Device Offboarding Agent は、Intune ID と Entra ID 全体で古いデバイスまたは位置がずれているデバイスを識別し、実行可能な分析情報を提供し、デバイスをオフボードする前に管理者の承認を必要とします。 Device Offboarding Agent は、分析情報を表示し、自動クリーンアップで十分ではない可能性があるあいまいなケースを処理することで、既存のIntune自動化を補完します。
前提条件
クラウド要件
エージェントはパブリック クラウドでのみサポートされます。 政府のクラウドではサポートされていません。
ライセンス要件
Microsoft IntuneでSecurity Copilotエージェントを使用するには、organizationが特定のライセンス要件を満たしている必要があります。
必要なライセンス:
- Microsoft Intune プラン 1 サブスクリプション
- 十分なセキュリティ コンピューティング ユニット (SKU) を使用したMicrosoft Security Copilot
プラグインの要件
プラグインを使用すると、Security Copilot エージェントが Microsoft サービスに接続し、特殊なアクションを実行できます。
Device Offboarding Agent には、次のプラグインが必要です。
デバイス プラットフォームの要件
このエージェントは、Windows、iOS/iPadOS、macOS、Android、Linux など、複数のプラットフォーム間でIntuneによって管理されるデバイスをサポートします。
これは、企業所有のシナリオと BYOD (デバイス持ち込み) の両方のシナリオに適用されます。エージェントは次をサポートしていません。
- ハイブリッド Entra 参加済み Windows デバイス
- Windows Autopilot デバイス
- 共有デバイス
- Microsoft Teams電話
ロールの要件
ロールの要件は、エージェントを構成しているか使用しているか、実行された特定のアクションによって異なります。
Device Offboarding Agent を 有効、 構成、 削除 するには、次のロールを持つアカウントを使用します。
ロールをIntuneします。次のいずれかです。
- 読み取り専用の演算子
- 監査データ/読み取りと組織/読み取りアクセス許可を持つカスタム ロール
Entra ロール。次のいずれか:
Security Copilotロール:
エージェントを 使用 してオフボード アクションを実行するには、少なくとも次のロールを持つアカウントを使用します。
- 読み取り専用の演算子
- 監査データ/読み取りと組織/読み取りアクセス許可を持つカスタム ロール
- セキュリティ閲覧者
- Microsoft.Directory/Devices/Standard/読み取りアクセス許可を持つカスタム ロール
Entra でデバイスを無効にするなどのアクションをエージェント内から実行するには、[デバイスの無効化] アクセス許可が必要です。 エージェントの結果を実行または表示するには、このアクセス許可は必要ありません。
メカニズム
安全で効率的なデバイス ライフサイクル管理をサポートするために、Device Offboarding Agent は一連の自動評価とアクションを実行します。 ワークフローの内訳を次に示します。
1. シグナル集計
Device Offboarding Agent は、Microsoft IntuneとMicrosoft Entra IDからの信号を集計することから始まります。 これらの信号には、デバイスがアクティブか古いか、正しく構成されていないかを判断するのに役立つインジケーターが含まれます。
2. 評価
エージェントは、定義済みのロジックと管理者が提供する任意のオプション のカスタム指示 を使用して、各デバイスを評価します。
3. 推奨事項
この評価に基づいて、エージェントは、デバイスにオフボードのフラグを設定する推奨事項と、推奨されるアクションとその背後にある根拠を生成します。
4. 承認管理
明示的な管理者の承認なしにデバイスに変更は加えわれません。 エージェントは詳細な推奨事項を提供しますが、デバイスをオフボードする最終的な決定は IT 管理者にかかっています。
5. 支援された修復
管理者の承認を得ると、Device Offboarding Agent は対応する Entra ID オブジェクトを無効にします。 また、Microsoft Defenderや Apple Business Manager からデバイスを削除するなど、追加の修復手順に関するガイダンスを提供することで、オフボード プロセスも容易になります。
エージェント ID
Device Offboarding Agent は、セットアップ中に使用されるIntune管理者アカウントの ID とアクセス許可の下で実行されます。 そのアクションは、そのアカウントのアクセス許可に制限され、実行ごとに ID が更新されます。 エージェントが 90 日間連続して実行されない場合、その認証は期限切れになり、更新されるまで後続の実行は失敗します。 機能を維持するには、90 日間の制限の前にエージェント ID を 更新 します。
運用上の考慮事項
デバイス オフボード エージェントを実行する前に、次の点に注意してください。
- 管理者はエージェントを手動で開始する必要があります。一度起動すると、一時停止または停止することはできません。
- 管理者は、Microsoft Intune管理センターからのみエージェントを起動できます。
- Microsoft Security Copilot ポータルでセッションの詳細を表示できるのは、エージェントを設定した管理者だけです。
