方法:Azure AD で古いデバイスを管理する

  • [アーティクル]

ライフサイクルを完了するためには、不要になった時点で登録済みデバイスを登録解除するのが理想的です。 デバイスの紛失、盗難、破損、OS の再インストールなどの理由で、環境には古いデバイスが存在しているのが一般的です。 実際に管理が必要なデバイスの管理に IT 管理者がリソースを集中できるよう、古いデバイスを削除する方法が必要です。

この記事では、環境内の古いデバイスを効率的に管理する方法について説明します。

古いデバイスとは?

古いデバイスとは、Azure AD に登録されているものの、一定の期間にわたってクラウド アプリへのアクセスに使用されていないデバイスです。 古いデバイスは、次の理由により、テナント内のデバイスとユーザーを管理およびサポートする能力に影響を及ぼします。

  • デバイスが重複していると、どのデバイスが現在アクティブであるかをヘルプデスクのスタッフが識別することが難しくなる可能性があります。
  • デバイスの数が増えると、不要なデバイス ライトバックが発生し、Azure AD 接続同期の時間が長くなります。
  • 一般的な衛生学として、またコンプライアンスを満たすために、クリーンな状態のデバイスが必要です。

Azure AD 内の古いデバイスは、組織内のデバイスの一般的なライフサイクル ポリシーに干渉する可能性があります。

古いデバイスの検出

一定期間にわたってクラウド アプリへのアクセスに使用されていない登録済みデバイス、というのが古いデバイスの定義であるため、古いデバイスの検出にはタイムスタンプ関連のプロパティが必要です。 Azure AD では、このプロパティは ApproximateLastLogonTimestamp またはアクティビティ タイムスタンプと呼ばれます。 現在の時間とアクティビティ タイムスタンプの値の差が、アクティブなデバイスの基準として定義されている期間を超えている場合、デバイスは無効と見なされます。 このアクティビティ タイムスタンプは現在パブリック プレビューです。

アクティビティ タイムスタンプの値の管理のしくみは?

アクティビティ タイムスタンプの評価は、デバイスの認証試行によって発動します。 Azure AD は、次の場合にアクティビティ タイムスタンプを評価します。

  • マネージド デバイスまたは承認されたクライアント アプリを要求する条件付きアクセス ポリシーがトリガーされている。
  • Azure AD Join または Hybrid Azure AD Join を使用した Windows 10 以降のデバイスがネットワーク上でアクティブである。
  • Intune マネージド デバイスがサービスにチェックイン済みである。

アクティビティ タイムスタンプの既存の値と現在の値の差が 14 日を超えている場合 (+/-5 日の差異)、既存の値は新しい値に置き換えられます。

アクティビティ タイムスタンプを取得する方法は?

アクティビティ タイムスタンプの値を取得する方法には、次の 2 つがあります。

古いデバイスのクリーンアップを計画する

環境内の古いデバイスを効率的にクリーンアップするには、関連するポリシーを定義する必要があります。 このポリシーは、古いデバイスに関連するすべての考慮事項を確実に把握するために役立ちます。 以下のセクションでは、一般的なポリシーの考慮事項の例を示します。

クリーンアップ アカウント

Azure AD でデバイスを更新するには、次のいずれかのロールが割り当てられているアカウントが必要です。

  • グローバル管理者
  • クラウド デバイス管理者
  • Intune サービス管理者

クリーンアップ ポリシーで、必要なロールが割り当てられたアカウントを選択します。

期間

古いデバイスの指標である期間を定義します。 期間の値を定義するときは、アクティビティ タイムスタンプの更新に関して言及されている期間を考慮に入れてください。 たとえば、21 日 (差異を含む) よりも短いタイムスタンプを古いデバイスの指標と見なさないでください。 デバイスが古いように見えるが実際はそうではないシナリオが存在します。 たとえば、影響を受けるデバイスの所有者が、古いデバイスの期間を超えて休暇中または病欠中である可能性があります。

デバイスの無効化

誤検出が発生した場合に削除を元に戻すことができないため、古いと思われるデバイスをすぐに削除することはお勧めできません。 削除前に猶予期間を設け、その間はデバイスを無効にするのがベスト プラクティスです。 ポリシーで、削除前にデバイスを無効にする期間を定義します。

MDM 制御デバイス

デバイスが Intune またはその他の MDM ソリューションの制御下にある場合、デバイスを無効化または削除する前に、管理システムでデバイスをインベントリから削除してください。 詳細については、「ワイプ、インベントリからの削除、デバイス登録の手動解除を使用し、デバイスを削除する」を参照してください。

