Nasıl Yapılır: Azure AD'de eski cihazları yönetme

  • Makale
  • Okumak için 7 dakika

İdeal olarak, yaşam döngüsünü tamamlamak için artık ihtiyaç duyulmadığında kayıtlı cihazların kaydı kaldırılmalıdır. Kayıp, çalınan, bozuk cihazlar veya işletim sistemi yeniden yüklemeleri nedeniyle genellikle ortamınızda bazı eski cihazlar olur. BT yöneticisi olarak, büyük olasılıkla eski cihazları kaldırmak için bir yönteminiz olmasını istersiniz; böylelikle kaynaklarınızın gerçekten yönetilmesi gereken cihazların yönetimine odaklanmasını sağlayabilirsiniz.

Bu makalede, ortamınızdaki eski cihazları verimli bir yöntemle nasıl yönetebileceğinizi öğreneceksiniz.

Eski cihaz nedir?

Eski cihaz, Azure AD'ye kaydedilmiş ancak belirli bir zaman çerçevesi için herhangi bir bulut uygulamasına erişmek için kullanılmamış bir cihazdır. Eski cihazlar, kiracıdaki cihazlarınızı ve kullanıcılarınızı yönetme ve destekleme becerinizi etkiler çünkü:

  • Çift cihazlar yardım masanızın hangi cihazın şu anda etkin olduğunu belirlemesini zorlaştırabilir.
  • Cihaz sayısının artması, Azure AD connect eşitlemelerinin süresini artıran gereksiz cihaz geri yazma işlemleri oluşturur.
  • Genel sağlık açısından ve uyumluluğun gereklerini karşılamak için, cihazların temiz durumda olmasını isteyebilirsiniz.

Azure AD'deki eski cihazlar kuruluşunuzdaki cihazlara yönelik genel yaşam döngüsü ilkelerine müdahale edebilir.

Eski cihazları algılama

Eski bir cihaz, belirli bir zaman çerçevesi için herhangi bir bulut uygulamasına erişmek için kullanılmamış kayıtlı bir cihaz olarak tanımlandığından, eski cihazların algılanması zaman damgasıyla ilgili bir özellik gerektirir. Azure AD'de bu özellik ApproximateLastLogonTimestamp veya etkinlik zaman damgası olarak adlandırılır. Şimdi ile etkinlik zaman damgasının değeri arasındaki değişim etkin cihazlar için tanımladığınız zaman çerçevesini aşarsa, cihazın eski olduğu kabul edilir. Bu etkinlik zaman damgası şu anda genel önizleme aşamasındadır.

Etkinlik zaman damgasının değeri nasıl yönetilir?

Etkinlik zaman damgasının hesaplanması, bir cihazın kimlik doğrulama girişimiyle tetiklenir. Azure AD aşağıdaki durumlarda etkinlik zaman damgasını hesaplar:

  • Yönetilen cihazlar veya onaylı istemci uygulamaları gerektiren bir Koşullu Erişim ilkeleri tetiklendi.
  • Azure AD'ye katılmış veya hibrit Azure AD'ye katılmış Windows 10 veya daha yeni cihazlar ağda etkindir.
  • Intune tarafından yönetilen cihazlar hizmete giriş yaptığında.

Etkinlik zaman damgasının mevcut değeriyle geçerli değer arasındaki değişim 14 günden fazlaysa (+/-5 gün varyansı), mevcut değer yeni değerle değiştirilir.

Etkinlik zaman damgasını nasıl alabilirim?

Etkinlik zaman damgasının değerini almak için iki seçeneğiniz vardır:

Eski cihazların temizliğini planlama

Ortamınızda eski cihazları verimli bir şekilde temizlemek için, ilgili bir ilke tanımlamalısınız. Bu ilke, eski cihazlarla ilgili tüm konuları yakaladığınızdan emin olmanıza yardımcı olur. Aşağıdaki bölümlerde yaygın ilke konularına ilişkin örnekler sağlanmıştır.

