기본 이동성 및 보안 디바이스 액세스 설정 관리

  • 아티클

기본 이동성 및 보안 사용하는 경우 기본 이동성 및 보안 사용하여 관리할 수 없는 디바이스가 있을 수 있습니다. 그렇다면 기본 이동성 및 보안 지원하지 않는 모바일 디바이스에 대한 Microsoft 365 전자 메일에 대한 Exchange ActiveSync 앱 액세스를 차단해야 합니다. Exchange ActiveSync 앱 액세스를 차단하면 더 많은 디바이스에서 organization 정보를 보호할 수 있습니다.

다음 단계를 사용하세요.

  1. 전역 관리자 계정으로 Microsoft 365에 로그인합니다.

  2. 브라우저에서 를 https://compliance.microsoft.com/basicmobilityandsecurity입력합니다.

  3. 조직 설정 탭으로 이동합니다.

  4. 지원되지 않는 MDM 디바이스에 대한 액세스 제한을 선택하고 액세스 허용(디바이스 등록 필요)이 선택되어 있는지 확인합니다.

기본 이동성 및 보안 지원하는 디바이스에 대해 알아보려면 기본 이동성 및 보안 기능을 참조하세요.

기본 이동성 및 보안 관리 디바이스에 대한 세부 정보 가져오기

또한 Microsoft Graph PowerShell을 사용하여 기본 이동성 및 보안 위해 설정한 organization 디바이스에 대한 세부 정보를 가져올 수 있습니다.

다음은 사용 가능한 디바이스 세부 정보에 대한 분석입니다.

자세한 정보 PowerShell에서 찾을 내용
디바이스가 기본 이동성 및 보안 등록됩니다. 자세한 내용은 기본 이동성 및 보안 사용하여 모바일 디바이스 등록을 참조하세요. isManaged 매개 변수의 값은 다음과 같습니다.
True= 디바이스가 등록되었습니다.
False= 디바이스가 등록되지 않았습니다.
디바이스는 디바이스 보안 정책을 준수합니다. 자세한 내용은 디바이스 보안 정책 Create 참조하세요. isCompliant 매개 변수의 값은 다음과 같습니다.
True = 디바이스가 정책을 준수합니다.
False = 디바이스가 정책을 준수하지 않습니다.

PowerShell 매개 변수를 기본 이동성 및 보안.

참고

다음에 오는 명령 및 스크립트는 Microsoft Intune 관리되는 모든 디바이스에 대한 세부 정보도 반환합니다.

다음은 다음 명령 및 스크립트를 실행하기 위해 설정해야 하는 몇 가지 사항입니다.

1단계: Microsoft Graph PowerShell SDK 다운로드 및 설치

이러한 단계에 대한 자세한 내용은 PowerShell을 사용하여 Microsoft 365에 연결을 참조하세요.

  1. 다음 단계를 사용하여 Windows PowerShell 위한 Microsoft Graph PowerShell SDK를 설치합니다.

    1. 관리자 수준 PowerShell 명령 프롬프트를 엽니다.

    2. 다음 명령을 실행합니다.

      Install-Module Microsoft.Graph -Scope AllUsers

    3. NuGet 공급자를 설치할지 묻는 메시지가 표시되면 Y를 입력하고 Enter 키를 누릅니다.

    4. PSGallery에서 모듈을 설치할지 묻는 메시지가 표시되면 Y를 입력하고 Enter 키를 누릅니다.

    5. 설치 후 PowerShell 명령 창을 닫습니다.

2단계: Microsoft 365 구독에 연결

  1. Powershell 창에서 다음 명령을 실행합니다.

    Connect-MgGraph -Scopes Device.Read.All, User.Read.All

  2. 로그인할 수 있도록 팝업이 열립니다. 관리 계정의 자격 증명을 제공하고 로그인합니다.

  3. 계정에 필요한 권한이 있는 경우 Powershell 창에 "Microsoft Graph 시작!"이 표시됩니다.

