Поделиться через

Начало работы с агентом отключения устройства

Агент offboarding device offboarding Agent определяет устаревшие или неправильно настроенные устройства в Intune и Entra ID, предоставляя полезные сведения и требуя утверждения администратора перед отключением любых устройств. Агент отключения устройств дополняет существующую автоматизацию Intune, предоставляя аналитические сведения и обрабатывая неоднозначные случаи, когда автоматическая очистка может оказаться недостаточной.

Предварительные условия

Требования к облаку

Агент поддерживается только в общедоступном облаке. Он не поддерживается в облаках государственных организаций.

Требования к лицензированию

Чтобы использовать агенты Security Copilot в Microsoft Intune, ваша организация должна соответствовать определенным требованиям к лицензированию.

Обязательные лицензии:

Требования к подключаемым модулям

Подключаемые модули позволяют агентам Security Copilot подключаться к службам Майкрософт и выполнять специализированные действия.

Агенту отключения устройства требуется следующий подключаемый модуль:

Дополнительные сведения о подключаемых модулях.

Требования к платформе устройства

Агент поддерживает устройства, управляемые Intune на нескольких платформах, включая Windows, iOS/iPadOS, macOS, Android и Linux.
Это относится как к корпоративным сценариям, так и к сценариям BYOD (принеси свое устройство).

Агент не поддерживает:

  • Устройства Windows с гибридным присоединением Entra
  • Устройства Windows Autopilot
  • Общие устройства
  • Телефоны Microsoft Teams

Требования к ролям

Требования к роли зависят от того, настраиваете ли вы агент или используете его, а также от конкретных выполняемых действий.

Чтобы включить, настроить и удалить агент отключения устройства, используйте учетную запись со следующими ролями:

Intune роли:

Роли Entra:

Security Copilot роли:

Чтобы использовать агент и выполнять действия по отключению, используйте учетную запись со следующими ролями:

Intune роли:

Роли Entra:

Security Copilot роли:

Принципы действия

Для поддержки безопасного и эффективного управления жизненным циклом устройств агент отключения устройств выполняет ряд автоматических оценок и действий. Ниже приведена разбивка рабочего процесса.

1. Агрегирование сигналов

Агент отключения устройства начинается с агрегирования сигналов от Microsoft Intune и Microsoft Entra ID. Эти сигналы включают индикаторы, которые помогают определить, является ли устройство активным, устаревшим или неправильно настроенным.

2. Оценка

Агент оценивает каждое устройство с помощью предопределенной логики и любых необязательных пользовательских инструкций , предоставленных администратором.

3. Рекомендации

На основе этой оценки агент создает рекомендации, которые помечают устройства для отключения, а также предлагаемые действия и обоснование их.

4. утверждение Администратор

Никакие изменения не вносятся в устройства без явного одобрения администратора. Агент предоставляет подробные рекомендации, но окончательное решение о отключении устройства зависит от ИТ-администратора.

5. Вспомогательное исправление

После утверждения администратором агент отключения устройства отключает соответствующие объекты Entra ID. Он также упрощает процесс отключения, предоставляя рекомендации по дополнительным шагам по исправлению, таким как удаление устройств из Microsoft Defender или Apple Business Manager.

Удостоверение агента

Агент отключения устройства запускается под удостоверением и разрешениями учетной записи администратора Intune, используемой во время установки. Его действия ограничены разрешениями этой учетной записи, и удостоверение обновляется при каждом запуске. Если агент не работает в течение 90 дней подряд, его проверка подлинности истечет, а последующие запуски завершаются сбоем до возобновления. Чтобы сохранить функциональность, обновите удостоверение агента до 90-дневного ограничения.

Рекомендации по эксплуатации

Перед запуском агента отключения устройства обратите внимание на следующее:

  • Администраторы должны запустить агент вручную; После запуска его нельзя приостановить или остановить.
  • Администраторы могут запускать агент только из центра администрирования Microsoft Intune.
  • Только администратор, настроивший агент, может просматривать сведения о сеансе на портале Microsoft Security Copilot.
  • Агент определяет устройства, которые были сняты с учета, очистки или удалены из Intune в течение последних 30 дней.
  • Агент ограничивает результаты до первых 10 000 устройств.
  • После утверждения администратором отключения агент отключает объекты Entra ID. Другие действия по исправлению предоставляются в качестве инструкций для администраторов.
  • Агент не сохраняет предложения в разных запусках; Повторное выполнение очищает предыдущие рекомендации.
  • Для каждого клиента поддерживается только один экземпляр агента.

Важно!

