Veraltete Geräte, oder auch Stale Device genannt, sind in der IT-Verwaltung nicht nur lästig, sondern können auch ein Sicherheitsrisiko darstellen. Gerade in Microsoft Intune und Entra ID sammeln sich oft Altgeräte, die längst nicht mehr im Einsatz sind. Ohne eine gezielte Bereinigung kann das System schnell unübersichtlich werden.
In diesem Blog zeige ich Dir, wie du Stale Devices automatisiert erkennst und entfernst – effizient, sicher und mit wenig Aufwand.
Warum die Altgeräte (Stale Device) Bereinigung
so wichtig ist
Intune wie auch Microsoft Entra ID können sich im Laufe der Zeit zu einer Art „Müllhalde“ entwickeln. Geräte, die nicht mehr im Einsatz sind oder nie ordnungsgemäß entfernt wurden, verbleiben im System und sorgen für:
- Unübersichtliche Verwaltungsoberflächen
- Potenzielle Sicherheitslücken
- Erhöhten Aufwand bei Support und Inventur
Oft fehlt im Tagesgeschäft die Zeit, sich mit diesen Altlasten zu beschäftigen – dabei lässt sich das Ganze mit wenigen Schritten weitgehend automatisieren.
Gerätebereinigung in Microsoft Intune
Wir starten im Microsoft Intune Admin Center. Hier findest Du alle in Intune registrierten Geräte. Auch die Geräte, welche nicht mehr im Bestand sind oder gar nicht mehr in der eigenen Verwaltung liegen. Eine Möglichkeit wäre natürlich, alle Geräte einzeln durchzugehen und den letzten Syncstatus zu validieren. Eine weitere Möglichkeit ist, dies zu automatisieren. Dazu gehst Du unter Devices → Organize devices → Device cleanup rules. Hier wird aufgrund des letzten Syncstatus validiert, ob ein Stale Device aus dem Intune entfernt werden soll oder nicht.
Hinweis: Standardmäßig ist diese Funktion deaktiviert und muss von Dir aktiviert werden.
Hier kannst Du x Tage (z.B. 30 oder 60 Tage) definieren, um zu sehen welche Devices sich in dieser Zeit nicht angemeldet haben. Sobald Du auf View affected devices klickst, siehst Du welche Geräte in dieses Regelwerk fallen würden und wird diese automatisch für Dich entfernen.
So gehst Du vor:
Wichtig: Die Hardware ID wird bei der Entfernung nicht gelöscht – falls Du Autopilot nutzt, musst Du hier separat nacharbeiten.
Wege der Gerätebereinigung im Entra ID
Nur weil ein Gerät aus dem Intune entfernt wurde, heißt das noch nicht, dass es auch aus dem Entra ID verschwunden ist. Deshalb lohnt sich ein Blick in das Microsoft 365 Entra Admin Center. Gehe hierfür auf Microsoft Entra ID → Identitäten → Geräte → Übersicht.
Hier findest Du eine Übersicht über alle registrierten Geräte. Mit der Kategorie veraltete Geräte, sind die Stale Devices gemeint, die sich 6 Monate oder länger nicht mehr synchronisiert haben. Unter alle veralteten Geräte anzeigen kannst Du sehen, welche Geräte darunterfallen, inklusive:
Manuelle Bereinigung im Entra ID
Man kann die jeweilige Geräte manuell auswählen und entsprechend deaktivieren. Anschließend wird nach einer Bestätigung gefragt, ob Du dies auch wirklich machen möchtest.
Hinweis: Nutzer erhalten nach der Deaktivierung, falls das Gerät noch in Benutzung ist, alle 30 Minuten die Benachrichtigung „Ihr Administrator hat Ihr Gerät blockiert. Bitte wenden Sie sich an Ihre IT“.
Das ist ein guter Moment, um zum Beispiel alle 30 Tage oder einmal im Quartal, zu validieren. Indem Du schaust, ob neue Geräte dazu gekommen sind, diese dann zu markieren und zu deaktivieren.
