방법: Microsoft Entra ID에서 부실 디바이스 관리
이상적으로 수명 주기를 완료하려면 등록된 디바이스가 더 이상 필요하지 않은 경우 해당 디바이스를 등록 취소해야 합니다. 분실, 도난, 손상된 디바이스 또는 OS 재설치로 인해 일반적으로 사용자 환경에 부실한 디바이스가 있습니다. 아마도 IT 관리자는 부실 디바이스를 제거하여 실제로 관리가 필요한 디바이스를 관리하는 데 리소스를 집중할 수 있기를 원할 것입니다.
이 문서에서는 환경에서 부실 디바이스를 효율적으로 관리하는 방법에 대해 알아봅니다.
부실 디바이스란?
부실 디바이스는 특정 기간 동안 클라우드 앱에 액세스하지 않은 Microsoft Entra ID에 등록된 디바이스입니다. 부실 디바이스로 인해 테넌트의 디바이스 및 사용자를 관리하고 지원하는 능력에 영향을 주는 이유는 다음과 같습니다.
- 중복 디바이스로 인해 기술 지원팀 직원이 현재 어떤 디바이스가 활성 상태인지 파악하기 어려울 수 있습니다.
- 디바이스 수가 증가하면 불필요한 디바이스 쓰기 저장을 만들어 Microsoft Entra Connect 동기화 시간이 늘어납니다.
- 일반적인 위생 및 규정 준수를 충족하기 위해 디바이스의 클린 슬레이트를 사용할 수 있습니다.
Microsoft Entra ID의 부실 디바이스는 조직의 디바이스에 대한 일반적인 수명 주기 정책을 방해할 수 있습니다.
부실 디바이스 검색
부실 디바이스는 특정 시간 범위 동안 모든 클라우드 앱에 액세스하는 데 사용되지 않은 등록된 디바이스로 정의되므로 부실 디바이스를 검색하려면 타임스탬프 관련 속성이 필요합니다. Microsoft Entra ID에서 이 속성을 ApproximateLastSignInDateTime 또는 작업 타임스탬프라고 합니다. 현재와 활동 타임스탬프의 값 사이의 델타가 활성 디바이스에 대해 정의한 시간 범위를 초과하는 경우 해당 디바이스는 부실 디바이스로 간주됩니다. 이 활동 타임스탬프는 현재 공개 미리 보기로 있습니다.
활동 타임스탬프의 값은 어떻게 관리되나요?
활동 타임스탬프의 평가는 디바이스의 인증 시도를 통해 트리거됩니다. Microsoft Entra ID는 다음과 같은 경우 활동 타임스탬프를 평가합니다.
- 관리 디바이스 또는 승인된 클라이언트 앱을 요구하는 조건부 액세스 정책이 트리거되었습니다.
- Microsoft Entra 조인 또는 Microsoft Entra 하이브리드 조인인 Windows 10 이상 디바이스는 네트워크에서 활성화되어 있습니다.
- Intune 관리 디바이스가 서비스에 체크 인했습니다.
활동 타임스탬프의 기존 값과 현재 값 사이의 델타가 14일(+/-5일 차이)을 초과하면 기존 값이 새 값으로 바뀝니다.
활동 타임스탬프를 받으려면 어떻게 할까요?
활동 타임스탬프의 값을 검색하는 두 가지 옵션이 있습니다.
모든 디바이스 페이지의 작업 열.
Get-MgDevice cmdlet입니다.
부실 디바이스 정리 계획
환경에서 부실 디바이스를 효율적으로 클린 위해 관련 정책을 정의해야 합니다. 이 정책은 부실 디바이스와 관련된 모든 고려 사항을 캡처하도록 지원합니다. 다음 섹션에서는 일반적인 정책 고려 사항에 대한 예를 제공합니다.
주의
조직에서 BitLocker 드라이브 암호화를 사용하는 경우 디바이스를 삭제하기 전에 BitLocker 복구 키를 백업하거나 더 이상 필요하지 않은지 확인해야 합니다. 그러지 않으면 데이터가 손실될 수 있습니다.
Autopilot 또는 유니버설 인쇄와 같은 기능을 사용하는 경우 해당 디바이스는 해당 관리 포털에 클린.
계정 정리
Microsoft Entra ID에서 디바이스를 업데이트하려면 다음 역할 중 하나가 할당된 계정이 필요합니다.
