Anleitung: Verwalten von veralteten Geräte in Azure AD

Idealerweise sollte die Registrierung von registrierten Geräten aufgehoben werden, wenn sie nicht mehr benötigt werden, um den Lebenszyklus abzuschließen. Aufgrund von verloren gegangenen, gestohlenen und beschädigten Geräten oder Neuinstallationen des Betriebssystems enthält Ihre Umgebung normalerweise veraltete Geräte. Als IT-Administrator wünschen Sie sich wahrscheinlich eine Methode zum Entfernen von veralteten Geräten, damit Sie Ihre Ressourcen für die Verwaltung der Geräte einsetzen können, für die dies tatsächlich erforderlich ist.

In diesem Artikel wird beschrieben, wie Sie veraltete Geräte in Ihrer Umgebung effizient verwalten.

Was ist ein veraltetes Gerät?

Ein veraltetes Gerät ist ein Gerät, das für Azure AD registriert, aber dann in einem bestimmten Zeitraum nicht für den Zugriff auf Cloud-Apps genutzt wurde. Veraltete Geräte wirken sich aus folgenden Gründen auf die Verwaltung und Unterstützung Ihrer Geräte und Benutzer im Mandanten aus:

• Doppelte Geräte können für Ihre Helpdesk-Mitarbeiter die Identifizierung des derzeit aktiven Geräts erschweren.
• Bei einer erhöhten Anzahl von Geräten werden unnötige Geräterückschreiben-Vorgänge erstellt, sodass sich die Dauer von Azure AD-Verbindungssynchronisierungen erhöht.
• Als allgemeine Hygienemaßnahme und zur Erfüllung der Konformität ist es ratsam, über einen bereinigten Gerätestand zu verfügen.

Veraltete Geräte in Azure AD können eine Störung der allgemeinen Lebenszyklusrichtlinien für Geräte in Ihrer Organisation darstellen.

Erkennen von veralteten Geräten

Da ein veraltetes Gerät als ein registriertes Gerät definiert ist, das für einen bestimmten Zeitraum nicht für den Zugriff auf Cloud-Apps verwendet wurde, ist für die Erkennung von veralteten Geräten eine zeitstempelbezogene Eigenschaft erforderlich. In Azure AD wird diese Eigenschaft als ApproximateLastLogonTimestamp oder Aktivitätszeitstempel bezeichnet. Wenn das Delta zwischen dem Jetzt-Wert und dem Wert des Aktivitätszeitstempels den Zeitrahmen überschreitet, den Sie für aktive Geräte definiert haben, wird ein Gerät als veraltet angesehen. Dieser Aktivitätszeitstempel befindet sich jetzt in der öffentlichen Vorschauphase.

Wie wird der Wert des Aktivitätszeitstempels verwaltet?

Die Auswertung des Aktivitätszeitstempels wird durch einen Authentifizierungsversuch eines Geräts ausgelöst. Azure AD wertet den Aktivitätszeitstempel aus, wenn Folgendes gilt:

• Eine Richtlinie für bedingten Zugriff, für die verwaltete Geräte oder genehmigte Client-Apps benötigt werden, wurde ausgelöst.
• Geräte mit Windows 10 oder höher, die entweder in Azure AD oder Hybrid-Azure AD eingebunden sind, sind im Netzwerk aktiv.
• Mit Intune verwaltete Geräte wurden in den Dienst eingecheckt.

Wenn das Delta zwischen dem vorhandenen Wert des Aktivitätszeitstempels und dem aktuellen Wert größer als 14 Tage ist (+/- 5 Tage Abweichung), wird der vorhandene Wert durch den neuen Wert ersetzt.

Wie erhalte ich den Aktivitätszeitstempel?

Sie haben zwei Möglichkeiten, um den Wert des Aktivitätszeitstempels abzurufen:

• Die Spalte Aktivität auf der Geräteseite im Azure-Portal.

  

• Das Cmdlet Get-AzureADDevice.

  

Planen der Bereinigung Ihrer veralteten Geräte

Sie sollten eine entsprechende Richtlinie definieren, um veraltete Gerät in Ihrer Umgebung effizient zu bereinigen. Mit dieser Richtlinie können Sie sicherstellen, dass Sie in Bezug auf veraltete Geräte alle Aspekte erfassen. Die folgenden Abschnitte enthalten Beispiele zu den allgemeinen Aspekten von Richtlinien.

Achtung

Wenn Ihre Organisation die BitLocker-Laufwerksverschlüsselung verwendet, sollten Sie sicherstellen, dass BitLocker-Wiederherstellungsschlüssel entweder gesichert oder nicht mehr benötigt werden, bevor Sie Geräte löschen. Andernfalls kann es zum Datenverlust kommen.

