Dar de baja dispositivos
Eliminar o retirar gradualmente varios dispositivos
Descripción
Este runbook retira varios dispositivos de forma progresiva en función de una lista separada por comas de IDs de dispositivo o números de serie. Opcionalmente, puede borrar los dispositivos en Intune y eliminar o deshabilitar los objetos de dispositivo correspondientes de Entra ID. Opcionalmente, cada dispositivo puede etiquetarse en Microsoft Defender for Endpoint para marcarlo como excluido de la remediación. NOTA: La etiqueta de exclusión se aplica al dispositivo, pero solo aparece en el filtro "Tags" del portal de Defender una vez que se ha creado una vez mediante el portal (Device > Manage tags > "Create new tag").
etiqueta de exclusión de Microsoft Defender for Endpoint
Microsoft Defender for Endpoint tiene un estado de exclusión (mostrado en el filtro de Inventario de dispositivos como Excluido / No excluido). Este estado solo puede establecerse a través del portal de Defender — no existe ninguna API para establecer programáticamente el estado nativo de exclusión de un dispositivo.
Como el estado nativo de exclusión no se puede automatizar, este runbook aplica en su lugar una etiqueta personalizada de dispositivo (predeterminada ExcludeFromRemediation) cuando Excluir dispositivos de Microsoft Defender for Endpoint está habilitada. Cada dispositivo de la lista se busca mediante su ID de dispositivo de Entra ID y se etiqueta a través de POST /api/machines/{id}/tags, proporcionando un marcador que puede usarse para filtrar y dirigir los dispositivos excluidos.
Configuración única: hacer que la etiqueta sea filtrable
El filtro Tags del portal solo muestra las etiquetas que se crearon a través del portal. Una etiqueta establecida únicamente mediante la API se adjunta al dispositivo y es visible en la página del dispositivo, pero no devolvería aparece por sí sola en el filtro Tags.
Para hacer que la etiqueta de exclusión sea visible y utilizable para filtrar en el Inventario de dispositivos de Defender, un cliente debe etiquetarse manualmente una vez a través del portal (seleccione un dispositivo > Administrar etiquetas > "Create new tag", usando exactamente el mismo valor de etiqueta). Después de este paso único, la etiqueta se convierte en una etiqueta conocida y filtrable, y este runbook puede aplicarla a dispositivos a gran escala.
Nota: Esta etiqueta es solo una etiqueta — no establece el estado nativo de exclusión del dispositivo y por sí sola no tiene efecto sobre la remediación. Solo surte efecto si un grupo de dispositivos de Defender o una regla de automatización se configura explícitamente para coincidir con este valor de etiqueta. Dichas reglas coinciden directamente con el valor de la etiqueta, independientemente del portal Tags filtro, por lo que el paso manual único solo afecta a si la etiqueta puede seleccionarse para filtrar en la interfaz de usuario del portal.
Los dispositivos proporcionados por número de serie que no se encuentran en Intune no tienen ID de dispositivo de Entra ID y, por lo tanto, no se etiquetan en Defender.
Ver Crear y administrar etiquetas de dispositivo para más detalles.
Ubicación
Organización → Dispositivos → Retirar dispositivos
Nombre completo del runbook
rjgit-org_devices_outphase-devices
Permisos
Permisos de aplicación
Tipo: Microsoft Graph
DeviceManagementManagedDevices.PrivilegedOperations.All
DeviceManagementManagedDevices.ReadWrite.All
DeviceManagementServiceConfig.ReadWrite.All
Device.Read.All
Tipo: WindowsDefenderATP
Machine.Read.All
Machine.ReadWrite.All
Roles RBAC
Administrador de dispositivos en la nube
Parámetros
DeviceListChoice
Determina si la lista contiene IDs de dispositivo o números de serie.
Requerido
verdadero
Valor predeterminado
0
Tipo
Int32
DeviceList
Lista separada por comas de IDs de dispositivo o números de serie.
Requerido
verdadero
Valor predeterminado
Tipo
Cadena
intuneAction
Determina si se debe borrar el dispositivo, eliminarlo de Intune o omitir las acciones de Intune.
Requerido
falso
Valor predeterminado
2
Tipo
Int32
aadAction
Determina si se debe eliminar el dispositivo de Entra ID, deshabilitarlo u omitir las acciones de Entra ID.
Requerido
falso
Valor predeterminado
2
Tipo
Int32
wipeDevice
Indicador interno derivado de intuneAction.
Requerido
falso
Valor predeterminado
Verdadero
Tipo
Booleano
removeIntuneDevice
Indicador interno derivado de intuneAction.
Requerido
falso
Valor predeterminado
Falso
Tipo
Booleano
removeAutopilotDevice
"Eliminar el dispositivo de Autopilot" (valor final: true) o "Mantener el dispositivo en Autopilot" (valor final: false) controla si se elimina el dispositivo de la base de datos de Autopilot.
Requerido
falso
Valor predeterminado
Verdadero
Tipo
Booleano
removeAADDevice
Indicador interno derivado de aadAction.
Requerido
falso
Valor predeterminado
Verdadero
Tipo
Booleano
disableAADDevice
Indicador interno derivado de aadAction.
Requerido
falso
Valor predeterminado
Falso
Tipo
Booleano
excludeFromDefender
Si se establece en true, cada dispositivo se etiquetará en Microsoft Defender for Endpoint con la etiqueta de exclusión especificada. Si se establece en false, el paso de Defender se omitirá por completo.
Requerido
falso
Valor predeterminado
Falso
Tipo
Booleano
defenderExclusionTag
La etiqueta que se agregará al dispositivo en Microsoft Defender for Endpoint para marcarlo como excluido. El valor predeterminado es "ExcludeFromRemediation".
Requerido
falso
Valor predeterminado
ExcludeFromRemediation
Tipo
Cadena
Última actualización
¿Te fue útil?