Condividi tramite

Procedura: Gestire i dispositivi non aggiornati in Microsoft Entra ID

  • Articolo

Idealmente, per completare il ciclo di vita, i dispositivi registrati devono essere annullati quando non sono più necessari. A causa di dispositivi smarriti, rubati, interrotti o reinstallazioni del sistema operativo, in genere sono presenti alcuni dispositivi non aggiornati nell'ambiente. Gli amministratori IT hanno bisogno di un metodo per rimuovere i dispositivi non aggiornati, in modo da concentrare le risorse sulla gestione di quelli che necessitano effettivamente di gestione.

In questo articolo si imparerà a gestire in modo efficiente i dispositivi non aggiornati nell'ambiente in uso.

Che cos'è un dispositivo non aggiornato?

Un dispositivo non aggiornato è un dispositivo registrato con MICROSOFT Entra ID che non ha eseguito l'accesso ad alcuna app cloud per un intervallo di tempo specifico. La presenza di dispositivi obsoleti influenza la capacità di gestire e supportare i dispositivi e gli utenti nel tenant perché:

  • I dispositivi duplicati possono rendere difficile l'identificazione del dispositivo attualmente attivo da parte del personale del supporto tecnico.
  • Un numero maggiore di dispositivi causa salvataggi non necessari dei dispositivi, aumentando il tempo necessario per le sincronizzazioni con Microsoft Entra Connect.
  • Come forma di igiene generale e per rispettare le normative, potrebbe essere necessario partire da zero con i dispositivi.

I dispositivi obsoleti in Microsoft Entra ID possono interferire con le politiche generali del ciclo di vita dei dispositivi della tua organizzazione.

Rilevare i dispositivi inattivi

Poiché un dispositivo non aggiornato è definito come un dispositivo registrato che non è stato usato per accedere ad app cloud per un intervallo di tempo specifico, il rilevamento dei dispositivi non aggiornati richiede una proprietà correlata al timestamp. In Microsoft Entra ID questa proprietà è denominata ApproximateLastSignInDateTime o timestamp dell'attività. Se il delta tra ora e il valore del timestamp dell'attività supera l'intervallo di tempo definito per i dispositivi attivi, un dispositivo viene considerato obsoleto. Il timestamp dell'attività è ora disponibile in anteprima pubblica.

Come viene gestito il valore del timestamp dell'attività?

La valutazione del timestamp dell'attività viene attivata da un tentativo di autenticazione di un dispositivo. Microsoft Entra ID valuta il timestamp dell'attività quando:

  • Sono stati attivati criteri di accesso condizionale che richiedono dispositivi gestiti o app client approvate.
  • I dispositivi Windows 10 o versioni successive, associati a Microsoft Entra o al Microsoft Entra ibrido, sono attivi sulla rete.
  • I dispositivi gestiti da Intune si sono connessi al servizio.

Se il delta tra il valore esistente del timestamp dell'attività e il valore corrente è maggiore di 14 giorni (varianza+/-5 giorni), il valore esistente viene sostituito con il nuovo valore.

Come si ottiene il timestamp dell'attività?

Sono disponibili due opzioni per recuperare il valore del timestamp dell'attività:

  • Colonna Attività nella pagina tutti i dispositivi.

    Screenshot che elenca il nome, il proprietario e altre informazioni dei dispositivi. Una colonna elenca il timestamp dell'attività.

  • Cmdlet Get-MgDevice .

    Screenshot che mostra l'output della riga di comando. Una riga è evidenziata ed elenca un timestamp per il valore ApproximateLastSignInDateTime.

Pianificare la pulizia dei dispositivi non aggiornati

Per pulire in modo efficiente i dispositivi non aggiornati nell'ambiente, è necessario definire criteri correlati. Questi criteri consentono di assicurarsi che siano state prese in esame tutte le considerazioni relative ai dispositivi non aggiornati. Le sezioni seguenti offrono esempi per le considerazioni sui criteri più comuni.

Attenzione

Se l'organizzazione usa la crittografia unità BitLocker, è necessario assicurarsi che venga eseguito il backup delle chiavi di ripristino di BitLocker o non sia più necessario prima dell'eliminazione dei dispositivi. Se non si esegue questa operazione, è possibile che si verifichi una perdita di dati.

