使用“擦除”或“停用”删除设备,或手动取消注册设备
通过使用“停用”或“擦除”操作,可以从 Intune 中删除不再需要、已重新调整用途或丢失的设备。 用户还可从 Intune 公司门户向注册到 Intune 的设备发出远程命令。
擦除
“擦除设备”操作将设备还原到其出厂默认设置。 如果选择“ 擦除设备”,则保留用户数据,但保留注册状态和关联的用户帐户 复选框。 否则,将删除所有数据、应用和设置。
| 擦除操作 | 擦除设备,但保留注册状态和关联的用户帐户 | 从 Intune 管理中删除 | 说明 |
|---|---|---|---|
| 擦除 | 未选中 | 是 | 擦除所有用户帐户、数据、MDM 策略和设置。 将操作系统重置为其默认状态和设置。 |
| 擦除 | Checked | 否 | 擦除所有 MDM 策略。 保留用户帐户和数据。 将用户设置重置回默认设置。 将操作系统重置为其默认状态和设置。 |
注意
擦除操作不适用于通过用户注册进行注册的 iOS/iPadOS 设备。 若要创建用户注册配置文件,请执行以下操作:设置 iOS/iPadOS 和 iPadOS 用户注册
注意
根据设计,Zebra 已对任何 Android Zebra 设备定义了“擦除”操作,以便仅从设备中删除公司数据,而不执行恢复出厂设置。 若要在 Zebra Android 设备上执行恢复出厂设置,可以使用以下方法之一:
重要
“擦除”操作不会从设备中删除 Autopilot 注册。 若要从设备中删除 Autopilot 注册,请参阅 使用 Intune 从 Autopilot 取消注册
“保留注册状态和用户帐户”选项仅适用于 Windows 10 版本 1709 或更高版本。
将在设备下次连接到 Intune 时重新应用 MDM 策略。
在将设备交给新用户之前,或当设备丢失或被盗时,擦除对于重置设备非常有用。 请谨慎选择“擦除”。 无法恢复设备上的数据。 “擦除”用于删除数据的方法是简单的文件删除,并且驱动器是 BitLocker 作为此过程的一部分解密的。
擦除设备
选择“设备”>“所有设备”。
选择要擦除的设备的名称。
在显示设备名称的窗格中,选择“擦除”。
对于 Windows 10 版本 1709 或更高版本,还具有“擦除设备,但保留注册状态和关联的用户帐户”选项。 如果选择此选项,则会保留以下用户帐户详细信息:
在擦除过程中保留 不保留 与设备关联的用户帐户 用户文件 计算机状态 (域加入,Microsoft Entra 已加入) 用户安装的应用(存储和 Win32 应用) 移动设备管理 (MDM) 注册 非默认设备设置 OEM 安装的应用(存储和 Win32 应用) 用户个人资料 用户配置文件以外的用户数据 用户自动登录 擦除设备,即使设备断电也继续擦除选项可确保无法通过关闭设备来避开擦除操作。 此选项会一直尝试重置设备,直到成功。 在某些配置中,此操作可能会使设备 无法重新启动。
对于 iOS/iPadOS eSIM 设备,在擦除设备时会默认保留手机网络数据计划。 如果想在擦除设备时从设备中删除数据计划,请选择“同时删除设备数据计划...”选项。
若要确认擦除,请选择“是”。
如果设备已打开并连接,“擦除”操作会在 15 分钟内跨所有设备类型进行传播。
擦除设备操作支持的平台
以下平台支持擦除:
- Android Enterprise 专用、完全托管和公司拥有的工作配置文件设备
- Android 开源项目 (AOSP) 设备
- iOS/iPadOS
- macOS
- Windows
不支持擦除:
- Android Enterprise 个人拥有的工作配置文件设备
- Linux
停用
“停用”操作将删除使用 Intune 分配的托管应用数据(如果适用)、设置和电子邮件配置文件。 将从 Intune 管理中删除设备。 下次设备签入并接收远程 停用 操作时,将发生删除。 设备仍会显示在 Intune 中,直到设备签入。 如果要立即删除过时设备,请改用删除操作。
停用设备
- 登录到 Microsoft Intune 管理中心。
- 在“设备”窗格中,选择“所有设备”。
- 选择要停用的设备名称。
- 在显示设备名称的窗格中,选择“停用”。 选择“是”以确认。
如果设备已打开并连接,则“停用”操作会在 15 分钟内跨所有设备类型进行传播。
停用操作对设备上保留的数据的影响
使用 停用 设备操作时,不会从设备中删除用户的个人数据。