3단계: PowerShell 스크립트를 실행할 수 있는지 확인

참고

PowerShell 스크립트를 실행하도록 이미 설정된 경우 이 단계를 건너뛸 수 있습니다.

Get-GraphUserDeviceComplianceStatus.ps1 스크립트를 실행하려면 PowerShell 스크립트 실행을 사용하도록 설정해야 합니다.

  1. Windows 데스크톱에서 시작을 선택한 다음, Windows PowerShell 입력합니다. Windows PowerShell 마우스 오른쪽 단추로 클릭한 다음 관리자 권한으로 실행을 선택합니다.

  2. 다음 명령을 실행합니다.

    Set-ExecutionPolicy RemoteSigned

  3. 메시지가 표시되면 Y 를 입력한 다음 Enter 키를 누릅니다.

Get-MgDevice cmdlet을 실행하여 organization 모든 디바이스에 대한 세부 정보를 표시합니다.

  1. Windows PowerShell Microsoft Azure Active Directory 모듈을 엽니다.

  2. 다음 명령을 실행합니다.

    Get-MgDevice -All -ExpandProperty "registeredOwners" | Where-Object {($_.RegisteredOwners -ne $null) -and ($_.RegisteredOwners.Count -gt 0)}

자세한 예제는 Get-MgDevice를 참조하세요.

스크립트를 실행하여 디바이스 세부 정보 가져오기

먼저 스크립트를 컴퓨터에 저장합니다.

  1. 다음 텍스트를 복사하여 메모장에 붙여넣습니다.

        param (
 	[Parameter(Mandatory = $false)]
 	[PSObject[]]$users = @(),
 	[Parameter(Mandatory = $false)]
 	[Switch]$export,
 	[Parameter(Mandatory = $false)]
 	[String]$exportFileName = "UserDeviceOwnership_" + (Get-Date -Format "yyMMdd_HHMMss") + ".csv",
 	[Parameter(Mandatory = $false)]
 	[String]$exportPath = [Environment]::GetFolderPath("Desktop")
 )

 #Clearing the screen
 Clear-Host

 #Preparing the output object
 $deviceOwnership = @()


 if ($users.Count -eq 0) {
 	Write-Output "No user has been provided, gathering data for all devices in the tenant"
 	#Getting all Devices and their registered owners
 	$devices = Get-MgDevice -All -Property * -ExpandProperty registeredOwners

 	#For each device which has a registered owner, extract the device data and the registered owner data
 	foreach ($device in $devices) {
 		$DeviceOwners = $device | Select-Object -ExpandProperty 'RegisteredOwners'
 		#Checking if the DeviceOwners Object is empty
 		if ($DeviceOwners -ne $null) {
 			foreach ($DeviceOwner in $DeviceOwners) {
 				$OwnerDictionary = $DeviceOwner.AdditionalProperties
 				$OwnerDisplayName = $OwnerDictionary.Item('displayName')
 				$OwnerUPN = $OwnerDictionary.Item('userPrincipalName')
 				$OwnerID = $deviceOwner.Id
 				$deviceOwnership += [PSCustomObject]@{
 					DeviceDisplayName             = $device.DisplayName
 					DeviceId                      = $device.DeviceId
 					DeviceOSType                  = $device.OperatingSystem
 					DeviceOSVersion               = $device.OperatingSystemVersion
 					DeviceTrustLevel              = $device.TrustType
 					DeviceIsCompliant             = $device.IsCompliant
 					DeviceIsManaged               = $device.IsManaged
 					DeviceObjectId                = $device.Id
 					DeviceOwnerID                 = $OwnerID
 					DeviceOwnerDisplayName        = $OwnerDisplayName
 					DeviceOwnerUPN                = $OwnerUPN
 					ApproximateLastLogonTimestamp = $device.ApproximateLastSignInDateTime
 				}
 			}
 		}