Konto für Bereinigung

Zum Aktualisieren eines Geräts in Azure AD benötigen Sie ein Konto, dem die folgenden Rollen zugewiesen sind:

• Globaler Administrator
• Cloudgeräteadministrator
• Intune-Dienstadministrator

Wählen Sie in der Bereinigungsrichtlinie Konten aus, denen die erforderlichen Rollen zugewiesen sind.

Zeitraum

Definieren Sie einen Zeitraum, der als Indikator für ein veraltetes Gerät dient. Rechnen Sie beim Definieren des Zeitraums das Zeitfenster zum Aktualisieren des Aktivitätszeitstempels in Ihren Wert ein. Beispielsweise sollten Sie einen Zeitstempel, der jünger als 21 Tage ist (inklusive Abweichung), nicht als Indikator für ein veraltetes Gerät ansehen. Es gibt Szenarien, in denen ein Gerät veraltet erscheint, obwohl dies noch nicht der Fall ist. Der Besitzer des betroffenen Geräts kann beispielsweise im Urlaub oder krank sein, sodass der Zeitraum für das Veralten von Geräten überschritten wird.

Deaktivieren von Geräten

Es ist nicht ratsam, ein Gerät sofort zu löschen, das veraltet erscheint. Falls es fälschlicherweise als veraltet gekennzeichnet wurde, können Sie einen Löschvorgang nämlich nicht mehr rückgängig machen. Die bewährte Methode besteht darin, ein Gerät für einen Karenzzeitraum zu deaktivieren, bevor Sie es löschen. Definieren Sie in Ihrer Richtlinie einen Zeitraum, in dem ein Gerät deaktiviert werden kann, bevor der Löschvorgang durchgeführt wird.

Geräte mit MDM-Steuerung

Wenn Ihr Gerät per Intune oder mit einer anderen MDM-Lösung gesteuert wird, sollten Sie das Gerät im Verwaltungssystem ausmustern, bevor Sie es deaktivieren oder löschen. Weitere Informationen finden Sie im Artikel Entfernen von Geräten durch Zurücksetzen, Deaktivieren oder manuelles Aufheben der Registrierung des Geräts.

Vom System verwaltete Geräte

Löschen Sie keine vom System verwalteten Geräte. Bei diesen Geräten handelt es sich normalerweise um Geräte wie Autopilot. Nach dem Löschen können diese Geräte nicht erneut bereitgestellt werden.

In Azure AD eingebundene Hybridgeräte

Ihre in Hybrid-Azure AD eingebundenen Geräte sollten an Ihren Richtlinien für die Verwaltung von lokalen veralteten Geräten ausgerichtet sein.

So bereinigen Sie Azure AD

• Geräte mit Windows 10 oder höher: Deaktivieren oder löschen Sie Geräte mit Windows 10 oder höher auf Ihrer lokalen AD-Instanz, und lassen Sie den geänderten Gerätestatus von Azure AD Connect mit Azure AD synchronisieren.
• Windows 7/8: Deaktivieren oder löschen Sie Windows 7/8-Geräte zunächst in Ihrem lokalen AD. Sie können Azure AD Connect nicht verwenden, um Windows 7/8-Geräte in Azure AD zu deaktivieren oder zu löschen. Stattdessen müssen Sie, wenn Sie lokal Änderungen vornehmen, das Deaktivieren/Löschen in Azure AD durchführen.

Hinweis

• Beim Löschen von Geräten aus Ihrem lokalen AD oder Azure AD wird die Registrierung nicht vom Client entfernt. Es wird lediglich der Zugriff auf Ressourcen verhindert, die das Gerät als Identität verwenden (z. B. bedingter Zugriff). Lesen Sie weitere Informationen zum Entfernen von Registrierungen auf dem Client.
• Wenn Sie ein Gerät mit Windows 10 oder höher nur in Azure AD löschen, wird das Gerät erneut von Ihrem lokalen Standort aus mithilfe von Azure AD Connect synchronisiert – dieses Mal allerdings als neues Objekt im Zustand „Ausstehend“. Auf dem Gerät ist eine erneute Registrierung erforderlich.
• Wenn Sie das Gerät aus dem Synchronisierungsbereich für Geräte mit Windows 10 oder höher/Server 2016 entfernen, wird das Azure AD-Gerät gelöscht. Wenn Sie es erneut dem Synchronisierungsbereich hinzufügen, wird ein neues Objekt im Zustand „Ausstehend“ eingefügt. Auf dem Gerät ist eine erneute Registrierung erforderlich.
• Wenn Sie nicht Azure AD Connect für die Synchronisierung von Geräten mit Windows 10 oder höher verwenden (da Sie z. B. NUR AD FS für die Registrierung nutzen), müssen Sie den Lebenszyklus ähnlich wie bei Windows 7/8-Geräten verwalten.

