Gestire le impostazioni di accesso ai dispositivi in Mobilità e sicurezza di base
Se si usa Mobilità e sicurezza di base, potrebbero esserci dispositivi che non è possibile gestire con Mobilità e sicurezza di base. In tal caso, è consigliabile bloccare Exchange ActiveSync'accesso dell'app alla posta elettronica di Microsoft 365 per i dispositivi mobili non supportati da Mobilità e sicurezza di base. Il blocco Exchange ActiveSync'accesso alle app consente di proteggere le informazioni dell'organizzazione in più dispositivi.
Seguire questa procedura:
Accedere a Microsoft 365 con un account amministratore della conformità .
Nel browser digitare: https://compliance.microsoft.com/basicmobilityandsecurity.
Passare alla scheda Impostazione organizzazione .
Selezionare Restrizione di accesso per il dispositivo MDM non supportato e assicurarsi che sia selezionato Consenti l'accesso (registrazione del dispositivo è necessaria).
Per informazioni sui dispositivi supportati Mobilità e sicurezza di base, vedere Funzionalità di Mobilità e sicurezza di base.
Ottenere informazioni dettagliate sui dispositivi Mobilità e sicurezza di base gestiti
Inoltre, è possibile usare Microsoft Graph PowerShell per ottenere informazioni dettagliate sui dispositivi dell'organizzazione configurati per Mobilità e sicurezza di base.
Ecco una suddivisione per i dettagli del dispositivo disponibili.
| Dettagli | Cosa cercare in PowerShell |
|---|---|
| Il dispositivo viene registrato in Mobilità e sicurezza di base. Per altre info, vedi Registrare il dispositivo mobile usando Mobilità e sicurezza di base | Il valore del parametro isManaged è: True= il dispositivo è registrato. False= il dispositivo non è registrato. |
| Il dispositivo è conforme ai criteri di sicurezza del dispositivo. Per altre info, vedi Creare criteri di sicurezza dei dispositivi | Il valore del parametro isCompliant è: True = il dispositivo è conforme ai criteri. False = il dispositivo non è conforme ai criteri. |
Nota
I comandi e gli script che seguono restituiscono anche dettagli su tutti i dispositivi gestiti da Microsoft Intune.
Ecco alcuni elementi da configurare per eseguire i comandi e gli script seguenti:
Passaggio 1: Scaricare e installare Microsoft Graph PowerShell SDK
Per altre informazioni su questi passaggi, vedere Connettersi a Microsoft 365 con PowerShell.
Installare Microsoft Graph PowerShell SDK per Windows PowerShell con la procedura seguente:
Aprire un prompt dei comandi di PowerShell a livello di amministratore.
Eseguire il comando qui riportato:
Install-Module Microsoft.Graph -Scope AllUsersSe viene richiesto di installare il provider NuGet, digitare Y e premere INVIO.
Se viene richiesto di installare il modulo da PSGallery, digitare Y e premere INVIO.
Dopo l'installazione, chiudere la finestra di comando di PowerShell.
Passaggio 2: Connettersi all'abbonamento a Microsoft 365
Nella finestra di PowerShell eseguire il comando seguente.
Connect-MgGraph -Scopes Device.Read.All, User.Read.AllVerrà aperto un popup per l'accesso. Specificare le credenziali dell'account amministrativo e accedere.
Se l'account dispone delle autorizzazioni necessarie, viene visualizzato "Benvenuto in Microsoft Graph!" nella finestra di PowerShell.
Passaggio 3: Assicurarsi di poter eseguire script di PowerShell
Nota
È possibile ignorare questo passaggio se si è già configurati per l'esecuzione di script di PowerShell.
Per eseguire lo script Get-GraphUserDeviceComplianceStatus.ps1, è necessario abilitare l'esecuzione di script di PowerShell.
Nel desktop di Windows selezionare Start e quindi digitare Windows PowerShell. Fare clic con il pulsante destro del mouse su Windows PowerShell e quindi scegliere Esegui come amministratore.
Esegui il comando seguente:
Set-ExecutionPolicy RemoteSignedQuando richiesto, digitare Y e quindi premere INVIO.
Eseguire il cmdlet Get-MgDevice per visualizzare i dettagli per tutti i dispositivi dell'organizzazione
Aprire il modulo Microsoft Azure Active Directory per Windows PowerShell.
Esegui il comando seguente:
Get-MgDevice -All -ExpandProperty "registeredOwners" | Where-Object {($_.RegisteredOwners -ne $null) -and ($_.RegisteredOwners.Count -gt 0)}
Per altri esempi, vedere Get-MgDevice.
Eseguire uno script per ottenere i dettagli del dispositivo
Prima di tutto, salvare lo script nel computer.
