Udostępnij za pośrednictwem


Instrukcje: zarządzanie nieaktywnymi urządzeniami w identyfikatorze Entra firmy Microsoft

Najlepiej, aby ukończyć cykl życia, zarejestrowane urządzenia powinny być wyrejestrowane, gdy nie są już potrzebne. Z powodu utraty, kradzieży, uszkodzonych urządzeń lub ponownych instalacji systemu operacyjnego zwykle w środowisku istnieją nieaktywne urządzenia. Jako administrator IT prawdopodobnie potrzebujesz metody usuwania takich nieaktywnych urządzeń, aby Twoje zasoby mogły skoncentrować się na zarządzaniu urządzeniami, które faktycznie wymagają zarządzania.

W tym artykule dowiesz się, jak skutecznie zarządzać nieaktywnymi urządzeniami we własnym środowisku.

Co to jest nieaktywne urządzenie?

Nieaktywne urządzenie to urządzenie zarejestrowane w usłudze Microsoft Entra ID, które nie uzyskało dostępu do żadnych aplikacji w chmurze dla określonego przedziału czasu. Przestarzałe urządzenia wpływają na zdolność zarządzania oraz wspierania urządzeń i użytkowników w ramach dzierżawy z następujących powodów:

  • Zduplikowane urządzenia mogą utrudnić pracownikom działu pomocy technicznej zidentyfikowanie urządzenia, które jest aktualnie aktywne.
  • Zwiększona liczba urządzeń powoduje niepotrzebne operacje zapisów zwrotnych, co wydłuża czas synchronizacji w programie Microsoft Entra Connect.
  • Aby zapewnić podstawową higienę i zgodność, warto mieć czystą listę urządzeń.

Przestarzałe urządzenia w Microsoft Entra ID mogą zakłócać ogólne polityki zarządzania cyklem życia urządzeń w organizacji.

Wykrywanie nieaktywnych urządzeń

Ponieważ nieaktualne urządzenie jest definiowane jako zarejestrowane urządzenie, które nie było używane do uzyskiwania dostępu do żadnych aplikacji w chmurze dla określonego przedziału czasu, wykrywanie nieaktualnych urządzeń wymaga właściwości powiązanej ze znacznikiem czasu. W systemie Microsoft Entra ID ta właściwość nosi nazwę ApproximateLastSignInDateTime lub znacznik czasu ostatniej aktywności. Jeśli różnica między teraz a wartością znacznika czasu działania przekracza przedział czasu zdefiniowany dla aktywnych urządzeń, urządzenie jest uważane za nieaktualne. Ten znacznik czasu aktywności znajduje się obecnie w publicznej wersji zapoznawczej.

Jak jest zarządzana wartość znacznika czasu aktywności?

Obliczanie znacznika czasu aktywności jest wyzwalane przez próbę uwierzytelnienia urządzenia. Identyfikator Microsoft Entra ID ocenia znacznik czasu aktywności, gdy:

  • Wyzwolono zasady dostępu warunkowego wymagające urządzeń zarządzanych lub zatwierdzonych aplikacji klienckich.
  • Urządzenia z systemem Windows 10 lub nowszym, które są przyłączone do Microsoft Entra lub hybrydowo przyłączone do Microsoft Entra, są aktywne w sieci.
  • Urządzenia zarządzane przez Intune zalogowały się do usługi.

Jeśli różnica między istniejącą wartością znacznika czasu działania a bieżącą wartością przekracza 14 dni (+/-5-dniowa wariancja), istniejąca wartość zostanie zamieniona na nową wartość.

Jak mogę uzyskać znacznik czasu aktywności?

Istnieją dwie możliwości uzyskania wartości znacznika czasu aktywności:

Zaplanuj oczyszczanie przestarzałych urządzeń

Aby efektywnie wyczyścić nieaktywne urządzenia w danym środowisku, należy zdefiniować powiązane zasady. Te zasady pomagają zapewnić uwzględnienie wszystkich zagadnień dotyczących nieaktywnych urządzeń. Poniższe sekcje zawierają przykłady typowych zagadnień uwzględnianych w zasadach.

Uwaga

Jeśli organizacja korzysta z szyfrowania dysków funkcją BitLocker, przed usunięciem urządzeń należy upewnić się, że kopie zapasowe kluczy odzyskiwania funkcji BitLocker zostały utworzone lub nie będą już potrzebne. Brak wykonania tej czynności może spowodować utratę danych.

Jeśli używasz funkcji, takich jak Rozwiązanie Autopilot lub Universal Print, te urządzenia powinny zostać wyczyszczone w odpowiednich portalach administracyjnych.

