Vorgehensweise: Verwalten veralteter Geräte in Microsoft Entra ID

Idealerweise sollte die Registrierung von registrierten Geräten aufgehoben werden, wenn sie nicht mehr benötigt werden, um den Lebenszyklus abzuschließen. Aufgrund von verloren gegangenen, gestohlenen und beschädigten Geräten oder Neuinstallationen des Betriebssystems enthält Ihre Umgebung normalerweise veraltete Geräte. Als IT-Administrator wünschen Sie sich wahrscheinlich eine Methode zum Entfernen von veralteten Geräten, damit Sie Ihre Ressourcen für die Verwaltung der Geräte einsetzen können, für die dies tatsächlich erforderlich ist.

In diesem Artikel wird beschrieben, wie Sie veraltete Geräte in Ihrer Umgebung effizient verwalten.

Was ist ein veraltetes Gerät?

Ein veraltetes Gerät ist ein Gerät, das in Microsoft Entra ID registriert wurde, aber dann in einem bestimmten Zeitraum nicht auf Cloud-Apps zugegriffen hat. Veraltete Geräte wirken sich aus folgenden Gründen auf die Verwaltung und Unterstützung Ihrer Geräte und Benutzer im Mandanten aus:

  • Doppelte Geräte können für Ihre Helpdesk-Mitarbeiter die Identifizierung des derzeit aktiven Geräts erschweren.
  • Eine erhöhte Anzahl von Geräten erstellt unnötige Geräterückschreibvorgänge, sodass sich die Dauer von Microsoft Entra Connect-Synchronisierungen erhöht.
  • Als allgemeine Hygienemaßnahme und zur Erfüllung der Compliance ist es ratsam, über einen bereinigten Gerätestand zu verfügen.

Veraltete Geräte in Microsoft Entra ID können einen Konflikt mit den allgemeinen Lebenszyklusrichtlinien für Geräte in Ihrer Organisation verursachen.

Erkennen von veralteten Geräten

Da ein veraltetes Gerät als ein registriertes Gerät definiert ist, das für einen bestimmten Zeitraum nicht für den Zugriff auf Cloud-Apps verwendet wurde, ist für die Erkennung von veralteten Geräten eine zeitstempelbezogene Eigenschaft erforderlich. In Microsoft Entra ID wird diese Eigenschaft ApproximateLastSignInDateTime oder Aktivitätszeitstempel genannt. Wenn das Delta zwischen dem Jetzt-Wert und dem Wert des Aktivitätszeitstempels den Zeitrahmen überschreitet, den Sie für aktive Geräte definiert haben, wird ein Gerät als veraltet angesehen. Dieser Aktivitätszeitstempel befindet sich jetzt in der öffentlichen Vorschauphase.

Wie wird der Wert des Aktivitätszeitstempels verwaltet?

Die Auswertung des Aktivitätszeitstempels wird durch einen Authentifizierungsversuch eines Geräts ausgelöst. Microsoft Entra ID wertet den Aktivitätszeitstempel in folgenden Fällen aus:

  • Eine Richtlinie für bedingten Zugriff, für die verwaltete Geräte oder genehmigte Client-Apps benötigt werden, wurde ausgelöst.
  • Windows 10 oder neuere Geräte, die entweder in Microsoft Entra oder hybrid, in Microsoft Entra eingebunden sind, sind im Netzwerk aktiv.
  • Mit Intune verwaltete Geräte wurden in den Dienst eingecheckt.

Wenn das Delta zwischen dem vorhandenen Wert des Aktivitätszeitstempels und dem aktuellen Wert größer als 14 Tage ist (+/- 5 Tage Abweichung), wird der vorhandene Wert durch den neuen Wert ersetzt.

Wie erhalte ich den Aktivitätszeitstempel?

Sie haben zwei Möglichkeiten, um den Wert des Aktivitätszeitstempels abzurufen:

  • Die Spalte Aktivität auf der Seite „Alle Geräte“.

