Procedura: Gestire i dispositivi non aggiornati in Microsoft Entra ID
Idealmente, per completare il ciclo di vita, i dispositivi registrati devono essere annullati quando non sono più necessari. A causa di dispositivi smarriti, rubati, interrotti o reinstallazioni del sistema operativo, in genere sono presenti alcuni dispositivi non aggiornati nell'ambiente. Gli amministratori IT hanno bisogno di un metodo per rimuovere i dispositivi non aggiornati, in modo da concentrare le risorse sulla gestione di quelli che necessitano effettivamente di gestione.
In questo articolo si imparerà a gestire in modo efficiente i dispositivi non aggiornati nell'ambiente in uso.
Che cos'è un dispositivo non aggiornato?
Un dispositivo non aggiornato è un dispositivo registrato con MICROSOFT Entra ID che non ha eseguito l'accesso ad alcuna app cloud per un intervallo di tempo specifico. La presenza di dispositivi non aggiornati si ripercuote sulla possibilità di gestire e supportare i dispositivi e gli utenti nel tenant perché:
- I dispositivi duplicati possono rendere difficile l'identificazione del dispositivo attualmente attivo da parte del personale del supporto tecnico.
- Un numero maggiore di dispositivi crea writeback di dispositivi non necessari aumentando il tempo per le sincronizzazioni di Microsoft Entra Connect.
- Come igiene generale e per soddisfare la conformità, potrebbe essere necessario avere uno slate pulito di dispositivi.
I dispositivi non aggiornati in Microsoft Entra ID possono interferire con i criteri generali relativi al ciclo di vita per i dispositivi dell'organizzazione.
Rilevare i dispositivi non aggiornati
Poiché un dispositivo non aggiornato è definito come un dispositivo registrato che non è stato usato per accedere ad app cloud per un intervallo di tempo specifico, il rilevamento dei dispositivi non aggiornati richiede una proprietà correlata al timestamp. In Microsoft Entra ID questa proprietà è denominata ApproximateLastSignInDateTime o timestamp dell'attività. Se il delta tra ora e il valore del timestamp dell'attività supera l'intervallo di tempo definito per i dispositivi attivi, un dispositivo viene considerato obsoleto. Il timestamp dell'attività è ora disponibile in anteprima pubblica.
Come viene gestito il valore del timestamp dell'attività?
La valutazione del timestamp dell'attività viene attivata da un tentativo di autenticazione di un dispositivo. Microsoft Entra ID valuta il timestamp dell'attività quando:
- Sono stati attivati criteri di accesso condizionale che richiedono dispositivi gestiti o app client approvate.
- I dispositivi Windows 10 o versioni successive aggiunti a Microsoft Entra o Aggiunti a Microsoft Entra ibrido sono attivi nella rete.
- I dispositivi gestiti da Intune sono stati archiviati nel servizio.
Se il delta tra il valore esistente del timestamp dell'attività e il valore corrente è maggiore di 14 giorni (varianza+/-5 giorni), il valore esistente viene sostituito con il nuovo valore.
Come si ottiene il timestamp dell'attività?
Sono disponibili due opzioni per recuperare il valore del timestamp dell'attività:
Colonna Attività nella pagina tutti i dispositivi.
Cmdlet Get-MgDevice .
Pianificare la pulizia dei dispositivi non aggiornati
Per pulire in modo efficiente i dispositivi non aggiornati nell'ambiente, è necessario definire criteri correlati. Questi criteri consentono di assicurarsi che siano state prese in esame tutte le considerazioni relative ai dispositivi non aggiornati. Le sezioni seguenti offrono esempi per le considerazioni sui criteri più comuni.
Attenzione
Se l'organizzazione usa la crittografia unità BitLocker, è necessario assicurarsi che venga eseguito il backup delle chiavi di ripristino di BitLocker o non sia più necessario prima dell'eliminazione dei dispositivi. Se non si esegue questa operazione, è possibile che si verifichi una perdita di dati.