下表描述了将删除什么数据,以及在删除公司数据后“停用”操作对设备上保留的数据的影响。
iOS
重要
除非发出 删除操作, 否则停用的设备可能不会自动删除,从而导致设备记录在 Intune 中保留 180 天。
| 数据类型 | iOS |
|---|---|
| 通过 Intune 安装的公司应用和关联数据 |
使用公司门户安装的应用:对于固定到管理配置文件的应用,将删除所有应用数据和应用。 这些应用包括最初从 App Store 安装并随后作为公司应用进行管理的应用,除非已将应用配置为在删除设备时不将其卸载。 Microsoft使用应用保护策略的应用,并且是从 App Store 安装的:当针对已注册的设备启动停用操作时,Intune 会为受应用保护策略保护的应用触发选择性擦除。 此擦除包括从 App Store 安装的具有工作或学校帐户数据的应用。 下一次启动应用时,选择性擦除会删除受保护的工作或学校帐户数据。 为了进行选择性擦除,必须在 MDM 注册和停用事件之间签入应用保护策略。 选择性擦除后,不会删除个人应用数据和应用。 |
| 设置 | 不再强制实施 Intune 策略设置的配置。 用户可以更改此设置。 |
| Wi-Fi 和 VPN 配置文件设置 | 删除。 |
| 证书配置文件设置 | 已删除并吊销证书。 |
| 管理代理 | 已删除管理配置文件。 |
| 电子邮件 | 已删除通过 Intune 预配的电子邮件配置文件。 已删除设备上缓存的电子邮件。 |
| Microsoft Entra 设备记录 | 不会删除Microsoft Entra ID 记录。 |
注意
在 停用 设备操作后重新安装 Outlook Mobile 应用的用户可能需要在重新导出联系人之前选择 “删除所有已保存的 联系人”,以避免重复的联系人条目。 以前从 Outlook Mobile 导出的联系人被视为个人数据,不会通过 停用 设备操作删除。
Android 设备管理员
重要
Microsoft Intune 已于 2024 年 12 月 31 日终止对有权访问 Google 移动服务的设备上的 Android 设备管理员管理的支持, (GMS) 。 在此日期之后,设备注册、技术支持、bug 修复和安全修复将不可用。 如果当前使用设备管理员管理,建议在支持结束之前切换到 Intune 中的另一个 Android 管理选项。 有关详细信息,请参阅 在 GMS 设备上结束对 Android 设备管理员的支持。
| 数据类型 | Android | Android Samsung Knox 标准版 |
|---|---|---|
| Web 链接 | 删除。 | 删除。 |
| 非托管的 Google Play 应用 | 保留已安装的应用和数据。 删除受应用本地存储中的移动应用管理 (MAM) 加密保护的公司应用数据。 受应用外部的 MAM 加密保护的数据仍然是加密且不可用的,但不会删除。 |
保留已安装的应用和数据。 删除受应用本地存储中的移动应用管理 (MAM) 加密保护的公司应用数据。 应用外部受 MAM 加密保护的数据仍处于加密状态且无法使用,但不会删除。 |
| 非托管的业务线应用 | 保留已安装的应用和数据。 | 已卸载应用并删除应用的本地数据。 未删除应用外的数据(例如 SD 卡上的数据)。 |
| 托管 Google Play 应用 | 已删除应用数据。 不会删除应用。 应用(例如 SD 卡)外受移动应用程序管理 (MAM) 加密保护的数据仍处于加密状态且无法使用,但未删除。 | 已删除应用数据。 不会删除应用。 应用(例如 SD 卡)外受 MAM 加密保护的数据仍处于加密状态,但未删除。 |
| 托管的业务线应用 | 已删除应用数据。 不会删除应用。 应用(例如 SD 卡)外受 MAM 加密保护的数据仍处于加密状态且不可用,但未删除。 | 已删除应用数据。 不会删除应用。 应用(例如 SD 卡)外受 MAM 加密保护的数据仍处于加密状态且不可用,但未删除。 |
| 设置 | 不再强制实施 Intune 策略设置的配置。 用户可以更改此设置。 | 不再强制实施 Intune 策略设置的配置。 用户可以更改此设置。 |
| Wi-Fi 和 VPN 配置文件设置 | 删除。 | 删除。 |
| 证书配置文件设置 | 已撤销证书,但未删除。 | 已删除并吊销证书。 |
| 管理代理 | 已撤销设备管理员权限。 | 已撤销设备管理员权限。 |
