Gérer les identités d’appareil en utilisant le portail Azure

Azure Active Directory (Azure AD) vous fournit un emplacement central pour gérer les identités d’appareil et superviser les informations des événements associés.

Capture d’écran montrant la vue d’ensemble des appareils dans le portail Azure.

Vous pouvez accéder à la vue d’ensemble des appareils en effectuant ces étapes :

  1. Connectez-vous au portail Azure.
  2. Accédez à Azure Active Directory>Appareils.

À partir de la vue d’ensemble des appareils, vous pouvez voir le nombre total d’appareils, les appareils obsolètes, les appareils non conformes et les appareils non gérés. Vous trouvez aussi des liens vers Intune, Accès conditionnel, Clés BitLocker et la supervision de base.

Les nombres d’appareils sur la page vue d’ensemble ne sont pas mis à jour en temps réel. Les modifications doivent être reflétées à une fréquence de quelques heures.

À partir de là, vous pouvez accéder à Tous les appareils pour :

  • Identifier les appareils, à savoir :
  • Effectuer des tâches de gestion des identités d’appareil comme l’activation, la désactivation, la suppression ou la gestion.
    • Les options de gestion pour les imprimantes et Windows Autopilot sont limitées dans Azure AD. Ces appareils doivent être gérés à partir de leurs interfaces d’administration respectives.
  • Configurer les paramètres d’identité de votre appareil.
  • Activer ou désactiver Enterprise State Roaming.
  • Examiner les journaux d’audit liés aux appareils.
  • Téléchargez des appareils.

Capture d’écran montrant la vue Tous les appareils dans le portail Azure.

Conseil

  • Les appareils Windows 10 (ou version ultérieure) joints à Azure AD Hybride n’ont pas de propriétaire. Si vous recherchez un appareil par propriétaire et que vous ne le trouvez pas, recherchez par ID d’appareil.

  • Si vous voyez un appareil qui est Joint à Azure AD Hybride avec l’état En attente dans la colonne Inscrit, cela signifie que l’appareil a été synchronisé à partir d’Azure AD Connect et qu’il attend d’effectuer l’inscription à partir du client. Consultez Guide pratique pour planifier votre implémentation de la jonction à Azure AD Hybride. Pour plus d’informations, consultez Questions fréquentes (FAQ) sur la gestion des appareils.

  • Pour certains appareils iOS, les noms d’appareil qui contiennent des apostrophes peuvent utiliser des caractères différents qui ressemblent à des apostrophes. La recherche de ces appareils est donc un peu délicate. Si vous ne voyez pas les résultats de recherche corrects, vérifiez que la chaîne de recherche contient le caractère d’apostrophe correspondant.

Gérer un appareil Intune

Si vous disposez des droits nécessaires pour gérer des appareils dans Intune, vous pouvez gérer les appareils pour lesquels la gestion des appareils mobiles indique Microsoft Intune. Si l’appareil n’est pas inscrit auprès de Microsoft Intune, l’option Gérer n’est pas disponible.

Activer ou désactiver un appareil Azure AD

Il existe deux façons d’activer ou de désactiver des appareils :

  • La barre d’outils dans la page Tous les appareils, après avoir sélectionné un ou plusieurs appareils.
  • La barre d’outils, après la sélection d’un appareil spécifique.

Important

  • Vous devez être administrateur général, administrateur Intune ou administrateur d’appareil cloud dans Azure AD pour activer ou désactiver un appareil.
  • La désactivation d’un appareil l’empêche de s’authentifier via Azure AD. Ceci l’empêche d’accéder à vos ressources Azure AD qui sont protégées par un accès conditionnel basé sur l’appareil et d’utiliser des informations d’identification Windows Hello Entreprise.
  • La désactivation d’un appareil entraîne la révocation du jeton d’actualisation principal et des éventuels jetons d’actualisation sur l’appareil.
  • Les imprimantes ne peuvent pas être activées ou désactivées dans Azure AD.

Supprimer un appareil Azure AD

Il existe deux façons de supprimer un appareil :

  • La barre d’outils dans la page Tous les appareils, après avoir sélectionné un ou plusieurs appareils.
  • La barre d’outils, après la sélection d’un appareil spécifique.

