Postupy: Správa zastaralých zařízení v Microsoft Entra ID
V ideálním případě by se zaregistrovaná zařízení měla zrušit, pokud už nejsou potřeba. Kvůli ztraceným, odcizeným, poškozeným zařízením nebo přeinstalací operačního systému obvykle máte ve svém prostředí některá zastaralá zařízení. Jako správce IT budete zřejmě potřebovat nějakou metodu pro odebrání zastaralých zařízení, abyste se mohli soustředit na správu zařízení, která to opravdu potřebují.
V tomto článku se dozvíte, jak efektivně spravovat zastaralá zařízení ve vašem prostředí.
Co je zastaralé zařízení?
Zastaralé zařízení je zařízení zaregistrované v Microsoft Entra ID, které nemá přístup k žádným cloudovým aplikacím pro konkrétní časový rámec. Zastaralá zařízení ovlivňují vaši schopnost spravovat a podporovat zařízení a uživatele v tenantovi, protože:
- Duplicitní zařízení mohou pracovníkům helpdesku znesnadnit identifikaci, které zařízení je aktuálně aktivní.
- Zvýšený počet zařízení vytváří zbytečné zpětné zápisy zařízení, což zvyšuje dobu synchronizace Microsoft Entra Connect.
- Jako obecná hygiena a dodržování předpisů můžete chtít mít čistou slate zařízení.
Zastaralá zařízení v Microsoft Entra ID můžou kolidovat s obecnými zásadami životního cyklu pro zařízení ve vaší organizaci.
Detekce zastaralých zařízení
Vzhledem k tomu, že zastaralé zařízení je definováno jako registrované zařízení, které se nepoužívá pro přístup k žádným cloudovým aplikacím pro konkrétní časový rámec, zjišťování zastaralých zařízení vyžaduje vlastnost související s časovým razítkem. V Microsoft Entra ID se tato vlastnost nazývá ApproximateLastSignInDateTime nebo časové razítko aktivity. Pokud rozdíl mezi teď a hodnotou časového razítka aktivity překročí časový rámec, který jste definovali pro aktivní zařízení, považuje se zařízení za zastaralé. Toto časové razítko aktivity je teď ve veřejné verzi Preview.
Jak se hodnota časového razítka aktivity spravuje?
Vyhodnocení časového razítka aktivity se aktivuje při pokusu o ověření zařízení. Id Microsoft Entra vyhodnocuje časové razítko aktivity v následujících případech:
- Aktivovaly se zásady podmíněného přístupu vyžadující spravovaná zařízení nebo schválené klientské aplikace .
- Zařízení s Windows 10 nebo novější, která jsou buď připojená k Microsoft Entra, nebo hybridní připojení Microsoft Entra, jsou v síti aktivní.
- Zařízení spravovaná přes Intune se přihlásí k této službě.
Pokud je rozdíl mezi existující hodnotou časového razítka aktivity a aktuální hodnotou delší než 14 dnů (+/-5denní rozptyl), nahradí se stávající hodnota novou hodnotou.
Jak získám časové razítko aktivity?
Ke získání hodnoty časového razítka aktivity máte dvě možnosti:
Sloupec Aktivita na stránce všechna zařízení.
Rutina Get-MgDevice .
Plánování úklidu zastaralých zařízení
Pokud chcete efektivně vyčistit zastaralá zařízení ve vašem prostředí, měli byste definovat související zásady. Tyto zásady vám pomohou zohlednit všechny aspekty, které souvisejí se zastaralými zařízeními. V následujících oddílech najdete příklady častých aspektů při vytváření těchto zásad.
Upozornění
Pokud vaše organizace používá šifrování jednotky BitLockeru, měli byste před odstraněním zařízení zajistit, aby se obnovovací klíče BitLockeru zálohovaly nebo už je nepotřebujete. Pokud to neuděláte, může dojít ke ztrátě dat.
Pokud používáte funkce, jako je Autopilot nebo Univerzální tisk, měla by se tato zařízení vyčistit na příslušných portálech pro správu.
Úklidový účet
Pokud chcete aktualizovat zařízení v Microsoft Entra ID, potřebujete účet, který má přiřazenou jednu z následujících rolí:
V zásadách úklidu vyberte účty, které mají přiřazené požadované role.
Časové období
Definujte časové období, které je ukazatelem zastaralého zařízení. Při definování časového rámce faktorujte okno, které jste si poznamenali pro aktualizaci časového razítka aktivity na hodnotu. Například byste neměli brát v úvahu časové razítko, které je mladší než 21 dnů (včetně rozptylu) jako indikátor zastaralého zařízení. V určitých situacích se zařízení může jevit jako zastaralé, přestože není. Vlastník ovlivněného zařízení může být například na dovolené nebo na nemocenské dovolené, která překračuje časový rámec zastaralých zařízení.
Zakázání zařízení
Nedoporučuje se okamžitě odstranit zařízení, které vypadá jako zastaralé, protože odstranění nejde vrátit zpět, pokud je falešně pozitivní. Osvědčeným postupem je zakázat zařízení po určité období odkladu předtím, než ho odstraníte. V zásadách definujte časové období, po které bude zařízení před odstraněním zakázané.
