Практическое руководство. Управление устаревшими устройствами в идентификаторе Microsoft Entra
Чтобы правильно завершить жизненный цикл ставшего ненужным зарегистрированного устройства, нужно отменить его регистрацию. Из-за потерянных, украденных, сломанных устройств или переустановок ОС в вашей среде обычно есть некоторые устаревшие устройства. ИТ-администратору, вероятно, потребуется метод для удаления устаревших устройств, чтобы сосредоточить ресурсы на управлении теми устройствами, которые действительно требуют управления.
В этой статье описано, как управлять устаревшими устройствами в вашей среде.
Что такое устаревшее устройство?
Устаревшее устройство — это устройство, зарегистрированное в идентификаторе Microsoft Entra, которое не обращается к облачным приложениям для определенного интервала времени. Устаревшие устройства негативно влияют на вашу способность управлять и поддерживать устройства и пользователей в клиенте, поскольку:
- Дублированные устройства могут затруднить сотрудникам службы поддержки идентификацию того, какое устройство в данный момент активно.
- Увеличение числа устройств создает ненужные обратные записи устройств, увеличивая время синхронизации Microsoft Entra Connect.
- В целях общей гигиены и для соблюдения требований может потребоваться перезапуск устройств.
Устаревшие устройства в системе идентификации Microsoft Entra могут помешать общим политикам жизненного цикла устройств в вашей организации.
Выявление устаревших устройств
Поскольку неактивное устройство определяется как зарегистрированное устройство, которое не использовалось для доступа к облачным приложениям в течение определенного временного периода, для выявления таких устройств требуется свойство, связанное с меткой времени. В идентификаторе Microsoft Entra это свойство называется ApproximateLastSignInDateTime или меткой времени действия. Устройство считается неактивным, если разница между текущей датой и значением метки активности превышает интервал времени, определенный для активных устройств. Это временная метка активности в настоящее время находится в общедоступной предварительной версии.
Как управляется значение отметки времени активности?
Оценка метки активности запускается попыткой аутентификации устройства. Идентификатор Microsoft Entra вычисляет метку времени действия, когда:
- Сработали политики условного доступа, требующие использовать управляемые устройства или утвержденные клиентские приложения.
- Устройства с Windows 10 или более новой версией, которые присоединены к Microsoft Entra или являются гибридными присоединениями Microsoft Entra, активны в сети.
- когда управляемые устройства Intune подключаются к этой службе.
Если интервал между сохраненным значением метки активности и текущим значением времени превышает 14 (вариантность ±5) дней, существующее значение заменяется новым.
Как получить метку активности?
У вас есть два способа получить значение метки активности.
Столбец действия на странице всех устройств.
-
Планирование очистки устаревших устройств
Чтобы эффективно очистить устаревшие устройства в вашей среде, необходимо определить связанную политику. Эта политика поможет вам учесть все аспекты, связанные с устаревшими устройствами. В следующих разделах приводятся разные аспекты, учитываемые при создании таких политик.
Внимание
Если в вашей организации используется шифрование дисков BitLocker, необходимо убедиться, что ключи восстановления BitLocker либо сохранены в резервной копии, либо больше не требуются, перед тем как удалять устройства. Сбой этого может привести к потере данных.
Если вы используете такие функции, как Autopilot или универсальная печать, эти устройства должны быть удалены на соответствующих порталах администрирования.
Очистка учетной записи
Чтобы обновить устройство в идентификаторе Microsoft Entra, требуется учетная запись, назначаемая одной из следующих ролей:
Выберите для политики очистки учетные записи, которым назначены необходимые роли.
Интервал времени
Определите интервал времени, по которому определяются устаревшие устройства. При определении интервала времени не забывайте про интервал обновления значений метки активности. Например, не следует рассматривать временную метку младше 21 дня (с учетом варианта) как показатель для устаревшего устройства. В некоторых ситуациях устройство может казаться устаревшим, хотя фактически им не является. Например, если владелец устройства уехал в отпуск или находится на больничном в течение периода, превышающего выбранный вами интервал для неактивных устройств.
Отключение устройств
Мы не рекомендуем немедленно удалять неактивные устройства, ведь вы не сможете отменить эту операцию в случае ложноположительного результата. Лучше всего перед удалением отключать такое устройство на указанный период. Определите в политике интервал времени, в течение которого устройство будет отключено перед удалением.
Устройства, управляемые MDM
Если устройство находится под контролем Intune или любого другого решения для управления мобильными устройствами (MDM), выведите устройство из эксплуатации в системе управления перед отключением или удалением. Дополнительные сведения см. в статье "Удаление устройств с помощью очистки, удаления или отмены регистрации устройства вручную".