Se si usano funzionalità come Autopilot o Stampa universale, questi dispositivi devono essere puliti nei rispettivi portali di amministrazione.
Account di pulizia
Per aggiornare un dispositivo in Microsoft Entra ID, è necessario un account con uno dei ruoli seguenti assegnati:
Nel criterio di pulizia selezionare gli account con i ruoli richiesti assegnati.
Intervallo di tempo
Definire un intervallo di tempo che è l'indicatore per un dispositivo non aggiornato. Quando si definisce l'intervallo di tempo, considerare la finestra annotata per aggiornare il timestamp dell'attività nel valore. Ad esempio, non è consigliabile considerare un timestamp minore di 21 giorni (include varianza) come indicatore per un dispositivo non aggiornato. Esistono scenari in cui un dispositivo può sembrare non aggiornato ma non lo è. Ad esempio, il proprietario del dispositivo interessato può essere in vacanza o in un congedo malato che supera l'intervallo di tempo per i dispositivi non aggiornati.
Disabilitare i dispositivi
Non è consigliabile eliminare immediatamente un dispositivo che sembra non aggiornato perché non è possibile annullare un'eliminazione se è presente un falso positivo. Come procedura consigliata, disabilitare un dispositivo per un periodo di tolleranza prima di eliminarlo. Nel criterio definire un intervallo di tempo per disabilitare un dispositivo prima di eliminarlo.
Dispositivi controllati tramite MDM
Se il dispositivo è sotto controllo di Intune o di qualsiasi altra soluzione mobile Gestione dispositivi (MDM), ritirare il dispositivo nel sistema di gestione prima di disabilitarlo o eliminarlo. Per altre informazioni, vedere l'articolo Rimuovere i dispositivi usando cancellazione, ritiro o annullamento manuale della registrazione del dispositivo.
Dispositivi gestiti dal sistema
Non eliminare i dispositivi gestiti dal sistema. Questi dispositivi sono in genere dispositivi come Autopilot. una volta eliminati, non possono essere sottoposti a nuovo provisioning.
Dispositivi ibridi aggiunti a Microsoft Entra
I dispositivi aggiunti a Microsoft Entra ibrido devono seguire i criteri per la gestione dei dispositivi non aggiornati in locale.
Per pulire l'ID Microsoft Entra:
- Dispositivi Windows 10 o versioni successive : disabilitare o eliminare dispositivi Windows 10 o versioni successive in AD locale e consentire a Microsoft Entra Connect di sincronizzare lo stato del dispositivo modificato con Microsoft Entra ID.
- Windows 7/8 : disabilitare o eliminare prima i dispositivi Windows 7/8 in ACTIVE Directory locale. Non puoi usare Microsoft Entra Connect per disabilitare o eliminare i dispositivi Windows 7/8 in Microsoft Entra ID. Al contrario, quando si apporta la modifica in locale, è necessario disabilitare/eliminare in Microsoft Entra ID.
Nota
- L'eliminazione di dispositivi nel Active Directory locale o nell'ID Microsoft Entra non rimuove la registrazione nel client. Impedisce solo l'accesso alle risorse usando il dispositivo come identità , ad esempio l'accesso condizionale. Leggere altre informazioni su come rimuovere la registrazione nel client.
- L'eliminazione di un dispositivo Windows 10 o versione successiva solo in Microsoft Entra ID ri-sincronizza il dispositivo dall'ambiente locale usando Microsoft Entra Connect, ma come nuovo oggetto nello stato "In sospeso". Nel dispositivo è necessaria una nuova registrazione.
- La rimozione del dispositivo dall'ambito di sincronizzazione per i dispositivi Windows 10 o versioni successive /Server 2016 eliminerà il dispositivo Microsoft Entra. Aggiungendolo di nuovo all'ambito di sincronizzazione, verrà inserito un nuovo oggetto nello stato "In sospeso". È necessaria una nuova registrazione del dispositivo.
