您现在访问的是微软AZURE全球版技术文档网站,若需要访问由世纪互联运营的MICROSOFT AZURE中国区技术文档网站,请访问 https://docs.azure.cn.

使用 Azure 门户管理设备标识

Azure Active Directory (Azure AD) 提供了用于管理设备标识和监视相关事件信息的集中场所。

显示 Azure 门户中设备概览的屏幕截图。

可以通过完成以下步骤访问设备概述:

  1. 登录到 Azure 门户
  2. 转到“Azure Active Directory” > “设备” 。

从设备概述中,可以了解设备总数、陈旧设备、不兼容设备和非管理的设备。 还可以找到指向 Intune、条件访问、BitLocker 密钥和基本监视的链接。

概览页上的设备计数不会实时更新。 更改应每隔几个小时反映一次。

可以从概述页面中访问“所有设备”页,从而执行以下操作:

  • 识别设备,包括:
  • 完成启用、禁用、删除和管理等设备标识管理任务。
    • 打印机Windows Autopilot 的管理选项在 Azure AD 中受限。 这些设备必须从其各自的管理界面进行管理。
  • 配置设备标识设置。
  • 启用或禁用企业状态漫游。
  • 查看与设备相关的审核日志。
  • 下载设备(预览版)。

显示 Azure 门户中“所有设备”视图的屏幕截图。

提示

  • 加入混合 Azure AD 的 Windows 10 设备没有所有者。 如果按所有者查找设备未找到它,请按设备 ID 搜索。

  • 如果在“已注册”列中看到状态为“待定”的“已加入混合 Azure AD 的”设备,则表示该设备已从 Azure AD Connect 同步,正在等待从客户端完成注册 。 请参阅如何规划混合 Azure AD 加入实现。 有关详细信息,请参阅设备管理常见问题解答

  • 对于某些 iOS 设备,包含单引号的设备名可能会使用看起来像单引号的不同字符。 因此,搜索此类设备有些棘手。 如果未看到正确的搜索结果,请确保搜索字符串包含匹配的撇号字符。

管理 Intune 设备

如果你有权在 Intune 中管理设备,则可以管理“移动设备管理”列为“Microsoft Intune”的设备。 如果设备未注册到 Microsoft Intune,则“管理”选项将不可用。

启用或禁用 Azure AD 设备

有两种方法可以启用或禁用设备:

  • 选择一个或多个设备后,使用“所有设备”页面上的工具栏。
  • 在向下钻取特定设备后,使用工具栏。

重要

  • 必须是 Azure AD 中的全局管理员、Intune 管理员或云设备管理员才能启用或禁用设备。
  • 禁用设备会阻止它通过 Azure AD 进行身份验证。 这会阻止它访问受基于设备的条件访问保护的 Azure AD 资源以及使用 Windows Hello 企业版凭据。
  • 禁用设备将撤销该设备上的主刷新令牌 (PRT) 和任何刷新令牌。
  • 无法在 Azure AD 中启用或禁用打印机。

删除 Azure AD 设备

有两种方法可以删除设备:

  • 选择一个或多个设备后,使用“所有设备”页面上的工具栏。
  • 在向下钻取特定设备后,使用工具栏。

重要

  • 必须是 Azure AD 中的云设备管理员、Intune 管理员或全局管理员才能删除设备。
  • 无法在 Azure AD 中删除打印机和 Windows Autopilot 设备。
  • 删除设备:
    • 阻止它访问 Azure AD 资源。
    • 删除附加到设备的所有详细信息。 例如,Windows 设备的 BitLocker 密钥。
    • 是不可恢复的活动。 除非需要,否则不建议这样做。

如果设备由另一管理机构(如 Microsoft Intune)管理,请确保删除设备前,已擦除或停用该设备。 删除设备之前,请参阅如何管理陈旧设备

查看或复制设备 ID

可以使用设备 ID 来验证设备上的设备 ID 详细信息或通过 PowerShell 进行故障排除。 要访问复制选项,请选择设备。

显示设备 ID 和复制按钮的屏幕截图。

查看或复制 BitLocker 密钥

可以查看和复制 BitLocker 密钥以允许用户恢复加密驱动器。 这些密钥仅适用于已加密并将其密钥存储在 Azure AD 中的 Windows 设备。 可以在查看设备详细信息时通过选择“显示恢复密钥”找到这些密钥。 选择“显示恢复密钥”会生成一个审核日志,可以在 KeyManagement 类别中找到该日志。

显示如何查看 BitLocker 密钥的屏幕截图。

若要查看或复制 BitLocker 密钥,你需要是设备所有者或者是具有以下其中一个角色的用户:

  • 云设备管理员
  • 全局管理员角色
  • 支持管理员
  • Intune 服务管理员
  • 安全管理员
  • 安全读取者

设备列表筛选(预览版)

以前,只能按活动和启用状态筛选设备列表。 在此预览版中,可以按以下设备属性筛选设备列表:

  • 已启用状态
  • 合规状态
  • 联接类型(已加入 Azure AD、已加入混合 Azure AD、已注册 Azure AD)
  • 活动时间戳
  • OS
  • 设备类型(打印机、安全 VM、共享设备、已注册设备)

若要在“所有设备”视图中启用预览筛选功能,请执行以下操作:

