Управление идентификацией устройств с помощью центра администрирования Microsoft Entra

Microsoft Entra ID предоставляет центральное место для управления удостоверениями устройств и для мониторинга информации о связанных событиях.

Скриншот, показывающий обзор устройств.

Чтобы получить доступ к обзору устройств, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra как пользователь, имеющий хотя бы разрешения по умолчанию.
  2. Перейдите к Entra ID>Устройства>Обзор.

В разделе "Общие сведения об устройствах" можно просмотреть общее число устройств, а также количество неактивных устройств, несоответствующих устройств и неуправляемых устройств. Он предоставляет ссылки на Intune, условный доступ, ключи BitLocker и базовый мониторинг. Другие функции, такие как условный доступ и Microsoft Intune, требуют дополнительных назначений ролей.

Количество устройств на странице обзора не обновляется в режиме реального времени. Изменения должны отражаться каждые несколько часов.

Оттуда можно перейти ко всем устройствам :

  • Определите устройства, в том числе:
    • Устройства, присоединенные или зарегистрированные в Microsoft Entra ID.
    • Устройства, развернутые с помощью Windows Autopilot.
    • Принтеры, использующие Universal Print.
  • Выполнение задач управления идентификацией устройств, таких как активация, деактивация, удаление и управление.
    • Параметры управления для Printers и Windows Autopilot ограничены в Microsoft Entra ID. Эти устройства должны управляться из соответствующих им интерфейсов администратора.
  • Настройка параметров идентификации устройства.
  • Включение или отключение службы Enterprise State Roaming.
  • Проверка журналов аудита, связанных с устройствами.
  • Скачайте устройства.

Скриншот, показывающий представление

Совет

  • Гибридные устройства Microsoft Entra, присоединенные к Windows 10 или более новым устройствам, не имеют владельца, если только основной пользователь не установлен в Microsoft Intune. Если вы ищете устройство по владельцу и оно не обнаруживается, выполните поиск по коду устройства.

  • Если вы видите устройство, гибридно присоединенное к Microsoft Entra со статусом "Ожидание" в столбце "Зарегистрировано", это означает, что устройство было синхронизировано из Microsoft Entra Connect и ожидает завершения регистрации на стороне клиента. Ознакомьтесь с тем, как спланировать внедрение гибридного подключения Microsoft Entra. Дополнительные сведения см. в разделе Часто задаваемые вопросы по управлению устройствами.

  • Для некоторых устройств iOS, имена которых содержат апострофы, можно использовать другие знаки, которые выглядят как апострофы. Поэтому поиск таких устройств является немного сложным. Если вы не видите правильные результаты поиска, убедитесь, что строка поиска содержит соответствующий символ апострофа.

Управление устройством Intune

Если у вас есть права на управление устройствами в Intune, вы можете управлять устройствами, для которых управление мобильными устройствами указано как Microsoft Intune. Если устройство не зарегистрировано в Microsoft Intune, параметр Manage недоступен.

Включение или отключение устройства Microsoft Entra

Включить или отключить устройства можно двумя способами:

  • Панель инструментов на странице "Все устройства" после выбора одного или нескольких устройств.
  • Панель инструментов появляется после детализации определенного устройства.

Внимание

  • Для включения или отключения устройства необходимо быть администратором Intune или администратором облачных устройств.
  • Отключение устройства предотвращает проверку подлинности через Microsoft Entra ID. Это предотвращает доступ к ресурсам Microsoft Entra, защищенным условным доступом на основе устройства, и от использования учетных данных Windows Hello для бизнеса.
  • Отключение устройства приведет к отмене основного маркера обновления (PRT) и всех маркеров обновления на устройстве.
  • Принтеры не могут быть включены или отключены в Microsoft Entra ID.

Удаление устройства Microsoft Entra

Существует два способа удаления устройства:

  • Панель инструментов на странице "Все устройства" после выбора одного или нескольких устройств.
  • Панель инструментов появляется после детализации определенного устройства.

