Практическое руководство. Управление устаревшими устройствами в идентификаторе Microsoft Entra
Чтобы правильно завершить жизненный цикл ставшего ненужным зарегистрированного устройства, нужно отменить его регистрацию. Из-за потерянных, украденных, сломанных устройств или переустановок ОС в вашей среде обычно есть некоторые устаревшие устройства. ИТ-администратору будет полезно научиться удалять такие устаревшие устройства, чтобы не тратить время не на них, а на другие актуальные ресурсы.
В этой статье описано, как управлять устаревшими устройствами в вашей среде.
Что такое устаревшее устройство?
Устаревшее устройство — это устройство, зарегистрированное в идентификаторе Microsoft Entra, которое не обращается к облачным приложениям для определенного интервала времени. Устаревшие устройства негативно влияют на возможности поддержки устройств и пользователей и управлению ими в клиенте, так как:
- избыточное число устройств мешает сотрудникам службы поддержки быстро определить, какое устройство используется;
- Увеличение числа устройств создает ненужные обратные записи устройств, увеличивая время синхронизации Microsoft Entra Connect.
- Как общая гигиена и соответствие требованиям, может потребоваться чистый лист устройств.
Устаревшие устройства в идентификаторе Microsoft Entra могут повлиять на общие политики жизненного цикла для устройств в организации.
Выявление устаревших устройств
По определению неактивными считаются устройства, которые пока зарегистрированы, но уже не используются для доступа к облачным приложениям в течение определенного периода. Это означает, что для выявления неактивных устройств требуется свойство с метками времени. В идентификаторе Microsoft Entra это свойство называется ApproximateLastSignInDateTime или меткой времени действия. Устройство считается неактивным, если разница между текущей датой и значением метки активности превышает интервал времени, определенный для активных устройств. Свойство метки активности предоставляется в режиме общедоступной предварительной версии.
Как используется значение отметки активности?
Оценка метки активности инициируется при запросе аутентификации с устройства. Идентификатор Microsoft Entra вычисляет метку времени действия, когда:
- когда срабатывают политики условного доступа, требующие использовать управляемые устройства или утвержденные клиентские приложения;
- Устройства Windows 10 или более новые, присоединенные к Microsoft Entra или гибридные соединения Microsoft Entra, активны в сети.
- когда управляемые устройства Intune подключаются к этой службе.
Если интервал между сохраненным значением метки активности и текущим значением времени превышает 14 (вариантность ±5) дней, существующее значение заменяется новым.
Как получить метку активности?
У вас есть два способа получить значение метки активности.
Столбец действия на странице всех устройств.
-
Планирование очистки устаревших устройств
Чтобы эффективно очистить устаревшие устройства в вашей среде, необходимо определить связанную политику. Эта политика поможет вам учесть все аспекты, связанные с устаревшими устройствами. В следующих разделах приводятся разные аспекты, учитываемые при создании таких политик.
Внимание
Если в вашей организации используется шифрование дисков BitLocker, необходимо убедиться, что ключи восстановления BitLocker резервные копии или больше не нужны перед удалением устройств. Сбой этого может привести к потере данных.
Если вы используете такие функции, как Autopilot или универсальная печать, эти устройства должны быть удалены на соответствующих порталах администрирования.
Учетная запись для очистки
Чтобы обновить устройство в идентификаторе Microsoft Entra, требуется учетная запись, назначаемая одной из следующих ролей:
Выберите для политики очистки учетные записи, которым назначены необходимые роли.
Интервал времени
Определите интервал времени, по которому определяются устаревшие устройства. При определении интервала времени не забывайте про интервал обновления значений метки активности. Например, не следует настраивать для отслеживания устаревших устройств интервал времени менее чем в 21 дней (c учетом вариантности). В некоторых ситуациях устройство может казаться устаревшим, хотя фактически им не является. Например, если владелец устройства уехал в отпуск или находится на больничном в течение периода, превышающего выбранный вами интервал для неактивных устройств.
Отключение устройств
Мы не рекомендуем немедленно удалять неактивные устройства, ведь вы не сможете отменить эту операцию в случае ложноположительного результата. Лучше всего перед удалением отключать такое устройство на указанный период. Определите в политике интервал времени, в течение которого устройство будет отключено перед удалением.
Устройства, управляемые MDM
Если устройство находится под контролем Intune или любого другого решения для мобильных Управление устройствами (MDM), удалите устройство в системе управления перед отключением или удалением. Дополнительные сведения см. в статье "Удаление устройств с помощью очистки, выхода на пенсию" или отмены регистрации устройства вручную.
