Administrer innstillinger for enhetstilgang i Grunnleggende sikkerhet for mobile enheter

  • Artikkel

Hvis du bruker Grunnleggende sikkerhet for mobile enheter, kan det være enheter som du ikke kan administrere med Grunnleggende sikkerhet for mobile enheter. I så fall bør du blokkere Exchange ActiveSync apptilgang til Microsoft 365-e-post for mobile enheter som ikke støttes av Grunnleggende sikkerhet for mobile enheter. Blokkering av Exchange ActiveSync apptilgang bidrar til å sikre organisasjonsinformasjonen på tvers av flere enheter.

Bruk disse trinnene:

  1. Logg på Microsoft 365 med den globale administratorkontoen.

  2. Skriv inn: i nettleseren: https://compliance.microsoft.com/basicmobilityandsecurity.

  3. Gå til Fanen Organisasjonsinnstillinger .

  4. Velg Tilgangsbegrensning for MDM-enhet som ikke støttes , og kontroller at Tillat tilgang (enhetsregistrering kreves) er valgt.

Hvis du vil vite hvilke enheter Grunnleggende sikkerhet for mobile enheter støtter, kan du se Funksjoner i Grunnleggende sikkerhet for mobile enheter.

Få detaljer om Grunnleggende sikkerhet for mobile enheter administrerte enheter

I tillegg kan du bruke Microsoft Graph PowerShell til å få detaljer om enhetene i organisasjonen som du konfigurerte for Grunnleggende sikkerhet for mobile enheter.

Her er en oversikt over enhetsdetaljene som er tilgjengelige for deg.

Detalj Hva du skal se etter i PowerShell
Enheten er registrert i Grunnleggende sikkerhet for mobile enheter. Hvis du vil ha mer informasjon, kan du se Registrere mobilenheten ved hjelp av Grunnleggende sikkerhet for mobile enheter Verdien til isManaged-parameteren er:
True= enheten er registrert.
False= enheten er ikke registrert.
Enheten samsvarer med sikkerhetspolicyene for enheten. Hvis du vil ha mer informasjon, kan du se Opprett sikkerhetspolicyer for enheter Verdien til isCompliant-parameteren er:
True = enheten samsvarer med policyer.
False = enheten samsvarer ikke med policyer.

Grunnleggende sikkerhet for mobile enheter PowerShell-parametere.

Obs!

Kommandoene og skriptene som følger, returnerer også detaljer om alle enheter som administreres av Microsoft Intune.

Her er noen ting du må konfigurere for å kjøre kommandoene og skriptene som følger:

Trinn 1: Last ned og installer Microsoft Graph PowerShell SDK

Hvis du vil ha mer informasjon om disse trinnene, kan du se Koble til Microsoft 365 med PowerShell.

  1. Installer Microsoft Graph PowerShell SDK for Windows PowerShell med disse trinnene:

    1. Åpne en PowerShell-ledetekst på administratornivå.

    2. Utfør denne kommandoen:

      Install-Module Microsoft.Graph -Scope AllUsers

    3. Hvis du blir bedt om å installere NuGet-leverandøren, skriver du inn Y og trykker ENTER.

    4. Hvis du blir bedt om å installere modulen fra PSGallery, skriver du inn Y og trykker ENTER.

    5. Lukk powershell-kommandovinduet etter installasjonen.

Trinn 2: Koble til Microsoft 365-abonnementet

  1. Kjør følgende kommando i Powershell-vinduet.

    Connect-MgGraph -Scopes Device.Read.All, User.Read.All

  2. Et popup-vindu åpnes slik at du kan logge på. Angi legitimasjonen for den administrative kontoen, og logg på.

  3. Hvis kontoen din har de nødvendige tillatelsene, ser du «Velkommen til Microsoft Graph!» i Powershell-vinduet.

Trinn 3: Kontroller at du kan kjøre PowerShell-skript

Obs!

Du kan hoppe over dette trinnet hvis du allerede er konfigurert til å kjøre PowerShell-skript.

Hvis du vil kjøre Get-GraphUserDeviceComplianceStatus.ps1 skript, må du aktivere kjøring av PowerShell-skript.

  1. Velg Start fra Windows-skrivebordet, og skriv deretter inn Windows PowerShell. Høyreklikk Windows PowerShell, og velg deretter Kjør som administrator.

  2. Kjør den følgende kommandoen.

    Set-ExecutionPolicy RemoteSigned

  3. Når du blir bedt om det, skriver du inn Y og trykker enter.

Kjør cmdleten Get-MgDevice for å vise detaljer for alle enheter i organisasjonen

  1. Åpne Microsoft Azure Active Directory-modulen for Windows PowerShell.

  2. Kjør den følgende kommandoen.

    Get-MgDevice -All -ExpandProperty "registeredOwners" | Where-Object {($_.RegisteredOwners -ne $null) -and ($_.RegisteredOwners.Count -gt 0)}

Hvis du vil ha flere eksempler, kan du se Get-MgDevice.

Kjør et skript for å få enhetsdetaljer

Først lagrer du skriptet på datamaskinen.

