通过

远程设备作:擦除

使用 Intune 中的擦除远程作将设备恢复出厂设置,并将其还原到默认设置。 此作将删除所有个人和组织数据、应用和配置。 当设备需要停用、重新调整用途、重置以便进行故障排除或安全擦除(如果丢失或被盗)时,它通常使用。

根据平台,可以自定义擦除行为以满足组织的需求。

先决条件

设备平台要求

此远程作支持以下平台:

  • Android Enterprise 公司拥有的完全托管 (COBO)
  • Android Enterprise 公司拥有的专用 (COSU)
  • Android Enterprise 公司拥有的工作配置文件 (COPE)
  • Android 开源项目 (AOSP)
  • ChromeOS
  • iOS/iPadOS (公司拥有的)
  • macOS
  • Windows

角色要求

若要运行此远程作,请使用至少具有以下角色之一的帐户:

擦除设备之前

查看 擦除 Apple 支持网站上提供的 macOS 设备的要求。

恢复出厂设置保护 (FRP) 注意事项

重置后设备是否需要 Google 帐户凭据取决于 Android Enterprise 公司拥有的工作配置文件/完全托管/专用) (所有权、重置方法 (设置、恢复或管理员擦除) ,以及是否配置了 FRP。 默认情况下,Intune的管理员擦除不会保留 FRP 数据。

有关详细信息,请参阅 重置 Android Enterprise 设备后不强制实施恢复出厂设置保护电子邮件设置

Samsung 设备

对于 Android Enterprise 完全托管的 Samsung 设备,请确保“设备限制”下的“恢复出厂设置”未设置为“阻止”。

如果阻止恢复出厂设置并启动擦除作,设备将失去与Intune的联系,并且无法完成恢复出厂设置。

Zebra 设备

在 Zebra Android 设备上, “擦除远程” 作旨在仅删除公司数据。 它不执行恢复出厂设置。

若要恢复 Zebra Android 设备出厂设置,请使用以下方法之一:

如何从Intune管理中心擦除设备

  1. Microsoft Intune管理中心,选择“设备>”“所有设备”。
  2. 从设备列表中,选择一个设备。
  3. 在设备概述窗格顶部,找到远程作图标行。 选择“ 擦除”。

  1. 输入 6 位数 的恢复 PIN。 在没有 T2 安全芯片的设备(通常是 2018 年或更早版本的型号,或者运行 macOS 10.14 或更早版本的设备)上重新安装作系统,需要此 PIN。 请确保记录 PIN 并与设备所有者共享。 擦除完成后,PIN 将不可见。

  2. 从“ 清除行为”中选择一个选项,该行为用于定义当“擦除所有内容”和“设置” (EACS) 失败时设备的回退。 可以配置以下选项:

    • 默认值:如果擦除所有内容和设置 (EACS) 预检失败,设备将响应Intune并显示错误状态,然后尝试自行清除。 如果 EACS 预检成功,但 EACS 失败,则设备会尝试擦除自身。
    • 请勿清除:如果擦除所有内容和设置 (EACS) 预检失败,则设备会以错误状态响应Intune,并且不会尝试自行擦除。 如果 EACS 预检成功,但 EACS 失败,则设备不会尝试擦除自身。
    • 清除并显示警告:如果擦除所有内容和设置 (EACS) 预检失败,设备将响应为“成功”状态,然后尝试自行清除。 如果 EACS 预检成功,但 EACS 失败,则设备会尝试擦除自身。
    • 始终清除:系统不会尝试擦除 EACS) (所有内容和设置。 T2 及更高版本的设备始终会被消灭。

  3. 选择“ 擦除 ”以擦除设备。

  1. 可以使用以下选项自定义擦除行为:

    • 擦除设备,但保留注册状态和关联的用户帐户
      • 将设备重置为出厂设置,同时保留用户数据、用户帐户和重要设置。
        若要了解有关保留哪些数据的详细信息,请参阅 一键重置功能的工作原理
      • MDM 策略和设置已删除,但设备仍Intune注册。
      • 使用 doWipePersistUserData CSP 节点。
    • 擦除设备,即使设备断电,仍继续擦除
      • 将设备重置为出厂设置,删除所有用户数据、设置和 MDM 策略。
      • 覆盖可用空间以防止数据恢复。
      • 确保即使设备断电,擦除也会继续,防止中断 ,非常适合高安全性方案,例如设备丢失或被盗。
      • 使用 doWipeProtected CSP 节点。

        重要

        此选项可能会阻止某些设备再次启动。 擦除过程可能会干扰启动恢复或固件保护,使设备无法恢复。 仅在需要完全数据销毁且恢复过程到位的公司自有设备上使用。

    • 未选择任何选项
      • 将设备重置为出厂设置,删除所有用户数据、设置和 MDM 策略。
      • 如果擦除中断,设备将尝试回滚到其以前的状态。 如果回滚失败,设备可能会变得不可用,并且需要完全重新安装 Windows。
      • 使用 doWipe CSP 节点。

  2. 若要确认擦除,请选择“ 擦除”。

  1. 对于 iOS/iPadOS eSIM 设备,在擦除设备时会默认保留手机网络数据计划。 如果想在擦除设备时从设备中删除数据计划,请选择“同时删除设备数据计划...”选项

  1. 选择以下选项:

    • 仅删除用户配置文件:删除所有用户帐户数据。 设备和注册策略保留在设备上。
    • 恢复出厂设置 (powerwash) :若要将设备还原到其出厂状态,请删除所有个人数据和工作数据。 使用此作之前, 请取消预配 设备。 否则,连接到 Wi-Fi 后,将自动再次注册。

有关擦除 ChromeOS 设备的详细信息,请参阅 擦除 ChromeOS 设备数据

注意

此远程作可能受Intune访问策略的约束,该策略需要多个管理审批 (MAA) 。 如果是这样,则第二个管理员必须批准该作,然后才能继续作。

有关详细信息,请参阅 使用访问策略要求多个管理审批

从 Windows Autopilot 中删除设备

在设备上从 Intune 执行远程作后,你可能还希望从 Windows Autopilot 中删除其注册(如果适用)。

有关详细信息,请参阅使用 Intune从 Windows Autopilot 注销

从Microsoft Entra ID中删除设备

从 Intune 对设备执行远程作后,可能还需要从Microsoft Entra ID中删除其记录,以便将其与组织的标识基础结构完全断开连接。 此步骤有助于确保设备不再显示在租户中,避免设备清单中的潜在混淆,并防止影响合规性或报告的持久访问权限或过时记录。

有关从Microsoft Entra ID中删除设备的详细信息,请参阅在 Microsoft Entra ID 中管理陈旧设备

  • 用于启动远程作的配置服务提供程序 (CSP) : RemoteWipe CSP
  • Last updated on