Instellingen voor apparaattoegang beheren in Basismobiliteit en -beveiliging

Artikel
2024-11-13

Als u Basismobiliteit en -beveiliging gebruikt, zijn er mogelijk apparaten die u niet kunt beheren met Basismobiliteit en -beveiliging. Als dit het geval is, moet u Exchange ActiveSync app-toegang tot Microsoft 365-e-mail blokkeren voor mobiele apparaten die niet worden ondersteund door Basismobiliteit en -beveiliging. Door Exchange ActiveSync toegang tot apps te blokkeren, kunt u de gegevens van uw organisatie op meer apparaten beveiligen.

Voer de volgende stappen uit:

Meld u aan bij Microsoft 365 met een beheerdersaccount voor naleving .
Typ in uw browser: https://compliance.microsoft.com/basicmobilityandsecurity.
Ga naar het tabblad Organisatie-instelling .
Selecteer Toegangsbeperking voor niet-ondersteund MDM-apparaat en zorg ervoor dat Toegang toestaan (apparaatinschrijving is vereist) is geselecteerd.

Zie Mogelijkheden van Basismobiliteit en -beveiliging voor meer informatie over welke apparaten Basismobiliteit en -beveiliging ondersteunt.

Meer informatie over Basismobiliteit en -beveiliging beheerde apparaten

Daarnaast kunt u Microsoft Graph PowerShell gebruiken om details te krijgen over de apparaten in uw organisatie die u hebt ingesteld voor Basismobiliteit en -beveiliging.

Hier volgt een uitsplitsing van de apparaatgegevens die voor u beschikbaar zijn.

Details	Wat u moet zoeken in PowerShell
Het apparaat is ingeschreven bij Basismobiliteit en -beveiliging. Zie Uw mobiele apparaat inschrijven met behulp van Basismobiliteit en -beveiliging voor meer informatie	De waarde van de parameter isManaged is: True= apparaat is ingeschreven. False= apparaat is niet ingeschreven.
Het apparaat voldoet aan het beveiligingsbeleid van uw apparaat. Zie Apparaatbeveiligingsbeleid maken voor meer informatie	De waarde van de parameter isCompliant is: Waar = apparaat voldoet aan het beleid. Onwaar = apparaat voldoet niet aan het beleid.

Basismobiliteit en -beveiliging PowerShell-parameters.

Opmerking

De opdrachten en scripts die volgen, retourneren ook details over alle apparaten die worden beheerd door Microsoft Intune.

Hier volgen enkele dingen die u moet instellen om de volgende opdrachten en scripts uit te voeren:

Stap 1: De Microsoft Graph PowerShell SDK downloaden en installeren

Zie Verbinding maken met Microsoft 365 met PowerShell voor meer informatie over deze stappen.

Installeer de Microsoft Graph PowerShell SDK voor Windows PowerShell met de volgende stappen:
1. Open een PowerShell-opdrachtprompt op beheerdersniveau.
2. Voer de volgende opdracht uit:
```
Install-Module Microsoft.Graph -Scope AllUsers
```
3. Als u wordt gevraagd om de NuGet provider te installeren, typt u Y en drukt u op ENTER.
4. Als u wordt gevraagd om de module van PSGallery te installeren, typt u Y en drukt u op ENTER.
5. Sluit na de installatie het PowerShell-opdrachtvenster.

Stap 2: verbinding maken met uw Microsoft 365-abonnement

Voer in het PowerShell-venster de volgende opdracht uit.

Connect-MgGraph -Scopes Device.Read.All, User.Read.All

Er wordt een pop-up geopend waarin u zich kunt aanmelden. Geef de referenties van uw beheerdersaccount op en meld u aan.
Als uw account over de benodigde machtigingen beschikt, ziet u 'Welkom bij Microsoft Graph!' in het PowerShell-venster.

