如何：管理 Microsoft Entra 識別碼中的過時裝置

在理想情況下，若要完成生命週期，註冊的裝置應該在不再需要時取消註冊。 由於遺失、遭竊、中斷的裝置或操作系統重新安裝，您通常會在您的環境中有一些過時的裝置。 身為 IT 系統管理員，您可能想要移除過時裝置的方法，以便將資源集中在管理實際需要管理的裝置上。

在本文中，您將瞭解如何有效率地管理環境中的過時裝置。

什麼是過時裝置？

過時裝置是使用 Microsoft Entra 識別符註冊的裝置，在特定時間範圍內未存取任何雲端應用程式。 過時的裝置會影響您管理和支援租使用者中的裝置和使用者的能力，因為：

• 重複的裝置可能會讓您的技術服務人員難以識別目前作用中的裝置。
• 增加的裝置數目會建立不必要的裝置回寫，以增加 Microsoft Entra 連線 同步處理的時間。
• 作為一般衛生和符合規範，您可能想要有一個乾淨的裝置板。

Microsoft Entra ID 中的過時裝置可能會干擾組織中裝置的一般生命周期原則。

偵測過時的裝置

由於過時的裝置定義為未在特定時間範圍內存取任何雲端應用程式的已註冊裝置，因此偵測過時裝置需要時間戳相關屬性。 在 Microsoft Entra ID 中，此屬性稱為 ApproximateLastSignInDateTime 或 啟用時間戳。 如果目前與啟用時間戳值之間的差異超過您為作用中裝置定義的時間範圍，則裝置會被視為過時。 此 啟用時間戳 現在處於公開預覽狀態。

如何管理啟用時間戳的值？

啟用時間戳的評估是由裝置的驗證嘗試所觸發。 Microsoft Entra ID 會在下列情況下評估啟用時間戳：

• 已觸發需要 受管理裝置 或 已核准用戶端應用程式 的條件式存取原則。
• 已加入 Microsoft Entra 或 Microsoft Entra 混合式聯結的 Windows 10 或更新版本裝置在網路上為作用中。
• Intune 受控裝置已簽入服務。

如果啟用時間戳的現有值與目前值之間的差異超過 14 天 （+/-5 天差異），則現有的值會取代為新的值。

如何? 取得啟用時間戳嗎？

您有兩個選項可以擷取啟用時間戳的值：

• [所有裝置] 頁面上的 [ 活動 ] 資料行。

  

• Get-MgDevice Cmdlet。

  

規劃過時裝置的清除

若要有效率地清除環境中的過時裝置，您應該定義相關的原則。 此原則可協助您確保擷取與過時裝置相關的所有考慮。 下列各節提供常見原則考慮的範例。

警告

如果您的組織使用 BitLocker 磁碟驅動器加密，您應該先確定 BitLocker 修復密鑰已備份或不再需要，再刪除裝置。 若無法這麼做，可能會導致數據遺失。

如果您使用 Autopilot 或通用列印等功能，則應該在各自的系統管理入口網站中清除這些裝置。

清除帳戶

若要在 Microsoft Entra ID 中更新裝置，您需要已指派下列其中一個角色的帳戶：

• 雲端裝置 管理員 istrator
• Intune 管理員 istrator

在清除原則中，選取已指派必要角色的帳戶。

時間範圍

定義時間範圍，這是您過時裝置的指標。 定義時間範圍時，請考慮將啟用時間戳更新為值的時段。 例如，您不應該將小於 21 天的時間戳（包括變異數）視為過時裝置的指標。 在某些情況下，裝置看起來可能過時，但不是。 例如，受影響裝置的擁有者可以是休假或病假，超過您過時裝置的時間範圍。

停用裝置

不建議立即刪除看似過時的裝置，因為如果出現誤判，就無法復原刪除。 最佳做法是先停用裝置寬限期再刪除裝置。 在您的原則中，定義在刪除裝置之前停用裝置的時間範圍。

MDM 控制的裝置

如果您的裝置控制 Intune 或任何其他行動裝置 裝置管理 （MDM） 解決方案，請在停用或刪除裝置之前，先淘汰管理系統中的裝置。 如需詳細資訊，請參閱使用抹除、淘汰或手動取消註冊裝置一文。

