Anvisningar: Hantera inaktuella enheter i Microsoft Entra-ID
För att slutföra livscykeln bör registrerade enheter avregistreras när de inte längre behövs. På grund av förlorade, stulna, trasiga enheter eller os-ominstallationer har du vanligtvis några inaktuella enheter i din miljö. Som IT-administratör vill du troligen ha en metod för att ta bort inaktuella enheter, så att du kan fokusera dina resurser på att hantera enheter som faktiskt kräver hantering.
I den här artikeln lär du dig hur du på ett effektivt sätt hanterar inaktuella enheter i din miljö.
Vad är en inaktuell enhet?
En inaktuell enhet är en enhet som registrerats med Microsoft Entra-ID som inte har åtkomst till några molnappar under en viss tidsram. Inaktuella enheter har en påverkan på din möjlighet att hantera och stödja dina enheter och användare i klientorganisationen eftersom:
- Dubblettenheter kan göra det svårt för supportpersonalen att identifiera vilken enhet som är aktiv.
- Ett ökat antal enheter skapar onödiga enhetsåterskrivningar som ökar tiden för Microsoft Entra Connect-synkroniseringar.
- Som allmän hygien och för att uppfylla efterlevnaden kanske du vill ha en ren skiffer av enheter.
Inaktuella enheter i Microsoft Entra-ID kan störa de allmänna livscykelprinciperna för enheter i din organisation.
Identifiera inaktuella enheter
Eftersom en inaktuell enhet definieras som en registrerad enhet som inte har använts för att komma åt några molnappar under en viss tidsram, kräver identifiering av inaktuella enheter en tidsstämpelrelaterad egenskap. I Microsoft Entra-ID kallas den här egenskapen UngefärligLastSignInDateTime eller aktivitetstidsstämpel. Om deltat fram tills nu och värdet för aktivitetstidsstämpeln överskrider den tidsram som du har definierat för aktiva enheter anses en enhet vara inaktuell. Denna aktivitetsstämpel är nu en offentlig förhandsversion.
Hur hanteras värdet för aktivitetsstämpeln?
Utvärderingen av aktivitetsstämpeln utlöses av ett autentiseringsförsök för en enhet. Microsoft Entra-ID utvärderar tidsstämpeln för aktiviteten när:
- Principer för villkorlig åtkomst som kräver hanterade enheter eller godkända klientappar har utlösts.
- Windows 10- eller senare enheter som antingen är Microsoft Entra-anslutna eller Microsoft Entra-hybridanslutningar är aktiva i nätverket.
- Intune-hanterade enheter har checkats in i tjänsten.
Om deltat mellan det befintliga värdet för aktivitetstidsstämpeln och det aktuella värdet är mer än 14 dagar (+/-5 dagars varians) ersätts det befintliga värdet med det nya värdet.
Hur gör jag för att hämta aktivitetsstämpeln?
Du har två alternativ för att hämta aktivitetsstämpelns värde:
Kolumnen Aktivitet på sidan Alla enheter.
Cmdleten Get-MgDevice .
Planera rensningen av dina inaktuella enheter
För att effektivt rensa inaktuella enheter i din miljö bör du definiera en relaterad princip. Med den här principen kan du fånga upp alla överväganden som rör inaktuella enheter. I följande avsnitt får du exempel på vanliga principöverväganden.
Varning
Om din organisation använder BitLocker-diskkryptering bör du se till att BitLocker-återställningsnycklar antingen säkerhetskopieras eller inte längre behövs innan du tar bort enheter. Om du inte gör det kan det leda till dataförlust.
Om du använder funktioner som Autopilot eller Universal Print bör enheterna rensas i respektive administratörsportal.
Rensningskonto
Om du vill uppdatera en enhet i Microsoft Entra-ID behöver du ett konto som har någon av följande roller tilldelade:
I din rensningsprincip väljer du konton som har de roller som krävs tilldelade.
Tidsram
Definiera en tidsram som är din indikator för en inaktuell enhet. När du definierar tidsramen räknar du in fönstret som anges för att uppdatera aktivitetstidsstämpeln till ditt värde. Du bör till exempel inte överväga en tidsstämpel som är yngre än 21 dagar (inklusive varians) som en indikator för en inaktuell enhet. Det finns scenarier som kan göra så att en enhet ser inaktuell ut när den inte är det. Ägaren till den berörda enheten kan till exempel vara på semester eller sjukskriven som överskrider tidsramen för inaktuella enheter.
Inaktivera enheter
Det är inte lämpligt att omedelbart ta bort en enhet som verkar vara inaktuell eftersom du inte kan ångra en borttagning om det finns en falsk positiv identifiering. Vi rekommenderar att inaktivera en enhet under en respitperiod innan den tas bort. Definiera i din princip en tidsram för att inaktivera en enhet innan den tas bort.
