Procedura: Gestire i dispositivi non aggiornati in Microsoft Entra ID

  • Articolo

Idealmente, per completare il ciclo di vita, i dispositivi registrati devono essere annullati quando non sono più necessari. A causa di dispositivi smarriti, rubati, interrotti o reinstallazioni del sistema operativo, in genere sono presenti alcuni dispositivi non aggiornati nell'ambiente. Gli amministratori IT hanno bisogno di un metodo per rimuovere i dispositivi non aggiornati, in modo da concentrare le risorse sulla gestione di quelli che necessitano effettivamente di gestione.

In questo articolo si imparerà a gestire in modo efficiente i dispositivi non aggiornati nell'ambiente in uso.

Che cos'è un dispositivo non aggiornato?

Un dispositivo non aggiornato è un dispositivo registrato con MICROSOFT Entra ID che non ha eseguito l'accesso ad alcuna app cloud per un intervallo di tempo specifico. La presenza di dispositivi non aggiornati si ripercuote sulla possibilità di gestire e supportare i dispositivi e gli utenti nel tenant perché:

  • I dispositivi duplicati possono rendere difficile l'identificazione del dispositivo attualmente attivo da parte del personale del supporto tecnico.
  • Un numero maggiore di dispositivi crea writeback dei dispositivi non necessari aumentando il tempo per le sincronizzazioni di Microsoft Entra Connessione.
  • Come igiene generale e per soddisfare la conformità, potrebbe essere necessario avere uno slate pulito di dispositivi.

I dispositivi non aggiornati in Microsoft Entra ID possono interferire con i criteri generali relativi al ciclo di vita per i dispositivi dell'organizzazione.

Rilevare i dispositivi non aggiornati

Poiché un dispositivo non aggiornato è definito come un dispositivo registrato che non è stato usato per accedere ad app cloud per un intervallo di tempo specifico, il rilevamento dei dispositivi non aggiornati richiede una proprietà correlata al timestamp. In Microsoft Entra ID questa proprietà è denominata ApproximateLastSignInDateTime o timestamp dell'attività. Se il delta tra ora e il valore del timestamp dell'attività supera l'intervallo di tempo definito per i dispositivi attivi, un dispositivo viene considerato obsoleto. Il timestamp dell'attività è ora disponibile in anteprima pubblica.

Come viene gestito il valore del timestamp dell'attività?

La valutazione del timestamp dell'attività viene attivata da un tentativo di autenticazione di un dispositivo. Microsoft Entra ID valuta il timestamp dell'attività quando:

  • Sono stati attivati criteri di accesso condizionale che richiedono dispositivi gestiti o app client approvate.
  • I dispositivi Windows 10 o versioni successive aggiunti a Microsoft Entra o Aggiunti a Microsoft Entra ibrido sono attivi nella rete.
  • I dispositivi gestiti da Intune sono stati archiviati nel servizio.

Se il delta tra il valore esistente del timestamp dell'attività e il valore corrente è maggiore di 14 giorni (varianza+/-5 giorni), il valore esistente viene sostituito con il nuovo valore.

Come si ottiene il timestamp dell'attività?

Sono disponibili due opzioni per recuperare il valore del timestamp dell'attività:

  • Colonna Attività nella pagina tutti i dispositivi.

    Screenshot che elenca il nome, il proprietario e altre informazioni dei dispositivi. Una colonna elenca il timestamp dell'attività.

  • Cmdlet Get-MgDevice .

    Screenshot che mostra l'output della riga di comando. Una riga è evidenziata ed elenca un timestamp per il valore ApproximateLastSignInDateTime.

Pianificare la pulizia dei dispositivi non aggiornati

Per pulire in modo efficiente i dispositivi non aggiornati nell'ambiente, è necessario definire criteri correlati. Questi criteri consentono di assicurarsi che siano state prese in esame tutte le considerazioni relative ai dispositivi non aggiornati. Le sezioni seguenti offrono esempi per le considerazioni sui criteri più comuni.

