Apparaatidentiteiten beheren met behulp van het Microsoft Entra-beheercentrum
Microsoft Entra ID biedt een centrale plaats voor het beheren van apparaatidentiteiten en het bewaken van gerelateerde gebeurtenisgegevens.
U kunt het overzicht van apparaten openen door de volgende stappen uit te voeren:
- Meld u als gebruiker aan bij het Microsoft Entra-beheercentrum met ten minste de standaardgebruikersmachtigingen.
- Ga naar Overzicht van identiteitsapparaten>>.
In het overzicht van apparaten kunt u het totale aantal apparaten, verouderde apparaten, niet-compatibele apparaten en onbeheerde apparaten weergeven. Het biedt koppelingen naar Intune, voorwaardelijke toegang, BitLocker-sleutels en basisbewaking. Voor andere functies, zoals voorwaardelijke toegang en Microsoft Intune, zijn extra roltoewijzingen vereist
Het aantal apparaten op de overzichtspagina wordt niet in realtime bijgewerkt. Wijzigingen moeten elke paar uur worden doorgevoerd.
Van daaruit kunt u naar Alle apparaten gaan om:
- Apparaten identificeren, waaronder:
- Apparaten die zijn toegevoegd aan of zijn geregistreerd in Microsoft Entra ID.
- Apparaten die zijn geïmplementeerd via Windows Autopilot.
- Printers die Universal Print gebruiken.
- Beheertaken uitvoeren voor apparaat-id's, zoals inschakelen, uitschakelen, verwijderen en beheren.
- De beheeropties voor Printers en Windows Autopilot zijn beperkt in Microsoft Entra ID. Deze apparaten moeten worden beheerd vanuit hun respectieve beheerinterfaces.
- Configureer de instellingen voor uw apparaat-id.
- Schakel enterprise state roaming in of uit.
- Apparaatgerelateerde auditlogboeken bekijken.
- Download apparaten.
Tip
Hybride Windows 10- of nieuwere apparaten van Microsoft Entra hebben geen eigenaar, tenzij de primaire gebruiker is ingesteld in Microsoft Intune. Als u op zoek bent naar een apparaat op eigenaar en het niet kunt vinden, zoekt u op apparaat-id.
Als u een apparaat ziet dat microsoft Entra hybrid is gekoppeld aan de status In behandeling in de kolom Geregistreerd , is het apparaat gesynchroniseerd vanuit Microsoft Entra Connect en wacht totdat de registratie van de client is voltooid. Zie Hoe u uw hybride deelname-implementatie van Microsoft Entra plant. Zie veelgestelde vragen over apparaatbeheer voor meer informatie.
Voor sommige iOS-apparaten kunnen apparaatnamen die apostrofs bevatten, verschillende tekens gebruiken die eruitzien als apostrofs. Het zoeken naar dergelijke apparaten is dan een beetje lastig. Als de juiste zoekresultaten niet worden weergegeven, moet u ervoor zorgen dat de zoektekenreeks het overeenkomende apostrofteken bevat.
Een Intune-apparaat beheren
Als u rechten hebt om apparaten in Intune te beheren, kunt u apparaten beheren waarvoor Mobile Device Management wordt vermeld als Microsoft Intune. Als het apparaat niet is ingeschreven bij Microsoft Intune, is de optie Beheren niet beschikbaar.
Een Microsoft Entra-apparaat in- of uitschakelen
Er zijn twee manieren om apparaten in of uit te schakelen:
- De werkbalk op de pagina Alle apparaten nadat u een of meer apparaten hebt geselecteerd.
- De werkbalk, nadat u hebt ingezoomd op een specifiek apparaat.
Belangrijk
- U moet een Intune-beheerder of cloudapparaatbeheerder zijn om een apparaat in of uit te schakelen.
- Als u een apparaat uitschakelt, voorkomt u dat het wordt geverifieerd via Microsoft Entra-id. Hiermee voorkomt u dat deze toegang heeft tot uw Microsoft Entra-resources die worden beveiligd door voorwaardelijke toegang op basis van apparaten en geen gebruik kunnen maken van Windows Hello voor Bedrijven referenties.
- Als u een apparaat uitschakelt, worden het primaire vernieuwingstoken (PRT) en eventuele vernieuwingstokens op het apparaat ingetrokken.
- Printers kunnen niet worden ingeschakeld of uitgeschakeld in Microsoft Entra ID.
