После недавнего сбоя действия Intune Wipe для очистки компьютеров , хотя оно удаляет компьютер из Intune, я беспокоюсь, что мы могли бы иметь больше неуправляемых, но полностью функциональные ПК в полевых условиях. Есть ли способ потребовать, чтобы ПК с автопилотом управлялся с помощью Intune, либо путем автоматической повторной -его регистрации в Intune (, предпочтительно ), либо путем до боли очевидного наличия проблемы? И есть ли способ найти компьютеры, вышедшие из-под контроля?
Я задал этот вопрос на Reddit , и мне ответили, что нужно использовать условный доступ. Однако все, что я нахожу в отношении условного доступа, означает использование политики «Требовать, чтобы устройство было помечено как соответствующее ». Это будет проблемой, пока мы не вернем в соответствие более 500 компьютеров. Они были обнаружены после создания некоторых очень разумных политик соответствия,в то время как мы постепенно переводим собранные с помощью Configuration Manager и изготовленные вручную -ПК на полное управление Intune.
Ближе всего к поиску неуправляемого я подошел к следующему запросу Powershell. К сожалению, успешная очистка Intune приводит компьютер в то же состояние, что и те, которые я ищу. Таким образом, большинство возвращенных ПК, скорее всего, лежат на полке в ожидании повторного развертывания. Поскольку объекты Azure AD, созданные с помощью импорта Autopilot, начинаются как неактивные, одна мысль, которую я подумал, заключалась в том, чтобы -включить все устройства, возвращаемые этим запросом. Это поместит учетные записи машин, стоящих на полке, в более безопасное положение И сломает машины, которые ускользнули от управления.
Get-AzureADDevice -All $true -Filter "startswith(DeviceOSType,'Windows') and DeviceTrustType eq 'AzureAd'" | Where-Object {-not $_.IsManaged}
У меня была аналогичная проблема с «бесхозными» неуправляемыми устройствами в Azure AD. На самом деле это довольно серьезная проблема, и нет никаких признаков того, что она существует, пока не произойдет что-то странное, например, пользователь не сможет получить последние обновления политики или приложения. По моему опыту, у нас было около 3% от общего числа ПК (из 4000), затронутых этим. Кстати, служба поддержки Microsoft Premier не смогла определить основную причину или вернуть ПК в управление и предложила переустановить ОС. Но, возможно, ваша проблема в другом.
В любом случае, вернемся к решению. Для обнаружения бесхозных устройств я использовал аналитику.
По сути, мы должны сделать следующее:
Вуаля! Все, что осталось, — это устройства, на которые подписаны, но которые не управляются
1 месяц
. Фильтровать по Приложение= Вход в Windows
.InteractiveSignIns*.json
на дискColumn1
, выберите столбец, перейдите к Transform(вкладка) и нажмите [Expand]. Нажмите [OK]Column1.deviceDetail
и разверните его так же, как вы только что сделали с другимПрямо сейчас у вас есть список имен компьютеров в столбце Column1.deviceDetail.displayName
. Хотя использование имени устройства не является надежным на 100%, мы ищем здесь аномалии. Поэтому мы не можем слишком полагаться на идентификаторы или флаг isManaged
. Использование имен — безопасная ставка. Имейте в виду, что иногда имена устройств могут меняться, поэтому в итоге в вашем списке могут быть ложные срабатывания. Но это гарантирует, что вы не пропустите ни одного потерянного устройства.
Devices*.csv
, полученный ранее от Intune. Нажмите [Загрузить]InteractiveSignins...
. Выберите столбец Column1.deviceDetail.displayNameУстройства...
во втором раскрывающемся списке выберите Имя устройства столбецПоздравляю! В таблице Merge1будут логины с возможных бесхозных устройств Azure AD
Для простоты я использовал Excel и ручную загрузку данных.
В моем случае я потратил больше времени на автоматизацию загрузки данных, преобразование и визуализацию с помощью Power BI, потому что количество потерянных устройств медленно росло. Так что их выявление и исправление оказалось повторяющейся задачей