Se si usano funzionalità come Autopilot o Stampa universale, questi dispositivi devono essere puliti nei rispettivi portali di amministrazione.

Account di pulizia

Per aggiornare un dispositivo in Microsoft Entra ID, è necessario un account con uno dei ruoli seguenti assegnati:

Nella politica di pulizia, selezionare gli account con i ruoli richiesti assegnati.

Intervallo di tempo

Definire un periodo di tempo che funge da indicatore per un dispositivo obsoleto. Quando si definisce l'intervallo di tempo, considerare la finestra indicata per l'aggiornamento del timestamp dell'attività nel calcolo del valore. Ad esempio, non è consigliabile considerare un timestamp minore di 21 giorni (include varianza) come indicatore per un dispositivo non aggiornato. Esistono scenari in cui un dispositivo può sembrare non aggiornato ma non lo è. Ad esempio, il proprietario del dispositivo interessato può essere in vacanza o in congedo per malattia che supera il periodo di tempo per i dispositivi obsoleti.

Disabilitare i dispositivi

Non è consigliabile eliminare immediatamente un dispositivo che sembra obsoleto perché non è possibile annullare un'eliminazione se si verifica un falso positivo. Come procedura consigliata, disabilitare un dispositivo per un periodo di tolleranza prima di eliminarlo. Nella tua policy, definisci un intervallo di tempo per disabilitare un dispositivo prima di eliminarlo.

Dispositivi controllati tramite MDM

Se il dispositivo è sotto controllo di Intune o di qualsiasi altra soluzione mobile Gestione dispositivi (MDM), ritirare il dispositivo nel sistema di gestione prima di disabilitarlo o eliminarlo. Per altre informazioni, vedere l'articolo Rimuovere i dispositivi usando cancellazione, ritiro o annullamento manuale della registrazione del dispositivo.

Dispositivi gestiti dal sistema

Non eliminare i dispositivi gestiti dal sistema. Questi dispositivi sono in genere dispositivi come Autopilot. Una volta eliminati, questi dispositivi non possono essere sottoposti a nuovo provisioning.

Dispositivi ibridi collegati a Microsoft Entra

I dispositivi collegati a Microsoft Entra in modalità ibrida devono seguire i criteri per la gestione dei dispositivi obsoleti nella sede locale.

Per pulire l'ID Microsoft Entra:

  • Dispositivi Windows 10 o versioni successive : disabilitare o eliminare dispositivi Windows 10 o versioni successive in AD locale e consentire a Microsoft Entra Connect di sincronizzare lo stato del dispositivo modificato con Microsoft Entra ID.
  • Windows 7/8 - Disabilita oppure elimina i dispositivi Windows 7/8 prima nell'Active Directory ad uso locale. Non puoi usare Microsoft Entra Connect per disabilitare o eliminare i dispositivi Windows 7/8 in Microsoft Entra ID. Al contrario, quando si apporta la modifica in locale, è necessario disabilitare/eliminare in Microsoft Entra ID.

Nota

  • L'eliminazione di dispositivi nel Active Directory locale o nell'ID Microsoft Entra non rimuove la registrazione nel client. Impedisce solo l'accesso alle risorse usando il dispositivo come identità , ad esempio l'accesso condizionale. Leggere altre informazioni su come rimuovere la registrazione nel client.
  • L'eliminazione di un dispositivo Windows 10 o versione successiva effettuata solo in Microsoft Entra ID provocherà la ri-sincronizzazione del dispositivo dal server locale usando Microsoft Entra Connect, ma come nuovo oggetto nello stato "In sospeso". Nel dispositivo è necessaria una nuova registrazione.
  • La rimozione del dispositivo dall'ambito di sincronizzazione per i dispositivi Windows 10 o versioni successive /Server 2016 eliminerà il dispositivo Microsoft Entra. Aggiungendolo di nuovo all'ambito di sincronizzazione, verrà inserito un nuovo oggetto nello stato "In sospeso". È necessaria una nuova registrazione del dispositivo.
  • Se non si usa Microsoft Entra Connect per i dispositivi Windows 10 o versioni successive per la sincronizzazione (ad esempio solo con AD FS per la registrazione), è necessario gestire il ciclo di vita simile ai dispositivi Windows 7/8.