  1. Kopier og lim inn følgende tekst i Notisblokk.

        param (
 	[Parameter(Mandatory = $false)]
 	[PSObject[]]$users = @(),
 	[Parameter(Mandatory = $false)]
 	[Switch]$export,
 	[Parameter(Mandatory = $false)]
 	[String]$exportFileName = "UserDeviceOwnership_" + (Get-Date -Format "yyMMdd_HHMMss") + ".csv",
 	[Parameter(Mandatory = $false)]
 	[String]$exportPath = [Environment]::GetFolderPath("Desktop")
 )

 #Clearing the screen
 Clear-Host

 #Preparing the output object
 $deviceOwnership = @()


 if ($users.Count -eq 0) {
 	Write-Output "No user has been provided, gathering data for all devices in the tenant"
 	#Getting all Devices and their registered owners
 	$devices = Get-MgDevice -All -Property * -ExpandProperty registeredOwners

 	#For each device which has a registered owner, extract the device data and the registered owner data
 	foreach ($device in $devices) {
 		$DeviceOwners = $device | Select-Object -ExpandProperty 'RegisteredOwners'
 		#Checking if the DeviceOwners Object is empty
 		if ($DeviceOwners -ne $null) {
 			foreach ($DeviceOwner in $DeviceOwners) {
 				$OwnerDictionary = $DeviceOwner.AdditionalProperties
 				$OwnerDisplayName = $OwnerDictionary.Item('displayName')
 				$OwnerUPN = $OwnerDictionary.Item('userPrincipalName')
 				$OwnerID = $deviceOwner.Id
 				$deviceOwnership += [PSCustomObject]@{
 					DeviceDisplayName             = $device.DisplayName
 					DeviceId                      = $device.DeviceId
 					DeviceOSType                  = $device.OperatingSystem
 					DeviceOSVersion               = $device.OperatingSystemVersion
 					DeviceTrustLevel              = $device.TrustType
 					DeviceIsCompliant             = $device.IsCompliant
 					DeviceIsManaged               = $device.IsManaged
 					DeviceObjectId                = $device.Id
 					DeviceOwnerID                 = $OwnerID
 					DeviceOwnerDisplayName        = $OwnerDisplayName
 					DeviceOwnerUPN                = $OwnerUPN
 					ApproximateLastLogonTimestamp = $device.ApproximateLastSignInDateTime
 				}
 			}
 		}

 	}
 }

 else {
 	#Checking that userid is present in the users object
 	Write-Output "List of users has been provided, gathering data for all devices owned by the provided users"
 	foreach ($user in $users) {
 		$devices = Get-MgUserOwnedDevice -UserId $user.Id -Property *
 		foreach ($device in $devices) {
 			$DeviceHashTable = $device.AdditionalProperties
 			$deviceOwnership += [PSCustomObject]@{
 				DeviceId                      = $DeviceHashTable.Item('deviceId')
 				DeviceOSType                  = $DeviceHashTable.Item('operatingSystem')
 				DeviceOSVersion               = $DeviceHashTable.Item('operatingSystemVersion') 
 				DeviceTrustLevel              = $DeviceHashTable.Item('trustType')
 				DeviceDisplayName             = $DeviceHashTable.Item('displayName')
 				DeviceIsCompliant             = $DeviceHashTable.Item('isCompliant')
 				DeviceIsManaged               = $DeviceHashTable.Item('isManaged')
 				DeviceObjectId                = $device.Id
 				DeviceOwnerUPN                = $user.UserPrincipalName
 				DeviceOwnerID                 = $user.Id
 				DeviceOwnerDisplayName        = $user.DisplayName
 				ApproximateLastLogonTimestamp = $DeviceHashTable.Item('approximateLastSignInDateTime')
 			}
 		}
 	}

 }

 $deviceOwnership

 if ($export) {
 	$exportFile = Join-Path -Path $exportPath -ChildPath $exportFileName
 	$deviceOwnership | Export-Csv -Path $exportFile -NoTypeInformation
 	Write-Output "Data has been exported to $exportFile"
 }

  2. Lagre den som en Windows PowerShell skriptfil ved hjelp av filtypen «.ps1». For eksempel Get-MgGraphDeviceOwnership.ps1.

    Obs!

    Skriptet er også tilgjengelig for nedlasting på Github.

Kjør skriptet for å få enhetsinformasjon for én enkelt brukerkonto

  1. Åpne Powershell.

  2. Gå til mappen der du lagret skriptet. Hvis du for eksempel lagret den i C:\PS-Scripts, kjører du følgende kommando.

    cd C:\PS-Scripts

  3. Kjør følgende kommando for å identifisere brukeren du vil hente enhetsdetaljer for. Dette eksemplet får detaljer for user@contoso.com.

    $user = Get-MgUser -UserId "user@contoso.com"

  4. Kjør følgende kommando for å starte skriptet.

    .\Get-GraphUserDeviceComplianceStatus.ps1 -users $user -Export

Informasjonen eksporteres til Windows-skrivebordet som en CSV-fil. Du kan angi filnavnet og banen til CSV-filen.

Kjør skriptet for å få enhetsinformasjon for en gruppe brukere

  1. Åpne Powershell.

  2. Gå til mappen der du lagret skriptet. Hvis du for eksempel lagret den i C:\PS-Scripts, kjører du følgende kommando.

    cd C:\PS-Scripts

  3. Kjør følgende kommando for å identifisere gruppen du vil hente enhetsdetaljer for. Dette eksemplet får detaljer for brukere i FinanceStaff-gruppen.

    $groupId = Get-MgGroup -Filter "displayName eq 'FinanceStaff'" | Select-Object -ExpandProperty Id
$Users = Get-MgGroupMember -GroupId $groupId | Select-Object -ExpandProperty Id | % { Get-MgUser -UserId $_ }

  4. Kjør følgende kommando for å starte skriptet.

    .\Get-GraphUserDeviceComplianceStatus.ps1 -User $Users -Export

Informasjonen eksporteres til Windows-skrivebordet som en CSV-fil. Du kan bruke flere parametere til å angi filnavnet og banen til CSV-filen.

Beslektet innhold

Microsoft Connect er trukket tilbake

Oversikt over Grunnleggende sikkerhet for mobile enheter

Kunngjøring om avvikling for MSOnline- og AzureAD-cmdleter

Get-MgUser

Get-MgDevice

Get-MgUserOwnedDevice