- Se non si usa Microsoft Entra Connect per i dispositivi Windows 10 o versioni successive per la sincronizzazione (ad esempio solo con AD FS per la registrazione), è necessario gestire il ciclo di vita simile ai dispositivi Windows 7/8.
Dispositivi aggiunti a Microsoft Entra
Disabilitare o eliminare i dispositivi aggiunti a Microsoft Entra nell'ID Microsoft Entra.
Nota
- L'eliminazione di un dispositivo Microsoft Entra non rimuove la registrazione nel client. Impedisce solo l'accesso alle risorse usando il dispositivo come identità , ad esempio l'accesso condizionale.
- Altre informazioni su come annullare la connessione in Microsoft Entra ID
Dispositivi registrati di Microsoft Entra
Disabilitare o eliminare i dispositivi registrati di Microsoft Entra nell'ID Microsoft Entra.
Nota
- L'eliminazione di un dispositivo registrato microsoft Entra in Microsoft Entra ID non rimuove la registrazione nel client. Impedisce solo l'accesso alle risorse usando il dispositivo come identità , ad esempio l'accesso condizionale.
- Altre informazioni su come rimuovere una registrazione nel client
Pulire i dispositivi non aggiornati
Anche se è possibile pulire i dispositivi non aggiornati nell'interfaccia di amministrazione di Microsoft Entra, è più efficiente gestire questo processo usando uno script di PowerShell. Usare il modulo PowerShell V2 più recente per usare il filtro timestamp e per filtrare i dispositivi gestiti dal sistema, ad esempio Autopilot.
Una tipica routine comprende i passaggi seguenti:
- Connettersi all'ID Microsoft Entra usando il cmdlet Connect-MgGraph
- Ottenere l'elenco dei dispositivi.
- Disabilitare il dispositivo usando il cmdlet Update-MgDevice (disabilitare usando l'opzione -AccountEnabled).
- Attendere il periodo di tolleranza del numero di giorni specificati prima di eliminare il dispositivo.
- Rimuovere il dispositivo usando il cmdlet Remove-MgDevice .
Ottenere l'elenco dei dispositivi
Per ottenere tutti i dispositivi e archiviare i dati restituiti in un file CSV:
Get-MgDevice -All | select-object -Property AccountEnabled, DeviceId, OperatingSystem, OperatingSystemVersion, DisplayName, TrustType, ApproximateLastSignInDateTime | export-csv devicelist-summary.csv -NoTypeInformation
Se si dispone di un numero elevato di dispositivi nella directory, usare il filtro timestamp per limitare il numero di dispositivi restituiti. Per ottenere tutti i dispositivi che non hanno eseguito l'accesso in 90 giorni e archiviare i dati restituiti in un file CSV:
$dt = (Get-Date).AddDays(-90)
Get-MgDevice -All | Where {$_.ApproximateLastSignInDateTime -le $dt} | select-object -Property AccountEnabled, DeviceId, OperatingSystem, OperatingSystemVersion, DisplayName, TrustType, ApproximateLastSignInDateTime | export-csv devicelist-olderthan-90days-summary.csv -NoTypeInformation
Impostare i dispositivi su disabilitati
Usando gli stessi comandi è possibile inviare tramite pipe l'output al comando set per disabilitare i dispositivi in un determinato periodo di età.
$dt = (Get-Date).AddDays(-90)
$params = @{
accountEnabled = $false
}
$Devices = Get-MgDevice -All | Where {$_.ApproximateLastSignInDateTime -le $dt}
foreach ($Device in $Devices) {
Update-MgDevice -DeviceId $Device.Id -BodyParameter $params
}
Eliminare dispositivi
Attenzione
Il Remove-MgDevice
cmdlet non fornisce un avviso. L'esecuzione di questo comando eliminerà i dispositivi senza richiedere conferma. Non è possibile ripristinare i dispositivi eliminati.
Prima che gli amministratori eliminino i dispositivi, eseguire il backup di eventuali chiavi di ripristino di BitLocker che potrebbero essere necessarie in futuro. Non è possibile ripristinare le chiavi di ripristino di BitLocker dopo l'eliminazione del dispositivo associato.