 	}
 }

 else {
 	#Checking that userid is present in the users object
 	Write-Output "List of users has been provided, gathering data for all devices owned by the provided users"
 	foreach ($user in $users) {
 		$devices = Get-MgUserOwnedDevice -UserId $user.Id -Property *
 		foreach ($device in $devices) {
 			$DeviceHashTable = $device.AdditionalProperties
 			$deviceOwnership += [PSCustomObject]@{
 				DeviceId                      = $DeviceHashTable.Item('deviceId')
 				DeviceOSType                  = $DeviceHashTable.Item('operatingSystem')
 				DeviceOSVersion               = $DeviceHashTable.Item('operatingSystemVersion') 
 				DeviceTrustLevel              = $DeviceHashTable.Item('trustType')
 				DeviceDisplayName             = $DeviceHashTable.Item('displayName')
 				DeviceIsCompliant             = $DeviceHashTable.Item('isCompliant')
 				DeviceIsManaged               = $DeviceHashTable.Item('isManaged')
 				DeviceObjectId                = $device.Id
 				DeviceOwnerUPN                = $user.UserPrincipalName
 				DeviceOwnerID                 = $user.Id
 				DeviceOwnerDisplayName        = $user.DisplayName
 				ApproximateLastLogonTimestamp = $DeviceHashTable.Item('approximateLastSignInDateTime')
 			}
 		}
 	}

 }

 $deviceOwnership

 if ($export) {
 	$exportFile = Join-Path -Path $exportPath -ChildPath $exportFileName
 	$deviceOwnership | Export-Csv -Path $exportFile -NoTypeInformation
 	Write-Output "Data has been exported to $exportFile"
 }

  2. 파일 확장명 ".ps1"을 사용하여 Windows PowerShell 스크립트 파일로 저장합니다. 예를 들어 Get-MgGraphDeviceOwnership.ps1.

    참고

    이 스크립트는 Github에서 다운로드할 수도 있습니다.

스크립트를 실행하여 단일 사용자 계정에 대한 디바이스 정보를 가져옵니다.

  1. Powershell을 엽니다.

  2. 스크립트를 저장한 폴더로 이동합니다. 예를 들어 C:\PS-Scripts에 저장한 경우 다음 명령을 실행합니다.

    cd C:\PS-Scripts

  3. 다음 명령을 실행하여 디바이스 세부 정보를 가져올 사용자를 식별합니다. 이 예제에서는 에 대한 user@contoso.com세부 정보를 가져옵니다.

    $user = Get-MgUser -UserId "user@contoso.com"

  4. 다음 명령을 실행하여 스크립트를 시작합니다.

    .\Get-GraphUserDeviceComplianceStatus.ps1 -users $user -Export

정보는 CSV 파일로 Windows Desktop으로 내보냅니다. CSV의 파일 이름과 경로를 지정할 수 있습니다.

스크립트를 실행하여 사용자 그룹에 대한 디바이스 정보를 가져옵니다.

  1. Powershell을 엽니다.

  2. 스크립트를 저장한 폴더로 이동합니다. 예를 들어 C:\PS-Scripts에 저장한 경우 다음 명령을 실행합니다.

    cd C:\PS-Scripts

  3. 다음 명령을 실행하여 디바이스 세부 정보를 가져올 그룹을 식별합니다. 이 예제에서는 FinanceStaff 그룹의 사용자에 대한 세부 정보를 가져옵니다.

    $groupId = Get-MgGroup -Filter "displayName eq 'FinanceStaff'" | Select-Object -ExpandProperty Id
$Users = Get-MgGroupMember -GroupId $groupId | Select-Object -ExpandProperty Id | % { Get-MgUser -UserId $_ }

  4. 다음 명령을 실행하여 스크립트를 시작합니다.

    .\Get-GraphUserDeviceComplianceStatus.ps1 -User $Users -Export

정보는 CSV 파일로 Windows Desktop으로 내보냅니다. 추가 매개 변수를 사용하여 CSV의 파일 이름과 경로를 지정할 수 있습니다.

관련 콘텐츠

Microsoft Connect가 사용 중지되었습니다.

기본 모바일 및 보안 개요

MSOnline 및 AzureAD cmdlet에 대한 사용 중지 알림

Get-MgUser

Get-MgDevice

Get-MgUserOwnedDevice