Внимание

  • Для удаления устройства необходимо быть администратором облачных устройств, администратором Intune или администратором Windows 365.
  • Не удается удалить принтеры перед их удалением из Universal Print.
  • Windows Autopilot устройства не могут быть удалены до их удаления из Intune.
  • Удаление устройства:
    • Препятствует получению доступа к ресурсам Microsoft Entra.
    • Удаляет все сведения, присоединенные к устройству. Например, ключи BitLocker для устройств Windows.
    • Является невосстанавливаемым действием. Мы не рекомендуем его, если это не требуется.

Если устройство управляется в другом органе управления, например Microsoft Intune, убедитесь, что оно очищается или удаляется перед удалением. Узнайте , как управлять устаревшими устройствами перед удалением устройства.

Просмотр и копирование кода устройства

С помощью кода устройства можно проверять соответствующие сведения об устройстве или устранять неполадки, используя PowerShell. Чтобы получить доступ к опции копирования, выберите устройство.

Снимок экрана: идентификатор устройства и кнопка копирования.

Просмотр и копирование ключей BitLocker

Вы можете просмотреть и скопировать ключи BitLocker, чтобы дать пользователям возможность восстановить свои зашифрованные диски. Эти ключи доступны только для устройств Windows, которые шифруются и хранят их ключи в Microsoft Entra ID. Эти ключи можно найти при просмотре сведений об устройстве, нажав кнопку "Показать ключ восстановления". При нажатии кнопки "Показать ключ восстановления" создается запись журнала аудита, которую можно найти в KeyManagement категории.

Снимок экрана: просмотр ключей BitLocker.

Чтобы просмотреть или скопировать ключи BitLocker, необходимо быть владельцем устройства или иметь одну из следующих ролей:

Примечание.

Когда устройства, использующие Windows Autopilot, повторно вводятся в эксплуатацию и у них появляется новый владелец, этот владелец должен связаться с администратором, чтобы получить ключ восстановления BitLocker для устройства. Пользовательская роль или администраторы, ограниченные областью административной единицы, будут продолжать иметь доступ к ключам восстановления BitLocker для тех устройств, у которых изменились права владения, если только новый владелец устройства не принадлежит пользовательской роли или области административной единицы. В таком случае пользователю потребуется обратиться к другому администратору области для ключей восстановления. Дополнительные сведения см. в статье "Поиск основного пользователя устройства Intune".

Просмотр и фильтрация устройств

Список устройств можно отфильтровать по следующим атрибутам:

  • Включенное состояние
  • Состояние соответствия
  • Тип присоединения (присоединено к Microsoft Entra, гибридное присоединение к Microsoft Entra, зарегистрировано в системе Microsoft Entra)
  • Отметка времени активности
  • Тип ОС и версия ОС
  • Тип устройства (принтер, защищенная виртуальная машина, общее устройство, зарегистрированное устройство)
  • МDM
  • Автопилот
  • Атрибуты расширения
  • Административная единица
  • Владелец

Скачивание устройств

Администраторы облачных устройств и администраторы Intune могут использовать параметр "Скачать устройства " для экспорта CSV-файла, который перечисляет устройства. Вы можете применить фильтры, чтобы определить, какие устройства следует добавить в список. Если вы не применяете фильтры, отображаются все устройства. Экспортированный список содержит эти параметры идентификации устройства:

id,deviceId,isManaged,profileType,systemLabels,model,displayName,accountEnabled,operatingSystem,operatingSystemVersion,trustType(joinType),mdm,securitySettingsManagement,isCompliant,registrationDateTime,approximateLastSignInDateTime,owner,upnName

Примечание.

trustType — это место, где можно определить JoinType. Распространенный перевод:

  • AzureAD —> вошёл в состав Microsoft Entra
  • Workplace —> Microsoft Entra зарегистрировано
  • ServerAD —> гибридное присоединение к Microsoft Entra

Для задачи экспорта можно применить следующие фильтры:

  • Включенное состояние
  • Состояние соответствия
  • Тип соединения
  • Отметка времени активности
  • Тип ОС
  • Тип устройства

Кроме того, столбцы можно управлять, выбрав "Управление столбцами представления>" для переключения столбцов, которые требуется экспортировать.