Konto oczyszczania

Aby zaktualizować urządzenie w identyfikatorze Entra firmy Microsoft, potrzebne jest konto, które ma przypisaną jedną z następujących ról:

W zasadach oczyszczania wybierz konta, które mają przypisane wymagane role.

Przedział czasu

Zdefiniuj przedział czasu, który jest wskaźnikiem służącym do wykrywania nieaktywnego urządzenia. Podczas definiowania przedziału czasowego, uwzględnij przedział określony dla aktualizacji znacznika czasu aktywności w swojej wartości. Na przykład nie należy uwzględniać znacznika czasu, który jest młodszy niż 21 dni (obejmuje wariancję) jako wskaźnik nieaktualnego urządzenia. Istnieją sytuacje, w których urządzenie może wyglądać na nieaktywne, chociaż tak nie jest. Na przykład właściciel urządzenia, którego dotyczy problem, może być na urlopie lub na urlopie chorobowym, który przekracza przedział czasu dla nieaktualnych urządzeń.

Wyłączanie urządzeń

Nie zaleca się natychmiastowego usunięcia urządzenia, które wydaje się być nieaktualne, ponieważ nie można cofnąć usunięcia, jeśli istnieje wynik fałszywie dodatni. Najlepszym rozwiązaniem jest wyłączenie urządzenia na okres karencji przed jego usunięciem. W zasadach zdefiniuj przedział czasu wyłączenia urządzenia przed jego usunięciem.

Urządzenia kontrolowane przez rozwiązanie MDM

Jeśli urządzenie jest pod kontrolą usługi Intune lub innego rozwiązania do zarządzania urządzeniami przenośnymi (MDM), wycofaj urządzenie w systemie zarządzania urządzeniami przed jego wyłączeniem lub usunięciem. Aby uzyskać więcej informacji, zobacz artykuł Usuwanie urządzeń przy użyciu wymazywania, usuwania lub ręcznego wyrejestrowania urządzenia.

Urządzenia zarządzane przez system

Nie należy usuwać urządzeń zarządzanych przez system. Te urządzenia są zazwyczaj urządzeniami, takimi jak rozwiązanie Autopilot. Po usunięciu takich urządzeń nie można ich ponownie aprowizować.

Urządzenia przyłączone hybrydowo do usługi Microsoft Entra.

Urządzenia dołączone hybrydowo do Microsoft Entra powinny być zgodne z Twoimi zasadami dotyczącymi lokalnego zarządzania nieaktywnymi urządzeniami.

Aby wyczyścić identyfikator Entra firmy Microsoft:

  • Urządzenia z systemem Windows 10 lub nowszym — wyłącz lub usuń urządzenia z systemem Windows 10 lub nowszym w lokalnej usłudze AD i pozwól firmie Microsoft Entra Connect zsynchronizować zmieniony stan urządzenia z identyfikatorem Entra FIRMY Microsoft.
  • Windows 7/8 — najpierw wyłącz lub usuń urządzenia z systemem Windows 7/8 w lokalnej usłudze AD. Nie można użyć programu Microsoft Entra Connect, aby wyłączyć lub usunąć urządzenia z systemem Windows 7/8 w usłudze Microsoft Entra ID. Zamiast tego, po wprowadzeniu zmian w środowisku lokalnym, należy wyłączyć lub usunąć w Microsoft Entra ID.

Uwaga

  • Usuwanie urządzeń w lokalnej usłudze Active Directory lub Microsoft Entra ID nie powoduje usunięcia rejestracji na urządzeniu klienckim. Uniemożliwi tylko dostęp do zasobów przy użyciu urządzenia jako tożsamości (na przykład dostępu warunkowego). Przeczytaj dodatkowe informacje na temat usuwania rejestracji na kliencie.
  • Usunięcie urządzenia z systemem Windows 10 lub nowszym tylko w usłudze Microsoft Entra ID spowoduje ponowne zsynchronizowanie urządzenia ze środowiska lokalnego przy użyciu programu Microsoft Entra Connect, ale jako nowy obiekt w stanie "Oczekiwanie". Na urządzeniu jest wymagana ponowna rejestracja.
  • Usunięcie urządzenia z zakresu synchronizacji dla urządzeń z systemem Windows 10 lub nowszym /Server 2016 spowoduje usunięcie urządzenia Microsoft Entra. Dodanie go z powrotem do zakresu synchronizacji spowoduje umieszczenie nowego obiektu w stanie "Oczekiwanie". Wymagana jest ponowna rejestracja urządzenia.
  • Jeśli nie używasz programu Microsoft Entra Connect dla systemu Windows 10 lub nowszych urządzeń do synchronizacji (na przykład tylko przy użyciu usług AD FS do rejestracji), musisz zarządzać cyklem życia podobnym do urządzeń z systemem Windows 7/8.

