Verwalten von Gerätezugriffseinstellungen in Basismobilität und Sicherheit
Wenn Sie Basismobilität und Sicherheit verwenden, gibt es möglicherweise Geräte, die Sie nicht mit Basismobilität und Sicherheit verwalten können. Wenn dies der Fall ist, sollten Sie Exchange ActiveSync App-Zugriff auf Microsoft 365-E-Mails für mobile Geräte blockieren, die von Basismobilität und Sicherheit nicht unterstützt werden. Das Blockieren Exchange ActiveSync App-Zugriffs trägt dazu bei, Ihre organization Informationen auf mehreren Geräten zu schützen.
Führen Sie die folgenden Schritte aus:
Melden Sie sich mit einem Complianceadministratorkonto bei Microsoft 365 an.
Geben Sie in Ihrem Browser Folgendes ein: https://compliance.microsoft.com/basicmobilityandsecurity.
Wechseln Sie zur Registerkarte Organisationseinstellung .
Wählen Sie Zugriffseinschränkung für nicht unterstütztes MDM-Gerät aus, und stellen Sie sicher, dass Zugriff zulassen (Geräteregistrierung erforderlich) ausgewählt ist.
Informationen dazu, welche Geräte Basismobilität und Sicherheit unterstützt, finden Sie unter Funktionen von Basismobilität und Sicherheit.
Abrufen von Details zu Basismobilität und Sicherheit verwalteten Geräten
Darüber hinaus können Sie Microsoft Graph PowerShell verwenden, um Details zu den Geräten in Ihrer organization abzurufen, die Sie für Basismobilität und Sicherheit eingerichtet haben.
Hier finden Sie eine Aufschlüsselung der Gerätedetails, die Ihnen zur Verfügung stehen.
| Detail | Was sie in PowerShell suchen müssen |
|---|---|
| Das Gerät ist in Basismobilität und Sicherheit registriert. Weitere Informationen finden Sie unter Registrieren Ihres mobilen Geräts mit Basismobilität und Sicherheit | Der Wert des isManaged-Parameters lautet: True= Gerät ist registriert. False= Gerät ist nicht registriert. |
| Das Gerät ist mit Ihren Gerätesicherheitsrichtlinien kompatibel. Weitere Informationen finden Sie unter Erstellen von Gerätesicherheitsrichtlinien. | Der Wert des parameters isCompliant lautet: True = Gerät ist mit Richtlinien kompatibel. False = Das Gerät ist nicht mit Richtlinien kompatibel. |
Hinweis
Die folgenden Befehle und Skripts geben auch Details zu allen Geräten zurück, die von Microsoft Intune verwaltet werden.
Hier sind einige Dinge, die Sie einrichten müssen, um die folgenden Befehle und Skripts auszuführen:
Schritt 1: Herunterladen und Installieren des Microsoft Graph PowerShell SDK
Weitere Informationen zu diesen Schritten finden Sie unter Herstellen einer Verbindung mit Microsoft 365 mit PowerShell.
Installieren Sie das Microsoft Graph PowerShell SDK für Windows PowerShell mit den folgenden Schritten:
Öffnen Sie eine PowerShell-Eingabeaufforderung auf Administratorebene.
Führen Sie den folgenden Befehl aus:
Install-Module Microsoft.Graph -Scope AllUsersWenn Sie zum Installieren des NuGet-Anbieters aufgefordert werden, geben Sie Y ein, und drücken Sie die EINGABETASTE.
Wenn Sie aufgefordert werden, das Modul von PSGallery zu installieren, geben Sie Y ein, und drücken Sie die EINGABETASTE.
Schließen Sie nach der Installation das PowerShell-Befehlsfenster.
Schritt 2: Herstellen einer Verbindung mit Ihrem Microsoft 365-Abonnement
Führen Sie im PowerShell-Fenster den folgenden Befehl aus.
Connect-MgGraph -Scopes Device.Read.All, User.Read.AllEs wird ein Popup geöffnet, in dem Sie sich anmelden können. Geben Sie die Anmeldeinformationen Ihres Administratorkontos an, und melden Sie sich an.
