Nasıl yapılır: Microsoft Entra Id'de eski cihazları yönetme
İdeal olarak, yaşam döngüsünü tamamlamak için kayıtlı cihazların artık gerekli olmadığında kaydının kaldırılmış olması gerekir. Kayıp, çalınmış, bozuk cihazlar veya işletim sistemi yeniden yüklemeleri nedeniyle ortamınızda genellikle bazı eski cihazlar bulunur. BT yöneticisi olarak, büyük olasılıkla eski cihazları kaldırmak için bir yönteminiz olmasını istersiniz; böylelikle kaynaklarınızın gerçekten yönetilmesi gereken cihazların yönetimine odaklanmasını sağlayabilirsiniz.
Bu makalede, ortamınızdaki eski cihazları verimli bir yöntemle nasıl yönetebileceğinizi öğreneceksiniz.
Eski cihaz nedir?
Eski cihaz, Belirli bir zaman çerçevesi için hiçbir bulut uygulamasına erişmemiş, Microsoft Entra Id ile kaydedilmiş bir cihazdır. Eski cihazlar, kiracıdaki cihazlarınızı ve kullanıcılarınızı yönetme ve destekleme becerinizi etkiler çünkü:
- Çift cihazlar yardım masanızın hangi cihazın şu anda etkin olduğunu belirlemesini zorlaştırabilir.
- Artan cihaz sayısı, Microsoft Entra Connect eşitlemelerinin süresini artıran gereksiz cihaz geri yazma işlemleri oluşturur.
- Genel hijyen ve uyumluluk gerekliliklerini karşılamak için cihazlarınızı sıfırdan başlatmanız gerekebilir.
Microsoft Entra ID'deki eski cihazlar, kuruluşunuzdaki cihazlar için genel yaşam döngüsü politikalarını etkileyebilir.
Eski cihazları algılama
Eski bir cihaz, belirli bir zaman çerçevesi için herhangi bir bulut uygulamasına erişmek için kullanılmamış kayıtlı bir cihaz olarak tanımlandığından, eski cihazların algılanması zaman damgasıyla ilgili bir özellik gerektirir. Microsoft Entra Id'de bu özelliğe ApproximateLastSignInDateTime veya etkinlik zaman damgası adı verilir. Şimdi ile etkinlik zaman damgasının değeri arasındaki değişim, etkin cihazlar için tanımladığınız zaman çerçevesini aşarsa, cihaz eski olarak kabul edilir. Bu etkinlik zaman damgası şu anda genel önizleme aşamasındadır.
Etkinlik zaman damgasının değeri nasıl yönetilir?
Etkinlik zaman damgasının hesaplanması, bir cihazın kimlik doğrulama girişimiyle tetiklenir. Microsoft Entra Id aşağıdaki durumlarda etkinlik zaman damgasını değerlendirir:
- Yönetilen cihazlar veya onaylı istemci uygulamaları gerektiren bir Koşullu Erişim ilkesi tetiklendi.
- Microsoft Entra'ya katılmış veya Microsoft Entra hibrit olarak katılmış Windows 10 veya daha yeni cihazlar ağda etkindir.
- Intune tarafından yönetilen cihazlar hizmete giriş yaptı.
Etkinlik zaman damgasının mevcut değeri ile geçerli değer arasındaki değişim 14 günden fazlaysa (+/-5 günlük varyans), var olan değer yeni değerle değiştirilir.
Etkinlik zaman damgasını nasıl alabilirim?
Etkinlik zaman damgasının değerini almak için iki seçeneğiniz vardır:
Tüm cihazlar sayfasındaki Etkinlik sütunu.
Get-MgDevice cmdlet'i çağırma komutu.
Eski cihazların temizliğini planlama
Ortamınızdaki eski cihazları verimli bir şekilde temizlemek için ilgili bir ilke tanımlamanız gerekir. Bu ilke, eski cihazlara ilişkin tüm hususları dikkate aldığınızdan emin olmanıza yardımcı olur. Aşağıdaki bölümlerde yaygın ilke konularına ilişkin örnekler sağlanmıştır.
Dikkat
Kuruluşunuz BitLocker sürücü şifrelemesi kullanıyorsa, cihazları silmeden önce BitLocker kurtarma anahtarlarının yedeklenmiş olduğundan veya artık gerekli olmadığından emin olmanız gerekir. Bunun yapılmaması veri kaybına neden olabilir.
