Integracja z Microsoft Intune
Integracja usługi Intune z łącznikiem interfejsu Microsoft Graph API
Integracja z Microsoft Intune
Integracja usługi Intune z łącznikiem interfejsu Microsoft Graph API
Możliwości integracji z usługą Intune są zawarte w łączniku Microsoft Graph API (dawniej łączniku Entra ID ).
Dzięki łącznikowi Microsoft Graph API możesz odczytywać dane z Microsoft Intune. Od wersji 2025.2 możesz również wprowadzać zmiany/działania w Intune. Obie te funkcje zapewniają wyraźną wartość biznesową w czterech kluczowych obszarach:
Lepsza widoczność i kontrola : Dostęp do danych urządzeń i oprogramowania niemal w czasie rzeczywistym usprawnia nadzór nad działem IT, śledzenie zasobów i podejmowanie decyzji.
Automatyzacja i wydajność : Zautomatyzowane zmiany ograniczają pracę ręczną, przyspieszają czas reakcji i usprawniają procesy takie jak wdrażanie i aktualizacje.
Większe bezpieczeństwo i zgodność : Szybkie wykrywanie i usuwanie zagrożeń wspomagają silniejsze zabezpieczenia i przestrzeganie standardów regulacyjnych.
Strategiczna integracja i innowacja : Bezproblemowa integracja z innymi systemami informatycznymi umożliwia inteligentniejszą automatyzację, lepsze zarządzanie i wspiera działania na rzecz transformacji cyfrowej.
Aby uzyskać informacje na temat podstawowej konfiguracji połączenia i zadania interfejsu Microsoft Graph API , zapoznaj się z dokumentacją interfejsu Microsoft Graph API Connector .
Instrukcje dla klientów można znaleźć na stronie https://docs.efecte.com/customer-instructions/efecte-provisioning-engine-customer-instructions-for-entra-id
Najczęstsze przypadki użycia usługi Intune to:
- Odczytywanie urządzeń z usługi Intune do bazy CMDB (dostępne w wersji bazowej 2025.1)
- Odczytywanie oprogramowania z Intune do CMDB
Odczyt urządzeń z usługi Intune
Zapoznaj się z dokumentacją API firmy Microsoft : https://learn.microsoft.com/en-us/graph/api/resources/intune-devices-manageddevice?view=graph-rest-1.0
Uprawnienia aplikacji Entra ID
W przypadku importu urządzeń Intune aplikacja w Entra ID potrzebuje następujących uprawnień
Instrukcje dla klientów można znaleźć na stronie https://docs.efecte.com/customer-instructions/efecte-provisioning-engine-customer-instructions-for-entra-id
| Typ uprawnienia | Pozwolenie |
| Aplikacja |
DeviceManagementManagedDevices.Read.All Lub DeviceManagementManagedDevices.ReadWrite.All |
Zapytania dotyczące zaplanowanych zadań
Nie zaleca się używania więcej niż 3 podzapytań, ponieważ każde podzapytanie znacznie utrudnia pobieranie danych.
Jeśli to możliwe, przeprowadź test wydajności przed przeniesieniem zadania do środowiska produkcyjnego.
Usuń podzapytania, których nie używasz w mapowaniu atrybutów.
Jeśli musisz pobrać dane z większej liczby podzapytań, niż jest to akceptowalne pod względem wydajności, utwórz dla nich osobne zadania, a następnie użyj możliwości ESM, aby połączyć dane pobrane przez dwa zadania.
Zapytanie: deviceManagement/managedDevices
Podzapytania (Przykładowe możliwości podzapytań. W przypadku mapowań użytych poniżej, podzapytania nie są potrzebne):
deviceManagement/managedDevices/{id}/windows Pro
DeviceManagement/zarządzaneUrządzenia/{id}/użytkownicy
Mapowania dla zaplanowanych zadań
Zawsze używaj szablonu ogólnego dla mapowań usługi Intune Typ:
W środowisku, do którego chcesz zaimportować urządzenia z usługi Intune, mogą występować różne szablony docelowe i/lub foldery docelowe dla urządzeń. Mogą również występować różne pola mapowania identyfikatorów zadań i wartości atrybutu statusu po usunięciu urządzenia z usługi Intune.