システム管理デバイス

システム管理デバイスは削除しないでください。 これらのデバイスは一般に、オートパイロットなどのデバイスです。 一度削除すると、これらのデバイスは再プロビジョニングできません。 新しい Get-AzureADDevice コマンドレットは、システム管理デバイスを既定で除外します。

ハイブリッド Azure AD 参加済みデバイス

ハイブリッド Azure AD 参加済みデバイスは、オンプレミスの古いデバイスの管理ポリシーに従います。

Azure AD をクリーンアップするには、次のようにします。

  • Windows 10 以降のデバイス - オンプレミス AD で Windows 10 以降のデバイスを無効化または削除し、Azure AD Connect によって、変更されたデバイス ステータスを Azure AD に同期します。
  • Windows 7/8 - 最初にオンプレミス AD で Windows 7/8 デバイスを無効化または削除します。 Azure AD Connect を使用して Azure AD で Windows 7/8 デバイスを無効化または削除することはできません。 代わりに、オンプレミスで変更を行う場合は、Azure AD で無効化または削除する必要があります。

Note

  • オンプレミス AD または Azure AD でデバイスを削除しても、クライアント上の登録は削除されません。 これは、デバイスを ID として使用してリソースにアクセスすること (条件付きアクセスなど) ができなくなるだけです。 クライアン上の登録を削除する方法の詳細をご覧ください。
  • Azure AD でのみ Windows 10 以降のデバイスを削除すると、Azure AD Connect を使用してオンプレミスのデバイスと再同期されますが、新しいオブジェクトとして "保留中" 状態になります。 このデバイスで再登録が必要です。
  • Windows 10 以降または Server 2016 デバイスの同期スコープからデバイスを削除すると、Azure AD デバイスが削除されます。 それを同期スコープに追加しなおすと、新しいオブジェクトが "保留中" 状態になります。 このデバイスの再登録が必要です。
  • Windows 10 以降のデバイスの同期に Azure AD Connect を使用していない場合 (たとえば、登録に AD FS のみを使用している場合) は、Windows 7/8 デバイスと同様のライフサイクルを管理する必要があります。

Azure AD 参加済みデバイス

Azure AD 内の Azure AD 参加済みデバイスを無効化または削除します。

Note

  • Azure AD デバイスを削除しても、クライアント上の登録は削除されません。 これは、デバイスを ID として使用してリソースにアクセスすること (条件付きアクセスなど) ができなくなるだけです。
  • Azure AD で参加解除する方法の詳細をご覧ください

Azure AD 登録済みデバイス

Azure AD 内の Azure AD 登録済みデバイスを無効化または削除します。

Note

  • Azure AD で Azure AD 登録済みデバイスを削除しても、クライアント上の登録は削除されません。 これは、デバイスを ID として使用してリソースにアクセスすること (条件付きアクセスなど) ができなくなるだけです。
  • クライアント上の登録を削除する方法の詳細をご覧ください

Azure portal での古いデバイスのクリーンアップ

Azure portal で古いデバイスをクリーンアップすることはできますが、PowerShell スクリプトを使用してこのプロセスを処理した方が効率的です。 最新の PowerShell V2 モジュールを使い、タイムスタンプ フィルターを使用して Autopilot などのシステム管理デバイスを除外します。

一般的なルーチンは次の手順で構成されます。

  1. Connect-AzureAD コマンドレットを使用して Azure Active Directory に接続します
  2. デバイスの一覧を取得する
  3. Set-AzureADDevice コマンドレットを使用してデバイスを無効にします (-AccountEnabled オプションを使用して無効にします)。
  4. デバイスが削除されるまでの猶予期間として設けた日数が経過するのを待ちます。
  5. Remove-AzureADDevice コマンドレットを使用してデバイスを削除します。

デバイスの一覧を取得する

すべてのデバイスを取得し、返されたデータを CSV ファイルに保存するには:

Get-AzureADDevice -All:$true | select-object -Property AccountEnabled, DeviceId, DeviceOSType, DeviceOSVersion, DisplayName, DeviceTrustType, ApproximateLastLogonTimestamp | export-csv devicelist-summary.csv -NoTypeInformation

ディレクトリ内のデバイスが多い場合、タイムスタンプ フィルターを使用して返されたデバイスの数を絞り込みます。 90 日以内にログオンしていないすべてのデバイスを取得し、返されたデータを CSV ファイルに格納するには、次のようにします。

