Procedure: Verlopen apparaten beheren in Microsoft Entra ID

In het ideale geval moet de levenscyclus van geregistreerde apparaten worden voltooid door de registratie van de apparaten ongedaan te maken op het moment dat ze niet meer nodig zijn. Vanwege verloren, gestolen, kapotte apparaten of herinstallatie van besturingssystemen hebt u doorgaans een aantal verouderde apparaten in uw omgeving. Als IT-beheerder is het prettig om te beschikken over een methode voor het verwijderen van verlopen apparaten, zodat u zich kunt richten op het beheren van apparaten die nog echt in gebruik zijn.

In dit artikel leert u hoe u op een efficiënte manier verlopen apparaten in uw omgeving kunt beheren.

Wat is een verlopen apparaat?

Een verlopen apparaat is een apparaat dat is geregistreerd bij Microsoft Entra ID die gedurende een bepaalde periode geen toegang heeft tot cloud-apps. Verlopen apparaten hebben vanwege de volgende redenen invloed op het efficiënt beheren en ondersteunen van apparaten en gebruikers in de tenant:

• Dubbele apparaten kunnen het lastig maken voor de helpdesk om te bepalen welk apparaat momenteel actief is.
• Een verhoogd aantal apparaten zorgt voor onnodige terugschrijven van apparaten, waardoor de tijd voor Microsoft Entra Verbinding maken synchronisaties toeneemt.
• Als algemene hygiëne en om te voldoen aan naleving, wilt u misschien een schone lei van apparaten hebben.

Verouderde apparaten in Microsoft Entra ID kunnen het algemene levenscyclusbeleid voor apparaten in uw organisatie verstoren.

Verlopen apparaten detecteren

De definitie van een langdurig inactief apparaat is een geregistreerd apparaat dat gedurende een bepaalde periode niet is gebruikt om toegang te krijgen tot cloud-apps. Om die reden vereist het detecteren van langdurig inactieve apparaten een eigenschap met een tijdstempel. In Microsoft Entra ID heet deze eigenschap ApproximateLastSignInDateTime of tijdstempel van activiteit. Als het verschil tussen nu en de waarde van de tijdstempel van de activiteit groter is dan de periode die u hebt gedefinieerd voor actieve apparaten, wordt een apparaat beschouwd als langdurig inactief. Deze tijdstempel van activiteit is nu in openbare preview.

Hoe wordt de waarde van de tijdstempel van activiteit beheerd?

De evaluatie van de tijdstempel van activiteit wordt geactiveerd door een poging tot verificatie van een apparaat. Microsoft Entra-id evalueert de tijdstempel van de activiteit wanneer:

• Een beleid voor voorwaardelijke toegang dat beheerde apparaten of goedgekeurde client-apps vereist, is geactiveerd.
• Windows 10- of nieuwere apparaten die lid zijn van Microsoft Entra of hybride Microsoft Entra-apparaten, zijn actief in het netwerk.
• Met Intune beheerde apparaten zijn ingecheckt bij de service.

Als het verschil tussen de bestaande waarde van de tijdstempel van activiteit en de huidige waarde meer dan veertien dagen (+/- vijf dagen) bedraagt, wordt de bestaande waarde vervangen door de nieuwe waarde.

Hoe kom ik aan het tijdstempel van activiteit?

Er zijn twee manieren om de waarde van de tijdstempel van activiteit te bepalen:

• De kolom Activiteit op de pagina alle apparaten.

  

• De cmdlet Get-MgDevice .

  

Opschonen van verlopen apparaten plannen

Als u verouderde apparaten efficiënt wilt opschonen in uw omgeving, moet u een gerelateerd beleid definiëren. Dit beleid zorgt ervoor dat u rekening houdt met alle overwegingen met betrekking tot verlopen apparaten. In de volgende gedeelten vindt u voorbeelden van algemene beleidsoverwegingen.

Let op

Als uw organisatie BitLocker-stationsversleuteling gebruikt, moet u ervoor zorgen dat er een back-up van BitLocker-herstelsleutels wordt gemaakt of niet meer nodig is voordat u apparaten verwijdert. Als u dit niet doet, kunnen gegevens verloren gaan.

Als u functies zoals Autopilot of Universal Print gebruikt, moeten deze apparaten worden opgeschoond in hun respectieve beheerportals.

