Guide pratique pour gérer les appareils obsolètes dans Microsoft Entra ID

Dans l’idéal, pour compléter le cycle de vie, les appareils inscrits devraient être désinscrits si personne ne s’en sert plus. Entre la perte, le vol et la casse d’appareils ou encore les réinstallations de système d’exploitation, vous avez forcément des appareils obsolètes dans votre environnement. En tant qu’administrateur informatique, vous avez probablement besoin d’une méthode pour supprimer les appareils obsolètes et ainsi pouvoir consacrer vos ressources à la gestion des appareils qui en ont réellement besoin.

Cet article vous apprend à gérer efficacement les appareils obsolètes présents dans votre environnement.

Qu’est qu’un appareil obsolète ?

Un appareil obsolète est un appareil inscrit à Microsoft Entra ID qui n’a pas accédé à des applications cloud pendant une période spécifique. Les appareils obsolètes ont un impact sur votre capacité à gérer et prendre en charge vos utilisateurs et appareils associés au locataire, et ce, pour les raisons suivantes :

  • Les appareils dupliqués peuvent rendre compliquée l’identification de l’appareil actuellement actif par le personnel du support technique.
  • Un nombre accru d’appareils entraîne des réécritures d’appareil inutiles qui augmentent la durée des synchronisations Microsoft Entra Connect.
  • Par souci d’hygiène générale et de respect de la conformité, vous voudrez probablement avoir des appareils propres.

Les appareils obsolètes dans Microsoft Entra ID peuvent interférer avec les stratégies générales de cycle de vie des appareils de votre organisation.

Détecter les appareils obsolètes

Un appareil obsolète se définit comme un appareil inscrit qui n’a pas été utilisé pour accéder à des applications cloud depuis un certain temps. Par conséquent, la détection des appareils obsolètes demande une propriété d’horodatage. Dans Microsoft Entra ID, cette propriété est appelée ApproximateLastSignInDateTime ou timestamp d’activité. Si la différence entre le moment présent et la valeur de l’horodatage de l’activité dépasse la plage de temps que vous avez définie pour les appareils actifs, l’appareil est considéré comme obsolète. Ce timestamp d’activité est actuellement disponible en préversion publique.

Comment la valeur du timestamp d’activité est-elle gérée ?

L’évaluation du timestamp d’activité est déclenchée par la tentative d’authentification d’un appareil. Microsoft Entra ID évalue le timestamp de l’activité dans les cas suivants :

  • Une stratégie d’accès conditionnel exigeant des appareils gérés ou des applications clientes approuvées a été déclenchée.
  • Les appareils Windows 10 ou ultérieur qui sont joints à Microsoft Entra ou à Microsoft Entra hybride sont actifs sur le réseau.
  • Des appareils gérés par Intune ont fait l’objet d’un archivage dans le service.

Si la différence entre la valeur existante du timestamp d’activité et la valeur actuelle est supérieure à 14 jours (écart de +/-5 jours), la valeur existante est remplacée par la nouvelle valeur.

Comment faire pour obtenir le timestamp d’activité ?

Vous pouvez récupérer la valeur du timestamp d’activité de deux façons :

  • La colonne Activité de la page Tous les appareils.

    Capture d'écran répertoriant le nom, le propriétaire et d'autres informations sur les appareils. Une colonne indique l'heure de l'activité.

  • La Cmdlet Get-MgDevice.

    Capture d’écran montrant la sortie de la ligne de commande. Une ligne est mise en évidence et répertorie un timestamp pour la valeur ApproximateLastSignInDateTime.

Planifier le nettoyage de vos appareils obsolètes

Pour nettoyer efficacement les appareils obsolètes de votre environnement, vous devez définir une stratégie associée. Cette stratégie vous aide à vous assurer que vous capturez toutes les considérations relatives aux appareils obsolètes. Les sections suivantes offrent des exemples de considérations généralement prises en compte dans une stratégie.

Attention

Si votre organisation utilise le chiffrement de lecteur BitLocker, vous devez vous assurer que les clés de récupération BitLocker sont sauvegardées ou que vous n’en avez pas besoin avant de supprimer des appareils. L’échec de cette opération peut entraîner une perte de données.