    Screenshot: Name, Besitzer*in und andere Informationen zu Geräten. In einer Spalte wird der Zeitstempel der Aktivität aufgeführt.

  • Der Get-MgDevice cmdlet.

    Screenshot: Befehlszeilenausgabe. Eine Zeile ist hervorgehoben und enthält einen Zeitstempel für den Wert „ApproximateLastSignInDateTime“.

Planen der Bereinigung Ihrer veralteten Geräte

Sie sollten eine entsprechende Richtlinie definieren, um veraltete Geräte in Ihrer Umgebung effizient zu bereinigen. Mit dieser Richtlinie können Sie sicherstellen, dass Sie in Bezug auf veraltete Geräte alle Aspekte erfassen. Die folgenden Abschnitte enthalten Beispiele zu den allgemeinen Aspekten von Richtlinien.

Achtung

Wenn Ihre Organisation die BitLocker-Laufwerksverschlüsselung verwendet, sollten Sie sicherstellen, dass BitLocker-Wiederherstellungsschlüssel entweder gesichert oder nicht mehr benötigt werden, bevor Sie Geräte löschen. Andernfalls kann es zum Datenverlust kommen.

Wenn Sie Features wie Autopilot oder Universal Print verwenden, sollten diese Geräte in den jeweiligen Administratorportalen bereinigt werden.

Konto für Bereinigung

Zum Aktualisieren eines Geräts in Microsoft Entra ID benötigen Sie ein Konto, dem eine der folgenden Rollen zugewiesen ist:

Wählen Sie in der Bereinigungsrichtlinie Konten aus, denen die erforderlichen Rollen zugewiesen sind.

Zeitraum

Definieren Sie einen Zeitraum, der als Indikator für ein veraltetes Gerät dient. Rechnen Sie beim Definieren des Zeitraums das Zeitfenster zum Aktualisieren des Aktivitätszeitstempels in Ihren Wert ein. Beispielsweise sollten Sie einen Zeitstempel, der jünger als 21 Tage ist (inklusive Abweichung), nicht als Indikator für ein veraltetes Gerät ansehen. Es gibt Szenarien, in denen ein Gerät veraltet erscheint, obwohl dies noch nicht der Fall ist. Der Besitzer des betroffenen Geräts kann beispielsweise im Urlaub oder krank sein, sodass der Zeitraum für das Veralten von Geräten überschritten wird.

Deaktivieren von Geräten

Es ist nicht ratsam, ein Gerät sofort zu löschen, das veraltet erscheint. Falls es fälschlicherweise als veraltet gekennzeichnet wurde, können Sie einen Löschvorgang nämlich nicht mehr rückgängig machen. Die bewährte Methode besteht darin, ein Gerät für einen Karenzzeitraum zu deaktivieren, bevor Sie es löschen. Definieren Sie in Ihrer Richtlinie einen Zeitraum, in dem ein Gerät deaktiviert werden kann, bevor der Löschvorgang durchgeführt wird.

Geräte mit MDM-Steuerung

Wenn Ihr Gerät per Intune oder mit einer anderen MDM-Lösung (Mobile Device Management, Verwaltung mobiler Geräte) gesteuert wird, sollten Sie das Gerät im Verwaltungssystem ausmustern, bevor Sie es deaktivieren oder löschen. Weitere Informationen finden Sie im Artikel Entfernen von Geräten durch Zurücksetzen, Deaktivieren oder manuelles Aufheben der Registrierung des Geräts.

Vom System verwaltete Geräte

Löschen Sie keine vom System verwalteten Geräte. Bei diesen Geräten handelt es sich normalerweise um Geräte wie Autopilot. Nach dem Löschen können diese Geräte nicht erneut bereitgestellt werden.

In Microsoft Entra eingebundene Hybridgeräte

Ihre hybrid, in Microsoft Entra eingebundenen Geräte sollten Ihren Richtlinien für die Verwaltung von lokalen veralteten Geräten folgen.

