MDM（非Intune）无法报告当前正在管理的设备的合规性状态（对Azure AD）

Question

我通过对Azure AD用户进行身份验证，成功地将设备（Windows 10 Pro版本1803）注册到我们自己的MDM。 接下来，我必须告诉Azure AD该设备由我们的MDM管理，这就是问题发生的地方。

我做的patch与文档https://docs.microsoft.com/en-us/windows/client-management/mdm/azure-active-directory-integration-with-mdm#report-device-相同。 遵守对Azure的广告

我得到的错误是资源'xyz'不存在或其查询的引用属性对象之一不存在 。

到目前为止我所做的是：

1. 在Azure AD Portal上，我添加了一个MDM OnPremise应用程序，设置其使用条款URL，发现URL，生成一个秘密。 还将MDM User范围配置为Some并选择了我的用户所在的group 。
2. On Required persimision我验证了“Application Permissions”下的“读写设备”。
3. 用户进行身份验证（使用Azure AD crendentials），接受使用条款（MDM）和voilá都很好。 这是在设备=>帐户=>访问工作或学校=> +连接下在设备上完成的。
4. 在注册期间，我解析了Bearer Token并提取设备ID（例如xyz ），该设备ID与设备成功管理后的Azure AD门户上的设备ID相同。
5. 要报告合规性状态，我会执行此类补丁

PATCH https://graph.windows.net/mytenant.onmicrosoft.com/devices/xyz?api-version=1.0 HTTP/1.1 Authorization: Bearer eyJ0eXAiO……… Accept: application/json Content-Type: application/json { "isManaged":true, "isCompliant":true }

但是我得到了上面描述的错误。

我已经测试了不同的设备ID，例如

• 一个Windows 10在Settigns上显示=> System => About。

• 或者在注册期间请求安全性令牌请求上的元素ContextItem属性DeviceID上存在的那个。

  当注册的MDM应用程序（使用其凭据，例如appid，secret等）自我验证Azure AD时，我从上面的patch使用的bearer token是从微软图中检索的。

你能不能帮我找到这个错误的来源，或者给我一些提示来解决这个问题。 我很喜欢它。

提前致谢。

Answer 1

Azure AD中Device对象的deviceId经常与对象的objectId属性混淆。 （后者在Azure AD Graph中称为objectId ，在Microsoft Graph中称为id 。在这两种情况下， deviceId都是不同的属性。）

在使用Azure AD Graph的单个Device对象的GET请求中：

GET https://graph.windows.net/{tenant-id}/devices/{object-id}

{object-id}标识的字段不是 Device对象的deviceId属性，而是objectId属性。

如果您还没有Device对象的objectId值，但确实有deviceId ，则可以使用Azure AD Graph或Microsoft Graph进行相应的查找。 使用Azure AD Graph：

GET https://graph.windows.net/{tenant-id}/devices?$filter=deviceId eq '{device-id}'

使用Microsoft Graph，您将使用：

GET https://graph.microsoft.com/v1.0/devices?$filter=deviceId eq '{device-id}'