После того, как недавно действие Intune Wipe не смогло очистить компьютеры , хотя оно и удалило компьютер из Intune, я беспокоюсь, что у нас может быть больше неуправляемых, но полностью функциональных компьютеров в полевых условиях. Есть ли способ потребовать, чтобы компьютер с автопилотом управлялся с помощью Intune, либо автоматически повторно зарегистрировав его в Intune (предпочтительно), либо сделав очевидным наличие проблемы? И есть ли способ найти компьютеры, вышедшие из-под контроля?

Я спросил об этом на Reddit , и ответ был использовать условный доступ. Однако все, что я нахожу в отношении условного доступа, означает использование политики « Требовать, чтобы устройство было помечено как соответствующее ». Это будет проблемой, пока мы не вернем в соответствие более 500 компьютеров. Они были обнаружены после создания некоторых очень разумных политик соответствия, в то время как мы постепенно переводим ПК, созданные с помощью Configuration Manager и изготовленные вручную, на полное управление Intune.

Ближе всего к поиску неуправляемого я подошел к следующему запросу Powershell. К сожалению, успешная очистка Intune приводит компьютер в то же состояние, что и те, которые я ищу. Таким образом, большинство возвращенных ПК, скорее всего, лежат на полке в ожидании повторного развертывания. Поскольку объекты Azure AD, созданные с помощью импорта Autopilot, начинаются как неактивные, у меня возникла мысль отключить все устройства, возвращаемые этим запросом. Это поместит учетные записи машин, стоящих на полке, в более безопасное положение И сломает машины, которые ускользнули от управления.

Get-AzureADDevice -All $true -Filter "startswith(DeviceOSType,'Windows') and DeviceTrustType eq 'AzureAd'"  | Where-Object {-not $_.IsManaged}
answer

У меня была аналогичная проблема с «сиротскими» неуправляемыми устройствами в Azure AD. На самом деле это довольно серьезная проблема, и нет никаких признаков того, что она существует, пока не произойдет что-то странное, например, пользователь не сможет получить последние обновления политики или приложения. По моему опыту, у нас было около 3% от общего числа ПК (из 4000), затронутых этим. Кстати, служба поддержки Microsoft Premier не смогла определить основную причину или вернуть ПК в управление и предложила переустановить ОС. Но, возможно, ваша проблема в другом.

Впрочем, вернемся к решению. Для обнаружения бесхозных устройств я использовал аналитику.

По сути, мы должны сделать это:

  1. Получите список активных управляемых устройств из Intune.
  2. Получите список входов в Windows из Azure AD.
  3. Удалите управляемые устройства Intune (1) из списка устройств в журналах входа (2).

Вуаля! Все, что осталось, это устройства, на которые подписаны, но не управляются

Шаг 1. Получите список управляемых устройств из Intune:

Шаг 2. Извлеките имена устройств из журналов входа:

  • Перейти к Azure AD | Журналы входа . Установите дату на 1 month. Фильтр по приложению = Windows Sign In.
  • Нажмите [Загрузить] > Загрузить JSON и сохранить InteractiveSignIns*.jsonфайл на диск.
  • Запустите Эксель . Нажмите « Данные » (вкладка) — «Получить данные » > « Из файла» > « Из JSON » . Загрузите файл данных
  • Затем нажмите «В таблицу » в меню « Преобразование » (вкладка) > « Преобразовать », оставьте значения по умолчанию и нажмите [ОК].
  • Вы получите один столбец с именем Column1, выберите столбец, перейдите в Transform (вкладка) и нажмите [Expand] . Нажмите [ОК]
  • Прокрутите, пока не найдете столбец с именем, Column1.deviceDetailи разверните его так же, как вы только что сделали с другим.
  • Нажмите [Закрыть и загрузить]

Прямо сейчас у вас есть список имен компьютеров в Column1.deviceDetail.displayNameстолбце. Хотя использование имени устройства не является надежным на 100%, здесь мы ищем аномалии. Поэтому мы не можем слишком полагаться на идентификаторы или isManagedфлаги. Использование имен — безопасная ставка. Имейте в виду, что иногда имена устройств могут меняться, поэтому в итоге в вашем списке могут быть ложные срабатывания. Но это гарантирует, что вы не пропустите ни одного потерянного устройства.

Шаг 3. Объедините данные

  • Используя тот же файл Excel, который вы использовали для извлечения данных о входе в систему, нажмите «Данные » (вкладка) — [Из текста/CSV] . Загрузите CSV-файл Devices*.csv, полученный ранее из Intune. Нажмите [Загрузить]
  • Затем, выбрав одну из таблиц, перейдите на вкладку « Запрос » и нажмите [Объединить] .
  • В диалоговом окне Merge первой выбранной таблицей должна быть InteractiveSignins.... Выберите столбец Column1.deviceDetail.displayName
  • Выберите Devices...таблицу во втором раскрывающемся списке, выберите столбец имени устройства .
  • Для типа соединения выберите Left Anti
  • Нажмите [Закрыть и загрузить]

Поздравляю! В таблице Merge1 будут логины с возможных бесхозных устройств Azure AD .

Я использовал Excel и ручную загрузку данных, чтобы упростить задачу.
В моем случае я потратил больше времени на автоматизацию загрузки данных, преобразование и визуализацию с помощью Power BI, потому что количество потерянных устройств медленно росло. Таким образом, возникла повторяющаяся задача по их выявлению и устранению.