Устройства, управляемые системой
Не удаляйте устройства, управляемые системой. Это могут быть обычные устройства, например автопилот. После удаления их невозможно инициализировать повторно.
Устройства, присоединившиеся к Microsoft Entra в гибридном режиме
Гибридные устройства, присоединенные к Microsoft Entra, должны следовать политикам локального управления устаревшими устройствами.
Чтобы очистить идентификатор Microsoft Entra, выполните следующие действия.
- Устройства с Windows 10 или более поздней версии. Отключите или удалите устройства с Windows 10 или более новыми устройствами в локальной службе AD и позволить Microsoft Entra Connect синхронизировать измененное состояние устройства с идентификатором Microsoft Entra ID.
- Windows 7 и 8 — сначала отключите или удалите устройства Windows 7/8 в локальной AD. Вы не можете использовать Microsoft Entra Connect для отключения или удаления устройств Windows 7/8 в идентификаторе Microsoft Entra ID. Вместо этого при внесении изменений в локальную инфраструктуру необходимо отключить или удалить учётную запись в Microsoft Entra ID.
Примечание.
- Удаление устройств в локальной службе Active Directory или ID Microsoft Entra не удаляет регистрацию на клиенте. Это предотвратит доступ к ресурсам, использующим устройство в качестве идентификационного средства (например, условный доступ). Ознакомьтесь с дополнительными сведениями о том, как Удалить регистрацию на клиенте.
- Удаление устройства с Windows 10 или более новой версии только в Microsoft Entra ID приведет к повторной синхронизации устройства из вашей локальной сети с помощью Microsoft Entra Connect, но в виде нового объекта в состоянии "Ожидание". На устройстве требуется повторная регистрация.
- Удаление устройства из области синхронизации для устройств Windows 10 или более поздней версии /Server 2016 приведет к удалению устройства Microsoft Entra. При добавлении обратно в область синхронизации новый объект будет находиться в состоянии "В ожидании". Требуется повторная регистрация устройства.
- Если вы не используете Microsoft Entra Connect для Windows 10 или более новых устройств для синхронизации (например, только с помощью AD FS для регистрации), необходимо управлять жизненным циклом, аналогичным устройствам Windows 7/8.
Устройства, подключенные к Microsoft Entra
Отключите или удалите устройства, присоединенные к Microsoft Entra, в идентификаторе Microsoft Entra.
Примечание.
- Удаление устройства Microsoft Entra не удаляет регистрацию на клиенте. Это только предотвратит доступ к ресурсам с использованием устройства в качестве идентификатора (например, условного доступа).
- Узнайте больше о том, как отсоединиться от Microsoft Entra ID
Устройства, зарегистрированные в Microsoft Entra
Отключите или удалите зарегистрированные устройства Microsoft Entra в идентификаторе Microsoft Entra.
Примечание.
- Удаление зарегистрированного устройства Microsoft Entra в идентификаторе Microsoft Entra не удаляет регистрацию на клиенте. Это предотвратит доступ только к ресурсам с использованием устройства в качестве удостоверения (например, Условного доступа).
- Дополнительные сведения о том, как удалить регистрацию в клиенте
Очистка устаревших устройств
Хотя вы можете очистить устаревшие устройства в Центре администрирования Microsoft Entra, это более эффективно для обработки этого процесса с помощью скрипта PowerShell. Используйте последнюю версию модуля PowerShell (версия 2), чтобы применить фильтр по метке времени, исключив управляемые системой устройств, такие как Autopilot.
Типичная процедура состоит из следующих шагов:
- Подключитесь к Microsoft Entra ID с помощью командлета Connect-MgGraph
- Получите список устройств.
- Отключите устройство с помощью командлета Update-MgDevice (отключите с помощью параметра -AccountEnabled).
- Подождите льготный период в течение указанного вами количества дней, прежде чем удалить устройство.
- Удалите устройство с помощью командлета Remove-MgDevice .
Получение списка устройств
Чтобы получить список всех устройств и сохранить эти данные в CSV-файл, выполните:
Get-MgDevice -All | select-object -Property AccountEnabled, DeviceId, OperatingSystem, OperatingSystemVersion, DisplayName, TrustType, ApproximateLastSignInDateTime | export-csv devicelist-summary.csv -NoTypeInformation
Если в вашем каталоге много устройств, сократите объем результатов с помощью фильтра по метке времени. Чтобы получить все устройства, которые не входили в систему в течение 90 дней, и сохранить возвращенные данные в CSV-файле, выполните следующие действия:
$dt = (Get-Date).AddDays(-90)
Get-MgDevice -All | Where {$_.ApproximateLastSignInDateTime -le $dt} | select-object -Property AccountEnabled, DeviceId, OperatingSystem, OperatingSystemVersion, DisplayName, TrustType, ApproximateLastSignInDateTime | export-csv devicelist-olderthan-90days-summary.csv -NoTypeInformation
Отключите устройства.
