Temel Hareketlilik ve Güvenlik'de cihaz erişim ayarlarını yönetme

  • Makale

Temel Hareketlilik ve Güvenlik kullanıyorsanız, Temel Hareketlilik ve Güvenlik ile yönetemediğiniz cihazlar olabilir. Öyleyse, Temel Hareketlilik ve Güvenlik tarafından desteklenmeyen mobil cihazlar için Microsoft 365 e-postasına Exchange ActiveSync uygulama erişimini engellemeniz gerekir. Exchange ActiveSync uygulama erişiminin engellenmesi, daha fazla cihazda kuruluşunuzun bilgilerinin güvenliğini sağlar.

Şu adımları kullanın:

  1. Genel yönetici hesabınızla Microsoft 365'te oturum açın.

  2. Tarayıcınızda şunu yazın: https://compliance.microsoft.com/basicmobilityandsecurity.

  3. Kuruluş Ayarı sekmesine gidin.

  4. Desteklenmeyen MDM cihazı için Erişim kısıtlaması'ni seçin ve Erişime izin ver (cihaz kaydı gereklidir) seçeneğinin belirlendiğinden emin olun.

Hangi cihazların Temel Hareketlilik ve Güvenlik desteklediğini öğrenmek için bkz. Temel Hareketlilik ve Güvenlik özellikleri.

Yönetilen cihazlar Temel Hareketlilik ve Güvenlik hakkında ayrıntılı bilgi edinin

Ayrıca, kuruluşunuzda Temel Hareketlilik ve Güvenlik için ayarladığınız cihazlar hakkında ayrıntılı bilgi almak için Microsoft Graph PowerShell'i kullanabilirsiniz.

Aşağıda, kullanabileceğiniz cihaz ayrıntılarının dökümü yer alır.

Ayrıntı PowerShell'de aranacaklar
Cihaz Temel Hareketlilik ve Güvenlik kaydedilir. Daha fazla bilgi için bkz. mobil cihazınızı Temel Hareketlilik ve Güvenlik kullanarak kaydetme isManaged parametresinin değeri:
True= cihaz kaydedildi.
False= cihaz kayıtlı değil.
Cihaz, cihaz güvenlik ilkelerinizle uyumludur. Daha fazla bilgi için bkz . Cihaz güvenlik ilkeleri oluşturma isCompliant parametresinin değeri:
True = cihaz ilkelerle uyumludur.
False = cihaz ilkelerle uyumlu değil.

PowerShell parametrelerini Temel Hareketlilik ve Güvenlik.

Not

İzleyen komutlar ve betikler, Microsoft Intune tarafından yönetilen tüm cihazlarla ilgili ayrıntıları da döndürür.

Aşağıdaki komutları ve betikleri çalıştırmak için ayarlamanız gereken birkaç şey şunlardır:

1. Adım: Microsoft Graph PowerShell SDK'sını indirme ve yükleme

Bu adımlar hakkında daha fazla bilgi için bkz. PowerShell ile Microsoft 365'e bağlanma.

  1. Windows PowerShell için Microsoft Graph PowerShell SDK'sını şu adımlarla yükleyin:

    1. Yönetici düzeyinde bir PowerShell komut istemi açın.

    2. Aşağıdaki komutu çalıştırın:

      Install-Module Microsoft.Graph -Scope AllUsers

    3. NuGet sağlayıcısını yüklemeniz istenirse Y yazın ve ENTER tuşuna basın.

    4. Modülü PSGallery'den yüklemeniz istenirse Y yazın ve ENTER tuşuna basın.

    5. Yüklemeden sonra PowerShell komut penceresini kapatın.

2. Adım: Microsoft 365 aboneliğinize bağlanma

  1. PowerShell penceresinde aşağıdaki komutu çalıştırın.

    Connect-MgGraph -Scopes Device.Read.All, User.Read.All

  2. Oturum açmanız için bir açılır pencere açılır. Yönetim Hesabınızın kimlik bilgilerini girin ve oturum açın.

  3. Hesabınız gerekli izinlere sahipse Powershell penceresinde "Microsoft Graph'a Hoş Geldiniz!" ifadesini görürsünüz.

3. Adım: PowerShell betiklerini çalıştırabildiğinize emin olun

Not

PowerShell betiklerini çalıştırmak için zaten ayarladıysanız bu adımı atlayabilirsiniz.