Wenn Ihr Konto über die erforderlichen Berechtigungen verfügt, wird im PowerShell-Fenster "Willkommen bei Microsoft Graph!" angezeigt.
Schritt 3: Sicherstellen, dass PowerShell-Skripts ausgeführt werden können
Hinweis
Sie können diesen Schritt überspringen, wenn Sie bereits für die Ausführung von PowerShell-Skripts eingerichtet sind.
Zum Ausführen des Get-GraphUserDeviceComplianceStatus.ps1 Skripts müssen Sie die Ausführung von PowerShell-Skripts aktivieren.
Wählen Sie auf Ihrem Windows-Desktop Start aus, und geben Sie dann Windows PowerShell ein. Klicken Sie mit der rechten Maustaste auf Windows PowerShell, und wählen Sie dann Als Administrator ausführen aus.
Führen Sie den folgenden Befehl aus.
Set-ExecutionPolicy RemoteSignedWenn Sie dazu aufgefordert werden, geben Sie Y ein, und drücken Sie dann die EINGABETASTE.
Führen Sie das Cmdlet Get-MgDevice aus, um Details für alle Geräte in Ihrem organization
Öffnen Sie das modul Microsoft Azure Active Directory für Windows PowerShell.
Führen Sie den folgenden Befehl aus.
Get-MgDevice -All -ExpandProperty "registeredOwners" | Where-Object {($_.RegisteredOwners -ne $null) -and ($_.RegisteredOwners.Count -gt 0)}
Weitere Beispiele finden Sie unter Get-MgDevice.
Ausführen eines Skripts zum Abrufen von Gerätedetails
Speichern Sie zunächst das Skript auf Ihrem Computer.
Kopieren Sie den folgenden Text, und fügen Sie ihn in Editor ein.
param ( [Parameter(Mandatory = $false)] [PSObject[]]$users = @(), [Parameter(Mandatory = $false)] [Switch]$export, [Parameter(Mandatory = $false)] [String]$exportFileName = "UserDeviceOwnership_" + (Get-Date -Format "yyMMdd_HHMMss") + ".csv", [Parameter(Mandatory = $false)] [String]$exportPath = [Environment]::GetFolderPath("Desktop") ) #Clearing the screen Clear-Host #Preparing the output object $deviceOwnership = @() if ($users.Count -eq 0) { Write-Output "No user has been provided, gathering data for all devices in the tenant" #Getting all Devices and their registered owners $devices = Get-MgDevice -All -Property * -ExpandProperty registeredOwners #For each device which has a registered owner, extract the device data and the registered owner data foreach ($device in $devices) { $DeviceOwners = $device | Select-Object -ExpandProperty 'RegisteredOwners' #Checking if the DeviceOwners Object is empty if ($DeviceOwners -ne $null) { foreach ($DeviceOwner in $DeviceOwners) { $OwnerDictionary = $DeviceOwner.AdditionalProperties $OwnerDisplayName = $OwnerDictionary.Item('displayName') $OwnerUPN = $OwnerDictionary.Item('userPrincipalName') $OwnerID = $deviceOwner.Id $deviceOwnership += [PSCustomObject]@{ DeviceDisplayName = $device.DisplayName DeviceId = $device.DeviceId DeviceOSType = $device.OperatingSystem DeviceOSVersion = $device.OperatingSystemVersion DeviceTrustLevel = $device.TrustType DeviceIsCompliant = $device.IsCompliant DeviceIsManaged = $device.IsManaged DeviceObjectId = $device.Id DeviceOwnerID = $OwnerID DeviceOwnerDisplayName = $OwnerDisplayName DeviceOwnerUPN = $OwnerUPN ApproximateLastLogonTimestamp = $device.ApproximateLastSignInDateTime } } } } } else { #Checking that userid is present in the users object Write-Output "List of users has been provided, gathering data for all devices