Stap 3: Zorg ervoor dat u PowerShell-scripts kunt uitvoeren

Opmerking

U kunt deze stap overslaan als u al bent ingesteld om PowerShell-scripts uit te voeren.

Als u het Get-GraphUserDeviceComplianceStatus.ps1-script wilt uitvoeren, moet u het uitvoeren van PowerShell-scripts inschakelen.

Selecteer start op uw Windows-bureaublad en typ Windows PowerShell. Klik met de rechtermuisknop op Windows PowerShell en selecteer vervolgens Als beheerder uitvoeren.
Voer de volgende opdracht uit:
```
Set-ExecutionPolicy RemoteSigned
```
Wanneer u hierom wordt gevraagd, typt u Y en drukt u op Enter.

Voer de cmdlet Get-MgDevice uit om details weer te geven voor alle apparaten in uw organisatie

Open de Microsoft Azure Active Directory-module voor Windows PowerShell.

Voer de volgende opdracht uit:

Get-MgDevice -All -ExpandProperty "registeredOwners" | Where-Object {($_.RegisteredOwners -ne $null) -and ($_.RegisteredOwners.Count -gt 0)}

Zie Get-MgDevice voor meer voorbeelden.

Een script uitvoeren om apparaatdetails op te halen

Sla eerst het script op uw computer op.

Kopieer en plak de volgende tekst in Kladblok.

    param (
 	[Parameter(Mandatory = $false)]
 	[PSObject[]]$users = @(),
 	[Parameter(Mandatory = $false)]
 	[Switch]$export,
 	[Parameter(Mandatory = $false)]
 	[String]$exportFileName = "UserDeviceOwnership_" + (Get-Date -Format "yyMMdd_HHMMss") + ".csv",
 	[Parameter(Mandatory = $false)]
 	[String]$exportPath = [Environment]::GetFolderPath("Desktop")
 )

 #Clearing the screen
 Clear-Host

 #Preparing the output object
 $deviceOwnership = @()


 if ($users.Count -eq 0) {
 	Write-Output "No user has been provided, gathering data for all devices in the tenant"
 	#Getting all Devices and their registered owners
 	$devices = Get-MgDevice -All -Property * -ExpandProperty registeredOwners

 	#For each device which has a registered owner, extract the device data and the registered owner data
 	foreach ($device in $devices) {
 		$DeviceOwners = $device | Select-Object -ExpandProperty 'RegisteredOwners'
 		#Checking if the DeviceOwners Object is empty
 		if ($DeviceOwners -ne $null) {
 			foreach ($DeviceOwner in $DeviceOwners) {
 				$OwnerDictionary = $DeviceOwner.AdditionalProperties
 				$OwnerDisplayName = $OwnerDictionary.Item('displayName')
 				$OwnerUPN = $OwnerDictionary.Item('userPrincipalName')
 				$OwnerID = $deviceOwner.Id
 				$deviceOwnership += [PSCustomObject]@{
 					DeviceDisplayName             = $device.DisplayName
 					DeviceId                      = $device.DeviceId
 					DeviceOSType                  = $device.OperatingSystem
 					DeviceOSVersion               = $device.OperatingSystemVersion
 					DeviceTrustLevel              = $device.TrustType
 					DeviceIsCompliant             = $device.IsCompliant
 					DeviceIsManaged               = $device.IsManaged
 					DeviceObjectId                = $device.Id
 					DeviceOwnerID                 = $OwnerID
 					DeviceOwnerDisplayName        = $OwnerDisplayName
 					DeviceOwnerUPN                = $OwnerUPN
 					ApproximateLastLogonTimestamp = $device.ApproximateLastSignInDateTime
 				}
 			}
 		}

