Gérer les paramètres d’accès aux appareils dans Mobilité et sécurité de base
Si vous utilisez Mobilité et sécurité de base, il se peut qu’il y ait des appareils que vous ne pouvez pas gérer avec Mobilité et sécurité de base. Si c’est le cas, vous devez bloquer Exchange ActiveSync’accès de l’application à la messagerie Microsoft 365 pour les appareils mobiles qui ne sont pas pris en charge par Mobilité et sécurité de base. Le blocage Exchange ActiveSync accès aux applications permet de sécuriser vos informations organization sur d’autres appareils.
Procédez comme suit :
Connectez-vous à Microsoft 365 avec un compte d’administrateur de conformité .
Dans votre navigateur, tapez : https://compliance.microsoft.com/basicmobilityandsecurity.
Accédez à l’onglet Paramètres de l’organisation .
Sélectionnez Restriction d’accès pour l’appareil MDM non pris en charge et vérifiez que l’option Autoriser l’accès (inscription de l’appareil est requise) est sélectionnée.
Pour savoir quels appareils Mobilité et sécurité de base prend en charge, consultez Fonctionnalités de Mobilité et sécurité de base.
Obtenir des détails sur les appareils gérés Mobilité et sécurité de base
En outre, vous pouvez utiliser Microsoft Graph PowerShell pour obtenir des détails sur les appareils de votre organization que vous avez configurés pour Mobilité et sécurité de base.
Voici une répartition des détails de l’appareil à votre disposition.
| Détails | Éléments à rechercher dans PowerShell |
|---|---|
| L’appareil est inscrit dans Mobilité et sécurité de base. Pour plus d’informations, consultez Inscrire votre appareil mobile à l’aide de Mobilité et sécurité de base | La valeur du paramètre isManaged est : True= l’appareil est inscrit. False= l’appareil n’est pas inscrit. |
| L’appareil est conforme aux stratégies de sécurité de votre appareil. Pour plus d’informations, consultez Créer des stratégies de sécurité d’appareil | La valeur du paramètre isCompliant est : True = l’appareil est conforme aux stratégies. False = l’appareil n’est pas conforme aux stratégies. |
Remarque
Les commandes et les scripts qui suivent retournent également des détails sur les appareils gérés par Microsoft Intune.
Voici quelques éléments que vous devez configurer pour exécuter les commandes et les scripts suivants :
Étape 1 : Télécharger et installer le Kit de développement logiciel (SDK) Microsoft Graph PowerShell
Pour plus d’informations sur ces étapes, consultez Se connecter à Microsoft 365 avec PowerShell.
Installez le Kit de développement logiciel (SDK) Microsoft Graph PowerShell pour Windows PowerShell en procédant comme suit :
Ouvrez une invite de commandes PowerShell de niveau administrateur.
Exécutez la commande suivante :
Install-Module Microsoft.Graph -Scope AllUsersSi vous êtes invité à installer le fournisseur NuGet, tapez O, puis appuyez sur Entrée.
Si vous êtes invité à installer le module à partir de PSGallery, tapez O, puis appuyez sur Entrée.
Après l’installation, fermez la fenêtre de commande PowerShell.
Étape 2 : Se connecter à votre abonnement Microsoft 365
Dans la fenêtre PowerShell, exécutez la commande suivante.
Connect-MgGraph -Scopes Device.Read.All, User.Read.AllUne fenêtre contextuelle s’ouvre pour vous permettre de vous connecter. Fournissez les informations d’identification de votre compte d’administration et connectez-vous.
Si votre compte dispose des autorisations nécessaires, vous voyez « Bienvenue dans Microsoft Graph ! » dans la fenêtre PowerShell.
Étape 3 : Vérifier que vous êtes en mesure d’exécuter des scripts PowerShell
Remarque
Vous pouvez ignorer cette étape si vous êtes déjà configuré pour exécuter des scripts PowerShell.
Pour exécuter le script Get-GraphUserDeviceComplianceStatus.ps1, vous devez activer l’exécution de scripts PowerShell.
À partir de votre Bureau Windows, sélectionnez Démarrer, puis tapez Windows PowerShell. Cliquez avec le bouton droit sur Windows PowerShell, puis sélectionnez Exécuter en tant qu’administrateur.
Exécutez la commande suivante :
Set-ExecutionPolicy RemoteSignedLorsque vous y êtes invité, tapez Y , puis appuyez sur Entrée.
Exécutez l’applet de commande Get-MgDevice pour afficher les détails de tous les appareils de votre organization
Ouvrez le module Microsoft Azure Active Directory pour Windows PowerShell.
Exécutez la commande suivante :
Get-MgDevice -All -ExpandProperty "registeredOwners" | Where-Object {($_.RegisteredOwners -ne $null) -and ($_.RegisteredOwners.Count -gt 0)}
Pour plus d’exemples, consultez Get-MgDevice.
Exécuter un script pour obtenir les détails de l’appareil
Tout d’abord, enregistrez le script sur votre ordinateur.
