Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
De Device Offboarding Agent identificeert verouderde of verkeerd uitgelijnde apparaten in Intune en Entra ID, waardoor bruikbare inzichten worden geboden en goedkeuring van de beheerder is vereist voordat apparaten worden offboarden. De Device Offboarding Agent vormt een aanvulling op bestaande Intune automatisering door inzichten op te doen en dubbelzinnige gevallen te verwerken waarbij geautomatiseerd opschonen mogelijk niet voldoende is.
Vereisten
Cloudvereisten
De agent wordt alleen ondersteund in de openbare cloud. Dit wordt niet ondersteund in overheidsclouds.
Licentievereisten
Als u Security Copilot agents in Microsoft Intune wilt gebruiken, moet uw organisatie voldoen aan specifieke licentievereisten.
Vereiste licenties:
- Microsoft Intune Plan 1 abonnement
- Microsoft Security Copilot met voldoende SKU's (security compute units)
Vereisten voor invoegtoepassingen
Met invoegtoepassingen kunnen Security Copilot agents verbinding maken met Microsoft-services en gespecialiseerde acties uitvoeren.
Voor de Device Offboarding Agent is de volgende invoegtoepassing vereist:
Vereisten voor apparaatplatform
De agent ondersteunt apparaten die worden beheerd door Intune op meerdere platforms, waaronder Windows, iOS/iPadOS, macOS, Android en Linux.
Dit geldt voor scenario's in bedrijfseigendom en BYOD (bring-your-own-device).De agent biedt geen ondersteuning voor:
- Hybride Entra-gekoppelde Windows-apparaten
- Windows Autopilot-apparaten
- Gedeelde apparaten
- Microsoft Teams-telefoons
Vereisten voor rollen
Rolvereisten variëren afhankelijk van of u de agent configureert of gebruikt, en van de specifieke acties die worden uitgevoerd.
Als u de Device Offboarding Agent wilt inschakelen, configureren en verwijderen , gebruikt u een account met de volgende rollen:
Intune rollen:
- Alleen-lezenoperator
- Aangepaste rol met controlegegevens/lees- en organisatie-/leesmachtigingen
Entra-rollen, ofwel:
- Beveiligingslezer
- Aangepaste rol met Microsoft.Directory/Devices/Standard/Read-machtigingen
Security Copilot rollen:
Als u de agent wilt gebruiken en offboarding-acties wilt uitvoeren, gebruikt u een account met ten minste de volgende rollen:
- Alleen-lezenoperator
- Aangepaste rol met controlegegevens/lees- en organisatie-/leesmachtigingen
- Beveiligingslezer
- Aangepaste rol met Microsoft.Directory/Devices/Standard/Read-machtigingen
Als u actie wilt ondernemen vanuit de agent, zoals het uitschakelen van apparaten in Entra, moet u de machtiging Apparaten uitschakelen hebben. U hebt deze machtiging niet nodig om resultaten van de agent uit te voeren of weer te geven.
Hoe het werkt
Ter ondersteuning van veilig en efficiënt levenscyclusbeheer van apparaten voert de Device Offboarding Agent een reeks geautomatiseerde evaluaties en acties uit. Hier volgt een uitsplitsing van de werkstroom:
1. Signaalaggregatie
De Device Offboarding Agent begint met het aggregeren van signalen van Microsoft Intune en Microsoft Entra ID. Deze signalen omvatten indicatoren die helpen bepalen of een apparaat actief, verouderd of onjuist is geconfigureerd.
2. Evaluatie
De agent evalueert elk apparaat met behulp van vooraf gedefinieerde logica en eventuele optionele aangepaste instructies van een beheerder.
3. Aanbevelingen
Op basis van deze evaluatie genereert de agent aanbevelingen waarmee apparaten worden gevlagd voor offboarding, samen met voorgestelde acties en de logica erachter.