So bereinigen Sie Microsoft Entra ID:

  • Geräte mit Windows 10 oder höher – Deaktivieren oder löschen Sie Geräte mit Windows 10 oder höher auf Ihrer lokalen AD-Instanz, und lassen Sie Microsoft Entra Connect den geänderten Gerätestatus mit Microsoft Entra ID synchronisieren.
  • Windows 7/8: Deaktivieren oder löschen Sie Windows 7/8-Geräte zunächst in Ihrem lokalen AD. Sie können Microsoft Entra Connect nicht verwenden, um Windows 7/8-Geräte in Microsoft Entra ID zu deaktivieren oder zu löschen. Stattdessen müssen Sie, wenn Sie Änderungen in Ihrer lokalen Umgebung vornehmen, das Deaktivieren/Löschen in Microsoft Entra ID durchführen.

Hinweis

  • Beim Löschen von Geräten aus Ihrem lokalen Active Directory oder aus Microsoft Entra ID wird die Registrierung nicht vom Client entfernt. Es wird lediglich der Zugriff auf Ressourcen verhindert, die das Gerät als Identität verwenden (z. B. bedingter Zugriff). Lesen Sie weitere Informationen zum Entfernen von Registrierungen auf dem Client.
  • Wenn Sie ein Gerät mit Windows 10 oder höher nur in Microsoft Entra ID löschen, wird es erneut mithilfe von Microsoft Entra Connect aus Ihrer lokalen Umgebung synchronisiert, dieses Mal allerdings als neues Objekt im Zustand „Ausstehend“. Auf dem Gerät ist eine erneute Registrierung erforderlich.
  • Wenn Sie das Gerät aus dem Synchronisierungsbereich für Geräte mit Windows 10 oder höher/Server 2016 entfernen, wird das Microsoft Entra-Gerät gelöscht. Wenn Sie es erneut dem Synchronisierungsbereich hinzufügen, wird ein neues Objekt im Zustand „Ausstehend“ eingefügt. Auf dem Gerät ist eine erneute Registrierung erforderlich.
  • Wenn Sie nicht Microsoft Entra Connect für die Synchronisierung von Geräten mit Windows 10 oder höher verwenden (Sie verwenden z. B. NUR AD FS für die Registrierung), müssen Sie den Lebenszyklus ähnlich wie bei Windows 7/8-Geräten verwalten.

In Microsoft Entra eingebundene Geräte

Deaktivieren oder löschen Sie in Microsoft Entra eingebundene Geräte in Microsoft Entra ID.

Hinweis

  • Das Löschen eines Microsoft Entra-Geräts löscht oder entfernt die Registrierung nicht auf dem Client. Es wird lediglich der Zugriff auf Ressourcen verhindert, die das Gerät als Identität verwenden (z. B. bedingter Zugriff).
  • Weitere Informationen finden Sie unterAufheben der Einbindung in Microsoft Entra ID

Bei Microsoft Entra registrierte Geräte

Deaktivieren oder löschen Sie mit Microsoft Entra registrierte Geräte in Microsoft Entra ID.

Hinweis

  • Das Löschen eines in Microsoft Entra registrierten Geräts in Microsoft Entra ID entfernt die Registrierung nicht auf dem Client. Es wird lediglich der Zugriff auf Ressourcen verhindert, die das Gerät als Identität verwenden (z. B. bedingter Zugriff).
  • Weitere Informationen zum Entfernen einer Registrierung auf dem Client

Bereinigen von veralteten Geräten

Sie können veraltete Geräte zwar im Microsoft Entra Admin Center bereinigen, es ist aber effizienter, für diesen Vorgang ein PowerShell-Skript zu verwenden. Verwenden Sie das aktuelle PowerShell V2-Modul, um den Zeitstempelfilter zu nutzen und vom System verwaltete Geräte (z. B. Autopilot) herauszufiltern.