Si vous utilisez des fonctionnalités, telles qu’Autopilot ou Impression universelle, ces appareils doivent être nettoyés dans leur portail d’administration respectif.

Compte de nettoyage

Pour mettre à jour un appareil dans Microsoft Entra ID, vous avez besoin d’un compte auquel un des rôles suivants est attribué :

Dans votre stratégie de nettoyage, sélectionnez des comptes auxquels les rôles requis sont assignés.

Délai d’exécution

Définissez une plage de temps qui servira d’indicateur pour un appareil obsolète. Quand vous définissez votre plage de temps, considérez la fenêtre indiquée pour mettre à jour le timestamp d’activité dans votre valeur. Par exemple, n’utilisez pas un timestamp inférieur à 21 jours (écart compris) comme indicateur pour un appareil obsolète. Dans certains scénarios, un appareil peut apparaître comme obsolète alors qu’il ne l’est pas. Par exemple, le propriétaire de l’appareil concerné peut être en vacances ou en arrêt maladie dont la durée dépasse la plage de temps définie pour les appareils obsolètes.

Désactivation d’appareils

Il n’est pas recommandé de supprimer immédiatement un appareil apparaissant comme obsolète. En effet, en cas de faux positif, vous ne pouvez pas annuler la suppression. La meilleure pratique consiste à désactiver l’appareil pour une période de grâce avant de le supprimer. Dans votre stratégie, définissez une plage de temps pour désactiver un appareil avant de le supprimer.

Appareils contrôlés par une solution GPM

Si votre appareil est contrôlé par Intune ou toute autre solution MDM (Mobile Device Management), retirez-le du système de gestion avant de le désactiver ou de le supprimer. Pour plus d’informations, consultez l’article Supprimer des appareils à l’aide de la réinitialisation, de la mise hors service ou de la désinscription manuelle de l’appareil.

Appareils gérés par le système

Ne supprimez pas des appareils gérés par le système. Il s’agit souvent d’appareils comme Autopilot. Une fois supprimés, ces appareils ne peuvent pas être reprovisionnés.

Périphériques hybrides joints Microsoft Entra

Vos appareils joints à Microsoft Entra hybride doivent suivre vos stratégies de gestion des appareils obsolètes locaux.

Pour nettoyer Microsoft Entra ID :

  • Appareils Windows 10 ou ultérieur : désactivez ou supprimez les appareils Windows 10 ou ultérieur dans votre AD local, et laissez Microsoft Entra Connect synchroniser l’état modifié des appareils sur Microsoft Entra ID.
  • Windows 7/8 : commencez par désactiver ou supprimer les appareils Windows 7/8 dans votre service AD local. Vous ne pouvez pas utiliser Microsoft Entra Connect pour désactiver ou supprimer des appareils Windows 7/8 dans Microsoft Entra ID. Au lieu de cela, quand vous apportez la modification à votre environnement local, vous devez désactiver/supprimer les appareils dans Microsoft Entra ID.

Remarque

  • Le fait de supprimer des appareils dans votre annuaire Active Directory ou Microsoft Entra ID local ne supprime pas l’inscription sur le client. Il empêche seulement l’accès aux ressources en utilisant l’appareil en tant qu’identité (comme l’accès conditionnel). Pour plus d’informations, reportez-vous à la section sur la suppression de l’inscription sur le client.
  • La suppression d’un appareil Windows 10 ou ultérieur seulement dans Microsoft Entra ID resynchronise l’appareil depuis votre environnement local en utilisant Microsoft Entra Connect, mais sous la forme d’un nouvel objet avec l’état « En attente ». Une nouvelle inscription est nécessaire sur l’appareil.
  • La suppression d’appareils Windows 10 ou ultérieur/Windows Server 2016 de l’étendue de synchronisation supprime l’appareil Microsoft Entra. Si vous l’ajoutez de nouveau à l’étendue de synchronisation, un nouvel objet est placé avec l’état « En attente ». Une réinscription de l’appareil est nécessaire.
  • Si vous n’utilisez pas Microsoft Entra Connect pour la synchronisation des appareils Windows 10 ou ultérieur (par exemple en utilisant SEULEMENT AD FS pour l’inscription), vous devez gérer le cycle de vie de la même façon que pour les appareils Windows 7/8.