4. Beheer goedkeuring
Er worden geen wijzigingen aangebracht in apparaten zonder expliciete goedkeuring van de beheerder. De agent geeft gedetailleerde aanbevelingen, maar de uiteindelijke beslissing om een apparaat te offboarden, is bij de IT-beheerder.
5. Geassisteerd herstel
Na goedkeuring van de beheerder schakelt de Device Offboarding Agent de bijbehorende Entra ID-objecten uit. Het vereenvoudigt ook het offboardingproces door hulp te bieden bij aanvullende herstelstappen, zoals het verwijderen van apparaten uit Microsoft Defender of Apple Business Manager.
Agentidentiteit
De Device Offboarding Agent wordt uitgevoerd onder de identiteit en machtigingen van het Intune beheerdersaccount dat tijdens de installatie wordt gebruikt. De acties zijn beperkt tot de machtigingen van dat account en de identiteit wordt vernieuwd bij elke uitvoering. Als de agent niet gedurende 90 opeenvolgende dagen wordt uitgevoerd, verloopt de verificatie en mislukken de daaropvolgende uitvoeringen totdat ze worden vernieuwd. Als u de functionaliteit wilt behouden, vernieuwt u de agent-identiteit vóór de limiet van 90 dagen.
Operationele overwegingen
Let op het volgende voordat u de Device Offboarding Agent uitvoert:
- Beheerders moeten de agent handmatig starten. zodra deze is gestart, kan deze niet worden onderbroken of gestopt.
- Beheerders kunnen de agent alleen starten vanuit het Microsoft Intune-beheercentrum.
- Alleen de beheerder die de agent heeft ingesteld, kan sessiedetails bekijken in de Microsoft Security Copilot portal.
- De agent identificeert apparaten die in de afgelopen 30 dagen buiten gebruik zijn gesteld, gewist of verwijderd uit Intune.
- De agent beperkt de resultaten tot de eerste 10.000 apparaten.
- Na goedkeuring van de beheerder voor offboard schakelt de agent Entra ID-objecten uit. Andere herstelstappen worden gegeven als instructies voor beheerders.
- De agent bewaart geen suggesties tussen uitvoeringen; Als u de vorige aanbevelingen opnieuw uitvoert, worden de eerdere aanbevelingen gewist.
- Per tenant wordt slechts één agentexemplaren ondersteund.
Belangrijk
Gegevens die door de agent worden gerapporteerd, worden weergegeven via agentsuggesties. Deze informatie kan zichtbaar zijn voor beheerders die toegang hebben tot de agent in het Intune-beheercentrum, zelfs als deze gegevens bevat buiten hun toegewezen beheereenheden (RU's) in Microsoft Entra ID.
De agent inschakelen
Voer de volgende stappen uit om de Device Offboarding Agent in te schakelen:
- Selecteer agents in het Microsoft Intune-beheercentrum en selecteer de agent die u wilt inschakelen.
- Selecteer Agent instellen om het installatievenster te openen.
- Controleer de details om te controleren of aan de vereisten wordt voldaan en selecteer vervolgens Agent starten.
De agent wordt uitgevoerd totdat deze is voltooid en geeft vervolgens de resultaten weer op het tabblad Overzicht .
Aangepaste instructies configureren
Gebruik aangepaste instructies om de logica van de agent te begeleiden op basis van de behoeften van uw organisatie. Aangepaste instructies helpen bij het verfijnen van de evaluatiecriteria van de agent, zodat u specifieke apparaten kunt opnemen of uitsluiten van aanbevelingen voor offboarding.
Deze instructies kunnen worden gebruikt om:
- Specifieke object-id's opnemen of uitsluiten.
- Drempelwaarden instellen voor apparaatactiviteit.