Anschließend wartest Du noch 14 oder 30 Tage und löscht diese Stale Devices schlussendlich. Danach kann ein Gerät erst nach einer erneuten Registrierung im System landen. Das hier ist ein sehr stark manueller Task. Dieser Prozess kann natürlich potenziell auch noch weiter automatisiert werden.
Offizielle Anleitung von Microsoft: Eine ausführliche Dokumentation von Microsoft direkt, findest Du hier auf Microsoft Learn: Veraltete Geräte verwalten.
Automatisierung mit PowerShell und Microsoft Graph
Für eine noch effektivere Lösung bietet sich die Automatisierung per PowerShell ISE, mit dem Microsoft Graph Modul, an.
Vorgehensweise:
Mit dieser Liste kannst Du durchgehen, welche veralteten Geräte noch benötigt werden und welche nicht mehr. Du kannst danach entweder einzeln die Devices löschen oder eben automatisiert über die Zeilen 8-12.
Das passende Skript hierfür:
1 $dt = (Get-Date).AddDays(-90)
2 $params = @{
3 accountEnabled = $false
4 }
5
6 $Devices = Get-MgDevice -All | Where {$_.ApproximateLastSignInDateTime -le $dt}
7 foreach ($Device in $Devices) {
8 Update-MgDevice -DeviceId $Device.Id -BodyParameter $params
9 }
10
11 $dt = (Get-Date).AddDays(-120)
12 $Devices = Get-MgDevice -All | Where {($.ApproximateLastSignInDateTime -le $dt) -
and($.AccountEnabled -eq $false)}
13 foreach ($Device in $Devices) {
14 Remove-MgDevice -DeviceId $Device.Id
15 }
16
Nun liegt es an Dir, ob du alle 30 Tage das Script selbst laufen lassen möchtest. Oder ob Du es automatisierst über einen Automatisierungsaccount in Azure vornehmen lassen möchtest.
Das Skript findest du auch auf GitHub.
Fazit und Empfehlungen
Die regelmäßige Bereinigung von Stale Device in Intune und Entra ID ist essenziell für eine sichere und übersichtliche IT-Umgebung. Mit den gezeigten Methoden – von Cleanup-Regeln über manuelle Deaktivierung bis zur PowerShell-Automatisierung – hast Du alle Werkzeuge an der Hand, um Deinen Gerätebestand schlank und aktuell zu halten.
Nutze die Möglichkeiten, die Dir Microsoft mit Intune, Entra ID und dem Graph-API bietet –automatisiert, effizient und sicher.
Bereit, Deinen Microsoft 365 Tenant auf das nächste Level zu bringen?
Wenn Du Expertenberatung oder praktische Hilfe bei der Implementierung dieser Strategien benötigst, kontaktiere mich bitte über das Kontaktformular unten. Ein sicherer Tenant ist entscheidend für den Schutz sensibler Daten. Gemeinsam werden wir eine sichere, effiziente Umgebung gestalten, die Deine sich entwickelnden Geschäftsanforderungen unterstützt.
Ich hoffe, dieser Beitrag hat Dir einen guten Überblick und ersten Eindruck vermittelt, wie Du Deine Microsoft 365 Umgebung absichern und Altgeräte automatisiert entfernen kannst.
Schau Dir doch auch die anderen Tutorials und Tipps an, die ich bereits auf meinem „Blog“ geteilt habe. Dort findest Du weitere Beiträge zu Microsoft Security-relevanten Themen – z. B. zu Microsoft MFA Bypass zu verhindern, Identity protection mit Entra ID, Conditional Access und Exchange Online Protection.
Ich bin stets bemüht, die aktuellen Themen und Fragestellungen meiner Kunden zu beantworten, um Dich bei der Arbeit mit der Microsoft Cloud Security und anderen Microsoft 365 Produkten zu unterstützen.
Wenn Du Fragen hast, melde Dich sehr gerne bei mir und vereinbare direkt ein kostenloses Gespräch mit mir – Aaron Siller.