$dt = (Get-Date).AddDays(-90)
Get-AzureADDevice -All:$true | Where {$_.ApproximateLastLogonTimeStamp -le $dt} | select-object -Property AccountEnabled, DeviceId, DeviceOSType, DeviceOSVersion, DisplayName, DeviceTrustType, ApproximateLastLogonTimestamp | export-csv devicelist-olderthan-90days-summary.csv -NoTypeInformation

デバイスを無効に設定する

同じコマンドを使用して、出力を set コマンドにパイプして、特定の期間にわたってデバイスを無効にすることができます。

$dt = (Get-Date).AddDays(-90)
$Devices = Get-AzureADDevice -All:$true | Where {$_.ApproximateLastLogonTimeStamp -le $dt}
foreach ($Device in $Devices) {
Set-AzureADDevice -ObjectId $Device.ObjectId -AccountEnabled $false
}

デバイスの削除

注意事項

コマンドレット Remove-AzureADDevice は警告を提供しません。 このコマンドを実行すると、プロンプトを表示せずにデバイスが削除されます。 削除されたデバイスを回復する方法はありません

デバイスを削除する前に、将来必要となる可能性のある BitLocker 回復キーをバックアップしてください。 関連付けられているデバイスを削除した後、BitLocker 回復キーを回復する方法はありません。

デバイスの無効化の例を基に、無効になっているデバイスを探し、120 日間非アクティブにし、出力を Remove-AzureADDevice へパイプしてそれらのデバイスを削除します。

$dt = (Get-Date).AddDays(-120)
$Devices = Get-AzureADDevice -All:$true | Where {($_.ApproximateLastLogonTimeStamp -le $dt) -and ($_.AccountEnabled -eq $false)}
foreach ($Device in $Devices) {
Remove-AzureADDevice -ObjectId $Device.ObjectId
}

知っておくべきこと

どうしてもっと頻繁にタイムスタンプが更新されないのですか?

タイムスタンプは、デバイスのライフサイクルのシナリオをサポートするために更新されます。 この属性は監査ではありません。 デバイスのより頻繁な更新には、サインイン監査ログを使用します。

BitLocker キーに気を付ける必要があるのはなぜですか?

構成されていると、Windows 10 以降のデバイスの BitLocker キーは Azure AD 内のデバイス オブジェクトに格納されます。 古いデバイスを削除する場合、デバイスに保存されている BitLocker キーも削除します。 古いデバイスを削除する前に、クリーンアップ ポリシーがデバイスの実際のライフサイクルと整合していることを確認してください。

Windows Autopilot デバイスに気を付ける必要があるのはなぜですか?

Windows Autopilot オブジェクトに関連付けられていた Azure AD デバイスを削除した場合、デバイスが将来再利用される場合に、次の 3 つのシナリオが発生する可能性があります。

  • 事前プロビジョニングを使用しない Windows Autopilot のユーザー主導型のデプロイを実行すると、新しい Azure AD デバイスが作成されますが、ZTDID にタグ付けされることはありません。
  • Windows Autopilot の自己デプロイ モードのデプロイでは、Azure AD デバイスの関連付けが見つからないため、これらのデプロイは失敗します。 (このエラーは、"なりすました" デバイスが資格情報なしで Azure AD への参加を試行しないようにするためのセキュリティ メカニズムです)。このエラーでは、ZTDID の不一致が示されます。
  • Windows Autopilot の事前プロビジョニング デプロイの場合、Azure AD デバイスの関連付けが見つからないため、これらのデプロイは失敗します。 (バックグラウンドでは、事前プロビジョニング デプロイで同じ自己デプロイ モード プロセスが使用されるため、同じセキュリティ メカニズムが適用されます。)

すべての参加済みデバイスのタイプを知るにはどうすればよいですか?

さまざまなタイプの詳細については、device management overview(デバイス管理の概要) を参照してください。

デバイスを無効にするとどうなりますか?

Azure AD への認証にデバイスが使用されているすべての認証は拒否されます。 一般的な例を次に示します。

  • Hybrid Azure AD 参加済みデバイス - ユーザーはデバイスを使用してオンプレミス ドメインにサインインできます。 ただし、Microsoft 365 などの Azure AD リソースにはアクセスできません。
  • Azure AD 参加済みデバイス - ユーザーはデバイスを使用してサインインできません。
  • モバイル デバイス - ユーザーは Microsoft 365 などの Azure AD リソースにアクセスできません。

次のステップ

Intune で管理されているデバイスには、インベントリからの削除やワイプを行うことができます。詳細については、「ワイプ、インベントリからの削除、デバイス登録の手動解除を使用し、デバイスを削除する」を参照してください。

Azure Portal でデバイスを管理する方法の概要については、Azure Portal によるデバイスの管理に関するページを参照してください