Примечание.

Выбор Owner или имени пользователя может занять больше времени на обработку. Если вы предпочитаете более быстрые результаты, оставьте эти параметры без флажка; включите их при необходимости дополнительных сведений.

Настройка параметров устройства

Если вы хотите управлять удостоверениями устройств с помощью Центра администрирования Microsoft Entra, устройства должны быть зарегистрированы или присоединены в Microsoft Entra ID. Администратор может управлять процессом регистрации и присоединения устройств, задав перечисленные ниже параметры устройства.

Для чтения или изменения параметров устройства необходимо назначить одну из следующих ролей:

Screenshot с настройками устройства, связанными с Microsoft Entra ID.

  • Пользователи могут присоединять устройства к Microsoft Entra ID: этот параметр позволяет выбрать пользователей, которые могут зарегистрировать свои устройства в качестве устройств, присоединенных к Microsoft Entra. Значение по умолчанию — All.

    Примечание.

    Параметр Пользователи могут присоединять устройства к Microsoft Entra ID применим только для присоединения к Microsoft Entra на Windows 10 или более поздних версиях. Этот параметр не применяется к гибридно присоединенным устройствам Microsoft Entra, виртуальным машинам, присоединенным к Microsoft Entra в Azure, или устройствам, присоединенным к Microsoft Entra, которые используют режим самостоятельного развертывания Windows Autopilot, так как эти методы работают в контексте без пользователя.

  • Users могут зарегистрировать свои устройства с помощью Microsoft Entra ID: необходимо настроить этот параметр, чтобы разрешить пользователям регистрировать Windows 10 или более новые личные устройства, iOS, Android и macOS с Microsoft Entra ID. Если выбрать None, устройства не могут регистрироваться в Microsoft Entra ID. Регистрация с помощью Microsoft Intune или управление мобильными устройствами для Microsoft 365 требует регистрации. Если вы настроили любой из этих служб, выбрано значение ALL , и NONE недоступен.

  • Требовать многофакторную аутентификацию для регистрации или присоединения устройств с Microsoft Entra ID:

    • Мы рекомендуем организациям использовать действие пользователя Зарегистрировать или присоединить устройства в условном доступе для применения многофакторной проверки подлинности. Этот переключатель необходимо настроить для No если вы используете политику Conditional Access, чтобы требовать многофакторную проверку подлинности.
    • Этот параметр позволяет указать, должны ли пользователи предоставлять другой фактор проверки подлинности для присоединения или регистрации устройств для Microsoft Entra ID. Значение по умолчанию — Нет. Рекомендуется требовать многофакторную проверку подлинности при регистрации или присоединении устройства. Перед включением многофакторной проверки подлинности для этой службы необходимо убедиться, что она настроена для пользователей, которые регистрируют свои устройства. Дополнительные сведения о службах многофакторной проверки подлинности Microsoft Entra см. в разделе Начало работы с многофакторной проверкой подлинности Microsoft Entra. Этот параметр может не работать с сторонними поставщиками удостоверений.

    Примечание.

    Требование многофакторной аутентификации для регистрации или присоединения устройств к Microsoft Entra ID применяется к устройствам, которые либо присоединены к Microsoft Entra (с некоторыми исключениями), либо зарегистрированы в ней. Этот параметр не применяется к устройствам, присоединенным к гибридным устройствам Microsoft Entra, Microsoft Entra, присоединенным к виртуальным машинам в Azure или устройствах, присоединенных к Microsoft Entra, которые используют режим Windows Autopilot режим самостоятельного развертывания.

