Могут ли компьютеры Autopilot требоваться для управления Intune?

После недавнего использования Intune Очистка действия не приводит к очистке ПК хотя он удаляет ПК из Intune, я беспокоюсь, что у нас может быть больше неуправляемых, но полностью функциональных ПК в полевых условиях. Есть ли способ потребовать, чтобы ПК с автопилотом управлялся с помощью Intune, либо автоматически повторно зарегистрировав его в Intune (предпочтительно), либо сделав очевидным наличие проблемы? И есть ли способ найти компьютеры, вышедшие из-под контроля?

я спросил это на Reddit и ответ заключался в использовании условного доступа. Однако все, что я нахожу в отношении условного доступа, означает использование "Требовать, чтобы устройство было помечено как совместимое". Это будет проблемой до тех пор, пока мы не вернем более 500 компьютеров в соответствие с требованиями. Они были обнаружены после создания нескольких очень разумных политик соответствия, в то время как мы постепенно переводим ПК, созданные с помощью Configuration Manager и изготовленные вручную, на полностью Intune удалось.

Ближе всего к поиску неуправляемого я подошел к следующему запросу Powershell. К сожалению, успешная очистка Intune приводит компьютер в то же состояние, что и те, которые я ищу. Таким образом, большинство возвращенных ПК, скорее всего, лежат на полке в ожидании повторного развертывания. Поскольку объекты Azure AD, созданные с помощью импорта Autopilot, начинаются как неактивные, у меня возникла мысль отключить все устройства, возвращаемые этим запросом. Это поместит учетные записи машин, стоящих на полке, в более безопасное положение И сломает машины, которые ускользнули от управления.

Get-AzureADDevice -All $true -Filter "startswith(DeviceOSType,'Windows') и DeviceTrustType eq 'AzureAd'" | Где-объект {-не $_.IsManaged}

У меня была аналогичная проблема с «сиротскими» неуправляемыми устройствами в Azure AD. На самом деле это довольно серьезная проблема, и нет никаких признаков того, что она существует, пока не произойдет что-то странное, например, пользователь не сможет получить последние обновления политики или приложения. По моему опыту, у нас было около 3% от общего числа ПК (из 4000), затронутых этим. Кстати, служба поддержки Microsoft Premier не смогла определить основную причину или вернуть ПК в управление и предложила переустановить ОС. Но, возможно, ваша проблема в другом.

Впрочем, вернемся к решению. Для обнаружения бесхозных устройств я использовал аналитику.

По сути, мы должны сделать это:

1. Получите список активных управляемых устройств из Intune.
2. Получите список входов в Windows из Azure AD.
3. Удалите управляемые устройства Intune (1) из списка устройств в журналах входа (2).

Вуаля! Все, что осталось, это устройства, на которые подписаны, но не управляются

Шаг 1. Получите список управляемых устройств из Intune:

• Перейти к Intune > Устройство > Устройства Windows и экспортировать список
• Извлечь файл CSV из ZIP

Шаг 2. Извлеките имена устройств из журналов входа:

• Перейти к Azure AD | Журналы входа. Установлен Датировать к 1 месяц. Фильтровать по Применение = Вход в Windows.
• Нажмите [Скачать] > Скачать JSON и сохранить InteractiveSignIns*.json файл на диск
• Запуск Excel. Нажмите Данные (вкладка) - Получить данные > Из файла > Из JSON. Загрузите файл данных
• Далее нажмите К столу в Трансформировать (вкладка) > Конвертировать меню, оставьте значения по умолчанию и нажмите [ХОРОШО]
• Вы получите один столбец с именем Столбец1, выберите столбец, перейдите к Трансформировать (вкладка) и нажмите [Расширять]. Нажмите [ХОРОШО]
• Прокрутите, пока не найдете столбец с именем Столбец1.deviceDetail и расширьте его так же, как вы только что сделали с другим
• Нажмите [Закрыть и загрузить]

Прямо сейчас у вас есть список имен компьютеров в Столбец1.deviceDetail.displayName столбец. Хотя использование имени устройства не является надежным на 100%, здесь мы ищем аномалии. Поэтому мы не можем слишком полагаться на идентификаторы или isManaged флаг. Использование имен — безопасная ставка. Имейте в виду, что иногда имена устройств могут меняться, поэтому в итоге в вашем списке могут быть ложные срабатывания. Но это гарантирует, что вы не пропустите ни одного потерянного устройства.

Шаг 3. Объедините данные

• Используя тот же файл Excel, который вы использовали для извлечения данных о входе в систему, нажмите Данные (вкладка) - [Из текста/CSV]. Загрузить CSV-файл Устройства*.csv вы получили от Intune раньше. Нажмите [Нагрузка]
• Далее, выбрав одну из таблиц, перейдите к Запрос (вкладка) и нажмите [Объединить]
• в Объединить диалоговое окно первая выбранная таблица должна быть Интерактивный вход.... Выберите столбец Столбец1.deviceDetail.displayName
• Выбирать Устройства... во втором раскрывающемся списке выберите Имя устройства столбец
• За Присоединяйтесь к добру Выбрать Левый Анти
• Нажмите [Закрыть и загрузить]

Поздравляю! Таблица Объединить1 будут иметь входы с возможных бесхозных устройств Azure AD.

Я использовал Excel и ручную загрузку данных, чтобы упростить задачу.
В моем случае я потратил больше времени на автоматизацию загрузки данных, преобразование и визуализацию с помощью Power BI, потому что количество потерянных устройств медленно росло. Таким образом, оказалось, что это повторяющаяся задача по их выявлению и устранению.