Copiez et collez le texte suivant dans le Bloc-notes.
param ( [Parameter(Mandatory = $false)] [PSObject[]]$users = @(), [Parameter(Mandatory = $false)] [Switch]$export, [Parameter(Mandatory = $false)] [String]$exportFileName = "UserDeviceOwnership_" + (Get-Date -Format "yyMMdd_HHMMss") + ".csv", [Parameter(Mandatory = $false)] [String]$exportPath = [Environment]::GetFolderPath("Desktop") ) #Clearing the screen Clear-Host #Preparing the output object $deviceOwnership = @() if ($users.Count -eq 0) { Write-Output "No user has been provided, gathering data for all devices in the tenant" #Getting all Devices and their registered owners $devices = Get-MgDevice -All -Property * -ExpandProperty registeredOwners #For each device which has a registered owner, extract the device data and the registered owner data foreach ($device in $devices) { $DeviceOwners = $device | Select-Object -ExpandProperty 'RegisteredOwners' #Checking if the DeviceOwners Object is empty if ($DeviceOwners -ne $null) { foreach ($DeviceOwner in $DeviceOwners) { $OwnerDictionary = $DeviceOwner.AdditionalProperties $OwnerDisplayName = $OwnerDictionary.Item('displayName') $OwnerUPN = $OwnerDictionary.Item('userPrincipalName') $OwnerID = $deviceOwner.Id $deviceOwnership += [PSCustomObject]@{ DeviceDisplayName = $device.DisplayName DeviceId = $device.DeviceId DeviceOSType = $device.OperatingSystem DeviceOSVersion = $device.OperatingSystemVersion DeviceTrustLevel = $device.TrustType DeviceIsCompliant = $device.IsCompliant DeviceIsManaged = $device.IsManaged DeviceObjectId = $device.Id DeviceOwnerID = $OwnerID DeviceOwnerDisplayName = $OwnerDisplayName DeviceOwnerUPN = $OwnerUPN ApproximateLastLogonTimestamp = $device.ApproximateLastSignInDateTime } } } } } else { #Checking that userid is present in the users object Write-Output "List of users has been provided, gathering data for all devices owned by the provided users" foreach ($user in $users) { $devices = Get-MgUserOwnedDevice -UserId $user.Id -Property * foreach ($device in $devices) { $DeviceHashTable = $device.AdditionalProperties $deviceOwnership += [PSCustomObject]@{ DeviceId = $DeviceHashTable.Item('deviceId') DeviceOSType = $DeviceHashTable.Item('operatingSystem') DeviceOSVersion = $DeviceHashTable.Item('operatingSystemVersion') DeviceTrustLevel = $DeviceHashTable.Item('trustType') DeviceDisplayName = $DeviceHashTable.Item('displayName') DeviceIsCompliant = $DeviceHashTable.Item('isCompliant') DeviceIsManaged = $DeviceHashTable.Item('isManaged') DeviceObjectId = $device.Id DeviceOwnerUPN = $user.UserPrincipalName DeviceOwnerID = $user.Id DeviceOwnerDisplayName = $user.DisplayName ApproximateLastLogonTimestamp = $DeviceHashTable.Item('approximateLastSignInDateTime') } } } } $deviceOwnership if ($export) { $exportFile = Join-Path -Path $exportPath -ChildPath $exportFileName $deviceOwnership | Export-Csv -Path $exportFile -NoTypeInformation Write-Output "Data has been exported to $exportFile" }Enregistrez-le en tant que fichier de script Windows PowerShell à l’aide de l’extension de fichier « .ps1 ». Par exemple, Get-MgGraphDeviceOwnership.ps1.
Remarque
Le script est également disponible en téléchargement sur Github.
Exécuter le script pour obtenir des informations sur l’appareil pour un seul compte d’utilisateur
Ouvrez PowerShell.
Accédez au dossier dans lequel vous avez enregistré le script. Par exemple, si vous l’avez enregistré dans C :\PS-Scripts, exécutez la commande suivante.
cd C:\PS-ScriptsExécutez la commande suivante pour identifier l’utilisateur pour lequel vous souhaitez obtenir les détails de l’appareil. Cet exemple obtient des détails pour user@contoso.com.
$user = Get-MgUser -UserId "user@contoso.com"Exécutez la commande suivante :
.\Get-GraphUserDeviceComplianceStatus.ps1 -users $user -Export
Les informations sont exportées vers votre bureau Windows sous la forme d’un fichier CSV. Vous pouvez spécifier le nom de fichier et le chemin d’accès du fichier CSV.
Exécuter le script pour obtenir des informations sur l’appareil d’un groupe d’utilisateurs
Ouvrez PowerShell.
Accédez au dossier dans lequel vous avez enregistré le script. Par exemple, si vous l’avez enregistré dans C :\PS-Scripts, exécutez la commande suivante.
cd C:\PS-ScriptsExécutez la commande suivante pour identifier le groupe pour lequel vous souhaitez obtenir les détails de l’appareil. Cet exemple obtient des détails pour les utilisateurs du groupe FinanceStaff.
$groupId = Get-MgGroup -Filter "displayName eq 'FinanceStaff'" | Select-Object -ExpandProperty Id $Users = Get-MgGroupMember -GroupId $groupId | Select-Object -ExpandProperty Id | % { Get-MgUser -UserId $_ }Exécutez la commande suivante pour lancer le script.
.\Get-GraphUserDeviceComplianceStatus.ps1 -User $Users -Export
Les informations sont exportées vers votre bureau Windows sous la forme d’un fichier CSV. Vous pouvez utiliser d’autres paramètres pour spécifier le nom de fichier et le chemin d’accès du fichier CSV.
Contenu connexe
Microsoft Connect mis hors service
Vue d’ensemble de la fonction Mobility + Security de Base
Annonce de mise hors service pour les applets de commande MSOnline et AzureAD