- エージェントは、過去 30 日以内にIntuneから廃止、ワイプ、または削除されたデバイスを識別します。
- エージェントは、最初の 10,000 台のデバイスに結果を制限します。
- 管理者がオフボードに承認されると、エージェントは Entra ID オブジェクトを無効にします。 その他の修復手順は、管理者向けの手順として提供されます。
- エージェントは、実行間で提案を保持しません。を再実行すると、以前の推奨事項がクリアされます。
- テナントごとにサポートされるエージェント インスタンスは 1 つだけです。
重要
エージェントによって報告されたデータは、エージェントの提案によって表示されます。 この情報は、割り当てられた管理単位 (AU) の外部のデータがMicrosoft Entra IDに含まれている場合でも、Intune管理センターのエージェントにアクセスできる管理者に表示される場合があります。
エージェントを有効にする
デバイス オフボード エージェントを有効にするには、次の手順に従います。
- Microsoft Intune管理センターで、[エージェント] を選択し、有効にするエージェントを選択します。
- [ エージェントのセットアップ ] を選択して、セットアップ ウィンドウを開きます。
- 詳細を確認して要件が満たされていることを確認し、[ エージェントの開始] を選択します。
エージェントは完了するまで実行され、その結果が [ 概要 ] タブに表示されます。
カスタム手順を構成する
カスタム手順を使用して、organizationのニーズに基づいてエージェントのロジックをガイドします。 カスタム手順は、エージェントの評価基準を絞り込むのに役立ち、オフボードの推奨事項から特定のデバイスを含めたり除外したりできます。
これらの手順は、次の場合に使用できます。
- 特定のオブジェクト ID を含めるか除外します。
- デバイス アクティビティのしきい値を設定します。
たとえば、オフボードのフラグを設定したくないエグゼクティブ デバイスがorganizationにある場合は、カスタム命令を使用して除外できます。 この除外がないと、エージェントはそれらのデバイスで ID の不一致を検出し、SCU を使用して、適切でない場合でもオフボードを提案する可能性があります。 カスタム手順は、組織のニーズに基づいてエージェントのロジックをガイドすることで、その問題を防ぐのに役立ちます。
カスタム命令はエージェントの実行間で保持されるため、設定すると、エージェントが実行されるたびに評価されます。 カスタム手順は、[ 設定] タブでいつでも変更し、エージェントを再実行できます。 提案の [要因 ] セクションでは、推奨されるデバイスの一覧をオフボードに作成する際に考慮されたカスタム手順の詳細が強調表示されています。
カスタム命令を構成するには:
- Microsoft Intune管理センターで、[エージェント>Device Offboarding Agent (プレビュー)] を選択します。
- [設定] タブを選択します。
- [ 手順 ] フィールドに、エージェントの評価基準をカスタマイズするプロンプトを入力します。
使用できるカスタム命令の例
ID を持つデバイスを除外する [...]
[...] の後に最後のアクティビティを持つデバイスを除外する
[...] より前の最後のアクティビティを持つデバイスを除外する
ID を持つデバイスのみを含める [...]
重要
1 つ以上の deviceId を含め、そのいずれも過去 30 日以内に廃止、ワイプ、または削除されていない場合、エージェントは実行に失敗します。
[...] の後に最後のアクティビティを持つデバイスのみを含める
[...] より前の最後のアクティビティを持つデバイスのみを含める
エージェントを更新する
エージェントは、非アクティブ状態が 90 日後に期限切れになります。 認証の有効期限が切れると、再認証されるまでエージェントの実行は失敗します。 認証はいつでも更新できます。
有効期限が近づくと、Intuneエージェントの概要ページに警告が表示されます。 Copilot 所有者と Copilot 共同作成者の両方に、エージェント ID の更新を求めるこのバナーが表示されます。
エージェントを更新するには:
- Microsoft Security Copilot管理センターを開き、必要なアクセス許可を持つアカウントでサインインします。
- [ エージェント] を選択します。
- 更新が必要なエージェントを見つけて、[ エージェントに移動] を選択します。
- エージェントの詳細ページで 、[ ...] を選択し、[編集] を選択 します。
- [ 認証の更新] を選択します。 エージェントでは、既定でサインイン資格情報が使用されます。 別の資格情報を使用するには、[ 再認証 ] を選択して指定します。
更新後、警告バナーが消え、トースト通知によって成功が確認されます。
エージェントを削除する
エージェントを削除すると、提案やアクティビティを含めて生成されたすべての関連データが削除されます。 以前に適用された提案は変更されません。
エージェント インスタンスを削除する手順:
- Microsoft Intune管理センターで、[エージェント] を選択します。
- 削除するエージェント インスタンスを選択します。
- [ エージェントの削除] を 選択し、削除を確認します。
削除後:
- エージェント ペインは元の状態に戻ります。
- 管理者は、セットアップ プロセスを繰り返すことで、後でエージェントを再インストールできます。
Intune エージェントの未来を形成する
Intune エージェント フィードバック フォーラムに参加して、分析情報を共有し、Microsoft Intuneの今後の機能に影響を与える。
サインアップして詳細を確認する: https://aka.ms/IntuneAgentsForum