Delen via

Procedure: Verlopen apparaten beheren in Microsoft Entra ID

  • Artikel

In het ideale geval moet de levenscyclus van geregistreerde apparaten worden voltooid door de registratie van de apparaten ongedaan te maken op het moment dat ze niet meer nodig zijn. Vanwege verloren, gestolen, kapotte apparaten of herinstallatie van besturingssystemen hebt u doorgaans een aantal verouderde apparaten in uw omgeving. Als IT-beheerder is het prettig om te beschikken over een methode voor het verwijderen van verlopen apparaten, zodat u zich kunt richten op het beheren van apparaten die nog echt in gebruik zijn.

In dit artikel leert u hoe u op een efficiënte manier verlopen apparaten in uw omgeving kunt beheren.

Wat is een verlopen apparaat?

Een verlopen apparaat is een apparaat dat is geregistreerd bij Microsoft Entra ID die gedurende een bepaalde periode geen toegang heeft tot cloud-apps. Verouderde apparaten hebben invloed op uw vermogen om apparaten en gebruikers in de tenant efficiënt te beheren en te ondersteunen omdat:

  • Dubbele apparaten kunnen het lastig maken voor de helpdesk om te bepalen welk apparaat momenteel actief is.
  • Een verhoogd aantal apparaten zorgt voor onnodige terugschrijven van apparaten, waardoor de tijd voor Microsoft Entra Connect-synchronisaties toeneemt.
  • Voor een goede hygiëne en om aan de regelgeving te voldoen, wilt u misschien een schone start met apparaten.

Verouderde apparaten in Microsoft Entra ID kunnen het algemene levenscyclusbeleid voor apparaten in uw organisatie verstoren.

Verlopen apparaten detecteren

De definitie van een langdurig inactief apparaat is een geregistreerd apparaat dat gedurende een bepaalde periode niet is gebruikt om toegang te krijgen tot cloud-apps. Om die reden vereist het detecteren van langdurig inactieve apparaten een eigenschap met een tijdstempel. In Microsoft Entra ID heet deze eigenschap ApproximateLastSignInDateTime of tijdstempel van activiteit. Als het verschil tussen nu en de waarde van de tijdstempel van de activiteit groter is dan de periode die u hebt gedefinieerd voor actieve apparaten, wordt een apparaat beschouwd als langdurig inactief. Deze activiteitentijdstempel is nu in publieke preview.

Hoe wordt de waarde van de tijdstempel van activiteit beheerd?

De evaluatie van de tijdstempel van activiteit wordt geactiveerd door een poging tot verificatie van een apparaat. Microsoft Entra-id evalueert de tijdstempel van de activiteit wanneer:

  • Een beleid voor voorwaardelijke toegang dat beheerde apparaten of goedgekeurde client-apps vereist, is geactiveerd.
  • Windows 10- of nieuwere apparaten die lid zijn van Microsoft Entra of hybride Microsoft Entra-apparaten, zijn actief in het netwerk.
  • Met Intune beheerde apparaten zijn ingecheckt bij de service.

Als het verschil tussen de bestaande waarde van de tijdstempel van activiteit en de huidige waarde meer dan veertien dagen (+/- vijf dagen) bedraagt, wordt de bestaande waarde vervangen door de nieuwe waarde.

Hoe kom ik aan het tijdstempel van activiteit?

Er zijn twee manieren om de waarde van de tijdstempel van activiteit te bepalen:

  • De kolom Activiteit op de pagina alle apparaten.

    Schermopname met de naam, eigenaar en andere informatie van apparaten. In één kolom wordt het tijdstempel van de activiteit weergegeven.

  • De Get-MgDevice cmdlet.

    Schermopname van de uitvoer van de opdrachtregel. Eén regel is gemarkeerd en vermeldt een tijdstempel voor de waarde ApproximateLastSignInDateTime.

De opruiming van verouderde apparaten plannen

Als u verouderde apparaten efficiënt wilt opschonen in uw omgeving, moet u een gerelateerd beleid definiëren. Dit beleid zorgt ervoor dat u rekening houdt met alle overwegingen met betrekking tot verlopen apparaten. In de volgende gedeelten vindt u voorbeelden van algemene beleidsoverwegingen.

Let op

Als uw organisatie BitLocker-stationsversleuteling gebruikt, moet u ervoor zorgen dat er een back-up van BitLocker-herstelsleutels wordt gemaakt of niet meer nodig is voordat u apparaten verwijdert. Als u dit niet doet, kunnen gegevens verloren gaan.

