Instrukcje: zarządzanie nieaktywnymi urządzeniami w identyfikatorze Entra firmy Microsoft

Najlepiej, aby ukończyć cykl życia, zarejestrowane urządzenia powinny być wyrejestrowane, gdy nie są już potrzebne. Z powodu utraty, kradzieży, uszkodzonych urządzeń lub ponownych instalacji systemu operacyjnego zwykle w środowisku istnieją nieaktywne urządzenia. Jako administrator IT prawdopodobnie potrzebujesz metody usuwania takich nieaktywnych urządzeń, aby Twoje zasoby mogły skoncentrować się na zarządzaniu urządzeniami, które faktycznie wymagają zarządzania.

W tym artykule dowiesz się, jak skutecznie zarządzać nieaktywnymi urządzeniami we własnym środowisku.

Co to jest nieaktywne urządzenie?

Nieaktywne urządzenie to urządzenie zarejestrowane w usłudze Microsoft Entra ID, które nie uzyskało dostępu do żadnych aplikacji w chmurze dla określonego przedziału czasu. Nieaktywne urządzenia wpływają na możliwość obsługi urządzeń i użytkowników oraz zarządzania nimi w ramach dzierżawy z następujących powodów:

• Zduplikowane urządzenia mogą utrudnić pracownikom działu pomocy technicznej zidentyfikowanie urządzenia, które jest aktualnie aktywne.
• Zwiększona liczba urządzeń powoduje, że niepotrzebne operacje zapisywania zwrotnego urządzeń zwiększają czas synchronizacji Połączenie firmy Microsoft.
• Aby zapewnić ogólną higienę i zgodność, warto mieć czystą łupek urządzeń.

Nieaktywne urządzenia w identyfikatorze Entra firmy Microsoft mogą zakłócać ogólne zasady cyklu życia urządzeń w organizacji.

Wykrywanie nieaktywnych urządzeń

Ponieważ nieaktualne urządzenie jest definiowane jako zarejestrowane urządzenie, które nie było używane do uzyskiwania dostępu do żadnych aplikacji w chmurze dla określonego przedziału czasu, wykrywanie nieaktualnych urządzeń wymaga właściwości powiązanej ze znacznikiem czasu. W identyfikatorze Entra firmy Microsoft ta właściwość nosi nazwę ApproximateLastSignInDateTime lub znacznik czasu aktywności. Jeśli różnica między teraz a wartością znacznika czasu działania przekracza przedział czasu zdefiniowany dla aktywnych urządzeń, urządzenie jest uważane za nieaktualne. Ten znacznik czasu aktywności znajduje się obecnie w publicznej wersji zapoznawczej.

Jak jest zarządzana wartość znacznika czasu aktywności?

Obliczanie znacznika czasu aktywności jest wyzwalane przez próbę uwierzytelnienia urządzenia. Identyfikator entra firmy Microsoft ocenia znacznik czasu działania, gdy:

• Wyzwolono zasady dostępu warunkowego wymagające urządzeń zarządzanych lub zatwierdzonych aplikacji klienckich.
• Urządzenia z systemem Windows 10 lub nowszym, które są przyłączone do firmy Microsoft lub przyłączone hybrydo do firmy Microsoft Entra, są aktywne w sieci.
• Zaewidencjonowanie w usłudze urządzeń zarządzanych przy użyciu usługi Intune.

Jeśli różnica między istniejącą wartością znacznika czasu działania a bieżącą wartością przekracza 14 dni (+/-5-dniowa wariancja), istniejąca wartość zostanie zamieniona na nową wartość.

Jak mogę uzyskać znacznik czasu aktywności?

Istnieją dwie możliwości uzyskania wartości znacznika czasu aktywności:

• Kolumna Działanie na stronie wszystkie urządzenia.

  

• Polecenie cmdlet Get-MgDevice .

  

Planowanie oczyszczania nieaktywnych urządzeń

Aby efektywnie wyczyścić nieaktywne urządzenia w danym środowisku, należy zdefiniować powiązane zasady. Te zasady pomagają zapewnić uwzględnienie wszystkich zagadnień dotyczących nieaktywnych urządzeń. Poniższe sekcje zawierają przykłady typowych zagadnień uwzględnianych w zasadach.

Uwaga

Jeśli organizacja korzysta z szyfrowania dysków funkcją BitLocker, przed usunięciem urządzeń należy upewnić się, że kopie zapasowe kluczy odzyskiwania funkcji BitLocker zostały utworzone lub nie będą już potrzebne. Nie można tego zrobić, może spowodować utratę danych.

Jeśli używasz funkcji, takich jak Rozwiązanie Autopilot lub Universal Print, te urządzenia powinny zostać wyczyszczone w odpowiednich portalach administracyjnych.

