Eszközhozzáférés-beállítások kezelése a Alapvető mobilitás és biztonság

  • Cikk

Ha Alapvető mobilitás és biztonság használ, előfordulhat, hogy vannak olyan eszközök, amelyeket nem tud kezelni Alapvető mobilitás és biztonság. Ha igen, tiltsa le Exchange ActiveSync protokoll alkalmazás hozzáférését a Microsoft 365 e-mailjeihez az Alapvető mobilitás és biztonság által nem támogatott mobileszközök esetén. A Exchange ActiveSync protokoll alkalmazás hozzáférésének letiltása segít a szervezet adatainak további eszközökön történő védelmében.

Kövesse az alábbi lépéseket:

  1. Jelentkezzen be a Microsoft 365-be globális rendszergazdai fiókjával.

  2. A böngészőben írja be a következőt: https://compliance.microsoft.com/basicmobilityandsecurity.

  3. Lépjen a Szervezeti beállítások lapra.

  4. Válassza a Nem támogatott MDM-eszköz hozzáférés-korlátozását , és győződjön meg arról, hogy a Hozzáférés engedélyezése (eszközregisztráció szükséges) beállítás be van jelölve.

A Alapvető mobilitás és biztonság által támogatott eszközökről a Alapvető mobilitás és biztonság képességei című témakörben olvashat.

A felügyelt eszközök Alapvető mobilitás és biztonság részleteinek lekérése

Emellett a Microsoft Graph PowerShell használatával is lekérheti a szervezetében az Alapvető mobilitás és biztonság beállított eszközök adatait.

Íme egy részletes információ az elérhető eszközadatokról.

Adat Mit kell keresni a PowerShellben?
Az eszköz regisztrálva van Alapvető mobilitás és biztonság. További információ: Mobileszköz regisztrálása Alapvető mobilitás és biztonság Az isManaged paraméter értéke:
True = az eszköz regisztrálva van.
False = az eszköz nincs regisztrálva.
Az eszköz megfelel az eszköz biztonsági szabályzatának. További információ: Létrehozás eszközbiztonsági szabályzatok Az isCompliant paraméter értéke:
Igaz = az eszköz megfelel a szabályzatnak.
Hamis = az eszköz nem felel meg a szabályzatnak.

Alapvető mobilitás és biztonság PowerShell-paramétereket.

Megjegyzés:

Az alábbi parancsok és szkriptek a Microsoft Intune által felügyelt eszközök adatait is visszaadják.

Íme néhány dolog, amelyet be kell állítania az alábbi parancsok és szkriptek futtatásához:

1. lépés: A Microsoft Graph PowerShell SDK letöltése és telepítése

További információ ezekről a lépésekről: Csatlakozás a Microsoft 365-höz a PowerShell-lel.

  1. Telepítse az Windows PowerShell-hez készült Microsoft Graph PowerShell SDK-t az alábbi lépésekkel:

    1. Nyisson meg egy rendszergazdai szintű PowerShell-parancssort.

    2. Futtassa az alábbi parancsot:

      Install-Module Microsoft.Graph -Scope AllUsers

    3. Ha a rendszer kéri a NuGet-szolgáltató telepítését, írja be az Y kifejezést, és nyomja le az ENTER billentyűt.

    4. Ha a rendszer arra kéri, hogy telepítse a modult a PSGalleryből, írja be az Y kifejezést, és nyomja le az ENTER billentyűt.

    5. A telepítés után zárja be a PowerShell-parancsablakot.

2. lépés: Csatlakozás a Microsoft 365-előfizetéshez

  1. A PowerShell-ablakban futtassa a következő parancsot.

    Connect-MgGraph -Scopes Device.Read.All, User.Read.All

  2. Ekkor megnyílik egy előugró ablak, amelyben bejelentkezhet. Adja meg a rendszergazdai fiók hitelesítő adatait, és jelentkezzen be.

  3. Ha a fiókja rendelkezik a szükséges engedélyekkel, a PowerShell-ablakban megjelenik az "Üdvözöljük a Microsoft Graphban!" üzenet.