W tym przykładzie wykorzystano następujące wartości:
Szablon docelowy – urządzenie
Folder docelowy – Zasób/Serwer
Mapowanie identyfikatorów zadań – zadanie powiązanego łącznika. Wybierz atrybut, w którym ma być przechowywany numer identyfikacyjny zadania, w tym przykładzie „Zadanie powiązanego łącznika”. Można go użyć w skryptach, aby określić, które zadanie utworzyło/zaktualizowało kartę danych. Ten atrybut jest również używany wewnętrznie w funkcji „Ustaw wartość dla usuniętych obiektów”.
Ustaw wartość dla usuniętego obiektu – zaznaczone
Nazwa atrybutu - Status
Wartość atrybutu - 07 - Zlikwidowano
Podstawowy przykładowy zestaw mapowań dla urządzeń Intune. Możesz chcieć zamapować różne atrybuty ze względu na różne wykorzystanie atrybutów Intune oraz różne wymagania i szablony.
Te atrybuty usługi Intune nie znajdują się na liście rozwijanej mapowań (kolumna lewa), dlatego należy je dodać, klikając przycisk „+ Nowy atrybut”
Jeśli ustawisz to podzapytanie deviceManagement/managedDevices/{id}/windows Pro tectionState , możesz dodać mapowanie na przykład do tych atrybutów usługi Intune związanych ze stanem ochrony urządzeń w Pro Windows:
Lub jeśli dodałeś inne podzapytania, na przykład: deviceManagement/managedDevices/{id}/users
Można je mapować.
Przykładowa tabela mapowania atrybutów dla urządzeń Intune
Zawiera najczęściej używane atrybuty związane z urządzeniami Intune, ale do tabeli mapowania można dodać również inne atrybuty.
| Atrybut zewnętrzny | Atrybut lokalny |
|---|---|
| id | intune_id |
| identyfikator użytkownika | intune_userid |
| Typ właściciela zarządzanego urządzenia | intune_zarządzany_typ_właściciela_urządzenia |
| zarejestrowanaDataCzas | intune_enrolleddatetime |
| ostatniaDataSyncHandlu | intune_lastsyncdatetime |
| jailBroken | intune_jailbroken |
| DeviceHealthAtestationState | intune_devicehealthattestationstate |
| abonentOperator | intue_subscribercarrier |
| meid | intune_meid |
| całkowita przestrzeń dyskowa w bajtach | intune_totalstoragespaceinbytes |
| wolna przestrzeń dyskowa w bajtach | intune_freestoragespaceinbytes |
| zarządzanaNazwaUrządzenia | intune_nazwa_zarządzanego_urządzenia |
| partnerReportedThreatState | intune_partnerzgłoszonystanzagrożenia |
| Kod obejścia blokady aktywacji | intune_activationlockkod pominięcia |
| stan zgodności | intune_stan_zgodności |
| Adres e-mail | adres_email_intune |
| jest nadzorowany | intune_issupervised |
| system operacyjny | intune_system_operacyjny |
| osVersion | intune_osversion |
| numer seryjny | intune_numerseryjny |
| Agent zarządzający | agent zarządzania intune |
| easActivated | intune_easactivated |
| easDeviceId | intune_easdeviceid |
| easDataAktywacjiCzas | intune_easactivationdatetime |
| Zarejestrowano w usłudze Azure AD | intune_azureadregistered |
| typ rejestracji urządzenia | intune_deviceenrollmenttype |
| identyfikator urządzenia Azure AD | intune_azureaddeviceid |
| Stan rejestracji urządzenia | intune_deviceregistrationstate |
| deviceCategoryDisplayName | intune_devicecategorydisplayname |
| exchangeLastSuccessfulSyncDateTime | intune_exchangelastsuccessfulsyncdatetime |
| nazwa_urządzenia | intune_nazwa_urządzenia |
| model | model_intune |
| exchangeAccessState | intune_exchangeaccessstate |
| exchangeAccessStateReason | intune_exchangeaccessstatereason |
| jest zaszyfrowany | intune_isencrypted |
| producent | intune_manufacturer |
| userPrincipalName | intune_userprincipalname |
| Numer telefonu | intune_numer_telefonu |
| androidSecurityPatchLevel | intune_androidsecuritypoziom_patch |
| nazwa wyświetlana użytkownika | intune_nazwa_wyświetlana_użytkownika |
| Adres MAC WiFi | intune_adres_wifimacaddress |
| IMEI | intune_imei |
| wyniki akcji urządzenia | intune_deviceactionresults |
Odczyt oprogramowania z usługi Intune
Zapoznaj się z dokumentacją API firmy Microsoft : https://learn.microsoft.com/en-us/graph/api/intune-devices-detectedapp-list?view=graph-rest-1.0&tabs=http
Uprawnienia aplikacji Entra ID
W przypadku importu urządzeń Intune aplikacja w Entra ID potrzebuje następujących uprawnień
Instrukcje dla klientów można znaleźć na stronie https://docs.efecte.com/customer-instructions/efecte-provisioning-engine-customer-instructions-for-entra-id
| Typ uprawnienia | Pozwolenie |
| Aplikacja |
DeviceManagementManagedDevices.Read.All Lub DeviceManagementManagedDevices.ReadWrite.All |
Zapytania dotyczące zaplanowanych zadań
Zapytanie: deviceManagement/detectedApps
Podzapytania: deviceManagement/detectedApps/{id}/managedDevices
Mapowania dla zaplanowanych zadań
Zawsze używaj szablonu ogólnego dla mapowań usługi Intune Typ:
Mapowanie identyfikatorów urządzeń podzapytania: deviceManagement/detectedApps/{id}/managedDevices.id
mapowane na urządzenia z atrybutami ciągu wielowartościowego.