Konto oczyszczania

Aby zaktualizować urządzenie w identyfikatorze Entra firmy Microsoft, potrzebne jest konto, które ma przypisaną jedną z następujących ról:

• Administracja istrator urządzeń w chmurze
• Administracja istrator usługi Intune

W zasadach oczyszczania wybierz konta, które mają przypisane wymagane role.

Przedział czasu

Zdefiniuj przedział czasu, który jest wskaźnikiem służącym do wykrywania nieaktywnego urządzenia. Podczas definiowania przedziału czasu należy uwzględnić przedział czasu zanotowany podczas aktualizowania znacznika czasu działania do wartości. Na przykład nie należy uwzględniać znacznika czasu, który jest młodszy niż 21 dni (obejmuje wariancję) jako wskaźnik nieaktualnego urządzenia. Istnieją sytuacje, w których urządzenie może wyglądać na nieaktywne, chociaż tak nie jest. Na przykład właściciel urządzenia, którego dotyczy problem, może być na urlopie lub na urlopie chorobowym, który przekracza przedział czasu dla nieaktualnych urządzeń.

Wyłączanie urządzeń

Nie zaleca się natychmiastowego usunięcia urządzenia, które wydaje się być nieaktualne, ponieważ nie można cofnąć usunięcia, jeśli istnieje wynik fałszywie dodatni. Najlepszym rozwiązaniem jest wyłączenie urządzenia na okres prolongaty przed jego usunięciem. W zasadach zdefiniuj przedział czasu wyłączenia urządzenia przed jego usunięciem.

Urządzenia kontrolowane przez rozwiązanie MDM

Jeśli urządzenie jest pod kontrolą usługi Intune lub innego rozwiązania Zarządzanie urządzeniami do zarządzania urządzeniami przenośnymi (MDM), wycofaj urządzenie w systemie zarządzania przed jego wyłączeniem lub usunięciem. Aby uzyskać więcej informacji, zobacz artykuł Usuwanie urządzeń przy użyciu czyszczenia, wycofywania lub ręcznego wyrejestrowywania urządzenia.

Urządzenia zarządzane przez system

Nie należy usuwać urządzeń zarządzanych przez system. Te urządzenia są zazwyczaj urządzeniami, takimi jak rozwiązanie Autopilot. Po usunięciu takich urządzeń nie można ich ponownie aprowizować.

Urządzenia dołączone hybrydo do firmy Microsoft Entra

Urządzenia dołączone hybrydowo do firmy Microsoft powinny być zgodne z zasadami dotyczącymi lokalnego zarządzania nieaktywnymi urządzeniami.

Aby wyczyścić identyfikator Entra firmy Microsoft:

• Urządzenia z systemem Windows 10 lub nowszym — wyłącz lub usuń urządzenia z systemem Windows 10 lub nowszym w lokalnej usłudze AD i pozwól firmie Microsoft Entra Połączenie zsynchronizować zmieniony stan urządzenia z identyfikatorem Entra firmy Microsoft.
• Windows 7/8 — najpierw wyłącz lub usuń urządzenia z systemem Windows 7/8 w lokalnej usłudze AD. Nie można użyć usługi Microsoft Entra Połączenie, aby wyłączyć lub usunąć urządzenia z systemem Windows 7/8 w usłudze Microsoft Entra ID. Zamiast tego podczas wprowadzania zmian w środowisku lokalnym należy wyłączyć/usunąć w identyfikatorze Entra firmy Microsoft.

Uwaga

• Usuwanie urządzeń w lokalna usługa Active Directory lub Identyfikator entra firmy Microsoft nie powoduje usunięcia rejestracji na kliencie. Uniemożliwi tylko dostęp do zasobów przy użyciu urządzenia jako tożsamości (na przykład dostępu warunkowego). Przeczytaj dodatkowe informacje na temat usuwania rejestracji na kliencie.
• Usunięcie urządzenia z systemem Windows 10 lub nowszym tylko w usłudze Microsoft Entra ID spowoduje ponowną synchronizację urządzenia ze środowiska lokalnego przy użyciu usługi Microsoft Entra Połączenie, ale jako nowy obiekt w stanie "Oczekiwanie". Na urządzeniu jest wymagana ponowna rejestracja.
• Usunięcie urządzenia z zakresu synchronizacji dla urządzeń z systemem Windows 10 lub nowszym /Server 2016 spowoduje usunięcie urządzenia Microsoft Entra. Dodanie go z powrotem do zakresu synchronizacji spowoduje umieszczenie nowego obiektu w stanie "Oczekiwanie". Wymagana jest ponowna rejestracja urządzenia.
• Jeśli nie używasz usługi Microsoft Entra Połączenie dla urządzeń z systemem Windows 10 lub nowszych do synchronizacji (np. tylko przy użyciu usług AD FS do rejestracji), musisz zarządzać cyklem życia podobnym do urządzeń z systemem Windows 7/8.

