Como: Gerenciar dispositivos obsoletos no Azure ADHow To: Manage stale devices in Azure AD

O ideal é que, para concluir o ciclo de vida, o registro dos dispositivos registrados seja cancelado quando eles não forem mais necessários.Ideally, to complete the lifecycle, registered devices should be unregistered when they are not needed anymore. No entanto, devido a dispositivos perdidos, roubados ou quebrados, por exemplo, ou reinstalações do sistema operacional, normalmente você tem dispositivos obsoletos em seu ambiente.However, due to, for example, lost, stolen, broken devices, or OS reinstallations you typically have stale devices in your environment. Como administrador de TI, você provavelmente deseja ter um método para remover dispositivos obsoletos para poder focar em seus recursos ao gerenciar dispositivos que realmente requerem gerenciamento.As an IT admin, you probably want a method to remove stale devices, so that you can focus your resources on managing devices that actually require management.

Neste artigo, você aprenderá como gerenciar com eficiência dispositivos obsoletos em seu ambiente.In this article, you learn how to efficiently manage stale devices in your environment.

O que é um dispositivo obsoleto?What is a stale device?

Um dispositivo obsoleto é um dispositivo que foi registrado com o Azure AD, mas não foi usado para acessar nenhum aplicativo de nuvem durante período específico.A stale device is a device that has been registered with Azure AD but has not been used to access any cloud apps for a specific timeframe. Os dispositivos obsoletos afetam sua capacidade de gerenciar e dar suporte aos seus dispositivos e aos usuários no locatário, porque:Stale devices have an impact on your ability to manage and support your devices and users in the tenant because:

  • Os dispositivos duplicados podem dificultar a identificação realizada por sua equipe de suporte de qual dispositivo está ativo no momento.Duplicate devices can make it difficult for your helpdesk staff to identify which device is currently active.
  • Um maior número de dispositivos cria write-backs de dispositivo desnecessários, aumentando o tempo para sincronizações de conexão do AAD.An increased number of devices creates unnecessary device writebacks increasing the time for AAD connect syncs.
  • Como uma higiene geral e para cumprir a conformidade, talvez convenha ter um estado de dispositivos limpo.As a general hygiene and to meet compliance, you may want to have a clean state of devices.

Os dispositivos obsoletos no Azure AD podem interferir nas políticas de ciclo de vida gerais para dispositivos em sua organização.Stale devices in Azure AD can interfere with the general lifecycle policies for devices in your organization.

Detectar dispositivos obsoletosDetect stale devices

Como um dispositivo obsoleto é definido como dispositivo registrado que não foi usado para acessar nenhum aplicativo de nuvem durante um período específico, detectar dispositivos obsoletos requer uma propriedade relacionada ao carimbo de data/hora.Because a stale device is defined as registered device that hasn't been used to access any cloud apps for a specific timeframe, detecting stale devices requires a timestamp-related property. No Azure AD, essa propriedade é chamada ApproximateLastLogonTimestamp ou carimbo de data/hora de atividade.In Azure AD, this property is called ApproximateLastLogonTimestamp or activity timestamp. Se o delta entre agora e o valor do carimbo de data/hora da atividade exceder o período de tempo definido para dispositivos ativos, um dispositivo será considerado obsoleto.If the delta between now and the value of the activity timestamp exceeds the timeframe you have defined for active devices, a device is considered to be stale. Este carimbo de data/hora de atividade agora está em versão prévia pública.This activity timestamp is now in public preview.

Como o valor do carimbo de data/hora da atividade é gerenciado?How is the value of the activity timestamp managed?