  1. 登录到 Azure 门户

  2. 转到“Azure Active Directory” > “设备” 。

  3. 选择显示“快来试用新改进的设备筛选体验。单击即可启用预览体验。”的横幅

    启用筛选预览功能

现在可以向“所有设备”视图中添加筛选器。

下载设备(预览)

云设备管理员、Intune 管理员和全局管理员可以使用“下载设备(预览版)”选项导出列出设备的 CSV 文件。 可以应用筛选器来确定要列出哪些设备。 如果未应用任何筛选器,将列出所有设备。 导出任务可能会运行长达一个小时,具体取决于你的选择。

导出的列表包含以下设备标识属性:

accountEnabled, approximateLastLogonTimeStamp, deviceOSType, deviceOSVersion, deviceTrustType, dirSyncEnabled, displayName, isCompliant, isManaged, lastDirSyncTime, objectId, profileType, registeredOwners, systemLabels, registrationTime, mdmDisplayName

配置设备设置

若要使用 Azure 门户管理设备标识,设备需要已注册或已加入 Azure AD。 作为管理员,可以通过配置以下设备设置来控制注册和加入设备的过程。

若要查看或管理 Azure 门户中的设备设置,必须分配有以下角色之一:

  • 全局管理员角色
  • 云设备管理员
  • 全局读取者
  • 目录读取者

显示与 Azure AD 相关的设备设置的屏幕截图。

  • 用户可将设备加入 Azure AD:可通过此设置选择可以将其设备注册为已加入 Azure AD 的设备的用户。 默认值是 All

    备注

    “用户可将设备加入 Azure AD”设置仅适用于 Windows 10 上的 Azure AD 加入。 此设置不适用于加入混合 Azure AD 的设备、Azure 中已加入 Azure AD 的 VM 或使用 Windows Autopilot 自部署模式的已加入 Azure AD 的设备,因为这些方法在无用户上下文中起作用。

  • 已加入 Azure AD 设备上的其他本地管理员:通过此设置可选择在设备上被授予本地管理员权限的用户。 这些用户将添加到 Azure AD 中的设备管理员角色。 默认情况下,Azure AD 中的全局管理员和设备所有者均具有本地管理员权限。 此选项属于高级版功能,通过 Azure AD Premium 或企业移动性 + 安全性等产品提供。

  • 用户可向 Azure AD 注册其设备:需要配置此设置,以允许用户向 Azure AD 注册 Windows 10 Personal、iOS、Android 和 macOS 设备。 如果选择“无”,则不允许向 Azure AD 注册设备。 登记到 Microsoft Intune 或适用于 Microsoft 365 的移动设备管理需要进行注册。 如果已配置其中的任一服务,则会选中“全部”且“无”不可用 。

  • 需要进行多重身份验证才能向 Azure AD 注册或加入设备:通过此设置可指定是否需要用户提供额外的身份验证因素才能将其设备加入或注册到 Azure AD。 默认值为 No。 建议在注册或加入设备时要求进行多重身份验证。 为此设备启用多重身份验证前,必须确保已针对注册其设备的用户配置多重身份验证。 有关 Azure AD 多重身份验证服务的详细信息,请参阅 Azure AD 多重身份验证入门

    备注

    “需要进行多重身份验证才能向 Azure AD 注册或加入设备”设置适用于已加入 Azure AD(但有一些例外)或已注册 Azure AD 的设备。 此设置不适用于加入混合 Azure AD 的设备、Azure 中已加入 Azure AD 的 VM 或使用 Windows Autopilot 自部署模式的已加入 Azure AD 的设备。

    重要

    • 建议使用条件访问中的“注册或加入设备”用户操作来强制执行多重身份验证,以加入或注册设备。
    • 如果你使用要求多重身份验证的条件访问策略,则必须将此设置配置为“否”。
  • 最大设备数:通过此设置可选择用户在 Azure AD 中可以拥有的已加入 Azure AD 或已注册 Azure AD 的最大设备数。 如果用户达到此限制,则必须先删除一个或多个现有设备,然后才可添加其他设备。 默认值为“50” 。 可以将值增至 100。 如果输入的值大于 100,Azure AD 会将其设置为 100。 还可以使用“Unlimited”来强制实施无限制的配额限制,而非现有的配额限制。

    备注

    最大设备数设置适用于已加入 Azure AD 或已注册 Azure AD 的所有设备。 此设置不适用于已联接混合 Azure AD 的设备。

  • 企业状态漫游:有关此设置的信息,请参阅概述文章

审核日志

设备活动在活动日志中可见。 这些日志包括由设备注册服务或用户触发的活动:

  • 创建设备并在设备上添加所有者/用户
  • 更改设备设置
  • 删除设备或更新设备等设备操作

审核数据的入口点为“设备”页的“活动”部分中的“审核日志” 。

审核日志有一个默认列表视图,用于显示:

  • 匹配项的日期和时间。
  • 目标。
  • 活动的发起者/参与者。
  • 活动。

在“设备”页的“活动”部分显示表格的屏幕截图。该表显示四个审核日志的日期、目标、参与者和活动。

选择工具栏中的“列”可以自定义列表视图:

显示“设备”页工具栏的屏幕截图。

要将所报告数据减少到适当的级别,可以使用以下字段对其进行筛选:

  • 类别
  • 活动资源类型
  • 活动
  • 日期范围
  • Target
  • 发起者(参与者)

还可以搜索特定条目。

显示审核数据筛选控件的屏幕截图。

后续步骤