Als u functies zoals Autopilot of Universal Print gebruikt, moeten deze apparaten worden opgeschoond in hun respectieve beheerportals.

Opschoningsaccount

Als u een apparaat in Microsoft Entra-id wilt bijwerken, hebt u een account nodig waaraan een van de volgende rollen is toegewezen:

Selecteer in uw opschoningsbeleid accounts die over de vereiste rollen beschikken.

Tijdsbestek

Definieer de periode die u als indicator wilt gebruiken voor een verlopen apparaat. Bij het definiëren van de periode moet u rekening houden met het vermelde tijdsbestek waarin de tijdstempel van activiteit in uw waarde wordt bijgewerkt. U moet dan ook geen tijdstempel kiezen die jonger dan 21 dagen (met variantie) is als een indicator voor een langdurig inactief apparaat. Er zijn scenario's waarin het lijkt alsof een apparaat versleten is terwijl dat niet het geval is. De eigenaar van het betroffen apparaat kan met vakantie zijn of met ziekteverlof - een periode die langer kan zijn dan de gekozen periode voor langdurig inactieve apparaten.

Apparaten uitschakelen

Het is niet raadzaam om onmiddellijk een apparaat te verwijderen dat verlopen lijkt, omdat je een verwijdering niet ongedaan kunt maken als er een vals positieve is. Het is raadzaam om een apparaat gedurende een bewaarperiode uit te schakelen voordat u het verwijdert. Definieer in uw beleid een tijdsbestek waarna u een apparaat uitschakelt voordat het definitief wordt verwijderd.

Met MDM beheerde apparaten

Als uw apparaat onder controle is van Intune of een andere MDM-oplossing (Mobile Apparaatbeheer), moet u het apparaat buiten gebruik stellen in het beheersysteem voordat u het uitschakelt of verwijdert. Raadpleeg het artikel Apparaten verwijderen door wissen, buiten gebruik stellen of het apparaat handmatig uit te schrijven voor meer informatie.

Door systeem beheerde apparaten

Verwijder geen apparaten die door het systeem worden beheerd. Bij deze apparaten gaat het over het algemeen over apparaten als Autopilot. Als een dergelijk apparaat is verwijderd, kan het niet meer opnieuw worden ingericht.

Microsoft Entra hybride gekoppelde apparaten

Uw hybride aangesloten apparaten van Microsoft Entra moeten uw beleid voor on-premises beheer van verouderde apparaten volgen.

Het Microsoft Entra ID opschonen:

  • Windows 10- of nieuwere apparaten : schakel Windows 10- of nieuwere apparaten uit of verwijder deze in uw on-premises AD en laat Microsoft Entra Connect de gewijzigde apparaatstatus synchroniseren met Microsoft Entra-id.
  • Windows 7/8: schakel Windows 7/8-apparaten eerst uit in uw on-premises Azure AD of verwijder ze. U kunt Microsoft Entra Connect niet gebruiken om Windows 7/8-apparaten uit te schakelen of te verwijderen in Microsoft Entra ID. Wanneer u de wijziging aanbrengt in uw on-premises, moet u in plaats daarvan de Microsoft Entra-id uitschakelen/verwijderen.

Notitie

  • Als u apparaten verwijdert in uw on-premises Active Directory of Microsoft Entra-id, wordt de registratie op de client niet verwijderd. Toegang tot bronnen zal alleen worden voorkomen wanneer een apparaat als identiteit wordt gebruikt (zoals bij voorwaardelijke toegang). Lees aanvullende informatie over het verwijderen van de registratie van de client.
  • Als u een apparaat met Windows 10 of nieuwer enkel in Microsoft Entra ID verwijdert, wordt het apparaat opnieuw gesynchroniseerd vanaf uw on-premises omgeving met behulp van Microsoft Entra Connect, maar als een nieuw object met de status 'in behandeling'. Er is een herregistratie vereist op het apparaat.
  • Als u het apparaat verwijdert uit het synchronisatiebereik voor Windows 10- of nieuwere /Server 2016-apparaten, wordt het Microsoft Entra-apparaat verwijderd. Als u het opnieuw aan het synchronisatiebereik toevoegt, krijgt een nieuw object de status "In behandeling". Er is een herregistratie van het apparaat vereist.
  • Als u microsoft Entra Connect voor Windows 10- of nieuwere apparaten niet gebruikt om te synchroniseren (zoals ALLEEN AD FS gebruiken voor registratie), moet u de levenscyclus beheren die vergelijkbaar is met Windows 7/8-apparaten.