Устройства, управляемые системой
Не удаляйте устройства, управляемые системой. Это могут быть обычные устройства, например автопилот. После удаления их невозможно инициализировать повторно.
Устройства с гибридным присоединением к Microsoft Entra
Гибридные устройства, присоединенные к Microsoft Entra, должны следовать политикам локального управления устаревшими устройствами.
Чтобы очистить идентификатор Microsoft Entra, выполните следующие действия.
- Устройства с Windows 10 или более поздней версии. Отключите или удалите устройства с Windows 10 или более новыми устройствами в локальной службе AD и позволить Microsoft Entra Connect синхронизировать измененное состояние устройства с идентификатором Microsoft Entra ID.
- Windows 7 и 8 — отключите или удалите устройство Windows 7/8 в локальной Azure AD. Вы не можете использовать Microsoft Entra Connect для отключения или удаления устройств Windows 7/8 в идентификаторе Microsoft Entra ID. Вместо этого при внесении изменений в локальную среду необходимо отключить или удалить в идентификаторе Microsoft Entra.
Примечание.
- Удаление устройств в локальная служба Active Directory или идентификаторе Microsoft Entra не удаляет регистрацию на клиенте. Это позволит предотвратить доступ только к ресурсам с помощью устройства в качестве удостоверения (например, условного доступа). Ознакомьтесь с дополнительными сведениями о том, как Удалить регистрацию на клиенте.
- Удаление устройства с Windows 10 или более поздней версии только в идентификаторе Microsoft Entra будет повторно синхронизировать устройство из локальной среды с помощью Microsoft Entra Connect, но в качестве нового объекта в состоянии "Ожидание". На устройстве требуется повторная регистрация.
- Удаление устройства из области синхронизации для устройств Windows 10 или более поздней версии /Server 2016 приведет к удалению устройства Microsoft Entra. При добавлении обратно в область синхронизации новый объект будет находиться в состоянии "В ожидании". Требуется повторная регистрация устройства.
- Если вы не используете Microsoft Entra Connect для Windows 10 или более новых устройств для синхронизации (например, только с помощью AD FS для регистрации), необходимо управлять жизненным циклом, аналогичным устройствам Windows 7/8.
Устройства, присоединенные к Microsoft Entra
Отключите или удалите устройства, присоединенные к Microsoft Entra, в идентификаторе Microsoft Entra.
Примечание.
- Удаление устройства Microsoft Entra не удаляет регистрацию на клиенте. Это позволит предотвратить доступ только к ресурсам с помощью устройства в качестве удостоверения (например, условного доступа).
- Дополнительные сведения о том, как отменить присоединение к идентификатору Microsoft Entra
Устройства, зарегистрированные в Microsoft Entra
Отключите или удалите зарегистрированные устройства Microsoft Entra в идентификаторе Microsoft Entra.
Примечание.
- Удаление зарегистрированного устройства Microsoft Entra в идентификаторе Microsoft Entra не удаляет регистрацию на клиенте. Это позволит предотвратить доступ только к ресурсам с помощью устройства в качестве удостоверения (например, условного доступа).
- Дополнительные сведения о том, как удалить регистрацию на клиенте
Очистка устаревших устройств
Хотя вы можете очистить устаревшие устройства в Центре администрирования Microsoft Entra, это более эффективно для обработки этого процесса с помощью скрипта PowerShell. Используйте последнюю версию модуля PowerShell (версия 2), чтобы применить фильтр по метке времени, исключив управляемые системой устройств, такие как Autopilot.
Типичная процедура состоит из следующих шагов:
- Подключение к идентификатору Microsoft Entra с помощью командлета Connect-MgGraph
- Получение списка устройств.
- Отключите устройство с помощью командлета Update-MgDevice (отключите с помощью параметра -AccountEnabled).
- Ожидание периода времени перед удалением, в зависимости от количества указанных вами дней.
- Удалите устройство с помощью командлета Remove-MgDevice .
Получение списка устройств
Чтобы получить список всех устройств и сохранить эти данные в CSV-файл, выполните:
Get-MgDevice -All | select-object -Property AccountEnabled, DeviceId, OperatingSystem, OperatingSystemVersion, DisplayName, TrustType, ApproximateLastSignInDateTime | export-csv devicelist-summary.csv -NoTypeInformation
Если в вашем каталоге много устройств, сократите объем результатов с помощью фильтра по метке времени. Чтобы получить все устройства, которые не входили в систему в течение 90 дней, и сохранить возвращенные данные в CSV-файле, выполните следующие действия:
$dt = (Get-Date).AddDays(-90)
Get-MgDevice -All | Where {$_.ApproximateLastSignInDateTime -le $dt} | select-object -Property AccountEnabled, DeviceId, OperatingSystem, OperatingSystemVersion, DisplayName, TrustType, ApproximateLastSignInDateTime | export-csv devicelist-olderthan-90days-summary.csv -NoTypeInformation
Отключите устройства.