MDM-kontrollerade enheter
Om enheten har kontroll över Intune eller någon annan MDM-lösning (Mobile Enhetshantering) drar du tillbaka enheten i hanteringssystemet innan du inaktiverar eller tar bort den. Mer information finns i artikeln Ta bort enheter med hjälp av rensning, borttagning eller manuellt avregistrering av enheten.
Systemhanterade enheter
Ta inte bort systemhanterade enheter. Dessa enheter är vanligtvis enheter som Autopilot. När dessa enheter tagits bort kan de inte etableras igen.
Kräv Microsoft Entra hybridanslutna enheter
Dina Hybrid-anslutna Microsoft Entra-enheter bör följa dina principer för lokal inaktuell enhetshantering.
Så här rensar du Microsoft Entra-ID:
- Windows 10 eller nyare enheter – Inaktivera eller ta bort Windows 10 eller nyare enheter i din lokala AD och låt Microsoft Entra Connect synkronisera den ändrade enhetsstatusen till Microsoft Entra-ID.
- Windows 7/8 – Inaktivera eller ta bort Windows 7/8-enheter i din lokala AD först. Du kan inte använda Microsoft Entra Connect för att inaktivera eller ta bort Windows 7/8-enheter i Microsoft Entra-ID. När du gör ändringen lokalt måste du i stället inaktivera/ta bort i Microsoft Entra-ID.
Kommentar
- Om du tar bort enheter i din lokal Active Directory eller Microsoft Entra-ID tas inte registreringen bort på klienten. Det förhindrar endast åtkomst till resurser som använder enheten som en identitet (till exempel villkorsstyrd åtkomst). Läs mer om hur du tar bort registreringen på klienten.
- Om du tar bort en Windows 10- eller senare enhet endast i Microsoft Entra-ID synkroniseras enheten från din lokala plats igen med Hjälp av Microsoft Entra Connect, men som ett nytt objekt i tillståndet "Väntar". En omregistrering krävs på enheten.
- Om enheten tas bort från synkroniseringsomfånget för Windows 10- eller nyare /Server 2016-enheter tas Microsoft Entra-enheten bort. Om du lägger till det i synkroniseringsomfånget igen hamnar ett nytt objekt i tillståndet "Väntar". En omregistrering av enheten krävs.
- Om du inte använder Microsoft Entra Connect för Windows 10 eller nyare enheter för att synkronisera (till exempel ENDAST använda AD FS för registrering) måste du hantera livscykeln som liknar Windows 7/8-enheter.
Microsoft Entra-anslutna enheter
Inaktivera eller ta bort Microsoft Entra-anslutna enheter i Microsoft Entra-ID:t.
Kommentar
- Om du tar bort en Microsoft Entra-enhet tas inte registreringen bort på klienten. Det förhindrar endast åtkomst till resurser som använder enheten som en identitet (till exempel villkorsstyrd åtkomst).
- Läs mer om hur du avinstallerar Microsoft Entra-ID
Microsoft Entra-registrerade enheter
Inaktivera eller ta bort Microsoft Entra-registrerade enheter i Microsoft Entra-ID:t.
Kommentar
- Om du tar bort en Microsoft Entra-registrerad enhet i Microsoft Entra-ID tas inte registreringen bort på klienten. Det förhindrar endast åtkomst till resurser som använder enheten som en identitet (till exempel villkorsstyrd åtkomst).
- Läs mer om hur du tar bort en registrering på klienten
Rensa inaktuella enheter
Du kan rensa inaktuella enheter i administrationscentret för Microsoft Entra, men det är mer effektivt att hantera den här processen med hjälp av ett PowerShell-skript. Använd den senaste PowerShell V2-modulen för att använda tidsstämpelfiltret och filtrera bort systemhanterade enheter som Autopilot.
En typisk rutin består av följande steg:
- Ansluta till Microsoft Entra-ID med hjälp av cmdleten Connect-MgGraph
- Hämta listan över enheter.
- Inaktivera enheten med cmdleten Update-MgDevice (inaktivera med alternativet -AccountEnabled).
- Vänta på respitperioden för det angivna antalet dagar innan du tar bort enheten.
- Ta bort enheten med cmdleten Remove-MgDevice .
Hämta listan över enheter
Hämta alla enheter och lagra returnerade data i en CSV-fil:
Get-MgDevice -All | select-object -Property AccountEnabled, DeviceId, OperatingSystem, OperatingSystemVersion, DisplayName, TrustType, ApproximateLastSignInDateTime | export-csv devicelist-summary.csv -NoTypeInformation
Om du har ett stort antal enheter i katalogen använder du tidsstämpelfiltret för att begränsa antalet returnerade enheter. Så här hämtar du alla enheter som inte har loggat in på 90 dagar och lagrar de returnerade data i en CSV-fil:
$dt = (Get-Date).AddDays(-90)
Get-MgDevice -All | Where {$_.ApproximateLastSignInDateTime -le $dt} | select-object -Property AccountEnabled, DeviceId, OperatingSystem, OperatingSystemVersion, DisplayName, TrustType, ApproximateLastSignInDateTime | export-csv devicelist-olderthan-90days-summary.csv -NoTypeInformation
Ange att enheter ska inaktiveras
Med samma kommandon kan vi skicka utdata till set-kommandot för att inaktivera enheterna över en viss ålder.