Temizleme hesabı

Azure AD'de bir cihazı güncelleştirmek için, aşağıdaki rollerden birinin atandığı bir hesap gerekir:

  • Genel Yönetici
  • Bulut Cihazı Yöneticisi
  • Intune Hizmet Yöneticisi

Temizleme ilkenizde, gerekli rollerin atandığı hesapları seçin.

Zaman çerçevesi

Eski cihaz için göstergeniz olacak bir zaman çerçevesi tanımlayın. Zaman çerçevenizi tanımlarken, etkinlik zaman damgasını değerinize güncelleştirmek için not edilen pencereyi dikkate alın. Örneğin, 21 günden daha genç bir zaman damgasını (varyans içerir) eski bir cihazın göstergesi olarak düşünmemelisiniz. Eski olmayan bir cihazın eski gibi görünmesine neden olabilecek senaryolar vardır. Örneğin, etkilenen cihazın sahibi tatilde veya eski cihazlar için zaman aralığınızı aşan bir hastalık izninde olabilir.

Cihazları devre dışı bırakma

Eskimiş gibi görünen bir cihazı hemen silmeniz önerilmez, çünkü hatalı pozitif bir durum olduğunda silme işlemini geri alamazsınız. En iyi yöntem, cihazı silmeden önce belirli bir bekleme süresince devre dışı bırakmaktır. İlkenizde, silmeden önce cihazı devre dışı bırakmak için bir zaman çerçevesi tanımlayın.

MDM tarafından denetlenen cihazlar

Cihazınız Intune'un veya başka bir MDM çözümünün denetimi altındaysa, cihazı devre dışı bırakmadan veya silmeden önce yönetim sisteminden kaldırın. Daha fazla bilgi için Temizleme, devre dışı bırakma veya cihazın kaydını el ile kaldırarak cihazları kaldırma makalesine bakın.

Sistem tarafından yönetilen cihazlar

Sistem tarafından yönetilen cihazları silmeyin. Bu cihazlar genellikle Autopilot gibi cihazlardır. Bu cihazlar silindikten sonra yeniden sağlanamaz. Get-AzureADDevice cmdlet'i sistem tarafından yönetilen cihazları varsayılan olarak dışlar.

Hibrit Azure AD’ye katılmış cihazlar

Hibrit Azure AD'ye katılmış cihazlarınızın şirket içi eski cihaz yönetimi ilkelerinize uyması gerekir.

Azure AD'yi temizlemek için:

  • Windows 10 veya daha yeni cihazlar - Şirket içi AD'nizdeki Windows 10 veya daha yeni cihazları devre dışı bırakın veya silin ve Azure AD Connect'in değiştirilen cihaz durumunu Azure AD ile eşitlemesine izin verin.
  • Windows 7/8 - Önce şirket içi AD'nizdeki Windows 7/8 cihazlarını devre dışı bırakın veya silin. Windows 7/8 cihazlarını Azure AD'de devre dışı bırakmak veya silmek için Azure AD Connect kullanamazsınız. Bunun yerine, şirket içi ortamınızda değişiklik yaptığınızda Azure AD'de devre dışı bırakmanız/silmeniz gerekir.

Not

  • Şirket içi AD veya Azure AD'nizdeki cihazların silinmesi istemcideki kaydı kaldırmaz. Yalnızca cihaz kimlik olarak (koşullu erişim gibi) kullanan kaynaklara erişimi engeller. İstemcide kaydı kaldırma hakkında ek bilgileri okuyun.
  • Windows 10 veya daha yeni bir cihazı yalnızca Azure AD'de silmek, Azure AD connect'i kullanarak ancak "Beklemede" durumdaki yeni bir nesne olarak cihazı şirket içi ortamınızdan yeniden eşitler. Cihazda yeniden kayıt yapılması gerekir.
  • Windows 10 veya daha yeni /Server 2016 cihazları için cihazın eşitleme kapsamından kaldırılması Azure AD cihazını siler. Eşitleme kapsamına geri eklemek yeni bir nesneyi "Beklemede" durumuna getirir. Cihazın yeniden kaydedilmesi gerekir.
  • Eşitlemek için Windows 10 veya daha yeni cihazlar için Azure AD Connect kullanmıyorsanız (örneğin, kayıt için YALNıZCA AD FS'yi kullanıyorsanız), yaşam döngüsünü Windows 7/8 cihazlarına benzer şekilde yönetmeniz gerekir.

