Instrukcje: zarządzanie nieaktywnymi urządzeniami w identyfikatorze Entra firmy Microsoft
Najlepiej, aby ukończyć cykl życia, zarejestrowane urządzenia powinny być wyrejestrowane, gdy nie są już potrzebne. Z powodu utraty, kradzieży, uszkodzonych urządzeń lub ponownych instalacji systemu operacyjnego zwykle w środowisku istnieją nieaktywne urządzenia. Jako administrator IT prawdopodobnie potrzebujesz metody usuwania takich nieaktywnych urządzeń, aby Twoje zasoby mogły skoncentrować się na zarządzaniu urządzeniami, które faktycznie wymagają zarządzania.
W tym artykule dowiesz się, jak skutecznie zarządzać nieaktywnymi urządzeniami we własnym środowisku.
Co to jest nieaktywne urządzenie?
Nieaktywne urządzenie to urządzenie zarejestrowane w usłudze Microsoft Entra ID, które nie uzyskało dostępu do żadnych aplikacji w chmurze dla określonego przedziału czasu. Nieaktywne urządzenia wpływają na możliwość obsługi urządzeń i użytkowników oraz zarządzania nimi w ramach dzierżawy z następujących powodów:
- Zduplikowane urządzenia mogą utrudnić pracownikom działu pomocy technicznej zidentyfikowanie urządzenia, które jest aktualnie aktywne.
- Zwiększona liczba urządzeń powoduje utworzenie niepotrzebnych zapisów zwrotnych urządzeń, co zwiększa czas synchronizacji programu Microsoft Entra Connect.
- Aby zapewnić ogólną higienę i zgodność, warto mieć czystą łupek urządzeń.
Nieaktywne urządzenia w identyfikatorze Entra firmy Microsoft mogą zakłócać ogólne zasady cyklu życia urządzeń w organizacji.
Wykrywanie nieaktywnych urządzeń
Ponieważ nieaktualne urządzenie jest definiowane jako zarejestrowane urządzenie, które nie było używane do uzyskiwania dostępu do żadnych aplikacji w chmurze dla określonego przedziału czasu, wykrywanie nieaktualnych urządzeń wymaga właściwości powiązanej ze znacznikiem czasu. W identyfikatorze Entra firmy Microsoft ta właściwość nosi nazwę ApproximateLastSignInDateTime lub znacznik czasu aktywności. Jeśli różnica między teraz a wartością znacznika czasu działania przekracza przedział czasu zdefiniowany dla aktywnych urządzeń, urządzenie jest uważane za nieaktualne. Ten znacznik czasu aktywności znajduje się obecnie w publicznej wersji zapoznawczej.
Jak jest zarządzana wartość znacznika czasu aktywności?
Obliczanie znacznika czasu aktywności jest wyzwalane przez próbę uwierzytelnienia urządzenia. Identyfikator entra firmy Microsoft ocenia znacznik czasu działania, gdy:
- Wyzwolono zasady dostępu warunkowego wymagające urządzeń zarządzanych lub zatwierdzonych aplikacji klienckich.
- Urządzenia z systemem Windows 10 lub nowszym, które są przyłączone do firmy Microsoft lub przyłączone hybrydo do firmy Microsoft Entra, są aktywne w sieci.
- Zaewidencjonowanie w usłudze urządzeń zarządzanych przy użyciu usługi Intune.
Jeśli różnica między istniejącą wartością znacznika czasu działania a bieżącą wartością przekracza 14 dni (+/-5-dniowa wariancja), istniejąca wartość zostanie zamieniona na nową wartość.
Jak mogę uzyskać znacznik czasu aktywności?
Istnieją dwie możliwości uzyskania wartości znacznika czasu aktywności:
Kolumna Działanie na stronie wszystkie urządzenia.
Polecenie cmdlet Get-MgDevice .
Planowanie oczyszczania nieaktywnych urządzeń
Aby efektywnie wyczyścić nieaktywne urządzenia w danym środowisku, należy zdefiniować powiązane zasady. Te zasady pomagają zapewnić uwzględnienie wszystkich zagadnień dotyczących nieaktywnych urządzeń. Poniższe sekcje zawierają przykłady typowych zagadnień uwzględnianych w zasadach.
Uwaga
Jeśli organizacja korzysta z szyfrowania dysków funkcją BitLocker, przed usunięciem urządzeń należy upewnić się, że kopie zapasowe kluczy odzyskiwania funkcji BitLocker zostały utworzone lub nie będą już potrzebne. Nie można tego zrobić, może spowodować utratę danych.
Jeśli używasz funkcji, takich jak Rozwiązanie Autopilot lub Universal Print, te urządzenia powinny zostać wyczyszczone w odpowiednich portalach administracyjnych.