Als uw organisatie bijvoorbeeld leidinggevende apparaten heeft die u niet wilt markeren voor offboarding, kunt u aangepaste instructies gebruiken om deze uit te sluiten. Zonder deze uitsluiting kan de agent identiteiten op die apparaten detecteren en SKU's gebruiken om offboarding voor te stellen, zelfs als dit niet geschikt is. Aangepaste instructies helpen u dit probleem te voorkomen door de logica van de agent te begeleiden op basis van de behoeften van uw organisatie.
Aangepaste instructies blijven behouden tussen agentuitvoeringen, dus zodra u ze hebt ingesteld, worden ze elke keer geëvalueerd wanneer de agent wordt uitgevoerd. U kunt op elk gewenst moment aangepaste instructies wijzigen op het tabblad Instellingen en de agent opnieuw uitvoeren. In de sectie Factoren in een suggestie worden details beschreven met welke aangepaste instructies rekening is gehouden bij het maken van de lijst met voorgestelde apparaten om te offboarden.
Aangepaste instructies configureren:
- Selecteer in het Microsoft Intune-beheercentrumAgents>Device Offboarding Agent (preview).
- Selecteer het tabblad Instellingen.
- Voer in het veld Instructies een prompt in om de evaluatiecriteria van de agent aan te passen.
Voorbeelden van aangepaste instructies die u kunt gebruiken
Sluit apparaten met id's [...]
Sluit apparaten met laatste activiteit na [...]
Sluit apparaten met de laatste activiteit vóór [...]
Alleen apparaten met id's opnemen [...]
Belangrijk
Als u een of meer deviceIds opneemt en geen van deze in de afgelopen 30 dagen buiten gebruik is gesteld, gewist of verwijderd, kan de agent niet worden uitgevoerd.
Alleen apparaten met laatste activiteit na [...]
Alleen apparaten opnemen met de laatste activiteit vóór [...]
De agent verlengen
Agents verlopen na 90 dagen inactiviteit. Wanneer de verificatie verloopt, mislukt de agent totdat u zich opnieuw hebt geverifieerd. U kunt de verificatie op elk gewenst moment vernieuwen.
Naarmate het verloop nadert, geeft Intune een waarschuwing weer op de overzichtspagina van de agent. Zowel Copilot-eigenaren als Copilot-inzenders kunnen deze banner zien, waarin u wordt gevraagd de agent-identiteit te vernieuwen.
De agent vernieuwen:
- Open het Microsoft Security Copilot-beheercentrum en meld u aan met een account met de vereiste machtigingen.
- Selecteer Agents.
- Zoek de agent die moet worden verlengd en selecteer Ga naar agent.
- Selecteer op de pagina details van de agent de optie ... en selecteer vervolgens Bewerken.
- Selecteer Verificatie vernieuwen. De agent gebruikt standaard uw aanmeldingsgegevens. Als u verschillende referenties wilt gebruiken, selecteert u Opnieuw verifiëren en geeft u deze op.
Na verlenging verdwijnt de waarschuwingsbanner en bevestigt een pop-upmelding dat het is gelukt.
De agent verwijderen
Wanneer u een agent verwijdert, worden alle bijbehorende gegevens die worden gegenereerd, inclusief suggesties en activiteiten, verwijderd. Eerder toegepaste suggesties blijven ongewijzigd.
Stappen voor het verwijderen van een agentexemplaren:
- Selecteer Agents in het Microsoft Intune-beheercentrum.
- Selecteer het agentexemplaren dat u wilt verwijderen.
- Selecteer Agent verwijderen en bevestig de verwijdering.
Na verwijdering:
- Het deelvenster agent keert terug naar de oorspronkelijke staat.
- Een beheerder kan de agent later opnieuw installeren door het installatieproces te herhalen.
Help de toekomst van Intune agents vorm te geven
Neem deel aan ons feedbackforum voor Intune agents om inzichten te delen en toekomstige mogelijkheden in Microsoft Intune te beïnvloeden.
Registreren en meer informatie: https://aka.ms/IntuneAgentsForum