MDM（非Intune）無法報告當前正在管理的設備的合規性狀態（對Azure AD）

Question

我通過對Azure AD用戶進行身份驗證，成功地將設備（Windows 10 Pro版本1803）注冊到我們自己的MDM。 接下來，我必須告訴Azure AD該設備由我們的MDM管理，這就是問題發生的地方。

我做的patch與文檔https://docs.microsoft.com/en-us/windows/client-management/mdm/azure-active-directory-integration-with-mdm#report-device-相同。 遵守對Azure的廣告

我得到的錯誤是資源'xyz'不存在或其查詢的引用屬性對象之一不存在 。

到目前為止我所做的是：

1. 在Azure AD Portal上，我添加了一個MDM OnPremise應用程序，設置其使用條款URL，發現URL，生成一個秘密。 還將MDM User范圍配置為Some並選擇了我的用戶所在的group 。
2. On Required persimision我驗證了“Application Permissions”下的“讀寫設備”。
3. 用戶進行身份驗證（使用Azure AD crendentials），接受使用條款（MDM）和voilá都很好。 這是在設備=>帳戶=>訪問工作或學校=> +連接下在設備上完成的。
4. 在注冊期間，我解析了Bearer Token並提取設備ID（例如xyz ），該設備ID與設備成功管理后的Azure AD門戶上的設備ID相同。
5. 要報告合規性狀態，我會執行此類補丁

PATCH https://graph.windows.net/mytenant.onmicrosoft.com/devices/xyz?api-version=1.0 HTTP/1.1 Authorization: Bearer eyJ0eXAiO……… Accept: application/json Content-Type: application/json { "isManaged":true, "isCompliant":true }

但是我得到了上面描述的錯誤。

我已經測試了不同的設備ID，例如

• 一個Windows 10在Settigns上顯示=> System => About。

• 或者在注冊期間請求安全性令牌請求上的元素ContextItem屬性DeviceID上存在的那個。

  當注冊的MDM應用程序（使用其憑據，例如appid，secret等）自我驗證Azure AD時，我從上面的patch使用的bearer token是從微軟圖中檢索的。

你能不能幫我找到這個錯誤的來源，或者給我一些提示來解決這個問題。 我很喜歡它。

提前致謝。

Answer 1

Azure AD中Device對象的deviceId經常與對象的objectId屬性混淆。 （后者在Azure AD Graph中稱為objectId ，在Microsoft Graph中稱為id 。在這兩種情況下， deviceId都是不同的屬性。）

在使用Azure AD Graph的單個Device對象的GET請求中：

GET https://graph.windows.net/{tenant-id}/devices/{object-id}

{object-id}標識的字段不是 Device對象的deviceId屬性，而是objectId屬性。

如果您還沒有Device對象的objectId值，但確實有deviceId ，則可以使用Azure AD Graph或Microsoft Graph進行相應的查找。 使用Azure AD Graph：

GET https://graph.windows.net/{tenant-id}/devices?$filter=deviceId eq '{device-id}'

使用Microsoft Graph，您將使用：

GET https://graph.microsoft.com/v1.0/devices?$filter=deviceId eq '{device-id}'