Sérgio Sant'Ana JúniorÍndice
Ao longo do tempo, em ambientes corporativos, é natural lidar com situações como devolução de laptops, formatação de máquinas, perda ou substituição de dispositivos, entre outros cenários relacionados à gestão de equipamentos.
Esses dispositivos obsoletos acabam permanecendo registrados no Microsoft Entra ID e alguns deles são visíveis no Intune ou aparece em grupos dinâmicos de dispositivos, o que pode atrapalhar a administração. Além disso, um grande número de dispositivos não utilizados aumenta desnecessariamente as sincronizações de diretório e prejudica a higiene e conformidade do ambiente. Em resumo, manter a lista de dispositivos atualizada e limpar os dispositivos obsoletos ajuda a melhorar a gestão, a segurança e a conformidade da organização
Nota: Registros duplicadas de um mesmo computador dificultam o trabalho da equipe de suporte na identificação de qual é o aparelho ativo. Por isso se faz necessário fazer a “higienização” no tenant.
Neste artigo, explicarei como identificar dispositivos Windows inativos registrados no Microsoft Entra ID e gerenciados via Microsoft Intune, e como realizar a limpeza segura desses objetos obsoletos.
Atenção: As implementações apresentadas em nossos artigos foram desenvolvidas com base em documentações oficiais e nas boas práticas recomendadas pela Microsoft. Entretanto, enfatizamos que qualquer implementação deve ser previamente testada em ambientes de homologação ou testes para garantir a segurança e a estabilidade do ambiente de produção.
Identificando dispositivos obsoletos no Entra ID
Como saber se um dispositivo está “obsoleto”? A Microsoft define dispositivo obsoleto como aquele registrado no Microsoft Entra ID que não acessou nenhum aplicativo em nuvem por um determinado período.
Para detectar esses casos, o Entra ID disponibiliza o atributo ApproximateLastSignInDateTime (carimbo de data/hora de última entrada aproximada) em cada objeto de dispositivo.
Acesse entra.microsoft.com >> Identidade >> Dispositivos >> Todos os Dispositivos.
Em outras palavras, esse campo indica a última vez que o dispositivo foi visto autenticando em algum recurso da nuvem e serve como referência para atividade recente do dispositivo. Se a diferença entre a data atual e o valor desse timestamp exceder o período que sua organização considera aceitável (por exemplo, 60, 90 ou 120 dias), então o dispositivo pode ser considerado inativo ou obsoleto.
Primeira Etapa – Desativando dispositivos obsoletos inativos há mais de 90 dias
A melhor abordagem é definir um periodo de inatividade que seja aceitável e seguro. Uma abordagem é definir um critério de inatividade (por exemplo, nenhum login nos últimos 90 dias) e então listar todos os dispositivos que atendem a esse critério usando o valor do ApproximateLastSignInDateTime. Esses serão nossos candidatos à limpeza.
Nota: Lembre-se de escolher um período que faça sentido para o seu negócio, considerando casos como máquinas de usuários que possam ficar longos períodos offline (férias, licenças) para evitar falsos positivos. Em geral, muitos administradores adotam algo entre 90 a 180 dias de inatividade como critério, ajustando conforme a necessidade.
Gerenciar dispositivos inativos requer cautela e planejamento. Para garantir uma abordagem segura e eficiente, siga o cronograma abaixo:
- Identificar e desativar dispositivos Windows que não apresentam atividade há mais de 90 dias.
- Observar se algum colaborador enfrenta dificuldades de acesso relacionadas à desativação dos dispositivos. Observe se algum colaborador enfrenta dificuldades de acesso relacionadas à desativação dos dispositivos.
- Reativar os dispositivos desativados que ainda são necessários. Se um colaborador relatar problemas de acesso a serviços corporativos (como Outlook, SharePoint, Office, etc.) devido à desativação do dispositivo.
- Por fim, exclua definitivamente os dispositivos que permaneceram desativados após o período de monitoramento.
Atenção: Certifique-se de que as chaves de recuperação do BitLocker e outras informações importantes foram salvas antes da exclusão, pois essa ação é irreversível.
