Procedura: Gestire i dispositivi non aggiornati in Microsoft Entra ID

Idealmente, per completare il ciclo di vita, i dispositivi registrati devono essere annullati quando non sono più necessari. A causa di dispositivi smarriti, rubati, interrotti o reinstallazioni del sistema operativo, in genere si avranno alcuni dispositivi non aggiornati nell'ambiente. Gli amministratori IT hanno bisogno di un metodo per rimuovere i dispositivi non aggiornati, in modo da concentrare le risorse sulla gestione di quelli che necessitano effettivamente di gestione.

In questo articolo si imparerà a gestire in modo efficiente i dispositivi non aggiornati nell'ambiente in uso.

Che cos'è un dispositivo non aggiornato?

Un dispositivo non aggiornato è un dispositivo registrato con l'ID Microsoft Entra, ma non è stato usato per accedere ad app cloud per un intervallo di tempo specifico. La presenza di dispositivi non aggiornati si ripercuote sulla possibilità di gestire e supportare i dispositivi e gli utenti nel tenant perché:

• I dispositivi duplicati possono rendere difficile l'identificazione del dispositivo attualmente attivo da parte del personale del supporto tecnico.
• Un numero maggiore di dispositivi crea writeback dei dispositivi non necessari aumentando il tempo per le sincronizzazioni di Microsoft Entra Connessione.
• Per ragioni di ordine e conformità, è preferibile avere uno stato pulito dei dispositivi.

I dispositivi non aggiornati in Microsoft Entra ID possono interferire con i criteri generali relativi al ciclo di vita per i dispositivi dell'organizzazione.

Rilevare i dispositivi non aggiornati

Poiché un dispositivo non aggiornato è definito come un dispositivo registrato che non è stato usato per accedere ad app cloud per un intervallo di tempo specifico, il rilevamento dei dispositivi non aggiornati richiede una proprietà correlata al timestamp. In Microsoft Entra ID questa proprietà è denominata ApproximateLastSignInDateTime o timestamp dell'attività. Se il delta tra ora e il valore del timestamp dell'attività supera l'intervallo di tempo definito per i dispositivi attivi, un dispositivo viene considerato obsoleto. Il timestamp dell'attività è ora disponibile in anteprima pubblica.

Come viene gestito il valore del timestamp dell'attività?

La valutazione del timestamp dell'attività viene attivata da un tentativo di autenticazione di un dispositivo. Microsoft Entra ID valuta il timestamp dell'attività quando:

• Sono stati attivati criteri di accesso condizionale che richiedono dispositivi gestiti o app client approvate.
• I dispositivi Windows 10 o versioni successive aggiunti a Microsoft Entra o Aggiunti a Microsoft Entra ibrido sono attivi nella rete.
• I dispositivi gestiti da Intune sono stati archiviati nel servizio.

Se il delta tra il valore esistente del timestamp dell'attività e il valore corrente è maggiore di 14 giorni (varianza+/-5 giorni), il valore esistente viene sostituito con il nuovo valore.

Come si ottiene il timestamp dell'attività?

Sono disponibili due opzioni per recuperare il valore del timestamp dell'attività:

• Colonna Attività nella pagina tutti i dispositivi.

  

• Cmdlet Get-MgDevice .

  

Pianificare la pulizia dei dispositivi non aggiornati

Per eliminare in modo efficiente i dispositivi non aggiornati nell'ambiente in uso, è necessario definire criteri correlati. Questi criteri consentono di assicurarsi che siano state prese in esame tutte le considerazioni relative ai dispositivi non aggiornati. Le sezioni seguenti offrono esempi per le considerazioni sui criteri più comuni.

Attenzione

Se l'organizzazione usa la crittografia unità BitLocker, è necessario assicurarsi che venga eseguito il backup delle chiavi di ripristino di BitLocker o non sia più necessario prima dell'eliminazione dei dispositivi. Se non si esegue questa operazione, è possibile che si verifichi una perdita di dati.