Konto oczyszczania
Aby zaktualizować urządzenie w identyfikatorze Entra firmy Microsoft, potrzebne jest konto, które ma przypisaną jedną z następujących ról:
W zasadach oczyszczania wybierz konta, które mają przypisane wymagane role.
Przedział czasu
Zdefiniuj przedział czasu, który jest wskaźnikiem służącym do wykrywania nieaktywnego urządzenia. Podczas definiowania przedziału czasu należy uwzględnić przedział czasu zanotowany podczas aktualizowania znacznika czasu działania do wartości. Na przykład nie należy uwzględniać znacznika czasu, który jest młodszy niż 21 dni (obejmuje wariancję) jako wskaźnik nieaktualnego urządzenia. Istnieją sytuacje, w których urządzenie może wyglądać na nieaktywne, chociaż tak nie jest. Na przykład właściciel urządzenia, którego dotyczy problem, może być na urlopie lub na urlopie chorobowym, który przekracza przedział czasu dla nieaktualnych urządzeń.
Wyłączanie urządzeń
Nie zaleca się natychmiastowego usunięcia urządzenia, które wydaje się być nieaktualne, ponieważ nie można cofnąć usunięcia, jeśli istnieje wynik fałszywie dodatni. Najlepszym rozwiązaniem jest wyłączenie urządzenia na okres prolongaty przed jego usunięciem. W zasadach zdefiniuj przedział czasu wyłączenia urządzenia przed jego usunięciem.
Urządzenia kontrolowane przez rozwiązanie MDM
Jeśli urządzenie jest pod kontrolą usługi Intune lub innego rozwiązania Zarządzanie urządzeniami do zarządzania urządzeniami przenośnymi (MDM), wycofaj urządzenie w systemie zarządzania przed jego wyłączeniem lub usunięciem. Aby uzyskać więcej informacji, zobacz artykuł Usuwanie urządzeń przy użyciu czyszczenia, wycofywania lub ręcznego wyrejestrowywania urządzenia.
Urządzenia zarządzane przez system
Nie należy usuwać urządzeń zarządzanych przez system. Te urządzenia są zazwyczaj urządzeniami, takimi jak rozwiązanie Autopilot. Po usunięciu takich urządzeń nie można ich ponownie aprowizować.
Urządzenia przyłączone hybrydowo do usługi Microsoft Entra.
Urządzenia dołączone hybrydowo do firmy Microsoft powinny być zgodne z zasadami dotyczącymi lokalnego zarządzania nieaktywnymi urządzeniami.
Aby wyczyścić identyfikator Entra firmy Microsoft:
- Urządzenia z systemem Windows 10 lub nowszym — wyłącz lub usuń urządzenia z systemem Windows 10 lub nowszym w lokalnej usłudze AD i pozwól firmie Microsoft Entra Connect zsynchronizować zmieniony stan urządzenia z identyfikatorem Entra FIRMY Microsoft.
- Windows 7/8 — najpierw wyłącz lub usuń urządzenia z systemem Windows 7/8 w lokalnej usłudze AD. Nie można użyć programu Microsoft Entra Connect, aby wyłączyć lub usunąć urządzenia z systemem Windows 7/8 w usłudze Microsoft Entra ID. Zamiast tego podczas wprowadzania zmian w środowisku lokalnym należy wyłączyć/usunąć w identyfikatorze Entra firmy Microsoft.
Uwaga
- Usuwanie urządzeń w lokalna usługa Active Directory lub Identyfikator entra firmy Microsoft nie powoduje usunięcia rejestracji na kliencie. Uniemożliwi tylko dostęp do zasobów przy użyciu urządzenia jako tożsamości (na przykład dostępu warunkowego). Przeczytaj dodatkowe informacje na temat usuwania rejestracji na kliencie.
- Usunięcie urządzenia z systemem Windows 10 lub nowszym tylko w usłudze Microsoft Entra ID spowoduje ponowne zsynchronizowanie urządzenia ze środowiska lokalnego przy użyciu programu Microsoft Entra Connect, ale jako nowy obiekt w stanie "Oczekiwanie". Na urządzeniu jest wymagana ponowna rejestracja.
- Usunięcie urządzenia z zakresu synchronizacji dla urządzeń z systemem Windows 10 lub nowszym /Server 2016 spowoduje usunięcie urządzenia Microsoft Entra. Dodanie go z powrotem do zakresu synchronizacji spowoduje umieszczenie nowego obiektu w stanie "Oczekiwanie". Wymagana jest ponowna rejestracja urządzenia.