Используя те же команды, можно передать выходные данные команде set, чтобы отключить устройства определенного возраста.
$dt = (Get-Date).AddDays(-90)
$params = @{
accountEnabled = $false
}
$Devices = Get-MgDevice -All | Where {$_.ApproximateLastSignInDateTime -le $dt}
foreach ($Device in $Devices) {
Update-MgDevice -DeviceId $Device.Id -BodyParameter $params
}
удаление устройств;
Внимание
Командлет Remove-MgDevice
не предоставляет предупреждений. Выполнение этой команды приведет к удалению устройств без дополнительного запроса. Восстановить удаленные устройства невозможно.
Прежде чем администраторы удаляют все устройства, создайте резервную копию всех ключей восстановления BitLocker, которые могут потребоваться в будущем. После удаления связанного устройства ключи восстановления BitLocker восстановить невозможно.
Мы применим пример отключения устройств, чтобы найти уже отключенные и в течение 120 дней неактивные устройства, и передадим полученные результаты на вход Remove-MgDevice
, чтобы удалить эти устройства.
$dt = (Get-Date).AddDays(-120)
$Devices = Get-MgDevice -All | Where {($_.ApproximateLastSignInDateTime -le $dt) -and ($_.AccountEnabled -eq $false)}
foreach ($Device in $Devices) {
Remove-MgDevice -DeviceId $Device.Id
}
Что нужно знать
Почему метка времени не обновляется чаще?
Эта метка времени обновляется только для управления жизненным циклом устройств. Этот атрибут не предназначен для аудита. Чтобы получать более частые сведения об устройствах, применяйте журналы аудита входов. Некоторые активные устройства могут иметь пустую метку времени.
Почему мне нужно беспокоиться о ключах BitLocker?
При настройке ключи BitLocker для устройств Windows 10 или более новых версий хранятся на объекте устройства в идентификаторе Microsoft Entra. Удаляя устаревшее устройство, вы удалите и сохраненные для него ключи BitLocker. Прежде чем удалять устаревшие устройства, нужно убедиться, что выбранная политика очистки соответствует фактическим жизненным циклам устройств.
Почему следует беспокоиться о устройствах Windows Autopilot?
При удалении устройства Microsoft Entra, связанного с объектом Windows Autopilot, могут возникнуть следующие три сценария, если устройство будет перепрофилировано в будущем:
- При развертывании под управлением Windows Autopilot без предварительной подготовки создается новое устройство Microsoft Entra, но не помечается с помощью ZTDID.
- При развертывании режима самостоятельного развертывания Windows Autopilot они завершаются ошибкой, так как не удается найти сопоставленное устройство Microsoft Entra. (Этот сбой является механизмом безопасности, чтобы убедиться, что устройства "impostor" не пытаются присоединиться к идентификатору Microsoft Entra без учетных данных.) Сбой указывает на несоответствие ZTDID.
- При развертывании предварительной подготовки Windows Autopilot они завершаются ошибкой, так как связанное устройство Microsoft Entra не найдено. (Если заглянуть за кулисы, то при развертывании с предварительной подготовкой используется один и тот же процесс в режиме саморазвертывания, поэтому вовлекаются те же самые механизмы безопасности.)
Используйте Get-MgDeviceManagementWindowsAutopilotDeviceIdentity , чтобы получить список устройств Windows Autopilot в организации и сравнить его со списком устройств для очистки.
Как мне изучить все типы присоединенных устройств?
Дополнительные сведения о разных типах вы найдете в руководстве по управлению устройствами.
Что произойдет, если я отключу устройство?
Отказано в любой проверке подлинности, в которой устройство используется для проверки подлинности в идентификаторе Microsoft Entra. Ниже приведены распространенные примеры.
- Гибридное устройство , присоединенное к Microsoft Entra. Пользователи могут использовать устройство для входа в локальный домен. Однако они не могут получить доступ к ресурсам Microsoft Entra, таким как Microsoft 365.
- Устройство, присоединенное к Microsoft Entra. Пользователи не могут использовать устройство для входа.
- Мобильные устройства — пользователь не может получить доступ к ресурсам Microsoft Entra, таким как Microsoft 365.
Связанный контент
Дополнительные сведения об устройствах, управляемых с помощью Intune, см. в статье "Удаление устройств с помощью очистки, выхода на пенсию" или отмены регистрации устройства вручную.
Общие сведения об управлении устройствами см. в статье об управлении удостоверениями устройств.