Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El Agente de eliminación de dispositivos identifica dispositivos obsoletos o desalineados en Intune e Id. de entra, lo que proporciona información accionable y requiere aprobación del administrador antes de desconectar cualquier dispositivo. Device Offboarding Agent complementa la automatización de Intune existente mediante la obtención de información y el control de casos ambiguos en los que es posible que la limpieza automatizada no sea suficiente.
Requisitos previos
Requisitos de la nube
El agente solo se admite en la nube pública. No se admite en nubes gubernamentales.
Requisitos de licencia
Para usar agentes de Security Copilot en Microsoft Intune, su organización debe cumplir requisitos de licencia específicos.
Licencias necesarias:
- Plan 1 de Microsoft Intune suscripción
- Microsoft Security Copilot con suficientes unidades de proceso de seguridad (SKU)
Requisitos de complementos
Los complementos permiten a Security Copilot agentes conectarse a los servicios de Microsoft y realizar acciones especializadas.
Device Offboarding Agent requiere el siguiente complemento:
Requisitos de la plataforma de dispositivos
El agente admite dispositivos administrados por Intune en varias plataformas, incluidos Windows, iOS/iPadOS, macOS, Android y Linux.
Se aplica a los escenarios de propiedad corporativa y BYOD (bring-your-own-device).El agente no admite:
- Dispositivos Windows híbridos unidos a Entra
- Dispositivos Windows Autopilot
- Dispositivos compartidos
- Teléfonos de Microsoft Teams
Requisitos de roles
Los requisitos de rol varían en función de si va a configurar el agente o de usarlo y de las acciones específicas realizadas.
Para habilitar, configurar y eliminar el agente de eliminación de dispositivos, use una cuenta con los siguientes roles:
Intune roles:
- Operador de solo lectura
- Rol personalizado con permisos Audit data/Read and Organization/Read
Roles de entra, ya sea:
- Lector de seguridad
- Rol personalizado con permisos Microsoft.Directory/Devices/Standard/Read
Security Copilot roles:
Para usar el agente y realizar acciones de eliminación, use una cuenta con al menos los siguientes roles:
- Operador de solo lectura
- Rol personalizado con permisos Audit data/Read and Organization/Read
- Lector de seguridad
- Rol personalizado con permisos Microsoft.Directory/Devices/Standard/Read
Para realizar acciones desde dentro del agente, como deshabilitar dispositivos en Entra, debe tener el permiso Deshabilitar dispositivos . No necesita este permiso para ejecutar o ver los resultados del agente.
Cómo funciona
Para admitir una administración segura y eficaz del ciclo de vida de los dispositivos, device offboarding Agent realiza una serie de evaluaciones y acciones automatizadas. Este es un desglose de su flujo de trabajo:
1. Agregación de señales
El agente de eliminación de dispositivos comienza agregando señales de Microsoft Intune y Microsoft Entra ID. Estas señales incluyen indicadores que ayudan a determinar si un dispositivo está activo, obsoleto o mal configurado.
2. Evaluación
El agente evalúa cada dispositivo mediante lógica predefinida y las instrucciones personalizadas opcionales proporcionadas por un administrador.
3. Recomendaciones
En función de esta evaluación, el agente genera recomendaciones que marcan los dispositivos para el offboarding, junto con las acciones sugeridas y la justificación detrás de ellos.
4. aprobación de Administración
No se realizan cambios en los dispositivos sin la aprobación explícita del administrador. El agente proporciona recomendaciones detalladas, pero la decisión final de desconectar un dispositivo recae en el administrador de TI.
5. Corrección asistida
Tras la aprobación del administrador, el Agente de eliminación de dispositivos deshabilita los objetos de id. de entra correspondientes. También facilita el proceso de eliminación proporcionando instrucciones sobre pasos de corrección adicionales, como la eliminación de dispositivos de Microsoft Defender o Apple Business Manager.
Identidad del agente
El Agente de eliminación de dispositivos se ejecuta bajo la identidad y los permisos de la cuenta de administrador de Intune utilizada durante la instalación. Sus acciones se limitan a los permisos de esa cuenta y la identidad se actualiza con cada ejecución. Si el agente no se ejecuta durante 90 días consecutivos, su autenticación expira y se produce un error en las ejecuciones posteriores hasta que se renueva. Para mantener la funcionalidad, renueve la identidad del agente antes del límite de 90 días.
Consideraciones operativas
Antes de ejecutar device offboarding Agent, tenga en cuenta lo siguiente:
- Los administradores deben iniciar el agente manualmente; una vez iniciado, no se puede pausar ni detener.
- Los administradores solo pueden iniciar el agente desde el centro de administración de Microsoft Intune.
- Solo el administrador que configuró el agente puede ver los detalles de la sesión en el portal de Microsoft Security Copilot.
- El agente identifica los dispositivos que se retiraron, borraron o eliminaron de Intune en los últimos 30 días.
- El agente limita los resultados a los primeros 10 000 dispositivos.
- Tras la aprobación del administrador en offboard, el agente deshabilita los objetos Entra ID. Otros pasos de corrección se proporcionan como instrucciones para los administradores.
