Microsoft Intune -integraatio
Intune-integraatio Microsoft Graph API -liittimen kanssa
Microsoft Intune -integraatio
Intune-integraatio Microsoft Graph API -liittimen kanssa
Intune-integraatioon liittyvät ominaisuudet sisältyvät Microsoft Graph API -liittimeen (aiemmin Entra ID -liitin).
Microsoft Graph API -liittimen avulla voit lukea tietoja Microsoft Intunesta. Versiosta 2025.2 alkaen voit myös tehdä muutoksia/toimenpiteitä Intuneen. Molempien ominaisuuksien avulla se tarjoaa selkeää liiketoiminta-arvoa neljällä keskeisellä alueella:
Parannettu näkyvyys ja hallinta : Lähes reaaliaikainen pääsy laite- ja ohjelmistotietoihin parantaa IT-valvontaa, resurssien seurantaa ja päätöksentekoa.
Automaatio ja tehokkuus : Automatisoidut muutokset vähentävät manuaalista työtä, nopeuttavat vasteaikoja ja virtaviivaistavat prosesseja, kuten perehdytystä ja päivityksiä.
Parannettu tietoturva ja vaatimustenmukaisuus : Riskien nopea havaitseminen ja korjaaminen tukevat vahvempia tietoturvatilanteita ja sääntelystandardien noudattamista.
Strateginen integraatio ja innovaatio : Saumaton integraatio muihin IT-järjestelmiin mahdollistaa älykkäämmän automaation, paremman hallinnon ja tukee digitaalisen transformaation pyrkimyksiä.
Katso Microsoft Graph API -yhteyden ja tehtävien perusmääritykset Microsoft Graph API -liittimen dokumentaatiosta.
Asiakkaan ohjeet löytyvät osoitteesta https://docs.efecte.com/customer-instructions/efecte-provisioning-engine-customer-instructions-for-entra-id
Yleisimmät Intunen käyttötapaukset ovat
- Laitteiden lukeminen Intunesta CMDB:hen (tämä sisältyy 2025.1-perusversioon)
- Ohjelmistojen lukeminen Intunesta CMDB:hen
Lue laitteita Intunesta
Katso Microsoftin API ohjelmointia osoitteesta https://learn.microsoft.com/en-us/graph/api/resources/intune-devices-manageddevice?view=graph-rest-1.0
Entra ID -sovelluksen käyttöoikeudet
Intune-laitteiden tuontia varten Entra ID n sovellus tarvitsee nämä käyttöoikeudet
Asiakkaan ohjeet löytyvät osoitteesta https://docs.efecte.com/customer-instructions/efecte-provisioning-engine-customer-instructions-for-entra-id
| Käyttöoikeustyyppi | Lupa |
| Hakemus |
LaitehallintaManagedDevices.Read.All tai LaitehallintaManagedDevices.ReadWrite.All |
Kyselyt ajoitetulle tehtävälle
Yli kolmen alikyselyn käyttöä ei suositella, koska jokainen alikysely tekee datan hakemisesta paljon raskaampaa.
Jos mahdollista, tee suorituskykytesti ennen tehtävän viemistä tuotantokäyttöön.
Poista alikyselyt, joita et käytä attribuuttimäärityksissä.
Jos sinun on noudettava tietoja useammasta alikyselystä kuin suorituskyvyn kannalta on hyväksyttävää, luo niille omat erilliset tehtävät ja käytä sitten ESM-ominaisuuksia kahden tehtävän noutaman tiedon yhdistämiseen.
Kysely: deviceManagement/managedDevices
Alikyselyt (Esimerkkejä alikyselyiden mahdollisuuksista. Alla käytetyille vastaavuuksille ei tarvita alikyselyitä):
deviceManagement/managedDevices/{id}/windows Pro
laitehallinta/managedDevices/{id}/käyttäjät
Ajoitetun tehtävän yhdistämismääritykset
Käytä aina yleistä mallia Intune-yhdistämismäärityksille Tyyppi:
Sinulla saattaa olla eri kohdemalli ja/tai kohdekansio laitteille ympäristössäsi, johon haluat tuoda laitteita Intunesta. Sinulla voi myös olla eri tehtävätunnuksen yhdistämiskenttä ja tilaattribuutin arvo, kun laite poistetaan Intunesta.