 	}
 }

 else {
 	#Checking that userid is present in the users object
 	Write-Output "List of users has been provided, gathering data for all devices owned by the provided users"
 	foreach ($user in $users) {
 		$devices = Get-MgUserOwnedDevice -UserId $user.Id -Property *
 		foreach ($device in $devices) {
 			$DeviceHashTable = $device.AdditionalProperties
 			$deviceOwnership += [PSCustomObject]@{
 				DeviceId                      = $DeviceHashTable.Item('deviceId')
 				DeviceOSType                  = $DeviceHashTable.Item('operatingSystem')
 				DeviceOSVersion               = $DeviceHashTable.Item('operatingSystemVersion') 
 				DeviceTrustLevel              = $DeviceHashTable.Item('trustType')
 				DeviceDisplayName             = $DeviceHashTable.Item('displayName')
 				DeviceIsCompliant             = $DeviceHashTable.Item('isCompliant')
 				DeviceIsManaged               = $DeviceHashTable.Item('isManaged')
 				DeviceObjectId                = $device.Id
 				DeviceOwnerUPN                = $user.UserPrincipalName
 				DeviceOwnerID                 = $user.Id
 				DeviceOwnerDisplayName        = $user.DisplayName
 				ApproximateLastLogonTimestamp = $DeviceHashTable.Item('approximateLastSignInDateTime')
 			}
 		}
 	}

 }

 $deviceOwnership

 if ($export) {
 	$exportFile = Join-Path -Path $exportPath -ChildPath $exportFileName
 	$deviceOwnership | Export-Csv -Path $exportFile -NoTypeInformation
 	Write-Output "Data has been exported to $exportFile"
 }

Sla het bestand op als een Windows PowerShell scriptbestand met de bestandsextensie '.ps1'. Bijvoorbeeld Get-MgGraphDeviceOwnership.ps1.

Opmerking

Het script kan ook worden gedownload op Github.

Voer het script uit om apparaatgegevens op te halen voor één gebruikersaccount

Open Powershell.
Ga naar de map waarin u het script hebt opgeslagen. Als u deze bijvoorbeeld hebt opgeslagen in C:\PS-Scripts, voert u de volgende opdracht uit.
```
cd C:\PS-Scripts
```
Voer de volgende opdracht uit om de gebruiker te identificeren waarvoor u apparaatgegevens wilt ophalen. In dit voorbeeld worden details voor user@contoso.com.
```
$user = Get-MgUser -UserId "user@contoso.com"
```

Voer de volgende opdracht uit:

.\Get-GraphUserDeviceComplianceStatus.ps1 -users $user -Export

De informatie wordt geëxporteerd naar uw Windows-bureaublad als een CSV-bestand. U kunt de bestandsnaam en het pad van het CSV-bestand opgeven.

Voer het script uit om apparaatgegevens op te halen voor een groep gebruikers

Open Powershell.
Ga naar de map waarin u het script hebt opgeslagen. Als u deze bijvoorbeeld hebt opgeslagen in C:\PS-Scripts, voert u de volgende opdracht uit.
```
cd C:\PS-Scripts
```

Voer de volgende opdracht uit om de groep te identificeren waarvoor u apparaatgegevens wilt ophalen. In dit voorbeeld worden details voor gebruikers in de groep FinanceStaff opgeslagen.

$groupId = Get-MgGroup -Filter "displayName eq 'FinanceStaff'" | Select-Object -ExpandProperty Id
$Users = Get-MgGroupMember -GroupId $groupId | Select-Object -ExpandProperty Id | % { Get-MgUser -UserId $_ }

Voer de volgende opdracht uit om het script te initiëren.

.\Get-GraphUserDeviceComplianceStatus.ps1 -User $Users -Export

De informatie wordt geëxporteerd naar uw Windows-bureaublad als een CSV-bestand. U kunt meer parameters gebruiken om de bestandsnaam en het pad van het CSV-bestand op te geven.

Microsoft Connect buiten gebruik gesteld

Overzicht van de Basic Mobility en Security

Aankondiging van buitengebruikstelling voor MSOnline- en AzureAD-cmdlets

Get-MgUser

Get-MgDevice

Get-MgUserOwnedDevice