Správa identit zařízení pomocí webu Azure Portal

Azure Active Directory (Azure AD) poskytuje centrální místo pro správu identit zařízení a monitorování souvisejících informací o událostech.

Screenshot that shows the devices overview in the Azure portal.

K přehledu zařízení se dostanete provedením těchto kroků:

  1. Přihlaste se k webu Azure Portal.
  2. Přejděte nazařízeníAzure Active Directory>.

V přehledu zařízení můžete zobrazit celkový počet zařízení, zastaralých zařízení, nevyhovujících zařízení a nespravovaných zařízení. Najdete také odkazy na Intune, podmíněný přístup, klíče BitLockeru a základní monitorování.

Počty zařízení na stránce přehledu se neaktualizují v reálném čase. Změny by se měly projevit každých několik hodin.

Odtud můžete přejít na Všechna zařízení :

  • Identifikovat zařízení, mezi která patří:
    • Zařízení, která byla připojena nebo registrována ve službě Azure AD.
    • Zařízení nasazená přes Windows Autopilot.
    • Tiskárny, které používají univerzální tisk.
  • Dokončete úlohy správy identit zařízení, jako je povolení, zakázání, odstranění a správa.
    • Možnosti správy pro tiskárny a Windows Autopilot jsou omezené v Azure AD. Tato zařízení musí být spravovaná z příslušných rozhraní pro správu.
  • Konfigurovat nastavení identity zařízení.
  • Povolení nebo zakázání podnikového roamingu stavu
  • Kontrolovat protokoly auditu související se zařízením.
  • Stáhněte si zařízení.

Screenshot that shows the All devices view in the Azure portal.

Tip

  • Hybridní zařízení azure AD připojená k Windows 10 nebo novějším nemají vlastníka. Pokud hledáte zařízení podle vlastníka a nenajdete ho, vyhledejte id zařízení.

  • Pokud se v zaregistrovaném sloupci zobrazí zařízení, které je připojené k hybridní službě Azure AD se stavem Čeká na vyřízení, zařízení se synchronizuje z Azure AD Connect a čeká na dokončení registrace od klienta. Podívejte se, jak naplánovat implementaci připojení k hybridní službě Azure AD. Další informace najdete v tématu Nejčastější dotazy ke správě zařízení.

  • U některých zařízení s iOSem můžou názvy zařízení obsahující apostrofy používat různé znaky, které vypadají jako apostrofy. Takže hledání takových zařízení je trochu složité. Pokud se nezobrazují správné výsledky hledání, ujistěte se, že vyhledávací řetězec obsahuje odpovídající znak apostrofu.

Správa zařízení Intune

Pokud máte práva ke správě zařízení v Intune, můžete spravovat zařízení, pro která je správa mobilních zařízení uvedená jako Microsoft Intune. Pokud zařízení není zaregistrované v Microsoft Intune, nebude možnost Spravovat dostupná.

Povolení nebo zakázání zařízení Azure AD

Zařízení můžete povolit nebo zakázat dvěma způsoby:

  • Panel nástrojů na stránce Všechna zařízení po výběru jednoho nebo více zařízení
  • Panel nástrojů po přechodu k podrobnostem konkrétního zařízení

Důležité

  • Abyste mohli zařízení povolit nebo zakázat, musíte být globálním správcem, správcem Intune nebo správcem cloudového zařízení v Azure AD.
  • Zakázáním zařízení zabráníte v ověřování přes Azure AD. Zabráníte tomu v přístupu k prostředkům Azure AD, které jsou chráněné podmíněným přístupem na základě zařízení, a z používání přihlašovacích údajů Windows Hello pro firmy.
  • Zakázání zařízení odvolá primární obnovovací token (PRT) a všechny obnovovací tokeny na zařízení.
  • Tiskárny nejde v Azure AD povolit ani zakázat.

Odstranění zařízení Azure AD

Zařízení můžete odstranit dvěma způsoby:

  • Panel nástrojů na stránce Všechna zařízení po výběru jednoho nebo více zařízení
  • Panel nástrojů po přechodu k podrobnostem konkrétního zařízení

Důležité

  • Abyste mohli zařízení odstranit, musíte být správcem cloudového zařízení, správcem Intune, správcem Windows 365 nebo globálním správcem v Azure AD.
  • Tiskárny a zařízení s Windows Autopilot nelze odstranit v Azure AD.
  • Odstranění zařízení:
    • Zabrání mu v přístupu k prostředkům Azure AD.
    • Odebere všechny podrobnosti připojené k zařízení. Například klíče BitLockeru pro zařízení s Windows.
    • Je nerecoverable aktivita. Nedoporučujeme ho, pokud není potřeba.

Pokud je zařízení spravováno jinou autoritou pro správu, jako je Microsoft Intune, nezapomeňte před odstraněním vymazat nebo vyřadit z provozu. Před odstraněním zařízení si přečtěte , jak spravovat zastaralá zařízení .