Urządzenia dołączone do usługi Microsoft Entra

Wyłącz lub usuń urządzenia dołączone do Microsoft Entra w Microsoft Entra ID.

Uwaga

Urządzenia zarejestrowane w usłudze Microsoft Entra

Wyłącz lub usuń zarejestrowane urządzenia firmy Microsoft w identyfikatorze Entra firmy Microsoft.

Uwaga

  • Usunięcie zarejestrowanego urządzenia firmy Microsoft Entra w identyfikatorze Entra firmy Microsoft nie powoduje usunięcia rejestracji na kliencie. Uniemożliwi tylko dostęp do zasobów przy użyciu urządzenia jako tożsamości (na przykład dostępu warunkowego).
  • Dowiedz się więcej na temat usuwania rejestracji na kliencie

Czyszczenie nieaktualnych urządzeń

Chociaż można wyczyścić nieaktywne urządzenia w centrum administracyjnym firmy Microsoft Entra, bardziej wydajne jest obsługę tego procesu przy użyciu skryptu programu PowerShell. Użyj najnowszego modułu programu PowerShell w wersji 2, aby użyć filtru sygnatury czasowej i odfiltrowania urządzeń zarządzanych przez system, takich jak rozwiązanie Autopilot.

Typowa procedura obejmuje następujące czynności:

  1. Połącz się z Microsoft Entra ID, używając polecenia cmdlet Connect-MgGraph
  2. Pobierz listę urządzeń.
  3. Wyłącz urządzenie przy użyciu polecenia cmdlet Update-MgDevice (wyłącz przy użyciu opcji -AccountEnabled).
  4. Przed usunięciem urządzenia poczekaj, aż upłynie wybrana przez Ciebie liczba dni okresu prolongaty.
  5. Usuń urządzenie przy użyciu polecenia cmdlet Remove-MgDevice .

Pobieranie listy urządzeń

Aby uzyskać listę wszystkich urządzeń i zachować zwrócone dane w pliku CSV, użyj następującego polecenia:

Get-MgDevice -All | select-object -Property AccountEnabled, DeviceId, OperatingSystem, OperatingSystemVersion, DisplayName, TrustType, ApproximateLastSignInDateTime | export-csv devicelist-summary.csv -NoTypeInformation

Jeśli masz dużą liczbę urządzeń w katalogu, użyj filtru znacznika czasu, aby zawęzić liczbę zwracanych urządzeń. Aby uzyskać wszystkie urządzenia, które nie zalogowały się w ciągu 90 dni i zapisać otrzymane dane w pliku CSV:

$dt = (Get-Date).AddDays(-90)
Get-MgDevice -All | Where {$_.ApproximateLastSignInDateTime -le $dt} | select-object -Property AccountEnabled, DeviceId, OperatingSystem, OperatingSystemVersion, DisplayName, TrustType, ApproximateLastSignInDateTime | export-csv devicelist-olderthan-90days-summary.csv -NoTypeInformation

Ustawianie urządzeń na wyłączone

Za pomocą tych samych poleceń możemy przekazać dane wyjściowe do polecenia "set", aby wyłączyć urządzenia starsze niż określony wiek.

$dt = (Get-Date).AddDays(-90)
$params = @{
	accountEnabled = $false
}

$Devices = Get-MgDevice -All | Where {$_.ApproximateLastSignInDateTime -le $dt}
foreach ($Device in $Devices) { 
   Update-MgDevice -DeviceId $Device.Id -BodyParameter $params 
}

Usuwanie urządzeń

Uwaga

Polecenie Remove-MgDevice cmdlet nie generuje ostrzeżenia. Uruchomienie tego polecenia spowoduje usunięcie urządzeń bez monitowania. Nie ma możliwości odzyskania usuniętych urządzeń.

Zanim administratorzy usuną wszystkie urządzenia, wykonaj kopię zapasową wszystkich kluczy odzyskiwania funkcji BitLocker, które mogą być potrzebne w przyszłości. Nie ma możliwości odzyskania kluczy odzyskiwania funkcji BitLocker po usunięciu skojarzonego urządzenia.

Na podstawie przykładu wyłączania urządzeń szukamy urządzeń wyłączonych, które są nieaktywne od 120 dni, i przesyłamy dane wyjściowe do Remove-MgDevice w celu usunięcia tych urządzeń.

