HOWTO: 使用 Intune 远程停用设备

回顾：

"HOWTO: 使用 Intune 远程重启设备"

"Windows Autopilot 网络要求"

"HOWTO: 为现有设备添加 Windows Autopilot 配置支持"

“HOWTO: 收集 DeviceID 用于测试 Windows Autopilot”

"HOWTO: 将收集的 Windows Autopilot DeviceID 添加到 Intune"

"HOWTO: 在 Intune 中为 Windows Autopilot 部署创建设备组"

"HOWTO: 在 Intune 中创建 Windows Autopilot 配置文件"

"HOWTO: 使用 Intune 部署 Microsoft Edge"

        今天 gOxiA 将继续分享 Intune 中的设备管理功能 - 停用（Retire），使用“停用”可以删除托管设备上的应用数据、设置和电子邮件配置文件等内容，但是会将用户个人数据保留在设备上，整体的体验像是之前退域一样。当我们在 Intune 后台设备管理中点击“停用”后会显示停用设备的说明，其重点是此设备将不再由 Intune 托管，且不能再访问公司资源，由 Intune 部署的“现代应用”会被卸载，但不会卸载已经部署的 Win32 应用，Win32 应用包含的数据仍会保留在设备中，用户数据也不会被清理掉。

        即使 AAD 账号已经登录，也可以使用“停用”，当停用执行完毕后会看到如下图的通知，当打开 Outlook 时会遇到修复提示，如果此时重启系统你会发现登录界面将会显示最后一次登录的 AAD 账号名称，但是您无法使用密码登录，因为该计算机上的 AAD 账号已经被移除，此时如果用户希望登录系统必须进入 Windows 的安全模式，在 Windows 安全模式下可以使用本地管理员 - Administrator 账号登录（密码为空），进入系统后可以创建一个新的本地管理员账号，用于从正常启动环境登录系统桌面。

        登录系统后，你可以在 Users 目录中看到以往登录的用户账户目录，可以提取其中的用户数据。下表展示了“停用”后主要清理的内容：

Intune安装的公司应用和关联数据：卸载应用，删除bypass加载密钥，不会删除Office365专业版，不会卸载 Win32应用。

设置：不再强制实施 Intune 下发的策略。

WiFi和VPN配置文件设置：相关设置会被删除。

证书配置文件设置：删除并吊销证书。

电子邮件：删除已启用EFS的电子邮件及附件，并删除由 Intune 预配的邮件账户。

AzureAD脱离： 删除 AAD 记录。

        前面 gOxiA 说过停用会保留用户数据，其中就包括 OneDrive for Business 中的数据，所以组织 IT 人员在使用“停用”时一定要进行谨慎的评估，这意味着 AAD 用户的数据会被保留在设备上，但设备将不再受到组织管控。在停用设备后，用户可以重新加入到 AAD 并托管到 Intune 中，此时用 AAD 账号登录会继续使用之前匹配的用户目录。