Microsoft Entra Appareils joints

Désactivez ou supprimez les appareils joints à Microsoft Entra dans Microsoft Entra ID.

Remarque

  • La suppression d’un appareil Microsoft Entra ne supprime pas l’inscription sur le client. Il empêche seulement l’accès aux ressources en utilisant l’appareil en tant qu’identité (comme l’accès conditionnel).
  • En savoir plus sur la dissociation dans Microsoft Entra ID

Appareils enregistrés Microsoft Entra

Désactivez ou supprimez les appareils inscrits auprès de Microsoft Entra dans Microsoft Entra ID.

Remarque

  • La suppression d’un appareil inscrit auprès de Microsoft Entra dans Microsoft Entra ID ne supprime pas l’inscription sur le client. Il empêche seulement l’accès aux ressources en utilisant l’appareil en tant qu’identité (comme l’accès conditionnel).
  • Pour plus d’informations, reportez-vous à la section sur la suppression d’une inscription sur le client.

Nettoyer les appareils obsolètes

Vous pouvez nettoyer les appareils obsolètes dans le Centre d’administration Microsoft Entra, mais il est plus efficace de gérer ce processus en utilisant un script PowerShell. Utilisez le dernier module PowerShell V2 pour utiliser le filtre d’horodatage et filtrer les appareils gérés par le système comme Autopilot.

La procédure classique se déroule comme suit :

  1. Se connecter à Microsoft Entra ID en utilisant la cmdlet Connect-MgGraph
  2. Obtenir la liste des appareils.
  3. Désactivez l’appareil à l’aide de la cmdlet Update-MgDevice (désactivez à l’aide de l’option -AccountEnabled).
  4. Attendez que la période de grâce du nombre de jours que vous choisissez soit passée avant de supprimer l’appareil.
  5. Supprimez l’appareil en utilisant la cmdlet Remove-MgDevice.

Obtenir la liste des appareils

Pour obtenir la liste complète des appareils et stocker les données retournées dans un fichier CSV :

Get-MgDevice -All | select-object -Property AccountEnabled, DeviceId, OperatingSystem, OperatingSystemVersion, DisplayName, TrustType, ApproximateLastSignInDateTime | export-csv devicelist-summary.csv -NoTypeInformation

Si votre annuaire comporte un grand nombre d’appareils, utilisez le filtre de timestamp pour limiter le nombre d’appareils retournés. Pour obtenir tous les appareils qui ne se sont pas connectés depuis plus de 90 jours et stocker les données retournées dans un fichier CSV :

$dt = (Get-Date).AddDays(-90)
Get-MgDevice -All | Where {$_.ApproximateLastSignInDateTime -le $dt} | select-object -Property AccountEnabled, DeviceId, OperatingSystem, OperatingSystemVersion, DisplayName, TrustType, ApproximateLastSignInDateTime | export-csv devicelist-olderthan-90days-summary.csv -NoTypeInformation

Définir les appareils comme désactivés

À l’aide des mêmes commandes, nous pouvons diriger la sortie vers la commande set pour désactiver les appareils de plus d’un certain âge.

$dt = (Get-Date).AddDays(-90)
$params = @{
	accountEnabled = $false
}

$Devices = Get-MgDevice -All | Where {$_.ApproximateLastSignInDateTime -le $dt}
foreach ($Device in $Devices) { 
   Update-MgDevice -DeviceId $Device.Id -BodyParameter $params 
}

Supprimer des appareils

Attention

L’applet de commande Remove-MgDevice ne fournit pas d’avertissement. L’exécution de cette commande entraîne la suppression des appareils sans invite. Il n’existe aucun moyen de récupérer des appareils supprimés.

Avant que les administrateurs ne suppriment les appareils, sauvegardez les clés de récupération BitLocker dont vous aurez probablement besoin à l’avenir. Il n’existe aucun moyen de récupérer les clés de récupération BitLocker après avoir supprimé l’appareil associé.