$dt = (Get-Date).AddDays(-120)
$Devices = Get-MgDevice -All | Where {($_.ApproximateLastSignInDateTime -le $dt) -and ($_.AccountEnabled -eq $false)}
foreach ($Device in $Devices) {
   Remove-MgDevice -DeviceId $Device.Id
}

Co należy wiedzieć

Dlaczego znacznik czasu nie jest aktualizowany częściej?

Znacznik czasu jest aktualizowany w celu obsługi scenariuszy cyklu życia urządzenia. Ten atrybut nie jest audytem. Aby wykonywać częstsze aktualizacje na urządzeniu, użyj dzienników inspekcji logowania. Niektóre aktywne urządzenia mogą mieć pustą sygnaturę czasową.

Dlaczego powinienem się martwić o klucze BitLocker?

Po skonfigurowaniu klucze funkcji BitLocker dla urządzeń z systemem Windows 10 lub nowszym są przechowywane w obiekcie urządzenia w usłudze Microsoft Entra ID. Jeśli usuwasz nieaktywne urządzenie, usuwasz również klucze funkcji BitLocker, które są przechowywane na tym urządzeniu. Upewnij się, że zasady czyszczenia są zgodne z rzeczywistym cyklem życia urządzenia przed usunięciem nieaktualnego urządzenia.

Dlaczego należy martwić się o urządzenia z rozwiązaniem Windows Autopilot?

Po usunięciu urządzenia Firmy Microsoft Entra skojarzonego z obiektem rozwiązania Windows Autopilot mogą wystąpić następujące trzy scenariusze, jeśli urządzenie zostanie ponownie zaaktywowane w przyszłości:

  • W przypadku wdrożeń opartych na użytkowniku rozwiązania Windows Autopilot bez użycia wstępnego aprowizowania zostanie utworzone nowe urządzenie Microsoft Entra, ale nie zostanie oznaczone identyfikatorem ZTDID.
  • Wdrożenia za pomocą rozwiązania Windows Autopilot w trybie samodzielnego wdrażania zakończą się niepowodzeniem, ponieważ nie można odnaleźć skojarzonego urządzenia Microsoft Entra. (Ten błąd jest mechanizmem zabezpieczeń umożliwiającym upewnienie się, że żadne urządzenia podszywające się nie próbują połączyć się z Microsoft Entra ID bez poświadczeń). Błąd wskazuje na niezgodność identyfikatora ZTDID.
  • Wdrożenia wstępnie aprowizowane za pomocą Windows Autopilot kończą się niepowodzeniem, ponieważ nie można znaleźć skojarzonego urządzenia Microsoft Entra. (W tle wdrożenia wstępne aprowizacji używają tego samego procesu trybu samodzielnego wdrażania, więc wymuszają te same mechanizmy zabezpieczeń).

Użyj polecenia Get-MgDeviceManagementWindowsAutopilotDeviceIdentity , aby wyświetlić listę urządzeń rozwiązania Windows Autopilot w organizacji i porównać je z listą urządzeń do wyczyszczenia.

Jak mogę sprawdzić, czy wszystkie typy urządzeń zostały dołączone?

Aby dowiedzieć się więcej na temat różnych typów, zobacz omówienie zarządzania urządzeniami.

Co się stanie, gdy urządzenie zostanie wyłączone?

Wszelkie uwierzytelnianie, w którym urządzenie jest używane do uwierzytelniania w identyfikatorze Entra firmy Microsoft, jest odrzucane. Typowe przykłady:

  • Urządzenie dołączone hybrydowo Microsoft Entra — użytkownicy mogą być w stanie używać urządzenia do logowania się do swojej domeny lokalnej. Nie mogą jednak uzyskać dostępu do zasobów firmy Microsoft Entra, takich jak Platforma Microsoft 365.
  • Urządzenie dołączone do Microsoft Entra — użytkownicy nie mogą używać urządzenia do logowania.
  • Urządzenia przenośne — użytkownik nie może uzyskać dostępu do zasobów firmy Microsoft Entra, takich jak platforma Microsoft 365.

Aby uzyskać więcej informacji na temat urządzeń zarządzanych za pomocą usługi Intune, zobacz artykuł Usuwanie urządzeń przy użyciu czyszczenia, wycofywania lub ręcznego wyrejestrowywania urządzenia.

Aby zapoznać się z omówieniem zarządzania urządzeniami, zobacz Zarządzanie tożsamościami urządzeń