Tässä esimerkissä käytetään seuraavia arvoja:
Kohdemalli - Laite
Kohdekansio - resurssi/palvelin
Tehtävätunnuksen yhdistäminen - Liittyvän liittimen tehtävä. Valitse attribuutti, johon tehtävätunnus tallennetaan, tässä esimerkissä "Liittyvät liittimen tehtävät". Tätä voidaan käyttää komentosarjoissa sen määrittämiseen, mikä tehtävä on luonut/päivittänyt datakortin. Tätä attribuuttia käytetään myös sisäisesti "Aseta poistettujen objektien arvo" -toiminnossa.
Aseta arvo poistetulle objektille - valittuna
Ominaisuuden nimi - Tila
Ominaisuuden arvo - 07 - Hävitetty
Intune-laitteiden yhdistämismääritysten perustason esimerkkijoukko. Saatat haluta yhdistää eri määritteitä Intune-määritteiden erilaisen käytön ja erilaisten vaatimusten ja mallien vuoksi.
Näitä Intune-attribuutteja ei ole yhdistämismääritykset-alasvetovalikossa (vasen sarake), joten sinun on lisättävä ne napsauttamalla ”+ Uusi attribuutti” -painiketta.
Jos asetat tämän deviceManagement/managedDevices/{id}/windows Pro tectionState alikyselyn, voit lisätä määrityksen myös esimerkiksi näihin Devices Windows Pro -ominaisuuteen liittyviin Intune-attribuutteihin:
Tai jos olet lisännyt muita alikyselyitä, esimerkiksi: deviceManagement/managedDevices/{id}/users
sinulla voi olla niihin liittyviä kartoituksia.
Esimerkki Intune-laitteiden attribuuttien yhdistämistaulukosta
Tämä sisältää Intune-laitteisiin liittyvät eniten käytetyt attribuutit, mutta voit lisätä yhdistämistaulukkoon myös muita attribuutteja.
| Ulkoinen ominaisuus | Paikallinen ominaisuus |
|---|---|
| tunnus | intune_id |
| käyttäjätunnus | intune_käyttäjätunnus |
| hallitun laitteen omistajan tyyppi | intune_manageddeviceownertype |
| ilmoittautumispäivämäärä ja -aika | intune_enrolleddatetime |
| viimeisin synkronointipäivämäärä ja aika | intune_lastsyncdatetime |
| vankilaRikkoutunut | intune_jailbroken |
| laitteen terveysvahvistustila | intune_devicehealthattestationstate |
| tilaajaOhjelmisto-operaattori | intue_subscribercarrier |
| meitä | intune_meid |
| Tallennustilaa tavuina yhteensä | intune_totalstoragespaceinbytes |
| vapaata tallennustilaa tavuina | intune_freestoragespaceinbytes |
| hallitun laitteen nimi | intune_manageddevicename |
| kumppanin ilmoittama uhkatila | intune_partnerreportedthreatstate |
| aktivointilukko ohituskoodi | intune_activationlockbypasscode |
| vaatimustenmukaisuusvaltio | intune_compliancestate |
| Sähköpostiosoite | intune-sähköpostiosoite |
| on valvottu | intune_issuperved |
| käyttöjärjestelmä | intune_käyttöjärjestelmä |
| käyttöjärjestelmän versio | intune_osversion |
| sarjanumero | intune_sarjanumero |
| Agent | intune_management-agentti |
| easActivated | intune_easactivated |
| easDeviceId | intune_easdeviceid |
| easAktivointipäivämääräaika | intune_easactivationdatetime |
| Azure AD -rekisteröity | intune_azureadregistered |