| 电子邮件 | 不适用 (Android 设备不支持电子邮件配置文件) | 已删除通过 Intune 预配的电子邮件配置文件。 已删除设备上缓存的电子邮件。 |
| Microsoft Entra unjoin | 删除Microsoft Entra ID 记录。 | 删除Microsoft Entra ID 记录。 |
Android Enterprise 个人拥有的工作配置文件设备
从 Android 个人拥有的工作配置文件设备中删除公司数据会删除该设备的工作配置文件中的所有数据、应用和设置。 已从 Intune 管理中停用设备。
macOS
| 数据类型 | macOS |
|---|---|
| 设置 | 不再强制实施 Intune 策略设置的配置。 用户可以更改此设置。 |
| Wi-Fi 和 VPN 配置文件设置 | 删除。 |
| 证书配置文件设置 | 已删除并吊销通过 MDM 部署的证书。 |
| 管理代理 | 已删除管理配置文件。 |
| Outlook | 如果启用条件访问,设备不会收到新邮件。 |
| Microsoft Entra 设备记录 | 不会删除Microsoft Entra ID 记录。 |
Windows
| 数据类型 | Windows 8.1 (MDM) 和 Windows RT 8.1 | Windows RT | Windows 10 |
|---|---|---|---|
| 通过 Intune 安装的公司应用和关联数据 | 为受 EFS 保护的文件撤销密钥。 用户无法打开文件。 | 未删除公司应用。 | 已卸载应用。 已删除旁加载密钥。 对于 Windows 10 版本 1709(创意者更新)及更高版本,不会删除 Microsoft 365 应用版。 未注册的设备上不会卸载已安装的 Intune 管理扩展 Win32 应用。 管理员可以使用分配排除来不向 BYOD 设备提供 Win32 应用。 |
| 设置 | 不再强制实施 Intune 策略设置的配置。 用户可以更改此设置。 | 不再强制实施 Intune 策略设置的配置。 用户可以更改此设置。 | 不再强制实施 Intune 策略设置的配置。 用户可以更改此设置。 |
| Wi-Fi 和 VPN 配置文件设置 | 删除。 | 删除。 | 删除。 |
| 证书配置文件设置 | 已删除并吊销证书。 | 已删除并吊销证书。 | 已删除并吊销证书。 |
| 电子邮件 | 删除启用了 EFS 的电子邮件,包括 Windows 邮件应用中的电子邮件和附件。 | 不支持。 | 删除启用了 EFS 的电子邮件,包括 Windows 邮件应用中的电子邮件和附件。 删除由 Intune 预配的邮件帐户。 |
| Microsoft Entra unjoin | 不正确。 | 不正确。 | 删除Microsoft Entra ID 记录。 |
重要
在从 Intune 中删除或停用时未在 Windows Autopilot 服务中注册的 Windows 设备将从 Microsoft Entra ID 中删除。 在执行这些命令之前,请考虑备份 Bitlocker 恢复密钥和/或本地管理员用户帐户凭据。 另一方面,尽管 Autopilot 注册的设备保留Microsoft Entra ID,但它们的计算机对象会与其属性 (保留,例如 Windows LAPS、Bitlocker 恢复密钥、Entra ID 组成员身份) 。
注意
对于在初始安装 (OOBE) 期间加入 Microsoft Entra ID 的 Windows 10 设备,停用命令将从设备中删除所有 Microsoft Entra 帐户。 按照在安全模式下启动电脑中的步骤,以本地管理员身份登录,重新获得对用户本地数据的访问权限。
手动取消注册设备
设备所有者可以手动取消注册其设备,如以下最终用户帮助文章中所述:
提示
当 Windows 设备用户通过“设置”应用取消注册其设备时,Intune 不会自动删除 Intune 设备或Microsoft Entra ID 记录。 若要删除 Intune 设备的记录,请登录 Microsoft Intune 并手动删除设备,或等待设备清理规则生效。 还必须手动删除Microsoft Entra ID 记录(如果适用),因为清理规则不会删除它。
从 Intune 管理中心删除设备
如果要从 Intune 管理中心中删除设备,可以从特定设备窗格中将其删除。 Intune 会根据 OS/注册类型发出 停用 或 擦除 操作。 并非所有注册类型都支持 停用 操作。 请参阅下表,了解基于设备平台和注册类型的预期行为。