A avaliação do carimbo de data/hora da atividade é disparada por uma tentativa de autenticação de um dispositivo.The evaluation of the activity timestamp is triggered by an authentication attempt of a device. O Azure AD avalia o carimbo de data/hora da atividade quando:Azure AD evaluates the activity timestamp when:

  • Uma política de acesso condicional que requer dispositivos gerenciados ou aplicativos cliente aprovados foi disparada.A Conditional Access policies requiring managed devices or approved client apps has been triggered.
  • Os dispositivos Windows 10 ingressados no Azure AD ou ingressados no Azure AD híbridos estão ativos na rede.Windows 10 devices that are either Azure AD joined or hybrid Azure AD joined are active on the network.
  • Os dispositivos gerenciados pelo Intune fizeram check-in no serviço.Intune managed devices have checked in to the service.

Se o Delta entre o valor existente do carimbo de data/hora da atividade e o valor atual for superior a 14 dias (variância de +/-5 dias), o valor existente será substituído pelo novo valor.If the delta between the existing value of the activity timestamp and the current value is more than 14 days (+/-5 day variance), the existing value is replaced with the new value.

Como fazer para obter o carimbo de data/hora da atividade?How do I get the activity timestamp?

Você tem duas opções para recuperar o valor do carimbo de data/hora da atividade:You have two options to retrieve the value of the activity timestamp:

Planejar a limpeza dos seus dispositivos obsoletosPlan the cleanup of your stale devices

Para limpar com eficiência os dispositivos obsoletos em seu ambiente, você deve definir uma política relacionada.To efficiently clean up stale devices in your environment, you should define a related policy. Essa política ajuda você a garantir que capturou todas as considerações relacionadas a dispositivos obsoletos.This policy helps you to ensure that you capture all considerations that are related to stale devices. As seções a seguir fornecem exemplos de considerações de política comuns.The following sections provide you with examples for common policy considerations.

Conta de limpezaCleanup account

Para atualizar um dispositivo no Azure AD, é necessária uma conta que tenha uma das seguintes funções atribuídas:To update a device in Azure AD, you need an account that has one of the following roles assigned:

  • Administrador GlobalGlobal Administrator
  • Administrador de Dispositivo de NuvemCloud Device Administrator
  • Administrador de Serviços do IntuneIntune Service Administrator

Em sua política de limpeza, selecione as contas que têm as funções necessárias atribuídas.In your cleanup policy, select accounts that have the required roles assigned.

Período de tempoTimeframe

Defina um período de tempo que é seu indicador para um dispositivo obsoleto.Define a timeframe that is your indicator for a stale device. Ao definir o período de tempo, defina a janela anotada para atualizar o carimbo de data/hora de atividade em seu valor.When defining your timeframe, factor the window noted for updating the activity timestamp into your value. Por exemplo, você não deve considerar um carimbo de data/hora com mais de 21 dias (inclui variação) como um indicador para um dispositivo obsoleto.For example, you shouldn't consider a timestamp that is younger than 21 days (includes variance) as an indicator for a stale device. Há cenários que podem fazer um dispositivo parecer obsoleto mesmo ele não sendo.There are scenarios that can make a device look like stale while it isn't. Por exemplo, o proprietário do dispositivo afetado pode estar de férias ou de licença.For example, the owner of the affected device can be on vacation or on a sick leave. que excede seu período de tempo para dispositivos obsoletos.that exceeds your timeframe for stale devices.

Desabilitar dispositivosDisable devices

Não é aconselhável excluir imediatamente um dispositivo que parece obsoleto, porque não é possível desfazer uma exclusão no caso de falsos positivos.It is not advisable to immediately delete a device that appears to be stale because you can't undo a deletion in the case of false positives. Como melhor prática, desabilite um dispositivo por um período de carência antes de excluí-lo.As a best practice, disable a device for a grace period before deleting it. Em sua política, defina um período para desabilitar um dispositivo antes de excluí-lo.In your policy, define a timeframe to disable a device before deleting it.

Dispositivos controlados pelo MDMMDM-controlled devices

Se seu dispositivo estiver sob o controle do Intune ou de qualquer outra solução MDM, desative o dispositivo no sistema de gerenciamento antes de desabilitá-lo ou excluí-lo.If your device is under control of Intune or any other MDM solution, retire the device in the management system before disabling or deleting it.

