Gerir definições de acesso de dispositivos no Mobilidade e segurança básicas

  • Artigo

Se estiver a utilizar Mobilidade e segurança básicas, poderão existir dispositivos que não pode gerir com Mobilidade e segurança básicas. Se for o caso, deve bloquear Exchange ActiveSync acesso da aplicação ao e-mail do Microsoft 365 para dispositivos móveis que não são suportados pelo Mobilidade e segurança básicas. Bloquear Exchange ActiveSync acesso à aplicação ajuda a proteger as informações da sua organização em mais dispositivos.

Utilize estes passos:

  1. Inicie sessão no Microsoft 365 com a sua conta de administrador global.

  2. No browser, escreva: https://compliance.microsoft.com/basicmobilityandsecurity.

  3. Aceda ao separador Definições da Organização .

  4. Selecione Restrição de acesso para dispositivo MDM não suportado e certifique-se de que a opção Permitir acesso (inscrição de dispositivos é necessária) está selecionada.

Para saber que dispositivos Mobilidade e segurança básicas suportam, veja Capacidades de Mobilidade e segurança básicas.

Obter detalhes sobre Mobilidade e segurança básicas dispositivos geridos

Além disso, pode utilizar o Microsoft Graph PowerShell para obter detalhes sobre os dispositivos na sua organização que configurou para Mobilidade e segurança básicas.

Eis uma discriminação dos detalhes do dispositivo disponíveis para si.

Detalhe O que procurar no PowerShell
O dispositivo está inscrito no Mobilidade e segurança básicas. Para obter mais informações, consulte Inscrever o seu dispositivo móvel com Mobilidade e segurança básicas O valor do parâmetro é Gerido :
True= o dispositivo está inscrito.
False= o dispositivo não está inscrito.
O dispositivo está em conformidade com as políticas de segurança do dispositivo. Para obter mais informações, consulte Create políticas de segurança de dispositivos O valor do parâmetro isCompliant é:
True = o dispositivo está em conformidade com as políticas.
False = o dispositivo não está em conformidade com as políticas.

Mobilidade e segurança básicas parâmetros do PowerShell.

Nota

Os comandos e scripts que se seguem também devolvem detalhes sobre quaisquer dispositivos geridos por Microsoft Intune.

Eis algumas coisas que precisa de configurar para executar os comandos e scripts que se seguem:

Passo 1: Transferir e instalar o SDK do PowerShell do Microsoft Graph

Para obter mais informações sobre estes passos, consulte Ligar ao Microsoft 365 com o PowerShell.

  1. Instale o SDK do PowerShell do Microsoft Graph para Windows PowerShell com estes passos:

    1. Abra uma linha de comandos do PowerShell ao nível do administrador.

    2. Execute o seguinte comando:

      Install-Module Microsoft.Graph -Scope AllUsers

    3. Se lhe for pedido para instalar o fornecedor NuGet, escreva Y e prima ENTER.

    4. Se lhe for pedido para instalar o módulo a partir de PSGallery, escreva Y e prima ENTER.

    5. Após a instalação, feche a janela de comandos do PowerShell.

Passo 2: Ligar à sua subscrição do Microsoft 365

  1. Na janela do PowerShell, execute o seguinte comando.

    Connect-MgGraph -Scopes Device.Read.All, User.Read.All

  2. Será aberto um pop-up para iniciar sessão. Forneça as credenciais da sua Conta Administrativa e inicie sessão.

  3. Se a sua conta tiver as permissões necessárias, verá "Bem-vindo ao Microsoft Graph!" na janela do Powershell.

Passo 3: certifique-se de que consegue executar scripts do PowerShell

Nota

Pode ignorar este passo se já estiver configurado para executar scripts do PowerShell.

Para executar o script Get-GraphUserDeviceComplianceStatus.ps1, tem de ativar a execução de scripts do PowerShell.

  1. No ambiente de trabalho do Windows, selecione Iniciar e, em seguida, escreva Windows PowerShell. Clique com o botão direito do rato Windows PowerShell e, em seguida, selecione Executar como administrador.

  2. Execute o seguinte comando.

    Set-ExecutionPolicy RemoteSigned

  3. Quando lhe for pedido, escreva Y e, em seguida, prima Enter.

Execute o cmdlet Get-MgDevice para apresentar os detalhes de todos os dispositivos na sua organização

  1. Abra o módulo Microsoft Azure Active Directory para Windows PowerShell.

  2. Execute o seguinte comando.

    Get-MgDevice -All -ExpandProperty "registeredOwners" | Where-Object {($_.RegisteredOwners -ne $null) -and ($_.RegisteredOwners.Count -gt 0)}

Para obter mais exemplos, veja Get-MgDevice.

Executar um script para obter detalhes do dispositivo

Primeiro, guarde o script no seu computador.

