MDM (не Intune) не может сообщать о состоянии соответствия (в Azure AD) устройства, которое в данный момент управляется

Question

Я успешно зарегистрировал устройство (Windows 10 Pro версии 1803) в нашем собственном MDM, аутентифицируя пользователя Azure AD. Далее я должен сообщить Azure AD, что устройство управляется нашим MDM, и именно здесь возникает проблема.

patch, который я делаю, такой же, как в документации https://docs.microsoft.com/en-us/windows/client-management/mdm/azure-active-directory-integration-with-mdm#report-device-compliance-to-azure-ad

Полученная ошибка: Ресурс 'xyz' не существует или отсутствует один из его запрашиваемых объектов ссылочных свойств .

То, что я до сих пор делал, это:

1. На портале Azure AD я добавил приложение MDM OnPremise, установил URL-адрес Условий использования, URL-адрес обнаружения, сгенерировал секрет. Также настроил область действия пользователя MDM на Some и выбрал group, членами которого являются мои пользователи.
2. Вкл. Требуемое разрешение Я проверил, что «Устройства для чтения и записи» в разделе «Разрешения приложений» проверены.
3. Пользователь аутентифицируется (используя учетные данные Azure AD), принимает Условия использования (MDM) и вуаля, все в порядке. Это делается на устройстве в Настройки => Аккаунты => Доступ к работе или учебе => + Подключиться.
4. Во время регистрации я анализирую Bearer Token и извлекаю идентификатор устройства (например, xyz ), который совпадает с идентификатором на портале Azure AD после успешного управления устройством.
5. Чтобы сообщить о соответствии требованиям, я делаю патч как этот

PATCH https://graph.windows.net/mytenant.onmicrosoft.com/devices/xyz?api-version=1.0 HTTP/1.1 Authorization: Bearer eyJ0eXAiO……… Accept: application/json Content-Type: application/json { "isManaged":true, "isCompliant":true }

Но я получил ошибку, описанную выше.

Я также тестировал разные идентификаторы устройств, такие как

• одна Windows 10 отображается на Settigns => System => About.

• Или тот, который присутствует в элементе атрибута ContextItem DeviceID в запросе запроса маркера безопасности во время регистрации.

  bearer token, которое я использую на patch выше, извлекается из графа Microsoft, когда зарегистрированное приложение MDM (с использованием его учетных данных, таких как appid, secret и т. Д.) Аутентифицирует себя в Azure AD.

Не могли бы вы помочь мне найти источник этой ошибки или, возможно, дать мне несколько советов, чтобы решить эту проблему. Я бы высоко оценил это.

Заранее спасибо.

Answer 1

deviceId объекта Device в Azure AD часто путают с атрибутом objectId объекта. (Последний известен как objectId в Azure AD Graph и как id в Microsoft Graph. В обоих случаях deviceId является другим свойством.)

В запросе GET для одного объекта Device с Azure AD Graph:

GET https://graph.windows.net/{tenant-id}/devices/{object-id}

Поле, обозначенное {object-id}, является , а не атрибутом deviceId объекта Device, это атрибут objectId.

Если у вас еще нет значения objectId объекта Device, но у вас do есть deviceId, вы можете использовать либо Azure AD Graph, либо Microsoft Graph, чтобы выполнить соответствующий поиск. С Azure AD Graph:

GET https://graph.windows.net/{tenant-id}/devices?$filter=deviceId eq '{device-id}'

С Microsoft Graph вы бы использовали:

GET https://graph.microsoft.com/v1.0/devices?$filter=deviceId eq '{device-id}'