Postupy: Správa zastaralých zařízení v Microsoft Entra ID
V ideálním případě by se zaregistrovaná zařízení měla zrušit, pokud už nejsou potřeba. Kvůli ztraceným, odcizeným, poškozeným zařízením nebo přeinstalací operačního systému obvykle máte ve svém prostředí některá zastaralá zařízení. Jako správce IT budete zřejmě potřebovat nějakou metodu pro odebrání zastaralých zařízení, abyste se mohli soustředit na správu zařízení, která to opravdu potřebují.
V tomto článku se dozvíte, jak efektivně spravovat zastaralá zařízení ve vašem prostředí.
Co je zastaralé zařízení?
Zastaralé zařízení je zařízení zaregistrované v Microsoft Entra ID, které nemá přístup k žádným cloudovým aplikacím pro konkrétní časový rámec. Zastaralá zařízení ovlivňují vaši schopnost spravovat a podporovat zařízení a uživatele v tenantu, protože:
- Duplicitní zařízení mohou pracovníkům helpdesku znesnadnit identifikaci, které zařízení je aktuálně aktivní.
- Zvýšený počet zařízení vytváří zbytečné zpětné zápisy zařízení, což zvyšuje dobu synchronizace Microsoft Entra Connect.
- V rámci hygieny a dodržování předpisů možná budete chtít mít čistý seznam zařízení.
Zastaralá zařízení v Microsoft Entra ID můžou kolidovat s obecnými zásadami životního cyklu pro zařízení ve vaší organizaci.
Detekce zastaralých zařízení
Vzhledem k tomu, že zastaralé zařízení je definováno jako registrované zařízení, které se nepoužívá pro přístup k žádným cloudovým aplikacím pro konkrétní časový rámec, zjišťování zastaralých zařízení vyžaduje vlastnost související s časovým razítkem. V Microsoft Entra ID se tato vlastnost nazývá ApproximateLastSignInDateTime nebo časové razítko aktivity. Pokud rozdíl mezi teď a hodnotou časového razítka aktivity překročí časový rámec, který jste definovali pro aktivní zařízení, považuje se zařízení za zastaralé. Toto časové razítko aktivity je nyní ve veřejné ukázce.
Jak se hodnota časového razítka aktivity spravuje?
Vyhodnocení časového razítka aktivity se spouští při pokusu o ověření zařízení. Id Microsoft Entra vyhodnocuje časové razítko aktivity v následujících případech:
- Aktivovaly se zásady podmíněného přístupu vyžadující spravovaná zařízení nebo schválené klientské aplikace .
- Zařízení s Windows 10 nebo novější, která jsou buď připojena k Microsoft Entra, nebo hybridně připojena k Microsoft Entra, jsou v síti aktivní.
- Zařízení spravovaná přes Intune se přihlásí k této službě.
Pokud je rozdíl mezi existující hodnotou časového razítka aktivity a aktuální hodnotou delší než 14 dnů (+/-5denní rozptyl), nahradí se stávající hodnota novou hodnotou.
Jak získám časové razítko aktivity?
Ke získání hodnoty časového razítka aktivity máte dvě možnosti:
Sloupec Aktivita na stránce všechna zařízení.
Příkaz Get-MgDevice.
Plánování úklidu zastaralých zařízení
Pokud chcete efektivně vyčistit zastaralá zařízení ve vašem prostředí, měli byste definovat související zásady. Tyto zásady vám pomohou zohlednit všechny aspekty, které souvisejí se zastaralými zařízeními. Další části vám poskytnou příklady běžných úvah týkajících se zásad.
Upozornění
Pokud vaše organizace používá šifrování jednotky BitLockeru, měli byste před odstraněním zařízení zajistit, aby se obnovovací klíče BitLockeru zálohovaly nebo už je nepotřebujete. Pokud to neuděláte, může dojít ke ztrátě dat.
Pokud používáte funkce, jako je Autopilot nebo Univerzální tisk, měla by se tato zařízení vyčistit na příslušných portálech pro správu.
Vyčištění účtu
Pokud chcete aktualizovat zařízení v Microsoft Entra ID, potřebujete účet, který má přiřazenou jednu z následujících rolí:
V zásadách úklidu vyberte účty, které mají přiřazené požadované role.
Časové období
Definujte časové období, které je ukazatelem zastaralého zařízení. Při definování časového rámce faktorujte okno, které jste si poznamenali pro aktualizaci časového razítka aktivity na hodnotu. Například byste neměli brát v úvahu časové razítko, které je mladší než 21 dnů (včetně rozptylu) jako indikátor zastaralého zařízení. V určitých situacích se zařízení může jevit jako zastaralé, přestože není. Vlastník ovlivněného zařízení může být například na dovolené nebo na nemocenské dovolené, která překračuje časový rámec zastaralých zařízení.
Zakázání zařízení
Není vhodné hned smazat zařízení, které se jeví jako zastaralé, protože odstranění nelze vrátit zpět, pokud jde o falešné pozitivní zjištění. Osvědčeným postupem je zakázat zařízení po určité období odkladu předtím, než ho odstraníte. V zásadách definujte časový rámec pro deaktivaci zařízení před jeho odstraněním.