owned by the provided users" foreach ($user in $users) { $devices = Get-MgUserOwnedDevice -UserId $user.Id -Property * foreach ($device in $devices) { $DeviceHashTable = $device.AdditionalProperties $deviceOwnership += [PSCustomObject]@{ DeviceId = $DeviceHashTable.Item('deviceId') DeviceOSType = $DeviceHashTable.Item('operatingSystem') DeviceOSVersion = $DeviceHashTable.Item('operatingSystemVersion') DeviceTrustLevel = $DeviceHashTable.Item('trustType') DeviceDisplayName = $DeviceHashTable.Item('displayName') DeviceIsCompliant = $DeviceHashTable.Item('isCompliant') DeviceIsManaged = $DeviceHashTable.Item('isManaged') DeviceObjectId = $device.Id DeviceOwnerUPN = $user.UserPrincipalName DeviceOwnerID = $user.Id DeviceOwnerDisplayName = $user.DisplayName ApproximateLastLogonTimestamp = $DeviceHashTable.Item('approximateLastSignInDateTime') } } } } $deviceOwnership if ($export) { $exportFile = Join-Path -Path $exportPath -ChildPath $exportFileName $deviceOwnership | Export-Csv -Path $exportFile -NoTypeInformation Write-Output "Data has been exported to $exportFile" }Speichern Sie es als Windows PowerShell Skriptdatei, indem Sie die Dateierweiterung ".ps1" verwenden. Beispiel: Get-MgGraphDeviceOwnership.ps1.
Hinweis
Das Skript steht auch auf GitHub zum Download zur Verfügung.
Ausführen des Skripts zum Abrufen von Geräteinformationen für ein einzelnes Benutzerkonto
Öffnen Sie PowerShell.
Wechseln Sie zu dem Ordner, in dem Sie das Skript gespeichert haben. Wenn Sie sie beispielsweise unter C:\PS-Scripts gespeichert haben, führen Sie den folgenden Befehl aus.
cd C:\PS-ScriptsFühren Sie den folgenden Befehl aus, um den Benutzer zu identifizieren, für den Sie Gerätedetails abrufen möchten. In diesem Beispiel werden Details für user@contoso.comabgerufen.
$user = Get-MgUser -UserId "user@contoso.com"Führen Sie den folgenden Befehl aus.
.\Get-GraphUserDeviceComplianceStatus.ps1 -users $user -Export
Die Informationen werden als CSV-Datei in Ihren Windows-Desktop exportiert. Sie können den Dateinamen und pfad der CSV-Datei angeben.
Ausführen des Skripts zum Abrufen von Geräteinformationen für eine Gruppe von Benutzern
Öffnen Sie PowerShell.
Wechseln Sie zu dem Ordner, in dem Sie das Skript gespeichert haben. Wenn Sie sie beispielsweise unter C:\PS-Scripts gespeichert haben, führen Sie den folgenden Befehl aus.
cd C:\PS-ScriptsFühren Sie den folgenden Befehl aus, um die Gruppe zu identifizieren, für die Sie Gerätedetails abrufen möchten. In diesem Beispiel werden Details für Benutzer in der Gruppe FinanceStaff abgerufen.
$groupId = Get-MgGroup -Filter "displayName eq 'FinanceStaff'" | Select-Object -ExpandProperty Id $Users = Get-MgGroupMember -GroupId $groupId | Select-Object -ExpandProperty Id | % { Get-MgUser -UserId $_ }Führen Sie den folgenden Befehl aus, um das Skript zu initiieren.
.\Get-GraphUserDeviceComplianceStatus.ps1 -User $Users -Export
Die Informationen werden als CSV-Datei in Ihren Windows-Desktop exportiert. Sie können weitere Parameter verwenden, um den Dateinamen und pfad der CSV anzugeben.
Verwandte Inhalte
Microsoft Connect wurde eingestellt
Übersicht von grundlegender Mobilität und Sicherheit
Ankündigung der Einstellung für MSOnline- und AzureAD-Cmdlets