$dt = (Get-Date).AddDays(-90)
$params = @{
accountEnabled = $false
}
$Devices = Get-MgDevice -All | Where {$_.ApproximateLastSignInDateTime -le $dt}
foreach ($Device in $Devices) {
Update-MgDevice -DeviceId $Device.Id -BodyParameter $params
}
Ta bort enheter
Varning
Cmdleten Remove-MgDevice
ger ingen varning. Om du kör det här kommandot tas enheter bort utan att fråga. Det finns inget sätt att återställa borttagna enheter.
Innan administratörer tar bort några enheter säkerhetskopierar du eventuella BitLocker-återställningsnycklar som du kan behöva i framtiden. Det finns inget sätt att återställa BitLocker-återställningsnycklar när du har raderat den associerade enheten.
Genom att bygga vidare på exemplet inaktivera enheter letar vi efter inaktiverade enheter, nu inaktiva i 120 dagar, och skicka utdata för att Remove-MgDevice
ta bort dessa enheter.
$dt = (Get-Date).AddDays(-120)
$Devices = Get-MgDevice -All | Where {($_.ApproximateLastSignInDateTime -le $dt) -and ($_.AccountEnabled -eq $false)}
foreach ($Device in $Devices) {
Remove-MgDevice -DeviceId $Device.Id
}
Det här bör du känna till
Varför uppdateras inte tidsstämpeln oftare?
Tidsstämpeln uppdateras för att stödja enhetslivscykelscenarier. Det här attributet är inte en granskning. Använd granskningsloggarna för inloggning för mer frekventa uppdateringar på enheten. Vissa aktiva enheter kan ha en tom tidsstämpel.
Varför bör jag bekymra mig om mina BitLocker-nycklar?
När det är konfigurerat lagras BitLocker-nycklar för Windows 10 eller nyare enheter på enhetsobjektet i Microsoft Entra-ID. Om du tar bort en inaktuell enhet tar du även bort de BitLocker-nycklar som lagras på enheten. Bekräfta att din rensningsprincip överensstämmer med enhetens faktiska livscykel innan du tar bort en inaktuell enhet.
Varför ska jag oroa mig för Windows Autopilot-enheter?
När du tar bort en Microsoft Entra-enhet som var associerad med ett Windows Autopilot-objekt kan följande tre scenarier inträffa om enheten kommer att återanvändas i framtiden:
- Med användardrivna distributioner i Windows Autopilot utan att använda förhandsetablering skapas en ny Microsoft Entra-enhet, men taggas inte med ZTDID.
- Med distributioner av självdistributionsläge för Windows Autopilot misslyckas de eftersom det inte går att hitta en associerad Microsoft Entra-enhet. (Det här felet är en säkerhetsmekanism för att se till att inga "bedragare"-enheter försöker ansluta till Microsoft Entra-ID utan autentiseringsuppgifter.) Felet indikerar ett ZTDID-matchningsfel.
- Med förhandsetableringsdistributioner för Windows Autopilot misslyckas de eftersom det inte går att hitta en associerad Microsoft Entra-enhet. (I bakgrunden använder företableringsdistributioner samma process för självdistributionsläge, så de tillämpar samma säkerhetsmekanismer.)
Använd Get-MgDeviceManagementWindowsAutopilotDeviceIdentity för att lista över Windows Autopilot-enheter i din organisation och jämföra den med listan över enheter som ska rensas.
Hur tar jag reda på alla typer av anslutna enheter?
Mer information om de olika typerna finns i enhetshanteringsöversikten.
Vad händer när jag inaktiverar en enhet?
All autentisering där en enhet används för att autentisera till Microsoft Entra-ID nekas. Vanliga exempel:
- Microsoft Entra-hybridansluten enhet – Användare kanske kan använda enheten för att logga in på sin lokala domän. De kan dock inte komma åt Microsoft Entra-resurser som Microsoft 365.
- Microsoft Entra-ansluten enhet – Användare kan inte använda enheten för att logga in.
- Mobila enheter – Användaren kan inte komma åt Microsoft Entra-resurser som Microsoft 365.
Relaterat innehåll
Mer information om enheter som hanteras med Intune finns i artikeln Ta bort enheter genom att rensa, dra tillbaka eller avregistrera enheten manuellt.
En översikt över hur du hanterar enheter finns i Hantera enhetsidentiteter