Dispositivi associati a Microsoft Entra

Disabilitare o eliminare i dispositivi aggiunti a Microsoft Entra nell'ID Microsoft Entra.

Nota

  • L'eliminazione di un dispositivo Microsoft Entra non rimuove la registrazione nel client. Impedisce solo l'accesso alle risorse usando il dispositivo come identità , ad esempio l'accesso condizionale.
  • Altre informazioni su come annullare la connessione in Microsoft Entra ID

Dispositivi registrati di Microsoft Entra

Disabilitare o eliminare i dispositivi registrati di Microsoft Entra nell'ID Microsoft Entra.

Nota

  • L'eliminazione di un dispositivo registrato microsoft Entra in Microsoft Entra ID non rimuove la registrazione nel client. Impedisce solo l'accesso alle risorse usando il dispositivo come identità , ad esempio l'accesso condizionale.
  • Altre informazioni su come rimuovere una registrazione nel client

Pulire i dispositivi non aggiornati

Anche se è possibile pulire i dispositivi non aggiornati nell'interfaccia di amministrazione di Microsoft Entra, è più efficiente gestire questo processo usando uno script di PowerShell. Usare il modulo PowerShell V2 più recente per usare il filtro timestamp e per filtrare i dispositivi gestiti dal sistema, ad esempio Autopilot.

Una tipica routine comprende i passaggi seguenti:

  1. Connettersi all'ID Microsoft Entra usando il cmdlet Connect-MgGraph
  2. Ottenere l'elenco dei dispositivi.
  3. Disabilitare il dispositivo usando il cmdlet Update-MgDevice (disabilitare usando l'opzione -AccountEnabled).
  4. Attendere il periodo di tolleranza di quanti giorni hai scelto prima di eliminare il dispositivo.
  5. Rimuovere il dispositivo usando il cmdlet Remove-MgDevice .

Ottenere l'elenco dei dispositivi

Per ottenere tutti i dispositivi e archiviare i dati restituiti in un file CSV:

Get-MgDevice -All | select-object -Property AccountEnabled, DeviceId, OperatingSystem, OperatingSystemVersion, DisplayName, TrustType, ApproximateLastSignInDateTime | export-csv devicelist-summary.csv -NoTypeInformation

Se si dispone di un numero elevato di dispositivi nella directory, usare il filtro timestamp per limitare il numero di dispositivi restituiti. Per ottenere tutti i dispositivi che non hanno eseguito l'accesso in 90 giorni e archiviare i dati restituiti in un file CSV:

$dt = (Get-Date).AddDays(-90)
Get-MgDevice -All | Where {$_.ApproximateLastSignInDateTime -le $dt} | select-object -Property AccountEnabled, DeviceId, OperatingSystem, OperatingSystemVersion, DisplayName, TrustType, ApproximateLastSignInDateTime | export-csv devicelist-olderthan-90days-summary.csv -NoTypeInformation

Avviso

Alcuni dispositivi attivi possono avere un timestamp vuoto.

Impostare i dispositivi su disabilitati

Utilizzando gli stessi comandi, possiamo inviare tramite pipe l'output al comando set per disabilitare i dispositivi superata una certa età.

$dt = (Get-Date).AddDays(-90)
$params = @{
	accountEnabled = $false
}

$Devices = Get-MgDevice -All | Where {$_.ApproximateLastSignInDateTime -le $dt}
foreach ($Device in $Devices) { 
   Update-MgDevice -DeviceId $Device.Id -BodyParameter $params 
}

Eliminare dispositivi

Attenzione

Il Remove-MgDevice cmdlet non fornisce un avviso. L'esecuzione di questo comando eliminerà i dispositivi senza richiedere conferma. Non è possibile ripristinare i dispositivi eliminati.

Prima che gli amministratori eliminino i dispositivi, eseguire il backup di eventuali chiavi di ripristino di BitLocker che potrebbero essere necessarie in futuro. Non è possibile ripristinare le chiavi di ripristino di BitLocker dopo l'eliminazione del dispositivo associato.