3. lépés: Győződjön meg arról, hogy képes PowerShell-szkripteket futtatni

Megjegyzés:

Ezt a lépést kihagyhatja, ha már be van állítva PowerShell-szkriptek futtatására.

A Get-GraphUserDeviceComplianceStatus.ps1 szkript futtatásához engedélyeznie kell a PowerShell-szkriptek futtatását.

  1. A Windows asztalán válassza a Start gombot, majd írja be Windows PowerShell. Kattintson a jobb gombbal Windows PowerShell, majd válassza a Futtatás rendszergazdaként parancsot.

  2. Futtassa a következő parancsot.

    Set-ExecutionPolicy RemoteSigned

  3. Amikor a rendszer kéri, írja be az Y szót, majd nyomja le az Enter billentyűt.

Futtassa a Get-MgDevice parancsmagot a szervezet összes eszközének részleteinek megjelenítéséhez

  1. Nyissa meg a Windows PowerShell Microsoft Azure Active Directory modult.

  2. Futtassa a következő parancsot.

    Get-MgDevice -All -ExpandProperty "registeredOwners" | Where-Object {($_.RegisteredOwners -ne $null) -and ($_.RegisteredOwners.Count -gt 0)}

További példákért lásd: Get-MgDevice.

Szkript futtatása az eszköz részleteinek lekéréséhez

Először mentse a szkriptet a számítógépre.

  1. Másolja és illessze be az alábbi szöveget a Jegyzettömbbe.

        param (
 	[Parameter(Mandatory = $false)]
 	[PSObject[]]$users = @(),
 	[Parameter(Mandatory = $false)]
 	[Switch]$export,
 	[Parameter(Mandatory = $false)]
 	[String]$exportFileName = "UserDeviceOwnership_" + (Get-Date -Format "yyMMdd_HHMMss") + ".csv",
 	[Parameter(Mandatory = $false)]
 	[String]$exportPath = [Environment]::GetFolderPath("Desktop")
 )

 #Clearing the screen
 Clear-Host

 #Preparing the output object
 $deviceOwnership = @()


 if ($users.Count -eq 0) {
 	Write-Output "No user has been provided, gathering data for all devices in the tenant"
 	#Getting all Devices and their registered owners
 	$devices = Get-MgDevice -All -Property * -ExpandProperty registeredOwners

 	#For each device which has a registered owner, extract the device data and the registered owner data
 	foreach ($device in $devices) {
 		$DeviceOwners = $device | Select-Object -ExpandProperty 'RegisteredOwners'
 		#Checking if the DeviceOwners Object is empty
 		if ($DeviceOwners -ne $null) {
 			foreach ($DeviceOwner in $DeviceOwners) {
 				$OwnerDictionary = $DeviceOwner.AdditionalProperties
 				$OwnerDisplayName = $OwnerDictionary.Item('displayName')
 				$OwnerUPN = $OwnerDictionary.Item('userPrincipalName')
 				$OwnerID = $deviceOwner.Id
 				$deviceOwnership += [PSCustomObject]@{
 					DeviceDisplayName             = $device.DisplayName
 					DeviceId                      = $device.DeviceId
 					DeviceOSType                  = $device.OperatingSystem
 					DeviceOSVersion               = $device.OperatingSystemVersion
 					DeviceTrustLevel              = $device.TrustType
 					DeviceIsCompliant             = $device.IsCompliant
 					DeviceIsManaged               = $device.IsManaged
 					DeviceObjectId                = $device.Id
 					DeviceOwnerID                 = $OwnerID
 					DeviceOwnerDisplayName        = $OwnerDisplayName
 					DeviceOwnerUPN                = $OwnerUPN
 					ApproximateLastLogonTimestamp = $device.ApproximateLastSignInDateTime
 				}
 			}
 		}