Opschoningsaccount

Als u een apparaat in Microsoft Entra-id wilt bijwerken, hebt u een account nodig waaraan een van de volgende rollen is toegewezen:

• Cloudapparaatbeheerder
• Intune-beheerder

Selecteer in uw opschoningsbeleid accounts die over de vereiste rollen beschikken.

Tijdsbestek

Definieer de periode die u als indicator wilt gebruiken voor een verlopen apparaat. Bij het definiëren van de periode moet u rekening houden met het vermelde tijdsbestek waarin de tijdstempel van activiteit in uw waarde wordt bijgewerkt. U moet dan ook geen tijdstempel kiezen die jonger dan 21 dagen (met variantie) is als een indicator voor een langdurig inactief apparaat. Er zijn scenario's waarin het lijkt alsof een apparaat verlopen is terwijl dat niet het geval is. De eigenaar van het betroffen apparaat kan met vakantie zijn of met ziekteverlof - een periode die langer kan zijn dan de gekozen periode voor langdurig inactieve apparaten.

Apparaten uitschakelen

Het wordt afgeraden een apparaat onmiddellijk te verwijderen dat langdurig inactief lijkt te zijn. Het is namelijk niet mogelijk om het apparaat weer terug te halen mocht het toch nog in gebruik zijn. De aanbevolen procedure is om een apparaat gedurende een respijtperiode uit te schakelen voordat u het definitief verwijdert. Definieer in uw beleid een tijdsbestek waarna u een apparaat uitschakelt voordat het definitief wordt verwijderd.

Met MDM beheerde apparaten

Als uw apparaat onder controle is van Intune of een andere MDM-oplossing (Mobile Apparaatbeheer), moet u het apparaat buiten gebruik stellen in het beheersysteem voordat u het uitschakelt of verwijdert. Zie het artikel Apparaten verwijderen met wissen, buiten gebruik stellen of de registratie van het apparaat handmatig ongedaan maken voor meer informatie.

Door systeem beheerde apparaten

Verwijder geen apparaten die door het systeem worden beheerd. Bij deze apparaten gaat het over het algemeen over apparaten als Autopilot. Als een dergelijk apparaat is verwijderd, kan het niet meer opnieuw worden ingericht.

Hybride apparaten van Microsoft Entra

Uw hybride apparaten van Microsoft Entra moeten uw beleid voor on-premises verlopen apparaatbeheer volgen.

Microsoft Entra-id opschonen:

• Windows 10- of nieuwere apparaten: schakel Windows 10- of nieuwere apparaten uit of verwijder deze in uw on-premises AD en laat Microsoft Entra Verbinding maken de gewijzigde apparaatstatus synchroniseren met Microsoft Entra-id.
• Windows 7/8: schakel Windows 7/8-apparaten eerst uit in uw on-premises Azure AD of verwijder ze. U kunt Microsoft Entra Verbinding maken niet gebruiken om Windows 7/8-apparaten in Microsoft Entra-id uit te schakelen of te verwijderen. Wanneer u de wijziging aanbrengt in uw on-premises, moet u in plaats daarvan de Microsoft Entra-id uitschakelen/verwijderen.

Notitie

• Als u apparaten verwijdert in uw on-premises Active Directory of Microsoft Entra-id, wordt de registratie op de client niet verwijderd. Hiermee wordt alleen de toegang tot resources met behulp van een apparaat als een identiteit (zoals voorwaardelijke toegang) voorkomen. Lees aanvullende informatie over het verwijderen van de registratie van de client.
• Als u een Windows 10- of nieuwer apparaat alleen in Microsoft Entra ID verwijdert, wordt het apparaat opnieuw gesynchroniseerd vanaf uw on-premises apparaat met behulp van Microsoft Entra Verbinding maken, maar als een nieuw object met de status In behandeling. Er is een herregistratie vereist op het apparaat.
• Als u het apparaat verwijdert uit het synchronisatiebereik voor Windows 10- of nieuwere /Server 2016-apparaten, wordt het Microsoft Entra-apparaat verwijderd. Als u het weer toevoegt aan het synchronisatiebereik, krijgt een nieuw object de status In behandeling. Er is een herregistratie van het apparaat vereist.
• Als u geen Microsoft Entra Verbinding maken voor Windows 10- of nieuwere apparaten gebruikt om te synchroniseren (bijvoorbeeld ALLEEN met AD FS voor registratie), moet u de levenscyclus beheren die vergelijkbaar is met Windows 7/8-apparaten.

