Instrukcje: zarządzanie nieaktualnymi urządzeniami w Azure AD

Najlepiej, aby ukończyć cykl życia, zarejestrowane urządzenia powinny być wyrejestrowane, gdy nie są już potrzebne. Z powodu utraty, kradzieży, uszkodzonych urządzeń lub ponownych instalacji systemu operacyjnego zwykle w środowisku będą używane nieaktualne urządzenia. Jako administrator IT prawdopodobnie potrzebujesz metody usuwania takich nieaktywnych urządzeń, aby Twoje zasoby mogły skoncentrować się na zarządzaniu urządzeniami, które faktycznie wymagają zarządzania.

W tym artykule dowiesz się, jak skutecznie zarządzać nieaktywnymi urządzeniami we własnym środowisku.

Co to jest nieaktywne urządzenie?

Nieaktywne urządzenie to urządzenie, które zostało zarejestrowane w Azure AD, ale nie było używane do uzyskiwania dostępu do żadnych aplikacji w chmurze w określonym przedziale czasu. Nieaktywne urządzenia wpływają na możliwość obsługi urządzeń i użytkowników oraz zarządzania nimi w ramach dzierżawy z następujących powodów:

  • Zduplikowane urządzenia mogą utrudnić pracownikom działu pomocy technicznej zidentyfikowanie urządzenia, które jest aktualnie aktywne.
  • Zwiększona liczba urządzeń powoduje, że niepotrzebne operacje zapisywania zwrotnego urządzeń zwiększają czas synchronizacji Azure AD connect.
  • W celu zachowania porządku i spełnienia wymagań dotyczących zgodności warto mieć „czysty” stan urządzeń.

Istnienie nieaktywnych urządzeń w usłudze Azure AD może być niezgodne z ogólnymi zasadami cyklu życia urządzeń w Twojej organizacji.

Wykrywanie nieaktywnych urządzeń

Ponieważ nieaktywne urządzenie jest definiowane jako zarejestrowane urządzenie, które nie było używane do uzyskiwania dostępu do żadnych aplikacji w chmurze dla określonego przedziału czasu, wykrywanie nieaktualnych urządzeń wymaga właściwości związanej ze znacznikiem czasu. W usłudze Azure AD ta właściwość nazywa się ApproximateLastLogonTimestamp lub znacznik czasu aktywności. Jeśli różnica między teraz a wartością znacznika czasu działania przekracza przedział czasu zdefiniowany dla aktywnych urządzeń, urządzenie jest uznawane za nieaktywne. Ten znacznik czasu aktywności znajduje się obecnie w publicznej wersji zapoznawczej.

Jak jest zarządzana wartość znacznika czasu aktywności?

Obliczanie znacznika czasu aktywności jest wyzwalane przez próbę uwierzytelnienia urządzenia. Usługa Azure AD oblicza znacznik czasu aktywności w następujących sytuacjach:

  • Wyzwolono zasady dostępu warunkowego wymagające urządzeń zarządzanych lub zatwierdzonych aplikacji klienckich .
  • Windows 10 lub nowsze urządzenia, które są przyłączone Azure AD lub dołączone hybrydową Azure AD są aktywne w sieci.
  • Zaewidencjonowanie w usłudze urządzeń zarządzanych przy użyciu usługi Intune.

Jeśli różnica między istniejącą wartością znacznika czasu działania a bieżącą wartością jest większa niż 14 dni (+/-5-dniowa wariancja), istniejąca wartość zostanie zastąpiona nową wartością.

Jak mogę uzyskać znacznik czasu aktywności?

Istnieją dwie możliwości uzyskania wartości znacznika czasu aktywności:

Planowanie oczyszczania nieaktywnych urządzeń

Aby skutecznie oczyścić nieaktywne urządzenia w swoim środowisku, zdefiniuj powiązane zasady. Te zasady pomagają zapewnić uwzględnienie wszystkich zagadnień dotyczących nieaktywnych urządzeń. Poniższe sekcje zawierają przykłady typowych zagadnień uwzględnianych w zasadach.

Przestroga

Jeśli organizacja korzysta z szyfrowania dysków funkcją BitLocker, przed usunięciem urządzeń należy upewnić się, że kopie zapasowe kluczy odzyskiwania funkcji BitLocker zostały utworzone lub nie są już potrzebne. Nie można tego zrobić, może spowodować utratę danych.