Een Microsoft Entra-apparaat verwijderen
Er zijn twee manieren om een apparaat te verwijderen.
- De werkbalk op de pagina Alle apparaten nadat u een of meer apparaten hebt geselecteerd.
- De werkbalk, nadat u hebt ingezoomd op een specifiek apparaat.
Belangrijk
- U moet een cloudapparaatbeheerder, Intune-beheerder of Windows 365-beheerder zijn om een apparaat te verwijderen.
- Printers kunnen niet worden verwijderd voordat ze uit Universal Print worden verwijderd.
- Windows Autopilot-apparaten kunnen niet worden verwijderd voordat ze uit Intune worden verwijderd.
- Een apparaat verwijderen:
- Hiermee voorkomt u dat deze toegang heeft tot uw Microsoft Entra-resources.
- Hiermee verwijdert u alle details die aan het apparaat zijn gekoppeld. Bijvoorbeeld, BitLocker-sleutels voor Windows-apparaten.
- Is een onherstelbare activiteit. We raden het niet aan, tenzij dit vereist is.
Als een apparaat wordt beheerd in een andere beheerinstantie, zoals Microsoft Intune, moet u ervoor zorgen dat het apparaat wordt gewist of buiten gebruik wordt gesteld voordat u het verwijdert. Zie Verouderde apparaten beheren voordat u een apparaat verwijdert.
Een apparaat-id weergeven of kopiëren
U kunt een apparaat-id gebruiken om de details van de apparaat-id te controleren op het apparaat of om problemen op te lossen via PowerShell. Selecteer het apparaat om toegang te krijgen tot de kopieeroptie.
BitLocker-sleutels weergeven of kopiëren
U kunt BitLocker-sleutels weergeven en kopiëren zodat gebruikers versleutelde stations kunnen herstellen. Deze sleutels zijn alleen beschikbaar voor Windows-apparaten die zijn versleuteld en hun sleutels opslaan in Microsoft Entra ID. U kunt deze sleutels vinden wanneer u de details van een apparaat bekijkt door Herstelsleutel weergeven te selecteren. Als u Herstelsleutel weergeven selecteert, wordt een vermelding in het auditlogboek gegenereerd, die u in de KeyManagement
categorie kunt vinden.
Als u BitLocker-sleutels wilt weergeven of kopiëren, moet u de eigenaar van het apparaat zijn of een van deze rollen hebben:
Notitie
Wanneer apparaten die gebruikmaken van Windows Autopilot opnieuw worden gebruikt en er een nieuwe apparaateigenaar is, moet die nieuwe apparaateigenaar contact opnemen met een beheerder om de BitLocker-herstelsleutel voor dat apparaat te verkrijgen. Beheerders met een aangepaste rol of beheereenheid hebben geen toegang meer tot BitLocker-herstelsleutels voor apparaten waarvoor wijzigingen in het eigendom van het apparaat zijn aangebracht. Deze scoped beheerders moeten contact opnemen met een niet-scoped beheerder voor de herstelsleutels. Zie het artikel De primaire gebruiker van een Intune-apparaat zoeken voor meer informatie.
Uw apparaten weergeven en filteren
U kunt de lijst met apparaten filteren op deze kenmerken:
- Ingeschakelde status
- Compatibele status
- Jointype (Toegevoegd aan Microsoft Entra, hybride Microsoft Entra-deelname, Geregistreerd bij Microsoft Entra)
- Tijdstempel van activiteit
- Type besturingssysteem en versie van besturingssysteem
- Windows wordt weergegeven voor Windows 11- en Windows 10-apparaten (met KB5006738).
- Windows Server wordt weergegeven voor ondersteunde versies die worden beheerd met Microsoft Defender voor Eindpunt.
- Apparaattype (printer, beveiligde VM, gedeeld apparaat, geregistreerd apparaat)
- MDM
- Autopilot
- Extensiekenmerken
- Beheereenheid
- Eigenaar
Apparaten downloaden
Cloudapparaatbeheerders en Intune-beheerders kunnen de optie Apparaten downloaden gebruiken om een CSV-bestand met een lijst met apparaten te exporteren. U kunt filters toepassen om te bepalen welke apparaten moeten worden weergegeven. Als u geen filters toepast, worden alle apparaten weergegeven. Een exporttaak kan tot een uur duren, afhankelijk van uw selecties. Als de exporttaak langer dan 1 uur duurt, mislukt deze en wordt er geen bestand uitgevoerd.