Eine typische Routine umfasst die folgenden Schritte:

  1. Herstellen einer Verbindung mit Microsoft Entra ID mithilfe des Cmdlet Connect-MgGraph
  2. Abrufen der Liste mit den Geräten.
  3. Deaktivieren des Geräts mit dem Cmdlet Update-MgDevice (deaktivieren mit der Option -AccountEnabled).
  4. Warten Sie unabhängig von der ausgewählten Anzahl von Tagen vor dem Löschen des Geräts die Toleranzperiode ab.
  5. Entfernen Sie das Gerät mit dem Cmdlet Remove-MgDevice.

Abrufen der Liste mit den Geräten

Gehen Sie wie folgt vor, um alle Geräte abzurufen und die zurückgegebenen Daten in einer CSV-Datei zu speichern:

Get-MgDevice -All | select-object -Property AccountEnabled, DeviceId, OperatingSystem, OperatingSystemVersion, DisplayName, TrustType, ApproximateLastSignInDateTime | export-csv devicelist-summary.csv -NoTypeInformation

Falls Ihr Verzeichnis eine größere Zahl von Geräten enthält, können Sie den Zeitstempelfilter verwenden, um die Anzahl der zurückgegebenen Geräte einzugrenzen. So rufen Sie alle Geräte ab, die sich 90 Tage nicht angemeldet haben, und speichern die zurückgegebenen Daten in einer CSV-Datei

$dt = (Get-Date).AddDays(-90)
Get-MgDevice -All | Where {$_.ApproximateLastSignInDateTime -le $dt} | select-object -Property AccountEnabled, DeviceId, OperatingSystem, OperatingSystemVersion, DisplayName, TrustType, ApproximateLastSignInDateTime | export-csv devicelist-olderthan-90days-summary.csv -NoTypeInformation

Festlegen von Geräten als deaktiviert

Mit denselben Befehlen können Sie die Ausgabe an den set-Befehl weitergeben, um Geräte über einem bestimmten Alter zu deaktivieren.

$dt = (Get-Date).AddDays(-90)
$params = @{
	accountEnabled = $false
}

$Devices = Get-MgDevice -All | Where {$_.ApproximateLastSignInDateTime -le $dt}
foreach ($Device in $Devices) { 
   Update-MgDevice -DeviceId $Device.Id -BodyParameter $params 
}

Löschen von Geräten

Achtung

Das Cmdlet Remove-MgDevice gibt keine Warnung aus. Wenn Sie diesen Befehl ausführen, werden Geräte ohne Aufforderung gelöscht. Es gibt keine Möglichkeit, gelöschte Geräte wiederherzustellen.

Sichern Sie vor dem Löschen von Geräten durch Administratoren alle BitLocker-Wiederherstellungsschlüssel, die Sie möglicherweise in Zukunft benötigen. Es gibt keine Möglichkeit, BitLocker-Wiederherstellungsschlüssel nach dem Löschen des zugeordneten Geräts wiederherzustellen.

Auf der Grundlage des Beispiels zum Deaktivieren von Geräten suchen wir nach deaktivierten Geräten, die jetzt 120 Tage lang inaktiv sind, und übergeben die Ausgabe an Remove-MgDevice, um diese Geräte zu löschen.

$dt = (Get-Date).AddDays(-120)
$Devices = Get-MgDevice -All | Where {($_.ApproximateLastSignInDateTime -le $dt) -and ($_.AccountEnabled -eq $false)}
foreach ($Device in $Devices) {
   Remove-MgDevice -DeviceId $Device.Id
}

Wichtige Informationen

Warum wird der Zeitstempel nicht häufiger aktualisiert?

Der Zeitstempel wird aktualisiert, um Gerätelebenszyklus-Szenarien zu unterstützen. Dieses Attribut ist keine Überwachung. Verwenden Sie die Überwachungsprotokolle der Anmeldung für häufigere Updates auf dem Gerät. Einige aktive Geräte verfügen möglicherweise über einen leeren Zeitstempel.