In Azure AD eingebundene Geräte

Deaktivieren oder löschen Sie in Azure AD eingebundene Geräte in Azure AD.

Hinweis

• Wenn Sie ein Azure AD Gerät löschen, wird die Registrierung auf dem Client nicht entfernt. Es wird lediglich der Zugriff auf Ressourcen verhindert, die das Gerät als Identität verwenden (z. B. bedingter Zugriff).
• Weitere Informationen zum Aufheben der Verknüpfung mit Azure AD

Bei Azure AD registrierte Geräte

Deaktivieren oder löschen Sie in Azure AD registrierte Geräte in Azure AD.

Hinweis

• Wenn Sie ein registriertes Azure AD Gerät löschen, wird die Registrierung auf dem Client nicht entfernt. Es wird lediglich der Zugriff auf Ressourcen verhindert, die das Gerät als Identität verwenden (z. B. bedingter Zugriff).
• Weitere Informationen zum Entfernen einer Registrierung auf dem Client

Bereinigen veralteter Geräte im Azure-Portal

Sie können veraltete Geräte zwar im Azure-Portal bereinigen, es ist aber effizienter, für diesen Vorgang ein PowerShell-Skript zu verwenden. Verwenden Sie das aktuelle PowerShell V2-Modul, um den Zeitstempelfilter zu nutzen und vom System verwaltete Geräte (z. B. Autopilot) herauszufiltern.

Eine typische Routine umfasst die folgenden Schritte:

1. Herstellen einer Verbindung zu Azure Active Directory mit dem Cmdlet Connect-AzureAD
2. Abrufen der Liste mit den Geräten
3. Deaktivieren des Geräts mit dem Cmdlet Set-AzureADDevice (deaktivieren mit der Option „-AccountEnabled“)
4. Warten Sie unabhängig von der ausgewählten Anzahl von Tagen vor dem Löschen des Geräts die Toleranzperiode ab.
5. Entfernen des Geräts mit dem Cmdlet Remove-AzureADDevice

Abrufen der Liste mit den Geräten

Gehen Sie wie folgt vor, um alle Geräte abzurufen und die zurückgegebenen Daten in einer CSV-Datei zu speichern:

Get-AzureADDevice -All:$true | select-object -Property AccountEnabled, DeviceId, DeviceOSType, DeviceOSVersion, DisplayName, DeviceTrustType, ApproximateLastLogonTimestamp | export-csv devicelist-summary.csv -NoTypeInformation

Falls Ihr Verzeichnis eine größere Zahl von Geräten enthält, können Sie den Zeitstempelfilter verwenden, um die Anzahl der zurückgegebenen Geräte einzugrenzen. So rufen Sie alle Geräte ab, die sich 90 Tage nicht angemeldet haben, und speichern die zurückgegebenen Daten in einer CSV-Datei

$dt = (Get-Date).AddDays(-90)
Get-AzureADDevice -All:$true | Where {$_.ApproximateLastLogonTimeStamp -le $dt} | select-object -Property AccountEnabled, DeviceId, DeviceOSType, DeviceOSVersion, DisplayName, DeviceTrustType, ApproximateLastLogonTimestamp | export-csv devicelist-olderthan-90days-summary.csv -NoTypeInformation

Warnung

Einige aktive Geräte verfügen möglicherweise über einen leeren Zeitstempel.

Festlegen von Geräten als deaktiviert

Mit denselben Befehlen können Sie die Ausgabe an den set-Befehl weitergeben, um Geräte über einem bestimmten Alter zu deaktivieren.

$dt = (Get-Date).AddDays(-90)
$Devices = Get-AzureADDevice -All:$true | Where {$_.ApproximateLastLogonTimeStamp -le $dt}
foreach ($Device in $Devices) {
Set-AzureADDevice -ObjectId $Device.ObjectId -AccountEnabled $false
}

Löschen von Geräten

Achtung

Das Cmdlet Remove-AzureADDevice gibt keine Warnung aus. Wenn Sie diesen Befehl ausführen, werden Geräte ohne Aufforderung gelöscht. Es gibt keine Möglichkeit, gelöschte Geräte wiederherzustellen.

Sichern Sie vor dem Löschen von Geräten alle BitLocker-Wiederherstellungsschlüssel, die Sie möglicherweise in Zukunft benötigen. Es gibt keine Möglichkeit, BitLocker-Wiederherstellungsschlüssel nach dem Löschen des zugeordneten Geräts wiederherzustellen.

