MDM（不是 Intune）无法报告当前管理的设备的合规性状态（向 Azure AD）

Question

通过验证 Azure AD 用户，我已成功将设备（Windows 10 Pro 版本 1803）注册到我们自己的 MDM。接下来我必须告诉 Azure AD 该设备由我们的 MDM 管理，这就是问题所在。

我所做的patch 与文档中的https://docs.microsoft.com/en-us/windows/client-management/mdm/azure-active-directory-integration-with-mdm#report-device-compliance-to-azure-ad 相同

我得到的错误是资源“xyz”不存在或其查询的引用属性对象之一不存在。

到目前为止我所做的是：

1. 在 Azure AD 门户上，我添加了一个 MDM OnPremise 应用程序，设置其使用条款 URL、发现 URL，生成一个秘密。还将 MDM 用户范围配置为 Some，并选择了我的用户所属的 group。
2. OnRequired persimision 我确认“应用程序权限”下的“读写设备”已被选中。
3. 用户进行身份验证（使用 Azure AD 凭据），接受（MDM 的）使用条款，一切正常。这是在设备上的 Settings => Accounts => Access work or school => + Connect 下完成的。
4. 在注册过程中，我解析 Bearer Token 并提取设备 ID（例如 xyz），这与设备成功管理后 Azure AD 门户上的 ID 相同。李>
5. 为了报告合规状态，我做了一个这样的补丁

PATCH https://graph.windows.net/mytenant.onmicrosoft.com/devices/xyz?api-version=1.0 HTTP/1.1 Authorization: Bearer eyJ0eXAiO……… Accept: application/json Content-Type: application/json { "isManaged":true, "isCompliant":true }

但我得到了上述错误。

我也测试了不同的设备 ID，例如

• 在 Settigns => System => About 上显示的一个 Windows 10。

• 或在注册期间请求安全令牌请求的元素 ContextItem 属性 DeviceID 上存在的那个。

  我在上面的patch 上使用的bearer token 是在注册的 MDM 应用程序（使用其凭据，如 appid、secret 等）向 Azure AD 进行自我身份验证时从 microsoft graph 检索到的。

请你帮我找出这个错误的根源，或者给我一些提示来解决这个问题。非常感谢。

提前致谢。

Answer 1

Azure AD 中 Device 对象的 deviceId 经常与对象的 objectId 属性混淆。 （后者在 Azure AD Graph 中称为 objectId，在 Microsoft Graph 中称为 id。在这两种情况下，deviceId 是一个不同属性。）

在使用 Azure AD Graph 对单个设备对象的 GET 请求中：

GET https://graph.windows.net/{tenant-id}/devices/{object-id}

{object-id}标识的字段不是Device对象的deviceId属性，而是objectId属性。

如果您还没有 Device 对象的 objectId 值，但有有 deviceId，则可以使用 Azure AD Graph 或 Microsoft Graph 进行适当的查找。使用 Azure AD 图表：

GET https://graph.windows.net/{tenant-id}/devices?$filter=deviceId eq '{device-id}'

使用 Microsoft Graph，您将使用：

GET https://graph.microsoft.com/v1.0/devices?$filter=deviceId eq '{device-id}'