Important

  • Pour supprimer un appareil, vous devez être Administrateur d’appareil cloud, Administrateur Intune, Administrateur Windows 365 ou Administrateur général dans Azure AD.
  • Les imprimantes et les appareils Windows Autopilot ne peuvent pas être supprimés dans Azure AD.
  • La suppression d’un appareil :
    • Empêche celui-ci d’accéder à vos ressources Azure AD.
    • Supprime tous les détails attachés à l’appareil. Par exemple, les clés BitLocker pour les appareils Windows.
    • Est une activité non récupérable. Nous ne la recommandons pas, sauf si elle est nécessaire.

Si un appareil est géré par une autre autorité de gestion, comme Microsoft Intune, veillez à qu’il soit réinitialisé ou mis hors service avant de le supprimer. Consultez Comment gérer les appareils obsolètes avant de supprimer un appareil.

Visualiser ou copier un ID d’appareil

Vous pouvez utiliser un ID d’appareil pour vérifier les informations d’ID de l’appareil ou résoudre les problèmes via PowerShell. Pour accéder à l’option de copie, sélectionnez l’appareil.

Capture d’écran montrant un ID d’appareil et le bouton Copier.

Afficher ou copier des clés BitLocker

Vous pouvez visualiser et copier des clés BitLocker pour permettre aux utilisateurs de récupérer leurs lecteurs chiffrés. Ces clés sont disponibles seulement pour les appareils Windows chiffrés qui stockent leurs clés dans Azure AD. Vous pouvez trouver ces clés quand vous visualisez les détails d’un appareil en sélectionnant Afficher la clé de récupération. La sélection d’Afficher la clé de récupération génère un journal d’audit que vous pouvez trouver dans la catégorie KeyManagement.

Capture d’écran montrant comment visualiser les clés BitLocker.

Pour visualiser ou copier des clés BitLocker, vous devez être le propriétaire de l’appareil ou avoir un des rôles suivants :

  • Administrateur d’appareil cloud
  • Administrateur général
  • Administrateur du support technique
  • Administrateur de services Intune
  • Security Administrator
  • Lecteur de sécurité

Empêcher les utilisateurs d’afficher leurs clés BitLocker (préversion)

Dans cette préversion, les administrateurs peuvent bloquer l’accès à la clé BitLocker en libre-service au propriétaire inscrit de l’appareil. Les utilisateurs par défaut sans l’autorisation de lecture BitLocker ne peuvent pas afficher ni copier leur ou leurs clés BitLocker pour les appareils qu’ils possèdent.

Pour désactiver/activer la récupération BitLocker en libre-service :

Connect-MgGraph -Scopes Policy.ReadWrite.Authorization
$authPolicyUri = "https://graph.microsoft.com/beta/policies/authorizationPolicy/authorizationPolicy"
$body = @{
    defaultUserRolePermissions = @{
        allowedToReadBitlockerKeysForOwnedDevice = $false #Set this to $true to allow BitLocker self-service recovery
    }
}| ConvertTo-Json
Invoke-MgGraphRequest -Uri $authPolicyUri -Method PATCH -Body $body
# Show current policy setting
$authPolicy = Invoke-MgGraphRequest -Uri $authPolicyUri
$authPolicy.defaultUserRolePermissions

Afficher et filtrer vos appareils (préversion)

Dans cette préversion, vous avez la possibilité de faire défiler indéfiniment, de réorganiser des colonnes et de sélectionner tous les appareils. Vous pouvez filtrer la liste des appareils selon ces attributs d’appareil :

  • État activé
  • État conforme
  • Type de jonction (jonction Azure AD, jonction Azure AD Hybride, inscrit sur Azure AD)
  • Timestamp d’activité
  • Système d’exploitation
  • Type d’appareil (imprimante, machine virtuelle sécurisée, appareil partagé, appareil inscrit)
  • GESTION DES APPAREILS MOBILES
  • Attributs d’extension
  • Unité administrative
  • Propriétaire

Pour activer la préversion dans la vue Tous les appareils :

  1. Connectez-vous au portail Azure.
  2. Accédez à Azure Active Directory>Appareils>Tous les appareils.
  3. Sélectionnez le bouton Fonctionnalités de préversion.
  4. Activez le bouton bascule indiquant Expérience de liste des appareils améliorés. Sélectionnez Appliquer.
  5. Actualisez votre navigateur.

