Útmutató: Elavult eszközök kezelése a Microsoft Entra-azonosítóban

Ideális esetben az életciklus befejezéséhez a regisztrált eszközöket regisztrálni kell, ha már nincs rájuk szükség. Az elveszett, ellopott, hibás eszközök vagy operációs rendszerek újratelepítése miatt általában elavult eszközökkel rendelkezik a környezetben. Rendszergazdaként minden bizonnyal örülne egy olyan módszernek, amellyel eltávolíthatók az elavult eszközök, hogy az erőforrásokat a tényleges felügyeletet igénylő eszközökre összpontosíthassa.

Ebből a cikkből megtudhatja, hogyan lehet hatékonyan kezelni a környezetben található elavult eszközöket.

Mit nevezünk elavult eszköznek?

Az elavult eszközök olyan eszközök, amelyek regisztrálva vannak a Microsoft Entra ID azonosítójában, de nem voltak arra használva, hogy hozzáférjenek egy adott időkerethez tartozó felhőalkalmazásokhoz. Az elavult eszközök a következők miatt nehezítik a bérlő eszközeinek és felhasználóinak felügyeletét és támogatását:

  • Ha több példány létezik az eszközből, az ügyfélszolgálaton dolgozók nehezen tudják megállapítani, hogy épp melyik eszköz aktív.
  • A megnövekedett számú eszköz szükségtelen visszaírásokat hoz létre, ami növeli a Microsoft Entra Csatlakozás szinkronizálási idejét.
  • A biztonság és az előírásoknak való megfelelés érdekében valószínűleg szeretne rendet tartani az eszközei között.

A Microsoft Entra ID elavult eszközei zavarhatják a szervezet eszközeire vonatkozó általános életciklus-szabályzatokat.

Elavult eszközök észlelése

Mivel az elavult eszközök olyan regisztrált eszközként vannak definiálva, amelyet nem használtak egy adott időkerethez tartozó felhőalkalmazások elérésére, az elavult eszközök észleléséhez időbélyeggel kapcsolatos tulajdonságra van szükség. A Microsoft Entra ID-ban ezt a tulajdonságot ApproximateLastSignInDateTime-nak vagy tevékenység-időbélyegnek nevezzük. Ha a tevékenység időbélyegének értéke közötti eltérés meghaladja az aktív eszközökhöz megadott időkeretet, akkor az eszköz elavultnak minősül. Ez a tevékenység-időbélyegző nyilvános előzetes verzióban érhető el.

Hogyan történik a tevékenység-időbélyegző értékének kezelése?

A tevékenység-időbélyegző kiértékelését egy eszközről érkező hitelesítési kísérlet váltja ki. A Microsoft Entra ID kiértékeli a tevékenység időbélyegét, ha:

  • A rendszer aktivált egy feltételes hozzáférési szabályzatot, amely felügyelt eszközöket vagy jóváhagyott ügyfélalkalmazásokat igényel.
  • A Windows 10 vagy újabb eszközök, amelyekhez a Microsoft Entra csatlakozik, vagy a Microsoft Entra hibrid csatlakozik, aktívak a hálózaton.
  • Intune által felügyelt eszközök jelentkeznek be a szolgáltatásba.

Ha a tevékenység időbélyegének meglévő értéke és az aktuális érték közötti eltérés több mint 14 nap (+/-5 napos eltérés), a meglévő érték helyébe az új érték kerül.

Hogyan szerezhetem be a tevékenység-időbélyegző értékét?

A tevékenység-időbélyegző értékét két módon kérheti le:

  • A Tevékenység oszlop az összes eszköz lapon.

    Screenshot listing the name, owner, and other information of devices. One column lists the activity time stamp.

  • A Get-MgDevice parancsmag.

    Screenshot showing command-line output. One line is highlighted and lists a time stamp for the ApproximateLastSignInDateTime value.

Az elavult eszközök törlésének előkészítése

A környezetben található elavult eszközök hatékony törléséhez érdemes létrehozni egy kapcsolódó szabályzatot. Ez a szabályzat biztosítja, hogy az elavult eszközökkel kapcsolatos összes szempontot figyelembe vegye. A következő szakaszokban több példát is fog látni a szabályzatokkal kapcsolatos gyakori szempontokra.