Sulla base dell'esempio di disabilitazione dei dispositivi, cerchiamo i dispositivi disabilitati, ora inattivi per 120 giorni, e inviamo l'output tramite pipe a Remove-MgDevice per eliminare tali dispositivi.

$dt = (Get-Date).AddDays(-120)
$Devices = Get-MgDevice -All | Where {($_.ApproximateLastSignInDateTime -le $dt) -and ($_.AccountEnabled -eq $false)}
foreach ($Device in $Devices) {
   Remove-MgDevice -DeviceId $Device.Id
}

Informazioni utili

Perché il timestamp non viene aggiornato più frequentemente?

Il timestamp viene aggiornato per supportare scenari del ciclo di vita dei dispositivi. Questo attributo non è una verifica. Usare i log di controllo di accesso per aggiornamenti più frequenti nel dispositivo. Alcuni dispositivi attivi potrebbero avere un timestamp vuoto.

Perché occorre preoccuparsi delle chiavi BitLocker?

Se configurate, le chiavi BitLocker per i dispositivi Windows 10 o versioni successive vengono archiviate nell'oggetto dispositivo in Microsoft Entra ID. Se si elimina un dispositivo non aggiornato, vengono eliminate anche le chiavi BitLocker archiviate nel dispositivo. Verificare che i criteri di pulizia siano allineati al ciclo di vita effettivo del dispositivo prima di eliminare un dispositivo non aggiornato.

Perché è consigliabile preoccuparsi dei dispositivi Windows Autopilot?

Quando si elimina un dispositivo Microsoft Entra associato a un oggetto Windows Autopilot, possono verificarsi i tre scenari seguenti se il dispositivo verrà riutilizzato in futuro:

  • Con le distribuzioni di Windows Autopilot guidate dagli utenti senza usare il pre-provisioning, viene creato un nuovo dispositivo Microsoft Entra, ma non viene contrassegnato con il ZTDID.
  • Con le distribuzioni in modalità di distribuzione automatica di Windows Autopilot, non riusciranno perché non è possibile trovare un dispositivo Microsoft Entra associato. Questo fallimento è un meccanismo di sicurezza per garantire che nessun dispositivo "impostore" tenti di unirsi a Microsoft Entra ID senza credenziali. Il fallimento indica una discrepanza di ZTDID.
  • Le distribuzioni di pre-provisioning di Windows Autopilot falliscono perché non è possibile trovare un dispositivo Microsoft Entra associato. Dietro le quinte, le distribuzioni di pre-provisioning usano lo stesso processo in modalità di distribuzione automatica, quindi applicano gli stessi meccanismi di sicurezza.

Usare Get-MgDeviceManagementWindowsAutopilotDeviceIdentity per elencare i dispositivi Windows Autopilot nell'organizzazione e confrontarli con l'elenco dei dispositivi da pulire.

Come posso sapere tutti i tipi di dispositivi collegati?

Per saperne di più sui diversi tipi, vedere la panoramica sulla gestione dei dispositivi.

Cosa accade quando si disabilita un dispositivo?

Tutte le autenticazioni in cui viene usato un dispositivo per eseguire l'autenticazione all'ID Entra Microsoft vengono negate. Esempi comuni:

  • Dispositivo unito in modalità ibrida a Microsoft Entra: gli utenti potrebbero essere in grado di usare il dispositivo per accedere al dominio locale. Tuttavia, non possono accedere alle risorse di Microsoft Entra, ad esempio Microsoft 365.
  • Dispositivo aggiunto a Microsoft Entra: gli utenti non possono usare il dispositivo per accedere.
  • Dispositivi mobili: l'utente non può accedere alle risorse di Microsoft Entra, ad esempio Microsoft 365.

Contenuto correlato

Per altre informazioni sui dispositivi gestiti con Intune, vedere l'articolo Rimuovere i dispositivi tramite cancellazione, ritiro o annullamento manuale della registrazione del dispositivo.

Per una panoramica su come gestire i dispositivi, vedere Gestione delle identità dei dispositivi