| laitteen rekisteröintityyppi | intune_deviceenrollmenttype |
| azure AD -laitetunnus | intune_azureaddeviceid |
| laitteen rekisteröintitila | intune_deviceregistrationstate |
| laiteluokkaNäyttönimi | intune_devicecategorydisplayname |
| exchangeLastSuccessfulSyncDateTime | intune_exchangelastsuccessfulsyncdatetime |
| laitteen nimi | intune_laitteen_nimi |
| malli | intune-malli |
| exchangeAccessState | intune_exchangeaccessstate |
| exchangeAccessStateReason | intune_exchangeaccessstatesyy |
| on salattu | intune_isencrypted |
| valmistaja | intunen_valmistaja |
| käyttäjän pääkäyttäjän nimi | intune_käyttäjän_päänimi |
| puhelinnumero | intune-puhelinnumero |
| AndroidSecurityPatchLevel | intune_androidsecuritypatchlevel |
| käyttäjän näyttönimi | intune_userdisplayname |
| wifiMac-osoite | intune_wifimac-osoite |
| imei | intune_imei |
| laitteen toimintotulokset | intune_deviceactionresults |
Lue ohjelmistoa Intunesta
Katso Microsoftin API rajapintaa koskevat ohjeet https://learn.microsoft.com/en-us/graph/api/intune-devices-detectedapp-list?view=graph-rest-1.0&tabs=http
Entra ID -sovelluksen käyttöoikeudet
Intune-laitteiden tuontia varten Entra ID n sovellus tarvitsee nämä käyttöoikeudet
Asiakkaan ohjeet löytyvät osoitteesta https://docs.efecte.com/customer-instructions/efecte-provisioning-engine-customer-instructions-for-entra-id
| Käyttöoikeustyyppi | Lupa |
| Hakemus |
LaitehallintaManagedDevices.Read.All tai LaitehallintaManagedDevices.ReadWrite.All |
Kyselyt ajoitetulle tehtävälle
Kysely: deviceManagement/detectedApps
Alikyselyt: deviceManagement/detectedApps/{id}/managedDevices
Ajoitetun tehtävän yhdistämismääritykset
Käytä aina yleistä mallia Intune-yhdistämismäärityksille Tyyppi:
Alikyselylaitteiden tunnusten yhdistäminen: deviceManagement/detectedApps/{id}/managedDevices.id
yhdistetty moniarvoisiin merkkijonoattribuuttilaitteisiin.
Tyhjennä Intune-laite
Tyhjennys on yksi Intune-laitteiden tuetuista toiminnoista. Tyhjennyksellä voit tyhjentää kadonneen laitteen tiedot. Katso kaikki toiminnot luvusta "Kaikki tuetut Intune-laitteiden toiminnot" tällä sivulla.
Microsoftin dokumentaatio pyyhintätoiminnosta: Dokumentaatio pyyhintätoiminnosta
Tapahtumapohjainen tehtävä
Tapahtumapohjaisen tehtävän URL-osoite voi olla tyhjä. Lopullinen kutsuttava URL-osoite muodostetaan yhdistämällä liittimen URL-osoite ja työnkulun solmun URL-osoite.
Tapahtumapohjaisten tehtävien yhdistämismääritykset
Tapahtumapohjaisen tehtävän otsikko
Ylimääräisiä otsikoita ei tarvitse asettaa, liittimien hallinta asettaa tämän automaattisesti:
| Sisältötyyppi | sovellus/json |
Työnkulun solmu
Valitse nämä Orkestrointi, Tietolähde ja Aktiviteetit:
Valitse tälle toiminnolle luomasi tapahtumapohjainen tehtävä. Voit myös käyttää yhtä tapahtumapohjaista tehtävää useille toiminnoille.