L'esempio disabilita i dispositivi cerca i dispositivi disabilitati, ora inattivi per 120 giorni e invia tramite pipe l'output a Remove-MgDevice
per eliminare tali dispositivi.
$dt = (Get-Date).AddDays(-120)
$Devices = Get-MgDevice -All | Where {($_.ApproximateLastSignInDateTime -le $dt) -and ($_.AccountEnabled -eq $false)}
foreach ($Device in $Devices) {
Remove-MgDevice -DeviceId $Device.Id
}
Informazioni utili
Perché il timestamp non viene aggiornato più frequentemente?
Il timestamp viene aggiornato per supportare scenari del ciclo di vita dei dispositivi. Questo attributo non è un controllo. Usare i log di controllo di accesso per aggiornamenti più frequenti nel dispositivo. Alcuni dispositivi attivi potrebbero avere un timestamp vuoto.
Perché occorre preoccuparsi delle chiavi BitLocker?
Se configurate, le chiavi BitLocker per i dispositivi Windows 10 o versioni successive vengono archiviate nell'oggetto dispositivo in Microsoft Entra ID. Se si elimina un dispositivo non aggiornato, vengono eliminate anche le chiavi BitLocker archiviate nel dispositivo. Verificare che i criteri di pulizia siano allineati al ciclo di vita effettivo del dispositivo prima di eliminare un dispositivo non aggiornato.
Perché è consigliabile preoccuparsi dei dispositivi Windows Autopilot?
Quando si elimina un dispositivo Microsoft Entra associato a un oggetto Windows Autopilot, possono verificarsi i tre scenari seguenti se il dispositivo verrà riutilizzato in futuro:
- Con le distribuzioni guidate dagli utenti di Windows Autopilot senza usare il pre-provisioning, viene creato un nuovo dispositivo Microsoft Entra, ma non viene contrassegnato con ZTDID.
- Con le distribuzioni in modalità di distribuzione automatica di Windows Autopilot, non riusciranno perché non è possibile trovare un dispositivo Microsoft Entra associato. Questo errore è un meccanismo di sicurezza per assicurarsi che nessun dispositivo "impostore" tenti di aggiungere Microsoft Entra ID senza credenziali. L'errore indica una mancata corrispondenza di ZTDID.
- Con le distribuzioni di pre-provisioning di Windows Autopilot, non riescono perché non è possibile trovare un dispositivo Microsoft Entra associato. In background, le distribuzioni di pre-provisioning usano lo stesso processo in modalità di distribuzione automatica, quindi applicano gli stessi meccanismi di sicurezza.
Usare Get-MgDeviceManagementWindowsAutopilotDeviceIdentity per elencare i dispositivi Windows Autopilot nell'organizzazione e confrontarli con l'elenco dei dispositivi da pulire.
Come si riconoscono tutti i tipi di dispositivi aggiunti?
Per saperne di più sui diversi tipi, vedere la panoramica sulla gestione dei dispositivi.
Cosa accade quando si disabilita un dispositivo?
Tutte le autenticazioni in cui viene usato un dispositivo per eseguire l'autenticazione all'ID Entra Microsoft vengono negate. Esempi comuni:
- Dispositivo aggiunto a Microsoft Entra ibrido: gli utenti potrebbero essere in grado di usare il dispositivo per accedere al dominio locale. Tuttavia, non possono accedere alle risorse di Microsoft Entra, ad esempio Microsoft 365.
- Dispositivo aggiunto a Microsoft Entra: gli utenti non possono usare il dispositivo per accedere.
- Dispositivi mobili: l'utente non può accedere alle risorse di Microsoft Entra, ad esempio Microsoft 365.
Contenuto correlato
Per altre informazioni sui dispositivi gestiti con Intune, vedere l'articolo Rimuovere i dispositivi tramite cancellazione, ritiro o annullamento manuale della registrazione del dispositivo.
Per una panoramica su come gestire i dispositivi, vedere Gestione delle identità dei dispositivi