Autopilot veya Evrensel Yazdırma gibi özellikler kullanıyorsanız bu cihazların ilgili yönetici portallarında temizlenmesi gerekir.
Hesap Temizliği
Microsoft Entra Id'de bir cihazı güncelleştirmek için aşağıdaki rollerden birine atanmış bir hesaba ihtiyacınız vardır:
Temizleme ilkenizde, gerekli rollerin atandığı hesapları seçin.
Zaman aralığı
Eski cihaz için göstergeniz olacak bir zaman çerçevesi tanımlayın. Zaman çerçevenizi tanımlarken, etkinlik zaman damgasını değerinize güncelleştirmek için belirtilen pencereyi hesaba katın. Örneğin, eski bir cihazın göstergesi olarak 21 günden daha küçük bir zaman damgasını (varyans içerir) dikkate almamalısınız. Cihazın aslında eski olmamasına rağmen eskiymiş gibi görünmesine neden olabilecek senaryolar vardır. Örneğin, etkilenen cihazın sahibi tatilde veya eski cihazlar için zaman aralığınızı aşan bir hastalık izninde olabilir.
Cihazları devre dışı bırakma
Eski gibi görünen bir cihazı hemen silmeniz önerilmez, çünkü hatalı pozitif bir durum varsa silme işlemini geri alamazsınız. En iyi yöntem, cihazı silmeden önce belirli bir bekleme süresince devre dışı bırakmaktır. İlkenizde, silmeden önce cihazı devre dışı bırakmak için bir zaman çerçevesi tanımlayın.
MDM tarafından denetlenen cihazlar
Cihazınız Intune veya başka bir Mobil Cihaz Yönetimi (MDM) çözümünün denetimi altındaysa devre dışı bırakmadan veya silmeden önce cihazı yönetim sisteminde devre dışı bırakın. Daha fazla bilgi için Cihazları temizleme, devre dışı bırakma veya elle kayıttan çıkarma makalesine bakın.
Sistem tarafından yönetilen cihazlar
Sistem tarafından yönetilen cihazları silmeyin. Bu cihazlar genellikle Autopilot gibi cihazlardır. Silindikten sonra, bu cihazlar yeniden yapılandırılamaz.
Microsoft Entra hibrit katılım yapmış cihazlar
Microsoft Entra karma katılmış cihazlarınız, şirket içi atıl cihaz yönetimi politikalarınızı izlemelidir.
Microsoft Entra Kimliğini temizlemek için:
- Windows 10 veya daha yeni cihazlar - Şirket içi AD'nizdeki Windows 10 veya daha yeni cihazları devre dışı bırakın veya silin ve Microsoft Entra Connect'in değiştirilen cihaz durumunu Microsoft Entra Id ile eşitlemesine izin verin.
- Windows 7/8 - Önce şirket içi AD'nizdeki Windows 7/8 cihazlarını devre dışı bırakın veya silin. Microsoft Entra Connect'i, Microsoft Entra Id'de Windows 7/8 cihazlarını devre dışı bırakmak veya silmek için kullanamazsınız. Bunun yerine, şirket içi ortamınızda değişiklik yaptığınızda Microsoft Entra Id'de devre dışı bırakmanız/silmeniz gerekir.
Not
- şirket içi Active Directory veya Microsoft Entra Id'nizdeki cihazların silinmesi istemcideki kaydı kaldırmaz. Yalnızca cihaz kimlik olarak (Koşullu Erişim gibi) kullanan kaynaklara erişimi engeller. Kaydı kaldırma hakkında istemcide ek bilgileri okuyun.
- Microsoft Entra ID'de yalnızca Windows 10 veya daha yeni bir cihazı silmek, cihazı şirket içi ortamınızdan Microsoft Entra Connect kullanarak ancak "Beklemede" durumundaki yeni bir nesne olarak yeniden eşitler. Cihazda yeniden kayıt gereklidir.
- Windows 10 veya daha yeni /Server 2016 cihazları için cihazın eşitleme kapsamından kaldırılması Microsoft Entra cihazını siler. Eşitleme kapsamına geri eklemek yeni bir nesneyi "Beklemede" durumuna yerleştirir. Cihazın yeniden kaydedilmesi gerekir.