  • Максимальное количество устройств. Этот параметр позволяет выбрать максимальное количество присоединенных к Microsoft Entra устройств или зарегистрированных Microsoft Entra, которые пользователь может иметь в Microsoft Entra ID. Если пользователи достигли этого ограничения, они не смогут добавить больше устройств, пока не будет удалено одно или несколько из доступных устройств. Значение по умолчанию — 50. Значение можно увеличить до 100. Если ввести значение выше 100, Microsoft Entra ID автоматически установит его на 100. Вы также можете использовать Неограниченное, чтобы не устанавливать никаких ограничений, помимо существующих ограничений квоты.

    Примечание.

    Максимальное число параметров устройств применяется к устройствам, присоединенным к Microsoft Entra или зарегистрированным Microsoft Entra. Этот параметр не применяется к гибридным устройствам, присоединенным к Microsoft Entra.

  • Управление дополнительными локальными администраторами на устройствах, присоединенных к Microsoft Entra. Этот параметр позволяет выбрать пользователей, которым предоставлены права локального администратора на устройстве. Эти пользователи добавляются в роль "Администраторы устройств" в Microsoft Entra ID.

  • Включение решения Microsoft Entra для управления паролями локального администратора (LAPS) (предварительная версия): LAPS — это система управления паролями локальных учетных записей на устройствах Windows. LAPS предоставляет решение для безопасного управления и получения встроенного пароля локального администратора. С облачной версией LAPS клиенты могут включить хранение и смену паролей локального администратора как для устройств Microsoft Entra ID, так и для устройств гибридного соединения Microsoft Entra. Сведения об управлении LAPS в Microsoft Entra ID см. в обзорной статье.

  • Ограничить пользователей, не являющихся администраторами, в возможности восстановления ключей BitLocker для своих собственных устройств: администраторы могут блокировать самостоятельный доступ зарегистрированного владельца устройства к ключам BitLocker. Пользователи по умолчанию без разрешения на чтение BitLocker не могут просматривать или копировать ключи BitLocker для своих собственных устройств. Для обновления этого параметра необходимо быть как минимум администратором привилегированных ролей.

  • Enterprise State Roaming: см. статью обзора для получения дополнительных сведений об этом параметре.

Журналы аудита

Действия устройства отображаются в журналах действий. В эти журналы записываются действия, активированные службой регистрации устройств и пользователями:

  • создание устройства и добавление владельцев или пользователей устройства;
  • изменение параметров устройства;
  • операции с устройством, например удаление или обновление устройства.
  • Массовые операции, такие как скачивание всех устройств

Примечание.

При выполнении массовых операций, таких как импорт или создание, можно столкнуться с проблемой, если массовая операция не завершается в течение часа. Чтобы обойти эту проблему, рекомендуется разделить количество записей, обработанных на пакет. Например, перед началом экспорта можно ограничить результирующий набор, отфильтровав тип группы или имя пользователя, чтобы уменьшить размер результатов. Уточняя фильтры, вы, по сути, ограничиваете данные, возвращаемые групповой операцией. Дополнительные сведения см. в разделе об ограничениях службы массовых операций.

Точка входа в данные аудита — журналы аудита в разделе "Действия " страницы "Устройства ".

Журнал аудита содержит представление списка по умолчанию, в котором отображаются:

  • Дата и время выполнения действия.
  • Целевые объекты.
  • Инициатор или субъект действия.
  • Активность.

Снимок экрана: таблица в разделе действий страницы

Чтобы настроить представление списка, выберите "Столбцы " на панели инструментов:

Снимок экрана: панель инструментов страницы

Чтобы сократить сообщаемые данные до подходящего уровня, можно отфильтровать их с помощью следующих полей:

  • Категория
  • Тип ресурса действия
  • Активность
  • Диапазон дат
  • Цель
  • Инициировано исполнителем

Кроме того, можно выполнять поиск конкретных записей.

Снимок экрана: элементы управления фильтрацией данных аудита.

Следующие шаги

  • Last updated on