Aktiviteetti: Yleinen REST API -kutsu
Tyyppi: POSTI
URL-osoite: deviceManagement/managedDevices/$laitetunnuksen_attribuuttikoodi$/pyyhin
Esimerkki vartalosta:
{ "keepEnrollmentData": true,
"keepUserData": false,
"macOsUnlockCode": "Mac OS:n avauskoodin arvo",
"persistEsimDataPlan": true }
Entra ID -sovelluksen käyttöoikeudet
Intune-laitteiden toimintoja varten Entra ID n sovellus tarvitsee nämä käyttöoikeudet
Asiakkaan ohjeet löytyvät osoitteesta https://docs.efecte.com/customer-instructions/efecte-provisioning-engine-customer-instructions-for-entra-id
| Käyttöoikeustyyppi | Lupa |
|---|---|
| Hakemus |
LaitehallintaManagedDevices.ReadWrite.All tai LaitehallintaManagedDevices.PrivilegedOperations.All |
Muita Intune-laitteiden toimintoja
Entra ID -sovelluksen käyttöoikeudet
Intune Devices -toimintoja varten Entra ID n sovellus tarvitsee käyttöoikeuksia. Katso ohjeet oikeiden käyttöoikeuksien määrittämiseen osoitteista: https://docs.efecte.com/customer-instructions/efecte-provisioning-engine-customer-instructions-for-entra-id ja https://learn.microsoft.com/en-us/graph/permissions-reference .
Tapahtumapohjainen tehtävä
Tapahtumapohjaisen tehtävän URL-osoite voi olla tyhjä. Lopullinen kutsuttava URL-osoite muodostetaan yhdistämällä liittimen URL-osoite ja työnkulun solmun URL-osoite.
Tapahtumapohjaisten tehtävien yhdistämismääritykset
Tapahtumapohjaisen tehtävän otsikko
Ylimääräisiä otsikoita ei tarvitse asettaa, liittimien hallinta asettaa tämän automaattisesti:
| Sisältötyyppi | sovellus/json |
Työnkulun solmu
Valitse Työnkulun orkestrointi-solmussa seuraavat Orkestrointi-, Tietolähde- ja Aktiviteetti-kohdat:
Valitse tälle toiminnolle luomasi tapahtumapohjainen tehtävä. Voit myös käyttää yhtä tapahtumapohjaista tehtävää useille toiminnoille.
Kaikki nämä toiminnot käyttävät http-metodia POST, paitsi Delete device from Intune, joka käyttää DELETE-metodia.
Huom! Muista asettaa toiminto-URL-osoitteiden osalta oikea attribuutti $attributecode_for_deviceid$ joko suoraan datacardista tai viitteen $referencedata:attributecode_for_deviceid$ kautta.
Laitteen elinkaari ja vaatimustenmukaisuus
Pyyhi
Tyhjennä tiedot laitteelta (säilytä käyttäjätiedot halutessasi).
Pyyhkäisyn dokumentaatio
URL-osoite: deviceManagement/managedDevices/$laitetunnuksen_attribuuttikoodi$/pyyhin
{ "keepEnrollmentData": true,
"keepUserData": false,
"macOsUnlockCode": "Mac OS:n avauskoodin arvo",
"persistEsimDataPlan": true }
Jää eläkkeelle
Poista yrityksen tiedot ja hallintaprofiili laitteelta.
Eläkkeelle siirtymistä koskevat asiakirjat
URL-osoite: deviceManagement/managedDevices/$laitetunnuksen_attribuuttikoodi$/poistetaan käytöstä
Poistaa
Poista laitetietue pysyvästi Intunesta.
Poiston dokumentaatio
Toimintotyyppi: POISTA
URL-osoite: deviceManagement/managedDevices/$laitetunnuksen_attribuuttikoodi$
Puhdista Windows-laite
Suorita Windowsin puhdas uudelleenasennus.
Dokumentaatio puhtaaksi
URL-osoite: deviceManagement/managedDevices/$laitetunnuksen_attribuuttikoodi$/cleanWindowsDevice
Synkronoi laite
Pakota laite kirjautumaan sisään Intuneen.