De geëxporteerde lijst bevat deze kenmerken van de apparaatidentiteit:
displayName,accountEnabled,operatingSystem,operatingSystemVersion,joinType (trustType),registeredOwners,userNames,mdmDisplayName,isCompliant,registrationTime,approximateLastSignInDateTime,deviceId,isManaged,objectId,profileType,systemLabels,model
De volgende filters kunnen worden toegepast voor de exporttaak:
- Ingeschakelde status
- Compatibele status
- Join-type
- Tijdstempel van activiteit
- Type besturingssysteem
- Apparaattype
Apparaatinstellingen configureren
Als u apparaat-id's wilt beheren met behulp van het Microsoft Entra-beheercentrum, moeten de apparaten zijn geregistreerd of lid zijn van Microsoft Entra-id. Als beheerder kunt u het proces voor het registreren en koppelen van apparaten beheren door de volgende apparaatinstellingen te configureren.
Aan u moet een van de volgende rollen zijn toegewezen om apparaatinstellingen te lezen of te wijzigen:
- Cloudapparaatbeheerder (lezen en wijzigen)
- Intune-beheerder (alleen-lezen)
- Windows 365-beheerder (alleen-lezen)
Gebruikers kunnen apparaten toevoegen aan Microsoft Entra ID: met deze instelling kunt u de gebruikers selecteren die hun apparaten kunnen registreren als apparaten die lid zijn van Microsoft Entra. De standaardwaarde is alle.
Notitie
De gebruikers kunnen apparaten toevoegen aan de instelling Microsoft Entra-id ' is alleen van toepassing op Microsoft Entra join in Windows 10 of hoger. Deze instelling is niet van toepassing op hybride apparaten van Microsoft Entra, aan Microsoft Entra gekoppelde VM's in Azure of aan Microsoft Entra gekoppelde apparaten die gebruikmaken van de zelfimplementatiemodus van Windows Autopilot, omdat deze methoden werken in een gebruikersloze context.
Gebruikers kunnen hun apparaten registreren bij Microsoft Entra ID: u moet deze instelling zo configureren dat gebruikers Windows 10 of nieuwere persoonlijke, iOS-, Android- en macOS-apparaten kunnen registreren met Microsoft Entra ID. Als u Geen selecteert, mogen apparaten zich niet registreren bij Microsoft Entra ID. Voor de inschrijving bij Microsoft Intune of Mobile Device Management voor Microsoft 365 is registratie vereist Als u een van deze services hebt geconfigureerd, is ALLES geselecteerd en IS GEEN niet beschikbaar.
Meervoudige verificatie vereisen voor het registreren of koppelen van apparaten met Microsoft Entra-id:
- Organisaties wordt aangeraden de gebruikersactie Apparaten registreren of samenvoegen in Voorwaardelijke toegang te gebruiken om meervoudige verificatie af te dwingen. U moet deze wisselknop op Nee configureren als u een beleid voor voorwaardelijke toegang gebruikt om meervoudige verificatie te vereisen.
- Met deze instelling kunt u opgeven of gebruikers een andere verificatiefactor moeten opgeven om hun apparaten aan Microsoft Entra-id toe te voegen of te registreren. De standaardwaarde is Nee. Het is aangeraden meervoudige verificatie te vereisen wanneer een apparaat is geregistreerd of toegevoegd. Voordat u meervoudige verificatie inschakelt voor deze service, moet u ervoor zorgen dat meervoudige verificatie is geconfigureerd voor gebruikers die hun apparaten registreren. Zie Aan de slag met Meervoudige Verificatie van Microsoft Entra voor meer informatie over Multi-Factor Authentication-services van Microsoft Entra. Deze instelling werkt mogelijk niet met id-providers van derden.
Notitie
De instelling Meervoudige verificatie vereisen voor het registreren of koppelen van apparaten met Microsoft Entra ID-instelling is van toepassing op apparaten die zijn toegevoegd aan Microsoft Entra (met enkele uitzonderingen) of Microsoft Entra geregistreerd. Deze instelling is niet van toepassing op hybride apparaten van Microsoft Entra, aan Microsoft Entra gekoppelde VM's in Azure of aan Microsoft Entra gekoppelde apparaten die gebruikmaken van de zelfimplementatiemodus van Windows Autopilot.
