Cara: Mengelola perangkat kedaluarsa di ID Microsoft Entra

Idealnya, untuk menyelesaikan siklus hidup, perangkat terdaftar harus dibatalkan pendaftarannya ketika tidak diperlukan lagi. Karena perangkat yang hilang, dicuri, rusak, atau penginstalan ulang OS, Anda biasanya memiliki beberapa perangkat kedaluarsa di lingkungan Anda. Sebagai admin TI, Anda mungkin menginginkan metode untuk menghapus perangkat kedaluwarsa, sehingga Anda dapat memfokuskan sumber daya Anda pada pengelolaan perangkat yang benar-benar memerlukan manajemen.

Dalam artikel ini, Anda mempelajari cara mengelola perangkat kedaluwarsa secara efisien di lingkungan Anda.

Apa itu perangkat kedaluwarsa?

Perangkat kedaluarsa adalah perangkat yang terdaftar dengan ID Microsoft Entra yang belum mengakses aplikasi cloud apa pun untuk jangka waktu tertentu. Perangkat kedaluwarsa berdampak pada kemampuan Anda untuk mengelola dan mendukung perangkat dan pengguna Anda di penyewa karena:

• Perangkat duplikat dapat menyulitkan staf helpdesk Anda untuk mengidentifikasi perangkat mana yang saat ini aktif.
• Peningkatan jumlah perangkat membuat tulis balik perangkat yang tidak perlu meningkatkan waktu untuk sinkronisasi Microsoft Entra Koneksi.
• Sebagai kebersihan umum dan untuk memenuhi kepatuhan, Anda mungkin ingin memiliki garis miring perangkat yang bersih.

Perangkat kedaluarsa di MICROSOFT Entra ID dapat mengganggu kebijakan siklus hidup umum untuk perangkat di organisasi Anda.

Deteksi perangkat kedaluwarsa

Karena perangkat kedaluwarsa didefinisikan sebagai perangkat terdaftar yang belum digunakan untuk mengakses aplikasi cloud apa pun untuk jangka waktu tertentu, mendeteksi perangkat kedaluwarsa memerlukan properti terkait stempel waktu. Di MICROSOFT Entra ID, properti ini disebut ApproximateLastSignInDateTime atau tanda waktu aktivitas. Jika delta antara sekarang dan nilai stempel waktu aktivitas melebihi jangka waktu yang telah Anda tentukan untuk perangkat aktif, perangkat dianggap kedaluwarsa. Tanda waktu aktivitas ini sekarang berada di pratinjau publik.

Bagaimana nilai tanda waktu aktivitas dikelola?

Evaluasi tanda waktu aktivitas dipicu oleh upaya autentikasi perangkat. MICROSOFT Entra ID mengevaluasi tanda waktu aktivitas saat:

• Kebijakan Akses Bersyarat yang mengharuskan perangkat terkelola atau aplikasi klien yang disetujui telah dipicu.
• Windows 10 atau perangkat yang lebih baru yang bergabung dengan Microsoft Entra atau gabungan hibrid Microsoft Entra aktif di jaringan.
• Perangkat terkelola Intune telah check masuk ke layanan.

Jika delta antara nilai tanda waktu aktivitas yang ada dan nilai saat ini lebih dari 14 hari (varians +/- 5 hari), nilai yang ada diganti dengan nilai baru.

Bagaimana cara mendapat tanda waktu aktivitas?

Anda memiliki dua opsi untuk mengambil nilai tanda waktu aktivitas:

• Kolom Aktivitas di halaman semua perangkat.

  

• Cmdlet Get-MgDevice .

  

Merencanakan pembersihan perangkat kedaluwarsa Anda

Untuk membersihkan perangkat kedaluarsa secara efisien di lingkungan Anda, Anda harus menentukan kebijakan terkait. Kebijakan ini membantu Anda memastikan bahwa Anda menangkap semua pertimbangan yang terkait dengan perangkat kedaluwarsa. Bagian berikut memberi Anda contoh untuk pertimbangan kebijakan umum.

Perhatian

Jika organisasi Anda menggunakan enkripsi drive BitLocker, Anda harus memastikan bahwa kunci pemulihan BitLocker dicadangkan atau tidak lagi diperlukan sebelum menghapus perangkat. Kegagalan untuk melakukan ini dapat menyebabkan hilangnya data.

