Может ли ПК с автопилотом управляться с помощью Intune?
После недавнего сбоя действия Intune Wipe для очистки компьютеров , хотя оно удаляет компьютер из Intune, я беспокоюсь, что мы могли бы иметь больше неуправляемых, но полностью функциональные ПК в полевых условиях. Есть ли способ потребовать, чтобы ПК с автопилотом управлялся с помощью Intune, либо путем автоматической повторной -его регистрации в Intune (, предпочтительно ), либо путем до боли очевидного наличия проблемы? И есть ли способ найти компьютеры, вышедшие из-под контроля?
Я задал этот вопрос на Reddit , и мне ответили, что нужно использовать условный доступ. Однако все, что я нахожу в отношении условного доступа, означает использование политики «Требовать, чтобы устройство было помечено как соответствующее ». Это будет проблемой, пока мы не вернем в соответствие более 500 компьютеров. Они были обнаружены после создания некоторых очень разумных политик соответствия,в то время как мы постепенно переводим собранные с помощью Configuration Manager и изготовленные вручную -ПК на полное управление Intune.
Ближе всего к поиску неуправляемого я подошел к следующему запросу Powershell. К сожалению, успешная очистка Intune приводит компьютер в то же состояние, что и те, которые я ищу. Таким образом, большинство возвращенных ПК, скорее всего, лежат на полке в ожидании повторного развертывания. Поскольку объекты Azure AD, созданные с помощью импорта Autopilot, начинаются как неактивные, одна мысль, которую я подумал, заключалась в том, чтобы -включить все устройства, возвращаемые этим запросом. Это поместит учетные записи машин, стоящих на полке, в более безопасное положение И сломает машины, которые ускользнули от управления.
Get-AzureADDevice -All $true -Filter "startswith(DeviceOSType,'Windows') and DeviceTrustType eq 'AzureAd'" | Where-Object {-not $_.IsManaged}
У меня была аналогичная проблема с «бесхозными» неуправляемыми устройствами в Azure AD. На самом деле это довольно серьезная проблема, и нет никаких признаков того, что она существует, пока не произойдет что-то странное, например, пользователь не сможет получить последние обновления политики или приложения. По моему опыту, у нас было около 3% от общего числа ПК (из 4000), затронутых этим. Кстати, служба поддержки Microsoft Premier не смогла определить основную причину или вернуть ПК в управление и предложила переустановить ОС. Но, возможно, ваша проблема в другом.
В любом случае, вернемся к решению. Для обнаружения бесхозных устройств я использовал аналитику.
По сути, мы должны сделать следующее:
- Получить список активных управляемых устройств из Intune
- Получить список входов в Windows из Azure AD
- Исключить управляемые устройства Intune (1) из списка устройств в журналах входа (2).
Вуаля! Все, что осталось, — это устройства, на которые подписаны, но которые не управляются
Шаг 1. Получите список управляемых устройств из Intune:
- Перейдите вIntune > Устройство > Устройства Windowsи экспортируйте список
- Извлеките файл CSV из ZIP
Шаг 2. Извлеките имена устройств из журналов входа:
- Перейдите кAzure AD | Журналы входа. Установите Датана
1 месяц. Фильтровать по Приложение=Вход в Windows. - Нажмите [Загрузить]> Загрузите JSONи сохраните файл
InteractiveSignIns*.jsonна диск - Запустите Excel. Нажмите Данные(вкладка) — Получить данные> Из файла> Из JSON.Загрузите файл данных
- . Затем нажмите В таблицув меню Преобразовать(вкладка) > Преобразовать, оставьте значения по умолчанию и нажмите [OK]
- Вы получите один столбец с именем
Column1, выберите столбец, перейдите к Transform(вкладка) и нажмите [Expand]. Нажмите [OK] - Прокрутите, пока не найдете столбец с именем
Column1.deviceDetailи разверните его так же, как вы только что сделали с другим - Нажмите [Закрыть и загрузить ]
Прямо сейчас у вас есть список имен компьютеров в столбце Column1.deviceDetail.displayName. Хотя использование имени устройства не является надежным на 100%, мы ищем здесь аномалии. Поэтому мы не можем слишком полагаться на идентификаторы или флаг isManaged. Использование имен — безопасная ставка. Имейте в виду, что иногда имена устройств могут меняться, поэтому в итоге в вашем списке могут быть ложные срабатывания. Но это гарантирует, что вы не пропустите ни одного потерянного устройства.
Шаг 3. Объедините данные
- Используя тот же файл Excel, который вы использовали для извлечения данных о входе в систему, нажмите Данные(вкладка) — [Из текста/CSV]. Загрузите CSV-файл
Devices*.csv, полученный ранее от Intune. Нажмите [Загрузить] - Затем, выбрав одну из таблиц, перейдите к Запрос(вкладка) и нажмите [Объединить]
- В окне Объединитьпервая выбранная таблица должна быть
InteractiveSignins.... Выберите столбец Column1.deviceDetail.displayName - Выберите
Устройства...во втором раскрывающемся списке выберите Имя устройства столбец - Для Тип присоединения выберите Левое анти-
- Нажмите [Закрыть и загрузить ]
Поздравляю! В таблице Merge1будут логины с возможных бесхозных устройств Azure AD
Для простоты я использовал Excel и ручную загрузку данных.
В моем случае я потратил больше времени на автоматизацию загрузки данных, преобразование и визуализацию с помощью Power BI, потому что количество потерянных устройств медленно росло. Так что их выявление и исправление оказалось повторяющейся задачей