Get-GraphUserDeviceComplianceStatus.ps1 betiğini çalıştırmak için PowerShell betiklerinin çalıştırılmasını etkinleştirmeniz gerekir.

  1. Windows Masaüstü'nüzden Başlat'ı seçin ve Windows PowerShell yazın. Windows PowerShell sağ tıklayın ve yönetici olarak çalıştır'ı seçin.

  2. Aşağıdaki komutu çalıştırın.

    Set-ExecutionPolicy RemoteSigned

  3. İstendiğinde Y yazıp Enter tuşuna basın.

Kuruluşunuzdaki tüm cihazların ayrıntılarını görüntülemek için Get-MgDevice cmdlet'ini çalıştırın

  1. Windows PowerShell için Microsoft Azure Active Directory modülünü açın.

  2. Aşağıdaki komutu çalıştırın.

    Get-MgDevice -All -ExpandProperty "registeredOwners" | Where-Object {($_.RegisteredOwners -ne $null) -and ($_.RegisteredOwners.Count -gt 0)}

Daha fazla örnek için bkz. Get-MgDevice.

Cihaz ayrıntılarını almak için betik çalıştırma

İlk olarak, betiği bilgisayarınıza kaydedin.

  1. Aşağıdaki metni kopyalayıp Not Defteri'ne yapıştırın.

        param (
 	[Parameter(Mandatory = $false)]
 	[PSObject[]]$users = @(),
 	[Parameter(Mandatory = $false)]
 	[Switch]$export,
 	[Parameter(Mandatory = $false)]
 	[String]$exportFileName = "UserDeviceOwnership_" + (Get-Date -Format "yyMMdd_HHMMss") + ".csv",
 	[Parameter(Mandatory = $false)]
 	[String]$exportPath = [Environment]::GetFolderPath("Desktop")
 )

 #Clearing the screen
 Clear-Host

 #Preparing the output object
 $deviceOwnership = @()


 if ($users.Count -eq 0) {
 	Write-Output "No user has been provided, gathering data for all devices in the tenant"
 	#Getting all Devices and their registered owners
 	$devices = Get-MgDevice -All -Property * -ExpandProperty registeredOwners

 	#For each device which has a registered owner, extract the device data and the registered owner data
 	foreach ($device in $devices) {
 		$DeviceOwners = $device | Select-Object -ExpandProperty 'RegisteredOwners'
 		#Checking if the DeviceOwners Object is empty
 		if ($DeviceOwners -ne $null) {
 			foreach ($DeviceOwner in $DeviceOwners) {
 				$OwnerDictionary = $DeviceOwner.AdditionalProperties
 				$OwnerDisplayName = $OwnerDictionary.Item('displayName')
 				$OwnerUPN = $OwnerDictionary.Item('userPrincipalName')
 				$OwnerID = $deviceOwner.Id
 				$deviceOwnership += [PSCustomObject]@{
 					DeviceDisplayName             = $device.DisplayName
 					DeviceId                      = $device.DeviceId
 					DeviceOSType                  = $device.OperatingSystem
 					DeviceOSVersion               = $device.OperatingSystemVersion
 					DeviceTrustLevel              = $device.TrustType
 					DeviceIsCompliant             = $device.IsCompliant
 					DeviceIsManaged               = $device.IsManaged
 					DeviceObjectId                = $device.Id
 					DeviceOwnerID                 = $OwnerID
 					DeviceOwnerDisplayName        = $OwnerDisplayName
 					DeviceOwnerUPN                = $OwnerUPN
 					ApproximateLastLogonTimestamp = $device.ApproximateLastSignInDateTime
 				}
 			}
 		}

 	}
 }

 else {
 	#Checking that userid is present in the users object
 	Write-Output "List of users has been provided, gathering data for all devices owned by the provided users"
 	foreach ($user in $users) {
 		$devices = Get-MgUserOwnedDevice -UserId $user.Id -Property *
 		foreach ($device in $devices) {
 			$DeviceHashTable = $device.AdditionalProperties
 			$deviceOwnership += [PSCustomObject]@{
 				DeviceId                      = $DeviceHashTable.Item('deviceId')
 				DeviceOSType                  = $DeviceHashTable.Item('operatingSystem')
 				DeviceOSVersion               = $DeviceHashTable.Item('operatingSystemVersion') 
 				DeviceTrustLevel              = $DeviceHashTable.Item('trustType')
 				DeviceDisplayName             = $DeviceHashTable.Item('displayName')
 				DeviceIsCompliant             = $DeviceHashTable.Item('isCompliant')
 				DeviceIsManaged               = $DeviceHashTable.Item('isManaged')
 				DeviceObjectId                = $device.Id
 				DeviceOwnerUPN                = $user.UserPrincipalName
 				DeviceOwnerID                 = $user.Id
 				DeviceOwnerDisplayName        = $user.DisplayName
 				ApproximateLastLogonTimestamp = $DeviceHashTable.Item('approximateLastSignInDateTime')
 			}
 		}
 	}

 }

 $deviceOwnership

 if ($export) {
 	$exportFile = Join-Path -Path $exportPath -ChildPath $exportFileName
 	$deviceOwnership | Export-Csv -Path $exportFile -NoTypeInformation
 	Write-Output "Data has been exported to $exportFile"
 }

  2. ".ps1" dosya uzantısını kullanarak Windows PowerShell betik dosyası olarak kaydedin. Örneğin, Get-MgGraphDeviceOwnership.ps1.

    Not

    Betik Github'dan da indirilebilir.

Tek bir kullanıcı hesabı için cihaz bilgilerini almak için betiği çalıştırın

  1. PowerShell'i açın.

  2. Betiği kaydettiğiniz klasöre gidin. Örneğin, C:\PS-Scripts'a kaydettiyseniz aşağıdaki komutu çalıştırın.

    cd C:\PS-Scripts

  3. Cihaz ayrıntılarını almak istediğiniz kullanıcıyı tanımlamak için aşağıdaki komutu çalıştırın. Bu örnek için user@contoso.comayrıntıları alır.

    $user = Get-MgUser -UserId "user@contoso.com"

  4. Betiği başlatmak için aşağıdaki komutu çalıştırın.

    .\Get-GraphUserDeviceComplianceStatus.ps1 -users $user -Export

Bilgiler Windows Masaüstü'nüze CSV dosyası olarak aktarılır. CSV dosyasının adını ve yolunu belirtebilirsiniz.

Bir kullanıcı grubu için cihaz bilgilerini almak için betiği çalıştırın

  1. PowerShell'i açın.

  2. Betiği kaydettiğiniz klasöre gidin. Örneğin, C:\PS-Scripts'a kaydettiyseniz aşağıdaki komutu çalıştırın.

    cd C:\PS-Scripts

  3. Cihaz ayrıntılarını almak istediğiniz grubu tanımlamak için aşağıdaki komutu çalıştırın. Bu örnek, FinanceStaff grubundaki kullanıcıların ayrıntılarını alır.

    $groupId = Get-MgGroup -Filter "displayName eq 'FinanceStaff'" | Select-Object -ExpandProperty Id
$Users = Get-MgGroupMember -GroupId $groupId | Select-Object -ExpandProperty Id | % { Get-MgUser -UserId $_ }

  4. Betiği başlatmak için aşağıdaki komutu çalıştırın.

    .\Get-GraphUserDeviceComplianceStatus.ps1 -User $Users -Export

Bilgiler Windows Masaüstü'nüze CSV dosyası olarak aktarılır. CSV'nin dosya adını ve yolunu belirtmek için ek parametreler kullanabilirsiniz.

İlgili içerik

Microsoft Connect Kullanımdan Kaldırıldı

Temel Hareketlilik ve Güvenlik'e Genel Bakış

MSOnline ve AzureAD cmdlet'leri için kullanımdan kaldırma duyurusu

Get-MgUser

Get-MgDevice

Get-MgUserOwnedDevice