Aan Microsoft Entra gekoppelde apparaten

Schakel Microsoft Entra-gekoppelde apparaten uit of verwijder deze in de Microsoft Entra-id.

Notitie

  • Als u een Microsoft Entra-apparaat verwijdert, wordt de registratie op de client niet verwijderd. Hiermee wordt alleen de toegang tot resources met behulp van een apparaat als een identiteit (zoals voorwaardelijke toegang) voorkomen.
  • Meer informatie over het ongedaan maken van een Microsoft Entra-id

Microsoft Entra geregistreerde apparaten

Schakel geregistreerde Microsoft Entra-apparaten uit of verwijder deze in de Microsoft Entra-id.

Notitie

  • Als u een geregistreerd Microsoft Entra-apparaat in Microsoft Entra-id verwijdert, wordt de registratie op de client niet verwijderd. Hiermee wordt alleen voorkomen dat toegang tot bronnen wordt verkregen door een apparaat als identiteit te gebruiken (zoals "Voorwaardelijke Toegang").
  • Meer informatie over het verwijderen van een registratie op de client

Verouderde apparaten opschonen

Hoewel u verouderde apparaten kunt opschonen in het Microsoft Entra-beheercentrum, is het efficiënter om dit proces te verwerken met behulp van een PowerShell-script. Gebruik de meest recente PowerShell V2-module om met behulp van het timestamp-filter apparaten uit te filteren die door het systeem worden beheerd, zoals Autopilot.

Een typische routine bestaat uit de volgende stappen:

  1. Verbinding maken met Microsoft Entra-id met behulp van de cmdlet Connect-MgGraph
  2. Haal de lijst met apparaten op.
  3. Schakel het apparaat uit met behulp van de cmdlet Update-MgDevice (uitschakelen met de optie -AccountEnabled).
  4. Wacht tot de respijtperiode (d.w.z. het aantal dagen dat u hiervoor hebt gekozen) is verlopen voordat u het apparaat verwijdert.
  5. Verwijder het apparaat met behulp van de cmdlet Remove-MgDevice .

De lijst met apparaten opvragen

Alle apparaten opvragen en de geretourneerde gegevens opslaan in een CSV-bestand:

Get-MgDevice -All | select-object -Property AccountEnabled, DeviceId, OperatingSystem, OperatingSystemVersion, DisplayName, TrustType, ApproximateLastSignInDateTime | export-csv devicelist-summary.csv -NoTypeInformation

Als uw map een groot aantal apparaten bevat, gebruikt u het timestamp-filter om het aantal geretourneerde apparaten te beperken. Ga als volgt te werk als u alle apparaten wilt ophalen die de afgelopen negentig dagen niet zijn aangemeld en de geretourneerde gegevens in een CSV-bestand wilt opslaan:

$dt = (Get-Date).AddDays(-90)
Get-MgDevice -All | Where {$_.ApproximateLastSignInDateTime -le $dt} | select-object -Property AccountEnabled, DeviceId, OperatingSystem, OperatingSystemVersion, DisplayName, TrustType, ApproximateLastSignInDateTime | export-csv devicelist-olderthan-90days-summary.csv -NoTypeInformation

Waarschuwing

Sommige actieve apparaten hebben mogelijk een leeg tijdstempel.

Apparaten instellen op uitgeschakeld

Met dezelfde opdrachten kunnen we de uitvoer doorsluizen naar de opdracht SET om de apparaten uit te schakelen die een bepaalde levensduur hebben bereikt.

$dt = (Get-Date).AddDays(-90)
$params = @{
	accountEnabled = $false
}

$Devices = Get-MgDevice -All | Where {$_.ApproximateLastSignInDateTime -le $dt}
foreach ($Device in $Devices) { 
   Update-MgDevice -DeviceId $Device.Id -BodyParameter $params 
}

Apparaten verwijderen

Let op

De cmdlet Remove-MgDevice geeft geen waarschuwing af. Als u deze opdracht uitvoert, worden apparaten verwijderd zonder dat u hierover een melding krijgt. Verwijderde apparaten kunnen niet worden teruggezet.

Maak voordat beheerders apparaten verwijderen een back-up van bitLocker-herstelsleutels die u mogelijk in de toekomst nodig hebt. BitLocker-herstelsleutels kunnen niet worden hersteld nadat het gekoppelde apparaat is verwijderd.