Figyelemfelhívás

Ha a szervezet BitLocker meghajtótitkosítást használ, az eszközök törlése előtt győződjön meg arról, hogy a BitLocker helyreállítási kulcsok biztonsági mentése vagy már nem szükséges. Ennek elmulasztása adatvesztést okozhat.

Fiók a törlés elvégzéséhez

Az eszköz Microsoft Entra-azonosítóban való frissítéséhez olyan fiókra van szüksége, amelyhez az alábbi szerepkörök valamelyike van hozzárendelve:

  • Globális rendszergazda
  • Cloud Device Rendszergazda istrator
  • Intune szolgáltatás rendszergazdája

A törlési szabályzatban válasszon olyan fiókokat, amelyekhez hozzá vannak rendelve a szükséges szerepkörök.

Időszak

Határozza meg az időszakot, amelyen túl egy eszköz elavultnak minősül. Az időkeret meghatározásakor vegye figyelembe a tevékenység időbélyegének az értékre való frissítésére feljegyzett ablakot. Nem érdemes például 21 napnál fiatalabb időbélyeget (a varianciát is beleértve) tekinteni egy elavult eszköz mutatójaként. Bizonyos esetekben egy eszköz akkor is elavultnak tűnhet, ha valójában nem az. Az érintett eszköz tulajdonosa például szabadságon vagy betegszabadságon lehet, amely túllépi az elavult eszközökre vonatkozó időkeretet.

Eszközök letiltása

Nem ajánlott azonnal törölni egy elavultnak tűnő eszközt, mert hamis pozitív érték esetén nem vonhatja vissza a törlést. Az ajánlott eljárásnak megfelelően határozzon meg egy türelmi időszakot, amely során letiltja az eszközt, mielőtt törölné. A szabályzatban adjon meg egy időszakot, amelynek során az eszköz le lesz tiltva, mielőtt törlődne.

MDM által vezérelt eszközök

Amennyiben az eszközt az Intune vagy más MDM-megoldás vezérli, vonja ki az eszközt a kezelési rendszerben, mielőtt letiltaná vagy törölné azt. További információ: Eszközök eltávolítása az eszköz törlésével, kivonásával vagy manuális törlésével.

Rendszer által felügyelt eszközök

A rendszer által felügyelt eszközöket sose törölje. Ezek az eszközök általában olyan eszközök, mint az Autopilot. Ezeket az eszközöket a törlést követően nem lehet újból kiépíteni.

Microsoft Entra hibrid csatlakoztatott eszközök

A Microsoft Entra hibrid csatlakoztatott eszközeinek követnie kell a helyszíni elavult eszközfelügyeletre vonatkozó szabályzatokat.

A Microsoft Entra-azonosító törlése:

  • Windows 10 vagy újabb eszközök – Tiltsa le vagy törölje a Windows 10 vagy újabb eszközöket a helyszíni AD-ben, és hagyja, hogy a Microsoft Entra Csatlakozás szinkronizálja a módosított eszköz állapotát a Microsoft Entra-azonosítóval.
  • Windows 7/8 – Először tiltsa le vagy törölje a Windows 7/8-eszközöket a helyszíni AD-ben. A Microsoft Entra Csatlakozás nem használható Windows 7/8 rendszerű eszközök letiltására vagy törlésére a Microsoft Entra-azonosítóban. Ehelyett a helyszíni módosítások végrehajtásakor le kell tiltania/törölnie kell a Microsoft Entra-azonosítót.

Feljegyzés

  • A helyi Active Directory vagy a Microsoft Entra-azonosítóban lévő eszközök törlése nem távolítja el az ügyfél regisztrációját. Ez csak identitásként (például feltételes hozzáférésként) használva akadályozza meg az erőforrásokhoz való hozzáférést. További információ az ügyfél regisztrációjának eltávolításáról.
  • Ha csak a Microsoft Entra ID-ban töröl egy Windows 10-et vagy újabb eszközt, a Microsoft Entra Csatlakozás használatával újra szinkronizálja az eszközt a helyszíni eszközről, de "Függőben" állapotú új objektumként. Az eszközön újraregisztráció szükséges.
  • Ha eltávolítja az eszközt a Windows 10 vagy újabb /Server 2016 rendszerű eszközök szinkronizálási hatóköréből, törli a Microsoft Entra-eszközt. Ha visszahelyezi a szinkronizálási hatókörbe, egy új objektum "Függőben" állapotba kerül. Az eszköz újraregisztrációja szükséges.
  • Ha nem a Windows 10-hez vagy újabb eszközökhöz készült Microsoft Entra Csatlakozás használja a szinkronizálást (például csak az AD FS-t használja regisztrációhoz), a Windows 7/8-eszközökhöz hasonló életciklust kell kezelnie.

