Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Если вы используете Базовая мобильность и безопасность, могут быть устройства, которыми вы не можете управлять с помощью Базовая мобильность и безопасность. В этом случае следует заблокировать доступ приложения Exchange ActiveSync к электронной почте Microsoft 365 для мобильных устройств, которые не поддерживаются Базовая мобильность и безопасность. Блокировка доступа к приложению Exchange ActiveSync помогает защитить сведения о вашей организации на нескольких устройствах.
Необходимые действия:
Войдите в Microsoft 365 с учетной записью администратора соответствия требованиям .
В браузере введите : https://compliance.microsoft.com/basicmobilityandsecurity.
Перейдите на вкладку Параметры организации .
Выберите Ограничение доступа для неподдерживаемого устройства MDM и убедитесь, что выбран параметр Разрешить доступ (требуется регистрация устройства).
Сведения о том, какие устройства Базовая мобильность и безопасность поддерживаются, см. в статье Возможности Базовая мобильность и безопасность.
Получение сведений об управляемых устройствах Базовая мобильность и безопасность
Кроме того, вы можете использовать Microsoft Graph PowerShell для получения сведений об устройствах в организации, настроенных для Базовая мобильность и безопасность.
Ниже приведена разбивка доступных сведений об устройстве.
| Detail (Сведения) | Поиск в PowerShell |
|---|---|
| Устройство зарегистрировано в Базовая мобильность и безопасность. Дополнительные сведения см. в статье Регистрация мобильного устройства с помощью Базовая мобильность и безопасность | Значение параметра isManaged : True = устройство зарегистрировано. False = устройство не зарегистрировано. |
| Устройство соответствует политикам безопасности устройства. Дополнительные сведения см. в статье Создание политик безопасности устройств. | Значение параметра isCompliant : True = устройство соответствует политикам. False = устройство не соответствует политикам. |
Примечание.
Следующие команды и скрипты также возвращают сведения о любых устройствах, управляемых Microsoft Intune.
Вот несколько вещей, которые необходимо настроить для выполнения следующих команд и скриптов.
Шаг 1. Скачивание и установка пакета SDK Для Microsoft Graph PowerShell
Дополнительные сведения об этих шагах см. в статье Подключение к Microsoft 365 с помощью PowerShell.
Установите пакет SDK Microsoft Graph PowerShell для Windows PowerShell, выполнив следующие действия:
Откройте командную строку для уровня администратора PowerShell.
Выполните следующую команду:
Install-Module Microsoft.Graph -Scope AllUsersЕсли отобразится запрос на установку поставщика NuGet, введите Y и нажмите клавишу ВВОД.
Если отобразится запрос на установку модуля из репозитория PSGallery, введите Y и нажмите клавишу ВВОД.
После установки закройте командное окно PowerShell.
Шаг 2. Подключение к подписке Microsoft 365
В окне PowerShell выполните следующую команду.
Connect-MgGraph -Scopes Device.Read.All, User.Read.AllОткроется всплывающее окно для входа. Укажите учетные данные учетной записи администратора и войдите в систему.
Если у вашей учетной записи есть необходимые разрешения, в окне PowerShell появится сообщение "Добро пожаловать в Microsoft Graph!".
Шаг 3. Убедитесь, что вы можете выполнять скрипты PowerShell
Примечание.
Этот шаг можно пропустить, если вы уже настроены для выполнения сценариев PowerShell.
Чтобы запустить скрипт Get-GraphUserDeviceComplianceStatus.ps1, необходимо включить выполнение сценариев PowerShell.
На рабочем столе Windows нажмите кнопку Пуск и введите Windows PowerShell. Щелкните правой кнопкой мыши Windows PowerShell и выберите Запуск от имени администратора.
Выполните следующую команду.
Set-ExecutionPolicy RemoteSignedПри появлении запроса введите Y и нажмите клавишу ВВОД.
Запустите командлет Get-MgDevice, чтобы отобразить сведения обо всех устройствах в организации.
Откройте модуль Microsoft Azure Active Directory для Windows PowerShell.
Выполните следующую команду.
Get-MgDevice -All -ExpandProperty "registeredOwners" | Where-Object {($_.RegisteredOwners -ne $null) -and ($_.RegisteredOwners.Count -gt 0)}
Дополнительные примеры см. в разделе Get-MgDevice.
Выполнение скрипта для получения сведений об устройстве
Сначала сохраните скрипт на компьютере.
