Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
O Agente de Exclusão de Dispositivos identifica dispositivos obsoletos ou desalinhados no Intune e no Entra ID, fornecendo informações acionáveis e exigindo a aprovação do administrador antes de remover quaisquer dispositivos. O Agente de Exclusão de Dispositivos complementa a automatização de Intune existente através da apresentação de informações e do processamento de casos ambíguos em que a limpeza automatizada pode não ser suficiente.
Pré-requisitos
Requisitos da cloud
O agente é suportado apenas na cloud pública. Não é suportado em clouds governamentais.
Requisitos de licenciamento
Para utilizar Security Copilot agentes no Microsoft Intune, a sua organização tem de cumprir requisitos de licenciamento específicos.
Licenças necessárias:
- Microsoft Intune (plano 1) subscrição
- Microsoft Security Copilot com unidades de computação de segurança (SCUs) suficientes
Requisitos de plug-ins
Os plug-ins permitem que Security Copilot agentes se liguem aos serviços Microsoft e executem ações especializadas.
O Agente de Exclusão de Dispositivos necessita do seguinte plug-in:
Requisitos da plataforma de dispositivos
O agente suporta dispositivos geridos por Intune em várias plataformas, incluindo Windows, iOS/iPadOS, macOS, Android e Linux.
Aplica-se a cenários pertencentes à empresa e BYOD (bring-your-own-device).O agente não suporta:
- Dispositivos Windows híbridos associados ao Entra
- Dispositivos Windows Autopilot
- Dispositivos compartilhados
- Telefones Microsoft Teams
Requisitos de funções
Os requisitos de função variam consoante esteja a configurar o agente ou a utilizá-lo e nas ações específicas executadas.
Para ativar, configurar e eliminar o Agente de Exclusão de Dispositivos, utilize uma conta com as seguintes funções:
Intune funções:
- Operador Somente Leitura
- Função personalizada com permissões Dados de auditoria/Leitura e Organização/Leitura
Funções de Entra:
- Leitor de Segurança
- Função personalizada com permissões Microsoft.Directory/Devices/Standard/Read
Security Copilot funções:
Para utilizar o agente e realizar ações de exclusão, utilize uma conta com, pelo menos, as seguintes funções:
- Operador Somente Leitura
- Função personalizada com permissões Dados de auditoria/Leitura e Organização/Leitura
- Leitor de Segurança
- Função personalizada com permissões Microsoft.Directory/Devices/Standard/Read
Para tomar medidas a partir do agente, como desativar dispositivos no Entra, tem de ter a permissão Desativar dispositivos . Não precisa desta permissão para executar ou ver os resultados do agente.
Como funciona
Para suportar uma gestão segura e eficiente do ciclo de vida dos dispositivos, o Agente de Exclusão de Dispositivos executa uma série de avaliações e ações automatizadas. Eis uma discriminação do fluxo de trabalho:
1. Agregação de sinais
O Agente de Exclusão de Dispositivos começa por agregar sinais de Microsoft Intune e Microsoft Entra ID. Estes sinais incluem indicadores que ajudam a determinar se um dispositivo está ativo, obsoleto ou configurado incorretamente.
2. Avaliação
O agente avalia cada dispositivo com lógica predefinida e quaisquer instruções personalizadas opcionais fornecidas por um administrador.
3. Recomendações
Com base nesta avaliação, o agente gera recomendações que sinalizam dispositivos para exclusão, juntamente com as ações sugeridas e a lógica subjacente.
4. Administração aprovação
Não são efetuadas alterações a dispositivos sem aprovação explícita do administrador. O agente fornece recomendações detalhadas, mas a decisão final de desligar um dispositivo depende do administrador de TI.
5. Remediação assistida
Após a aprovação do administrador, o Agente de Exclusão de Dispositivos desativa os objetos de Entra ID correspondentes. Também facilita o processo de exclusão ao fornecer orientações sobre passos de remediação adicionais, como remover dispositivos do Microsoft Defender ou do Apple Business Manager.
Identidade do agente
O Agente de Exclusão de Dispositivos é executado sob a identidade e permissões da conta de administrador Intune utilizada durante a configuração. As ações estão limitadas às permissões dessa conta e a identidade é atualizada com cada execução. Se o agente não for executado durante 90 dias consecutivos, a autenticação expirará e as execuções subsequentes falharão até serem renovadas. Para manter a funcionalidade, renove a identidade do agente antes do limite de 90 dias.
Considerações operacionais
Antes de executar o Agente de Exclusão de Dispositivos, tenha em atenção o seguinte:
- Os administradores têm de iniciar o agente manualmente; depois de iniciada, não pode ser colocada em pausa ou parada.
- Os administradores só podem iniciar o agente a partir do centro de administração do Microsoft Intune.
- Apenas o administrador que configurou o agente pode ver os detalhes da sessão no portal do Microsoft Security Copilot.
- O agente identifica os dispositivos que foram descontinuados, apagados ou eliminados do Intune nos últimos 30 dias.
- O agente limita os resultados aos primeiros 10 000 dispositivos.