Azure AD’ye katılmış cihazlar

Azure AD'ye katılmış cihazları Azure AD'de devre dışı bırakın veya silin.

Not

  • Azure AD cihazının silinmesi istemcideki kaydı kaldırmaz. Yalnızca cihaz kimlik olarak (koşullu erişim gibi) kullanarak kaynaklara erişimi engeller.
  • Azure AD'de katılmayı kaldırma hakkında daha fazla bilgi edinin

Azure AD kayıtlı cihazlar

Azure AD'ye kayıtlı cihazları Azure AD'de devre dışı bırakın veya silin.

Not

  • Azure AD'de kayıtlı bir Azure AD cihazının silinmesi istemcideki kaydı kaldırmaz. Yalnızca cihaz kimlik olarak (koşullu erişim gibi) kullanan kaynaklara erişimi engeller.
  • İstemcide kaydı kaldırma hakkında daha fazla bilgi edinin

Eski cihazları Azure portalda temizleme

Eski cihazları Azure portalında temizleyebilmenize rağmen, bu işlemi powershell betiği kullanarak işlemek daha verimlidir. Zaman damgası filtresini kullanmak ve Autopilot gibi sistem tarafından yönetilen cihazları filtrelemek için en son PowerShell V2 modülünü kullanın.

Tipik bir yordam aşağıdaki adımlardan oluşur:

  1. Connect-AzureAD cmdlet'ini kullanarak Azure Active Directory'ye bağlanma
  2. Cihaz listesini alma
  3. Set-AzureADDevice cmdlet'ini kullanarak cihazı devre dışı bırakın (-AccountEnabled seçeneğini kullanarak devre dışı bırakın).
  4. Cihazı silmeden önce seçtiğiniz yetkisiz kullanım süresinin tamamlanmasını bekleyin.
  5. Remove-AzureADDevice cmdlet'ini kullanarak cihazı kaldırın.

Cihaz listesini alma

Tüm cihazları almak ve döndürülen verileri CSV dosyasında depolamak için:

Get-AzureADDevice -All:$true | select-object -Property AccountEnabled, DeviceId, DeviceOSType, DeviceOSVersion, DisplayName, DeviceTrustType, ApproximateLastLogonTimestamp | export-csv devicelist-summary.csv -NoTypeInformation

Dizininizde çok sayıda cihaz varsa, döndürülen cihaz sayısını daraltmak için zaman damgası filtresini kullanın. 90 gün içinde oturum açmamış tüm cihazları almak ve döndürülen verileri csv dosyasında depolamak için:

$dt = (Get-Date).AddDays(-90)
Get-AzureADDevice -All:$true | Where {$_.ApproximateLastLogonTimeStamp -le $dt} | select-object -Property AccountEnabled, DeviceId, DeviceOSType, DeviceOSVersion, DisplayName, DeviceTrustType, ApproximateLastLogonTimestamp | export-csv devicelist-olderthan-90days-summary.csv -NoTypeInformation

Cihazları devre dışı olarak ayarlama

Aynı komutları kullanarak, belirli bir yaşın üzerindeki cihazları devre dışı bırakmak için çıkışı set komutuna yöneltebiliriz.

$dt = (Get-Date).AddDays(-90)
$Devices = Get-AzureADDevice -All:$true | Where {$_.ApproximateLastLogonTimeStamp -le $dt}
foreach ($Device in $Devices) {
Set-AzureADDevice -ObjectId $Device.ObjectId -AccountEnabled $false
}

Cihazları silme

Dikkat

Remove-AzureADDevice Cmdlet bir uyarı sağlamaz. Bu komutun çalıştırılması, sormadan cihazları siler. Silinen cihazları kurtarmanın hiçbir yolu yoktur.

Herhangi bir cihazı silmeden önce, gelecekte ihtiyacınız olabilecek Tüm BitLocker kurtarma anahtarlarını yedekleyin. İlişkili cihazı sildikten sonra BitLocker kurtarma anahtarlarını kurtarmanın hiçbir yolu yoktur.