Urządzenia dołączone do usługi Microsoft Entra

Wyłącz lub usuń urządzenia dołączone do firmy Microsoft w identyfikatorze Entra firmy Microsoft.

Uwaga

• Usunięcie urządzenia Microsoft Entra nie powoduje usunięcia rejestracji na kliencie. Uniemożliwi tylko dostęp do zasobów przy użyciu urządzenia jako tożsamości (np. dostęp warunkowy).
• Dowiedz się więcej na temat sposobu odłączania od identyfikatora Entra firmy Microsoft

Zarejestrowane urządzenia firmy Microsoft

Wyłącz lub usuń zarejestrowane urządzenia firmy Microsoft w identyfikatorze Entra firmy Microsoft.

Uwaga

• Usunięcie zarejestrowanego urządzenia firmy Microsoft Entra w identyfikatorze Entra firmy Microsoft nie powoduje usunięcia rejestracji na kliencie. Uniemożliwi to dostęp tylko do zasobów przy użyciu urządzenia jako tożsamości (np. dostępu warunkowego).
• Dowiedz się więcej na temat usuwania rejestracji na kliencie

Czyszczenie nieaktualnych urządzeń

Chociaż można wyczyścić nieaktywne urządzenia w centrum administracyjnym firmy Microsoft Entra, bardziej wydajne jest obsługę tego procesu przy użyciu skryptu programu PowerShell. Użyj najnowszego modułu programu PowerShell w wersji 2, aby użyć filtru sygnatury czasowej i odfiltrowania urządzeń zarządzanych przez system, takich jak rozwiązanie Autopilot.

Typowa procedura obejmuje następujące czynności:

1. Połączenie do identyfikatora Entra firmy Microsoft przy użyciu polecenia cmdlet Połączenie-MgGraph
2. Pobierz listę urządzeń.
3. Wyłącz urządzenie przy użyciu polecenia cmdlet Update-MgDevice (wyłącz przy użyciu opcji -AccountEnabled).
4. Przed usunięciem urządzenia poczekaj, aż upłynie wybrana przez Ciebie liczba dni okresu prolongaty.
5. Usuń urządzenie przy użyciu polecenia cmdlet Remove-MgDevice .

Pobieranie listy urządzeń

Aby uzyskać listę wszystkich urządzeń i zachować zwrócone dane w pliku CSV, użyj następującego polecenia:

Get-MgDevice -All | select-object -Property AccountEnabled, DeviceId, OperatingSystem, OperatingSystemVersion, DisplayName, TrustType, ApproximateLastSignInDateTime | export-csv devicelist-summary.csv -NoTypeInformation

Jeśli masz dużą liczbę urządzeń w katalogu, użyj filtru znacznika czasu, aby zawęzić liczbę zwracanych urządzeń. Aby pobrać wszystkie urządzenia, które nie zostały zarejestrowane w ciągu 90 dni i zapisać zwrócone dane w pliku CSV:

$dt = (Get-Date).AddDays(-90)
Get-MgDevice -All | Where {$_.ApproximateLastSignInDateTime -le $dt} | select-object -Property AccountEnabled, DeviceId, OperatingSystem, OperatingSystemVersion, DisplayName, TrustType, ApproximateLastSignInDateTime | export-csv devicelist-olderthan-90days-summary.csv -NoTypeInformation

Ostrzeżenie

Niektóre aktywne urządzenia mogą mieć pustą sygnaturę czasową.

Ustawianie urządzeń na wyłączone

Za pomocą tych samych poleceń możemy przekazać dane wyjściowe do polecenia set, aby wyłączyć urządzenia w określonym wieku.

$dt = (Get-Date).AddDays(-90)
$params = @{
	accountEnabled = $false
}

$Devices = Get-MgDevice -All | Where {$_.ApproximateLastSignInDateTime -le $dt}
foreach ($Device in $Devices) { 
   Update-MgDevice -DeviceId $Device.Id -BodyParameter $params 
}

Usuwanie urządzeń

Uwaga

Polecenie Remove-MgDevice cmdlet nie wyświetla ostrzeżenia. Uruchomienie tego polecenia spowoduje usunięcie urządzeń bez monitowania. Nie ma możliwości odzyskania usuniętych urządzeń.

Zanim administratorzy usuną wszystkie urządzenia, wykonaj kopię zapasową wszystkich kluczy odzyskiwania funkcji BitLocker, które mogą być potrzebne w przyszłości. Nie ma możliwości odzyskania kluczy odzyskiwania funkcji BitLocker po usunięciu skojarzonego urządzenia.

