裝置離職代理(Device Offboarding Agent)能識別 Intune 與 Entra ID 中陳舊或不對齊的裝置,提供可行的洞察,並要求管理員批准後才能出貨任何裝置。 裝置離職代理透過揭示洞察與處理模糊案件來補充現有的 Intune 自動化,避免自動化清理不夠。
必要條件
雲端需求
該代理僅支援公有雲。 政府雲端不支援。
執照要求
要在 Microsoft Intune 中使用 Security Copilot 代理,您的組織必須符合特定的授權要求。
所需執照:
- Microsoft Intune 方案 1 訂閱
- Microsoft Security Copilot擁有足夠安全運算單元 (SCU)
插件需求
外掛程式使 Security Copilot 代理能與 Microsoft 服務連接並執行專門操作。
裝置離板代理需要以下外掛:
裝置平台需求
該代理程式支援由 Intune 管理的多個平台裝置,包括 Windows、iOS/iPadOS、macOS、Android 及 Linux。
它適用於企業擁有的和自帶裝置 () 情境。該代理人不支援:
- 混合式 Entra-join Windows 裝置
- Windows Autopilot 裝置
- 共用的裝置
- Microsoft Teams 手機
職務要求
角色需求會依你是設定代理還是使用代理,以及執行的具體動作而異。
要 啟用、 設定及 刪除 裝置離職代理,請使用具有以下角色的帳號:
Intune 的角色,包括:
Entra 角色,要麼:
Security Copilot 職務:
要 使用 代理並執行離職操作,請使用至少具備以下角色的帳號:
- 安全性讀取者
- 自訂角色與 Microsoft.Directory/Devices/Standard/Read 權限
要在代理程式內執行動作,例如 在 Entra 中停用裝置,必須擁有 「停用裝置 」權限。 你不需要這個權限就能執行或查看代理的結果。
運作方式
為支援安全且高效的裝置生命週期管理,裝置出境代理執行一系列自動化評估與操作。 以下是其工作流程的詳細說明:
1. 訊號聚合
裝置離板代理從整合來自 Microsoft Intune 和 Microsoft Entra ID 的訊號開始。 這些訊號包含指示器,用來判斷裝置是活躍、過時或設定錯誤。
2. 評估
代理程式會根據預設邏輯及管理員提供的可選 自訂指令 來評估每個裝置。
3. 建議
根據此評估,客服人員會產生建議,標示出需離職的裝置,並附上建議行動及其背後的理由。
4. 管理員批准
未經明確管理員批准,任何裝置都不會被更改。 客服會提供詳細建議,但最終是否將裝置移出的決定權仍由 IT 管理員負責。
5. 輔助整治
經管理員核准後,裝置離板代理會停用對應的 Entra ID 物件。 同時,它也透過提供額外的補救步驟指引,例如從 Microsoft Defender 或 Apple Business Manager 移除裝置,促進離職流程。
代理人身份
裝置離職代理程式是以設定時使用的 Intune 管理員帳號的身份與權限執行。 它的行動受限於該帳號的權限,且每次執行時身份都會更新。 如果該代理連續 90 天未執行,其認證即失效,之後的執行也會失敗,直到續約為止。 為維持功能,請在 90 天限制前 更新代理 身份。
操作考量
在執行裝置離職代理之前,請注意以下事項:
- 管理員必須手動啟動代理程式;一旦發射,就無法暫停或停止。
- 管理員只能從 Microsoft Intune 管理中心啟動代理程式。
- 只有設定代理的管理員才能在 Microsoft Security Copilot 入口網站中查看會話細節。
- 該代理會識別過去 30 天內從 Intune 退休、清除或刪除的裝置。
- 代理人將結果限制在前 10,000 個裝置內。
- 管理員批准下機後,代理會停用 Entra ID 物件。 其他補救步驟則提供給管理員的指引。
- 代理人不會在多次運行中持續執行建議;重播會清除先前的建議。
- 每個租戶只支援一個代理實例。
重要事項
代理人報告的資料會透過代理人的建議浮現。 這些資訊可能對擁有Intune管理中心代理權限的管理員可見,即使其中包含其分配的管理單位 () Microsoft Entra ID AU之外的資料。
啟用代理
要啟用裝置卸載代理,請依照以下步驟操作:
- 在 Microsoft Intune 管理中心,選擇代理並選擇你想啟用的代理。
- 選擇 設定代理 以開啟設定窗格。
- 檢視細節以確保需求已到位,然後選擇 開始代理人。
代理會執行直到完成,然後在 「概覽 」標籤中顯示結果。
設定自訂指令
使用自訂指示,根據組織需求引導代理人的邏輯。 客製化說明有助於精準調整代理人的評估標準,讓您能將特定設備納入或排除出櫃建議。
這些指令可用於:
- 包含或排除特定的物件 ID。
- 設定裝置活動的門檻。
例如,如果你的組織有不想標記為出職的主管裝置,你可以使用自訂指令來排除它們。 若不排除此項,客服人員可能會偵測到這些裝置的身份不符,並利用 SCU 來建議出職——即使這並不合適。 客製化指示能根據你的組織需求引導代理人的邏輯,幫助你避免這種問題。
自訂指令會在代理執行之間持續存在,所以一旦設定好它們,每次代理執行時都會被評估。 你可以隨時在 設定 分頁更改自訂指令並重新執行代理程式。 建議中的 「因素」 部分會詳細說明在制定建議下機裝置清單時,考慮了哪些自訂指令。
要設定自訂指令:
- 在Microsoft Intune管理中心,選擇「代理裝置>離板代理」 (預覽) 。
- 選取 設定 索引標籤。
- 在 指示 欄位輸入提示,自訂代理人的評估標準。
你可以使用的自訂指令範例
排除帶有 ID 的裝置 [...]
排除最後一次活動的裝置[...]
排除在[...]
僅包含帶有 ID 的裝置 [...]
重要事項
如果你包含一個或多個 deviceId,且在過去 30 天內都沒有被退休、清除或刪除,代理程式將無法執行。
只包含在[...]之後最後活動的裝置。
只包含在[...]
續約代理人
代理人在閒置90天後即到期。 當認證過期時,代理程式會執行失敗,直到你重新認證為止。 你可以隨時續期驗證。
隨著到期日臨近,Intune 會在客服人員總覽頁面顯示警告。 Copilot 擁有者 和 Copilot 貢獻者 都能看到這個橫幅,提示你更新代理人身份。
續約代理人:
- 打開 Microsoft Security Copilot 管理中心,並以具備必要權限的帳號登入。
- 精選 代理人。
- 找到需要續約的代理人,並選擇 「前往代理人」。
- 在代理人詳情頁面,選擇 「...」,然後選擇 編輯。
- 選擇 續期驗證。 客服人員預設會使用你已登入的憑證。 要使用不同的憑證,請選擇 重新認證 並提供憑證。
續約後,警告橫幅會消失,並以祝酒通知確認成功。
移除該藥劑
當你移除代理人時,所有產生的相關資料,包括建議和活動都會被刪除。 先前使用的建議保持不變。
移除代理實例的步驟:
- 在 Microsoft Intune 管理中心,選擇代理。
- 選擇你想移除的代理實例。
- 選擇 移除代理 並確認移除。
移除後:
- agent 面板會回復到原始狀態。
- 管理員可以透過重複設定流程來重新安裝代理程式。
協助塑造 Intune 客服人員的未來
加入我們的 Intune 客服人員回饋論壇,分享見解並影響 Microsoft Intune 未來的功能。
註冊並了解更多: https://aka.ms/IntuneAgentsForum