnlinen ja AzureAD:n cmdlet-komentojen käytöstä poistoilmoitus

Get-MgUser

Get-MgDevice

Get-MgUserOwnedDevice