| 操作系统 | 注册类型 | 触发的操作 |
|---|---|---|
| Android | 设备管理员 | 停用 - 删除所有配置文件,公司门户 (CP) 应用注销。 |
| Android | 具有工作配置文件的个人拥有的设备 | 停用 - 删除所有配置文件,删除 CP 应用。 |
| Android | 具有工作配置文件的公司自有设备 | 擦 |
| Android | 专用设备 | 擦 |
| Android | 具有 Entra ID 共享模式的专用 | 擦 |
| Android | 完全托管的用户设备 | 擦 |
| Android | AOSP 用户无/AOSP User-Associated | 擦 |
| iOS | 全部 | 停用 - 删除所有配置文件,CP 应用已注销 |
| Windows | 全部 | 停用 - 删除所有配置文件,工作和学校帐户已注销 |
| macOS | 全部 | 停用 - 删除所有配置文件,删除 CP 应用 |
- 登录到 Microsoft Intune 管理中心。
- 选择 “设备>”“所有设备> ”选择要删除 >的设备“删除”。
重要
“删除”操作触发以下操作:
- 根据设备平台,它可能会停用Microsoft Entra 设备记录/从 Microsoft Entra ID 取消加入设备。 有关详细信息,请参阅 停用 部分了解预期行为。
- 如果由 Intune 管理,则 BitLocker 加密将挂起。 若要创建 BitLocker 配置文件,请参阅 使用 Intune 管理 Windows 设备的 BitLocker 策略。
使用清理规则自动删除设备
可配置 Intune 以自动删除看似非活动、过时或无响应的设备。 这些清理规则会持续监视设备清单,以便设备记录保持最新。 以这种方式删除的设备将从 Intune 管理中删除。 此设置会影响 Intune 管理的所有设备,而不是仅影响特定设备。
设备清理规则运行时,它会从 Intune 中删除设备。 此时,设备必须完成重新注册过程才能显示在控制台中。
- 登录到 Microsoft Intune 管理中心。
- 选择“设备”>“设备清理规则”>“是”。
- 在“删除这么多天尚未签入的设备”框中,输入介于 30 和 270 的数字。
- 选择“保存”。
如果已删除的设备在其设备认证过期之前签入,它将在管理中心重新出现。
设备清理规则不会触发擦除或停用。
重要
当 Intune 管理 Bitlocker 加密时,设备清理规则不会触发 Bitlocker 挂起。 创建 Bitlocker 配置文件: 使用 Intune 管理 Windows 设备的 BitLocker 策略
从 Microsoft Entra 管理中心删除设备
由于通信问题或缺少设备,可能需要从Microsoft Entra ID 中删除设备。 可以使用“删除”操作从 Azure 门户中删除已知无法访问且不太可能再与 Azure 通信的设备记录。 “删除”操作不会从管理中删除设备。
- 使用管理员凭据在 Azure 门户中登录到 Microsoft Entra ID 。 还可以登录到 Microsoft 365 管理中心。 在菜单中,选择“ 管理中心>”Microsoft“条目 ID”。
- 创建 Azure 订阅(如果没有)。 如果你有付费帐户 (选择“ 注册免费Microsoft Entra ID 订阅链接) ,则订阅不应要求信用卡或付款。
- 选择 “Microsoft Entra ID”,然后选择你的组织。
- 选择“用户”选项卡。
- 选择与想要删除的设备关联的用户。
- 选择“设备”。
- 根据需要删除设备。 例如,可以删除不再使用的设备或定义不准确的设备。
从 Intune 停用 Apple ADE 设备
如果要从 Intune 管理中完全删除 Apple 自动设备注册 (ADE) 设备,请按照以下步骤操作:
选择“设备>”“所有设备>”选择“停用”设备>。
访问 business.apple.com 并按序列号搜索设备。
选择设备,然后选择“ 从组织发布”。
检查 “我理解无法撤消”,然后选择“ 发布”。
设备状态
有关设备状态的说明,请参阅 managementStates 集合。
全新启动
适用于 Windows 10 设备。 了解有关全新启动的详细信息。
后续步骤
如果要重新注册已删除的设备,请参阅“注册选项”。