- Após a aprovação do administrador para exclusão, o agente desativa os objetos de Entra ID. São fornecidos outros passos de remediação como instruções para os administradores.
- O agente não mantém sugestões entre execuções; A nova execução limpa as recomendações anteriores.
- Só é suportada uma instância de agente por inquilino.
Importante
Os dados comunicados pelo agente são apresentados através de sugestões de agente. Estas informações podem estar visíveis para os administradores que têm acesso ao agente no centro de administração do Intune, mesmo que incluam dados fora das Unidades Administrativas (UA) atribuídas no Microsoft Entra ID.
Ativar o agente
Para ativar o Agente de Exclusão de Dispositivos, siga estes passos:
- No Microsoft Intune centro de administração, selecione Agentes e selecione o agente que pretende ativar.
- Selecione Configurar Agente para abrir o painel de configuração.
- Reveja os detalhes para garantir que os requisitos estão implementados e, em seguida, selecione Iniciar agente.
O agente é executado até ser concluído e, em seguida, apresenta os resultados no separador Descrição geral .
Configurar instruções personalizadas
Utilize instruções personalizadas para orientar a lógica do agente com base nas necessidades da sua organização. As instruções personalizadas ajudam a refinar os critérios de avaliação do agente, permitindo-lhe incluir ou excluir dispositivos específicos de recomendações de exclusão.
Estas instruções podem ser utilizadas para:
- Incluir ou excluir IDs de objeto específicos.
- Defina limiares para a atividade do dispositivo.
Por exemplo, se a sua organização tiver dispositivos executivos que não pretende sinalizar para exclusão, pode utilizar instruções personalizadas para os excluir. Sem esta exclusão, o agente pode detetar incompatibilidades de identidade nesses dispositivos e consumir SCUs para sugerir a exclusão, mesmo quando não é apropriado. As instruções personalizadas ajudam-no a evitar esse problema ao orientar a lógica do agente com base nas suas necessidades organizacionais.
As instruções personalizadas persistem entre as execuções do agente, pelo que, depois de as definir, são avaliadas sempre que o agente é executado. Pode alterar as instruções personalizadas em qualquer altura no separador Definições e voltar a executar o agente. A secção Fatores numa sugestão realça os detalhes em que as instruções personalizadas foram tidas em conta ao formar a lista de dispositivos sugeridos para serem desligados.
Para configurar instruções personalizadas:
- No centro de administração do Microsoft Intune, selecione Agente Agente de Exclusão de Dispositivos>(pré-visualização).
- Selecione a guia Configurações.
- No campo Instruções, introduza um pedido para personalizar os critérios de avaliação do agente.
Exemplos de instruções personalizadas que pode utilizar
Excluir dispositivos com IDs [...]
Excluir dispositivos com a última atividade após [...]
Excluir dispositivos com a última atividade antes de [...]
Incluir apenas dispositivos com IDs [...]
Importante
Se incluir um ou mais deviceIds e nenhum deles tiver sido descontinuado, apagado ou eliminado nos últimos 30 dias, o agente não será executado.
Incluir apenas dispositivos com última atividade após [...]
Incluir apenas dispositivos com última atividade antes de [...]
Renovar o agente
Os agentes expiram após 90 dias de inatividade. Quando a autenticação expira, as execuções do agente falham até voltar a autenticar. Pode renovar a autenticação em qualquer altura.
À medida que a expiração se aproxima, Intune apresenta um aviso na página de descrição geral do agente. Tanto os proprietários da Copilot como os contribuidores da Copilot podem ver esta faixa, o que lhe pede para renovar a identidade do agente.
Para renovar o agente:
- Abra o centro de administração do Microsoft Security Copilot e inicie sessão com uma conta que tenha as permissões necessárias.
- Selecione Agentes.
- Localize o agente que precisa de renovação e selecione Ir para agente.
- Na página de detalhes do agente, selecione ...e, em seguida, selecione Editar.
- Selecione Renovar autenticação. O agente utiliza as suas credenciais de início de sessão por predefinição. Para utilizar credenciais diferentes, selecione Autenticar novamente e forneça-as.
Após a renovação, a faixa de aviso desaparece e uma notificação de alerta confirma o êxito.
Remover o agente
Quando remove um agente, todos os dados associados gerados, incluindo sugestões e atividades, são eliminados. As sugestões aplicadas anteriormente permanecem inalteradas.
Passos para remover uma instância de agente:
- No centro de administração do Microsoft Intune, selecione Agentes.
- Selecione a instância do agente que pretende remover.
- Selecione Remover agente e confirme a remoção.
Após a remoção:
- O painel do agente regressa ao estado original.
- Um administrador pode reinstalar o agente mais tarde ao repetir o processo de configuração.
Ajudar a moldar o futuro dos agentes Intune
Junte-se ao nosso Fórum de Comentários dos Agentes Intune para partilhar informações e influenciar as capacidades futuras no Microsoft Intune.
Inscreva-se e saiba mais: https://aka.ms/IntuneAgentsForum