Attenzione

Se l'organizzazione usa la crittografia unità BitLocker, è necessario assicurarsi che venga eseguito il backup delle chiavi di ripristino di BitLocker o non sia più necessario prima dell'eliminazione dei dispositivi. Se non si esegue questa operazione, è possibile che si verifichi una perdita di dati.

Se si usano funzionalità come Autopilot o Stampa universale, questi dispositivi devono essere puliti nei rispettivi portali di amministrazione.

Account di pulizia

Per aggiornare un dispositivo in Microsoft Entra ID, è necessario un account con uno dei ruoli seguenti assegnati:

Nel criterio di pulizia selezionare gli account con i ruoli richiesti assegnati.

Intervallo di tempo

Definire un intervallo di tempo che è l'indicatore per un dispositivo non aggiornato. Quando si definisce l'intervallo di tempo, considerare la finestra annotata per aggiornare il timestamp dell'attività nel valore. Ad esempio, non è consigliabile considerare un timestamp minore di 21 giorni (include varianza) come indicatore per un dispositivo non aggiornato. Esistono scenari in cui un dispositivo può sembrare non aggiornato ma non lo è. Ad esempio, il proprietario del dispositivo interessato può essere in vacanza o in un congedo malato che supera l'intervallo di tempo per i dispositivi non aggiornati.

Disabilitare i dispositivi

Non è consigliabile eliminare immediatamente un dispositivo che sembra non aggiornato perché non è possibile annullare un'eliminazione se è presente un falso positivo. Come procedura consigliata, disabilitare un dispositivo per un periodo di tolleranza prima di eliminarlo. Nel criterio definire un intervallo di tempo per disabilitare un dispositivo prima di eliminarlo.

Dispositivi controllati tramite MDM

Se il dispositivo è sotto controllo di Intune o di qualsiasi altra soluzione mobile Gestione dispositivi (MDM), ritirare il dispositivo nel sistema di gestione prima di disabilitarlo o eliminarlo. Per altre informazioni, vedere l'articolo Rimuovere i dispositivi usando cancellazione, ritiro o annullamento manuale della registrazione del dispositivo.

Dispositivi gestiti dal sistema

Non eliminare i dispositivi gestiti dal sistema. Questi dispositivi sono in genere dispositivi come Autopilot. una volta eliminati, non possono essere sottoposti a nuovo provisioning.

Dispositivi ibridi aggiunti a Microsoft Entra

I dispositivi aggiunti a Microsoft Entra ibrido devono seguire i criteri per la gestione dei dispositivi non aggiornati in locale.

Per pulire l'ID Microsoft Entra:

  • Dispositivi Windows 10 o versioni successive: disabilitare o eliminare i dispositivi Windows 10 o versioni successive in AD locale e consentire a Microsoft Entra Connessione sincronizzare lo stato del dispositivo modificato con Microsoft Entra ID.
  • Windows 7/8 : disabilitare o eliminare prima i dispositivi Windows 7/8 in ACTIVE Directory locale. Non è possibile usare Microsoft Entra Connessione per disabilitare o eliminare i dispositivi Windows 7/8 in Microsoft Entra ID. Al contrario, quando si apporta la modifica in locale, è necessario disabilitare/eliminare in Microsoft Entra ID.

Nota

  • L'eliminazione di dispositivi nel Active Directory locale o nell'ID Microsoft Entra non rimuove la registrazione nel client. Impedisce solo l'accesso alle risorse usando il dispositivo come identità , ad esempio l'accesso condizionale. Leggere altre informazioni su come rimuovere la registrazione nel client.
  • L'eliminazione di un dispositivo Windows 10 o versione successiva solo in Microsoft Entra ID sincronizza nuovamente il dispositivo dall'ambiente locale usando Microsoft Entra Connessione, ma come nuovo oggetto in stato "In sospeso". Nel dispositivo è necessaria una nuova registrazione.
  • La rimozione del dispositivo dall'ambito di sincronizzazione per i dispositivi Windows 10 o versioni successive /Server 2016 eliminerà il dispositivo Microsoft Entra. Aggiungendolo di nuovo all'ambito di sincronizzazione, verrà inserito un nuovo oggetto nello stato "In sospeso". È necessaria una nuova registrazione del dispositivo.
  • Se non usi Microsoft Entra Connessione per i dispositivi Windows 10 o versioni successive da sincronizzare (ad esempio, solo usando AD FS per la registrazione), devi gestire il ciclo di vita simile ai dispositivi Windows 7/8.