Dispositivos gerenciados pelo sistemaSystem-managed devices

Não exclua os dispositivos gerenciados pelo sistema.Don't delete system-managed devices. Em geral, esses são dispositivos como o piloto automático.These are generally devices such as auto-pilot. Depois de excluídos, esses dispositivos não podem ser reprovisionados.Once deleted, these devices can't be reprovisioned. O novo cmdlet get-msoldevice exclui dispositivos gerenciados pelo sistema por padrão.The new get-msoldevice cmdlet excludes system-managed devices by default.

Dispositivos adicionados ao Azure AD híbridoHybrid Azure AD joined devices

Seus dispositivos ingressados no Azure AD híbridos devem seguir suas políticas para gerenciamento de dispositivos obsoletos locais.Your hybrid Azure AD joined devices should follow your policies for on-premises stale device management.

Para limpar o Azure AD:To cleanup Azure AD:

  • Dispositivos Windows 10 – Desabilite ou exclua dispositivos Windows 10 em seu AD local e deixe o Azure AD Connect sincronizar o status do dispositivo alterado com o Azure AD.Windows 10 devices - Disable or delete Windows 10 devices in your on-premises AD, and let Azure AD Connect synchronize the changed device status to Azure AD.
  • Windows 7/8 -desabilite ou exclua dispositivos Windows 7/8 no AD local primeiro.Windows 7/8 - Disable or delete Windows 7/8 devices in your on-premises AD first. Não é possível usar o Azure AD Connect para desabilitar ou excluir dispositivos Windows 7/8 no Azure AD.You can't use Azure AD Connect to disable or delete Windows 7/8 devices in Azure AD. Em vez disso, ao fazer a alteração no local, você deve desabilitar/excluir no Azure AD.Instead, when you make the change in your on-premises, you must disable/delete in Azure AD.

Observação

  • Excluir dispositivos no seu AD local ou no Azure AD não remove o registro no cliente.Deleting devices in your on-premises AD or Azure AD does not remove registration on the client. Ele só impedirá o acesso a recursos usando o dispositivo como uma identidade (por exemplo, acesso condicional).It will only prevent access to resources using device as an identity (e.g. conditional access). Leia informações adicionais sobre como remover o registro no cliente.Read additional information on how to remove registration on the client.
  • A exclusão de um dispositivo Windows 10 somente no Azure AD sincronizará novamente o dispositivo do local usando o Azure AD Connect, mas como um novo objeto no estado "pendente".Deleting a Windows 10 device only in Azure AD will re-synchronize the device from your on-premises using Azure AD connect but as a new object in "Pending" state. Um novo registro é necessário no dispositivo.A re-registration is required on the device.
  • A remoção do dispositivo do escopo de sincronização para dispositivos Windows 10/Server 2016 excluirá o dispositivo do Azure AD.Removing the device from sync scope for Windows 10/Server 2016 devices will delete the Azure AD device. Adicioná-lo de volta ao escopo de sincronização posicionará um novo objeto no estado "pendente".Adding it back to sync scope will place a new object in "Pending" state. É necessário um novo registro do dispositivo.A re-registration of the device is required.
  • Se você não estiver usando Azure AD Connect para dispositivos Windows 10 para sincronizar (por exemplo, usando apenas AD FS para registro), será necessário gerenciar o ciclo de vida semelhante aos dispositivos Windows 7/8.If you not using Azure AD Connect for Windows 10 devices to synchronize (e.g. ONLY using AD FS for registration), you must manage lifecycle similar to Windows 7/8 devices.

Dispositivos adicionados ao Azure ADAzure AD joined devices

No Azure AD, desabilite ou exclua dispositivos ingressados no Azure AD.Disable or delete Azure AD joined devices in the Azure AD.

