Um ein Gerät in Azure AD und MS Intune eindeutig zu identifizieren, benötigt man jeweils die Device ID. Eben diese DeviceID’s sind jedoch unterschiedlich:
- MS Intune: Device ID ist die Intune Device ID
- MS Azure AD: Device ID ist die Azure AD Device ID.
Aber Achtung! Der Teufel liegt im Detail. Wenn man mit dem MS Graph arbeitet muss man die Objekt Beziehung beachten:
- Intune Device Objekte werden durch eine Instanz von deviceManagement/managedDevices Objekte (oData type #microsoft.graph.managedDevice Objekt) repräsentiert. ManagedDevice | Microsoft Learn.
Query via:https://graph.microsoft.com/v1.0/deviceManagement/managedDevices/{ID}
- Das Azure AD hat ebenfalls ein Device Objekt Device | MS Learn. Es ist das Basis-Objekt, von welchem das Intune Device Objekt abgeleitet wurde.
Query via:https://graph.microsoft.com/v1.0/devices/{ID}
Beide Objekte besitzen eine „id“ um sie eindeutig zu identifizeren. Und hier liegt meist die Verwirrung:
- Die „id“ der managedDevice Objekte (also MS Intune Device Objekte) entspricht der Intune Device ID.
ID = Intune Device ID - Die „id“ der Azure AD device Objekte werden mit der Azure Object ID referenziert. Sie ist entspricht NICHT der Azure AD Device ID. Das sind effektiv zwei unterschiedliche Werte.
Azure AD Object ID („id“) = Eindeutiger Indentifikator des Gerätes. Vererbt von directoryObject | MS Learn.
Azure AD Device ID („deviceid“) = Eindeutiger Identifikator des Azure Device Registration Service zum Zeitpunkt der Registration des Gerätes. Die Azure AD Device ID wird auch im managedDevice Objekt von Intune gespeichert und verlinkt die beiden Objekte.
Das Auslesen der ID’s kann über die Portale (Microsoft Azure | Microsoft Intune) geschehen oder eben via MS Graph. Beides schauen wir nachfolgend an…
Microsoft Intune – Device ID‘s
Die Azure AD Device ID und auch Intune Device ID findet man in Microsoft Intune unter:
-> Devices | All devices -> [Geraet] -> Hardware:
Microsoft Graph
Das Auslesen der gleichen MS Intune Daten wie in der obigen Übersicht angezeigt geschieht via Graph über den Resource Type managedDevice. Wobei hier der Wert managedDeviceId der Intune Device Id entspricht.
https://graph.microsoft.com/v1.0/deviceManagement/managedDevices/{managedDeviceID}
Die folgende Abfrage ergibt ein übersichtlicheres Resultat für die gewählte Zielmaschine – ersetzt man [dasGeraet] mit dem Namen eines Devices:
https://graph.microsoft.com/v1.0/deviceManagement/managedDevices?$filter=deviceName eq '[deinGeraet]'&?$select=azureADDeviceId,id
Microsoft Azure – Device ID‘s
Um das gleiche Gerät nun im Azure AD zu identifizieren, benötigt man die oben erhaltene Azure AD Device ID. In Azure wählt man den Punkt Azure Active Directory:
Danach findest man die Geräte über:
-> Devices | All devices -> [das Gerät] -> Properties:
Hinweis: Die ID in der Adresszeile ist NICHT die Azure AD Device ID sondern die Object ID des Azure AD. Siehe erster Abschnitt für Klarheit.
Übersicht MS Intune – MS Azure:
Microsoft Graph
Wie oben gesehen, besitzt das Azure AD auch Device Objekte. Sie sind vom Resource Typ device. Das Auslesen Im Graph kann über die folgende Query erreicht werden:
https://graph.microsoft.com/v1.0/devices/{AzureADObjectID}
Die folgende Abfrage ergibt ein kleineres Resultat für die gewählte Zielmaschine – ersetzt man [dieGeraeteId] mit der Azure Device ID des Gerätes:
https://graph.microsoft.com/v1.0/devices?$filter=deviceId eq '[dieGerateId]'&?$select=id,deviceId