Zarządzanie tożsamościami urządzeń przy użyciu centrum administracyjnego firmy Microsoft Entra
Microsoft Entra ID zapewnia centralne miejsce do zarządzania tożsamościami urządzeń i monitorowania powiązanych informacji o zdarzeniach.
Aby uzyskać dostęp do przeglądu urządzeń, wykonaj następujące kroki:
- Zaloguj się do centrum administracyjnego firmy Microsoft Entra jako użytkownik z co najmniej domyślnymi uprawnieniami użytkownika.
- Przejdź do tożsamości>urządzeń>Przegląd.
W przeglądzie urządzeń można wyświetlić łączną liczbę urządzeń, nieaktualnych urządzeń, niezgodnych urządzeń i niezarządzanych urządzeń. Udostępnia on linki do usługi Intune, dostępu warunkowego, kluczy BitLocker i podstawowego monitorowania. Inne funkcje, takie jak dostęp warunkowy i usługa Microsoft Intune, wymagają dodatkowych przypisań ról
Liczba urządzeń na stronie przeglądu nie jest aktualizowana w czasie rzeczywistym. Zmiany powinny być odzwierciedlane co kilka godzin.
Z tego miejsca możesz przejść do pozycji Wszystkie urządzenia , aby:
- Identyfikowanie urządzeń, w tym:
- Urządzenia przyłączone lub zarejestrowane w usłudze Microsoft Entra ID.
- Urządzenia wdrożone za pośrednictwem rozwiązania Windows Autopilot.
- Drukarki korzystające z usługi Universal Print.
- Wykonaj zadania zarządzania tożsamościami urządzeń, takie jak włączanie, wyłączanie, usuwanie i zarządzanie.
- Opcje zarządzania drukarkami i Windows Autopilot są ograniczone w usłudze Microsoft Entra ID. Te urządzenia muszą być zarządzane z odpowiednich interfejsów administracyjnych.
- Skonfiguruj ustawienia tożsamości swojego urządzenia.
- Włącz lub wyłącz roaming stanu przedsiębiorstwa.
- Przeglądać dzienniki inspekcji związane z urządzeniami.
- Pobierz urządzenia.
Napiwek
Hybrydowe urządzenia z systemem Windows 10 lub nowszym połączone z Microsoft Entra nie mają właściciela, chyba że główny użytkownik jest ustawiony w Microsoft Intune. Jeśli szukasz urządzenia według właściciela i go nie znajdziesz, wyszukaj według identyfikatora urządzenia.
Jeśli widzisz urządzenie hybrydowo dołączone do Microsoft Entra w stanie Oczekujące w kolumnie Zarejestrowane, urządzenie zostało zsynchronizowane przez Microsoft Entra Connect i oczekuje na ukończenie rejestracji od strony klienta. Zobacz Jak zaplanować wdrożenie dołączenia hybrydowego Microsoft Entra. Aby uzyskać więcej informacji, zobacz Zarządzanie urządzeniami — często zadawane pytania.
W przypadku niektórych urządzeń z systemem iOS nazwy urządzeń, które zawierają apostrofy, mogą używać różnych znaków, które wyglądają jak apostrofy. Więc wyszukiwanie takich urządzeń jest trochę trudne. Jeśli nie widzisz poprawnych wyników wyszukiwania, upewnij się, że ciąg wyszukiwania zawiera pasujący znak apostrofu.
Zarządzaj urządzeniem Intune
Jeśli masz uprawnienia do zarządzania urządzeniami w usłudze Intune, możesz zarządzać urządzeniami, dla których zarządzanie urządzeniami przenośnymi jest wyświetlane jako usługa Microsoft Intune. Jeśli urządzenie nie zostało zarejestrowane w usłudze Microsoft Intune, opcja Zarządzaj nie jest dostępna.
Włączanie lub wyłączanie urządzenia Firmy Microsoft Entra
Istnieją dwa sposoby włączania lub wyłączania urządzeń:
- Pasek narzędzi na stronie Wszystkie urządzenia pojawia się po wybraniu co najmniej jednego urządzenia.