Zařízení spravovaná MDM
Pokud je vaše zařízení pod kontrolou Intune nebo jakéhokoli jiného řešení pro správu mobilních zařízení (MDM), vyřaďte ho nejprve ze systému pro správu, než ho zakážete nebo odstraníte. Další informace najdete v článku Odebrání zařízení pomocí vymazání, vyřazení nebo manuálního zrušení registrace.
Zařízení spravovaná systémem
Neodstraňujte zařízení spravovaná systémem. Tato zařízení jsou obecně zařízení, jako je Autopilot. Po odstranění nelze tato zařízení znovu zřídit.
Zařízení hybridně připojená k Microsoft Entra
Vaše zařízení připojená k hybridnímu prostředí Microsoft Entra by měla dodržovat vaše zásady pro místní správu neaktivních zařízení.
Vyčištění ID Microsoft Entra:
- Zařízení s Windows 10 nebo novější – Zakažte nebo odstraňte zařízení s Windows 10 nebo novějšími ve vaší místní službě AD a nechte Microsoft Entra Connect synchronizovat změněný stav zařízení s Microsoft Entra ID.
- Windows 7/8 – Nejprve zakažte nebo odstraňte zařízení s Windows 7/8 v místní službě AD. Microsoft Entra Connect nemůžete použít k zakázání nebo odstranění zařízení s Windows 7/8 v Microsoft Entra ID. Místo toho, když provedete změnu ve vašem místním prostředí, musíte ji zakázat nebo odstranit v Microsoft Entra ID.
Poznámka:
- Odstranění zařízení v místní Active Directory nebo Microsoft Entra ID neodebere registraci u klienta. Zabrání přístup k prostředkům, které používají zařízení jako identitu (například podmíněný přístup). Přečtěte si další informace o tom, jak odebrat registraci klienta.
- Odstraněním zařízení s Windows 10 nebo novějším pouze v Microsoft Entra ID se zařízení znovu synchronizuje z místního prostředí pomocí nástroje Microsoft Entra Connect, ale jako nový objekt ve stavu Čeká na vyřízení. Na zařízení se vyžaduje opětovná registrace.
- Odebrání zařízení z oboru synchronizace pro zařízení s Windows 10 nebo novějším /Serverem 2016 odstraní zařízení Microsoft Entra. Když ho přidáte zpět do oboru synchronizace, umístí se nový objekt do stavu Čeká na vyřízení. Vyžaduje se opětovná registrace zařízení.
- Pokud k synchronizaci nepoužíváte Microsoft Entra Connect pro Windows 10 nebo novější zařízení (například JENOM pomocí SLUŽBY AD FS pro registraci), musíte spravovat životní cyklus podobný zařízením s Windows 7/8.
Zařízení přidružená k Microsoft Entra
Zakažte nebo odstraňte zařízení připojená k Microsoft Entra v ID Microsoft Entra.
Poznámka:
- Odstranění zařízení Microsoft Entra neodebere registraci v klientovi. Zabrání přístup k prostředkům, které používají zařízení jako identitu (například podmíněný přístup).
- Přečtěte si další informace o tom, jak se odpojte od Microsoft Entra ID.
Registrovaná zařízení Microsoft Entra
Zakažte nebo odstraňte zařízení registrovaná společností Microsoft Entra v ID Microsoft Entra.
Poznámka:
- Odstranění registrovaného zařízení Microsoft Entra v MICROSOFT Entra ID neodebere registraci v klientovi. Zabrání přístup k prostředkům, které používají zařízení jako identitu (například podmíněný přístup).
- Přečtěte si další informace o tom, jak odebrat registraci v klientovi.
Vyčištění zastaralých zařízení
I když můžete vyčistit zastaralá zařízení v Centru pro správu Microsoft Entra, je efektivnější zpracovat tento proces pomocí skriptu PowerShellu. Pomocí nejnovějšího modulu PowerShellu V2 použijte filtr časového razítka a vyfiltrujte zařízení spravovaná systémem, jako je Autopilot.
Typická rutina se skládá z následujících kroků:
- Připojení k ID Microsoft Entra pomocí rutiny Connect-MgGraph
- Získejte seznam zařízení.
- Zakažte zařízení pomocí rutiny Update-MgDevice (zakažte ho pomocí možnosti -AccountEnabled).
- Před odstraněním zařízení vyčkejte po období odkladu, jehož délku ve dnech si zvolíte.
- Odeberte zařízení pomocí rutiny Remove-MgDevice .