Synkronoinnin dokumentaatio
URL-osoite: deviceManagement/managedDevices/$laitetunnuksen_attribuuttikoodi$/syncDevice
Tietoturva ja hallinta
Etälukitus
Lukitse laite etänä.
Etälukitusta tuetaan laitteissa, joissa on seuraavat käyttöjärjestelmät:
- Android
- iOS
Kauko-ohjatun lukituksen dokumentaatio
URL-osoite: deviceManagement/managedDevices/$laitetunnuksen_attribuuttikoodi$/remoteLock
Salakoodin nollaaminen (vain iOS/ iPad OS)
Nollaa laitteen salasana.
Salasanan palauttamisen dokumentaatio
URL-osoite: deviceManagement/managedDevices/$laitetunnuksen_attribuuttikoodi$/nollaa_salasana
Esimerkki vartalosta:
{
"salasana": "Väliaikainen-??-42?!"
}
Kadonnut-tilan ottaminen käyttöön/poistaminen käytöstä (vain iOS)
Seuraa kadonneita laitteita Kadonnut-tilan avulla.
Huom! Microsoft ei ole vielä lisännyt tätä Graph API nsa v1-versioon. Joten voidaksesi kutsua näitä API :eja, sinulla täytyy olla liitin, joka käyttää Microsoft Graph API beta -versiota. Graph API:n URL-osoite liittimessä: https://graph.microsoft.com/beta/ 
Dokumentaatio kadonneen tilan käyttöönotosta
Dokumentaatio kadonneen tilan poistamisesta käytöstä
URL-osoite: deviceManagement/managedDevices/$laitetunnuksen_attribuuttikoodi$/enableLostMode
Esimerkki vartalosta:
{
"footer": "Palauta tämä laite CompanyX IT:lle",
"message": "Laite kadonnut. Ota yhteyttä yrityksen X IT-osastoon numeroon +358999999999.",
"puhelinnumero": "+358999999999"
}
Paikanna laite
Hanki kadonneen laitteen GPS-koordinaatit.
Dokumentaatio paikantaa laitteen
URL-osoite: deviceManagement/managedDevices/$laitetunnuksen_attribuuttikoodi$/locateDevice
Esimerkki vartalosta:
{
"deviceTag": "HRDeptVäliaikainenTag"
}
Käynnistä uudelleen nyt (vain Windows)
Käynnistä laite uudelleen etänä.
Dokumentaation uudelleenkäynnistys
URL-osoite: deviceManagement/managedDevices/$laitetunnuksen_attribuuttikoodi$/restartNow
Sammuta (vain Windows)
Sammuta laite etänä.
Dokumentaation sulkeminen
URL-osoite: deviceManagement/managedDevices/$laitetunnuksen_attribuuttikoodi$/shutdown
Kierrä BitLocker-avaimia
Kierrä BitLocker-palautusavaimia turvallisuuden takaamiseksi.
Dokumentaatio kiertää BitLocker-avaimia
URL-osoite: deviceManagement/managedDevices/$laitetunnuksen_attribuuttikoodi$/rotateBitLockerKeys
Kokoonpano ja Cloud
Aseta laitteen nimi
Anna laitteelle uusi nimi.
Dokumentaatiosarjan laitteen nimi
URL-osoite: deviceManagement/managedDevices/$laitetunnuksen_attribuuttikoodi$/setDeviceName
Esimerkki vartalosta:
{
"deviceName": "Rahoitus-Kannettava-20250123"
}
Lisää Intuneen liittyviä esimerkkejä
Tässä luvussa annetaan esimerkkejä siitä, miten sitä voidaan käyttää Intune-tietojen hakemiseen.
Intune-laitteiden noutaminen
Alla oleva esimerkki näyttää, miten Intune-laitteet, laitteen ensisijainen käyttäjä ja laitteen Windows-suojaustila noudetaan.