- Pasek narzędzi po zejściu do szczegółów określonego urządzenia.
Ważne
- Aby włączyć lub wyłączyć urządzenie, musisz być administratorem usługi Intune lub administratorem urządzeń w chmurze.
- Wyłączenie urządzenia uniemożliwia uwierzytelnianie za pośrednictwem identyfikatora Entra firmy Microsoft. Zapobiega to uzyskiwaniu dostępu do zasobów firmy Microsoft Entra chronionych przez dostęp warunkowy oparty na urządzeniach i używania poświadczeń Windows Hello dla firm.
- Wyłączenie urządzenia spowoduje odwołanie podstawowego tokenu odświeżania (PRT) i wszystkich tokenów odświeżania na urządzeniu.
- Nie można włączyć ani wyłączyć drukarek w identyfikatorze Entra firmy Microsoft.
Usuń urządzenie Microsoft Entra
Istnieją dwa sposoby usuwania urządzenia:
- Pasek narzędzi na stronie Wszystkie urządzenia, po wybraniu co najmniej jednego urządzenia.
- Pasek narzędzi po zagłębieniu się w szczegóły określonego urządzenia.
Ważne
- Aby usunąć urządzenie, musisz być administratorem urządzeń w chmurze, administratorem usługi Intune lub administratorem systemu Windows 365.
- Nie można usunąć drukarek przed ich usunięciem z usługi Universal Print.
- Nie można usunąć urządzeń z rozwiązaniem Windows Autopilot przed usunięciem ich z usługi Intune.
- Usuwanie urządzenia:
- Uniemożliwia dostęp do zasobów firmy Microsoft Entra.
- Usuwa wszystkie szczegóły dołączone do urządzenia. Na przykład klucze funkcji BitLocker dla urządzeń z systemem Windows.
- Jest działaniem nieodwracalnym. Nie zalecamy tego, chyba że jest to wymagane.
Jeśli urządzenie jest zarządzane w innym urzędzie zarządzania, na przykład w usłudze Microsoft Intune, przed jego usunięciem upewnij się, że zostało ono wyczyszczone lub wycofane. Zobacz jak zarządzać przestarzałymi urządzeniami przed ich usunięciem.
Wyświetlanie lub kopiowanie identyfikatora urządzenia
Możesz użyć identyfikatora urządzenia, aby zweryfikować szczegóły identyfikatora urządzenia na urządzeniu lub rozwiązać problemy za pomocą programu PowerShell. Aby uzyskać dostęp do opcji kopiowania, wybierz urządzenie.
Wyświetlanie lub kopiowanie kluczy BitLocker
Możesz wyświetlać i kopiować klucze funkcji BitLocker, aby umożliwić użytkownikom odzyskiwanie zaszyfrowanych dysków. Te klucze są dostępne tylko dla urządzeń z systemem Windows, które są szyfrowane i przechowują swoje klucze w identyfikatorze Entra firmy Microsoft. Te klucze można znaleźć podczas wyświetlania szczegółów urządzenia, wybierając pozycję Pokaż klucz odzyskiwania. Wybranie pozycji Pokaż klucz odzyskiwania powoduje wygenerowanie wpisu dziennika audytu, który można znaleźć w KeyManagement kategorii.
Aby wyświetlić lub skopiować klucze funkcji BitLocker, musisz być właścicielem urządzenia lub mieć jedną z następujących ról:
- Administrator urządzeń w chmurze
- Administrator pomocy technicznej
- Intune Administrator
- Administrator zabezpieczeń
- Czytelnik zabezpieczeń
Uwaga
Gdy urządzenia korzystające z rozwiązania Windows Autopilot są ponownie używane i istnieje nowy właściciel urządzenia, ten nowy właściciel urządzenia musi skontaktować się z administratorem w celu uzyskania klucza odzyskiwania funkcji BitLocker dla tego urządzenia. Administratorzy z przypisanym zakresem roli niestandardowej lub jednostki administracyjnej będą nadal mieć dostęp do kluczy odzyskiwania BitLocker dla tych urządzeń, które przeszły zmiany własności, chyba że nowy właściciel urządzenia należy do niestandardowej roli lub zakresu jednostki administracyjnej. W takim przypadku użytkownik będzie musiał skontaktować się z innym administratorem o określonym zakresie, aby uzyskać klucze odzyskiwania. Aby uzyskać więcej informacji, zobacz artykuł Znajdowanie podstawowego użytkownika urządzenia usługi Intune.