Warum sollte ich mir wegen meiner BitLocker-Schlüssel Gedanken machen?

Wenn sie konfiguriert sind, werden BitLocker-Schlüssel für Geräte mit Windows 10 oder höher auf dem Geräteobjekt in Microsoft Entra ID gespeichert. Wenn Sie ein veraltetes Gerät löschen, löschen Sie auch die BitLocker-Schlüssel, die auf dem Gerät gespeichert sind. Vergewissern Sie sich, dass Ihre Bereinigungsrichtlinie am tatsächlichen Lebenszyklus Ihres Geräts ausgerichtet ist, bevor Sie ein veraltetes Gerät löschen.

Warum sollte ich mir Gedanken über Windows Autopilot-Geräte machen?

Wenn Sie ein Microsoft Entra-Gerät löschen, das einem Windows Autopilot-Objekt zugeordnet war, können die folgenden drei Szenarien eintreten, wenn das Gerät in der Zukunft für einen anderen Zweck verwendet wird:

  • Bei benutzergesteuerten Windows Autopilot-Bereitstellungen ohne Vorabbereitstellung wird ein neues Microsoft Entra-Gerät erstellt, aber nicht mit der ZTDID gekennzeichnet.
  • Bei Windows Autopilot-Bereitstellungen im Selbstbereitstellungsmodus wird ein Fehler auftreten, weil ein zugeordnetes Microsoft Entra-Gerät nicht gefunden werden kann. (Dieser Fehler ist ein Sicherheitsmechanismus, um sicherzustellen, dass keine „falschen“ Geräte versuchen, Microsoft Entra ID ohne Anmeldeinformationen beizutreten.) Der Fehler weist auf eine fehlende ZTDID-Übereinstimmung hin.
  • Bei Windows Autopilot-Bereitstellungen mit Vorabbereitstellung wird ein Fehler auftreten, weil ein zugeordnetes Microsoft Entra-Gerät nicht gefunden werden kann. (Im Hintergrund verwenden Bereitstellungen mit Vorabbereitstellung denselben Selbstbereitstellungsmodus-Prozess, sodass sie dieselben Sicherheitsmechanismen erzwingen.)

Verwenden Sie die Get-MgDeviceManagementWindowsAutopilotDeviceIdentity, um Windows Autopilot-Geräte in Ihrer Organisation aufzulisten und mit der Liste der Geräte zu vergleichen, um sie zu bereinigen.

Wie kann ich ermitteln, welche Gerätetypen eingebunden sind?

Weitere Informationen zu den unterschiedlichen Typen finden Sie in der Übersicht über die Geräteverwaltung.

Was passiert, wenn ich ein Gerät deaktiviere?

Alle Authentifizierungen, bei denen ein Gerät für die Authentifizierung gegenüber Microsoft Entra ID genutzt wird, werden abgelehnt. Typische Beispiele:

  • Hybrid, in Microsoft Entra eingebundenes Gerät – Benutzer können das Gerät allenfalls zur Anmeldung in ihrer lokalen Domäne verwenden. Sie können aber nicht auf Microsoft Entra-Ressourcen, z. B. Microsoft 365, zugreifen.
  • In Microsoft Entra eingebundenes Gerät – Benutzer können das Gerät nicht verwenden, um sich anzumelden.
  • Mobile Geräte – Der Benutzer kann nicht auf Microsoft Entra-Ressourcen, z. B. Microsoft 365, zugreifen.

Weitere Informationen zu Geräten, die mit Intune verwaltet werden, finden Sie im Artikel Entfernen von Geräten durch Zurücksetzen, Abkoppeln oder manuelles Aufheben der Registrierung des Geräts.

Eine Übersicht über die Verwaltung von Geräten finden Sie unter Verwalten von Geräteidentitäten.