Op basis van het voorbeeld van de uitgeschakelde apparaten wordt naar uitgeschakelde apparaten gezocht, nu gedurende 120 dagen inactief, en wordt de uitvoer naar Remove-MgDevice doorgesluisd om deze apparaten te verwijderen.

$dt = (Get-Date).AddDays(-120)
$Devices = Get-MgDevice -All | Where {($_.ApproximateLastSignInDateTime -le $dt) -and ($_.AccountEnabled -eq $false)}
foreach ($Device in $Devices) {
   Remove-MgDevice -DeviceId $Device.Id
}

Wat u moet weten

Waarom wordt de tijdstempel niet vaker bijgewerkt?

De tijdstempel wordt bijgewerkt ter ondersteuning van scenario's voor de levenscyclus van apparaten. Dit kenmerk is geen audit. Gebruik de auditlogboeken voor het inloggen voor vaker updates over het apparaat. Sommige actieve apparaten hebben mogelijk een leeg tijdstempel.

Waarom moet ik mij zorgen maken over mijn BitLocker-sleutels?

Wanneer dit is geconfigureerd, worden BitLocker-sleutels voor Windows 10- of nieuwere apparaten opgeslagen op het apparaatobject in Microsoft Entra-id. Als u een verlopen apparaat verwijdert, verwijdert u ook de BitLocker-sleutels die op het apparaat zijn opgeslagen. Controleer of uw opschoningsbeleid overeenkomt met de werkelijke levenscyclus van uw apparaat voordat u een langdurig inactief apparaat verwijdert.

Waarom moet ik me zorgen maken over Windows Autopilot-apparaten?

Wanneer u een Microsoft Entra-apparaat verwijdert dat is gekoppeld aan een Windows Autopilot-object, kunnen de volgende drie scenario's optreden als het apparaat in de toekomst opnieuw wordt gebruikt:

  • Met Windows Autopilot-gebruikersgestuurde implementaties zonder gebruik te maken van vooraf inrichten, wordt er een nieuw Microsoft Entra-apparaat gemaakt, maar wordt het niet gelabeld met de ZTDID.
  • Bij implementaties in zelf-implementatiemodus van Windows Autopilot mislukken de implementaties omdat een bijhorend Microsoft Entra-apparaat niet kan worden gevonden. (Deze fout is een beveiligingsmechanisme om te voorkomen dat er geen frauduleuze apparaten zonder inloggegevens proberen lid te worden van Microsoft Entra ID.) De fout geeft aan dat een ZTDID niet overeenkomt.
  • Bij Windows Autopilot-implementaties voor vooraf configureren mislukken de implementaties omdat een gekoppeld Microsoft Entra-apparaat niet kan worden gevonden. (Achter de schermen maken implementaties met voorafgaande inrichting gebruik van hetzelfde proces met de modus voor zelf-implementatie. Op die manier dwingen ze dezelfde beveiligingsmechanismen af.)

Gebruik de Get-MgDeviceManagementWindowsAutopilotDeviceIdentity om een lijst met Windows Autopilot-apparaten in uw organisatie weer te geven en vergelijk deze met de lijst met apparaten die u wilt opschonen.

Hoe weet ik om wat voor type gekoppelde apparaten het gaat?

Zie Overzicht van apparaatbeheer voor meer informatie over de verschillende typen.

Wat gebeurt er wanneer ik een apparaat uitschakel?

Verificatie waarbij een apparaat wordt gebruikt voor verificatie bij Microsoft Entra-id, wordt geweigerd. Enkele typische voorbeelden:

  • Hybride verbonden apparaat van Microsoft Entra: gebruikers kunnen het apparaat mogelijk gebruiken om zich aan te melden bij hun on-premises domein. Ze hebben echter geen toegang tot Microsoft Entra-resources zoals Microsoft 365.
  • Microsoft Entra-gekoppeld apparaat : gebruikers kunnen het apparaat niet gebruiken om zich aan te melden.
  • Mobiele apparaten : de gebruiker heeft geen toegang tot Microsoft Entra-resources zoals Microsoft 365.

Gerelateerde inhoud

Zie het artikel Apparaten verwijderen met wissen, buiten gebruik stellen of de registratie van het apparaat handmatig ongedaan maken voor meer informatie over apparaten die worden beheerd met Intune.

Zie Apparaatidentiteiten beheren voor een overzicht van het beheren van apparaten