- Eşitlemek için Windows 10 veya daha yeni cihazlar için Microsoft Entra Connect kullanmıyorsanız (kayıt için YALNIZCA AD FS kullanma gibi), yaşam döngüsünü Windows 7/8 cihazlarına benzer şekilde yönetmeniz gerekir.
Microsoft Entra'ya katılan cihazlar
Microsoft Entra'ya katılmış cihazları Microsoft Entra Kimliği'nde devre dışı bırakın veya silin.
Not
- Microsoft Entra cihazının silinmesi istemcideki kaydı kaldırmaz. Yalnızca cihaz kimlik olarak (Koşullu Erişim gibi) kullanan kaynaklara erişimi engeller.
- Microsoft Entra Id'de katılmayı kaldırma hakkında daha fazla bilgi edinin
Microsoft Entra'ya kayıtlı cihazlar
Microsoft Entra kimliğindeki Microsoft Entra kayıtlı cihazları devre dışı bırakın veya silin.
Not
- Microsoft Entra id'de Microsoft Entra kayıtlı bir cihazın silinmesi istemcideki kaydı kaldırmaz. Yalnızca cihaz kimlik olarak (Koşullu Erişim gibi) kullanan kaynaklara erişimi engeller.
- İstemcide kaydı kaldırma hakkında daha fazla bilgi edinin
Eski cihazları temizleme
Microsoft Entra yönetim merkezinde eski cihazları temizleyebilirsiniz ancak powershell betiği kullanarak bu işlemi işlemek daha verimlidir. Zaman damgası filtresini kullanmak ve Autopilot gibi sistem tarafından yönetilen cihazları filtrelemek için en son PowerShell V2 modülünü kullanın.
Tipik bir yordam aşağıdaki adımlardan oluşur:
- Connect-MgGraph cmdlet'ini kullanarak Microsoft Entra Id'ye bağlanma
- Cihaz listesini alın.
- Update-MgDevice cmdlet'ini kullanarak cihazı devre dışı bırakın (-AccountEnabled seçeneğini kullanarak devre dışı bırakın).
- Seçtiğiniz gün sayısındaki ek süre dolana kadar cihazı silmeyin.
- Remove-MgDevice cmdlet'ini kullanarak cihazı kaldırın.
Cihaz listesini alma
Tüm cihazları almak ve döndürülen verileri CSV dosyasında depolamak için:
Get-MgDevice -All | select-object -Property AccountEnabled, DeviceId, OperatingSystem, OperatingSystemVersion, DisplayName, TrustType, ApproximateLastSignInDateTime | export-csv devicelist-summary.csv -NoTypeInformation
Dizininizde çok sayıda cihaz varsa, döndürülen cihaz sayısını daraltmak için zaman damgası filtresini kullanın. 90 gündür oturum açmamış tüm cihazları almak ve döndürülen verileri bir CSV dosyasında depolamak için:
$dt = (Get-Date).AddDays(-90)
Get-MgDevice -All | Where {$_.ApproximateLastSignInDateTime -le $dt} | select-object -Property AccountEnabled, DeviceId, OperatingSystem, OperatingSystemVersion, DisplayName, TrustType, ApproximateLastSignInDateTime | export-csv devicelist-olderthan-90days-summary.csv -NoTypeInformation
Cihazları devre dışı olarak ayarlama
Aynı komutları kullanarak, belirli bir yaş üzerindeki cihazları devre dışı bırakmak için çıkışı set komutuna yöneltebiliriz.
$dt = (Get-Date).AddDays(-90)
$params = @{
accountEnabled = $false
}
$Devices = Get-MgDevice -All | Where {$_.ApproximateLastSignInDateTime -le $dt}
foreach ($Device in $Devices) {
Update-MgDevice -DeviceId $Device.Id -BodyParameter $params
}
Cihazları silme
Dikkat
Cmdlet Remove-MgDevice
, bir uyarı sağlamaz. Bu komutun çalıştırılması, sorulmadan cihazları siler.
Silinen cihazları kurtarmanın bir yolu yoktur.
Yöneticiler herhangi bir cihazı silmeden önce, gelecekte ihtiyacınız olabilecek BitLocker kurtarma anahtarlarını yedekleyin. İlişkili cihazı sildikten sonra BitLocker kurtarma anahtarlarını kurtarmanın hiçbir yolu yoktur.