Hands-On – Desativando dispositivos Obsoletos sem atividades com mais de 90 dias
Primeiro passo é abrir o Powershell ISE, e executar o comando para conectar no tenant com as permissões necessárias. Eu particularmente gosto de usar o Powershell ISE, mas fique a vontade para usar o powershell tradicional se assim preferir.
Execute o comando abaixo para autenticar no tenant, com usuario que tenha permissão de Global Admin:
Connect-MgGraph -Scopes "Device.ReadWrite.All, Directory.ReadWrite.All"Depois que autenticar será solicitado as permissões, clique em Aceitar.
Desabilitar um dispositivo define sua propriedade AccountEnabled para false, o que na prática bloqueia autenticações futuras daquele dispositivo sem apagá-lo do diretório. Essa é considerada uma boa prática de segurança, garantindo um período de cortesia antes da exclusão, pois qualquer exclusão é irreversível.
Depois de autenticado, cole o script abaixo para desativar dipositivos sem atividade por pelo menos 90 dias.
$dt = (Get-Date).AddDays(-90)
$params = @{
accountEnabled = $false
}
$Devices = Get-MgDevice -All | Where {$_.ApproximateLastSignInDateTime -le $dt}
foreach ($Device in $Devices) {
Update-MgDevice -DeviceId $Device.Id -BodyParameter $params
}Alguns erros podem ocorrer durante a execução, pois falhas ao utilizar o comando Update-MgDevice estão relacionadas a uma limitação conhecida da API do Microsoft Graph, que afeta exclusivamente dispositivos com sistema operacional Windows. Esse comando não é aplicável para desativar dispositivos Android ou iOS, por exemplo.
Como resultado, valide se os dispositivos foram desativados, somente aqueles que estão sem atividades há mais de 90 dias. Na coluna Habilitado deve estar marcado como Não.
Excluindo dispositivos obsoletos (após o período de 30 dias)
A Microsoft sugere um período de carência (por exemplo, 30 dias) entre desabilitar e excluir um dispositivo. Isso oferece tempo para identificar possíveis impactos e restaurar dispositivos desabilitados por engano. No entanto, se sua equipe já validou que os dispositivos desabilitados podem ser excluídos imediatamente, a filtragem por data se torna opcional.
Seguindo as recomendações da Microsoft, após desativar os dispositivos e aguardar o período de 30 dias sem que nenhuma notificação tenha sido recebida pelos usuários, é o momento adequado para prosseguir com a exclusão definitiva desses dispositivos desativados.
Execute o powershell como administrador e conecte-se ao tenant com uma conta Global Admin.
Connect-MgGraph -Scopes "Device.ReadWrite.All, Directory.ReadWrite.All"Depois de conectar, execute o comando abaixo e todos os dispositivos inativos serão excluidos permanentemente.
$Devices = Get-MgDevice -All | Where-Object {
$_.AccountEnabled -eq $false
}
foreach ($Device in $Devices) {
Remove-MgDevice -DeviceId $Device.Id
}
Após a execução do comando, aguarde alguns minutos e valide se os dispositivos estão deletados no Microsoft Entra ID.
Deletando Dispositivos obsoletos no Intune.
Para realizar esse processo no Microsoft Intune, todo o processo é mais intuito e fácil de gerenciar. E não se engane, essa é outra etapa fundamental e importante para manter uma melhor gestão e higienização dos seus dispositivos gerenciados.
Acesse o Centro de Administração do Microsoft Intune >> Dispositivos >> Windows >> Organizar Dispositivos >> Regras de Limpeza de dispositivo.
Excluir dispositivos com base na data de último check-in: Sim
Excluir dispositivos que ainda não fizeram check-in para este número de dias: 90
Antes de Salvar, Exiba os dispositivos afetados e valide-os ante de salvar a regra de limpeza. Todo o processo será automatizado pelo intune, necessitando apenas fazer verificações periódicas no Microsoft Entra ID, para manter o ambiente seguro.
Chegamos ao fim desta jornada sobre o gerenciamento de dispositivos obsoletos no Microsoft Entra ID e Intune. Manter um ambiente limpo e organizado é essencial para a segurança e eficiência. Agora, queremos ouvir você! Compartilhe conosco sua experiência.