Zařízení pod kontrolou správy mobilních zařízení (MDM)
Pokud je vaše zařízení pod kontrolou Intune nebo jakéhokoli jiného řešení mobilních Správa zařízení (MDM), vyřadte ho v systému pro správu, než ho zakážete nebo odstraníte. Další informace najdete v článku Odebrání zařízení pomocí vymazání, vyřazení nebo ručního zrušení registrace zařízení.
Zařízení spravovaná systémem
Neodstraňujte zařízení spravovaná systémem. Tato zařízení jsou obecně zařízení, jako je Autopilot. Po odstranění nelze tato zařízení znovu zřídit.
Zařízení hybridně připojená k Microsoft Entra
Vaše zařízení připojená k microsoftu Entra by měla dodržovat vaše zásady pro místní zastaralou správu zařízení.
Vyčištění ID Microsoft Entra:
- Zařízení s Windows 10 nebo novější – Zakažte nebo odstraňte zařízení s Windows 10 nebo novějšími ve vaší místní službě AD a nechte Microsoft Entra Connect synchronizovat změněný stav zařízení s Microsoft Entra ID.
- Windows 7/8 – Nejprve zakažte nebo odstraňte zařízení s Windows 7/8 v místní službě AD. Microsoft Entra Connect nemůžete použít k zakázání nebo odstranění zařízení s Windows 7/8 v Microsoft Entra ID. Místo toho, když provedete změnu v místním prostředí, musíte zakázat nebo odstranit v MICROSOFT Entra ID.
Poznámka:
- Odstranění zařízení v místní Active Directory nebo ID Microsoft Entra neodebere registraci v klientovi. Zabrání přístup k prostředkům, které používají zařízení jako identitu (například podmíněný přístup). Přečtěte si další informace o tom, jak odebrat registraci klienta.
- Odstraněním zařízení s Windows 10 nebo novějším pouze v Microsoft Entra ID se zařízení znovu synchronizuje z místního prostředí pomocí nástroje Microsoft Entra Connect, ale jako nový objekt ve stavu Čeká na vyřízení. Na zařízení se vyžaduje opětovná registrace.
- Odebrání zařízení z oboru synchronizace pro zařízení s Windows 10 nebo novějším /Serverem 2016 odstraní zařízení Microsoft Entra. Když ho přidáte zpět do oboru synchronizace, umístí se nový objekt do stavu Čeká na vyřízení. Vyžaduje se opětovná registrace zařízení.
- Pokud k synchronizaci nepoužíváte Microsoft Entra Connect pro Windows 10 nebo novější zařízení (například JENOM pomocí SLUŽBY AD FS pro registraci), musíte spravovat životní cyklus podobný zařízením s Windows 7/8.
Zařízení připojená k Microsoft Entra
Zakažte nebo odstraňte zařízení připojená k Microsoft Entra v ID Microsoft Entra.
Poznámka:
- Odstranění zařízení Microsoft Entra neodebere registraci v klientovi. Zabrání přístup k prostředkům, které používají zařízení jako identitu (například podmíněný přístup).
- Přečtěte si další informace o tom, jak se odpojte od Microsoft Entra ID.
Zařízení registrovaná k Microsoft Entra
Zakažte nebo odstraňte zařízení registrovaná společností Microsoft Entra v ID Microsoft Entra.
Poznámka:
- Odstranění registrovaného zařízení Microsoft Entra v MICROSOFT Entra ID neodebere registraci v klientovi. Zabrání přístup k prostředkům, které používají zařízení jako identitu (například podmíněný přístup).
- Přečtěte si další informace o tom, jak odebrat registraci v klientovi.
Vyčištění zastaralých zařízení
I když můžete vyčistit zastaralá zařízení v Centru pro správu Microsoft Entra, je efektivnější zpracovat tento proces pomocí skriptu PowerShellu. Pomocí nejnovějšího modulu PowerShellu V2 použijte filtr časového razítka a vyfiltrujte zařízení spravovaná systémem, jako je Autopilot.
Typická rutina se skládá z následujících kroků:
- Připojení k ID Microsoft Entra pomocí rutiny Connect-MgGraph
- Získejte seznam zařízení.
- Zakažte zařízení pomocí rutiny Update-MgDevice (zakažte ho pomocí možnosti -AccountEnabled).
- Před odstraněním zařízení vyčkejte po období odkladu, jehož délku ve dnech si zvolíte.
- Odeberte zařízení pomocí rutiny Remove-MgDevice .