Dispositivi aggiunti a Microsoft Entra

Disabilitare o eliminare i dispositivi aggiunti a Microsoft Entra nell'ID Microsoft Entra.

Nota

  • L'eliminazione di un dispositivo Microsoft Entra non rimuove la registrazione nel client. Impedisce solo l'accesso alle risorse usando il dispositivo come identità ,ad esempio l'accesso condizionale.
  • Altre informazioni su come annullare la connessione in Microsoft Entra ID

Dispositivi registrati in Microsoft Entra

Disabilitare o eliminare i dispositivi registrati di Microsoft Entra nell'ID Microsoft Entra.

Nota

  • L'eliminazione di un dispositivo registrato microsoft Entra in Microsoft Entra ID non rimuove la registrazione nel client. Impedisce solo l'accesso alle risorse usando il dispositivo come identità ,ad esempio l'accesso condizionale.
  • Altre informazioni su come rimuovere una registrazione nel client

Pulire i dispositivi non aggiornati

Anche se è possibile pulire i dispositivi non aggiornati nell'interfaccia di amministrazione di Microsoft Entra, è più efficiente gestire questo processo usando uno script di PowerShell. Usare il modulo PowerShell V2 più recente per usare il filtro timestamp e per filtrare i dispositivi gestiti dal sistema, ad esempio Autopilot.

Una tipica routine comprende i passaggi seguenti:

  1. Connessione all'ID Microsoft Entra usando il cmdlet Connessione-MgGraph
  2. Ottenere l'elenco dei dispositivi.
  3. Disabilitare il dispositivo usando il cmdlet Update-MgDevice (disabilitare usando l'opzione -AccountEnabled).
  4. Attendere il periodo di tolleranza del numero di giorni specificati prima di eliminare il dispositivo.
  5. Rimuovere il dispositivo usando il cmdlet Remove-MgDevice .

Ottenere l'elenco dei dispositivi

Per ottenere tutti i dispositivi e archiviare i dati restituiti in un file CSV:

Get-MgDevice -All | select-object -Property AccountEnabled, DeviceId, OperatingSystem, OperatingSystemVersion, DisplayName, TrustType, ApproximateLastSignInDateTime | export-csv devicelist-summary.csv -NoTypeInformation

Se si dispone di un numero elevato di dispositivi nella directory, usare il filtro timestamp per limitare il numero di dispositivi restituiti. Per ottenere tutti i dispositivi che non hanno eseguito l'accesso in 90 giorni e archiviare i dati restituiti in un file CSV:

$dt = (Get-Date).AddDays(-90)
Get-MgDevice -All | Where {$_.ApproximateLastSignInDateTime -le $dt} | select-object -Property AccountEnabled, DeviceId, OperatingSystem, OperatingSystemVersion, DisplayName, TrustType, ApproximateLastSignInDateTime | export-csv devicelist-olderthan-90days-summary.csv -NoTypeInformation

Avviso

Alcuni dispositivi attivi possono avere un timestamp vuoto.

Impostare i dispositivi su disabilitati

Usando gli stessi comandi è possibile inviare tramite pipe l'output al comando set per disabilitare i dispositivi in un determinato periodo di età.

$dt = (Get-Date).AddDays(-90)
$params = @{
	accountEnabled = $false
}

$Devices = Get-MgDevice -All | Where {$_.ApproximateLastSignInDateTime -le $dt}
foreach ($Device in $Devices) { 
   Update-MgDevice -DeviceId $Device.Id -BodyParameter $params 
}

Eliminare dispositivi

Attenzione

Il Remove-MgDevice cmdlet non fornisce un avviso. L'esecuzione di questo comando eliminerà i dispositivi senza richiedere conferma. Non è possibile ripristinare i dispositivi eliminati.

Prima che gli amministratori eliminino i dispositivi, eseguire il backup di eventuali chiavi di ripristino di BitLocker che potrebbero essere necessarie in futuro. Non è possibile ripristinare le chiavi di ripristino di BitLocker dopo l'eliminazione del dispositivo associato.