Vous pouvez désormais découvrir la vue améliorée Tous les appareils.

Télécharger des appareils

Les lecteurs globaux, les administrateurs d’appareil cloud, les administrateurs Intune et les administrateurs généraux peuvent utiliser l’option Télécharger les appareils pour exporter un fichier CSV qui liste les appareils. Vous pouvez appliquer des filtres pour déterminer les appareils à lister. Si vous n’appliquez aucun filtre, tous les appareils sont listés. Une tâche d’exportation peut s’exécuter pendant jusqu’à une heure, en fonction de vos sélections. Si la tâche d’exportation dépasse 1 heure, elle échoue et aucun fichier n’est généré.

La liste exportée comprend ces attributs d’identité d’appareil :

accountEnabled, approximateLastLogonTimeStamp, deviceOSType, deviceOSVersion, deviceTrustType, dirSyncEnabled, displayName, isCompliant, isManaged, lastDirSyncTime, objectId, profileType, registeredOwners, systemLabels, registrationTime, mdmDisplayName

Configurer les paramètres de l’appareil

Si vous voulez gérer les identités d’appareil en utilisant le portail Azure, ces appareils doivent être inscrits ou joints à Azure AD. En tant qu’administrateur, vous pouvez contrôler le processus d’inscription et de jonction d’appareils en configurant les paramètres d’appareil suivants.

Pour afficher ou gérer les paramètres d’un appareil dans le portail Azure, vous devez être titulaire de l’un des rôles suivants :

  • Administrateur général
  • Administrateur d’appareil cloud
  • Lecteur général
  • Lecteur de répertoire

Capture d’écran montrant les paramètres de l’appareil en rapport avec Azure AD.

  • Les utilisateurs peuvent joindre des appareils à Azure AD : ce paramètre vous permet de sélectionner les utilisateurs qui peuvent inscrire leurs appareils en tant qu’appareils joints à Azure AD. La valeur par défaut est Tous.

    Notes

    Le paramètre Les utilisateurs peuvent joindre des appareils à Azure AD s’applique seulement à la jonction à Azure AD sous Windows 10 ou version ultérieure. Il ne s’applique pas aux appareils joints à Azure AD Hybride, aux machines virtuelles jointes à Azure AD dans Azure et aux appareils joints à Azure AD qui utilisent le mode de déploiement automatique Windows Autopilot, car ces méthodes fonctionnent dans un contexte sans utilisateur.

  • Administrateurs locaux supplémentaires sur les appareils joints à Azure AD : ce paramètre vous permet de sélectionner les utilisateurs auxquels sont octroyés les droits d’administrateur local sur un appareil. Ces utilisateurs sont ajoutés au rôle Administrateurs d’appareils dans Azure AD. Les administrateurs généraux dans Azure AD et les propriétaires d’appareils bénéficient des droits d’administrateur local par défaut. Cette option est une fonctionnalité de l’édition Premium disponible via des produits comme Azure AD Premium ou Enterprise Mobility + Security.

  • Les utilisateurs peuvent inscrire leurs appareils sur Azure AD : vous devez configurer ce paramètre pour permettre aux utilisateurs d’inscrire des appareils Windows 10 (ou version ultérieure) personnels, iOS, Android et macOS auprès d’Azure AD. Si vous sélectionnez Aucun, les appareils ne peuvent pas s’inscrire auprès d’Azure AD. L’inscription auprès de Microsoft Intune ou de la Gestion des appareils mobiles (MDM) pour Microsoft 365 nécessite l’enregistrement. Si vous avez configuré un de ces services, l’option TOUS est sélectionnée et l’option AUCUN est indisponible.