Získání seznamu zařízení
Všechna zařízení získáte a vrácená data uložíte do souboru CSV takto:
Get-MgDevice -All | select-object -Property AccountEnabled, DeviceId, OperatingSystem, OperatingSystemVersion, DisplayName, TrustType, ApproximateLastSignInDateTime | export-csv devicelist-summary.csv -NoTypeInformation
Pokud máte v adresáři velký počet zařízení, pomocí filtru časového razítka zúžíte počet vrácených zařízení. Pokud chcete získat všechna zařízení, která se nezaprotokolovala za 90 dnů, a uložte vrácená data do souboru CSV:
$dt = (Get-Date).AddDays(-90)
Get-MgDevice -All | Where {$_.ApproximateLastSignInDateTime -le $dt} | select-object -Property AccountEnabled, DeviceId, OperatingSystem, OperatingSystemVersion, DisplayName, TrustType, ApproximateLastSignInDateTime | export-csv devicelist-olderthan-90days-summary.csv -NoTypeInformation
Nastavení zařízení na zakázáno
Pomocí stejných příkazů můžeme výstup přesměrovat na příkaz 'set' k deaktivaci zařízení, která jsou starší určitého věku.
$dt = (Get-Date).AddDays(-90)
$params = @{
accountEnabled = $false
}
$Devices = Get-MgDevice -All | Where {$_.ApproximateLastSignInDateTime -le $dt}
foreach ($Device in $Devices) {
Update-MgDevice -DeviceId $Device.Id -BodyParameter $params
}
Odstranění zařízení
Upozornění
Rutina Remove-MgDevice
neposkytuje upozornění. Spuštěním tohoto příkazu odstraníte zařízení bez výzvy.
Odstraněná zařízení není možné obnovit.
Než správci odstraní všechna zařízení, zálohujte všechny obnovovací klíče BitLockeru, které budete potřebovat v budoucnu. Po odstranění přidruženého zařízení neexistuje způsob, jak obnovit obnovovací klíče BitLockeru.
Využitím příkladu zakázaných zařízení vyhledáme zařízení, která jsou nyní neaktivní po dobu 120 dnů, a předáme výstup do Remove-MgDevice
, aby byla tato zařízení odstraněna.
$dt = (Get-Date).AddDays(-120)
$Devices = Get-MgDevice -All | Where {($_.ApproximateLastSignInDateTime -le $dt) -and ($_.AccountEnabled -eq $false)}
foreach ($Device in $Devices) {
Remove-MgDevice -DeviceId $Device.Id
}
Co byste měli vědět
Proč se časové razítko neaktualizuje častěji?
Časové razítko se aktualizuje kvůli podpoře životního cyklu zařízení. Tento atribut není audit. Použijte protokoly auditu přihlašování pro častější aktualizace zařízení. Některá aktivní zařízení můžou mít prázdné časové razítko.
Proč si mám dělat starosti o klíče nástroje BitLocker?
Při konfiguraci se klíče BitLockeru pro zařízení s Windows 10 nebo novější ukládají na objekt zařízení v Microsoft Entra ID. Když odstraníte zastaralé zařízení, odstraníte také klíče nástroje Bitlocker, které jsou uložené v tomto zařízení. Před odstraněním zastaralého zařízení ověřte, že zásady čištění odpovídají skutečnému životnímu cyklu zařízení.
Proč se mám starat o zařízení s Windows Autopilotem?
Když odstraníte zařízení Microsoft Entra přidružené k objektu Windows Autopilot, může dojít k následujícím třem scénářům, pokud bude zařízení v budoucnu znovu účelné:
- Při nasazeních řízených uživatelem pomocí Windows Autopilot bez použití předběžného zřizování se vytvoří nové zařízení Microsoft Entra, které však nemusí být označeno pomocí ZTDID.
- V nasazeních Windows Autopilot v režimu samoobslužného nasazení selžou, protože se nepodaří najít přidružené zařízení Microsoft Entra. (Toto selhání je bezpečnostní mechanismus, který zajistí, aby se žádná "impostor" zařízení nepokoušla připojit k Microsoft Entra ID bez přihlašovacích údajů.) Selhání značí neshodu ZTDID.
- U nasazení předběžného zřizování Windows Autopilot dochází k selhání, protože přidružené zařízení Microsoft Entra nelze najít. (Na pozadí používají předzřizovací nasazení stejný proces samodeployovacího režimu, a vynucují tedy stejné mechanismy zabezpečení.)
Pomocí get-MgDeviceManagementWindowsAutopilotDeviceIdentity můžete zobrazit seznam zařízení Windows Autopilot ve vaší organizaci a porovnat ho se seznamem zařízení k vyčištění.
Jak poznám všechny typy připojených zařízení?
Další informace o různých typech najdete v přehledu správy zařízení.
Co se stane, když zařízení zakážu?
Jakákoli ověřování, při kterých se používá zařízení k ověření Microsoft Entra ID, jsou odepřena. Obvyklými příklady jsou:
- Zařízení připojené k hybridní službě Microsoft Entra – Uživatelé můžou zařízení používat k přihlášení k místní doméně. Nemůžou ale získat přístup k prostředkům Microsoft Entra, jako je Microsoft 365.
- Zařízení připojené k Microsoft Entra – Uživatelé nemůžou zařízení použít k přihlášení.
- Mobilní zařízení – Uživatel nemá přístup k prostředkům Microsoft Entra, jako je Microsoft 365.
Související obsah
Další informace o zařízeních spravovaných pomocí Intune najdete v článku Odebrání zařízení pomocí vymazání, vyřazení nebo ručního zrušení registrace zařízení.
Přehled správy zařízení najdete v tématu správa identit zařízení.