Nasıl yapılır: Microsoft Entra Id'de eski cihazları yönetme

  • Makale

İdeal olarak, yaşam döngüsünü tamamlamak için kayıtlı cihazların artık gerekli olmadığında kaydının kaldırılmış olması gerekir. Kayıp, çalınmış, bozuk cihazlar veya işletim sistemi yeniden yüklemeleri nedeniyle ortamınızda genellikle bazı eski cihazlar olur. BT yöneticisi olarak, büyük olasılıkla eski cihazları kaldırmak için bir yönteminiz olmasını istersiniz; böylelikle kaynaklarınızın gerçekten yönetilmesi gereken cihazların yönetimine odaklanmasını sağlayabilirsiniz.

Bu makalede, ortamınızdaki eski cihazları verimli bir yöntemle nasıl yönetebileceğinizi öğreneceksiniz.

Eski cihaz nedir?

Eski cihaz, Microsoft Entra Id ile kaydedilmiş ancak belirli bir zaman çerçevesi için herhangi bir bulut uygulamasına erişmek için kullanılmamış bir cihazdır. Eski cihazlar, kiracıdaki cihazlarınızı ve kullanıcılarınızı yönetme ve destekleme becerinizi etkiler çünkü:

  • Çift cihazlar yardım masanızın hangi cihazın şu anda etkin olduğunu belirlemesini zorlaştırabilir.
  • Cihaz sayısının artması, Microsoft Entra Bağlan eşitlemelerinin süresini artıran gereksiz cihaz geri yazma işlemleri oluşturur.
  • Genel sağlık açısından ve uyumluluğun gereklerini karşılamak için, cihazların temiz durumda olmasını isteyebilirsiniz.

Microsoft Entra ID'deki eski cihazlar, kuruluşunuzdaki cihazlar için genel yaşam döngüsü ilkelerine müdahale edebilir.

Eski cihazları algılama

Eski bir cihaz, belirli bir zaman çerçevesi için herhangi bir bulut uygulamasına erişmek için kullanılmamış kayıtlı bir cihaz olarak tanımlandığından, eski cihazların algılanması zaman damgasıyla ilgili bir özellik gerektirir. Microsoft Entra Id'de bu özelliğe ApproximateLastSignInDateTime veya etkinlik zaman damgası adı verilir. Şimdi ile etkinlik zaman damgasının değeri arasındaki değişim, etkin cihazlar için tanımladığınız zaman çerçevesini aşarsa, cihaz eski olarak kabul edilir. Bu etkinlik zaman damgası şu anda genel önizleme aşamasındadır.

Etkinlik zaman damgasının değeri nasıl yönetilir?

Etkinlik zaman damgasının hesaplanması, bir cihazın kimlik doğrulama girişimiyle tetiklenir. Microsoft Entra Id aşağıdaki durumlarda etkinlik zaman damgasını değerlendirir:

  • Yönetilen cihazlar veya onaylı istemci uygulamaları gerektiren bir Koşullu Erişim ilkeleri tetiklendi.
  • Microsoft Entra'ya katılmış veya Microsoft Entra karmaya katılmış Windows 10 veya daha yeni cihazlar ağda etkindir.
  • Intune tarafından yönetilen cihazlar hizmete giriş yaptığında.

Etkinlik zaman damgasının mevcut değeri ile geçerli değer arasındaki değişim 14 günden fazlaysa (+/-5 günlük varyans), var olan değer yeni değerle değiştirilir.

Etkinlik zaman damgasını nasıl alabilirim?

Etkinlik zaman damgasının değerini almak için iki seçeneğiniz vardır:

  • Tüm cihazlar sayfasındaki Etkinlik sütunu.

    Cihazların adını, sahibini ve diğer bilgilerini listeleyen ekran görüntüsü. Bir sütunda etkinlik zaman damgası listelenir.

  • Get-MgDevice cmdlet'i.

    Komut satırı çıkışını gösteren ekran görüntüsü. Bir satır vurgulanır ve ApproximateLastSignInDateTime değeri için bir zaman damgası listelenir.

Eski cihazların temizliğini planlama

Ortamınızda eski cihazları verimli bir şekilde temizlemek için, ilgili bir ilke tanımlamalısınız. Bu ilke, eski cihazlarla ilgili tüm konuları yakaladığınızdan emin olmanıza yardımcı olur. Aşağıdaki bölümlerde yaygın ilke konularına ilişkin örnekler sağlanmıştır.