Auf der Grundlage des Beispiels zum Deaktivieren von Geräten suchen wir nach deaktivierten Geräten, die jetzt 120 Tage lang inaktiv sind, und übergeben die Ausgabe an Remove-AzureADDevice, um diese Geräte zu löschen.

$dt = (Get-Date).AddDays(-120)
$Devices = Get-AzureADDevice -All:$true | Where {($_.ApproximateLastLogonTimeStamp -le $dt) -and ($_.AccountEnabled -eq $false)}
foreach ($Device in $Devices) {
Remove-AzureADDevice -ObjectId $Device.ObjectId
}

Wichtige Informationen

Warum wird der Zeitstempel nicht häufiger aktualisiert?

Der Zeitstempel wird aktualisiert, um Gerätelebenszyklus-Szenarien zu unterstützen. Dieses Attribut ist keine Überwachung. Verwenden Sie die Überwachungsprotokolle der Anmeldung für häufigere Updates auf dem Gerät. Einige aktive Geräte verfügen möglicherweise über einen leeren Zeitstempel.

Warum sollte ich mir wegen meiner BitLocker-Schlüssel Gedanken machen?

Wenn sie konfiguriert sind, werden BitLocker-Schlüssel für Geräte mit Windows 10 oder höher auf dem Geräteobjekt in Azure AD gespeichert. Wenn Sie ein veraltetes Gerät löschen, löschen Sie auch die BitLocker-Schlüssel, die auf dem Gerät gespeichert sind. Vergewissern Sie sich, dass Ihre Bereinigungsrichtlinie am tatsächlichen Lebenszyklus Ihres Geräts ausgerichtet ist, bevor Sie ein veraltetes Gerät löschen.

Warum sollte ich mir Gedanken über Windows Autopilot-Geräte machen?

Wenn Sie ein Azure AD-Gerät löschen, das einem Windows Autopilot-Objekt zugeordnet war, können die folgenden drei Szenarien eintreten, wenn das Gerät in der Zukunft für einen anderen Zweck verwendet wird:

• Bei benutzergesteuerten Windows Autopilot-Bereitstellungen ohne Vorabbereitstellung wird ein neues Azure AD-Gerät erstellt, aber nicht mit der ZTDID gekennzeichnet.
• Bei Windows Autopilot-Bereitstellungen im Selbstbereitstellungsmodus wird ein Fehler auftreten, weil ein zugeordnetes Azure AD-Gerät nicht gefunden werden kann. (Dieser Fehler ist ein Sicherheitsmechanismus, um sicherzustellen, dass keine „Eindringling“-Geräte versuchen, Azure AD ohne Anmeldeinformationen beizutreten.) Der Fehler weist auf eine fehlende ZTDID-Übereinstimmung hin.
• Bei Windows Autopilot-Bereitstellungen mit Vorabbereitstellung wird ein Fehler auftreten, weil ein zugeordnetes Azure AD-Gerät nicht gefunden werden kann. (Im Hintergrund verwenden Bereitstellungen mit Vorabbereitstellung denselben Selbstbereitstellungsmodus-Prozess, sodass sie dieselben Sicherheitsmechanismen erzwingen.)

Wie kann ich ermitteln, welche Gerätetypen eingebunden sind?

Weitere Informationen zu den unterschiedlichen Typen finden Sie in der Übersicht über die Geräteverwaltung.

Was passiert, wenn ich ein Gerät deaktiviere?

Alle Authentifizierungen, bei denen ein Gerät für die Authentifizierung gegenüber Azure AD genutzt wird, werden abgelehnt. Typische Beispiele:

• Hybrid in Azure AD eingebundenes Gerät: Benutzer können das Gerät ggf. zur Anmeldung in ihrer lokalen Domäne verwenden. Sie können aber nicht auf Azure AD-Ressourcen, z. B. Microsoft 365, zugreifen.
• In Azure AD eingebundenes Gerät: Benutzer können das Gerät nicht verwenden, um sich anzumelden.
• Mobile Geräte: Der Benutzer kann nicht auf Azure AD-Ressourcen, z. B. Microsoft 365, zugreifen.

Nächste Schritte

Geräte, die mit Intune verwaltet werden, können außer Betrieb genommen oder zurückgesetzt werden. Weitere Informationen finden Sie im Artikel Entfernen von Geräten durch Zurücksetzten, Deaktivieren oder manuelles Aufheben der Registrierung des Geräts.

Eine Übersicht über die Verwaltung von Geräten finden Sie unter Verwalten von Geräten mithilfe des Azure-Portals.