  1. Copie e cole o seguinte texto no Bloco de Notas.

        param (
 	[Parameter(Mandatory = $false)]
 	[PSObject[]]$users = @(),
 	[Parameter(Mandatory = $false)]
 	[Switch]$export,
 	[Parameter(Mandatory = $false)]
 	[String]$exportFileName = "UserDeviceOwnership_" + (Get-Date -Format "yyMMdd_HHMMss") + ".csv",
 	[Parameter(Mandatory = $false)]
 	[String]$exportPath = [Environment]::GetFolderPath("Desktop")
 )

 #Clearing the screen
 Clear-Host

 #Preparing the output object
 $deviceOwnership = @()


 if ($users.Count -eq 0) {
 	Write-Output "No user has been provided, gathering data for all devices in the tenant"
 	#Getting all Devices and their registered owners
 	$devices = Get-MgDevice -All -Property * -ExpandProperty registeredOwners

 	#For each device which has a registered owner, extract the device data and the registered owner data
 	foreach ($device in $devices) {
 		$DeviceOwners = $device | Select-Object -ExpandProperty 'RegisteredOwners'
 		#Checking if the DeviceOwners Object is empty
 		if ($DeviceOwners -ne $null) {
 			foreach ($DeviceOwner in $DeviceOwners) {
 				$OwnerDictionary = $DeviceOwner.AdditionalProperties
 				$OwnerDisplayName = $OwnerDictionary.Item('displayName')
 				$OwnerUPN = $OwnerDictionary.Item('userPrincipalName')
 				$OwnerID = $deviceOwner.Id
 				$deviceOwnership += [PSCustomObject]@{
 					DeviceDisplayName             = $device.DisplayName
 					DeviceId                      = $device.DeviceId
 					DeviceOSType                  = $device.OperatingSystem
 					DeviceOSVersion               = $device.OperatingSystemVersion
 					DeviceTrustLevel              = $device.TrustType
 					DeviceIsCompliant             = $device.IsCompliant
 					DeviceIsManaged               = $device.IsManaged
 					DeviceObjectId                = $device.Id
 					DeviceOwnerID                 = $OwnerID
 					DeviceOwnerDisplayName        = $OwnerDisplayName
 					DeviceOwnerUPN                = $OwnerUPN
 					ApproximateLastLogonTimestamp = $device.ApproximateLastSignInDateTime
 				}
 			}
 		}

 	}
 }

 else {
 	#Checking that userid is present in the users object
 	Write-Output "List of users has been provided, gathering data for all devices owned by the provided users"
 	foreach ($user in $users) {
 		$devices = Get-MgUserOwnedDevice -UserId $user.Id -Property *
 		foreach ($device in $devices) {
 			$DeviceHashTable = $device.AdditionalProperties
 			$deviceOwnership += [PSCustomObject]@{
 				DeviceId                      = $DeviceHashTable.Item('deviceId')
 				DeviceOSType                  = $DeviceHashTable.Item('operatingSystem')
 				DeviceOSVersion               = $DeviceHashTable.Item('operatingSystemVersion') 
 				DeviceTrustLevel              = $DeviceHashTable.Item('trustType')
 				DeviceDisplayName             = $DeviceHashTable.Item('displayName')
 				DeviceIsCompliant             = $DeviceHashTable.Item('isCompliant')
 				DeviceIsManaged               = $DeviceHashTable.Item('isManaged')
 				DeviceObjectId                = $device.Id
 				DeviceOwnerUPN                = $user.UserPrincipalName
 				DeviceOwnerID                 = $user.Id
 				DeviceOwnerDisplayName        = $user.DisplayName
 				ApproximateLastLogonTimestamp = $DeviceHashTable.Item('approximateLastSignInDateTime')
 			}
 		}
 	}

 }

 $deviceOwnership

 if ($export) {
 	$exportFile = Join-Path -Path $exportPath -ChildPath $exportFileName
 	$deviceOwnership | Export-Csv -Path $exportFile -NoTypeInformation
 	Write-Output "Data has been exported to $exportFile"
 }

  2. Guarde-o como um ficheiro de script Windows PowerShell com a extensão de ficheiro ".ps1". Por exemplo, Get-MgGraphDeviceOwnership.ps1.

    Nota

    O script também está disponível para transferência no Github.

Executar o script para obter informações do dispositivo para uma única conta de utilizador

  1. Abra o PowerShell.

  2. Aceda à pasta onde guardou o script. Por exemplo, se o tiver guardado em C:\PS-Scripts, execute o seguinte comando.

    cd C:\PS-Scripts

  3. Execute o seguinte comando para identificar o utilizador para o qual pretende obter os detalhes do dispositivo. Este exemplo obtém detalhes para user@contoso.com.

    $user = Get-MgUser -UserId "user@contoso.com"

  4. Execute o seguinte comando para iniciar o script.

    .\Get-GraphUserDeviceComplianceStatus.ps1 -users $user -Export

As informações são exportadas para o ambiente de trabalho do Windows como um ficheiro CSV. Pode especificar o nome do ficheiro e o caminho do CSV.

Executar o script para obter informações do dispositivo para um grupo de utilizadores

  1. Abra o PowerShell.

  2. Aceda à pasta onde guardou o script. Por exemplo, se o tiver guardado em C:\PS-Scripts, execute o seguinte comando.

    cd C:\PS-Scripts

  3. Execute o seguinte comando para identificar o grupo para o qual pretende obter os detalhes do dispositivo. Este exemplo obtém detalhes para os utilizadores no grupo FinanceStaff.

    $groupId = Get-MgGroup -Filter "displayName eq 'FinanceStaff'" | Select-Object -ExpandProperty Id
$Users = Get-MgGroupMember -GroupId $groupId | Select-Object -ExpandProperty Id | % { Get-MgUser -UserId $_ }

  4. Execute o seguinte comando para iniciar o script.

    .\Get-GraphUserDeviceComplianceStatus.ps1 -User $Users -Export

As informações são exportadas para o ambiente de trabalho do Windows como um ficheiro CSV. Pode utilizar parâmetros adicionais para especificar o nome do ficheiro e o caminho do CSV.

Conteúdos relacionados

O Microsoft Connect foi descontinuado

Descrição geral da Mobilidade e Segurança Básica

Anúncio de descontinuação dos cmdlets do MSOnline e do AzureAD

Get-MgUser

Get-MgDevice

Get-MgUserOwnedDevice