Konto oczyszczania

Aby zaktualizować urządzenie w usłudze Azure AD, potrzebne jest konto, które ma przypisaną jedną z następujących ról:

  • Administrator globalny
  • Administrator urządzeń w chmurze
  • Administrator usługi Intune

W zasadach oczyszczania wybierz konta, które mają przypisane wymagane role.

Przedział czasu

Zdefiniuj przedział czasu, który jest wskaźnikiem służącym do wykrywania nieaktywnego urządzenia. Podczas definiowania przedziału czasu należy uwzględnić przedział czasu zanotowany podczas aktualizowania znacznika czasu działania do wartości. Na przykład nie należy brać pod uwagę znacznika czasu, który jest młodszy niż 21 dni (obejmuje wariancję) jako wskaźnik nieaktualnego urządzenia. Istnieją sytuacje, w których urządzenie może wyglądać na nieaktywne, chociaż tak nie jest. Na przykład właściciel urządzenia, którego dotyczy problem, może być na urlopie lub na zwolnieniu lekarskim, który przekracza przedział czasu dla nieaktualnych urządzeń.

Wyłączanie urządzeń

Nie zaleca się natychmiastowego usunięcia urządzenia, które wydaje się być nieaktualne, ponieważ nie można cofnąć usunięcia, jeśli istnieje wynik fałszywie dodatni. Najlepszym rozwiązaniem jest wyłączenie urządzenia na okres prolongaty przed jego usunięciem. W zasadach zdefiniuj przedział czasu wyłączenia urządzenia przed jego usunięciem.

Urządzenia kontrolowane przez rozwiązanie MDM

Jeśli urządzenie jest kontrolowane przez usługę Intune lub dowolne inne rozwiązanie do zarządzania urządzeniami mobilnymi (MDM), wycofaj to urządzenie z takiego rozwiązania przed jego wyłączeniem lub usunięciem. Aby uzyskać więcej informacji, zobacz artykuł Usuwanie urządzeń przy użyciu czyszczenia, wycofywania lub ręcznego wyrejestrowywania urządzenia.

Urządzenia zarządzane przez system

Nie należy usuwać urządzeń zarządzanych przez system. Te urządzenia są zazwyczaj urządzeniami, takimi jak rozwiązanie Autopilot. Po usunięciu tych urządzeń nie można ponownie aprowizacji. Nowe polecenie cmdlet Get-AzureADDevice domyślnie wyklucza urządzenia zarządzane przez system.

Urządzenia dołączone hybrydowo do usługi Azure AD

W przypadku urządzeń dołączonych hybrydowo do usługi Azure AD powinny być przestrzegane lokalne zasady zarządzania nieaktywnymi urządzeniami.

Aby wyczyścić Azure AD:

  • Windows 10 lub nowszych urządzeń — wyłącz lub usuń Windows 10 lub nowsze urządzenia w lokalnej usłudze AD, a Azure AD Connect zsynchronizuj zmieniony stan urządzenia z Azure AD.
  • Windows 7/8 — najpierw wyłącz lub usuń urządzenia z systemem Windows 7/8 w lokalnej usłudze AD. Nie możesz używać programu Azure AD Connect do wyłączania ani usuwania urządzeń z systemem Windows 7 lub 8 w usłudze Azure AD. Zamiast tego podczas wprowadzania zmian w środowisku lokalnym należy wyłączyć/usunąć w Azure AD.

Uwaga

  • Usunięcie urządzeń w lokalnej usłudze AD lub Azure AD nie powoduje usunięcia rejestracji na kliencie. Uniemożliwi to dostęp tylko do zasobów przy użyciu urządzenia jako tożsamości (np. dostępu warunkowego). Przeczytaj dodatkowe informacje na temat usuwania rejestracji na kliencie.
  • Usunięcie Windows 10 lub nowszego urządzenia tylko w Azure AD spowoduje ponowne zsynchronizowanie urządzenia ze środowiska lokalnego przy użyciu Azure AD połączenia, ale jako nowy obiekt w stanie "Oczekiwanie". Na urządzeniu wymagana jest ponowna rejestracja.
  • Usunięcie urządzenia z zakresu synchronizacji dla urządzeń Windows 10 lub nowszych /Server 2016 spowoduje usunięcie urządzenia Azure AD. Dodanie go z powrotem do zakresu synchronizacji spowoduje umieszczenie nowego obiektu w stanie "Oczekiwanie". Wymagana jest ponowna rejestracja urządzenia.
  • Jeśli nie używasz programu Azure AD Connect dla Windows 10 lub nowszych urządzeń do synchronizacji (np. tylko przy użyciu usług AD FS do rejestracji), musisz zarządzać cyklem życia podobnym do urządzeń z systemem Windows 7/8.