Используя те же команды, можно передать выходные данные команде set, чтобы отключить устройства определенного возраста.
$dt = (Get-Date).AddDays(-90)
$params = @{
accountEnabled = $false
}
$Devices = Get-MgDevice -All | Where {$_.ApproximateLastSignInDateTime -le $dt}
foreach ($Device in $Devices) {
Update-MgDevice -DeviceId $Device.Id -BodyParameter $params
}
удаление устройств;
Внимание
Командлет Remove-MgDevice
не предоставляет предупреждений. Выполнение этой команды приведет к удалению устройств без дополнительного запроса.
Восстановить удаленные устройства невозможно.
Прежде чем администраторы удаляют все устройства, создайте резервную копию всех ключей восстановления BitLocker, которые могут потребоваться в будущем. После удаления связанного устройства ключи восстановления BitLocker восстановить невозможно.
Мы опираемся на пример отключения устройств, чтобы найти отключенные и неактивные в течение 120 дней устройства, и перенаправим результаты в Remove-MgDevice
, чтобы удалить эти устройства.
$dt = (Get-Date).AddDays(-120)
$Devices = Get-MgDevice -All | Where {($_.ApproximateLastSignInDateTime -le $dt) -and ($_.AccountEnabled -eq $false)}
foreach ($Device in $Devices) {
Remove-MgDevice -DeviceId $Device.Id
}
Что нужно знать
Почему метка времени не обновляется чаще?
Метка времени обновляется для поддержки сценариев жизненного цикла устройств. Этот атрибут не является аудитом. Используйте журналы аудита входов для получения более частых обновлений на устройстве. Некоторые активные устройства могут иметь пустую метку времени.
Почему мне нужно беспокоиться о ключах BitLocker?
При настройке ключи BitLocker для устройств Windows 10 или более новых версий хранятся на объекте устройства в идентификаторе Microsoft Entra. Удаляя устаревшее устройство, вы удалите и сохраненные для него ключи BitLocker. Прежде чем удалять устаревшие устройства, нужно убедиться, что выбранная политика очистки соответствует фактическим жизненным циклам устройств.
Почему следует беспокоиться о устройствах Windows Autopilot?
При удалении устройства Microsoft Entra, связанного с объектом Windows Autopilot, могут возникнуть следующие три сценария, если устройство будет перепрофилировано в будущем:
- При развертывании Windows Autopilot, инициированном пользователем, без предварительной подготовки создается новое устройство Microsoft Entra, но оно не помечается меткой ZTDID.
- При использовании режима самовнедрения Windows Autopilot развертывание завершится с ошибкой, так как не удается найти связанное устройство Microsoft Entra. (Этот сбой служит механизмом безопасности, обеспечивающим, чтобы поддельные устройства не пытались присоединиться к Microsoft Entra ID без достоверных учетных данных.) Сбой указывает на несоответствие ZTDID.
- При предварительном развертывании Windows Autopilot возникает ошибка, так как невозможно найти связанное устройство Microsoft Entra. (Если заглянуть за кулисы, то при развертывании с предварительной подготовкой используется один и тот же процесс в режиме саморазвертывания, поэтому вовлекаются те же самые механизмы безопасности.)
Используйте Get-MgDeviceManagementWindowsAutopilotDeviceIdentity , чтобы получить список устройств Windows Autopilot в организации и сравнить его со списком устройств для очистки.
Как мне изучить все типы присоединенных устройств?
Дополнительные сведения о разных типах вы найдете в руководстве по управлению устройствами.
Что произойдет, если я отключу устройство?
Отказано в любой проверке подлинности, в которой устройство используется для проверки подлинности в идентификаторе Microsoft Entra. Ниже приведены распространенные примеры.
- Гибридное устройство , присоединенное к Microsoft Entra. Пользователи могут использовать устройство для входа в локальный домен. Однако они не могут получить доступ к ресурсам Microsoft Entra, таким как Microsoft 365.
- Устройство, присоединенное к Microsoft Entra — пользователи не могут использовать устройство для авторизации.
- Мобильные устройства — пользователь не может получить доступ к ресурсам Microsoft Entra, таким как Microsoft 365.
Связанный контент
Дополнительные сведения об устройствах, управляемых с помощью Intune, см. в статье "Удаление устройств с помощью очистки, удаления или отмены регистрации устройства вручную".
Чтобы получить общее представление об управлении устройствами, см. управление идентификацией устройств.