Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Der Device Offboarding-Agent identifiziert veraltete oder falsch ausgerichtete Geräte über Intune- und Entra-ID hinweg und bietet verwertbare Erkenntnisse und erfordert die Genehmigung des Administrators, bevor geräte offboarden. Der Device Offboarding-Agent ergänzt vorhandene Intune Automatisierung, indem erkenntnisse und mehrdeutige Fälle behandelt werden, in denen eine automatisierte Bereinigung möglicherweise nicht ausreicht.
Voraussetzungen
Cloudanforderungen
Der Agent wird nur in der öffentlichen Cloud unterstützt. Sie wird in Government Clouds nicht unterstützt.
Lizenzanforderungen
Um Security Copilot Agents in Microsoft Intune verwenden zu können, muss Ihr organization bestimmte Lizenzierungsanforderungen erfüllen.
Erforderliche Lizenzen:
- Microsoft Intune Plan 1-Abonnement
- Microsoft Security Copilot mit ausreichenden Sicherheitscomputeeinheiten (SCUs)
Plug-In-Anforderungen
Plug-Ins ermöglichen es Security Copilot Agents, sich mit Microsoft-Diensten zu verbinden und spezielle Aktionen auszuführen.
Der Device Offboarding-Agent erfordert das folgende Plug-In:
Geräteplattformanforderungen
Der Agent unterstützt Geräte, die von Intune auf mehreren Plattformen verwaltet werden, einschließlich Windows, iOS/iPadOS, macOS, Android und Linux.
Dies gilt sowohl für unternehmenseigene Szenarien als auch für BYOD-Szenarien (Bring-Your-Own-Device).Der Agent unterstützt Folgendes nicht:
- In Hybrid Entra eingebundene Windows-Geräte
- Windows Autopilot-Geräte
- Freigegebene Geräte
- Microsoft Teams-Telefone
Rollenanforderungen
Die Rollenanforderungen variieren je nachdem, ob Sie den Agent konfigurieren oder verwenden, und je nachdem, welche Aktionen ausgeführt werden.
Verwenden Sie zum Aktivieren, Konfigurieren und Löschen des Device Offboarding-Agents ein Konto mit den folgenden Rollen:
Intune Rollen:
- Operator für „Schreibgeschützt“
- Benutzerdefinierte Rolle mit Überwachungsdaten-/Lese- und Organisations-/Leseberechtigungen
Entra-Rollen, entweder:
- Sicherheitsleseberechtigter
- Benutzerdefinierte Rolle mit Microsoft.Directory/Devices/Standard/Read-Berechtigungen
Security Copilot Rollen:
Um den Agent zu verwenden und Offboardingaktionen auszuführen, verwenden Sie ein Konto mit mindestens den folgenden Rollen:
- Operator für „Schreibgeschützt“
- Benutzerdefinierte Rolle mit Überwachungsdaten-/Lese- und Organisations-/Leseberechtigungen
- Sicherheitsleseberechtigter
- Benutzerdefinierte Rolle mit Microsoft.Directory/Devices/Standard/Read-Berechtigungen
Um Aktionen innerhalb des Agents auszuführen, z. B. zum Deaktivieren von Geräten in Entra, müssen Sie über die Berechtigung Geräte deaktivieren verfügen. Sie benötigen diese Berechtigung nicht, um Ergebnisse aus dem Agent auszuführen oder anzuzeigen.
So funktioniert es
Zur Unterstützung einer sicheren und effizienten Verwaltung des Gerätelebenszyklus führt der Device Offboarding-Agent eine Reihe automatisierter Auswertungen und Aktionen aus. Hier ist eine Aufschlüsselung des Workflows:
1. Signalaggregation
Der Geräteoffboarding-Agent beginnt mit dem Aggregieren von Signalen von Microsoft Intune und Microsoft Entra ID. Zu diesen Signalen gehören Indikatoren, die bestimmen, ob ein Gerät aktiv, veraltet oder falsch konfiguriert ist.
2. Bewertung
Der Agent wertet jedes Gerät mithilfe vordefinierter Logik und optionaler benutzerdefinierter Anweisungen aus, die von einem Administrator bereitgestellt werden.
3. Empfehlungen
Basierend auf dieser Bewertung generiert der Agent Empfehlungen, die Geräte für offboarding kennzeichnen, zusammen mit vorgeschlagenen Aktionen und deren Begründung.