Microsoft Entra csatlakozott eszközök

A Microsoft Entra-hoz csatlakoztatott eszközök letiltása vagy törlése a Microsoft Entra-azonosítóban.

Feljegyzés

  • A Microsoft Entra-eszköz törlése nem távolítja el a regisztrációt az ügyfélen. Ez csak identitásként (például feltételes hozzáférésként) használva akadályozza meg az erőforrásokhoz való hozzáférést.
  • További információ a Csatlakozás megszüntetése a Microsoft Entra-azonosítóról

Microsoft Entra regisztrált eszközök

Tiltsa le vagy törölje a Microsoft Entra által regisztrált eszközöket a Microsoft Entra-azonosítóban.

Feljegyzés

  • Ha töröl egy Microsoft Entra-regisztrált eszközt a Microsoft Entra-azonosítóban, az nem távolítja el az ügyfél regisztrációját. Ez csak identitásként (pl. feltételes hozzáférés) keresztül akadályozza meg az erőforrásokhoz való hozzáférést.
  • További információ az ügyfél regisztrációjának eltávolításáról

Elavult eszközök tisztítása

Bár a Microsoft Entra felügyeleti központban megtisztíthatja az elavult eszközöket, hatékonyabban kezelheti ezt a folyamatot Egy PowerShell-szkript használatával. A legújabb PowerShell V2-modullal használhatja az időbélyeg-szűrőt, és kiszűrheti a rendszer által felügyelt eszközöket, például az Autopilotot.

A folyamat jellemzően a következő lépésekből áll:

  1. Csatlakozás a Microsoft Entra-azonosítóhoz a Csatlakozás-MgGraph parancsmag használatával
  2. Az eszközök listájának lekérése.
  3. Tiltsa le az eszközt az Update-MgDevice parancsmaggal (tiltsa le a -AccountEnabled beállítással).
  4. Az eszköz törlése előtt várja ki a kívánt hosszúságú türelmi időszakot.
  5. Távolítsa el az eszközt a Remove-MgDevice parancsmaggal.

Az eszközök listájának lekérése

Az összes eszköz lekérése és a visszaadott adatok tárolása egy CSV-fájlban:

Get-MgDevice -All | select-object -Property AccountEnabled, DeviceId, OperatingSystem, OperatingSystemVersion, DisplayName, TrustType, ApproximateLastSignInDateTime | export-csv devicelist-summary.csv -NoTypeInformation

Ha nagy számú eszköz található a címtárban, az időbélyeg-szűrővel szűkítheti a visszaadott eszközök számát. Az összes olyan eszköz lekérése, amely 90 napja nem jelentkezett be, és a visszaadott adatokat egy CSV-fájlban tárolja:

$dt = (Get-Date).AddDays(-90)
Get-MgDevice -All | Where {$_.ApproximateLastSignInDateTime -le $dt} | select-object -Property AccountEnabled, DeviceId, OperatingSystem, OperatingSystemVersion, DisplayName, TrustType, ApproximateLastSignInDateTime | export-csv devicelist-olderthan-90days-summary.csv -NoTypeInformation

Eszközök letiltása

Ugyanezekkel a parancsokkal a kimenetet a beállított parancsra irányíthatjuk, hogy letiltsuk az eszközöket egy bizonyos kor felett.

$dt = (Get-Date).AddDays(-90)
$params = @{
	accountEnabled = $false
}

$Devices = Get-MgDevice -All | Where {$_.ApproximateLastSignInDateTime -le $dt}
foreach ($Device in $Devices) { 
   Update-MgDevice -DeviceId $Device.Id -BodyParameter $params 
}

Eszközök törlése

Figyelemfelhívás

A Remove-MgDevice parancsmag nem ad figyelmeztetést. A parancs futtatása kérés nélkül törli az eszközöket. A törölt eszközök nem állíthatók helyre.