 	}
 }

 else {
 	#Checking that userid is present in the users object
 	Write-Output "List of users has been provided, gathering data for all devices owned by the provided users"
 	foreach ($user in $users) {
 		$devices = Get-MgUserOwnedDevice -UserId $user.Id -Property *
 		foreach ($device in $devices) {
 			$DeviceHashTable = $device.AdditionalProperties
 			$deviceOwnership += [PSCustomObject]@{
 				DeviceId                      = $DeviceHashTable.Item('deviceId')
 				DeviceOSType                  = $DeviceHashTable.Item('operatingSystem')
 				DeviceOSVersion               = $DeviceHashTable.Item('operatingSystemVersion') 
 				DeviceTrustLevel              = $DeviceHashTable.Item('trustType')
 				DeviceDisplayName             = $DeviceHashTable.Item('displayName')
 				DeviceIsCompliant             = $DeviceHashTable.Item('isCompliant')
 				DeviceIsManaged               = $DeviceHashTable.Item('isManaged')
 				DeviceObjectId                = $device.Id
 				DeviceOwnerUPN                = $user.UserPrincipalName
 				DeviceOwnerID                 = $user.Id
 				DeviceOwnerDisplayName        = $user.DisplayName
 				ApproximateLastLogonTimestamp = $DeviceHashTable.Item('approximateLastSignInDateTime')
 			}
 		}
 	}

 }

 $deviceOwnership

 if ($export) {
 	$exportFile = Join-Path -Path $exportPath -ChildPath $exportFileName
 	$deviceOwnership | Export-Csv -Path $exportFile -NoTypeInformation
 	Write-Output "Data has been exported to $exportFile"
 }

  2. Mentse Windows PowerShell szkriptfájlként a ".ps1" fájlkiterjesztéssel. Például Get-MgGraphDeviceOwnership.ps1.

    Megjegyzés:

    A szkript letölthető a GitHubról is.

Futtassa a szkriptet egyetlen felhasználói fiók eszközadatainak lekéréséhez

  1. Nyissa meg a PowerShellt.

  2. Nyissa meg azt a mappát, ahová a szkriptet mentette. Ha például a C:\PS-Scripts mappába mentette, futtassa a következő parancsot.

    cd C:\PS-Scripts

  3. Futtassa a következő parancsot annak a felhasználónak a azonosításához, akihez eszközadatokat szeretne lekérni. Ez a példa a részleteit user@contoso.comtartalmazza.

    $user = Get-MgUser -UserId "user@contoso.com"

  4. Futtassa a következő parancsot a szkript elindításához.

    .\Get-GraphUserDeviceComplianceStatus.ps1 -users $user -Export

A rendszer CSV-fájlként exportálja az adatokat a Windows Asztalra. Megadhatja a CSV fájlnevét és elérési útját.

Futtassa a szkriptet egy felhasználócsoport eszközadatainak lekéréséhez

  1. Nyissa meg a PowerShellt.

  2. Nyissa meg azt a mappát, ahová a szkriptet mentette. Ha például a C:\PS-Scripts mappába mentette, futtassa a következő parancsot.

    cd C:\PS-Scripts

  3. Futtassa a következő parancsot annak a csoportnak a azonosításához, amelyhez eszközadatokat szeretne lekérni. Ez a példa a PénzügyekStaff csoport felhasználóinak adatait tartalmazza.

    $groupId = Get-MgGroup -Filter "displayName eq 'FinanceStaff'" | Select-Object -ExpandProperty Id
$Users = Get-MgGroupMember -GroupId $groupId | Select-Object -ExpandProperty Id | % { Get-MgUser -UserId $_ }

  4. Futtassa a következő parancsot a szkript elindításához.

    .\Get-GraphUserDeviceComplianceStatus.ps1 -User $Users -Export

A rendszer CSV-fájlként exportálja az adatokat a Windows Asztalra. További paraméterekkel megadhatja a CSV fájlnevét és elérési útját.

Kapcsolódó tartalom

A Microsoft Connect ki lett vonva

Alapszintű mobilitás és biztonság áttekintése

Az MSOnline és az AzureAD-parancsmagok kivonásáról tájékoztató közlemény

Get-MgUser

Get-MgDevice

Get-MgUserOwnedDevice