Jika Anda menggunakan fitur seperti Autopilot atau Universal Print, perangkat tersebut harus dibersihkan di portal admin masing-masing.

Membersihkan akun

Untuk memperbarui perangkat di ID Microsoft Entra, Anda memerlukan akun yang memiliki salah satu peran berikut yang ditetapkan:

• Admin Perangkat Cloud
• Admin Intune

Dalam kebijakan pembersihan Anda, pilih akun yang memiliki peran yang diperlukan yang ditetapkan.

Jangka waktu

Tentukan jangka waktu yang menjadi indikator Anda untuk perangkat kedaluwarsa. Saat menentukan jangka waktu Anda, pertimbangkan jangka waktu yang ditetapkan untuk memperbarui tanda waktu aktivitas ke nilai Anda. Misalnya, Anda tidak boleh mempertimbangkan tanda waktu yang lebih singkat dari 21 hari (termasuk varians) sebagai indikator untuk perangkat kedaluwarsa. Ada skenario yang dapat membuat perangkat terlihat seperti kedaluwarsa padahal tidak. Misalnya, pemilik perangkat yang terpengaruh dapat berlibur atau cuti sakit yang melebihi jangka waktu Anda untuk perangkat kedaluwarsa.

Menonaktifkan perangkat

Sebaiknya jangan terburu-buru menghapus perangkat yang tampaknya kedaluwarsa karena Anda tidak dapat membatalkan penghapusan jika status positifnya ternyata palsu. Sebagai praktik terbaik, nonaktifkan perangkat selama masa tenggang sebelum menghapusnya. Dalam kebijakan Anda, tentukan jangka waktu untuk menonaktifkan perangkat sebelum menghapusnya.

Perangkat terkendali MDM

Jika perangkat Anda berada di bawah kendali Intune atau solusi Mobile Manajemen Perangkat (MDM) lainnya, hentikan perangkat dalam sistem manajemen sebelum menonaktifkan atau menghapusnya. Untuk informasi selengkapnya, lihat artikel Menghapus perangkat dengan menggunakan penghapusan, penghentian, atau membatalkan pendaftaran perangkat secara manual.

Perangkat yang dikelola sistem

Jangan hapus perangkat yang dikelola sistem. Ini umumnya berupa perangkat seperti Autopilot. Setelah dihapus, perangkat ini tidak dapat diprovisi ulang.

Perangkat gabungan hibrid Microsoft Entra

Perangkat gabungan hibrid Microsoft Entra Anda harus mengikuti kebijakan Anda untuk manajemen perangkat kedaluarsa lokal.

Untuk membersihkan ID Microsoft Entra:

• Perangkat Windows 10 atau yang lebih baru - Nonaktifkan atau hapus Windows 10 atau perangkat yang lebih baru di AD lokal Anda, dan biarkan Microsoft Entra Koneksi menyinkronkan status perangkat yang diubah ke ID Microsoft Entra.
• Windows 7/8 - Nonaktifkan atau hapus perangkat Windows 7/8 di AD lokal Anda terlebih dahulu. Anda tidak dapat menggunakan Microsoft Entra Koneksi untuk menonaktifkan atau menghapus perangkat Windows 7/8 di ID Microsoft Entra. Sebagai gantinya, saat membuat perubahan di lokal, Anda harus menonaktifkan/menghapus di ID Microsoft Entra.

Catatan

• Menghapus perangkat di Active Directory lokal atau ID Microsoft Entra Anda tidak menghapus pendaftaran pada klien. Ini hanya akan mencegah akses ke sumber daya menggunakan perangkat sebagai identitas (seperti Akses Bersyarat). Baca informasi tambahan tentang cara menghapus pendaftaran pada klien.
• Menghapus perangkat Windows 10 atau yang lebih baru hanya di ID Microsoft Entra akan menyinkronkan ulang perangkat dari lokal Anda menggunakan Microsoft Entra Koneksi tetapi sebagai objek baru dalam status "Tertunda". Pendaftaran ulang diperlukan pada perangkat.
• Menghapus perangkat dari cakupan sinkronisasi untuk Windows 10 atau perangkat /Server 2016 yang lebih baru akan menghapus perangkat Microsoft Entra. Menambahkannya kembali ke cakupan sinkronisasi akan menempatkan objek baru dalam status "Pending". Diperlukan pendaftaran ulang perangkat.
• Jika Anda tidak menggunakan Microsoft Entra Koneksi untuk Windows 10 atau perangkat yang lebih baru untuk disinkronkan (seperti HANYA menggunakan Layanan Federasi Direktori Aktif untuk pendaftaran), Anda harus mengelola siklus hidup yang mirip dengan perangkat Windows 7/8.