Observação

  • Excluir um dispositivo do Azure AD não remove o registro no cliente.Deleting an Azure AD device does not remove registration on the client. Ele só impedirá o acesso a recursos usando o dispositivo como uma identidade (por exemplo, acesso condicional).It will only prevent access to resources using device as an identity (e.g conditional access).
  • Leia mais sobre como desassociar no Azure adRead more on how to unjoin on Azure AD

Dispositivos registrados no Azure ADAzure AD registered devices

No Azure AD, desabilite ou exclua dispositivos registrados no Azure AD.Disable or delete Azure AD registered devices in the Azure AD.

Observação

  • Excluir um dispositivo registrado do Azure AD no Azure AD não remove o registro no cliente.Deleting an Azure AD registered device in Azure AD does not remove registration on the client. Ele só impedirá o acesso a recursos usando o dispositivo como uma identidade (por exemplo, acesso condicional).It will only prevent access to resources using device as an identity (e.g. conditional access).
  • Leia mais sobre como remover um registro no clienteRead more on how to remove a registration on the client

Limpar dispositivos obsoletos no portal do AzureClean up stale devices in the Azure portal

Embora seja possível limpar dispositivos obsoletos no portal do Azure, é mais eficiente manipular esse processo usando um script do PowerShell.While you can cleanup stale devices in the Azure portal, it is more efficient, to handle this process using a PowerShell script. Use o módulo mais recente do PowerShell V1 para usar o filtro de carimbo de data/hora e para filtrar dispositivos gerenciados pelo sistema como o piloto automático.Use the latest PowerShell V1 module to use the timestamp filter and to filter out system-managed devices such as auto-pilot. Neste ponto, não é recomendável usar o PowerShell V2.At this point, using PowerShell V2 is not recommended.

Uma rotina típica é composta das seguintes etapas:A typical routine consists of the following steps:

  1. Conectar-se ao Azure Active Directory usando o cmdlet Connect-MsolServiceConnect to Azure Active Directory using the Connect-MsolService cmdlet
  2. Obter a lista de dispositivosGet the list of devices
  3. Desabilite o dispositivo usando o cmdlet Disable-MsolDevice.Disable the device using the Disable-MsolDevice cmdlet.
  4. Aguarde o período de cortesia com o número de dias escolhido por você antes de excluir o dispositivo.Wait for the grace period of however many days you choose before deleting the device.
  5. Remova o dispositivo usando o cmdlet Remove-MsolDevice.Remove the device using the Remove-MsolDevice cmdlet.

Obter a lista de dispositivosGet the list of devices

Para obter todos os dispositivos e armazenar os dados retornados em um arquivo CSV:To get all devices and store the returned data in a CSV file:

Get-MsolDevice -all | select-object -Property Enabled, DeviceId, DisplayName, DeviceTrustType, Approxi
mateLastLogonTimestamp | export-csv devicelist-summary.csv

Se você tiver um grande número de dispositivos em seu diretório, use o filtro de carimbo de data/hora para restringir o número de dispositivos retornados.If you have a large number of devices in your directory, use the timestamp filter to narrow down the number of returned devices. Para obter todos os dispositivos com um carimbo de data/hora mais antigo do que a data específica e armazenar os dados retornados em um arquivo CSV:To get all devices with a timestamp older than specific date and store the returned data in a CSV file:

$dt = [datetime]’2017/01/01’
Get-MsolDevice -all -LogonTimeBefore $dt | select-object -Property Enabled, DeviceId, DisplayName, DeviceTrustType, ApproximateLastLogonTimestamp | export-csv devicelist-olderthan-Jan-1-2017-summary.csv

O que você deve saberWhat you should know

Por que o carimbo de data/hora não é atualizado com mais frequência?Why is the timestamp not updated more frequently?

O carimbo de data/hora é atualizado para dar suporte a cenários de ciclo de vida do dispositivo.The timestamp is updated to support device lifecycle scenarios. Isso não é uma auditoria.This is not an audit. Use os logs de auditoria de entrada para obter atualizações mais frequentes sobre o dispositivo.Use the sign-in audit logs for more frequent updates on the device.