Wyczyść urządzenie Intune
Czyszczenie to jedna z obsługiwanych akcji dla urządzeń Intune. Dzięki tej akcji możesz wyczyścić dane z utraconego urządzenia. Wszystkie akcje znajdziesz w rozdziale „Wszystkie obsługiwane akcje dla urządzeń Intune” na tej stronie.
Dokumentacja firmy Microsoft dotycząca akcji czyszczenia: Dokumentacja dotycząca czyszczenia
Zadanie oparte na zdarzeniach
Adres URL zadania opartego na zdarzeniach może być pusty. Ostateczny adres URL do wywołania jest tworzony poprzez połączenie adresu URL łącznika i adresu URL węzła przepływu pracy.
Mapowania dla zadań opartych na zdarzeniach
Nagłówek zadania opartego na zdarzeniach
Nie ma potrzeby ustawiania dodatkowych nagłówków, ponieważ zarządzanie złączami ustawia to automatycznie:
| Typ zawartości | aplikacja/json |
Węzeł przepływu pracy
Wybierz opcję Orchestrate, Data Source i Activitys:
Wybierz zadanie oparte na zdarzeniu utworzone dla tej akcji. Możesz również użyć jednego zadania opartego na zdarzeniu dla wielu akcji.
Aktywność: Ogólne wywołanie REST API
Typ: POST
Adres URL: deviceManagement/managedDevices/$attributecode_for_deviceid$/wipe
Przykład ciała:
{ "keepEnrollmentData": prawda,
„keepUserData”: fałsz,
"macOsUnlockCode": "Wartość kodu odblokowującego Mac OS",
"persistEsimDataPlan": prawda }
Uprawnienia aplikacji Entra ID
W przypadku działań urządzeń Intune aplikacja w Entra ID wymaga następujących uprawnień
Instrukcje dla klientów można znaleźć na stronie https://docs.efecte.com/customer-instructions/efecte-provisioning-engine-customer-instructions-for-entra-id
| Typ uprawnienia | Pozwolenie |
|---|---|
| Aplikacja |
DeviceManagementManagedDevices.ReadWrite.All Lub DeviceManagementManagedDevices.PrivilegedOperations.All |
Inne działania dla urządzeń Intune
Uprawnienia aplikacji Entra ID
W przypadku akcji urządzeń Intune aplikacja w Entra ID wymaga uprawnień. Aby ustawić prawidłowe uprawnienia, zobacz: https://docs.efecte.com/customer-instructions/efecte-provisioning-engine-customer-instructions-for-entra-id i https://learn.microsoft.com/en-us/graph/permissions-reference
Zadanie oparte na zdarzeniach
Adres URL zadania opartego na zdarzeniach może być pusty. Ostateczny adres URL do wywołania jest tworzony poprzez połączenie adresu URL łącznika i adresu URL węzła przepływu pracy.
Mapowania dla zadań opartych na zdarzeniach
Nagłówek zadania opartego na zdarzeniach
Nie ma potrzeby ustawiania dodatkowych nagłówków, ponieważ zarządzanie złączami ustawia to automatycznie:
| Typ zawartości | aplikacja/json |
Węzeł przepływu pracy
W węźle Workflow Orchestration wybierz opcje Orchestrate, Data Source i Activity:
Wybierz zadanie oparte na zdarzeniu utworzone dla tej akcji. Możesz również użyć jednego zadania opartego na zdarzeniu dla wielu akcji.