Dikkat

Kuruluşunuz BitLocker sürücü şifrelemesi kullanıyorsa, cihazları silmeden önce BitLocker kurtarma anahtarlarının yedeklenmiş olduğundan veya artık gerekli olmadığından emin olmanız gerekir. Bunun yapılmaması veri kaybına neden olabilir.

Temizleme hesabı

Microsoft Entra Id'de bir cihazı güncelleştirmek için aşağıdaki rollerden birine atanmış bir hesaba ihtiyacınız vardır:

Temizleme ilkenizde, gerekli rollerin atandığı hesapları seçin.

Zaman aralığı

Eski cihaz için göstergeniz olacak bir zaman çerçevesi tanımlayın. Zaman çerçevenizi tanımlarken, etkinlik zaman damgasını değerinize güncelleştirmek için belirtilen pencereyi hesaba katın. Örneğin, eski bir cihazın göstergesi olarak 21 günden daha küçük bir zaman damgasını (varyans içerir) dikkate almamalısınız. Eski olmayan bir cihazın eski gibi görünmesine neden olabilecek senaryolar vardır. Örneğin, etkilenen cihazın sahibi tatilde veya eski cihazlar için zaman aralığınızı aşan bir hastalık izninde olabilir.

Cihazları devre dışı bırakma

Eski gibi görünen bir cihazı hemen silmeniz önerilmez, çünkü hatalı pozitif bir durum varsa silme işlemini geri alamazsınız. En iyi yöntem, cihazı silmeden önce belirli bir bekleme süresince devre dışı bırakmaktır. İlkenizde, silmeden önce cihazı devre dışı bırakmak için bir zaman çerçevesi tanımlayın.

MDM tarafından denetlenen cihazlar

Cihazınız Intune'un veya başka bir MDM çözümünün denetimi altındaysa, cihazı devre dışı bırakmadan veya silmeden önce yönetim sisteminden kaldırın. Daha fazla bilgi için Cihazı temizleme, devre dışı bırakma veya el ile kaydını kaldırma makalesine bakın.

Sistem tarafından yönetilen cihazlar

Sistem tarafından yönetilen cihazları silmeyin. Bu cihazlar genellikle Autopilot gibi cihazlardır. Bir kez silindikten sonra yeniden sağlanamazlar.

Microsoft Entra hibrite katılmış cihazlar

Microsoft Entra karmaya katılmış cihazlarınız, şirket içi eski cihaz yönetimi ilkelerinizi izlemelidir.

Microsoft Entra Kimliğini temizlemek için:

  • Windows 10 veya daha yeni cihazlar - Şirket içi AD'nizde Windows 10 veya daha yeni cihazları devre dışı bırakın veya silin ve Microsoft Entra'nın değiştirilen cihaz durumunu Microsoft Entra ID ile eşitlemesine izin Bağlan.
  • Windows 7/8 - Önce şirket içi AD'nizdeki Windows 7/8 cihazlarını devre dışı bırakın veya silin. Microsoft Entra id'de Windows 7/8 cihazlarını devre dışı bırakmak veya silmek için Microsoft Entra Bağlan kullanamazsınız. Bunun yerine, şirket içi ortamınızda değişiklik yaptığınızda Microsoft Entra Id'de devre dışı bırakmanız/silmeniz gerekir.

Not

  • şirket içi Active Directory veya Microsoft Entra Id'nizdeki cihazların silinmesi istemcideki kaydı kaldırmaz. Yalnızca cihaz kimlik olarak (Koşullu Erişim gibi) kullanan kaynaklara erişimi engeller. İstemcide kaydı kaldırma hakkında ek bilgileri okuyun.
  • Windows 10 veya daha yeni bir cihazı yalnızca Microsoft Entra Id'de silmek, Microsoft Entra Bağlan kullanarak ancak "Beklemede" durumundaki yeni bir nesne olarak cihazı şirket içi ortamınızdan yeniden eşitler. Cihazda yeniden kayıt gereklidir.
  • Windows 10 veya daha yeni /Server 2016 cihazları için cihazın eşitleme kapsamından kaldırılması Microsoft Entra cihazını siler. Eşitleme kapsamına geri eklemek yeni bir nesneyi "Beklemede" durumuna yerleştirir. Cihazın yeniden kaydedilmesi gerekir.
  • Eşitlemek için Windows 10 veya daha yeni cihazlar için Microsoft Entra Bağlan kullanmıyorsanız (örneğin, kayıt için YALNıZCA AD FS'yi kullanıyorsanız), yaşam döngüsünü Windows 7/8 cihazlarına benzer şekilde yönetmeniz gerekir.