En s’appuyant sur l’exemple de désactivation des appareils, nous cherchons les appareils désactivés, inactifs depuis maintenant 120 jours, et nous redirigeons la sortie vers Remove-MgDevice pour supprimer ces appareils.

$dt = (Get-Date).AddDays(-120)
$Devices = Get-MgDevice -All | Where {($_.ApproximateLastSignInDateTime -le $dt) -and ($_.AccountEnabled -eq $false)}
foreach ($Device in $Devices) {
   Remove-MgDevice -DeviceId $Device.Id
}

Ce que vous devez savoir

Pourquoi le timestamp n’est-il pas mis à jour plus fréquemment ?

La mise à jour du timestamp vise à simplifier les scénarios de cycle de vie des appareils. Cet attribut n’est pas un audit. Utilisez les journaux d’audit de connexion pour les mises à jour plus fréquentes sur l’appareil. Certains appareils actifs risquent d’avoir un horodatage vide.

Pourquoi dois-je me soucier de mes clés BitLocker ?

Quand vous configurez des clés BitLocker pour des appareils Windows 10 ou ultérieur, elles sont stockées sur l’objet d’appareil dans Microsoft Entra ID. Si vous supprimez un appareil obsolète, vous supprimez également les clés BitLocker qui sont stockées sur l’appareil. Confirmez que votre stratégie de nettoyage correspond au cycle de vie réel de votre appareil avant de supprimer un appareil obsolète.

Pourquoi dois-je surveiller de près l’utilisation des appareils Windows AutoPilot ?

Quand vous supprimez un appareil Microsoft Entra qui était associé à un objet Windows Autopilot, les trois scénarios suivants peuvent se produire en cas de réaffectation ultérieure de l’appareil :

  • Avec les déploiements pilotés par l’utilisateur Windows Autopilot sans préapprovisionnement, un nouvel appareil Microsoft Entra est créé, mais n’est pas étiqueté avec le ZTDID.
  • Avec des déploiements en mode automatique de Windows Autopilot, ils vont échouer, car un appareil Microsoft Entra associé est introuvable. (Cet échec est en fait un mécanisme de sécurité qui permet de s’assurer qu’aucun appareil « imposteur » ne tente de joindre Microsoft Entra ID sans informations d’identification.) Une différence entre les ZTDID est alors signalée.
  • Avec les déploiements de préapprovisionnement Windows Autopilot, ils échouent parce qu’un appareil Microsoft Entra associé est introuvable. (En arrière-plan, les déploiements de pré-provisionnement utilisent le même processus en mode de déploiement automatique, de sorte qu’ils appliquent les mêmes mécanismes de sécurité.)

Utilisez Get-MgDeviceManagementWindowsAutopilotDeviceIdentity pour répertorier les appareils Windows Autopilot de votre organisation et comparez la liste à celle des appareils à nettoyer.

Comment faire pour connaître tous les types d’appareils joints ?

Pour en savoir plus sur les différents types, consultez l’article Vue d’ensemble de la gestion des appareils.

Que se passe-t-il lorsque je désactive un appareil ?

Les authentifications où un appareil est utilisé pour s’authentifier après de Microsoft Entra ID sont refusées. Voici des exemples courants :

  • Appareil joint à Microsoft Entra hybride : les utilisateurs peuvent être autorisés à utiliser l’appareil pour se connecter à leur domaine local. Cependant, ils ne peuvent pas accéder à des ressources Microsoft Entra, comme Microsoft 365.
  • Appareil joint à Microsoft Entra : les utilisateurs ne peuvent pas utiliser l’appareil pour se connecter.
  • Appareils mobiles : les utilisateurs ne peuvent pas accéder à des ressources Microsoft Entra, comme Microsoft 365.

Pour plus d’informations sur les appareils gérés avec Intune, consultez l’article Supprimer des appareils à l’aide de la réinitialisation, de la mise hors service ou de la désinscription manuelle de l’appareil.

Pour obtenir une vue d’ensemble de la gestion des appareils, consultez Gestion des identités des appareils.