4. Admin Genehmigung
Ohne explizite Genehmigung des Administrators werden keine Änderungen an Geräten vorgenommen. Der Agent bietet detaillierte Empfehlungen, aber die endgültige Entscheidung für das Offboarden eines Geräts liegt beim IT-Administrator.
5. Unterstützte Wartung
Nach der Genehmigung durch den Administrator deaktiviert der Device Offboarding-Agent die entsprechenden Entra-ID-Objekte. Es erleichtert auch den Offboarding-Prozess, indem es Anleitungen zu zusätzlichen Korrekturschritten bereitstellt, z. B. das Entfernen von Geräten aus Microsoft Defender oder Apple Business Manager.
Agent-Identität
Der Device Offboarding-Agent wird unter der Identität und den Berechtigungen des Intune Administratorkontos ausgeführt, das während des Setups verwendet wurde. Seine Aktionen sind auf die Berechtigungen dieses Kontos beschränkt, und die Identität wird bei jeder Ausführung aktualisiert. Wenn der Agent 90 aufeinanderfolgende Tage nicht ausgeführt wird, läuft seine Authentifizierung ab, und nachfolgende Ausführungen schlagen bis zur Verlängerung fehl. Um die Funktionalität aufrechtzuerhalten, erneuern Sie die Agent-Identität vor dem 90-Tage-Limit.
Betriebsbezogene Überlegungen
Beachten Sie Vor dem Ausführen des Device Offboarding-Agents Folgendes:
- Administratoren müssen den Agent manuell starten. nach dem Start kann sie nicht angehalten oder beendet werden.
- Administratoren können den Agent nur über das Microsoft Intune Admin Center starten.
- Nur der Administrator, der den Agent eingerichtet hat, kann Sitzungsdetails im Microsoft Security Copilot-Portal anzeigen.
- Der Agent identifiziert Geräte, die innerhalb der letzten 30 Tage aus Intune außer Betrieb genommen, zurückgesetzt oder gelöscht wurden.
- Der Agent beschränkt die Ergebnisse auf die ersten 10.000 Geräte.
- Nach der Genehmigung durch den Administrator für das Offboarden deaktiviert der Agent Entra-ID-Objekte. Weitere Korrekturschritte werden als Anweisungen für Administratoren bereitgestellt.
- Der Agent speichert Vorschläge nicht über Läufe hinweg. Die erneute Ausführung löscht vorherige Empfehlungen.
- Pro Mandant wird nur ein Agent instance unterstützt.
Wichtig
Vom Agent gemeldete Daten werden über Agentvorschläge angezeigt. Diese Informationen sind möglicherweise für Administratoren sichtbar, die Zugriff auf den Agent im Intune Admin Center haben, auch wenn es Daten außerhalb der zugewiesenen Administrativen Einheiten (AUs) in Microsoft Entra ID enthält.
Aktivieren des Agents
Führen Sie die folgenden Schritte aus, um den Device Offboarding-Agent zu aktivieren:
- Wählen Sie im Microsoft Intune Admin CenterAgents und dann den Agent aus, den Sie aktivieren möchten.
- Wählen Sie Agent einrichten aus, um den Einrichtungsbereich zu öffnen.
- Überprüfen Sie die Details, um sicherzustellen, dass die Anforderungen erfüllt sind, und wählen Sie dann Agent starten aus.
Der Agent wird ausgeführt, bis er abgeschlossen ist, und zeigt dann seine Ergebnisse auf der Registerkarte Übersicht an.
Konfigurieren von benutzerdefinierten Anweisungen
Verwenden Sie benutzerdefinierte Anweisungen, um die Logik des Agents basierend auf den Anforderungen Ihrer organization zu steuern. Benutzerdefinierte Anweisungen helfen bei der Verfeinerung der Bewertungskriterien des Agents, sodass Sie bestimmte Geräte von Offboarding-Empfehlungen ein- oder ausschließen können.
Diese Anweisungen können für Folgendes verwendet werden:
- Schließen Sie bestimmte Objekt-IDs ein oder aus.
- Legen Sie Schwellenwerte für die Geräteaktivität fest.
Wenn Ihr organization beispielsweise über Executive-Geräte verfügt, die Sie nicht für offboarding kennzeichnen möchten, können Sie benutzerdefinierte Anweisungen verwenden, um diese auszuschließen. Ohne diesen Ausschluss erkennt der Agent möglicherweise Identitätskonflikte auf diesen Geräten und nutzt SCUs, um Offboarding vorzuschlagen – auch wenn dies nicht geeignet ist. Benutzerdefinierte Anweisungen helfen Ihnen, dieses Problem zu vermeiden, indem Sie die Logik des Agents basierend auf den Anforderungen Ihrer Organisation leiten.