Kompilowanie na przykładzie wyłącz urządzenia szukamy wyłączonych urządzeń, które są teraz nieaktywne przez 120 dni, i przesyłamy dane wyjściowe w celu Remove-MgDevice usunięcia tych urządzeń.

$dt = (Get-Date).AddDays(-120)
$Devices = Get-MgDevice -All | Where {($_.ApproximateLastSignInDateTime -le $dt) -and ($_.AccountEnabled -eq $false)}
foreach ($Device in $Devices) {
   Remove-MgDevice -DeviceId $Device.Id
}

Co należy wiedzieć

Dlaczego znacznik czasu nie jest aktualizowany częściej?

Znacznik czasu jest aktualizowany w celu obsługi scenariuszy cyklu życia urządzenia. Ten atrybut nie jest inspekcją. Aby wykonywać częstsze aktualizacje na urządzeniu, użyj dzienników inspekcji logowania. Niektóre aktywne urządzenia mogą mieć pustą sygnaturę czasową.

Dlaczego muszę zadbać o klucze funkcji BitLocker?

Po skonfigurowaniu klucze funkcji BitLocker dla urządzeń z systemem Windows 10 lub nowszym są przechowywane w obiekcie urządzenia w usłudze Microsoft Entra ID. Jeśli usuwasz nieaktywne urządzenie, usuwasz również klucze funkcji BitLocker, które są przechowywane na tym urządzeniu. Upewnij się, że zasady czyszczenia są zgodne z rzeczywistym cyklem życia urządzenia przed usunięciem nieaktualnego urządzenia.

Dlaczego należy martwić się o urządzenia z rozwiązaniem Windows Autopilot?

Po usunięciu urządzenia Firmy Microsoft Entra skojarzonego z obiektem rozwiązania Windows Autopilot mogą wystąpić następujące trzy scenariusze, jeśli urządzenie zostanie ponownie zaaktywowane w przyszłości:

• W przypadku wdrożeń opartych na użytkowniku rozwiązania Windows Autopilot bez użycia wstępnego aprowizacji zostanie utworzone nowe urządzenie Firmy Microsoft Entra, ale nie zostanie oznaczone identyfikatorem ZTDID.
• W przypadku wdrożeń w trybie samodzielnego wdrażania rozwiązania Windows Autopilot zakończy się niepowodzeniem, ponieważ nie można odnaleźć skojarzonego urządzenia Firmy Microsoft Entra. (Ten błąd jest mechanizmem zabezpieczeń umożliwiającym upewnienie się, że żadne urządzenia "imposter" nie próbują dołączyć do identyfikatora Microsoft Entra ID bez poświadczeń). Błąd wskazuje niezgodność identyfikatora ZTDID.
• W przypadku wdrożeń wstępnego aprowizacji rozwiązania Windows Autopilot kończą się niepowodzeniem, ponieważ nie można odnaleźć skojarzonego urządzenia Firmy Microsoft Entra. (W tle wdrożenia wstępne aprowizacji używają tego samego procesu trybu samodzielnego wdrażania, więc wymuszają te same mechanizmy zabezpieczeń).

Użyj polecenia Get-MgDeviceManagementWindowsAutopilotDeviceIdentity , aby wyświetlić listę urządzeń rozwiązania Windows Autopilot w organizacji i porównać je z listą urządzeń do wyczyszczenia.

Jak mogę sprawdzić, czy wszystkie typy urządzeń zostały dołączone?

Aby dowiedzieć się więcej na temat różnych typów, zobacz omówienie zarządzania urządzeniami.

Co się stanie, gdy urządzenie zostanie wyłączone?

Wszelkie uwierzytelnianie, w którym urządzenie jest używane do uwierzytelniania w identyfikatorze Entra firmy Microsoft, jest odrzucane. Typowe przykłady:

• Urządzenie dołączone hybrydowo do firmy Microsoft Entra — użytkownicy mogą używać urządzenia do logowania się do domeny lokalnej. Nie mogą jednak uzyskać dostępu do zasobów firmy Microsoft Entra, takich jak Platforma Microsoft 365.
• Urządzenie dołączone do firmy Microsoft Entra — użytkownicy nie mogą zalogować się przy użyciu urządzenia.
• Urządzenia przenośne — użytkownik nie może uzyskać dostępu do zasobów firmy Microsoft Entra, takich jak platforma Microsoft 365.

Powiązana zawartość

Aby uzyskać więcej informacji na temat urządzeń zarządzanych za pomocą usługi Intune, zobacz artykuł Usuwanie urządzeń przy użyciu czyszczenia, wycofywania lub ręcznego wyrejestrowywania urządzenia.

Aby zapoznać się z omówieniem zarządzania urządzeniami, zobacz Zarządzanie tożsamościami urządzeń