Wyświetlanie i filtrowanie urządzeń
Listę urządzeń można filtrować według następujących atrybutów:
- Stan włączony
- Stan zgodności
- Typ połączenia (połączona z Microsoft Entra, hybrydowo połączona z Microsoft Entra, zarejestrowana w Microsoft Entra)
- Znacznik czasu aktywności
- Typ systemu operacyjnego i wersja systemu operacyjnego
- Windows jest widoczny dla urządzeń z systemem Windows 11 i Windows 10 (z KB5006738).
- System Windows Server jest wyświetlany dla obsługiwanych wersji zarządzanych za pomocą Microsoft Defender dla punktu końcowego.
- Typ urządzenia (drukarka, bezpieczna maszyna wirtualna, urządzenie udostępnione, zarejestrowane urządzenie)
- MDM
- Autopilot
- Atrybuty rozszerzenia
- Jednostka administracyjna
- Właściciel
Pobieranie urządzeń
Administratorzy urządzeń w chmurze i administratorzy usługi Intune mogą użyć opcji Pobierz urządzenia , aby wyeksportować plik CSV zawierający listę urządzeń. Filtry można zastosować, aby określić, które urządzenia mają być wyświetlone. Jeśli nie zastosujesz żadnych filtrów, zostaną wyświetlone wszystkie urządzenia. Zadanie eksportu może trwać nawet godzinę, w zależności od wybranych opcji. Jeśli zadanie eksportu przekracza 1 godzinę, kończy się niepowodzeniem i żaden plik nie jest wyjściowy.
Wyeksportowana lista zawiera następujące atrybuty tożsamości urządzenia:
displayName,accountEnabled,operatingSystem,operatingSystemVersion,joinType (trustType),registeredOwners,userNames,mdmDisplayName,isCompliant,registrationTime,approximateLastSignInDateTime,deviceId,isManaged,objectId,profileType,systemLabels,model
Dla zadania eksportu można zastosować następujące filtry:
- Stan włączony
- Stan zgodności
- Typ sprzężenia
- Znacznik czasu aktywności
- Typ systemu operacyjnego
- Typ urządzenia
Konfigurowanie ustawień urządzenia
Jeśli chcesz zarządzać tożsamościami urządzeń przy użyciu centrum administracyjnego firmy Microsoft Entra, urządzenia muszą być zarejestrowane lub dołączone do identyfikatora Entra firmy Microsoft. Jako administrator możesz kontrolować proces rejestrowania i dołączania urządzeń, konfigurując następujące ustawienia urządzenia.
Aby odczytywać lub modyfikować ustawienia urządzenia, musisz mieć przypisaną jedną z następujących ról:
- Administrator urządzeń w chmurze (odczyt i modyfikowanie)
- Administrator usługi Intune (tylko do odczytu)
- Administrator systemu Windows 365 (tylko do odczytu)
Użytkownicy mogą dołączać urządzenia do identyfikatora Entra firmy Microsoft: to ustawienie umożliwia wybranie użytkowników, którzy mogą zarejestrować swoje urządzenia jako urządzenia dołączone do firmy Microsoft. Wartością domyślną jest Wszystko.