Copiare e incollare il testo seguente nel Blocco note.
param ( [Parameter(Mandatory = $false)] [PSObject[]]$users = @(), [Parameter(Mandatory = $false)] [Switch]$export, [Parameter(Mandatory = $false)] [String]$exportFileName = "UserDeviceOwnership_" + (Get-Date -Format "yyMMdd_HHMMss") + ".csv", [Parameter(Mandatory = $false)] [String]$exportPath = [Environment]::GetFolderPath("Desktop") ) #Clearing the screen Clear-Host #Preparing the output object $deviceOwnership = @() if ($users.Count -eq 0) { Write-Output "No user has been provided, gathering data for all devices in the tenant" #Getting all Devices and their registered owners $devices = Get-MgDevice -All -Property * -ExpandProperty registeredOwners #For each device which has a registered owner, extract the device data and the registered owner data foreach ($device in $devices) { $DeviceOwners = $device | Select-Object -ExpandProperty 'RegisteredOwners' #Checking if the DeviceOwners Object is empty if ($DeviceOwners -ne $null) { foreach ($DeviceOwner in $DeviceOwners) { $OwnerDictionary = $DeviceOwner.AdditionalProperties $OwnerDisplayName = $OwnerDictionary.Item('displayName') $OwnerUPN = $OwnerDictionary.Item('userPrincipalName') $OwnerID = $deviceOwner.Id $deviceOwnership += [PSCustomObject]@{ DeviceDisplayName = $device.DisplayName DeviceId = $device.DeviceId DeviceOSType = $device.OperatingSystem DeviceOSVersion = $device.OperatingSystemVersion DeviceTrustLevel = $device.TrustType DeviceIsCompliant = $device.IsCompliant DeviceIsManaged = $device.IsManaged DeviceObjectId = $device.Id DeviceOwnerID = $OwnerID DeviceOwnerDisplayName = $OwnerDisplayName DeviceOwnerUPN = $OwnerUPN ApproximateLastLogonTimestamp = $device.ApproximateLastSignInDateTime } } } } } else { #Checking that userid is present in the users object Write-Output "List of users has been provided, gathering data for all devices owned by the provided users" foreach ($user in $users) { $devices = Get-MgUserOwnedDevice -UserId $user.Id -Property * foreach ($device in $devices) { $DeviceHashTable = $device.AdditionalProperties $deviceOwnership += [PSCustomObject]@{ DeviceId = $DeviceHashTable.Item('deviceId') DeviceOSType = $DeviceHashTable.Item('operatingSystem') DeviceOSVersion = $DeviceHashTable.Item('operatingSystemVersion') DeviceTrustLevel = $DeviceHashTable.Item('trustType') DeviceDisplayName = $DeviceHashTable.Item('displayName') DeviceIsCompliant = $DeviceHashTable.Item('isCompliant') DeviceIsManaged = $DeviceHashTable.Item('isManaged') DeviceObjectId = $device.Id DeviceOwnerUPN = $user.UserPrincipalName DeviceOwnerID = $user.Id DeviceOwnerDisplayName = $user.DisplayName ApproximateLastLogonTimestamp = $DeviceHashTable.Item('approximateLastSignInDateTime') } } } } $deviceOwnership if ($export) { $exportFile = Join-Path -Path $exportPath -ChildPath $exportFileName $deviceOwnership | Export-Csv -Path $exportFile -NoTypeInformation Write-Output "Data has been exported to $exportFile" }Salvarlo come file di script Windows PowerShell usando l'estensione ".ps1". Ad esempio, Get-MgGraphDeviceOwnership.ps1.
Nota
Lo script è disponibile anche per il download in Github.
Eseguire lo script per ottenere informazioni sul dispositivo per un singolo account utente
Aprire PowerShell.
Passare alla cartella in cui è stato salvato lo script. Ad esempio, se è stato salvato in C:\PS-Scripts, eseguire il comando seguente.
cd C:\PS-ScriptsEseguire il comando seguente per identificare l'utente per cui si desidera ottenere i dettagli del dispositivo. In questo esempio vengono ottenuti i dettagli per user@contoso.com.
$user = Get-MgUser -UserId "user@contoso.com"Esegui il comando seguente:
.\Get-GraphUserDeviceComplianceStatus.ps1 -users $user -Export
Le informazioni vengono esportate nel desktop di Windows come file CSV. È possibile specificare il nome e il percorso del file CSV.
Eseguire lo script per ottenere informazioni sul dispositivo per un gruppo di utenti
Aprire PowerShell.
Passare alla cartella in cui è stato salvato lo script. Ad esempio, se è stato salvato in C:\PS-Scripts, eseguire il comando seguente.
cd C:\PS-ScriptsEseguire il comando seguente per identificare il gruppo per cui si desidera ottenere i dettagli del dispositivo. Questo esempio ottiene i dettagli per gli utenti nel gruppo FinanceStaff.
$groupId = Get-MgGroup -Filter "displayName eq 'FinanceStaff'" | Select-Object -ExpandProperty Id $Users = Get-MgGroupMember -GroupId $groupId | Select-Object -ExpandProperty Id | % { Get-MgUser -UserId $_ }Eseguire il comando seguente per avviare lo script.
.\Get-GraphUserDeviceComplianceStatus.ps1 -User $Users -Export
Le informazioni vengono esportate nel desktop di Windows come file CSV. È possibile usare altri parametri per specificare il nome e il percorso del file CSV.
Contenuto correlato
Panoramica Basic Mobility + Security