系統管理的裝置

請勿刪除系統管理的裝置。 這些裝置通常是 Autopilot 之類的裝置。 刪除之後，就無法重新佈建這些裝置。

已加入混合式 Microsoft Entra 的裝置

您的 Microsoft Entra 混合式已加入裝置應遵循內部部署過時裝置管理的原則。

若要清除 Microsoft Entra 識別符：

• Windows 10 或更新的裝置 - 停用或刪除內部部署 AD 中的 Windows 10 或更新版本裝置，並讓 Microsoft Entra 連線 將變更的裝置狀態同步處理至 Microsoft Entra ID。
• Windows 7/8 - 先停用或刪除內部部署 AD 中的 Windows 7/8 裝置。 您無法使用 Microsoft Entra 連線 停用或刪除 Microsoft Entra 識別碼中的 Windows 7/8 裝置。 相反地，當您在內部部署中進行變更時，必須在 Microsoft Entra ID 中停用/刪除。

注意

• 刪除您 內部部署的 Active Directory 或 Microsoft Entra ID 中的裝置並不會移除用戶端上的註冊。 它只會防止使用裝置作為身分識別的資源存取（例如條件式存取）。 閱讀有關如何 移除用戶端註冊的其他資訊。
• 僅刪除 Microsoft Entra 識別符中的 Windows 10 或更新版本裝置，將會使用 Microsoft Entra 連線 從內部部署重新同步處理裝置，但作為處於「擱置」狀態的新物件。 裝置上需要重新註冊。
• 從 Windows 10 或更新版本 /Server 2016 裝置的同步範圍中移除裝置將會刪除 Microsoft Entra 裝置。 將它新增回同步範圍時，會將新物件置於「擱置中」狀態。 需要重新註冊裝置。
• 如果您未針對 Windows 10 或更新版本裝置使用 Microsoft Entra 連線 進行同步處理（例如，僅使用 AD FS 進行註冊），則必須管理類似於 Windows 7/8 裝置的生命週期。

已加入 Microsoft Entra 的裝置

停用或刪除 Microsoft Entra 識別符中已加入 Microsoft Entra 的裝置。

注意

• 刪除 Microsoft Entra 裝置並不會移除用戶端上的註冊。 它只會防止使用裝置作為身分識別的資源存取（例如條件式存取）。
• 深入瞭解 如何在 Microsoft Entra ID 上取消加入

已註冊 Microsoft Entra 的裝置

停用或刪除 Microsoft Entra 識別符中已註冊的 Microsoft Entra 裝置。

注意

• 在 Microsoft Entra ID 中刪除 Microsoft Entra 已註冊的裝置並不會移除用戶端上的註冊。 它只會防止使用裝置作為身分識別的資源存取（例如條件式存取）。
• 深入瞭解 如何移除用戶端上的註冊

清除過時的裝置

雖然您可以在 Microsoft Entra 系統管理中心清除過時的裝置，但使用 PowerShell 腳本處理此程式更有效率。 使用最新的 PowerShell V2 模組來使用時間戳篩選，並篩選掉自動管理裝置，例如 Autopilot。

一般例程包含下列步驟：

1. 使用 連線-MgGraph Cmdlet 連線 至 Microsoft Entra ID
2. 取得裝置清單。
3. 使用 Update-MgDevice Cmdlet 停用裝置（使用 -AccountEnabled 選項停用）。
4. 請等候您選擇的寬限期，再刪除裝置。
5. 使用 Remove-MgDevice Cmdlet 移除裝置。

取得裝置清單

若要取得所有裝置，並將傳回的數據儲存在 CSV 檔案中：

Get-MgDevice -All | select-object -Property AccountEnabled, DeviceId, OperatingSystem, OperatingSystemVersion, DisplayName, TrustType, ApproximateLastSignInDateTime | export-csv devicelist-summary.csv -NoTypeInformation

如果您的目錄中有大量的裝置，請使用時間戳篩選來縮小傳回的裝置數目。 若要取得 90 天內尚未登入的所有裝置，並將傳回的數據儲存在 CSV 檔案中：

$dt = (Get-Date).AddDays(-90)
Get-MgDevice -All | Where {$_.ApproximateLastSignInDateTime -le $dt} | select-object -Property AccountEnabled, DeviceId, OperatingSystem, OperatingSystemVersion, DisplayName, TrustType, ApproximateLastSignInDateTime | export-csv devicelist-olderthan-90days-summary.csv -NoTypeInformation