Urządzenia dołączone do usługi Azure AD

Urządzenia dołączone do usługi Azure AD wyłącza się lub usuwa w usłudze Azure AD.

Uwaga

  • Usunięcie urządzenia Azure AD nie powoduje usunięcia rejestracji na kliencie. Uniemożliwi to dostęp tylko do zasobów przy użyciu urządzenia jako tożsamości (np. dostępu warunkowego).
  • Dowiedz się więcej na temat sposobu odłączania od Azure AD

Urządzenia zarejestrowane w usłudze Azure AD

Urządzenia zarejestrowane w usłudze Azure AD wyłącza się lub usuwa w usłudze Azure AD.

Uwaga

  • Usunięcie urządzenia zarejestrowanego Azure AD w Azure AD nie powoduje usunięcia rejestracji na kliencie. Uniemożliwi to dostęp tylko do zasobów przy użyciu urządzenia jako tożsamości (np. dostępu warunkowego).
  • Dowiedz się więcej na temat usuwania rejestracji na kliencie

Oczyszczanie nieaktywnych urządzeń w witrynie Azure Portal

Chociaż można wyczyścić nieaktywne urządzenia w Azure Portal, jest bardziej wydajne, aby obsługiwać ten proces przy użyciu skryptu programu PowerShell. Użyj najnowszego modułu programu PowerShell w wersji 2, aby użyć filtru sygnatury czasowej i odfiltrowania urządzeń zarządzanych przez system, takich jak rozwiązanie Autopilot.

Typowa procedura obejmuje następujące czynności:

  1. Nawiązywanie połączenia z usługą Azure Active Directory przy użyciu polecenia cmdlet Connect-AzureAD
  2. Pobieranie listy urządzeń
  3. Wyłącz urządzenie przy użyciu polecenia cmdlet Set-AzureADDevice (wyłącz za pomocą opcji -AccountEnabled).
  4. Przed usunięciem urządzenia poczekaj, aż upłynie wybrana przez Ciebie liczba dni okresu prolongaty.
  5. Usuń urządzenie przy użyciu polecenia cmdlet Remove-AzureADDevice .

Pobieranie listy urządzeń

Aby uzyskać listę wszystkich urządzeń i zachować zwrócone dane w pliku CSV, użyj następującego polecenia:

Get-AzureADDevice -All:$true | select-object -Property AccountEnabled, DeviceId, DeviceOSType, DeviceOSVersion, DisplayName, DeviceTrustType, ApproximateLastLogonTimestamp | export-csv devicelist-summary.csv -NoTypeInformation

Jeśli masz dużą liczbę urządzeń w katalogu, użyj filtru znacznika czasu, aby zawęzić liczbę zwracanych urządzeń. Aby pobrać wszystkie urządzenia, na których nie zalogowano się w ciągu 90 dni, i zapisać zwrócone dane w pliku CSV:

$dt = (Get-Date).AddDays(-90)
Get-AzureADDevice -All:$true | Where {$_.ApproximateLastLogonTimeStamp -le $dt} | select-object -Property AccountEnabled, DeviceId, DeviceOSType, DeviceOSVersion, DisplayName, DeviceTrustType, ApproximateLastLogonTimestamp | export-csv devicelist-olderthan-90days-summary.csv -NoTypeInformation

Ustawianie urządzeń na wyłączone

Za pomocą tych samych poleceń możemy przekazać dane wyjściowe do polecenia set, aby wyłączyć urządzenia w określonym wieku.

$dt = (Get-Date).AddDays(-90)
$Devices = Get-AzureADDevice -All:$true | Where {$_.ApproximateLastLogonTimeStamp -le $dt}
foreach ($Device in $Devices) {
Set-AzureADDevice -ObjectId $Device.ObjectId -AccountEnabled $false
}

Usuwanie urządzeń

Przestroga

Polecenie Remove-AzureADDevice cmdlet nie wyświetla ostrzeżenia. Uruchomienie tego polecenia spowoduje usunięcie urządzeń bez monitowania. Nie ma możliwości odzyskania usuniętych urządzeń.

Przed usunięciem jakichkolwiek urządzeń należy utworzyć kopię zapasową wszystkich kluczy odzyskiwania funkcji BitLocker, które mogą być potrzebne w przyszłości. Nie ma możliwości odzyskania kluczy odzyskiwania funkcji BitLocker po usunięciu skojarzonego urządzenia.