Account di pulizia

Per aggiornare un dispositivo in Microsoft Entra ID, è necessario un account con uno dei ruoli seguenti assegnati:

• Amministratore dispositivo cloud
• Amministratore di Intune

Nel criterio di pulizia selezionare gli account con i ruoli richiesti assegnati.

Intervallo di tempo

Definire un intervallo di tempo che è l'indicatore per un dispositivo non aggiornato. Quando si definisce l'intervallo di tempo, considerare la finestra annotata per aggiornare il timestamp dell'attività nel valore. Ad esempio, non è consigliabile considerare un timestamp minore di 21 giorni (include varianza) come indicatore per un dispositivo non aggiornato. Esistono scenari in cui un dispositivo può sembrare non aggiornato ma non lo è. Ad esempio, il proprietario del dispositivo interessato può essere in vacanza o in un congedo malato che supera l'intervallo di tempo per i dispositivi non aggiornati.

Disabilitare i dispositivi

Non è consigliabile eliminare immediatamente un dispositivo che sembra non aggiornato perché non è possibile annullare un'eliminazione se è presente un falso positivo. Come procedura consigliata, disabilitare un dispositivo per un periodo di tolleranza prima di eliminarlo. Nel criterio definire un intervallo di tempo per disabilitare un dispositivo prima di eliminarlo.

Dispositivi controllati tramite MDM

Se il dispositivo è sotto il controllo di Intune o di qualsiasi altra soluzione MDM, ritirare il dispositivo nel sistema di gestione prima di disabilitarlo o eliminarlo. Per altre informazioni, vedere l'articolo Rimuovere i dispositivi usando cancellazione, ritiro o annullamento manuale della registrazione del dispositivo.

Dispositivi gestiti dal sistema

Non eliminare i dispositivi gestiti dal sistema. Questi dispositivi sono in genere dispositivi come Autopilot. una volta eliminati, non possono essere sottoposti a nuovo provisioning.

Dispositivi ibridi aggiunti a Microsoft Entra

I dispositivi aggiunti a Microsoft Entra ibrido devono seguire i criteri per la gestione dei dispositivi non aggiornati in locale.

Per pulire l'ID Microsoft Entra:

• Dispositivi Windows 10 o versioni successive: disabilitare o eliminare i dispositivi Windows 10 o versioni successive in AD locale e consentire a Microsoft Entra Connessione sincronizzare lo stato del dispositivo modificato con Microsoft Entra ID.
• Windows 7/8 : disabilitare o eliminare prima i dispositivi Windows 7/8 in ACTIVE Directory locale. Non è possibile usare Microsoft Entra Connessione per disabilitare o eliminare i dispositivi Windows 7/8 in Microsoft Entra ID. Al contrario, quando si apporta la modifica in locale, è necessario disabilitare/eliminare in Microsoft Entra ID.

Nota

• L'eliminazione di dispositivi nel Active Directory locale o nell'ID Microsoft Entra non rimuove la registrazione nel client. Impedisce solo l'accesso alle risorse usando il dispositivo come identità , ad esempio l'accesso condizionale. Leggere altre informazioni su come rimuovere la registrazione nel client.
• L'eliminazione di un dispositivo Windows 10 o versione successiva solo in Microsoft Entra ID sincronizza nuovamente il dispositivo dall'ambiente locale usando Microsoft Entra Connessione, ma come nuovo oggetto in stato "In sospeso". Nel dispositivo è necessaria una nuova registrazione.
• La rimozione del dispositivo dall'ambito di sincronizzazione per i dispositivi Windows 10 o versioni successive /Server 2016 eliminerà il dispositivo Microsoft Entra. Aggiungendolo di nuovo all'ambito di sincronizzazione, verrà inserito un nuovo oggetto nello stato "In sospeso". È necessaria una nuova registrazione del dispositivo.
• Se non usi Microsoft Entra Connessione per i dispositivi Windows 10 o versioni successive da sincronizzare (ad esempio, solo usando AD FS per la registrazione), devi gestire il ciclo di vita simile ai dispositivi Windows 7/8.