Данные, сообщаемые агентом, отображаются через предложения агента. Эти сведения могут быть видны администраторам, имеющим доступ к агенту в Центре администрирования Intune, даже если они содержат данные за пределами назначенных административных единиц (AU) в Microsoft Entra ID.

Включение агента

Чтобы включить агент отключения устройства, выполните следующие действия.

  1. В Центре администрирования Microsoft Intune выберите Агенты и выберите агент, который вы хотите включить.
  2. Выберите Настроить агент , чтобы открыть панель настройки.
  3. Просмотрите сведения, чтобы убедиться, что требования выполнены, а затем выберите Запустить агент.

Агент запускается, пока не завершит работу, а затем отображает свои результаты на вкладке Обзор .

Снимок экрана: панель настройки агента отключения устройства.

Настройка пользовательских инструкций

Используйте настраиваемые инструкции, чтобы направлять логику агента в соответствии с потребностями вашей организации. Пользовательские инструкции помогают уточнить критерии оценки агента, позволяя включать или исключать определенные устройства из рекомендаций по отключению.

Эти инструкции можно использовать для:

  • Включение или исключение определенных идентификаторов объектов.
  • Задайте пороговые значения для активности устройства.

Например, если в вашей организации есть устройства руководителей, которые вы не хотите помечать для отключения, можно использовать пользовательские инструкции, чтобы исключить их. Без этого исключения агент может обнаруживать несоответствия удостоверений на этих устройствах и использовать номера SKU, чтобы предложить отключение, даже если это нецелесообразно. Пользовательские инструкции помогут предотвратить эту проблему, направив логику агента в соответствии с потребностями вашей организации.

Пользовательские инструкции сохраняются между запусками агента, поэтому после их установки они вычисляются при каждом запуске агента. Настраиваемые инструкции можно изменить в любое время на вкладке Параметры и повторно запустить агент. В разделе Факторы в предложении выделены сведения о том, какие пользовательские инструкции были приняты во внимание при формировании списка предлагаемых устройств для отключения.

Чтобы настроить пользовательские инструкции, выполните следующие действия:

  1. В Центре администрирования Microsoft Intune выберите Агенты>Агент отключения устройства (предварительная версия).
  2. Выберите вкладку Параметры.
  3. В поле Инструкции введите запрос на настройку критериев оценки агента.

Примеры пользовательских инструкций, которые можно использовать

Исключить устройства с идентификаторами [...]

Исключите устройства с последним действием после [...]

Исключите устройства с последним действием до [...]

Включить только устройства с идентификаторами [...]

Важно!

Если вы включаете один или несколько идентификаторов устройства и ни один из них не был снят с учета, очистки или удаления в течение последних 30 дней, агент не будет запущен.

Включить только устройства с последним действием после [...]

Включить только устройства с последним действием до [...]

Обновление агента

Срок действия агентов истекает через 90 дней бездействия. По истечении срока действия проверки подлинности запуск агента завершается ошибкой, пока не будет выполнена повторная проверка подлинности. Проверку подлинности можно продлить в любое время.

По мере приближения срока действия Intune отображает предупреждение на странице обзора агента. Как владельцы Copilot , так и участники Copilot могут увидеть этот баннер с предложением обновить удостоверение агента.

Чтобы обновить агент, выполните следующие действия.

  1. Откройте Центр администрирования Microsoft Security Copilot и войдите с учетной записью с необходимыми разрешениями.
  2. Выберите Агенты.
  3. Найдите агент, которому требуется продление, и выберите Перейти к агенту.
  4. На странице сведений об агенте выберите ..., а затем — Изменить.
  5. Выберите Продлить проверку подлинности. Агент по умолчанию использует учетные данные для входа. Чтобы использовать другие учетные данные, выберите Повторная проверка подлинности и укажите их.

После продления баннер предупреждения исчезнет, а всплывающее уведомление подтверждает успешное выполнение.

Удаление агента

При удалении агента удаляются все связанные данные, включая предложения и действия. Ранее примененные предложения остаются без изменений.

Действия по удалению экземпляра агента:

  1. В Центре администрирования Microsoft Intune выберите Агенты.
  2. Выберите экземпляр агента, который требуется удалить.
  3. Выберите Удалить агент и подтвердите удаление.

После удаления:

  • Область агента возвращается в исходное состояние.
  • Администратор может переустановить агент позже, повторив процесс установки.

Помощь в формировании будущего агентов Intune

Присоединяйтесь к форуму отзывов агентов Intune, чтобы поделиться аналитическими сведениями и повлиять на предстоящие возможности в Microsoft Intune.

Зарегистрируйтесь и узнайте больше: https://aka.ms/IntuneAgentsForum

Дальнейшие действия

Узнайте, как использовать агент отключения устройства

  • Last updated on