L'esempio disabilita i dispositivi cerca i dispositivi disabilitati, ora inattivi per 120 giorni e invia tramite pipe l'output a Remove-MgDevice per eliminare tali dispositivi.

$dt = (Get-Date).AddDays(-120)
$Devices = Get-MgDevice -All | Where {($_.ApproximateLastSignInDateTime -le $dt) -and ($_.AccountEnabled -eq $false)}
foreach ($Device in $Devices) {
   Remove-MgDevice -DeviceId $Device.Id
}

Informazioni utili

Perché il timestamp non viene aggiornato più frequentemente?

Il timestamp viene aggiornato per supportare scenari del ciclo di vita dei dispositivi. Questo attributo non è un controllo. Usare i log di controllo di accesso per aggiornamenti più frequenti nel dispositivo. Alcuni dispositivi attivi potrebbero avere un timestamp vuoto.

Perché occorre preoccuparsi delle chiavi BitLocker?

Se configurate, le chiavi BitLocker per i dispositivi Windows 10 o versioni successive vengono archiviate nell'oggetto dispositivo in Microsoft Entra ID. Se si elimina un dispositivo non aggiornato, vengono eliminate anche le chiavi BitLocker archiviate nel dispositivo. Verificare che i criteri di pulizia siano allineati al ciclo di vita effettivo del dispositivo prima di eliminare un dispositivo non aggiornato.

Perché è consigliabile preoccuparsi dei dispositivi Windows Autopilot?

Quando si elimina un dispositivo Microsoft Entra associato a un oggetto Windows Autopilot, possono verificarsi i tre scenari seguenti se il dispositivo verrà riutilizzato in futuro:

  • Con le distribuzioni guidate dagli utenti di Windows Autopilot senza usare il pre-provisioning, viene creato un nuovo dispositivo Microsoft Entra, ma non viene contrassegnato con ZTDID.
  • Con le distribuzioni in modalità di distribuzione automatica di Windows Autopilot, non riusciranno perché non è possibile trovare un dispositivo Microsoft Entra associato. Questo errore è un meccanismo di sicurezza per assicurarsi che nessun dispositivo "imposter" tenti di aggiungere l'ID Microsoft Entra senza credenziali. L'errore indica una mancata corrispondenza di ZTDID.
  • Con le distribuzioni di pre-provisioning di Windows Autopilot, non riescono perché non è possibile trovare un dispositivo Microsoft Entra associato. In background, le distribuzioni di pre-provisioning usano lo stesso processo in modalità di distribuzione automatica, quindi applicano gli stessi meccanismi di sicurezza.

Usare Get-MgDeviceManagementWindowsAutopilotDeviceIdentity per elencare i dispositivi Windows Autopilot nell'organizzazione e confrontarli con l'elenco dei dispositivi da pulire.

Come si riconoscono tutti i tipi di dispositivi aggiunti?

Per saperne di più sui diversi tipi, vedere la panoramica sulla gestione dei dispositivi.

Cosa accade quando si disabilita un dispositivo?

Tutte le autenticazioni in cui viene usato un dispositivo per eseguire l'autenticazione all'ID Entra Microsoft vengono negate. Esempi comuni:

  • Dispositivo aggiunto a Microsoft Entra ibrido: gli utenti potrebbero essere in grado di usare il dispositivo per accedere al dominio locale. Tuttavia, non possono accedere alle risorse di Microsoft Entra, ad esempio Microsoft 365.
  • Dispositivo aggiunto a Microsoft Entra: gli utenti non possono usare il dispositivo per accedere.
  • Dispositivi mobili: l'utente non può accedere alle risorse di Microsoft Entra, ad esempio Microsoft 365.

Contenuto correlato

Per altre informazioni sui dispositivi gestiti con Intune, vedere l'articolo Rimuovere i dispositivi tramite cancellazione, ritiro o annullamento manuale della registrazione del dispositivo.

Per una panoramica su come gestire i dispositivi, vedere Gestione delle identità dei dispositivi