Microsoft Entra'ya katılmış cihazlar

Microsoft Entra'ya katılmış cihazları Microsoft Entra Kimliği'nde devre dışı bırakın veya silin.

Not

  • Microsoft Entra cihazının silinmesi istemcideki kaydı kaldırmaz. Yalnızca cihaz kimlik olarak (koşullu erişim gibi) kullanan kaynaklara erişimi engeller.
  • Microsoft Entra Id'de katılmayı kaldırma hakkında daha fazla bilgi edinin

Microsoft Entra kayıtlı cihazlar

Microsoft Entra kimliğindeki Microsoft Entra kayıtlı cihazları devre dışı bırakın veya silin.

Not

  • Microsoft Entra id'de Microsoft Entra kayıtlı bir cihazın silinmesi istemcideki kaydı kaldırmaz. Yalnızca cihazı kimlik olarak kullanan kaynaklara erişimi engeller (örneğin, Koşullu Erişim).
  • İstemcide kaydı kaldırma hakkında daha fazla bilgi edinin

Eski cihazları temizleme

Microsoft Entra yönetim merkezinde eski cihazları temizleyebilirsiniz ancak powershell betiği kullanarak bu işlemi işlemek daha verimlidir. Zaman damgası filtresini kullanmak ve Autopilot gibi sistem tarafından yönetilen cihazları filtrelemek için en son PowerShell V2 modülünü kullanın.

Tipik bir yordam aşağıdaki adımlardan oluşur:

  1. Bağlan-MgGraph cmdlet'ini kullanarak Microsoft Entra Id'ye Bağlan
  2. Cihaz listesini alın.
  3. Update-MgDevice cmdlet'ini kullanarak cihazı devre dışı bırakın (-AccountEnabled seçeneğini kullanarak devre dışı bırakın).
  4. Cihazı silmeden önce seçtiğiniz yetkisiz kullanım süresinin tamamlanmasını bekleyin.
  5. Remove-MgDevice cmdlet'ini kullanarak cihazı kaldırın.

Cihaz listesini alma

Tüm cihazları almak ve döndürülen verileri CSV dosyasında depolamak için:

Get-MgDevice -All | select-object -Property AccountEnabled, DeviceId, OperatingSystem, OperatingSystemVersion, DisplayName, TrustType, ApproximateLastSignInDateTime | export-csv devicelist-summary.csv -NoTypeInformation

Dizininizde çok sayıda cihaz varsa, döndürülen cihaz sayısını daraltmak için zaman damgası filtresini kullanın. 90 gündür oturum açmamış tüm cihazları almak ve döndürülen verileri bir CSV dosyasında depolamak için:

$dt = (Get-Date).AddDays(-90)
Get-MgDevice -All | Where {$_.ApproximateLastSignInDateTime -le $dt} | select-object -Property AccountEnabled, DeviceId, OperatingSystem, OperatingSystemVersion, DisplayName, TrustType, ApproximateLastSignInDateTime | export-csv devicelist-olderthan-90days-summary.csv -NoTypeInformation

Uyarı

Bazı etkin cihazlarda boş bir zaman damgası olabilir.

Cihazları devre dışı olarak ayarlama

Aynı komutları kullanarak, belirli bir yaş üzerindeki cihazları devre dışı bırakmak için çıkışı set komutuna yöneltebiliriz.

$dt = (Get-Date).AddDays(-90)
$params = @{
	accountEnabled = $false
}

$Devices = Get-MgDevice -All | Where {$_.ApproximateLastSignInDateTime -le $dt}
foreach ($Device in $Devices) { 
   Update-MgDevice -DeviceId $Device.Id -BodyParameter $params 
}

Cihazları silme

Dikkat

Remove-MgDevice Cmdlet bir uyarı sağlamaz. Bu komutun çalıştırılması, sorulmadan cihazları siler. Silinen cihazları kurtarmanın bir yolu yoktur.

Herhangi bir cihazı silmeden önce, gelecekte ihtiyacınız olabilecek tüm BitLocker kurtarma anahtarlarını yedekleyin. İlişkili cihazı sildikten sonra BitLocker kurtarma anahtarlarını kurtarmanın hiçbir yolu yoktur.