  • Exiger l’authentification multifacteur pour inscrire ou joindre des appareils avec Azure AD :

    • Nous recommandons aux organisations d’utiliser l’action utilisateur Inscrire ou joindre des appareils dans l’accès conditionnel pour appliquer l’authentification multifacteur. Vous devez configurer cette bascule sur Non si vous utilisez la stratégie d’accès conditionnel pour exiger l’authentification multifacteur.
    • Ce paramètre vous permet de spécifier si les utilisateurs doivent fournir un autre facteur d’authentification pour joindre ou inscrire leur appareil à Azure AD. La valeur par défaut est No. Nous vous recommandons d’exiger l’authentification multifacteur quand un appareil est inscrit ou joint. Avant d’activer l’authentification multifacteur pour ce service, vous devez vérifier que l’authentification multifacteur est configurée pour les utilisateurs qui inscrivent leurs appareils. Pour plus d’informations sur les services d’authentification multifacteur Azure AD, consultez Bien démarrer avec l’authentification multifacteur Azure AD. Ce paramètre peut ne pas fonctionner avec des fournisseurs d’identité tiers.

    Notes

    Le paramètre Exiger une authentification multifacteur pour inscrire ou joindre des appareils à Azure AD s’applique aux appareils joints à Azure AD (avec quelques exceptions) et aux appareils inscrits auprès d’Azure AD. Il ne s’applique pas aux appareils joints à Azure AD Hybride, aux machines virtuelles jointes à Azure AD dans Azure et aux appareils joints à Azure AD qui utilisent le mode de déploiement automatique Windows Autopilot.

  • Nombre maximal d’appareils : ce paramètre vous permet de sélectionner le nombre maximal d’appareils joints à Azure AD ou inscrits auprès d’Azure AD qu’un utilisateur peut avoir dans Azure AD. Si un utilisateur atteint cette limite, il ne peut plus ajouter d’appareils tant qu’un ou plusieurs appareils existants n’ont pas été supprimés. La valeur par défaut est de 50. Vous pouvez augmenter la valeur jusqu’à 100. Si vous entrez une valeur supérieure à 100, Azure AD la définit néanmoins sur 100. Vous pouvez aussi utiliser Illimité pour n’appliquer aucune limite autre que les limites de quotas existantes.

    Notes

    Le paramètre Nombre maximal d’appareils s’applique aux appareils joints à Azure AD ou inscrits auprès d’Azure AD. Ce paramètre ne s’applique pas aux appareils joints à Azure AD hybride.

  • Enterprise State Roaming : pour plus d’informations sur ce paramètre, consultez l’article Vue d’ensemble.

Journaux d’audit

Les activités des appareils sont visibles dans les journaux d’activité. Ces journaux comprennent les activités déclenchées par le service d’inscription des appareils et par les utilisateurs :

  • Création d’un appareil et ajout de propriétaires/d’utilisateurs sur l’appareil
  • Modification des paramètres de l’appareil
  • Opérations concernant les appareils, comme la suppression ou la mise à jour d’un appareil

Le point d’entrée des données d’audit est Journaux d’audit dans la section Activité de la page Appareils.

Un journal d’audit inclut une vue Liste par défaut, qui indique les informations suivantes :

  • La date et l’heure de l’occurrence.
  • Les cibles.
  • L’initiateur/acteur d’une activité.
  • Activité.

Capture d’écran montrant un tableau dans la section Activité de la page Appareils. Le tableau liste la date, la cible, l’acteur et l’activité pour quatre journaux d’audit.

Vous pouvez personnaliser la vue de liste en sélectionnant Colonnes dans la barre d’outils :

Capture d’écran montrant la barre d’outils de la page Appareils.

Pour réduire les données affichées à un niveau qui vous convient, vous pouvez les filtrer en utilisant ces champs :

  • Catégorie
  • Type de ressource d’activité
  • Activité
  • Plage de dates
  • Cible
  • Initié par (intervenant)

Vous pouvez également rechercher des entrées spécifiques.

Capture d’écran montrant les contrôles de filtrage des données d’audit.

Étapes suivantes