Wszystkie te akcje korzystają z metody POST protokołu HTTP, z wyjątkiem akcji Usuwanie urządzenia z usługi Intune, w której przypadku używana jest metoda DELETE.
Uwaga! W przypadku adresów URL akcji pamiętaj o ustawieniu poprawnego atrybutu dla $attributecode_for_deviceid$ bezpośrednio z karty danych lub poprzez odwołanie $referencedata:attributecode_for_deviceid$ .
Cykl życia urządzenia i zgodność
Wytrzeć
Usuń dane z urządzenia (opcjonalnie zachowaj dane użytkownika).
Dokumentacja dotycząca czyszczenia
Adres URL: deviceManagement/managedDevices/$attributecode_for_deviceid$/wipe
{ "keepEnrollmentData": prawda,
„keepUserData”: fałsz,
"macOsUnlockCode": "Wartość kodu odblokowującego Mac OS",
"persistEsimDataPlan": prawda }
Odchodzić
Usuń dane firmy i profil zarządzania z urządzenia.
Dokumentacja dotycząca przejścia na emeryturę
Adres URL: deviceManagement/managedDevices/$attributecode_for_deviceid$/retire
Usuwać
Trwałe usuwanie rekordu urządzenia z usługi Intune.
Dokumentacja dla Delete
Typ akcji: USUŃ
Adres URL: deviceManagement/managedDevices/$attributecode_for_deviceid$
Wyczyść urządzenie z systemem Windows
Wykonaj czystą ponowną instalację systemu Windows.
Dokumentacja dla czystego
Adres URL: deviceManagement/managedDevices/$attributecode_for_deviceid$/cleanWindowsDevice
Synchronizuj urządzenie
Wymuś zameldowanie urządzenia w usłudze Intune.
Dokumentacja dla Sync
Adres URL: deviceManagement/managedDevices/$attributecode_for_deviceid$/syncDevice
Bezpieczeństwo i zarządzanie
Zdalny zamek
Zdalne blokowanie urządzenia.
Zdalna blokada jest obsługiwana na urządzeniach z systemem:
- Android
- iOS
Dokumentacja dotycząca zdalnego blokowania
Adres URL: deviceManagement/managedDevices/$attributecode_for_deviceid$/remoteLock
Resetowanie kodu dostępu (tylko iOS/ iPad OS)
Zresetuj kod dostępu urządzenia.
Dokumentacja resetowania hasła
Adres URL: deviceManagement/managedDevices/$attributecode_for_deviceid$/resetPasscode
Przykład ciała:
{
"hasło": "Tymczasowe-??-42?!"
}
Włącz/wyłącz tryb utracony (tylko iOS)
Śledź zgubione urządzenia za pomocą trybu zgubionego.
Uwaga! Microsoft nie dodał jeszcze tej funkcji do wersji v1 swojego API Graph. Aby móc korzystać z tych interfejsów API , potrzebny jest łącznik korzystający z wersji beta Microsoft Graph API . Adres URL interfejsu API Graph w łączniku: https://graph.microsoft.com/beta/ 
Dokumentacja dotycząca włączania trybu utraconego
Dokumentacja dotycząca wyłączania trybu utraconego
Adres URL: deviceManagement/managedDevices/$attributecode_for_deviceid$/enableLostMode
Przykład ciała:
{
„footer”: „Proszę zwrócić to urządzenie do CompanyX IT”,
„message”: „Urządzenie utracone. Skontaktuj się z działem IT firmy X pod numerem +3589999999999.”,
"numer telefonu": "+358999999999"
}
Zlokalizuj urządzenie
Uzyskaj współrzędne GPS zgubionego urządzenia.
Dokumentacja zlokalizuj urządzenie
Adres URL: deviceManagement/managedDevices/$attributecode_for_deviceid$/locateDevice
Przykład ciała:
{
"deviceTag": "HRDeptTempTag"
}
Uruchom ponownie teraz (tylko system Windows)
Zdalne ponowne uruchomienie urządzenia.
Ponowne uruchomienie dokumentacji
Adres URL: deviceManagement/managedDevices/$attributecode_for_deviceid$/restartNow
Wyłącz (tylko system Windows)
Wyłącz urządzenie zdalnie.
Zamknięcie dokumentacji
Adres URL: deviceManagement/managedDevices/$attributecode_for_deviceid$/shutdown
Obróć klucze BitLocker
Ze względów bezpieczeństwa należy wymienić klucze odzyskiwania BitLocker.