警告

某些作用中裝置可能有空白時間戳。

將裝置設定為已停用

使用相同的命令，我們可以使用管線將輸出傳送至 set 命令，以在特定年齡停用裝置。

$dt = (Get-Date).AddDays(-90)
$params = @{
	accountEnabled = $false
}

$Devices = Get-MgDevice -All | Where {$_.ApproximateLastSignInDateTime -le $dt}
foreach ($Device in $Devices) { 
   Update-MgDevice -DeviceId $Device.Id -BodyParameter $params 
}

刪除裝置

警告

Cmdlet Remove-MgDevice 不提供警告。 執行此命令將會刪除裝置，而不會提示。 無法復原已刪除的裝置。

系統管理員刪除任何裝置之前，請備份未來可能需要的任何 BitLocker 修復密鑰。 刪除相關聯的裝置之後，無法復原 BitLocker 修復金鑰。

在停用裝置範例上建置時，我們會尋找已停用的裝置，現在為非使用中 120 天，並使用管線將輸出傳送至Remove-MgDevice刪除這些裝置。

$dt = (Get-Date).AddDays(-120)
$Devices = Get-MgDevice -All | Where {($_.ApproximateLastSignInDateTime -le $dt) -and ($_.AccountEnabled -eq $false)}
foreach ($Device in $Devices) {
   Remove-MgDevice -DeviceId $Device.Id
}

您應該知道的事情

為什麼時間戳不會更頻繁地更新？

時間戳會更新以支援裝置生命週期案例。 此屬性不是稽核。 在裝置上使用登入稽核記錄，以取得更頻繁的更新。 某些作用中裝置可能有空白時間戳。

為什麼我應該擔心我的 BitLocker 金鑰？

設定時，Windows 10 或更新版本的裝置的 BitLocker 金鑰會儲存在 Microsoft Entra ID 中的裝置物件上。 如果您刪除過時的裝置，也會刪除儲存在裝置上的 BitLocker 金鑰。 確認清除原則符合裝置的實際生命週期，再刪除過時的裝置。

為什麼我應該擔心 Windows Autopilot 裝置？

當您刪除與 Windows Autopilot 對象相關聯的 Microsoft Entra 裝置時，如果裝置未來會重新用途，可能會發生下列三個案例：

• 使用 Windows Autopilot 使用者驅動部署而不使用預先布建，就會建立新的 Microsoft Entra 裝置，但不會以 ZTDID 標記。
• 使用 Windows Autopilot 自我部署模式部署時，將會失敗，因為找不到相關聯的 Microsoft Entra 裝置。 （此失敗是一種安全性機制，可確保沒有「冒充」裝置嘗試加入沒有認證的 Microsoft Entra ID。失敗表示 ZTDID 不符。
• Windows Autopilot 預先布建部署失敗，因為找不到相關聯的 Microsoft Entra 裝置。 （在幕後，預先布建部署使用相同的自我部署模式程式，因此會強制執行相同的安全性機制。

使用 Get-MgDeviceManagementWindowsAutopilotDeviceIdentity 來列出組織中的 Windows Autopilot 裝置，並將其與要清除的裝置清單進行比較。

如何? 知道所有已加入的裝置類型嗎？

若要深入瞭解不同類型的類型，請參閱 裝置管理概觀。

當我停用裝置時會發生什麼事？

裝置用來向 Microsoft Entra 識別碼進行驗證的任何驗證都會遭到拒絕。 常見範例包括：

• Microsoft Entra 混合式已加入裝置 - 使用者可能可以使用裝置登入其內部部署網域。 不過，他們無法存取 Microsoft Entra 資源，例如 Microsoft 365。
• 已加入 Microsoft Entra 的裝置 - 使用者無法使用裝置登入。
• 行動裝置 - 用戶無法存取 Microsoft Entra 資源，例如 Microsoft 365。

相關內容

如需使用 Intune 管理的裝置詳細資訊，請參閱使用抹除、淘汰或手動取消註冊裝置來移除裝置一文。

若要取得如何管理裝置的概觀，請參閱 管理裝置身分識別