- El agente no conserva las sugerencias entre ejecuciones; La nueva ejecución borra las recomendaciones anteriores.
- Solo se admite una instancia de agente por inquilino.
Importante
Los datos notificados por el agente se exponen a través de sugerencias del agente. Esta información puede ser visible para los administradores que tienen acceso al agente en el centro de administración de Intune, incluso si incluye datos fuera de sus unidades administrativas (AU) asignadas en Microsoft Entra ID.
Habilitación del agente
Para habilitar device offboarding Agent, siga estos pasos:
- En el centro de administración de Microsoft Intune, seleccione Agentes y seleccione el agente que desea habilitar.
- Seleccione Configurar agente para abrir el panel de configuración.
- Revise los detalles para asegurarse de que se cumplen los requisitos y, a continuación, seleccione Iniciar agente.
El agente se ejecuta hasta que finaliza y, a continuación, muestra sus resultados en la pestaña Información general .
Configurar instrucciones personalizadas
Use instrucciones personalizadas para guiar la lógica del agente en función de las necesidades de su organización. Las instrucciones personalizadas ayudan a refinar los criterios de evaluación del agente, lo que le permite incluir o excluir dispositivos específicos de las recomendaciones de retirada.
Estas instrucciones se pueden usar para:
- Incluya o excluya identificadores de objeto específicos.
- Establezca umbrales para la actividad del dispositivo.
Por ejemplo, si su organización tiene dispositivos ejecutivos que no desea marcar para el offboarding, puede usar instrucciones personalizadas para excluirlos. Sin esta exclusión, el agente podría detectar discrepancias de identidad en esos dispositivos y consumir SCU para sugerir la retirada, incluso cuando no sea adecuado. Las instrucciones personalizadas ayudan a evitar ese problema guiando la lógica del agente en función de las necesidades de la organización.
Las instrucciones personalizadas se conservan entre las ejecuciones del agente, por lo que, una vez establecidas, se evalúan cada vez que se ejecuta el agente. Puede cambiar las instrucciones personalizadas en cualquier momento en la pestaña Configuración y volver a ejecutar el agente. En la sección Factores de una sugerencia se resaltan los detalles sobre qué instrucciones personalizadas se tuvieron en cuenta al formar la lista de dispositivos sugeridos fuera del panel.
Para configurar instrucciones personalizadas:
- En el centro de administración de Microsoft Intune, seleccione Agentes>Device Offboarding Agent (versión preliminar).
- Seleccione la pestaña Configuración.
- En el campo Instrucciones , escriba un mensaje para personalizar los criterios de evaluación del agente.
Ejemplos de instrucciones personalizadas que puede usar
Excluir dispositivos con identificadores [...]
Excluir dispositivos con la última actividad después de [...]
Excluir dispositivos con la última actividad antes de [...]
Incluir solo dispositivos con identificadores [...]
Importante
Si incluye uno o varios deviceIds y ninguno de ellos se ha retirado, borrado o eliminado en los últimos 30 días, el agente no se ejecutará.
Incluir solo los dispositivos con la última actividad después de [...]
Incluir solo los dispositivos con la última actividad antes de [...]
Renovación del agente
Los agentes expiran después de 90 días de inactividad. Cuando expira la autenticación, se produce un error en las ejecuciones del agente hasta que se vuelve a autenticar. Puede renovar la autenticación en cualquier momento.
A medida que se aproxima la expiración, Intune muestra una advertencia en la página de información general del agente. Tanto los propietarios de Copilot como los colaboradores de Copilot pueden ver este banner, que le pide que renueve la identidad del agente.
Para renovar el agente:
- Abra el centro de administración de Microsoft Security Copilot e inicie sesión con una cuenta que tenga los permisos necesarios.
- Seleccione Agentes.
- Busque el agente que necesita renovación y seleccione Ir al agente.
- En la página de detalles del agente, seleccione ...y, a continuación, seleccione Editar.
- Seleccione Renovar autenticación. El agente usa las credenciales de sesión iniciadas de forma predeterminada. Para usar credenciales diferentes, seleccione Volver a autenticarse y proporcionarlas.
Después de la renovación, el banner de advertencia desaparece y una notificación del sistema confirma que se ha realizado correctamente.
Quitar el agente
Al quitar un agente, se eliminan todos los datos asociados generados, incluidas las sugerencias y las actividades. Las sugerencias aplicadas anteriormente permanecen sin cambios.
Pasos para quitar una instancia del agente:
- En el centro de administración de Microsoft Intune, seleccione Agentes.
- Seleccione la instancia del agente que desea quitar.
- Seleccione Quitar agente y confirme la eliminación.
Después de la eliminación:
- El panel del agente vuelve a su estado original.
- Un administrador puede volver a instalar el agente más adelante si repite el proceso de instalación.
Ayudar a dar forma al futuro de los agentes de Intune
Únase a nuestro foro de comentarios de Intune Agents para compartir información e influir en las próximas funcionalidades en Microsoft Intune.
Regístrese y obtenga más información: https://aka.ms/IntuneAgentsForum