Zobrazení nebo zkopírování ID zařízení

ID zařízení můžete použít k ověření podrobností o ID zařízení na zařízení nebo k řešení potíží pomocí PowerShellu. Pokud chcete získat přístup k možnosti kopírování, vyberte zařízení.

Screenshot that shows a device ID and the copy button.

Zobrazení nebo kopírování klíčů BitLockeru

Můžete zobrazit a kopírovat klíče BitLockeru, abyste uživatelům umožnili obnovit šifrované jednotky. Tyto klíče jsou dostupné jenom pro zařízení s Windows, která jsou šifrovaná a ukládají své klíče do Azure AD. Tyto klíče najdete při zobrazení podrobností o zařízení výběrem možnosti Zobrazit obnovovací klíč. Výběrem možnosti Zobrazit obnovovací klíč se vygeneruje protokol auditu, který najdete v KeyManagement kategorii.

Screenshot that shows how to view BitLocker keys.

Pokud chcete zobrazit nebo zkopírovat klíče BitLockeru, musíte být vlastníkem zařízení nebo mít jednu z těchto rolí:

  • Správce cloudových zařízení
  • Globální správce
  • Správce helpdesku
  • Správce služby Intune
  • Správce zabezpečení
  • Čtenář zabezpečení

Filtrování seznamu zařízení (Preview)

Dříve můžete seznam zařízení filtrovat pouze podle aktivity a stavu povoleného. V tomto náhledu můžete seznam zařízení filtrovat podle těchto atributů zařízení:

  • Povolený stav
  • Stav vyhovující předpisům
  • Typ připojení (připojený k Azure AD, připojení k hybridní službě Azure AD, zaregistrovaná služba Azure AD)
  • Časové razítko aktivity
  • Operační systém
  • Typ zařízení (tiskárna, zabezpečený virtuální počítač, sdílené zařízení, zaregistrované zařízení)

Povolení funkce filtrování náhledu v zobrazení Všechna zařízení :

  1. Přihlaste se k webu Azure Portal.

  2. Přejděte nazařízeníAzure Active Directory>.

  3. Vyberte banner s informacemi o vylepšeních filtrování nových zařízení. Kliknutím povolíte náhled.

    Enable filtering preview functionality

Teď můžete přidat filtry do zobrazení Všechna zařízení .

Stažení zařízení

Globální čtenáři, správci cloudových zařízení, správci Intune a globální správci můžou pomocí možnosti Stáhnout zařízení exportovat soubor CSV se seznamem zařízení. Filtry můžete použít k určení zařízení, která se mají zobrazit. Pokud nepoužíváte žádné filtry, zobrazí se všechna zařízení. Úloha exportu může běžet po dobu jedné hodiny v závislosti na vašich výběrech. Pokud úloha exportu překročí 1 hodinu, selže a žádný soubor není výstupem.

Exportovaný seznam obsahuje tyto atributy identity zařízení:

accountEnabled, approximateLastLogonTimeStamp, deviceOSType, deviceOSVersion, deviceTrustType, dirSyncEnabled, displayName, isCompliant, isManaged, lastDirSyncTime, objectId, profileType, registeredOwners, systemLabels, registrationTime, mdmDisplayName

Konfigurace nastavení zařízení

Pokud chcete spravovat identity zařízení pomocí webu Azure Portal, musí být zařízení zaregistrovaná nebo připojená k Azure AD. Jako správce můžete řídit proces registrace a připojování zařízení konfigurací následujících nastavení zařízení.

Abyste mohli zobrazit nebo spravovat nastavení zařízení na webu Azure Portal, musíte mít přiřazenou jednu z následujících rolí:

  • Globální správce
  • Správce cloudových zařízení
  • Globální čtenář
  • Čtenář adresáře

Screenshot that shows device settings related to Azure AD.

  • Uživatelé se můžou připojit k Azure AD: Toto nastavení umožňuje vybrat uživatele, kteří můžou svá zařízení zaregistrovat jako zařízení připojená k Azure AD. Výchozí hodnota je Vše.

    Poznámka

    Uživatelé se můžou připojit k nastavení Azure AD jenom pro připojení ke službě Azure AD ve Windows 10 nebo novějším. Toto nastavení se nevztahuje na hybridní zařízení připojená k Azure AD, virtuální počítače připojené k Azure AD v Azure nebo zařízení připojená k Azure AD, která používají režim samoobslužného nasazení Windows Autopilot , protože tyto metody fungují v bezuživatelovém kontextu.

  • Další místní správci na zařízeních připojených k Azure AD: Toto nastavení umožňuje vybrat uživatele, kteří mají na zařízení udělená práva místního správce. Tito uživatelé se přidají do role Správci zařízení v Azure AD. Globální správci v Azure AD a vlastníci zařízení mají ve výchozím nastavení udělená oprávnění místního správce. Tato možnost je možnost premium edition dostupná prostřednictvím produktů, jako je Azure AD Premium a Enterprise Mobility + Security.