Dispositivi aggiunti a Microsoft Entra

Disabilitare o eliminare i dispositivi aggiunti a Microsoft Entra nell'ID Microsoft Entra.

Nota

• L'eliminazione di un dispositivo Microsoft Entra non rimuove la registrazione nel client. Impedisce solo l'accesso alle risorse usando il dispositivo come identità ,ad esempio l'accesso condizionale.
• Altre informazioni su come annullare la connessione in Microsoft Entra ID

Dispositivi registrati in Microsoft Entra

Disabilitare o eliminare i dispositivi registrati di Microsoft Entra nell'ID Microsoft Entra.

Nota

• L'eliminazione di un dispositivo registrato microsoft Entra in Microsoft Entra ID non rimuove la registrazione nel client. Impedisce solo l'accesso alle risorse usando il dispositivo come identità ,ad esempio l'accesso condizionale.
• Altre informazioni su come rimuovere una registrazione nel client

Pulire i dispositivi non aggiornati

Anche se è possibile pulire i dispositivi non aggiornati nell'interfaccia di amministrazione di Microsoft Entra, è più efficiente gestire questo processo usando uno script di PowerShell. Usare il modulo PowerShell V2 più recente per usare il filtro timestamp e per filtrare i dispositivi gestiti dal sistema, ad esempio Autopilot.

Una tipica routine comprende i passaggi seguenti:

1. Connessione all'ID Microsoft Entra usando il cmdlet Connessione-MgGraph
2. Ottenere l'elenco dei dispositivi.
3. Disabilitare il dispositivo usando il cmdlet Update-MgDevice (disabilitare usando l'opzione -AccountEnabled).
4. Attendere il periodo di tolleranza del numero di giorni specificati prima di eliminare il dispositivo.
5. Rimuovere il dispositivo usando il cmdlet Remove-MgDevice .

Ottenere l'elenco dei dispositivi

Per ottenere tutti i dispositivi e archiviare i dati restituiti in un file CSV:

Get-MgDevice -All | select-object -Property AccountEnabled, DeviceId, OperatingSystem, OperatingSystemVersion, DisplayName, TrustType, ApproximateLastSignInDateTime | export-csv devicelist-summary.csv -NoTypeInformation

Se si dispone di un numero elevato di dispositivi nella directory, usare il filtro timestamp per limitare il numero di dispositivi restituiti. Per ottenere tutti i dispositivi che non hanno eseguito l'accesso in 90 giorni e archiviare i dati restituiti in un file CSV:

$dt = (Get-Date).AddDays(-90)
Get-MgDevice -All | Where {$_.ApproximateLastSignInDateTime -le $dt} | select-object -Property AccountEnabled, DeviceId, OperatingSystem, OperatingSystemVersion, DisplayName, TrustType, ApproximateLastSignInDateTime | export-csv devicelist-olderthan-90days-summary.csv -NoTypeInformation

Avviso

Alcuni dispositivi attivi possono avere un timestamp vuoto.

Impostare i dispositivi su disabilitati

Usando gli stessi comandi è possibile inviare tramite pipe l'output al comando set per disabilitare i dispositivi in un determinato periodo di età.

$dt = (Get-Date).AddDays(-90)
$params = @{
	accountEnabled = $false
}

$Devices = Get-MgDevice -All | Where {$_.ApproximateLastSignInDateTime -le $dt}
foreach ($Device in $Devices) { 
   Update-MgDevice -DeviceId $Device.Id -BodyParameter $params 
}

Eliminare dispositivi

Attenzione

Il Remove-MgDevice cmdlet non fornisce un avviso. L'esecuzione di questo comando eliminerà i dispositivi senza richiedere conferma. Non è possibile ripristinare i dispositivi eliminati.

Prima di eliminare tutti i dispositivi, eseguire il backup di tutte le chiavi di ripristino di BitLocker necessarie in futuro. Non è possibile ripristinare le chiavi di ripristino di BitLocker dopo l'eliminazione del dispositivo associato.

