Eszközhozzáférés-beállítások kezelése a Alapvető mobilitás és biztonság
Ha Alapvető mobilitás és biztonság használ, előfordulhat, hogy vannak olyan eszközök, amelyeket nem tud kezelni Alapvető mobilitás és biztonság. Ha igen, tiltsa le Exchange ActiveSync protokoll alkalmazás hozzáférését a Microsoft 365 e-mailjeihez az Alapvető mobilitás és biztonság által nem támogatott mobileszközök esetén. A Exchange ActiveSync protokoll alkalmazás hozzáférésének letiltása segít a szervezet adatainak további eszközökön történő védelmében.
Kövesse az alábbi lépéseket:
Jelentkezzen be a Microsoft 365-be globális rendszergazdai fiókjával.
A böngészőben írja be a következőt: https://compliance.microsoft.com/basicmobilityandsecurity.
Lépjen a Szervezeti beállítások lapra.
Válassza a Nem támogatott MDM-eszköz hozzáférés-korlátozását , és győződjön meg arról, hogy a Hozzáférés engedélyezése (eszközregisztráció szükséges) beállítás be van jelölve.
A Alapvető mobilitás és biztonság által támogatott eszközökről a Alapvető mobilitás és biztonság képességei című témakörben olvashat.
A felügyelt eszközök Alapvető mobilitás és biztonság részleteinek lekérése
Emellett a Microsoft Graph PowerShell használatával is lekérheti a szervezetében az Alapvető mobilitás és biztonság beállított eszközök adatait.
Íme egy részletes információ az elérhető eszközadatokról.
Adat | Mit kell keresni a PowerShellben? |
---|---|
Az eszköz regisztrálva van Alapvető mobilitás és biztonság. További információ: Mobileszköz regisztrálása Alapvető mobilitás és biztonság | Az isManaged paraméter értéke: True = az eszköz regisztrálva van. False = az eszköz nincs regisztrálva. |
Az eszköz megfelel az eszköz biztonsági szabályzatának. További információ: Létrehozás eszközbiztonsági szabályzatok | Az isCompliant paraméter értéke: Igaz = az eszköz megfelel a szabályzatnak. Hamis = az eszköz nem felel meg a szabályzatnak. |
Megjegyzés:
Az alábbi parancsok és szkriptek a Microsoft Intune által felügyelt eszközök adatait is visszaadják.
Íme néhány dolog, amelyet be kell állítania az alábbi parancsok és szkriptek futtatásához:
1. lépés: A Microsoft Graph PowerShell SDK letöltése és telepítése
További információ ezekről a lépésekről: Csatlakozás a Microsoft 365-höz a PowerShell-lel.
Telepítse az Windows PowerShell-hez készült Microsoft Graph PowerShell SDK-t az alábbi lépésekkel:
Nyisson meg egy rendszergazdai szintű PowerShell-parancssort.
Futtassa az alábbi parancsot:
Install-Module Microsoft.Graph -Scope AllUsers
Ha a rendszer kéri a NuGet-szolgáltató telepítését, írja be az Y kifejezést, és nyomja le az ENTER billentyűt.
Ha a rendszer arra kéri, hogy telepítse a modult a PSGalleryből, írja be az Y kifejezést, és nyomja le az ENTER billentyűt.
A telepítés után zárja be a PowerShell-parancsablakot.
2. lépés: Csatlakozás a Microsoft 365-előfizetéshez
A PowerShell-ablakban futtassa a következő parancsot.
Connect-MgGraph -Scopes Device.Read.All, User.Read.All
Ekkor megnyílik egy előugró ablak, amelyben bejelentkezhet. Adja meg a rendszergazdai fiók hitelesítő adatait, és jelentkezzen be.
Ha a fiókja rendelkezik a szükséges engedélyekkel, a PowerShell-ablakban megjelenik az "Üdvözöljük a Microsoft Graphban!" üzenet.
3. lépés: Győződjön meg arról, hogy képes PowerShell-szkripteket futtatni
Megjegyzés:
Ezt a lépést kihagyhatja, ha már be van állítva PowerShell-szkriptek futtatására.
A Get-GraphUserDeviceComplianceStatus.ps1 szkript futtatásához engedélyeznie kell a PowerShell-szkriptek futtatását.
A Windows asztalán válassza a Start gombot, majd írja be Windows PowerShell. Kattintson a jobb gombbal Windows PowerShell, majd válassza a Futtatás rendszergazdaként parancsot.
Futtassa a következő parancsot.
Set-ExecutionPolicy RemoteSigned
Amikor a rendszer kéri, írja be az Y szót, majd nyomja le az Enter billentyűt.
Futtassa a Get-MgDevice parancsmagot a szervezet összes eszközének részleteinek megjelenítéséhez
Nyissa meg a Windows PowerShell Microsoft Azure Active Directory modult.
Futtassa a következő parancsot.
Get-MgDevice -All -ExpandProperty "registeredOwners" | Where-Object {($_.RegisteredOwners -ne $null) -and ($_.RegisteredOwners.Count -gt 0)}
További példákért lásd: Get-MgDevice.
Szkript futtatása az eszköz részleteinek lekéréséhez
Először mentse a szkriptet a számítógépre.