Dokumentacja dotycząca rotacji kluczy Bitlocker
Adres URL: deviceManagement/managedDevices/$attributecode_for_deviceid$/rotateBitLockerKeys
Konfiguracja i Cloud PC
Ustaw nazwę urządzenia
Przypisz urządzeniu nową nazwę.
Nazwa urządzenia zestawu dokumentacji
Adres URL: deviceManagement/managedDevices/$attributecode_for_deviceid$/setDeviceName
Przykład ciała:
{
"deviceName": "Finance-Laptop-20250123"
}
Więcej przykładów związanych z Intune
W tym rozdziale znajdziesz przykłady, jak można użyć tej funkcji do pobierania danych z usługi Intune.
Jak pobrać urządzenia Intune
Poniższy przykład pokazuje, jak pobrać urządzenia Intune, głównego użytkownika urządzenia i stan ochrony systemu Windows urządzenia.
Jeśli chcesz używać filtrów w zapytaniu Microsoft Entra dla deviceManagement/managedDevices, zapoznaj się z tym dokumentem firmy Microsoft: https://learn.microsoft.com/en-us/graph/api/resources/intune-devices-manageddevice?view=graph-rest-1.0
Oto przykład filtrowania, który filtruje urządzenia, których stan zgodności jest niezgodny: deviceManagement/managedDevices?$filter=complianceState eq 'noncompliant'
Mapowanie atrybutów
Oto przykłady odczytywania danych za pomocą mapowań atrybutów w przypadku zapytań i podzapytań usługi Intune:
Więcej przykładów mapowania Intune:
Mapowanie z podzapytania
Jeśli chcesz odczytać atrybut z podzapytania, ma ono swój własny format. Najpierw musisz podać podzapytanie jako prefiks, następnie kropkę (.), a następnie nazwę atrybutu, który chcesz odczytać.
Jako przykład przyjrzyjmy się temu mapowaniu bardziej szczegółowo:
/deviceManagement/managedDevices/{id}/windows Pro tectionState . deviceState
prefiks (taki sam jak podzapytanie): /deviceManagement/managedDevices/{id}/windows Pro tectionState
kropka : .
sufiks jako nazwa atrybutu z zestawu wyników podzapytania: deviceState
To mapowanie podzapytania odczytuje ze wszystkich urządzeń wynikowych głównego zapytania obiekt Pro systemu Windows i z niego odczytuje wartość atrybutu deviceState.
Informacje dotyczące Microsoft Graph API w kontekście tego przykładu usługi Intune
https://learn.microsoft.com/en-us/graph/api/intune-devices-manageddevice-list?view=graph-rest-1.0
Jak pobrać aplikacje Intune
Poniższy przykład pokazuje, jak pobrać aplikacje Intune i urządzenia, które je zawierają.
Zapytanie wejściowe firmy Microsoft: deviceManagement/detectedApps
Podzapytania: deviceManagement/detectedApps/{id}/managedDevices
Mapowanie atrybutów
Oto 3 przykłady mapowań dla zapytań i podzapytań usługi Intune:
nazwa wyświetlana
platforma
deviceManagement/detectedApps/{id}/managedDevices.operatingSystem
Informacje dotyczące Microsoft Graph API w tym przykładzie usługi Intune
https://learn.microsoft.com/en-us/graph/api/resources/intune-devices-detectedapp?view=graph-rest-1.0
Znane ograniczenia
Ograniczenia w wersji 2025.2 i starszych
API raportowania usługi Microsoft Intune https://graph.microsoft.com/beta/deviceManagement/reports/exportJobs nie jest obsługiwany https://learn.microsoft.com/en-us/intune/intune-service/fundamentals/reports-export-graph-available-reports
Ze względów wydajnościowych nie jest obsługiwany więcej niż jeden poziom podzapytań.
Wersje starsze niż 2025.3 nie obsługują więcej niż jednego podzapytania. Obsługa tej opcji została dodana w wersji 2025.3.
Łącznik nie obsługuje oznaczania obiektów usługi Intune jako usuniętych w Matrix42 Core , Pro , IGA w przypadku usuwania obiektów z usługi Microsoft Intune w wersjach starszych niż 2025.3. Obsługa tej funkcji została dodana w wersji 2025.3.
Ograniczenia w 2025.3
API raportowania usługi Microsoft Intune https://graph.microsoft.com/beta/deviceManagement/reports/exportJobs nie jest obsługiwany https://learn.microsoft.com/en-us/intune/intune-service/fundamentals/reports-export-graph-available-reports
Ze względów wydajnościowych nie jest obsługiwany więcej niż jeden poziom podzapytań.