  • Uživatelé můžou zaregistrovat svá zařízení v Azure AD: Toto nastavení je potřeba nakonfigurovat tak, aby uživatelé mohli zaregistrovat zařízení s Windows 10 nebo novějšími osobními, iOS, Androidem a macOS ve službě Azure AD. Pokud vyberete Možnost Žádné, zařízení se nemůžou zaregistrovat ve službě Azure AD. Registrace pomocí Microsoft Intune nebo správy mobilních zařízení pro Microsoft 365 vyžaduje registraci. Pokud jste nakonfigurovali některou z těchto služeb, je vybraná možnost ALL a funkce NONE není k dispozici.

  • Vyžadovat vícefaktorové ověřování k registraci nebo připojení zařízení ve službě Azure AD: Toto nastavení umožňuje určit, jestli se uživatelé musí k připojení nebo registraci svých zařízení do Azure AD vyžadovat další ověřovací faktor. Výchozí hodnota je Ne. Doporučujeme, abyste při registraci nebo připojení zařízení vyžadovali vícefaktorové ověřování. Před povolením vícefaktorového ověřování pro tuto službu je nutné zajistit, aby vícefaktorové ověřování bylo nakonfigurováno pro uživatele, kteří registrují svá zařízení. Další informace o službách Azure AD Multi-Factor Authentication najdete v tématu Začínáme se službou Azure AD Multi-Factor Authentication. Toto nastavení nemusí fungovat s zprostředkovateli identity třetích stran.

    Poznámka

    Vyžadovat vícefaktorové ověřování k registraci nebo připojení zařízení pomocí nastavení Azure AD platí pro zařízení, která jsou připojená k Azure AD (s některými výjimkami) nebo zaregistrovaná ve službě Azure AD. Toto nastavení se nevztahuje na zařízení připojená k hybridní službě Azure AD, virtuální počítače připojené k Azure AD v Azure nebo zařízení připojená k Azure AD, která používají režim samoobslužného nasazení Windows Autopilot.

    Důležité

    • Doporučujeme v podmíněném přístupu vynutit vícefaktorové ověřování pro připojení nebo registraci zařízení pomocí akce Zaregistrovat nebo připojit zařízení .
    • Pokud používáte zásady podmíněného přístupu k vyžadování vícefaktorového ověřování, musíte toto nastavení nakonfigurovat na ne .
  • Maximální počet zařízení: Toto nastavení umožňuje vybrat maximální počet zařízení připojených k Azure AD nebo zařízení zaregistrovaných v Azure AD, která může mít uživatel v Azure AD. Pokud uživatelé dosáhnou tohoto limitu, nemůžou přidat více zařízení, dokud se neodeberou některá z existujících zařízení. Výchozí hodnota je 50. Můžete zvýšit hodnotu až o 100. Pokud zadáte hodnotu nad 100, Azure AD ji nastaví na 100. Omezení můžete použít také k vynucení žádného limitu kromě stávajících limitů kvót.

    Poznámka

    Maximální počet zařízení se vztahuje na zařízení připojená k Azure AD nebo zaregistrovaná ve službě Azure AD. Toto nastavení se nevztahuje na zařízení připojená k hybridní službě Azure AD.

  • Enterprise State Roaming: Informace o tomto nastavení najdete v článku s přehledem.

Protokoly auditu

Aktivity zařízení jsou viditelné v protokolech aktivit. Mezi tyto protokoly patří aktivity aktivované službou registrace zařízení a uživateli:

  • Vytvoření zařízení a přidání vlastníků/uživatelů do zařízení
  • Změny nastavení zařízení
  • Operace zařízení, jako je odstranění nebo aktualizace zařízení

Vstupním bodem dat auditování jsou protokoly auditu v části Aktivita na stránce Zařízení .

Protokol auditu má výchozí zobrazení seznamu, které ukazuje:

  • Datum a čas výskytu.
  • Cíle.
  • Iniciátor/aktér aktivity.
  • Aktivita.

Screenshot that shows a table in the Activity section of the Devices page. The table shows the date, target, actor, and activity for four audit logs.

Zobrazení seznamu můžete přizpůsobit výběrem možnosti Sloupce na panelu nástrojů:

Screenshot that shows the toolbar of the Devices page.

Pokud chcete omezit hlášená data na úroveň, která vám vyhovuje, můžete je filtrovat pomocí těchto polí:

  • Kategorie
  • Typ prostředku aktivity
  • Aktivita
  • Rozsah dat
  • Cíl
  • Inicioval (actor)

Můžete také vyhledat konkrétní položky.

Screenshot that shows audit data filtering controls.

Další kroky