Másolja és illessze be az alábbi szöveget a Jegyzettömbbe.
param ( [Parameter(Mandatory = $false)] [PSObject[]]$users = @(), [Parameter(Mandatory = $false)] [Switch]$export, [Parameter(Mandatory = $false)] [String]$exportFileName = "UserDeviceOwnership_" + (Get-Date -Format "yyMMdd_HHMMss") + ".csv", [Parameter(Mandatory = $false)] [String]$exportPath = [Environment]::GetFolderPath("Desktop") ) #Clearing the screen Clear-Host #Preparing the output object $deviceOwnership = @() if ($users.Count -eq 0) { Write-Output "No user has been provided, gathering data for all devices in the tenant" #Getting all Devices and their registered owners $devices = Get-MgDevice -All -Property * -ExpandProperty registeredOwners #For each device which has a registered owner, extract the device data and the registered owner data foreach ($device in $devices) { $DeviceOwners = $device | Select-Object -ExpandProperty 'RegisteredOwners' #Checking if the DeviceOwners Object is empty if ($DeviceOwners -ne $null) { foreach ($DeviceOwner in $DeviceOwners) { $OwnerDictionary = $DeviceOwner.AdditionalProperties $OwnerDisplayName = $OwnerDictionary.Item('displayName') $OwnerUPN = $OwnerDictionary.Item('userPrincipalName') $OwnerID = $deviceOwner.Id $deviceOwnership += [PSCustomObject]@{ DeviceDisplayName = $device.DisplayName DeviceId = $device.DeviceId DeviceOSType = $device.OperatingSystem DeviceOSVersion = $device.OperatingSystemVersion DeviceTrustLevel = $device.TrustType DeviceIsCompliant = $device.IsCompliant DeviceIsManaged = $device.IsManaged DeviceObjectId = $device.Id DeviceOwnerID = $OwnerID DeviceOwnerDisplayName = $OwnerDisplayName DeviceOwnerUPN = $OwnerUPN ApproximateLastLogonTimestamp = $device.ApproximateLastSignInDateTime } } } } } else { #Checking that userid is present in the users object Write-Output "List of users has been provided, gathering data for all devices owned by the provided users" foreach ($user in $users) { $devices = Get-MgUserOwnedDevice -UserId $user.Id -Property * foreach ($device in $devices) { $DeviceHashTable = $device.AdditionalProperties $deviceOwnership += [PSCustomObject]@{ DeviceId = $DeviceHashTable.Item('deviceId') DeviceOSType = $DeviceHashTable.Item('operatingSystem') DeviceOSVersion = $DeviceHashTable.Item('operatingSystemVersion') DeviceTrustLevel = $DeviceHashTable.Item('trustType') DeviceDisplayName = $DeviceHashTable.Item('displayName') DeviceIsCompliant = $DeviceHashTable.Item('isCompliant') DeviceIsManaged = $DeviceHashTable.Item('isManaged') DeviceObjectId = $device.Id DeviceOwnerUPN = $user.UserPrincipalName DeviceOwnerID = $user.Id DeviceOwnerDisplayName = $user.DisplayName ApproximateLastLogonTimestamp = $DeviceHashTable.Item('approximateLastSignInDateTime') } } } } $deviceOwnership if ($export) { $exportFile = Join-Path -Path $exportPath -ChildPath $exportFileName $deviceOwnership | Export-Csv -Path $exportFile -NoTypeInformation Write-Output "Data has been exported to $exportFile" }
Mentse Windows PowerShell szkriptfájlként a ".ps1" fájlkiterjesztéssel. Például Get-MgGraphDeviceOwnership.ps1.
Megjegyzés:
A szkript letölthető a GitHubról is.
Futtassa a szkriptet egyetlen felhasználói fiók eszközadatainak lekéréséhez
Nyissa meg a PowerShellt.
Nyissa meg azt a mappát, ahová a szkriptet mentette. Ha például a C:\PS-Scripts mappába mentette, futtassa a következő parancsot.
cd C:\PS-Scripts
Futtassa a következő parancsot annak a felhasználónak a azonosításához, akihez eszközadatokat szeretne lekérni. Ez a példa a részleteit user@contoso.comtartalmazza.
$user = Get-MgUser -UserId "user@contoso.com"
Futtassa a következő parancsot a szkript elindításához.
.\Get-GraphUserDeviceComplianceStatus.ps1 -users $user -Export
A rendszer CSV-fájlként exportálja az adatokat a Windows Asztalra. Megadhatja a CSV fájlnevét és elérési útját.
Futtassa a szkriptet egy felhasználócsoport eszközadatainak lekéréséhez
Nyissa meg a PowerShellt.
Nyissa meg azt a mappát, ahová a szkriptet mentette. Ha például a C:\PS-Scripts mappába mentette, futtassa a következő parancsot.
cd C:\PS-Scripts
Futtassa a következő parancsot annak a csoportnak a azonosításához, amelyhez eszközadatokat szeretne lekérni. Ez a példa a PénzügyekStaff csoport felhasználóinak adatait tartalmazza.
$groupId = Get-MgGroup -Filter "displayName eq 'FinanceStaff'" | Select-Object -ExpandProperty Id $Users = Get-MgGroupMember -GroupId $groupId | Select-Object -ExpandProperty Id | % { Get-MgUser -UserId $_ }
Futtassa a következő parancsot a szkript elindításához.
.\Get-GraphUserDeviceComplianceStatus.ps1 -User $Users -Export
A rendszer CSV-fájlként exportálja az adatokat a Windows Asztalra. További paraméterekkel megadhatja a CSV fájlnevét és elérési útját.
Kapcsolódó tartalom
A Microsoft Connect ki lett vonva
Alapszintű mobilitás és biztonság áttekintése
Az MSOnline és az AzureAD-parancsmagok kivonásáról tájékoztató közlemény
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: