Administración de la configuración de acceso a dispositivos en Movilidad básica y seguridad
Si usa Movilidad básica y seguridad, es posible que haya dispositivos que no pueda administrar con Movilidad básica y seguridad. Si es así, debe bloquear Exchange ActiveSync acceso de la aplicación al correo electrónico de Microsoft 365 para dispositivos móviles que no sean compatibles con Movilidad básica y seguridad. Bloquear Exchange ActiveSync acceso a la aplicación ayuda a proteger la información de la organización en más dispositivos.
Siga estos pasos:
Inicie sesión en Microsoft 365 con una cuenta de administrador de cumplimiento .
En el explorador, escriba: https://compliance.microsoft.com/basicmobilityandsecurity.
Vaya a la pestaña Configuración de la organización .
Seleccione Restricción de acceso para el dispositivo MDM no compatible y asegúrese de que está seleccionada la opción Permitir acceso (se requiere la inscripción de dispositivos).
Para obtener información sobre qué dispositivos Movilidad básica y seguridad admite, consulte Funcionalidades de Movilidad básica y seguridad.
Obtener detalles sobre Movilidad básica y seguridad dispositivos administrados
Además, puede usar Microsoft Graph PowerShell para obtener detalles sobre los dispositivos de la organización que configuró para Movilidad básica y seguridad.
Este es un desglose de los detalles del dispositivo disponibles.
| Detalles | Qué buscar en PowerShell |
|---|---|
| El dispositivo está inscrito en Movilidad básica y seguridad. Para obtener más información, consulte Inscripción de un dispositivo móvil mediante Movilidad básica y seguridad | El valor del parámetro isManaged es: True= el dispositivo está inscrito. El dispositivo False= no está inscrito. |
| El dispositivo es compatible con las directivas de seguridad del dispositivo. Para obtener más información, consulte Creación de directivas de seguridad de dispositivos. | El valor del parámetro isCompliant es: True = el dispositivo es compatible con las directivas. False = el dispositivo no es compatible con las directivas. |
Nota:
Los comandos y scripts siguientes también devuelven detalles sobre los dispositivos administrados por Microsoft Intune.
Estas son algunas cosas que debe configurar para ejecutar los comandos y scripts siguientes:
Paso 1: Descargar e instalar el SDK de PowerShell de Microsoft Graph
Para obtener más información sobre estos pasos, consulte Conexión a Microsoft 365 con PowerShell.
Instale el SDK de PowerShell de Microsoft Graph para Windows PowerShell con estos pasos:
Abra un símbolo del sistema de PowerShell con permisos de administrador.
Ejecute el siguiente comando:
Install-Module Microsoft.Graph -Scope AllUsersSi se le pide que instale el proveedor de NuGet, escriba Y y presione ENTRAR.
Si se le pide que instale el módulo desde PSGallery, escriba Y y presione ENTRAR.
Después de la instalación, cierre la ventana de comandos de PowerShell.
Paso 2: Conectarse a la suscripción de Microsoft 365
En la ventana de PowerShell, ejecute el siguiente comando.
Connect-MgGraph -Scopes Device.Read.All, User.Read.AllSe abre un elemento emergente para que pueda iniciar sesión. Proporcione las credenciales de la cuenta administrativa e inicie sesión.
Si su cuenta tiene los permisos necesarios, verá "Bienvenido a Microsoft Graph!" en la ventana de PowerShell.
Paso 3: Asegúrese de que puede ejecutar scripts de PowerShell
Nota:
Puede omitir este paso si ya está configurado para ejecutar scripts de PowerShell.
Para ejecutar el script de Get-GraphUserDeviceComplianceStatus.ps1, debe habilitar la ejecución de scripts de PowerShell.
En el escritorio de Windows, seleccione Inicio y, a continuación, escriba Windows PowerShell. Haga clic con el botón derecho en Windows PowerShell y, a continuación, seleccione Ejecutar como administrador.
Ejecuta el siguiente comando.
Set-ExecutionPolicy RemoteSignedCuando se le solicite, escriba Y y presione Entrar.
Ejecute el cmdlet Get-MgDevice para mostrar los detalles de todos los dispositivos de la organización.
Abra el módulo Microsoft Azure Active Directory para Windows PowerShell.
Ejecuta el siguiente comando.
Get-MgDevice -All -ExpandProperty "registeredOwners" | Where-Object {($_.RegisteredOwners -ne $null) -and ($_.RegisteredOwners.Count -gt 0)}
Para obtener más ejemplos, vea Get-MgDevice.
Ejecución de un script para obtener los detalles del dispositivo
En primer lugar, guarde el script en el equipo.
Copie y pegue el texto siguiente en el Bloc de notas.
param ( [Parameter(Mandatory = $false)] [PSObject[]]$users = @(), [Parameter(Mandatory = $false)] [Switch]$export, [Parameter(Mandatory = $false)] [String]$exportFileName = "UserDeviceOwnership_" + (Get-Date -Format "yyMMdd_HHMMss") + ".csv", [Parameter(Mandatory = $false)] [String]$exportPath = [Environment]::GetFolderPath("Desktop") ) #Clearing the screen Clear-Host #Preparing the output object $deviceOwnership = @() if ($users.Count -eq 0) { Write-Output "No user has been provided, gathering data for all devices in the tenant" #Getting all Devices and their registered owners $devices = Get-MgDevice -All -Property * -ExpandProperty registeredOwners #For each device which has a registered owner, extract the device data and the registered owner data foreach ($device in $devices) { $DeviceOwners = $device | Select-Object -ExpandProperty 'RegisteredOwners' #Checking if the DeviceOwners Object is empty if ($DeviceOwners -ne $null) { foreach ($DeviceOwner in $DeviceOwners) { $OwnerDictionary = $DeviceOwner.AdditionalProperties $OwnerDisplayName = $OwnerDictionary.Item('displayName') $OwnerUPN = $OwnerDictionary.Item('userPrincipalName') $OwnerID = $deviceOwner.Id $deviceOwnership += [PSCustomObject]@{ DeviceDisplayName = $device.DisplayName DeviceId = $device.DeviceId DeviceOSType = $device.OperatingSystem DeviceOSVersion = $device.OperatingSystemVersion DeviceTrustLevel = $device.TrustType DeviceIsCompliant = $device.IsCompliant DeviceIsManaged = $device.IsManaged DeviceObjectId = $device.Id DeviceOwnerID = $OwnerID DeviceOwnerDisplayName = $OwnerDisplayName DeviceOwnerUPN = $OwnerUPN ApproximateLastLogonTimestamp = $device.ApproximateLastSignInDateTime } } } } } else { #Checking that userid is present in the users object Write-Output "List of users has been provided, gathering data for all devices owned by the provided users" foreach ($user in $users) { $devices = Get-MgUserOwnedDevice -UserId $user.Id -Property * foreach ($device in $devices) { $DeviceHashTable = $device.AdditionalProperties $deviceOwnership += [PSCustomObject]@{ DeviceId = $DeviceHashTable.Item('deviceId') DeviceOSType = $DeviceHashTable.Item('operatingSystem') DeviceOSVersion = $DeviceHashTable.Item('operatingSystemVersion') DeviceTrustLevel = $DeviceHashTable.Item('trustType') DeviceDisplayName = $DeviceHashTable.Item('displayName') DeviceIsCompliant = $DeviceHashTable.Item('isCompliant') DeviceIsManaged = $DeviceHashTable.Item('isManaged') DeviceObjectId = $device.Id DeviceOwnerUPN = $user.UserPrincipalName DeviceOwnerID = $user.Id DeviceOwnerDisplayName = $user.DisplayName ApproximateLastLogonTimestamp = $DeviceHashTable.Item('approximateLastSignInDateTime') } } } } $deviceOwnership if ($export) { $exportFile = Join-Path -Path $exportPath -ChildPath $exportFileName $deviceOwnership | Export-Csv -Path $exportFile -NoTypeInformation Write-Output "Data has been exported to $exportFile" }Guárdelo como un archivo de script Windows PowerShell mediante la extensión de archivo ".ps1". Por ejemplo, Get-MgGraphDeviceOwnership.ps1.
Nota:
El script también está disponible para su descarga en Github.
Ejecute el script para obtener información del dispositivo para una sola cuenta de usuario.
Abra PowerShell.
Vaya a la carpeta donde guardó el script. Por ejemplo, si lo guardó en C:\PS-Scripts, ejecute el siguiente comando.
cd C:\PS-ScriptsEjecute el siguiente comando para identificar al usuario para el que desea obtener los detalles del dispositivo. En este ejemplo se obtienen detalles de user@contoso.com.
$user = Get-MgUser -UserId "user@contoso.com"Ejecuta el siguiente comando.
.\Get-GraphUserDeviceComplianceStatus.ps1 -users $user -Export
La información se exporta al escritorio de Windows como un archivo CSV. Puede especificar el nombre de archivo y la ruta de acceso del ARCHIVO CSV.
Ejecutar el script para obtener información del dispositivo para un grupo de usuarios
Abra PowerShell.
Vaya a la carpeta donde guardó el script. Por ejemplo, si lo guardó en C:\PS-Scripts, ejecute el siguiente comando.
cd C:\PS-ScriptsEjecute el siguiente comando para identificar el grupo para el que desea obtener los detalles del dispositivo. En este ejemplo se obtienen los detalles de los usuarios del grupo FinanceStaff.
$groupId = Get-MgGroup -Filter "displayName eq 'FinanceStaff'" | Select-Object -ExpandProperty Id $Users = Get-MgGroupMember -GroupId $groupId | Select-Object -ExpandProperty Id | % { Get-MgUser -UserId $_ }Ejecute el siguiente comando para iniciar el script.
.\Get-GraphUserDeviceComplianceStatus.ps1 -User $Users -Export
La información se exporta al escritorio de Windows como un archivo CSV. Puede usar más parámetros para especificar el nombre de archivo y la ruta de acceso del ARCHIVO CSV.
Contenido relacionado
Información general sobre Movilidad y seguridad básicas