- Jeśli nie używasz programu Microsoft Entra Connect dla systemu Windows 10 lub nowszych urządzeń do synchronizacji (na przykład tylko przy użyciu usług AD FS do rejestracji), musisz zarządzać cyklem życia podobnym do urządzeń z systemem Windows 7/8.
Urządzenia dołączone do usługi Microsoft Entra
Wyłącz lub usuń urządzenia dołączone do firmy Microsoft w identyfikatorze Entra firmy Microsoft.
Uwaga
- Usunięcie urządzenia Microsoft Entra nie powoduje usunięcia rejestracji na kliencie. Uniemożliwi tylko dostęp do zasobów przy użyciu urządzenia jako tożsamości (na przykład dostępu warunkowego).
- Dowiedz się więcej na temat sposobu odłączania od identyfikatora Entra firmy Microsoft
Urządzenia zarejestrowane w usłudze Microsoft Entra
Wyłącz lub usuń zarejestrowane urządzenia firmy Microsoft w identyfikatorze Entra firmy Microsoft.
Uwaga
- Usunięcie zarejestrowanego urządzenia firmy Microsoft Entra w identyfikatorze Entra firmy Microsoft nie powoduje usunięcia rejestracji na kliencie. Uniemożliwi tylko dostęp do zasobów przy użyciu urządzenia jako tożsamości (na przykład dostępu warunkowego).
- Dowiedz się więcej na temat usuwania rejestracji na kliencie
Czyszczenie nieaktualnych urządzeń
Chociaż można wyczyścić nieaktywne urządzenia w centrum administracyjnym firmy Microsoft Entra, bardziej wydajne jest obsługę tego procesu przy użyciu skryptu programu PowerShell. Użyj najnowszego modułu programu PowerShell w wersji 2, aby użyć filtru sygnatury czasowej i odfiltrowania urządzeń zarządzanych przez system, takich jak rozwiązanie Autopilot.
Typowa procedura obejmuje następujące czynności:
- Nawiązywanie połączenia z identyfikatorem Entra firmy Microsoft przy użyciu polecenia cmdlet Connect-MgGraph
- Pobierz listę urządzeń.
- Wyłącz urządzenie przy użyciu polecenia cmdlet Update-MgDevice (wyłącz przy użyciu opcji -AccountEnabled).
- Przed usunięciem urządzenia poczekaj, aż upłynie wybrana przez Ciebie liczba dni okresu prolongaty.
- Usuń urządzenie przy użyciu polecenia cmdlet Remove-MgDevice .
Pobieranie listy urządzeń
Aby uzyskać listę wszystkich urządzeń i zachować zwrócone dane w pliku CSV, użyj następującego polecenia:
Get-MgDevice -All | select-object -Property AccountEnabled, DeviceId, OperatingSystem, OperatingSystemVersion, DisplayName, TrustType, ApproximateLastSignInDateTime | export-csv devicelist-summary.csv -NoTypeInformation
Jeśli masz dużą liczbę urządzeń w katalogu, użyj filtru znacznika czasu, aby zawęzić liczbę zwracanych urządzeń. Aby pobrać wszystkie urządzenia, które nie zostały zarejestrowane w ciągu 90 dni i zapisać zwrócone dane w pliku CSV:
$dt = (Get-Date).AddDays(-90)
Get-MgDevice -All | Where {$_.ApproximateLastSignInDateTime -le $dt} | select-object -Property AccountEnabled, DeviceId, OperatingSystem, OperatingSystemVersion, DisplayName, TrustType, ApproximateLastSignInDateTime | export-csv devicelist-olderthan-90days-summary.csv -NoTypeInformation
Ustawianie urządzeń na wyłączone
Za pomocą tych samych poleceń możemy przekazać dane wyjściowe do polecenia set, aby wyłączyć urządzenia w określonym wieku.
$dt = (Get-Date).AddDays(-90)
$params = @{
accountEnabled = $false
}
$Devices = Get-MgDevice -All | Where {$_.ApproximateLastSignInDateTime -le $dt}
foreach ($Device in $Devices) {
Update-MgDevice -DeviceId $Device.Id -BodyParameter $params
}
Usuwanie urządzeń
Uwaga
Polecenie Remove-MgDevice
cmdlet nie wyświetla ostrzeżenia. Uruchomienie tego polecenia spowoduje usunięcie urządzeń bez monitowania. Nie ma możliwości odzyskania usuniętych urządzeń.
Zanim administratorzy usuną wszystkie urządzenia, wykonaj kopię zapasową wszystkich kluczy odzyskiwania funkcji BitLocker, które mogą być potrzebne w przyszłości. Nie ma możliwości odzyskania kluczy odzyskiwania funkcji BitLocker po usunięciu skojarzonego urządzenia.
