Geräte ausphasen

Mehrere Geräte entfernen oder ausphasen

Beschreibung

Dieses Runbook phast mehrere Geräte anhand einer durch Kommas getrennten Liste von Geräte-IDs oder Seriennummern aus. Es kann optional Geräte in Intune zurücksetzen und die entsprechenden Entra ID-Geräteobjekte löschen oder deaktivieren. Optional kann jedes Gerät in Microsoft Defender for Endpoint mit einem Tag versehen werden, um es als von der Behebung ausgeschlossen zu markieren. HINWEIS: Der Ausschluss-Tag wird auf das Gerät angewendet, erscheint jedoch im Filter „Tags“ des Defender-Portals erst dann, wenn er einmal über das Portal erstellt wurde (Gerät > Tags verwalten > „Neuen Tag erstellen“).

Microsoft Defender for Endpoint-Ausschluss-Tag

Microsoft Defender for Endpoint verfügt über eine native Ausschlussstatus (wird im Filter des Geräteinventars angezeigt als Ausgeschlossen / Nicht ausgeschlossen). Dieser Status kann nur über das Defender-Portal festgelegt werden — es gibt keine API um den nativen Ausschlussstatus eines Geräts programmgesteuert festzulegen.

Da der native Ausschlussstatus nicht automatisiert werden kann, wendet dieses Runbook stattdessen ein benutzerdefiniertes Gerätetag an (Standard ExcludeFromRemediation) wenn Geräte von Microsoft Defender for Endpoint ausschließen aktiviert ist. Jedes Gerät in der Liste wird anhand seiner Entra ID-Geräte-ID nachgeschlagen und über POST /api/machines/{id}/tags, wodurch ein Kennzeichen bereitgestellt wird, das zum Filtern und Ansteuern ausgeschlossener Geräte verwendet werden kann.

Einmalige Einrichtung: den Tag filterbar machen

Der Filter des Portals Tags filter listet nur Tags auf, die über das Portal erstellt wurden. Ein ausschließlich über die API gesetzter Tag wird dem Gerät zugeordnet und auf der Geräteseite angezeigt, aber er wird zu im Tags-Filter von selbst angezeigt.

Damit der Ausschluss-Tag sichtbar und zum Filtern im Defender-Geräteinventarverwendbar ist, muss ein Gerät einmal manuell über das Portal mit einem Tag versehen werden (ein Gerät auswählen > Tags verwalten > „Neuen Tag erstellen“, mit exakt demselben Tag-Wert). Nach diesem einmaligen Schritt wird der Tag zu einem bekannten, filterbaren Tag, und dieses Runbook kann ihn in großem Umfang auf Geräte anwenden.

Hinweis: Dieser Tag ist nur eine Kennzeichnung — er setzt nicht den nativen Ausschlussstatus des Geräts und hat für sich allein keine Behebungswirkung. Er wird nur wirksam, wenn eine Defender-Gerätegruppe oder Automatisierungsregel ausdrücklich so konfiguriert ist, dass sie mit diesem Tag-Wert übereinstimmt. Solche Regeln stimmen den Tag-Wert direkt ab, unabhängig vom Portal Tags filter, sodass der einmalige manuelle Schritt nur beeinflusst, ob der Tag in der Portal-Benutzeroberfläche für Filterungen auswählbar ist.

Geräte, die per Seriennummer angegeben werden und in Intune nicht gefunden werden, besitzen keine Entra ID-Geräte-ID und werden daher in Defender nicht mit einem Tag versehen.

Siehe Geräte-Tags erstellen und verwalten für Details.

Ort

Organisation → Geräte → Geräte ausphasen

Vollständiger Runbook-Name

rjgit-org_devices_outphase-devices

Berechtigungen

Anwendungsberechtigungen

Typ: Microsoft Graph
- DeviceManagementManagedDevices.PrivilegedOperations.All
- DeviceManagementManagedDevices.ReadWrite.All
- DeviceManagementServiceConfig.ReadWrite.All
- Device.Read.All
Typ: WindowsDefenderATP
- Machine.Read.All
- Machine.ReadWrite.All

RBAC-Rollen

Cloud-Geräteadministrator

Der Tag, der dem Gerät in Microsoft Defender for Endpoint hinzugefügt wird, um es als ausgeschlossen zu markieren. Standardmäßig „ExcludeFromRemediation“.

Eigenschaft

Wert

Erforderlich

false

Standardwert

ExcludeFromRemediation

Typ

Zeichenfolge

Zur Übersicht der Runbook-Referenz zurück

Zuletzt aktualisiert vor 10 Tagen

War das hilfreich?