Maximum aantal apparaten: met deze instelling kunt u het maximum aantal gekoppelde Microsoft Entra- of Door Microsoft Entra geregistreerde apparaten selecteren die een gebruiker in Microsoft Entra-id kan hebben. Als gebruikers deze limiet bereiken, kunnen ze pas meer apparaten toevoegen als een of meer van de bestaande apparaten zijn verwijderd. De standaardwaarde is 50. U kunt de waarde verhogen tot 100. Als u een waarde boven 100 invoert, stelt Microsoft Entra-id deze in op 100. U kunt Onbeperkt ook gebruiken om een andere limiet dan bestaande quotumlimieten af te dwingen.
Notitie
De instelling Maximum aantal apparaten is van toepassing op apparaten die zijn toegevoegd aan Microsoft Entra of Microsoft Entra zijn geregistreerd. Deze instelling is niet van toepassing op hybride apparaten van Microsoft Entra.
Extra lokale beheerders beheren op apparaten die zijn toegevoegd aan Microsoft Entra: met deze instelling kunt u de gebruikers selecteren die lokale beheerdersrechten op een apparaat krijgen. Deze gebruikers worden toegevoegd aan de rol Apparaatbeheerders in Microsoft Entra-id.
Microsoft Entra Local Administrator Password Solution (LAPS) inschakelen (preview):LAPS is het beheer van wachtwoorden voor lokale accounts op Windows-apparaten. LAPS biedt een oplossing voor het veilig beheren en ophalen van het ingebouwde lokale beheerderswachtwoord. Met de cloudversie van LAPS kunnen klanten het opslaan en rouleren van lokale beheerderswachtwoorden inschakelen voor zowel Microsoft Entra ID- als Microsoft Entra Hybrid Join-apparaten. Zie het overzichtsartikel voor meer informatie over het beheren van LAPS in Microsoft Entra ID.
Beperk het herstellen van de BitLocker-sleutel(en) voor hun apparaten die geen beheerder zijn: beheerders kunnen de toegang tot de geregistreerde eigenaar van het apparaat blokkeren door selfservice-BitLocker-sleutels. Standaardgebruikers zonder de BitLocker-leesmachtiging kunnen hun BitLocker-sleutel(en) voor hun apparaten niet weergeven of kopiëren. U moet ten minste een beheerder van bevoorrechte rollen zijn om deze instelling bij te werken.
Enterprise State Roaming: zie het overzichtsartikel voor informatie over deze instelling.
Auditlogboeken
Apparaatactiviteiten zijn zichtbaar in de activiteitenlogboeken. Deze logboeken omvatten activiteiten die worden geactiveerd door de apparaatregistratieservice en door gebruikers:
- Apparaat maken en eigenaren/gebruikers toevoegen op het apparaat
- Wijzigingen in apparaatinstellingen
- Apparaatbewerkingen zoals het verwijderen of bijwerken van een apparaat
- Bulkbewerkingen, zoals het downloaden van alle apparaten
Notitie
Bij het uitvoeren van bulkbewerkingen, zoals importeren of maken, kan er een probleem optreden als de bulkbewerking niet binnen het uur wordt voltooid. U kunt dit probleem omzeilen door het aantal records dat per batch is verwerkt, te splitsen. Voordat u bijvoorbeeld een export start, kunt u de resultatenset beperken door te filteren op een groepstype of gebruikersnaam om de grootte van de resultaten te verkleinen. Door uw filters te verfijnen, beperkt u in wezen de gegevens die worden geretourneerd door de bulkbewerking. Zie Beperkingen voor bulkbewerkingen voor de service voor meer informatie.
Het toegangspunt voor de controlegegevens is Auditlogboeken in de sectie Activiteit van de pagina Apparaten.
Een auditlogboek heeft een standaardlijstweergave die het volgende laat zien:
- De datum en tijd van de gebeurtenis.
- De doelen.
- De initiator/actor van een activiteit.
- De activiteit.
U kunt de lijstweergave aanpassen door Kolommen te selecteren op de werkbalk:
Om de gerapporteerde gegevens te verminderen naar een niveau dat voor u volstaat, kunt u het filteren met deze velden:
- Categorie
- Resourcetype activiteit
- Activiteit
- Datumbereik
- Doel
- Gestart door (actor)
U kunt ook zoeken naar specifieke gegevens.