Pot fi necesar ca PC-urile Autopilot să fie gestionate prin Intune?

După ce a avut recent Intune Acțiunea de ștergere nu reușește să ștergeți computerele deși elimină PC-ul din Intune, mă tem că am putea avea mai multe PC-uri neadministrate, dar complet funcționale în domeniu. Există vreo modalitate de a solicita ca un computer cu pilotaj automat să fie gestionat Intune, fie prin reînscrierea automată în Intune (de preferință), fie făcând evident că există o problemă? Și, există o modalitate de a găsi PC-uri care au scăpat de a fi gestionate?

eu a întrebat asta pe Reddit iar răspunsul a fost să folosești Accesul condiționat. Totuși, tot ceea ce găsesc în ceea ce privește Accesul condiționat înseamnă utilizarea „Solicitați ca un dispozitiv să fie marcat ca compatibil„. Aceasta va fi o problemă, până când vom încerca să aducem peste 500 de computere înapoi în conformitate. Acestea au fost găsite după crearea unor politici de conformitate foarte rezonabile, în timp ce mutăm încet PC-urile construite și realizate manual de Configuration Manager pentru a fi complet Intune. a reușit.

Cel mai aproape am ajuns să găsesc cel negestionat a fost următoarea interogare Powershell. Din păcate, un Intune Wipe de succes pune un computer în aceeași stare ca și cei pe care îi caut. Deci, majoritatea PC-urilor returnate sunt probabil PC-uri așezate pe un raft care așteaptă să fie redistribuite. Deoarece obiectele Azure AD create de un import Autopilot încep ca neactivate, un gând pe care l-am avut a fost să dezactivez toate dispozitivele returnate de această interogare. Acest lucru ar pune conturile mașinilor așezate pe un raft într-o poziție mai sigură ȘI ar sparge mașinile care au scăpat de conducere.

Get-AzureADDevice -All $true -Filter „startswith(DeviceOSType,'Windows') and DeviceTrustType eq 'AzureAd'” | Unde-Obiect {-nu $_.IsManaged}

Am avut o problemă similară cu dispozitivele „orfane” neadministrate în Azure AD. Aceasta este de fapt o problemă destul de gravă și nu există nicio indicație că există până când se întâmplă ceva ciudat, cum ar fi utilizatorul nu poate obține cele mai recente actualizări ale politicilor sau aplicații. Din experiența mea, am avut ~3% din populația totală de PC (din 4000) afectată de acest lucru. Btw, asistența Microsoft Premier nu a putut identifica o cauză principală sau nu a reușit să readucă PC-urile la management și a propus să reinstalăm sistemul de operare. Dar poate problema ta este diferită.

Oricum, revenim la soluție. Pentru a detecta dispozitivele orfane am folosit analize.

Practic, trebuie să facem asta:

1. Obțineți lista de dispozitive active gestionate de la Intune
2. Obțineți lista de conectări Windows de la Azure AD
3. Eliminați dispozitivele Intune gestionate (1) din lista de dispozitive din jurnalele de conectare (2).

Voila! Tot ceea ce a mai rămas sunt dispozitive la care se semnează, dar nu sunt gestionate

Pasul 1: Obțineți lista de dispozitive gestionate de la Intune:

• Mergi la Intune > Dispozitiv > Dispozitive Windows și exportați lista
• Extrageți fișierul CSV din ZIP

Pasul 2: extrageți numele dispozitivelor din jurnalele de conectare:

• Mergi la Azure AD | Jurnalele de conectare. A stabilit Data la 1 lună. Filtreaza dupa Aplicație = Conectați-vă Windows.
• Clic [Descarca] > Descărcați JSON și salvați InteractiveSignIns*.json fișier pe disc
• Lansa excela. Clic Date (filă) - Obțineți date > Din fisier > Din JSON. Încărcați fișierul dvs. de date
• Apoi, faceți clic La masă în Transforma (filă) > Convertit meniu, lăsați valorile implicite și faceți clic [BINE]
• Veți primi o singură coloană numită Coloana 1, selectați coloana, accesați Transforma (filă) și faceți clic [Extinde]. Clic [BINE]
• Derulați până când găsiți coloana numită Column1.deviceDetail și extinde-l și el în același mod în care tocmai ai făcut-o cu celălalt
• Clic [Închidere și încărcare]

În acest moment aveți lista de nume de computere Column1.deviceDetail.displayName coloană. Deși utilizarea numelui dispozitivului nu este 100% fiabilă, căutăm anomalii aici. Deci nu ne putem baza prea mult pe legitimații sau este Gestionat steag. Folosirea numelor este un pariu sigur. Rețineți că uneori numele dispozitivelor se pot schimba, așa că, în cele din urmă, lista dvs. ar putea avea unele fals pozitive. Dar acest lucru vă asigură că nu veți rata niciun dispozitiv orfan

Pasul 3: Îmbinați datele

• Folosind același fișier Excel pe care l-ați folosit pentru a extrage datele de conectare - faceți clic Date (filă) - [Din text/CSV]. Încărcați fișierul CSV Dispozitive*.csv ai primit de la Intune înainte. Clic [Sarcină]
• Apoi, cu unul dintre tabele selectat, accesați Interogare (filă) și faceți clic [Combina]
• În Combina dialog primul tabel selectat ar trebui să fie Interactive Signins.... Selectați coloana Column1.deviceDetail.displayName
• Alege Dispozitive... tabelul din al doilea drop-down, selectați Nume dispozitiv coloană
• Pentru Alătură-te lui Kind Selectați Anti stânga
• Clic [Închidere și încărcare]

Felicitări! Masa Merge1 va avea autentificări de la posibilele dispozitive Azure AD orfane

Am folosit Excel și încărcarea manuală a datelor pentru a simplifica lucrurile.
În cazul meu, am investit mai mult timp pentru a automatiza încărcarea datelor, a face transformări și vizualizări folosind Power BI, deoarece numărul de dispozitive orfane creștea încet. Așa că sa dovedit a fi o sarcină recurentă să le identificăm și să le remediem