Jos haluat käyttää suodattimia Microsoft Entra -kyselyssä deviceManagement/managedDevices-kohteille, tutustu tähän Microsoftin dokumenttiin: https://learn.microsoft.com/en-us/graph/api/resources/intune-devices-manageddevice?view=graph-rest-1.0
Tässä on yksi esimerkki suodatuksesta, joka suodattaa laitteet, joiden complianceState-tila on vaatimusten vastainen: deviceManagement/managedDevices?$filter=complianceState eq 'noncompliant'
Ominaisuuskartoitus
Intune-kyselyiden ja -alikyselyiden avulla voit lukea tietoja attribuuttimäärityksillä seuraavasti:
Lisää Intune-yhdistämismäärityksiä:
Kartoitus alikyselystä
Jos haluat lukea attribuutin alikyselystä, sillä on oma muotonsa. Ensin sinun on käytettävä etuliitteenä alikyselyä, sitten pistettä (.) ja lopuksi luettavan attribuutin nimeä.
Tarkastellaanpa esimerkkinä tätä kartoitusta tarkemmin:
/deviceManagement/managedDevices/{id}/windows Pro tectionState . deviceState
etuliite (sama kuin alikysely): /deviceManagement/managedDevices/{id}/windows Pro tectionState
piste : .
pääte attribuutin nimenä alikyselyn tulosjoukosta: deviceState
Tuo alikyselyn yhdistämismääritys lukee kaikista pääkyselyn tuloksena syntyneistä laitteista Windowsin Pro -objektin ja sieltä se lukee deviceState-attribuutin arvon.
Microsoft Graph API -tiedot, jotka liittyvät tähän Intune-esimerkkiin
https://learn.microsoft.com/en-us/graph/api/intune-devices-manageddevice-list?view=graph-rest-1.0
Intune-sovellusten noutaminen
Alla oleva esimerkki näyttää, miten Intune-sovelluksia ja näitä sovelluksia sisältäviä laitteita noudetaan.
Microsoftin sisäänkirjautumiskysely: deviceManagement/detectedApps
Alikyselyt: deviceManagement/detectedApps/{id}/managedDevices
Ominaisuuskartoitus
Intune-kyselyiden ja -alikyselyiden osalta tässä on kolme esimerkkiä yhdistämismäärityksistä:
näyttönimi
alusta
deviceManagement/detectedApps/{id}/managedDevices.operatingSystem
Tähän Intune-esimerkkiin liittyvät Microsoft Graph API -tiedot
https://learn.microsoft.com/en-us/graph/api/resources/intune-devices-detectedapp?view=graph-rest-1.0
Tunnetut rajoitukset
Rajoitukset versiossa 2025.2 ja vanhemmissa versioissa
Microsoft Intune API https://graph.microsoft.com/beta/deviceManagement/reports/exportJobs ei tueta https://learn.microsoft.com/en-us/intune/intune-service/fundamentals/reports-export-graph-available-reports
Suorituskykysyistä ei tueta useampaa kuin yhtä alikyselytasoa.
Useampaa kuin yhtä alikyselyä ei tueta versioissa, jotka ovat vanhempia kuin 2025.3. Tuki tälle toiminnolle lisättiin versioon 2025.3.
Yhdistin ei tue Intune-objektien poistamista Matrix42 Core , Pro tai IGA versioista, kun objekti poistetaan Microsoft Intunesta versiota 2025.3 vanhemmissa versioissa. Tuki tälle toiminnolle lisättiin versioon 2025.3.
Rajoitukset vuonna 2025.3
Microsoft Intune API https://graph.microsoft.com/beta/deviceManagement/reports/exportJobs ei tueta https://learn.microsoft.com/en-us/intune/intune-service/fundamentals/reports-export-graph-available-reports
Suorituskykysyistä ei tueta useampaa kuin yhtä alikyselytasoa.