Aan Microsoft Entra gekoppelde apparaten

Schakel Microsoft Entra-gekoppelde apparaten uit of verwijder deze in de Microsoft Entra-id.

Notitie

• Als u een Microsoft Entra-apparaat verwijdert, wordt de registratie op de client niet verwijderd. Hiermee voorkomt u alleen toegang tot resources die een apparaat gebruiken als een identiteit (bijvoorbeeld voorwaardelijke toegang).
• Meer informatie over het ongedaan maken van een Microsoft Entra-id

Geregistreerde Microsoft Entra-apparaten

Schakel geregistreerde Microsoft Entra-apparaten uit of verwijder deze in de Microsoft Entra-id.

Notitie

• Als u een geregistreerd Microsoft Entra-apparaat in Microsoft Entra-id verwijdert, wordt de registratie op de client niet verwijderd. Hiermee voorkomt u alleen toegang tot resources die een apparaat gebruiken als een identiteit (bijvoorbeeld voorwaardelijke toegang).
• Meer informatie over het verwijderen van een registratie op de client

Verouderde apparaten opschonen

Hoewel u verouderde apparaten kunt opschonen in het Microsoft Entra-beheercentrum, is het efficiënter om dit proces te verwerken met behulp van een PowerShell-script. Gebruik de meest recente PowerShell V2-module om met behulp van het timestamp-filter apparaten uit te filteren die door het systeem worden beheerd, zoals Autopilot.

Een typische routine bestaat uit de volgende stappen:

1. Verbinding maken naar Microsoft Entra-id met behulp van de cmdlet Verbinding maken-MgGraph
2. Haal de lijst met apparaten op.
3. Schakel het apparaat uit met behulp van de cmdlet Update-MgDevice (uitschakelen met de optie -AccountEnabled).
4. Wacht tot de respijtperiode (d.w.z. het aantal dagen dat u hiervoor hebt gekozen) is verlopen voordat u het apparaat verwijdert.
5. Verwijder het apparaat met behulp van de cmdlet Remove-MgDevice .

De lijst met apparaten opvragen

Alle apparaten opvragen en de geretourneerde gegevens opslaan in een CSV-bestand:

Get-MgDevice -All | select-object -Property AccountEnabled, DeviceId, OperatingSystem, OperatingSystemVersion, DisplayName, TrustType, ApproximateLastSignInDateTime | export-csv devicelist-summary.csv -NoTypeInformation

Als uw map een groot aantal apparaten bevat, gebruikt u het timestamp-filter om het aantal geretourneerde apparaten te beperken. Ga als volgt te werk als u alle apparaten wilt ophalen die de afgelopen negentig dagen niet zijn aangemeld en de geretourneerde gegevens in een CSV-bestand wilt opslaan:

$dt = (Get-Date).AddDays(-90)
Get-MgDevice -All | Where {$_.ApproximateLastSignInDateTime -le $dt} | select-object -Property AccountEnabled, DeviceId, OperatingSystem, OperatingSystemVersion, DisplayName, TrustType, ApproximateLastSignInDateTime | export-csv devicelist-olderthan-90days-summary.csv -NoTypeInformation

Waarschuwing

Sommige actieve apparaten hebben mogelijk een leeg tijdstempel.

Apparaten instellen op uitgeschakeld

Met dezelfde opdrachten kunnen we de uitvoer doorsluizen naar de opdracht SET om de apparaten uit te schakelen die een bepaalde levensduur hebben bereikt.

$dt = (Get-Date).AddDays(-90)
$params = @{
	accountEnabled = $false
}

$Devices = Get-MgDevice -All | Where {$_.ApproximateLastSignInDateTime -le $dt}
foreach ($Device in $Devices) { 
   Update-MgDevice -DeviceId $Device.Id -BodyParameter $params 
}

Apparaten verwijderen

Let op

De cmdlet Remove-MgDevice geeft geen waarschuwing af. Als u deze opdracht uitvoert, worden apparaten verwijderd zonder dat u hierover een melding krijgt. Verwijderde apparaten kunnen niet worden teruggezet.

Maak voordat beheerders apparaten verwijderen een back-up van bitLocker-herstelsleutels die u mogelijk in de toekomst nodig hebt. BitLocker-herstelsleutels kunnen niet worden hersteld nadat het gekoppelde apparaat is verwijderd.