Devre dışı bırakılan cihazlar örneği üzerine kurarak, 120 gün boyunca etkin olmayan devre dışı bırakılmış cihazları ararız ve bu cihazları silmek için çıktıyı Remove-MgDevice
'e yönlendiririz.
$dt = (Get-Date).AddDays(-120)
$Devices = Get-MgDevice -All | Where {($_.ApproximateLastSignInDateTime -le $dt) -and ($_.AccountEnabled -eq $false)}
foreach ($Device in $Devices) {
Remove-MgDevice -DeviceId $Device.Id
}
Bilmeniz gerekenler
Zaman damgası neden daha sık güncelleştirilmiyor?
Zaman damgası cihaz yaşam döngüsü senaryolarını desteklemek için güncelleştirilir. Bu öznitelik bir denetim değildir. Cihazda daha sık güncelleştirmeler için oturum açma denetim günlüklerini kullanın. Bazı aktif cihazlarda boş bir zaman damgası olabilir.
BitLocker anahtarlarımla ilgili olarak neden kaygılanmam gerekiyor?
Yapılandırıldığında, Windows 10 veya daha yeni cihazlar için BitLocker anahtarları Microsoft Entra Id'deki cihaz nesnesinde depolanır. Eski cihazı silerseniz, cihazda depolanan BitLocker anahtarlarını da silersiniz. Eski bir cihazı silmeden önce temizleme ilkenizin cihazınızın gerçek yaşam döngüsüyle uyumlu olduğunu onaylayın.
Windows Autopilot cihazları için neden endişelenmem gerekiyor?
Windows Autopilot nesnesiyle ilişkilendirilmiş bir Microsoft Entra cihazını sildiğinizde, cihaz gelecekte yeniden kullanılacaksa aşağıdaki üç senaryo oluşabilir:
- Önceden sağlama kullanılmadan Windows Autopilot kullanıcı odaklı dağıtımlarda yeni bir Microsoft Entra cihazı oluşturulur, ancak ZTDID ile etiketlenmez.
- Windows Autopilot kendi kendine dağıtım modunda yapılan dağıtımlar, bir Microsoft Entra cihazı bulunamadığı için başarısız olacaklar. (Bu hata, hiçbir "sahtekar" cihazın kimlik bilgileri olmadan Microsoft Entra ID'ye katılmayı denemediğinden emin olmak için bir güvenlik mekanizmasıdır.) Hata, ZTDID uyuşmazlığını gösterir.
- Windows Autopilot ön sağlama dağıtımlarında, ilişkili bir Microsoft Entra cihazı bulunamadığından başarısız olur. (Arka planda, ön sağlama dağıtımları aynı kendi kendine dağıtım modu işlemini kullanır, böylece aynı güvenlik mekanizmalarını uygularlar.)
Kuruluşunuzdaki Windows Autopilot cihazlarının listesi için Get-MgDeviceManagementWindowsAutopilotDeviceIdentity komutunu kullanın ve temizlenmek üzere cihaz listesiyle karşılaştırın.
Katılmış olan tüm cihaz türlerini nasıl bilebilirim?
Farklı türler hakkında daha fazla bilgi edinmek için, bkz. Cihaz yönetimine genel bakış.
Cihazı devre dışı bıraktığımda ne olur?
Bir cihazın Microsoft Entra Kimliği'nde kimlik doğrulaması yapmak için kullanıldığı tüm kimlik doğrulamaları reddedilir. Sık karşılaşılan örnekler:
- Microsoft Entra hibrit bağlı cihaz - Kullanıcılar şirket içi etki alanına oturum açmak için cihazı kullanabilir. Ancak Microsoft 365 gibi Microsoft Entra kaynaklarına erişemezler.
- Microsoft Entra'ya katılmış cihaz - Kullanıcılar oturum açmak için cihazı kullanamaz.
- Mobil cihazlar - Kullanıcı, Microsoft 365 gibi Microsoft Entra kaynaklarına erişemez.
İlgili içerik
Intune ile yönetilen cihazlar hakkında daha fazla bilgi için "Cihazları silme, kullanımdan kaldırma veya el ile kayıttan çıkarma" makalesine bakın.
Cihazların nasıl yönetileceğini öğrenmek için bkz. Cihaz kimliklerini yönetme