Devre dışı bırakılan cihazlar örneğini oluşturarak 120 gün boyunca devre dışı kalan devre dışı cihazları ararız ve bu cihazları silmek için çıkışı öğesine Remove-AzureADDevice aktarırız.

$dt = (Get-Date).AddDays(-120)
$Devices = Get-AzureADDevice -All:$true | Where {($_.ApproximateLastLogonTimeStamp -le $dt) -and ($_.AccountEnabled -eq $false)}
foreach ($Device in $Devices) {
Remove-AzureADDevice -ObjectId $Device.ObjectId
}

Bilmeniz gerekenler

Zaman damgası neden daha sık güncelleştirilmiyor?

Zaman damgası cihaz yaşam döngüsü senaryolarını desteklemek için güncelleştirilir. Bu öznitelik bir denetim değildir. Cihazda daha sık güncelleştirmeler için oturum açma denetim günlüklerini kullanın.

BitLocker anahtarlarımla ilgili olarak neden kaygılanmam gerekiyor?

Yapılandırıldığında, Windows 10 veya daha yeni cihazlar için BitLocker anahtarları Azure AD'deki cihaz nesnesinde depolanır. Eski cihazı silerseniz, cihazda depolanan BitLocker anahtarlarını da silersiniz. Eski bir cihazı silmeden önce temizleme ilkenizin cihazınızın gerçek yaşam döngüsüyle uyumlu olduğunu onaylayın.

Windows Autopilot cihazları konusunda neden endişelenmem gerekiyor?

Windows Autopilot nesnesiyle ilişkilendirilmiş bir Azure AD cihazını sildiğinizde, cihaz gelecekte yeniden kullanılacaksa aşağıdaki üç senaryo oluşabilir:

  • Ön sağlama kullanmadan Windows Autopilot kullanıcı odaklı dağıtımlarda yeni bir Azure AD cihazı oluşturulur, ancak ZTDID ile etiketlenemez.
  • Windows Autopilot kendi kendine dağıtım modu dağıtımlarında, bir ilişkili Azure AD cihazı bulunamadığından bu dağıtımlar başarısız olur. (Bu hata, hiçbir "sahtekar" cihazın kimlik bilgileri olmadan Azure AD'ye katılmayı denemediğinden emin olmak için bir güvenlik mekanizmasıdır.) Hata, ZTDID uyuşmazlığını gösterir.
  • Windows Autopilot ön sağlama dağıtımları ile ilişkili bir Azure AD cihazı bulunamadığından bu dağıtımlar başarısız olur. (Arka planda, ön sağlama dağıtımları aynı kendi kendine dağıtım modu işlemini kullandığından, aynı güvenlik mekanizmalarını zorunlu kılır.)

Katılmış olan tüm cihaz türlerini nasıl bilebilirim?

Farklı türler hakkında daha fazla bilgi edinmek için, bkz. Cihaz yönetimine genel bakış.

Cihazı devre dışı bıraktığımda ne olur?

Cihazın Azure AD'de kimliğini doğrulaması için kullanılan tüm kimlik doğrulamaları reddedilir. Sık karşılaşılan örnekler:

  • Hibrit Azure AD'ye katılmış cihaz - Kullanıcılar şirket içi etki alanında oturum açmak için cihazı kullanabilir. Ancak Microsoft 365 gibi Azure AD kaynaklarına erişemezler.
  • Azure AD'ye katılan cihaz - Kullanıcılar cihazı oturum açmak için kullanamaz.
  • Mobil cihazlar - Kullanıcı Microsoft 365 gibi Azure AD kaynaklarına erişemez.

Sonraki adımlar

Intune ile yönetilen cihazlar kullanımdan kaldırılabilir veya temizlenebilir. Daha fazla bilgi için Cihazı temizleme, kullanımdan kaldırma veya el ile kaydını kaldırma makalesine bakın.

Azure portal'da cihaz yönetimine ilişkin genel bir bakış edinmek için bkz. Azure portal'ı kullanarak cihazları yönetme