Máy tính Autopilot có thể được yêu cầu quản lý Intune không?

Sau khi có Intune gần đây Thao tác xóa không thể Xóa PC mặc dù nó xóa PC khỏi Intune, nhưng tôi lo rằng chúng ta có thể có nhiều PC không được quản lý nhưng vẫn đầy đủ chức năng trong lĩnh vực này. Có cách nào để yêu cầu PC Autopiloted phải được quản lý Intune, bằng cách tự động đăng ký lại PC đó trong Intune (ưu tiên) hoặc làm cho nó rõ ràng là có sự cố không? Và, có cách nào để tìm PC đã thoát khỏi sự quản lý không?

Tôi đã hỏi điều này trên Reddit và câu trả lời là sử dụng Truy cập có điều kiện. Tuy nhiên, mọi thứ tôi tìm thấy liên quan đến Truy cập có điều kiện đều có nghĩa là sử dụng "Yêu cầu một thiết bị được đánh dấu là tuân thủ" chính sách. Đây sẽ là một vấn đề, cho đến khi chúng tôi nỗ lực đưa hơn 500 máy tính trở lại tuân thủ. Những vấn đề này được tìm thấy sau khi tạo một số chính sách tuân thủ rất hợp lý, trong khi chúng tôi dần chuyển các PC được chế tạo thủ công và tích hợp Trình quản lý cấu hình sang Intune hoàn toàn được quản lý.

Lần gần nhất tôi tìm thấy phần không được quản lý là truy vấn Powershell sau đây. Thật không may, Intune Wipe thành công sẽ đặt một PC vào trạng thái giống như những gì tôi đang tìm kiếm. Vì vậy, hầu hết các PC được trả lại có khả năng là PC đang nằm trên giá chờ được triển khai lại. Vì các đối tượng Azure AD được tạo bởi quá trình nhập Autopilot bắt đầu không được bật, tôi nghĩ rằng mình đã không bật tất cả các thiết bị do truy vấn này trả về. Điều này sẽ đặt tài khoản của các máy đang nằm trên kệ vào một vị trí an toàn hơn VÀ sẽ phá vỡ các máy đã thoát khỏi sự quản lý.

Get-AzureADDevice -All $true -Filter "startswith(DeviceOSType,'Windows') và DeviceTrustType eq 'AzureAd'" | Where-Object {-not $_.IsManaged}

Tôi gặp vấn đề tương tự với các thiết bị không được quản lý "mồ côi" trong Azure AD. Đây thực sự là một vấn đề khá nghiêm trọng và không có dấu hiệu nào cho thấy nó tồn tại cho đến khi có điều gì đó kỳ lạ xảy ra, chẳng hạn như người dùng không thể nhận các bản cập nhật chính sách hoặc ứng dụng mới nhất. Theo kinh nghiệm của tôi, chúng tôi có ~3% tổng số PC (trong số 4000) bị ảnh hưởng bởi điều này. Nhân tiện, bộ phận hỗ trợ của Microsoft Premier không thể xác định nguyên nhân gốc rễ hoặc đưa PC trở lại chế độ quản lý và đề xuất chúng tôi cài đặt lại hệ điều hành. Nhưng có lẽ vấn đề của bạn là khác nhau.

Dù sao, trở lại giải pháp. Để phát hiện các thiết bị mồ côi, tôi đã sử dụng phân tích.

Về cơ bản, chúng ta phải làm điều này:

1. Nhận danh sách các thiết bị được quản lý đang hoạt động từ Intune
2. Nhận danh sách đăng nhập Windows từ Azure AD
3. Xóa thiết bị Intune được quản lý (1) khỏi danh sách thiết bị trong nhật ký đăng nhập (2).

Thì đấy! Mọi thứ còn lại là các thiết bị đang được đăng nhập nhưng không được quản lý

Bước 1: Nhận danh sách thiết bị được quản lý từ Intune:

• Đi đến Intune > Thiết bị > Thiết bị Windows và xuất danh sách
• Giải nén tệp CSV từ ZIP

Bước 2: Trích xuất tên thiết bị từ nhật ký đăng nhập:

• Đi đến QUẢNG CÁO Azure | Nhật ký đăng nhập. Bộ Ngày tháng đến 1 tháng. Lọc bởi Đăng kí = Đăng nhập Windows.
• Nhấp chuột [Tải xuống] > Tải xuống JSON Và tiết kiệm InteractiveSignIns*.json tập tin vào đĩa
• Phóng Excel. Nhấp chuột Dữ liệu (chuyển hướng) - Lấy dữ liệu > từ tập tin > Từ JSON. Tải tệp dữ liệu của bạn
• Tiếp theo, nhấp vào để bàn Trong Biến đổi (tab) > Chuyển thành menu, để mặc định và nhấp vào [VÂNG]
• Bạn sẽ nhận được một cột duy nhất có tên Cột1, chọn cột, đi đến Biến đổi (tab) và nhấp vào [Mở rộng]. Nhấp chuột [VÂNG]
• Cuộn cho đến khi bạn tìm thấy cột có tên Cột1.deviceChi tiết và mở rộng nó giống như cách bạn vừa làm với cái kia
• Nhấp chuột [Đóng & Tải]

Ngay bây giờ bạn có danh sách tên máy tính trong Cột1.deviceDetail.displayName cột. Mặc dù việc sử dụng tên thiết bị không đáng tin cậy 100% nhưng chúng tôi đang tìm kiếm sự bất thường ở đây. Vì vậy, chúng tôi không thể dựa quá nhiều vào ID hoặc được quản lý lá cờ. Sử dụng tên là một đặt cược an toàn. Hãy nhớ rằng đôi khi tên thiết bị có thể thay đổi, vì vậy cuối cùng danh sách của bạn có thể có một số thông tin sai lệch. Nhưng điều này đảm bảo bạn sẽ không bỏ lỡ một thiết bị mồ côi nào

Bước 3: Hợp nhất dữ liệu

• Sử dụng cùng một tệp Excel mà bạn đã sử dụng để trích xuất dữ liệu đăng nhập - nhấp vào Dữ liệu (chuyển hướng) - [Từ Văn bản/CSV]. Tải tệp CSV Thiết bị*.csv bạn đã nhận được từ Intune trước đó. Nhấp chuột [Trọng tải]
• Tiếp theo, với một trong các bảng được chọn, hãy chuyển đến Truy vấn (tab) và nhấp vào [Hợp nhất]
• bên trong hợp nhất hộp thoại bảng đầu tiên được chọn phải là Đăng nhập tương tác.... Chọn cột Cột1.deviceDetail.displayName
• Nhặt Thiết bị... trong trình đơn thả xuống thứ hai, hãy chọn Tên thiết bị cột
• Vì tham gia loại lựa chọn trái chống
• Nhấp chuột [Đóng & Tải]

Chúc mừng! Cái bàn hợp nhất1 sẽ có thông tin đăng nhập từ các thiết bị Azure AD mồ côi có thể

Tôi đã sử dụng Excel và tải dữ liệu thủ công để đơn giản hóa mọi thứ.
Trong trường hợp của mình, tôi đã đầu tư nhiều thời gian hơn để tự động hóa tải dữ liệu, thực hiện chuyển đổi và trực quan hóa bằng Power BI, vì số lượng thiết bị mồ côi đang tăng dần. Vì vậy, nó trở thành một nhiệm vụ lặp đi lặp lại để xác định và khắc phục chúng