Perangkat gabungan Microsoft Entra

Nonaktifkan atau hapus perangkat yang bergabung dengan Microsoft Entra di ID Microsoft Entra.

Catatan

• Menghapus perangkat Microsoft Entra tidak menghapus pendaftaran pada klien. Ini hanya akan mencegah akses ke sumber daya menggunakan perangkat sebagai identitas (seperti Akses Bersyarat).
• Baca selengkapnya tentang cara membatalkan bergabung di MICROSOFT Entra ID

Perangkat terdaftar Microsoft Entra

Nonaktifkan atau hapus perangkat terdaftar Microsoft Entra di ID Microsoft Entra.

Catatan

• Menghapus perangkat terdaftar Microsoft Entra di MICROSOFT Entra ID tidak menghapus pendaftaran pada klien. Ini hanya akan mencegah akses ke sumber daya menggunakan perangkat sebagai identitas (seperti Akses Bersyarat).
• Baca selengkapnya tentang cara menghapus pendaftaran pada klien

Membersihkan perangkat kedaluarsa

Meskipun Anda dapat membersihkan perangkat kedaluarsa di pusat admin Microsoft Entra, lebih efisien untuk menangani proses ini menggunakan skrip PowerShell. Gunakan modul PowerShell V2 terbaru untuk menggunakan filter tanda waktu dan untuk memfilter perangkat yang dikelola sistem seperti Autopilot.

Rutinitas tipikal terdiri dari langkah-langkah berikut ini:

1. Koneksi ke ID Microsoft Entra menggunakan cmdlet Koneksi-MgGraph
2. Dapatkan daftar perangkat.
3. Nonaktifkan perangkat menggunakan cmdlet Update-MgDevice (nonaktifkan dengan menggunakan opsi -AccountEnabled).
4. Tunggu masa tenggang namun dalam jumlah hari yang Anda pilih sebelum menghapus perangkat.
5. Hapus perangkat menggunakan cmdlet Remove-MgDevice .

Mendapatkan daftar perangkat

Untuk mendapat semua perangkat dan menyimpan data yang dikembalikan dalam file CSV:

Get-MgDevice -All | select-object -Property AccountEnabled, DeviceId, OperatingSystem, OperatingSystemVersion, DisplayName, TrustType, ApproximateLastSignInDateTime | export-csv devicelist-summary.csv -NoTypeInformation

Jika Anda memiliki sejumlah besar perangkat di direktori Anda, gunakan filter tanda waktu untuk mengurangi jumlah perangkat yang dihasilkan. Untuk mendapatkan semua perangkat yang belum masuk dalam 90 hari dan menyimpan data yang ditampilkan dalam file CSV:

$dt = (Get-Date).AddDays(-90)
Get-MgDevice -All | Where {$_.ApproximateLastSignInDateTime -le $dt} | select-object -Property AccountEnabled, DeviceId, OperatingSystem, OperatingSystemVersion, DisplayName, TrustType, ApproximateLastSignInDateTime | export-csv devicelist-olderthan-90days-summary.csv -NoTypeInformation

Peringatan

Beberapa perangkat aktif mungkin memiliki stempel waktu kosong.

Mengatur perangkat ke nonaktif

Dengan menggunakan perintah yang sama, kita dapat menyalurkan output ke perintah set untuk menonaktifkan perangkat di atas usia tertentu.

$dt = (Get-Date).AddDays(-90)
$params = @{
	accountEnabled = $false
}

$Devices = Get-MgDevice -All | Where {$_.ApproximateLastSignInDateTime -le $dt}
foreach ($Device in $Devices) { 
   Update-MgDevice -DeviceId $Device.Id -BodyParameter $params 
}

Menghapus perangkat

Perhatian

Remove-MgDevice Cmdlet tidak memberikan peringatan. Menjalankan perintah ini akan menghapus perangkat tanpa meminta. Tidak ada cara untuk memulihkan perangkat yang dihapus.

Sebelum administrator menghapus perangkat apa pun, cadangkan kunci pemulihan BitLocker apa pun yang mungkin Anda butuhkan di masa mendatang. Tidak ada cara untuk memulihkan kunci pemulihan BitLocker setelah menghapus perangkat terkait.