Скопируйте и вставьте следующий текст в Блокнот.
param ( [Parameter(Mandatory = $false)] [PSObject[]]$users = @(), [Parameter(Mandatory = $false)] [Switch]$export, [Parameter(Mandatory = $false)] [String]$exportFileName = "UserDeviceOwnership_" + (Get-Date -Format "yyMMdd_HHMMss") + ".csv", [Parameter(Mandatory = $false)] [String]$exportPath = [Environment]::GetFolderPath("Desktop") ) #Clearing the screen Clear-Host #Preparing the output object $deviceOwnership = @() if ($users.Count -eq 0) { Write-Output "No user has been provided, gathering data for all devices in the tenant" #Getting all Devices and their registered owners $devices = Get-MgDevice -All -Property * -ExpandProperty registeredOwners #For each device which has a registered owner, extract the device data and the registered owner data foreach ($device in $devices) { $DeviceOwners = $device | Select-Object -ExpandProperty 'RegisteredOwners' #Checking if the DeviceOwners Object is empty if ($DeviceOwners -ne $null) { foreach ($DeviceOwner in $DeviceOwners) { $OwnerDictionary = $DeviceOwner.AdditionalProperties $OwnerDisplayName = $OwnerDictionary.Item('displayName') $OwnerUPN = $OwnerDictionary.Item('userPrincipalName') $OwnerID = $deviceOwner.Id $deviceOwnership += [PSCustomObject]@{ DeviceDisplayName = $device.DisplayName DeviceId = $device.DeviceId DeviceOSType = $device.OperatingSystem DeviceOSVersion = $device.OperatingSystemVersion DeviceTrustLevel = $device.TrustType DeviceIsCompliant = $device.IsCompliant DeviceIsManaged = $device.IsManaged DeviceObjectId = $device.Id DeviceOwnerID = $OwnerID DeviceOwnerDisplayName = $OwnerDisplayName DeviceOwnerUPN = $OwnerUPN ApproximateLastLogonTimestamp = $device.ApproximateLastSignInDateTime } } } } } else { #Checking that userid is present in the users object Write-Output "List of users has been provided, gathering data for all devices owned by the provided users" foreach ($user in $users) { $devices = Get-MgUserOwnedDevice -UserId $user.Id -Property * foreach ($device in $devices) { $DeviceHashTable = $device.AdditionalProperties $deviceOwnership += [PSCustomObject]@{ DeviceId = $DeviceHashTable.Item('deviceId') DeviceOSType = $DeviceHashTable.Item('operatingSystem') DeviceOSVersion = $DeviceHashTable.Item('operatingSystemVersion') DeviceTrustLevel = $DeviceHashTable.Item('trustType') DeviceDisplayName = $DeviceHashTable.Item('displayName') DeviceIsCompliant = $DeviceHashTable.Item('isCompliant') DeviceIsManaged = $DeviceHashTable.Item('isManaged') DeviceObjectId = $device.Id DeviceOwnerUPN = $user.UserPrincipalName DeviceOwnerID = $user.Id DeviceOwnerDisplayName = $user.DisplayName ApproximateLastLogonTimestamp = $DeviceHashTable.Item('approximateLastSignInDateTime') } } } } $deviceOwnership if ($export) { $exportFile = Join-Path -Path $exportPath -ChildPath $exportFileName $deviceOwnership | Export-Csv -Path $exportFile -NoTypeInformation Write-Output "Data has been exported to $exportFile" }Сохраните его как файл скрипта Windows PowerShell с расширением ".ps1". Например, Get-MgGraphDeviceOwnership.ps1.
Примечание.
Скрипт также доступен для скачивания на GitHub.
Запустите скрипт, чтобы получить сведения об устройстве для одной учетной записи пользователя.
Откройте PowerShell.
Перейдите в папку, в которой вы сохранили скрипт. Например, если вы сохранили его в C:\PS-Scripts, выполните следующую команду.
cd C:\PS-ScriptsВыполните следующую команду, чтобы определить пользователя, для которого требуется получить сведения об устройстве. В этом примере возвращаются сведения для user@contoso.com.
$user = Get-MgUser -UserId "user@contoso.com"Выполните следующую команду.
.\Get-GraphUserDeviceComplianceStatus.ps1 -users $user -Export
Сведения экспортируются в рабочий стол Windows в виде CSV-файла. Можно указать имя файла и путь к csv-файлу.
Запустите скрипт, чтобы получить сведения об устройстве для группы пользователей
Откройте PowerShell.
Перейдите в папку, в которой вы сохранили скрипт. Например, если вы сохранили его в C:\PS-Scripts, выполните следующую команду.
cd C:\PS-ScriptsВыполните следующую команду, чтобы определить группу, для которой требуется получить сведения об устройстве. В этом примере показано, как получить сведения о пользователях в группе FinanceStaff.
$groupId = Get-MgGroup -Filter "displayName eq 'FinanceStaff'" | Select-Object -ExpandProperty Id $Users = Get-MgGroupMember -GroupId $groupId | Select-Object -ExpandProperty Id | % { Get-MgUser -UserId $_ }Выполните следующую команду, чтобы запустить сценарий.
.\Get-GraphUserDeviceComplianceStatus.ps1 -User $Users -Export
Сведения экспортируются в рабочий стол Windows в виде CSV-файла. Можно использовать дополнительные параметры, чтобы указать имя файла и путь к csv-файлу.
Связанные материалы
Использование Microsoft Connect прекращено
Обзор Basic Mobility + Security
Объявление о прекращении использования командлетов MSOnline и AzureAD