정리 정책에서 필요한 역할이 할당된 계정을 선택합니다.
시간 프레임
부실 디바이스에 대한 표시기인 시간 범위를 정의합니다. 시간 범위를 정의할 때 활동 타임스탬프를 사용자의 값으로 업데이트하기 위해 기록된 기간을 고려합니다. 예를 들어 21일(차이 포함)보다 짧은 타임스탬프를 부실 디바이스에 대한 표시기로 고려하지 않아야 합니다. 디바이스가 오래되지 않았지만 오래된 것처럼 보이게 할 수 있는 시나리오가 있습니다. 예를 들어, 영향을 받는 디바이스의 소유자가 휴가 중이거나 병가 중일 수 있으며 이로 인해 부실 디바이스에 대한 시간 범위를 초과할 수 있습니다.
디바이스 비활성화
가양성이 있는 경우 삭제를 취소할 수 없으므로 오래된 것으로 보이는 디바이스를 즉시 삭제하는 것은 권장하지 않습니다. 유예 기간 동안 디바이스를 삭제하기 전에 사용하지 않도록 설정하는 것이 가장 좋습니다. 정책에서 디바이스를 삭제하기 전에 사용하지 않도록 설정할 시간대를 정의합니다.
MDM 제어 디바이스
디바이스가 Intune 또는 다른 MDM(모바일 장치 관리) 솔루션을 제어하는 경우 디바이스를 사용하지 않도록 설정하거나 삭제하기 전에 관리 시스템에서 디바이스를 사용 중지합니다. 자세한 내용은 초기화, 사용 중지 또는 수동으로 디바이스 등록을 취소하여 디바이스 제거 문서를 참조하세요.
시스템 관리 디바이스
시스템 관리 디바이스는 삭제하지 마세요. 이러한 디바이스는 일반적으로 Autopilo과 같은 디바이스입니다. 일단 삭제되면 다시 프로비전할 수 없습니다.
Microsoft Entra 하이브리드 조인 디바이스
Microsoft Entra 하이브리드 조인 디바이스는 온-프레미스 부실 디바이스 관리에 대한 정책을 따라야 합니다.
Microsoft Entra ID를 정리하려면 다음을 수행합니다.
- Windows 10 이상 디바이스 - 온-프레미스 AD에서 Windows 10 이상 디바이스를 사용하지 않도록 설정하거나 삭제하고 Microsoft Entra Connect가 변경된 디바이스 상태를 Microsoft Entra ID와 동기화하도록 합니다.
- Windows 7/8 - 먼저 온-프레미스 AD에서 Windows 7/8 디바이스를 사용하지 않도록 설정하거나 삭제합니다. Microsoft Entra Connect를 사용하여 Microsoft Entra ID에서 Windows 7/8 디바이스를 사용하지 않도록 설정하거나 삭제할 수 없습니다. 대신 온-프레미스에서 변경할 때 Microsoft Entra ID에서 사용하지 않도록 설정하거나 삭제해야 합니다.
참고 항목
- 온-프레미스 Acrive Directory 또는 Microsoft Entra ID에서 디바이스를 삭제해도 클라이언트에서 등록이 제거되지 않습니다. 디바이스를 ID(예: 조건부 액세스)로 사용하는 리소스에 대한 액세스만 차단합니다. 클라이언트에서 등록을 제거하는 방법에 대해 자세히 알아보세요.
- Microsoft Entra ID에서만 Windows 10 이상 디바이스를 삭제하면 Microsoft Entra Connect를 사용하지만 "보류 중" 상태의 새 개체로 온-프레미스에서 디바이스를 다시 동기화합니다. 디바이스에 다시 등록해야 합니다.
- Windows 10 이상/Server 2016 디바이스의 동기화 범위에서 디바이스를 제거하면 Microsoft Entra 디바이스가 삭제됩니다. 동기화 범위에 다시 추가하면 새 개체가 "보류 중" 상태가 됩니다. 디바이스를 다시 등록해야 합니다.
- 동기화할 Windows 10 이상 디바이스에 Microsoft Entra Connect를 사용하지 않는 경우(예: 등록에 AD FS만 사용) Windows 7/8 디바이스와 유사한 수명 주기를 관리해야 합니다.