Benutzerdefinierte Anweisungen bleiben zwischen Agentausführungen erhalten, sodass sie nach dem Festlegen jedes Mal ausgewertet werden, wenn der Agent ausgeführt wird. Sie können benutzerdefinierte Anweisungen jederzeit auf der Registerkarte Einstellungen ändern und den Agent erneut ausführen. Der Abschnitt Faktoren in einem Vorschlag zeigt Details, welche benutzerdefinierten Anweisungen berücksichtigt wurden, während die Liste der vorgeschlagenen Geräte für das Offboard erstellt wurde.
So konfigurieren Sie benutzerdefinierte Anweisungen:
- Wählen Sie im Microsoft Intune Admin CenterAgents>Device Offboarding Agent (Vorschau) aus.
- Wählen Sie die Registerkarte Einstellungen.
- Geben Sie im Feld Anweisungen eine Eingabeaufforderung ein, um die Bewertungskriterien des Agents anzupassen.
Beispiele für benutzerdefinierte Anweisungen, die Sie verwenden können
Ausschließen von Geräten mit IDs [...]
Schließen Sie Geräte mit der letzten Aktivität nach [...]
Schließen Sie Geräte mit der letzten Aktivität vor [...]
Nur Geräte mit IDs einschließen [...]
Wichtig
Wenn Sie eine oder mehrere DeviceIds angeben und keine von ihnen innerhalb der letzten 30 Tage außer Betrieb genommen, zurückgesetzt oder gelöscht wurde, kann der Agent nicht ausgeführt werden.
Schließen Sie nur Geräte mit der letzten Aktivität nach [...]
Schließen Sie nur Geräte mit der letzten Aktivität vor [...]
Verlängern des Agents
Agents laufen nach 90 Tagen Inaktivität ab. Wenn die Authentifizierung abläuft, schlägt die Ausführung des Agents fehl, bis Sie sich erneut authentifizieren. Sie können die Authentifizierung jederzeit verlängern.
Wenn sich der Ablauf nähert, zeigt Intune auf der Übersichtsseite des Agents eine Warnung an. Sowohl Copilot-Besitzer als auch Copilot-Mitwirkende können dieses Banner sehen, das Sie auffordert, die Agent-Identität zu erneuern.
So verlängern Sie den Agent:
- Öffnen Sie das Microsoft Security Copilot Admin Center, und melden Sie sich mit einem Konto an, das über die erforderlichen Berechtigungen verfügt.
- Wählen Sie Agents aus.
- Suchen Sie den Agent, der verlängert werden muss, und wählen Sie Zu Agent wechseln aus.
- Wählen Sie auf der Seite mit den Agent-Details die Option ... und dann Bearbeiten aus.
- Wählen Sie Authentifizierung verlängern aus. Der Agent verwendet standardmäßig Ihre Anmeldeinformationen. Um andere Anmeldeinformationen zu verwenden, wählen Sie Erneut authentifizieren aus, und geben Sie sie an.
Nach der Verlängerung verschwindet das Warnbanner, und eine Popupbenachrichtigung bestätigt den Erfolg.
Entfernen des Agents
Wenn Sie einen Agent entfernen, werden alle zugehörigen Daten, einschließlich Vorschlägen und Aktivitäten, gelöscht. Zuvor angewendete Vorschläge bleiben unverändert.
Schritte zum Entfernen eines Agent-instance:
- Wählen Sie im Microsoft Intune Admin CenterAgents aus.
- Wählen Sie den Agent instance aus, den Sie entfernen möchten.
- Wählen Sie Agent entfernen aus, und bestätigen Sie die Entfernung.
Nach dem Entfernen:
- Der Agentbereich kehrt in den ursprünglichen Zustand zurück.
- Ein Administrator kann den Agent später erneut installieren, indem er den Setupvorgang wiederholt.
Mitgestalten der Zukunft von Intune Agents
Nehmen Sie an unserem feedback-Forum für Intune Agents teil, um Erkenntnisse zu teilen und zukünftige Funktionen in Microsoft Intune zu beeinflussen.
Registrieren Sie sich, und erfahren Sie mehr: https://aka.ms/IntuneAgentsForum