Kompilowanie na przykładzie wyłączania urządzeń szukamy wyłączonych urządzeń, które są teraz nieaktywne przez 120 dni, i przesyłamy dane wyjściowe do potoku w celu Remove-AzureADDevice usunięcia tych urządzeń.

$dt = (Get-Date).AddDays(-120)
$Devices = Get-AzureADDevice -All:$true | Where {($_.ApproximateLastLogonTimeStamp -le $dt) -and ($_.AccountEnabled -eq $false)}
foreach ($Device in $Devices) {
Remove-AzureADDevice -ObjectId $Device.ObjectId
}

Co należy wiedzieć

Dlaczego znacznik czasu nie jest aktualizowany częściej?

Znacznik czasu jest aktualizowany w celu obsługi scenariuszy cyklu życia urządzenia. Ten atrybut nie jest inspekcją. Aby wykonywać częstsze aktualizacje na urządzeniu, użyj dzienników inspekcji logowania.

Dlaczego muszę zadbać o klucze funkcji BitLocker?

Po skonfigurowaniu klucze funkcji BitLocker dla Windows 10 lub nowszych urządzeń są przechowywane w obiekcie urządzenia w Azure AD. Jeśli usuwasz nieaktywne urządzenie, usuwasz również klucze funkcji BitLocker, które są przechowywane na tym urządzeniu. Przed usunięciem nieaktywnego urządzenia upewnij się, że zasady czyszczenia są zgodne z rzeczywistym cyklem życia urządzenia.

Dlaczego należy martwić się o urządzenia z rozwiązaniem Windows Autopilot?

Po usunięciu urządzenia Azure AD, które zostało skojarzone z obiektem rozwiązania Windows Autopilot, mogą wystąpić następujące trzy scenariusze, jeśli urządzenie zostanie ponownie odłożone w przyszłości:

  • W przypadku wdrożeń opartych na użytkowniku rozwiązania Windows Autopilot bez użycia wstępnej aprowizacji zostanie utworzone nowe urządzenie Azure AD, ale nie zostanie oznaczone identyfikatorem ZTDID.
  • W przypadku wdrożeń w trybie samodzielnego wdrażania rozwiązania Windows Autopilot zakończy się niepowodzeniem, ponieważ nie można odnaleźć skojarzonego urządzenia Azure AD. (Ten błąd jest mechanizmem zabezpieczeń umożliwiającym upewnienie się, że żadne urządzenia "imposter" nie próbują dołączyć Azure AD bez poświadczeń). Błąd będzie wskazywać niezgodność identyfikatora ZTDID.
  • W przypadku wdrożeń wstępnych aprowizacji rozwiązania Windows Autopilot zakończy się niepowodzeniem, ponieważ nie można odnaleźć skojarzonego urządzenia Azure AD. (W tle wdrożenia wstępne aprowizacji używają tego samego procesu trybu samodzielnego wdrażania, więc wymuszają te same mechanizmy zabezpieczeń).

Jak mogę sprawdzić, czy wszystkie typy urządzeń zostały dołączone?

Aby dowiedzieć się więcej na temat różnych typów, zobacz omówienie zarządzania urządzeniami.

Co się stanie, gdy urządzenie zostanie wyłączone?

Każde uwierzytelnianie z użyciem urządzenia w usłudze Azure AD jest odrzucane. Typowe przykłady:

  • Urządzenie przyłączone do hybrydowej Azure AD — użytkownicy mogą używać urządzenia do logowania się do domeny lokalnej. Nie mogą jednak uzyskać dostępu do Azure AD zasobów, takich jak Microsoft 365.
  • Urządzenia dołączone do usługi Azure AD — użytkownicy nie mogą używać urządzenia do logowania.
  • Urządzenia przenośne — użytkownik nie może uzyskać dostępu do Azure AD zasobów, takich jak Microsoft 365.

Następne kroki

Urządzenia zarządzane za pomocą Intune można wycofać lub wyczyścić. Aby uzyskać więcej informacji, zobacz artykuł Usuwanie urządzeń przy użyciu czyszczenia, wycofywania lub ręcznego wyrejestrowywania urządzenia.

Aby uzyskać omówienie sposobu zarządzania urządzeniami w witrynie Azure Portal, zobacz zarządzanie urządzeniami przy użyciu witryny Azure Portal