Op basis van het voorbeeld van de uitgeschakelde apparaten wordt naar uitgeschakelde apparaten gezocht, nu gedurende 120 dagen inactief, en wordt de uitvoer naar Remove-MgDevice doorgesluisd om deze apparaten te verwijderen.

$dt = (Get-Date).AddDays(-120)
$Devices = Get-MgDevice -All | Where {($_.ApproximateLastSignInDateTime -le $dt) -and ($_.AccountEnabled -eq $false)}
foreach ($Device in $Devices) {
   Remove-MgDevice -DeviceId $Device.Id
}

Wat u moet weten

Waarom wordt de tijdstempel niet vaker bijgewerkt?

De tijdstempel wordt bijgewerkt ter ondersteuning van scenario's voor de levenscyclus van apparaten. Dit kenmerk is geen audit. Gebruik de auditlogboeken voor aanmelden voor meer frequent updates over het apparaat. Sommige actieve apparaten hebben mogelijk een leeg tijdstempel.

Waarom moet ik mij zorgen maken over mijn BitLocker-sleutels?

Wanneer dit is geconfigureerd, worden BitLocker-sleutels voor Windows 10- of nieuwere apparaten opgeslagen op het apparaatobject in Microsoft Entra-id. Als u een verlopen apparaat verwijdert, verwijdert u ook de BitLocker-sleutels die op het apparaat zijn opgeslagen. Controleer of uw opschoningsbeleid overeenkomt met de werkelijke levenscyclus van uw apparaat voordat u een langdurig inactief apparaat verwijdert.

Waarom moet ik me zorgen maken over Windows Autopilot-apparaten?

Wanneer u een Microsoft Entra-apparaat verwijdert dat is gekoppeld aan een Windows Autopilot-object, kunnen de volgende drie scenario's optreden als het apparaat in de toekomst opnieuw wordt gebruikt:

• Met windows Autopilot-implementaties op basis van gebruikers zonder vooraf inrichten, wordt er een nieuw Microsoft Entra-apparaat gemaakt, maar wordt het niet gelabeld met de ZTDID.
• Bij zelfimplementatiemodusimplementaties van Windows Autopilot mislukken ze omdat een Microsoft Entra-apparaat niet kan worden gevonden. (Deze fout is een beveiligingsmechanisme om ervoor te zorgen dat er geen 'imposter'-apparaten proberen lid te worden van Microsoft Entra-id zonder referenties.) De fout geeft aan dat een ZTDID niet overeenkomt.
• Met implementaties van Windows Autopilot-implementaties voor vooraf inrichten mislukken ze omdat een gekoppeld Microsoft Entra-apparaat niet kan worden gevonden. (Achter de schermen maken implementaties met voorafgaande inrichting gebruik van hetzelfde proces met de modus voor zelf-implementatie. Op die manier dwingen ze dezelfde beveiligingsmechanismen af.)

Gebruik de Get-MgDeviceManagementWindowsAutopilotDeviceIdentity om een lijst met Windows Autopilot-apparaten in uw organisatie weer te geven en vergelijk deze met de lijst met apparaten die u wilt opschonen.

Hoe weet ik om wat voor type gekoppelde apparaten het gaat?

Zie Overzicht van apparaatbeheer voor meer informatie over de verschillende typen.

Wat gebeurt er wanneer ik een apparaat uitschakel?

Verificatie waarbij een apparaat wordt gebruikt voor verificatie bij Microsoft Entra-id, wordt geweigerd. Enkele typische voorbeelden:

• Hybride apparaat van Microsoft Entra: gebruikers kunnen het apparaat mogelijk gebruiken om zich aan te melden bij hun on-premises domein. Ze hebben echter geen toegang tot Microsoft Entra-resources zoals Microsoft 365.
• Microsoft Entra-gekoppeld apparaat : gebruikers kunnen het apparaat niet gebruiken om zich aan te melden.
• Mobiele apparaten : de gebruiker heeft geen toegang tot Microsoft Entra-resources zoals Microsoft 365.

Gerelateerde inhoud

Zie het artikel Apparaten verwijderen met wissen, buiten gebruik stellen of de registratie van het apparaat handmatig ongedaan maken voor meer informatie over apparaten die worden beheerd met Intune.

Zie Apparaatidentiteiten beheren voor een overzicht van het beheren van apparaten