Microsoft Entra 조인 디바이스
Microsoft Entra ID에서 Microsoft Entra 조인 디바이스를 사용하지 않도록 설정하거나 삭제합니다.
참고 항목
- Microsoft Entra 디바이스를 삭제해도 클라이언트에서 등록이 제거되지 않습니다. 디바이스를 ID(예: 조건부 액세스)로 사용하는 리소스에 대한 액세스만 차단합니다.
- Microsoft Entra ID에서 조인을 해제하는 방법에 대해 자세히 알아보세요.
Microsoft Entra 등록 디바이스
Microsoft Entra ID에서 Microsoft Entra 등록 디바이스를 사용하지 않도록 설정하거나 삭제합니다.
참고 항목
- Microsoft Entra ID에서 Microsoft Entra 등록 디바이스를 삭제해도 클라이언트에서 등록이 제거되지 않습니다. 디바이스를 ID(예: 조건부 액세스)로 사용하는 리소스에 대한 액세스만 차단합니다.
- 클라이언트에서 등록을 제거하는 방법에 대해 자세히 알아보세요.
부실 디바이스 정리
Microsoft Entra 관리 센터에서 부실 디바이스를 정리할 수 있지만 PowerShell 스크립트를 사용하여 이 프로세스를 처리하는 것이 더 효율적입니다. 최신 PowerShell V2 모듈을 통해 타임스탬프 필터를 사용하고 Autopilot과 같은 시스템 관리 디바이스를 필터링합니다.
일반적인 루틴은 다음 단계로 구성됩니다.
- 커넥트-MgGraph cmdlet을 사용하여 Microsoft Entra ID로 커넥트
- 디바이스 목록을 가져옵니다.
- Update-MgDevice cmdlet을 사용하여 디바이스를 사용하지 않도록 설정합니다(-AccountEnabled 옵션을 사용하여 사용하지 않도록 설정).
- 디바이스를 삭제하기 전에 선택한 며칠 동안의 유예 기간 동안 기다립니다.
- Remove-MgDevice cmdlet을 사용하여 디바이스를 제거합니다.
디바이스 목록을 가져옵니다.
모든 디바이스를 가져오고 반환된 데이터를 CSV 파일에 저장하려면 다음을 수행합니다.
Get-MgDevice -All | select-object -Property AccountEnabled, DeviceId, OperatingSystem, OperatingSystemVersion, DisplayName, TrustType, ApproximateLastSignInDateTime | export-csv devicelist-summary.csv -NoTypeInformation
디렉터리에 많은 수의 디바이스가 있는 경우 반환되는 디바이스의 수를 줄이기 위해 타임스탬프 필터를 사용합니다. 90일 동안 로그온하지 않은 모든 디바이스를 가져오고 반환된 데이터를 CSV 파일에 저장하려면 다음을 수행합니다.
$dt = (Get-Date).AddDays(-90)
Get-MgDevice -All | Where {$_.ApproximateLastSignInDateTime -le $dt} | select-object -Property AccountEnabled, DeviceId, OperatingSystem, OperatingSystemVersion, DisplayName, TrustType, ApproximateLastSignInDateTime | export-csv devicelist-olderthan-90days-summary.csv -NoTypeInformation
Warning
디바이스를 사용 안 함으로 설정
동일한 명령을 사용하여 출력을 set 명령으로 파이프하여 특정 기간 동안 디바이스를 사용하지 않도록 설정할 수 있습니다.
$dt = (Get-Date).AddDays(-90)
$params = @{
accountEnabled = $false
}
$Devices = Get-MgDevice -All | Where {$_.ApproximateLastSignInDateTime -le $dt}
foreach ($Device in $Devices) {
Update-MgDevice -DeviceId $Device.Id -BodyParameter $params
}
디바이스 삭제
주의
Remove-MgDevice cmdlet은 경고를 제공하지 않습니다. 이 명령을 실행하면 메시지를 표시하지 않고 디바이스가 삭제됩니다. 삭제된 디바이스를 복구할 수 있는 방법은 없습니다.
관리자가 디바이스를 삭제하기 전에 나중에 필요할 수 있는 BitLocker 복구 키를 백업합니다. 연결된 디바이스를 삭제한 후 BitLocker 복구 키를 복구할 수 있는 방법은 없습니다.
