设备卸载代理可跨Intune和 Entra ID 识别过时或未对齐的设备,提供可作的见解,并在卸载任何设备之前需要管理员批准。 设备卸载代理通过提供见解和处理自动清理可能不够的不明确情况来补充现有的Intune自动化。
先决条件
云要求
代理仅在公有云上受支持。 政府云不支持它。
许可要求
若要在 Microsoft Intune 中使用 Security Copilot 代理,组织必须满足特定的许可要求。
所需许可证:
- Microsoft Intune 计划 1订阅
- 具有足够安全计算单元的智能 Microsoft Security Copilot 副驾驶® (SCU)
插件要求
插件使Security Copilot代理能够与Microsoft服务连接并执行专用作。
设备卸载代理需要以下插件:
设备平台要求
代理支持跨多个平台(包括 Windows、iOS/iPadOS、macOS、Android 和 Linux)Intune管理的设备。
它适用于公司拥有的和 BYOD (自带设备) 方案。代理不支持:
- 已加入混合 Entra 的 Windows 设备
- Windows Autopilot 设备
- 共享设备
- Microsoft Teams 电话
角色要求
角色要求因是配置代理还是使用它以及执行的特定作而异。
若要 启用、 配置和 删除 设备卸载代理,请使用具有以下角色的帐户:
Intune角色,其中之一:
Entra 角色,其中之一:
Security Copilot角色:
若要 使用 代理并执行卸载作,请使用至少具有以下角色的帐户:
- 安全信息读取者
- 具有 Microsoft.Directory/Devices/Standard/读取权限的自定义角色
若要从代理内部执行作(例如 在 Entra 中禁用设备),必须具有 “禁用设备” 权限。 无需此权限即可运行或查看代理的结果。
运作方式
为了支持安全高效的设备生命周期管理,设备卸载代理执行了一系列自动评估和作。 下面是其工作流的细分:
1. 信号聚合
设备卸载代理首先聚合来自Microsoft Intune和Microsoft Entra ID的信号。 这些信号包括有助于确定设备是活动、过时还是配置错误的指示器。
2. 评估
代理使用预定义逻辑和管理员提供的任何可选 自定义指令 评估每个设备。
3. 建议
基于此评估,代理生成用于标记要卸载的设备的建议,以及建议的作及其背后的理由。
4. 管理员审批
未经显式管理员批准,不会对设备进行任何更改。 代理提供详细的建议,但最终决定卸载设备由 IT 管理员决定。
5. 辅助修正
管理员批准后,设备卸载代理将禁用相应的 Entra ID 对象。 它还通过提供有关其他修正步骤(例如从 Microsoft Defender 或 Apple Business Manager 中删除设备)的指导来促进卸载过程。
代理标识
设备卸载代理在安装期间使用的Intune管理员帐户的标识和权限下运行。 其作仅限于该帐户的权限,并且每次运行时都会刷新标识。 如果代理未连续运行 90 天,则其身份验证将过期,后续运行将失败,直到续订。 若要维护功能,请在 90 天限制之前 续订代理 标识。
作注意事项
在运行设备卸载代理之前,请注意以下事项:
- 管理员必须手动启动代理;启动后,它无法暂停或停止。
- 管理员只能从Microsoft Intune管理中心启动代理。
- 只有设置代理的管理员可以在智能 Microsoft Security Copilot 副驾驶®门户中查看会话详细信息。
- 代理标识过去 30 天内已停用、擦除或删除Intune的设备。
- 代理将结果限制为前 10,000 台设备。
- 管理员批准注销后,代理将禁用 Entra ID 对象。 其他修正步骤作为管理员的说明提供。
- 代理不会跨运行保留建议;重新运行会清除前面的建议。
- 每个租户仅支持一个代理实例。
重要
代理报告的数据通过代理建议显示。 有权访问 Intune 管理中心中代理的管理员可能会看到此信息,即使该信息包括Microsoft Entra ID中分配的管理单元 (OU) 的数据也是如此。
启用代理
若要启用设备卸载代理,请执行以下步骤:
- 在Microsoft Intune管理中心,选择“代理”,然后选择要启用的代理。
- 选择“ 设置代理 ”以打开设置窗格。
- 查看详细信息以确保满足要求,然后选择“ 启动代理”。
代理将一直运行到完成,然后在“ 概述 ”选项卡中显示其结果。
配置自定义说明
根据组织的需求,使用自定义说明来指导代理的逻辑。 自定义说明有助于优化代理的评估条件,从而允许在卸载建议中包含或排除特定设备。
这些说明可用于:
- 包括或排除特定对象 ID。
- 设置设备活动的阈值。
例如,如果你的组织具有你不想标记用于卸载的高管设备,则可以使用自定义说明来排除它们。 如果没有此排除,代理可能会检测到这些设备上的标识不匹配,并使用 SCU 来建议卸载,即使它不适合。 自定义说明可根据组织需求指导代理的逻辑,从而帮助你防止此问题。
自定义指令在代理运行之间保留,因此设置它们后,每次运行代理时都会对其进行评估。 可以随时在 “设置” 选项卡中更改自定义说明并重新运行代理。 建议中的 “因素” 部分突出显示了在形成要退出的建议设备列表时要考虑哪些自定义指令的详细信息。
配置自定义说明:
- 在Microsoft Intune管理中心,选择“代理>设备卸载代理” (预览版) 。
- 选择“设置”选项卡。
- 在 “说明” 字段中,输入自定义代理评估条件的提示。
可以使用的自定义说明示例
排除具有 ID 的设备 [...]
排除在 [...] 之后具有最后一个活动的设备
排除上次活动在 [...] 之前的设备
仅包含具有 ID 的设备 ...
重要
如果包含一个或多个 deviceId,并且在过去 30 天内没有停用、擦除或删除它们,则代理将无法运行。
仅包括在之后具有最后一个活动的设备。
仅包括上次活动在 [...] 之前的设备
续订代理
代理在处于非活动状态 90 天后过期。 身份验证过期后,代理运行会失败,直到你重新进行身份验证。 可以随时续订身份验证。
随着过期时间的临近,Intune在代理概述页上显示警告。 Copilot 所有者和 Copilot 参与者都可以看到此横幅,提示你续订代理标识。
若要续订代理,请执行以下作:
- 打开智能 Microsoft Security Copilot 副驾驶®管理中心,并使用具有所需权限的帐户登录。
- 选择“ 代理”。
- 找到需要续订的代理,然后选择“ 转到代理”。
- 在“代理详细信息”页上,选择“ ...”,然后选择“ 编辑”。
- 选择“ 续订身份验证”。 默认情况下,代理使用登录凭据。 若要使用不同的凭据,请选择“ 重新进行身份验证 ”并提供凭据。
续订后,警告横幅将消失,并且 Toast 通知确认成功。
删除代理
删除代理时,将删除生成的所有关联数据,包括建议和活动。 以前应用的建议保持不变。
删除代理实例的步骤:
- 在Microsoft Intune管理中心,选择“代理”。
- 选择要删除的代理实例。
- 选择“ 删除代理 ”并确认删除。
删除后:
- 代理窗格将返回到其原始状态。
- 管理员可以稍后通过重复安装过程重新安装代理。
帮助塑造Intune代理的未来
加入我们Intune代理反馈论坛,分享见解并影响Microsoft Intune即将推出的功能。
注册并了解详细信息: https://aka.ms/IntuneAgentsForum