Kompilowanie na przykładzie wyłącz urządzenia szukamy wyłączonych urządzeń, które są teraz nieaktywne przez 120 dni, i przesyłamy dane wyjściowe w celu Remove-MgDevice
usunięcia tych urządzeń.
$dt = (Get-Date).AddDays(-120)
$Devices = Get-MgDevice -All | Where {($_.ApproximateLastSignInDateTime -le $dt) -and ($_.AccountEnabled -eq $false)}
foreach ($Device in $Devices) {
Remove-MgDevice -DeviceId $Device.Id
}
Co należy wiedzieć
Dlaczego znacznik czasu nie jest aktualizowany częściej?
Znacznik czasu jest aktualizowany w celu obsługi scenariuszy cyklu życia urządzenia. Ten atrybut nie jest inspekcją. Aby wykonywać częstsze aktualizacje na urządzeniu, użyj dzienników inspekcji logowania. Niektóre aktywne urządzenia mogą mieć pustą sygnaturę czasową.
Dlaczego muszę zadbać o klucze funkcji BitLocker?
Po skonfigurowaniu klucze funkcji BitLocker dla urządzeń z systemem Windows 10 lub nowszym są przechowywane w obiekcie urządzenia w usłudze Microsoft Entra ID. Jeśli usuwasz nieaktywne urządzenie, usuwasz również klucze funkcji BitLocker, które są przechowywane na tym urządzeniu. Upewnij się, że zasady czyszczenia są zgodne z rzeczywistym cyklem życia urządzenia przed usunięciem nieaktualnego urządzenia.
Dlaczego należy martwić się o urządzenia z rozwiązaniem Windows Autopilot?
Po usunięciu urządzenia Firmy Microsoft Entra skojarzonego z obiektem rozwiązania Windows Autopilot mogą wystąpić następujące trzy scenariusze, jeśli urządzenie zostanie ponownie zaaktywowane w przyszłości:
- W przypadku wdrożeń opartych na użytkowniku rozwiązania Windows Autopilot bez użycia wstępnego aprowizacji zostanie utworzone nowe urządzenie Firmy Microsoft Entra, ale nie zostanie oznaczone identyfikatorem ZTDID.
- W przypadku wdrożeń w trybie samodzielnego wdrażania rozwiązania Windows Autopilot zakończy się niepowodzeniem, ponieważ nie można odnaleźć skojarzonego urządzenia Firmy Microsoft Entra. (Ten błąd jest mechanizmem zabezpieczeń umożliwiającym upewnienie się, że żadne urządzenia "nieproszące" nie próbują dołączyć do identyfikatora Entra firmy Microsoft bez poświadczeń). Błąd wskazuje niezgodność identyfikatora ZTDID.
- W przypadku wdrożeń wstępnego aprowizacji rozwiązania Windows Autopilot kończą się niepowodzeniem, ponieważ nie można odnaleźć skojarzonego urządzenia Firmy Microsoft Entra. (W tle wdrożenia wstępne aprowizacji używają tego samego procesu trybu samodzielnego wdrażania, więc wymuszają te same mechanizmy zabezpieczeń).
Użyj polecenia Get-MgDeviceManagementWindowsAutopilotDeviceIdentity , aby wyświetlić listę urządzeń rozwiązania Windows Autopilot w organizacji i porównać je z listą urządzeń do wyczyszczenia.
Jak mogę sprawdzić, czy wszystkie typy urządzeń zostały dołączone?
Aby dowiedzieć się więcej na temat różnych typów, zobacz omówienie zarządzania urządzeniami.
Co się stanie, gdy urządzenie zostanie wyłączone?
Wszelkie uwierzytelnianie, w którym urządzenie jest używane do uwierzytelniania w identyfikatorze Entra firmy Microsoft, jest odrzucane. Typowe przykłady:
- Urządzenie dołączone hybrydowo do firmy Microsoft Entra — użytkownicy mogą używać urządzenia do logowania się do domeny lokalnej. Nie mogą jednak uzyskać dostępu do zasobów firmy Microsoft Entra, takich jak Platforma Microsoft 365.
- Urządzenie dołączone do firmy Microsoft Entra — użytkownicy nie mogą zalogować się przy użyciu urządzenia.
- Urządzenia przenośne — użytkownik nie może uzyskać dostępu do zasobów firmy Microsoft Entra, takich jak platforma Microsoft 365.
Powiązana zawartość
Aby uzyskać więcej informacji na temat urządzeń zarządzanych za pomocą usługi Intune, zobacz artykuł Usuwanie urządzeń przy użyciu czyszczenia, wycofywania lub ręcznego wyrejestrowywania urządzenia.
Aby zapoznać się z omówieniem zarządzania urządzeniami, zobacz Zarządzanie tożsamościami urządzeń