Az eszközök törlése előtt biztonsági másolatot kell készítenie az esetlegesen szükséges BitLocker helyreállítási kulcsról a jövőben. A társított eszköz törlése után nem lehet helyreállítani a BitLocker helyreállítási kulcsait.

A letiltott eszközökre épülő példában letiltott eszközöket keresünk, amelyek mostantól 120 napig inaktívak, és a kimenetet az eszközök törléséhez Remove-MgDevice csövezzük.

$dt = (Get-Date).AddDays(-120)
$Devices = Get-MgDevice -All | Where {($_.ApproximateLastSignInDateTime -le $dt) -and ($_.AccountEnabled -eq $false)}
foreach ($Device in $Devices) {
   Remove-MgDevice -DeviceId $Device.Id
}

Alapismeretek

Miért nem frissül gyakrabban az időbélyegző?

Az időbélyegzőt az eszközéletciklus-forgatókönyvek támogatása végett kell frissíteni. Ez az attribútum nem naplózás. Ha gyakoribb frissítésekre van szüksége az eszközről, használja a bejelentkezési auditnaplókat. Egyes aktív eszközök üres időbélyeggel rendelkezhetnek.

Miért kell odafigyelni a BitLocker-kulcsokra?

Ha konfigurálva van, a Windows 10-hez vagy újabb eszközökhöz tartozó BitLocker-kulcsok az eszközobjektumon vannak tárolva a Microsoft Entra-azonosítóban. Az elavult eszköz törlésekor az eszközön tárolt BitLocker-kulcsokat is törli. Győződjön meg arról, hogy a karbantartási szabályzat megfelel az eszköz tényleges életciklusának, mielőtt töröl egy elavult eszközt.

Miért kell aggódni a Windows Autopilot-eszközök miatt?

Egy Windows Autopilot-objektumhoz társított Microsoft Entra-eszköz törlésekor az alábbi három forgatókönyv fordulhat elő, ha az eszköz a jövőben vissza lesz állítva:

  • Ha a Windows Autopilot felhasználó által vezérelt üzembe helyezések előtelepítés nélkül történnek, létrejön egy új Microsoft Entra-eszköz, de nem lesz megjelölve a ZTDID azonosítóval.
  • A Windows Autopilot öntelepítési módú üzemelő példányai sikertelenek lesznek, mert nem található egy társított Microsoft Entra-eszköz. (Ez a hiba egy biztonsági mechanizmus, amely biztosítja, hogy az "imposter" eszközök ne próbáljanak hitelesítő adatok nélkül csatlakozni a Microsoft Entra-azonosítóhoz.) A hiba ZTDID-eltérést jelez.
  • A Windows Autopilot előzetes üzembe helyezésekor sikertelenek lesznek, mert egy társított Microsoft Entra-eszköz nem található. (A háttérben az előzetes üzembe helyezés ugyanazt az ön üzembe helyezési módot használja, így ugyanazokat a biztonsági mechanizmusokat kényszerítik ki.)

Honnan tudhatom meg, hogy milyen típusú eszközök vannak csatlakoztatva?

A különböző típusokról az eszközfelügyeletet áttekintő részben olvashat.

Mi történik, ha letiltok egy eszközt?

Minden olyan hitelesítés, amelyben egy eszközt használnak a Microsoft Entra-azonosító hitelesítéséhez, a rendszer megtagadja. Néhány gyakori példa:

  • Microsoft Entra hibrid csatlakoztatott eszköz – Előfordulhat, hogy a felhasználók használhatják az eszközt a helyszíni tartományba való bejelentkezéshez. Azonban nem férnek hozzá a Microsoft Entra-erőforrásokhoz, például a Microsoft 365-höz.
  • Microsoft Entra csatlakoztatott eszköz – A felhasználók nem használhatják az eszközt a bejelentkezéshez.
  • Mobileszközök – A felhasználó nem férhet hozzá a Microsoft Entra-erőforrásokhoz, például a Microsoft 365-höz.

Következő lépések

Az Intune-nal felügyelt eszközök kivonhatók vagy törölhetők. További információ: Eszközök eltávolítása törléssel, kivonással vagy manuálisan az eszköz regisztrációjának törlésével.

Az eszközök kezelésének áttekintéséhez tekintse meg az eszközidentitások kezelését ismertető témakört