L'esempio disabilita i dispositivi cerca i dispositivi disabilitati, ora inattivi per 120 giorni e invia tramite pipe l'output a Remove-MgDevice per eliminare tali dispositivi.

$dt = (Get-Date).AddDays(-120)
$Devices = Get-MgDevice -All | Where {($_.ApproximateLastSignInDateTime -le $dt) -and ($_.AccountEnabled -eq $false)}
foreach ($Device in $Devices) {
   Remove-MgDevice -DeviceId $Device.Id
}

Informazioni utili

Perché il timestamp non viene aggiornato più frequentemente?

Il timestamp viene aggiornato per supportare scenari del ciclo di vita dei dispositivi. Questo attributo non è un controllo. Usare i log di controllo di accesso per aggiornamenti più frequenti nel dispositivo. Alcuni dispositivi attivi possono avere un timestamp vuoto.

Perché occorre preoccuparsi delle chiavi BitLocker?

Se configurate, le chiavi BitLocker per i dispositivi Windows 10 o versioni successive vengono archiviate nell'oggetto dispositivo in Microsoft Entra ID. Se si elimina un dispositivo non aggiornato, vengono eliminate anche le chiavi BitLocker archiviate nel dispositivo. Verificare che i criteri di pulizia siano allineati al ciclo di vita effettivo del dispositivo prima di eliminare un dispositivo non aggiornato.

Perché è consigliabile preoccuparsi dei dispositivi Windows Autopilot?

Quando si elimina un dispositivo Microsoft Entra associato a un oggetto Windows Autopilot, possono verificarsi i tre scenari seguenti se il dispositivo verrà riutilizzato in futuro:

• Con le distribuzioni guidate dall'utente di Windows Autopilot senza usare il pre-provisioning, verrà creato un nuovo dispositivo Microsoft Entra, ma non verrà contrassegnato con ZTDID.
• Con le distribuzioni in modalità di distribuzione automatica di Windows Autopilot, non riusciranno perché non è possibile trovare un dispositivo Microsoft Entra associato. Questo errore è un meccanismo di sicurezza per assicurarsi che nessun dispositivo "imposter" tenti di aggiungere l'ID Microsoft Entra senza credenziali. L'errore indicherà una mancata corrispondenza di ZTDID.
• Con le distribuzioni di pre-provisioning di Windows Autopilot, non riusciranno perché non è possibile trovare un dispositivo Microsoft Entra associato. In background, le distribuzioni di pre-provisioning usano lo stesso processo in modalità di distribuzione automatica, quindi applicano gli stessi meccanismi di sicurezza.

Usare Get-MgDeviceManagementWindowsAutopilotDeviceIdentity per elencare i dispositivi Windows Autopilot nell'organizzazione e confrontarli con l'elenco dei dispositivi da pulire.

Come si riconoscono tutti i tipi di dispositivi aggiunti?

Per saperne di più sui diversi tipi, vedere la panoramica sulla gestione dei dispositivi.

Cosa accade quando si disabilita un dispositivo?

Tutte le autenticazioni in cui viene usato un dispositivo per eseguire l'autenticazione all'ID Entra Microsoft vengono negate. Esempi comuni:

• Dispositivo aggiunto a Microsoft Entra ibrido: gli utenti potrebbero essere in grado di usare il dispositivo per accedere al dominio locale. Tuttavia, non possono accedere alle risorse di Microsoft Entra, ad esempio Microsoft 365.
• Dispositivo aggiunto a Microsoft Entra: gli utenti non possono usare il dispositivo per accedere.
• Dispositivi mobili: l'utente non può accedere alle risorse di Microsoft Entra, ad esempio Microsoft 365.

Passaggi successivi

I dispositivi gestiti con Intune possono essere ritirati o cancellati. Per altre informazioni, vedere l'articolo Rimuovere i dispositivi tramite cancellazione, ritiro o annullamento manuale della registrazione del dispositivo.

Per una panoramica su come gestire i dispositivi, vedere Gestione delle identità dei dispositivi