Berdasarkan contoh perangkat yang dinonaktifkan, kami mencari perangkat yang dinonaktifkan, yang sekarang tidak aktif selama 120 hari, dan menyalurkan output ke Remove-MgDevice untuk menghapus perangkat tersebut.

$dt = (Get-Date).AddDays(-120)
$Devices = Get-MgDevice -All | Where {($_.ApproximateLastSignInDateTime -le $dt) -and ($_.AccountEnabled -eq $false)}
foreach ($Device in $Devices) {
   Remove-MgDevice -DeviceId $Device.Id
}

Yang harus Anda ketahui

Mengapa tanda waktu tidak diperbarui lebih sering?

Tanda waktu diperbarui untuk mendukung skenario siklus hidup perangkat. Atribut ini bukan audit. Gunakan log audit masuk untuk pembaruan yang lebih sering pada perangkat. Beberapa perangkat aktif mungkin memiliki stempel waktu kosong.

Mengapa saya harus khawatir tentang kunci BitLocker saya?

Saat dikonfigurasi, kunci BitLocker untuk Windows 10 atau perangkat yang lebih baru disimpan pada objek perangkat di ID Microsoft Entra. Jika Anda menghapus perangkat kedaluwarsa basi, Anda juga menghapus tombol BitLocker yang disimpan di perangkat. Sebelum menghapus perangkat kedaluwarsa, pastikan bahwa kebijakan pembersihan Anda selaras dengan siklus hidup sebenarnya dari perangkat Anda.

Mengapa saya harus khawatir tentang perangkat Windows Autopilot?

Saat Anda menghapus perangkat Microsoft Entra yang terkait dengan objek Windows Autopilot, tiga skenario berikut dapat terjadi jika perangkat akan digunakan kembali di masa mendatang:

• Dengan penyebaran berbasis pengguna Windows Autopilot tanpa menggunakan pra-provisi, perangkat Microsoft Entra baru dibuat, tetapi tidak ditandai dengan ZTDID.
• Dengan penyebaran mode penyebaran mandiri Windows Autopilot, penyebaran tersebut akan gagal karena perangkat Microsoft Entra terkait tidak dapat ditemukan. (Kegagalan ini adalah mekanisme keamanan untuk memastikan bahwa tidak ada perangkat "imposter" yang mencoba bergabung dengan ID Microsoft Entra tanpa kredensial.) Kegagalan menunjukkan ketidakcocokan ZTDID.
• Dengan penyebaran pra-provisi Windows Autopilot, penyebaran tersebut gagal karena perangkat Microsoft Entra terkait tidak dapat ditemukan. (Di balik layar, penerapan prapenyediaan menggunakan proses mode penyebaran mandiri yang sama, sehingga menerapkan mekanisme keamanan yang sama.)

Gunakan Get-MgDeviceManagementWindowsAutopilotDeviceIdentity untuk mencantumkan perangkat Windows Autopilot di organisasi Anda dan bandingkan dengan daftar perangkat untuk dibersihkan.

Bagaimana cara mengetahui semua jenis perangkat yang bergabung?

Untuk mempelajari selengkapnya tentang berbagai jenis yang ada, lihat gambaran umum manajemen perangkat.

Apa yang terjadi ketika saya menonaktifkan perangkat?

Autentikasi apa pun di mana perangkat digunakan untuk mengautentikasi ke ID Microsoft Entra ditolak. Contoh umumnya adalah:

• Perangkat gabungan hibrid Microsoft Entra - Pengguna mungkin dapat menggunakan perangkat untuk masuk ke domain lokal mereka. Namun, mereka tidak dapat mengakses sumber daya Microsoft Entra seperti Microsoft 365.
• Perangkat yang bergabung dengan Microsoft Entra - Pengguna tidak dapat menggunakan perangkat untuk masuk.
• Perangkat seluler - Pengguna tidak dapat mengakses sumber daya Microsoft Entra seperti Microsoft 365.

Konten terkait

Untuk informasi selengkapnya tentang perangkat yang dikelola dengan Intune, lihat artikel Menghapus perangkat dengan menggunakan penghapusan, penghentian, atau membatalkan pendaftaran perangkat secara manual.

Untuk mendapatkan gambaran umum tentang cara mengelola perangkat, lihat mengelola identitas perangkat