No Intune, dispositivos com ownership Personal que estejam Noncompliant podem ser deletados, mas é muito importante entender o que “deletar” significa no contexto do Intune, porque o impacto varia bastante conforme a ação escolhida.
Quando falamos em “deletar”, existem ações diferentes que as pessoas costumam confundir.
Se você apenas excluir o dispositivo do Intune (Delete device), o que acontece é o seguinte. O registro do aparelho é removido do Intune e do Microsoft Entra ID, mas nenhum dado é apagado fisicamente do dispositivo. O celular ou computador continua funcionando normalmente, com todos os arquivos pessoais intactos. O impacto real é que o aparelho perde o gerenciamento. Ele deixa de receber políticas, perfis, aplicativos corporativos e deixa de ser avaliado por compliance. Para dispositivos Personal, essa é a ação mais comum quando o aparelho não está em conformidade e não faz mais sentido mantê-lo gerenciado.
Se a ação for Wipe, aí o cenário muda completamente. O Wipe apaga dados do dispositivo. Em aparelhos Personal, o Intune normalmente executa um factory reset completo, apagando tudo, inclusive dados pessoais. Por isso, essa ação não é recomendada para dispositivos pessoais, a menos que exista um risco real de segurança e isso esteja claramente descrito na política da empresa e aceito pelo usuário.
Existe ainda o Retire, que é a ação mais segura para Personal. Nesse caso, apenas os dados corporativos são removidos. Contas corporativas, e-mail, apps gerenciados e perfis MDM são apagados, mas fotos, apps pessoais e arquivos do usuário permanecem intactos. Para dispositivos Noncompliant pessoais, essa costuma ser a melhor prática quando você quer encerrar o vínculo sem causar impacto ao usuário.
Quando você executa Retire em um dispositivo, seja ele computador ou celular com ownership Personal, o Intune faz a remoção do gerenciamento MDM e remove todos os dados corporativos daquele aparelho. Isso inclui contas corporativas, certificados, perfis de configuração, apps implantados pelo Intune e tokens de acesso. Após o processo, o dispositivo não é mais gerenciado pelo Intune e, na prática, deixa de fazer parte do seu tenant do ponto de vista de gerenciamento.
O que acontece no inventário depende da plataforma. Em celulares Android e iOS, após o Retire, o dispositivo normalmente desaparece automaticamente da lista de dispositivos do Intune depois de algum tempo, porque não existe mais vínculo MDM nem identidade ativa associada. No Windows, o comportamento é um pouco diferente: o Retire remove o MDM, mas o objeto do dispositivo pode permanecer visível no Intune e no Entra ID por um período, aparecendo como não gerenciado ou inativo, até que você faça a exclusão manual ou até rodar políticas de limpeza automática.
Ou seja, o Retire desassocia o dispositivo do tenant em termos de acesso e gerenciamento, mas nem sempre apaga imediatamente o registro do inventário. Para isso, a ação correta depois é o Delete device, que remove o objeto do Intune e do Entra ID.
Ou seja, para computadores e celulares, o Retire remove dados corporativos e encerra o vínculo MDM. O aparelho não consegue mais acessar recursos do tenant. Em celulares, ele tende a sumir sozinho do inventário. Em Windows, pode ficar listado até você excluir manualmente. Se a sua intenção é “limpar” totalmente o tenant, o fluxo ideal é Retire primeiro, depois Delete.
Sobre compliance em si, é importante entender que o status Noncompliant não dispara exclusão automática do dispositivo. O Intune não deleta dispositivos só porque eles estão fora de conformidade. O que normalmente acontece é o bloqueio de acesso aos recursos corporativos por meio de Acesso Condicional, como Exchange, SharePoint, Teams e outros.
Para dispositivos da empresa (Company-owned), as ações do Intune têm impacto maior do que em aparelhos pessoais.
Quando você executa Retire em um dispositivo Company, o Intune remove o gerenciamento MDM e os dados corporativos, mas não apaga o dispositivo fisicamente. Em computadores Windows, isso significa que o equipamento sai do gerenciamento, perde políticas, perde apps corporativos e deixa de cumprir compliance. Porém, por ser um ativo da empresa, essa ação normalmente não é a prática recomendada, porque o equipamento fica “solto”, fora de controle. Em celulares corporativos, o Retire também remove perfis e apps corporativos, mas o comportamento depende do modo de inscrição, como Android Enterprise Fully Managed ou Corporate-owned with Work Profile.
Quando a ação é Wipe, em dispositivos Company, o impacto é total. O aparelho é restaurado para estado de fábrica. Em Windows, ocorre o reset do sistema operacional. Em Android e iOS corporativos, o dispositivo volta para o estado inicial de provisionamento. Essa é a ação correta para equipamentos corporativos quando há desligamento, reutilização ou incidente de segurança.
Já o Delete device remove apenas o registro do dispositivo no Intune e no Entra ID, não apaga dados localmente. Porém, em dispositivos Company, isso pode causar um problema operacional sério, porque o equipamento continua fisicamente com dados e sistema, mas sem gestão nenhuma, o que quebra governança e segurança. Por isso, em company-owned, o Delete normalmente é usado após um Wipe ou quando o dispositivo já não existe mais.
Para àqueles que precisam ingressar um dispositivo removido do tenant, a ação é totalmente viavél, tanto para aparelhos pessoais quanto corporativos.
Para dispositivos pessoais, isso é simples. O usuário pode reenrolar o dispositivo normalmente, instalando novamente o Company Portal ou refazendo o login corporativo. Não há bloqueio permanente, a menos que você tenha políticas que limitem inscrições, como restrição por tipo de dispositivo, sistema operacional ou limite máximo por usuário.
Para dispositivos da empresa, o reingresso depende do método de inscrição. Em Windows com Entra ID Join ou Autopilot, o dispositivo pode ingressar novamente após um Wipe ou reset, desde que o hardware ainda esteja registrado ou seja reenrolado no Autopilot. Em Android corporativo, dispositivos Fully Managed ou COPE podem ser reconfigurados após Wipe usando o QR Code, zero-touch ou token corporativo. Em iOS corporativo, dispositivos supervisionados via Apple Business Manager voltam ao tenant automaticamente após o reset, desde que ainda estejam atribuídos à organização.
Existe apenas um cuidado importante: se você apagar o objeto do dispositivo no Entra ID, mas não fizer Wipe, o dispositivo pode ter problemas para realizar o re-enrollment, principalmente em Windows, por causa de resíduos de registro antigo. Nesses casos, o reset do sistema ou limpeza completa resolve.
Quando você exclui um dispositivo pelo Intune (Delete device), o registro do dispositivo é removido do Intune e o objeto do dispositivo também é removido do Microsoft Entra ID - isso vale tanto para dispositivos pessoais quanto corporativos, desde que o objeto não esteja protegido por algum outro serviço que mantenha a identidade ativa. Então, respondendo direto: sim, ao excluir pelo Intune, o objeto “restrito” (device object) do Entra ID normalmente é apagado também.
O ponto crítico é o Microsoft Defender for Endpoint, já que o mesmo não depende do Intune para existir e mantém o próprio inventário. Quando você exclui um dispositivo no Intune, o registro no Defender não é apagado automaticamente. O que normalmente acontece é que o device fica marcado como Inactive no Defender depois de um período sem heartbeat, mas ele continua listado. Em ambientes com exigência de limpeza de inventário, isso costuma gerar confusão.
Me acompanhe em outras redes sociais: iamjuliaribeiro | Instagram, Twitch | Linktree
Comments
Post a Comment