Uwaga
Ustawienie Użytkownicy mogą dołączać urządzenia do Microsoft Entra ID ma zastosowanie tylko do dołączenia do Microsoft Entra w systemie Windows 10 lub nowszym. To ustawienie nie dotyczy urządzeń połączonych hybrydowo z Microsoft Entra, maszyn wirtualnych Microsoft Entra w Azure
ani urządzeń połączonych z Microsoft Entra korzystających z trybu samodzielnego wdrażania Windows Autopilot , ponieważ te metody działają w kontekście bez użytkownika.Użytkownicy mogą rejestrować swoje urządzenia przy użyciu identyfikatora Entra firmy Microsoft: należy skonfigurować to ustawienie, aby umożliwić użytkownikom rejestrowanie urządzeń osobistych z systemem Windows 10 lub nowszym, iOS, Android i macOS przy użyciu identyfikatora Entra firmy Microsoft. Jeśli wybierzesz pozycję Brak, urządzenia nie będą mogły rejestrować się w usłudze Microsoft Entra ID. Rejestracja w usłudze Microsoft Intune lub zarządzanie urządzeniami przenośnymi na platformie Microsoft 365 wymaga rejestracji. Jeśli skonfigurowano jedną z tych usług, wybrano opcję WSZYSTKIE , a opcja NONE jest niedostępna .
Wymagaj uwierzytelniania wieloskładnikowego do rejestrowania lub dołączania urządzeń za pomocą identyfikatora Entra firmy Microsoft:
- W celu wymuszenia uwierzytelniania wieloskładnikowego zaleca się, aby organizacje korzystały z akcji Rejestrowanie lub dołączanie urządzeń w obszarze Dostęp warunkowy. Ten przełącznik należy skonfigurować na wartość Nie , jeśli używasz zasad dostępu warunkowego do wymagania uwierzytelniania wieloskładnikowego.
- To ustawienie umożliwia określenie, czy użytkownicy są zobowiązani do zapewnienia innego czynnika uwierzytelniania w celu dołączenia lub zarejestrowania swoich urządzeń w identyfikatorze Entra firmy Microsoft. Wartość domyślna to Nie. Zalecamy wymaganie uwierzytelniania wieloskładnikowego po zarejestrowaniu lub dołączeniu urządzenia. Przed włączeniem uwierzytelniania wieloskładnikowego dla tej usługi należy upewnić się, że uwierzytelnianie wieloskładnikowe jest skonfigurowane dla użytkowników rejestrujących swoje urządzenia. Aby uzyskać więcej informacji na temat usług uwierzytelniania wieloskładnikowego firmy Microsoft Entra, zobacz wprowadzenie do uwierzytelniania wieloskładnikowego firmy Microsoft. To ustawienie może nie działać z zewnętrznymi dostawcami tożsamości.
Uwaga
Ustawienie Wymagaj uwierzytelniania wieloskładnikowego do rejestrowania lub dołączania urządzeń z użyciem Microsoft Entra ID dotyczy urządzeń, które są połączone z Microsoft Entra (z pewnymi wyjątkami) lub zarejestrowane w Microsoft Entra. To ustawienie nie dotyczy urządzeń dołączonych hybrydowo do firmy Microsoft, maszyn wirtualnych dołączonych do firmy Microsoft Entra na platformie Azure ani urządzeń dołączonych do firmy Microsoft Entra korzystających z trybu samodzielnego wdrażania rozwiązania Windows Autopilot.
Maksymalna liczba urządzeń: to ustawienie umożliwia wybranie maksymalnej liczby urządzeń dołączonych do firmy Microsoft lub zarejestrowanych przez firmę Microsoft Entra urządzeń, które użytkownik może mieć w identyfikatorze Firmy Microsoft Entra. Jeśli użytkownicy osiągną ten limit, nie będą mogli dodawać więcej urządzeń do momentu usunięcia co najmniej jednego z istniejących urządzeń. Wartość domyślna to 50. Możesz zwiększyć wartość do 100. Jeśli wprowadzisz wartość powyżej 100, identyfikator Entra firmy Microsoft ustawia go na 100. Możesz również użyć funkcji Unlimited , aby wymusić brak limitu innego niż istniejące limity przydziału.
