最近安装了 Intune 后擦除操作无法擦除 PC尽管它将 PC 从 Intune 中移除,但我担心我们可能会在现场拥有更多未管理但功能齐全的 PC。有没有办法要求自动驾驶 PC 由 Intune 管理,要么自动在 Intune 中重新注册(首选),要么让问题显而易见?还有,有没有办法找到逃脱管理的 PC?
我在 Reddit 上提问答案是使用条件访问。然而,我发现关于条件访问的所有内容都意味着使用“要求将设备标记为合规“政策。这将是一个问题,直到我们努力使 500 多台计算机重新符合法规要求。在制定一些非常合理的合规性政策后,我们发现了这些问题,同时我们慢慢将 Configuration Manager 构建和手工制作的 PC 转移到完全由 Intune 管理。
我最接近找到未管理的方法是以下 Powershell 查询。不幸的是,成功的 Intune Wipe 会使 PC 处于与我正在寻找的状态相同的状态。因此,返回的大多数 PC 可能是放在架子上等待重新部署的 PC。由于 Autopilot 导入创建的 Azure AD 对象开始时未启用,所以我的一个想法是取消启用此查询返回的所有设备。这将使放在架子上的机器的帐户处于更安全的位置,并会破坏逃脱管理的机器。
Get-AzureADDevice -All $true -Filter "startswith(DeviceOSType,'Windows') and DeviceTrustType eq 'AzureAd'" | Where-Object {-not $_.IsManaged}
答案1
我在 Azure AD 中遇到了类似的“孤立”非托管设备问题。这实际上是一个非常严重的问题,并且没有任何迹象表明它存在,直到发生一些奇怪的事情,例如用户无法获取最新的策略更新或应用程序。根据我的经验,我们有大约 3% 的总 PC 数量(共 4000 台)受到此影响。顺便说一句,Microsoft Premier 支持无法确定根本原因或将 PC 重新纳入管理,并建议我们重新安装操作系统。但也许你的问题不同。
不管怎样,回到解决方案。为了检测孤立设备,我使用了分析技术。
基本上,我们必须这样做:
- 从 Intune 获取活动托管设备列表
- 从 Azure AD 获取 Windows 登录列表
- 从登录日志 (2) 中的设备列表中删除托管的 Intune 设备 (1)。
瞧!剩下的都是已签名但尚未管理的设备
步骤 1:从 Intune 获取托管设备列表:
- 去Intune > 设备 > Windows 设备并导出列表
- 从 ZIP 中提取 CSV 文件
第 2 步:从登录日志中提取设备名称:
- 去Azure AD | 登录日志。 放日期至
1 month. 筛选条件应用=Windows Sign In。 - 点击[下载]>下载 JSON并将
InteractiveSignIns*.json文件保存到磁盘 - 发射Excel。 点击数据(标签) -获取数据>从文件>来自 JSON. 加载数据文件
- 接下来,点击转至表在转换(标签)>转变菜单,保留默认设置并点击[好的]
- 您将获得一个名为的列
Column1,选择该列,转到转换(标签)并点击[扩张]。 点击[好的] - 滚动直到找到名为的列
Column1.deviceDetail,然后像对另一列执行的操作一样展开它 - 点击[关闭并加载]
现在,您在Column1.deviceDetail.displayName列中列出了计算机名称。虽然使用设备名称并非 100% 可靠,但我们在这里寻找异常。所以我们不能过分依赖 ID 或isManaged标志。使用名称是一种安全的选择。请记住,有时设备名称可能会发生变化,因此最终您的列表可能会出现一些误报。但这可以确保您不会错过任何孤立设备
步骤 3:合并数据
- 使用与提取登录数据相同的 Excel 文件 - 单击数据(标签) -[来自文本/CSV]
Devices*.csv. 加载之前从 Intune 获取的CSV 文件。单击[加载] - 接下来,选择其中一个表,转到询问(标签)并点击[合并]
- 在里面合并对话框中第一个选定的表应该是
InteractiveSignins...。选择列列1.设备详细信息.显示名称 Devices...在第二个下拉列表中选择表,选择设备名称柱子- 为了加入 Kind选择左抗
- 点击[关闭并加载]
恭喜!桌子合并1可能会有来自可能的孤立 Azure AD 设备的登录信息
我使用 Excel 和手动数据加载来简化流程。
就我而言,我投入了更多时间来自动化数据加载、使用 Power BI 进行转换和可视化,因为孤立设备的数量正在缓慢增长。因此,识别和修复它们变成了一项重复的任务