Devre dışı bırakılan cihazlar örneğini kullanarak 120 gün boyunca etkin olmayan devre dışı cihazları ararız ve bu cihazları silmek için Remove-MgDevice çıkışı kanala aktarırız.

$dt = (Get-Date).AddDays(-120)
$Devices = Get-MgDevice -All | Where {($_.ApproximateLastSignInDateTime -le $dt) -and ($_.AccountEnabled -eq $false)}
foreach ($Device in $Devices) {
   Remove-MgDevice -DeviceId $Device.Id
}

Bilmeniz gerekenler

Zaman damgası neden daha sık güncelleştirilmiyor?

Zaman damgası cihaz yaşam döngüsü senaryolarını desteklemek için güncelleştirilir. Bu öznitelik bir denetim değildir. Cihazda daha sık güncelleştirmeler için oturum açma denetim günlüklerini kullanın. Bazı etkin cihazlarda boş bir zaman damgası olabilir.

BitLocker anahtarlarımla ilgili olarak neden kaygılanmam gerekiyor?

Yapılandırıldığında, Windows 10 veya daha yeni cihazlar için BitLocker anahtarları Microsoft Entra Id'deki cihaz nesnesinde depolanır. Eski cihazı silerseniz, cihazda depolanan BitLocker anahtarlarını da silersiniz. Eski bir cihazı silmeden önce temizleme ilkenizin cihazınızın gerçek yaşam döngüsüyle uyumlu olduğunu onaylayın.

Windows Autopilot cihazları için neden endişelenmem gerekiyor?

Windows Autopilot nesnesiyle ilişkilendirilmiş bir Microsoft Entra cihazını sildiğinizde, cihaz gelecekte yeniden kullanılacaksa aşağıdaki üç senaryo oluşabilir:

  • Önceden sağlama kullanılmadan Windows Autopilot kullanıcı odaklı dağıtımlarla yeni bir Microsoft Entra cihazı oluşturulur, ancak ZTDID ile etiketlenmez.
  • Windows Autopilot kendi kendine dağıtım modu dağıtımlarında, bir microsoft entra cihazı ilişkilendirilemediği için başarısız olur. (Bu hata, hiçbir "sahtekar" cihazın kimlik bilgileri olmadan Microsoft Entra ID'ye katılmayı denemediğinden emin olmak için bir güvenlik mekanizmasıdır.) Hata, ZTDID uyuşmazlığını gösterir.
  • Windows Autopilot ön sağlama dağıtımları ile ilişkili bir Microsoft Entra cihazı bulunamadığından bu dağıtımlar başarısız olur. (Arka planda, ön sağlama dağıtımları aynı kendi kendine dağıtım modu işlemini kullanır, böylece aynı güvenlik mekanizmalarını uygularlar.)

Kuruluşunuzdaki Windows Autopilot cihazlarının listesi için Get-MgDeviceManagementWindowsAutopilotDeviceIdentity komutunu kullanın ve temizlenmek üzere cihaz listesiyle karşılaştırın.

Katılmış olan tüm cihaz türlerini nasıl bilebilirim?

Farklı türler hakkında daha fazla bilgi edinmek için, bkz. Cihaz yönetimine genel bakış.

Cihazı devre dışı bıraktığımda ne olur?

Bir cihazın Microsoft Entra Kimliği'nde kimlik doğrulaması yapmak için kullanıldığı tüm kimlik doğrulamaları reddedilir. Sık karşılaşılan örnekler:

  • Microsoft Entra karmaya katılmış cihaz - Kullanıcılar şirket içi etki alanında oturum açmak için cihazı kullanabilir. Ancak Microsoft 365 gibi Microsoft Entra kaynaklarına erişemezler.
  • Microsoft Entra'ya katılmış cihaz - Kullanıcılar oturum açmak için cihazı kullanamaz.
  • Mobil cihazlar - Kullanıcı, Microsoft 365 gibi Microsoft Entra kaynaklarına erişemez.

Sonraki adımlar

Intune ile yönetilen cihazlar kullanımdan kaldırılabilir veya silinebilir. Daha fazla bilgi için Cihazı temizleme, kullanımdan kaldırma veya el ile kaydını kaldırma ile cihazları kaldırma makalesine bakın.

Cihazların nasıl yönetileceğini öğrenmek için bkz. Cihaz kimliklerini yönetme