Uwaga
Ustawienie Maksymalna liczba urządzeń dotyczy urządzeń, które są przyłączone do firmy Microsoft lub zarejestrowane przez firmę Microsoft Entra. To ustawienie nie ma zastosowania do urządzeń dołączonych hybrydowo do Microsoft Entra.
Zarządzanie dodatkowymi administratorami lokalnymi na urządzeniach połączonych z Microsoft Entra: To ustawienie umożliwia wybranie użytkowników, którym przyznano uprawnienia administratora lokalnego na urządzeniu. Ci użytkownicy są dodawani do roli Administratorów urządzeń w Microsoft Entra ID.
Włącz rozwiązanie LAPS (Microsoft Entra Local Administrator Password Solution) (wersja zapoznawcza): LAPS to zarządzanie hasłami kont lokalnych na urządzeniach z systemem Windows. Rozwiązanie LAPS zapewnia bezpieczne zarządzanie wbudowanym hasłem administratora lokalnego i pobieranie go. Dzięki wersji rozwiązania LAPS w chmurze klienci mogą włączyć przechowywanie i rotację haseł administratora lokalnego zarówno dla urządzeń microsoft Entra ID, jak i Microsoft Entra hybrid join. Aby dowiedzieć się, jak zarządzać usługą LAPS w usłudze Microsoft Entra ID, zobacz artykuł z omówieniem.
Ogranicz użytkownikom niebędącym administratorem odzyskiwanie kluczy funkcji BitLocker dla należących do nich urządzeń: Administratorzy mogą zablokować dostęp do klucza funkcji BitLocker samoobsługi zarejestrowanemu właścicielowi urządzenia. Użytkownicy domyślni bez uprawnień do odczytu BitLocker nie mogą wyświetlać ani kopiować kluczy BitLocker dla swoich urządzeń. Aby zaktualizować to ustawienie, musisz być co najmniej administratorem ról uprzywilejowanych.
Enterprise State Roaming: aby uzyskać informacje o tym ustawieniu, zobacz artykuł z omówieniem.
Dzienniki inspekcji
Działania urządzeń są widoczne w dziennikach aktywności. Te dzienniki obejmują działania wyzwalane przez usługę rejestracji urządzeń i przez użytkowników:
- Tworzenie urządzeń i dodawanie właścicieli/użytkowników na urządzeniu
- Zmiany ustawień urządzenia
- Operacje na urządzeniach, takie jak usuwanie lub aktualizowanie urządzenia
- Operacje zbiorcze, takie jak pobieranie danych ze wszystkich urządzeń
Uwaga
Podczas wykonywania operacji zbiorczych, takich jak importowanie lub tworzenie, możesz napotkać problem, jeśli operacja zbiorcza nie zostanie ukończona w ciągu godziny. Aby obejść ten problem, zalecamy podział liczby rekordów przetwarzanych w jednym procesie. Na przykład przed rozpoczęciem eksportu można ograniczyć zestaw wyników przez filtrowanie według typu grupy lub nazwy użytkownika w celu zmniejszenia rozmiaru wyników. Doprecyzowując filtry, zasadniczo ograniczasz ilość danych zwracanych przez operację zbiorczą. Aby uzyskać więcej informacji, zobacz Ograniczenia usługi operacji zbiorczych.
Punktem wejścia do danych inspekcji jest dzienniki inspekcji w sekcji Aktywność na stronie Urządzenia.
Dziennik inspekcji ma domyślny widok listy, który pokazuje:
- Data i godzina wystąpienia.
- Te cele.
- Inicjator/aktor działania.
- Działanie.
Widok listy można dostosować, wybierając pozycję Kolumny na pasku narzędzi:
Aby zmniejszyć zgłoszone dane do poziomu, który działa dla Ciebie, możesz je filtrować przy użyciu następujących pól:
- Kategoria
- Typ zasobu działania
- Activity
- Zakres dat
- Obiekt docelowy
- Zainicjowane przez (aktor)
Możesz również wyszukać określone wpisy.