디바이스 사용 안 함 예제의 빌드에서는 이제 120일 동안 비활성 상태인 사용하지 않는 디바이스를 찾고, 출력을 Remove-MgDevice에 파이프하여 해당 디바이스를 삭제합니다.
$dt = (Get-Date).AddDays(-120)
$Devices = Get-MgDevice -All | Where {($_.ApproximateLastSignInDateTime -le $dt) -and ($_.AccountEnabled -eq $false)}
foreach ($Device in $Devices) {
Remove-MgDevice -DeviceId $Device.Id
}
알아야 할 사항
타임스탬프가 더 자주 업데이트되지 않는 이유는 무엇인가요?
타임스탬프는 디바이스 수명 주기 시나리오를 지원하도록 업데이트됩니다. 이 특성은 감사가 아닙니다. 로그인 감사 로그를 사용하면 디바이스에서 더 자주 업데이트할 수 있습니다. 일부 활성 디바이스에는 빈 타임스탬프를 가질 수 있습니다.
BitLocker 키에 대해 걱정해야 하는 이유는 무엇인가요?
구성된 경우 Windows 10 이상 디바이스용 BitLocker 키는 Microsoft Entra ID의 디바이스 개체에 저장됩니다. 이로 인해 부실 디바이스가 삭제되면 이 디바이스에 저장된 BitLocker 키도 삭제됩니다. 부실 디바이스를 삭제하려면 먼저 정리 정책이 디바이스의 실제 수명 주기와 일치하는지 확인합니다.
Windows Autopilot 디바이스에 대해 우려하는 이유는 무엇인가요?
Windows Autopilot 개체와 연결된 Microsoft Entra 디바이스를 삭제하는 경우 나중에 디바이스를 다른 용도로 사용할 때 다음 세 가지 시나리오가 발생할 수 있습니다.
- 사전 프로비저닝을 사용하지 않고 Windows Autopilot 사용자 기반 배포를 사용하면 새 Microsoft Entra 디바이스가 만들어지지만 ZTDID로 태그가 지정되지는 않습니다.
- Windows Autopilot 자동 배포 모드 배포에서는 연결된 Microsoft Entra 디바이스를 찾을 수 없기 때문에 실패합니다. (이 오류는 "사기꾼" 디바이스가 자격 증명 없이 Microsoft Entra ID를 조인하려고 하지 않도록 하는 보안 메커니즘입니다.) 이 오류는 ZTDID가 일치하지 않음을 나타냅니다.
- Windows Autopilot 사전 프로비저닝 배포에서는 연결된 Microsoft Entra 디바이스를 찾을 수 없으므로 실패합니다. (백그라운드에서 사전 프로비전 배포는 동일한 자체 배포 모드 프로세스를 사용하므로 동일한 보안 메커니즘을 강제 적용합니다.)
Get-MgDeviceManagementWindowsAutopilotDeviceIdentity를 사용하여 조직의 Windows Autopilot 디바이스 목록을 만들고 이를 클린 디바이스 목록과 비교합니다.
조인된 모든 유형의 디바이스를 확인하려면 어떻게 할까요?
다양한 유형에 대한 자세한 내용은 디바이스 관리 개요를 참조하세요.
디바이스를 사용하지 않도록 설정하면 어떻게 되나요?
디바이스에서 Microsoft Entra ID를 인증하는 데 사용되는 모든 인증이 거부됩니다. 일반적인 예는 다음과 같습니다.
- Microsoft Entra 하이브리드 조인 디바이스 - 사용자는 이 디바이스를 사용하여 해당 온-프레미스 도메인에 로그인할 수 있습니다. 그러나 Microsoft 365와 같은 Microsoft Entra 리소스에는 액세스할 수 없습니다.
- Microsoft Entra 조인 디바이스 - 사용자는 이 디바이스를 사용하여 로그인할 수 없습니다.
- 모바일 디바이스 - 사용자는 Microsoft 365와 같은 Microsoft Entra 리소스에 액세스할 수 없습니다.
관련 콘텐츠
Intune으로 관리되는 디바이스에 대한 자세한 내용은 초기화, 사용 중지 또는 수동으로 디바이스 등록 취소를 사용하여 디바이스 제거 문서를 참조하세요.
장치를 관리하는 방법에 대한 개요를 보려면 장치 ID 관리를 참조하세요.