Por que eu deveria me preocupar com minhas chaves do BitLocker?Why should I worry about my BitLocker keys?

Quando configuradas, as chaves do BitLocker para dispositivos Windows 10 são armazenadas no objeto do dispositivo no Azure AD.When configured, BitLocker keys for Windows 10 devices are stored on the device object in Azure AD. Se você excluir um dispositivo obsoleto, você também excluirá as chaves do BitLocker armazenadas no dispositivo.If you delete a stale device, you also delete the BitLocker keys that are stored on the device. Você deve determinar se sua política de limpeza se alinha com o ciclo de vida real do seu dispositivo antes de excluir um dispositivo obsoleto.You should determine whether your cleanup policy aligns with the actual lifecycle of your device before deleting a stale device.

Por que devo me preocupar com os dispositivos do Windows AutoPilot?Why should I worry about Windows Autopilot devices?

Quando um dispositivo do Azure AD foi associado a um objeto do Windows AutoPilot, os três cenários a seguir podem ocorrer se o dispositivo for realocado no futuro:When a Azure AD device was associated with a Windows Autopilot object the following three scenarios can occur if the device will be repurposed in future:

  • Com as implantações controladas pelo usuário do Windows AutoPilot sem usar o diferenciada branco, um novo dispositivo do Azure AD será criado, mas não será marcado com o ZTDID.With Windows Autopilot user-driven deployments without using white glove, a new Azure AD device will be created, but it won’t be tagged with the ZTDID.
  • Com as implantações do modo de implantação automática do Windows AutoPilot, elas falharão porque não é possível encontrar um dispositivo associado do Azure AD.With Windows Autopilot self-deploying mode deployments, they will fail because an associate Azure AD device cannot be found. (Esse é um mecanismo de segurança para garantir que nenhum dispositivo "impostor" tente ingressar no Azure AD sem credenciais.) A falha indicará uma incompatibilidade de ZTDID.(This is a security mechanism to make sure that no “imposter” devices try to join Azure AD with no credentials.) The failure will indicate a ZTDID mismatch.
  • Com as implantações de diferenciada do Windows AutoPilot, elas falharão porque um dispositivo Azure AD associado não pode ser encontrado.With Windows Autopilot white glove deployments, they will fail because an associated Azure AD device cannot be found. (Nos bastidores, as implantações do diferenciada branco usam o mesmo processo de modo de implantação automática, para que eles imponham os mesmos mecanismos de segurança.)(Behind the scenes, white glove deployments use the same self-deploying mode process, so they enforce the same security mechanisms.)

Como fazer para conhecer todos os tipos de dispositivos ingressados?How do I know all the type of devices joined?

Para saber mais sobre os diferentes tipos, consulte a visão geral do gerenciamento de dispositivo.To learn more about the different types, see the device management overview.

O que acontecerá quando eu desabilitar um dispositivo?What happens when I disable a device?

Qualquer autenticação em que um dispositivo está sendo usado para autenticar-se no Azure AD é negada.Any authentication where a device is being used to authenticate to Azure AD are denied. Alguns exemplos comuns são:Common examples are:

  • Dispositivo híbrido ingressado no Azure AD – Os usuários talvez devam usar o dispositivo para entrar em seu domínio local.Hybrid Azure AD joined device - Users might be to use the device to sign-in to their on-premises domain. No entanto, eles não podem acessar os recursos do Azure AD como o Office 365.However, they can't access Azure AD resources such as Office 365.
  • Dispositivo ingressado no Azure AD – usuários não podem usar o dispositivo para entrar.Azure AD joined device - Users can't use the device to sign in.
  • Dispositivos móveis – o usuário não pode acessar os recursos do Azure AD como o Office 365.Mobile devices - User can't access Azure AD resources such as Office 365.

Próximas etapasNext steps

Para obter uma visão geral de como gerenciar dispositivos no portal do Azure, consulte Gerenciar dispositivos usando o portal do AzureTo get an overview of how to manage device in the Azure portal, see managing devices using the Azure portal