Získání seznamu zařízení
Všechna zařízení získáte a vrácená data uložíte do souboru CSV takto:
Get-MgDevice -All | select-object -Property AccountEnabled, DeviceId, OperatingSystem, OperatingSystemVersion, DisplayName, TrustType, ApproximateLastSignInDateTime | export-csv devicelist-summary.csv -NoTypeInformation
Pokud máte v adresáři velký počet zařízení, pomocí filtru časového razítka zúžíte počet vrácených zařízení. Pokud chcete získat všechna zařízení, která se nezaprotokolovala za 90 dnů, a uložte vrácená data do souboru CSV:
$dt = (Get-Date).AddDays(-90)
Get-MgDevice -All | Where {$_.ApproximateLastSignInDateTime -le $dt} | select-object -Property AccountEnabled, DeviceId, OperatingSystem, OperatingSystemVersion, DisplayName, TrustType, ApproximateLastSignInDateTime | export-csv devicelist-olderthan-90days-summary.csv -NoTypeInformation
Nastavení zařízení na zakázáno
Pomocí stejnýchpříkazůch
$dt = (Get-Date).AddDays(-90)
$params = @{
accountEnabled = $false
}
$Devices = Get-MgDevice -All | Where {$_.ApproximateLastSignInDateTime -le $dt}
foreach ($Device in $Devices) {
Update-MgDevice -DeviceId $Device.Id -BodyParameter $params
}
Odstranění zařízení
Upozornění
Rutina Remove-MgDevice
neposkytuje upozornění. Spuštěním tohoto příkazu odstraníte zařízení bez výzvy. Odstraněná zařízení není možné obnovit.
Než správci odstraní všechna zařízení, zálohujte všechny obnovovací klíče BitLockeru, které budete potřebovat v budoucnu. Po odstranění přidruženého zařízení neexistuje způsob, jak obnovit obnovovací klíče BitLockeru.
Na základě příkladu zakázaných zařízení vyhledáme zakázaná zařízení, teď neaktivní po dobu 120 dnů a předáme výstup, aby Remove-MgDevice
se tato zařízení odstranila.
$dt = (Get-Date).AddDays(-120)
$Devices = Get-MgDevice -All | Where {($_.ApproximateLastSignInDateTime -le $dt) -and ($_.AccountEnabled -eq $false)}
foreach ($Device in $Devices) {
Remove-MgDevice -DeviceId $Device.Id
}
Co byste měli vědět
Proč se časové razítko neaktualizuje častěji?
Časové razítko se aktualizuje kvůli podpoře životního cyklu zařízení. Tento atribut není audit. Pokud o zařízení potřebujete častější aktualizace, použijte protokoly auditu přihlašování. Některá aktivní zařízení můžou mít prázdné časové razítko.
Proč si mám dělat starosti o klíče nástroje BitLocker?
Při konfiguraci se klíče BitLockeru pro zařízení s Windows 10 nebo novější ukládají na objekt zařízení v Microsoft Entra ID. Když odstraníte zastaralé zařízení, odstraníte také klíče nástroje Bitlocker, které jsou uložené v tomto zařízení. Před odstraněním zastaralého zařízení ověřte, že zásady čištění odpovídají skutečnému životnímu cyklu zařízení.
Proč se mám starat o zařízení s Windows Autopilotem?
Když odstraníte zařízení Microsoft Entra přidružené k objektu Windows Autopilot, může dojít k následujícím třem scénářům, pokud bude zařízení v budoucnu znovu účelné:
- S nasazeními řízenými uživatelem Windows Autopilot bez použití předběžného zřizování se vytvoří nové zařízení Microsoft Entra, ale není označené pomocí ZTDID.
- S nasazením režimu samoobslužného nasazení Windows Autopilotu selžou, protože přidružené zařízení Microsoft Entra se nenašlo. (Toto selhání je bezpečnostní mechanismus, který zajistí, aby se žádná "impostor" zařízení nepokoušla připojit k Microsoft Entra ID bez přihlašovacích údajů.) Selhání značí neshodu ZTDID.
- S nasazeními předběžného zřizování Windows Autopilotu selžou, protože přidružené zařízení Microsoft Entra se nenašlo. (Na pozadí používají předzřizovací nasazení stejný proces samoobslužného nasazení, takže vynucují stejné mechanismy zabezpečení.)
Pomocí get-MgDeviceManagementWindowsAutopilotDeviceIdentity můžete zobrazit seznam zařízení Windows Autopilot ve vaší organizaci a porovnat ho se seznamem zařízení k vyčištění.
Jak poznám všechny typy připojených zařízení?
Další informace o různých typech najdete v přehledu správy zařízení.
Co se stane, když zařízení zakážu?
Jakékoli ověřování, ve kterém se zařízení používá k ověření v Microsoft Entra ID, je odepřeno. Obvyklými příklady jsou:
- Zařízení připojené k hybridní službě Microsoft Entra – Uživatelé můžou zařízení používat k přihlášení k místní doméně. Nemůžou ale získat přístup k prostředkům Microsoft Entra, jako je Microsoft 365.
- Zařízení připojené k Microsoft Entra – Uživatelé nemůžou zařízení použít k přihlášení.
- Mobilní zařízení – Uživatel nemá přístup k prostředkům Microsoft Entra, jako je Microsoft 365.
Související obsah
Další informace o zařízeních spravovaných pomocí Intune najdete v článku Odebrání zařízení pomocí vymazání, vyřazení nebo ručního zrušení registrace zařízení.
Přehled správy zařízení najdete v tématu správa identit zařízení.