Procédure : Gérer les appareils obsolètes dans Azure AD

Dans l’idéal, pour compléter le cycle de vie, les appareils inscrits devraient être désinscrits si personne ne s’en sert plus. Entre la perte, le vol et la casse d’appareils ou encore les réinstallations de système d’exploitation, vous avez forcément des appareils obsolètes dans votre environnement. En tant qu’administrateur informatique, vous avez probablement besoin d’une méthode pour supprimer les appareils obsolètes et ainsi pouvoir consacrer vos ressources à la gestion des appareils qui en ont réellement besoin.

Cet article vous apprend à gérer efficacement les appareils obsolètes présents dans votre environnement.

Qu’est qu’un appareil obsolète ?

Un appareil obsolète est un appareil qui a été inscrit à Azure AD, mais qui n’a pas été utilisé pour accéder à des applications cloud depuis un certain temps. Les appareils obsolètes ont un impact sur votre capacité à gérer et prendre en charge vos utilisateurs et appareils associés au locataire, et ce, pour les raisons suivantes :

  • Les appareils dupliqués peuvent rendre compliquée l’identification de l’appareil actuellement actif par le personnel du support technique.
  • Le nombre accru d’appareils entraîne des réécritures d’appareil inutiles qui allongent la durée des synchronisations Azure AD Connect.
  • À des fins de maintenance générale et de conformité, vous souhaitez peut-être disposer d’appareils présentant un état propre.

Les appareils obsolètes dans Azure AD peuvent interférer avec les stratégies générales de cycle de vie des appareils de votre organisation.

Détecter les appareils obsolètes

Un appareil obsolète se définit comme un appareil inscrit qui n’a pas été utilisé pour accéder à des applications cloud depuis un certain temps. Par conséquent, la détection des appareils obsolètes demande une propriété d’horodatage. Dans Azure AD, cette propriété est appelée ApproximateLastLogonTimestamp ou timestamp d’activité. Si la différence entre le moment présent et la valeur de l’horodatage de l’activité dépasse la plage de temps que vous avez définie pour les appareils actifs, l’appareil est considéré comme obsolète. Ce timestamp d’activité est actuellement disponible en préversion publique.

Comment la valeur du timestamp d’activité est-elle gérée ?

L’évaluation du timestamp d’activité est déclenchée par la tentative d’authentification d’un appareil. Azure AD évalue le timestamp d’activité dans les cas suivants :

  • Une stratégie d’accès conditionnel exigeant des appareils gérés ou des applications clientes approuvées a été déclenchée.
  • Des appareils Windows 10 ou version ultérieure joints à Azure AD ou joints par jointure hybride Azure AD sont actifs sur le réseau.
  • Des appareils gérés par Intune ont fait l’objet d’un archivage dans le service.

Si la différence entre la valeur existante du timestamp d’activité et la valeur actuelle est supérieure à 14 jours (écart de +/-5 jours), la valeur existante est remplacée par la nouvelle valeur.

Comment faire pour obtenir le timestamp d’activité ?

Vous pouvez récupérer la valeur du timestamp d’activité de deux façons :

Planifier le nettoyage de vos appareils obsolètes

Pour nettoyer efficacement les appareils obsolètes présents dans votre environnement, vous devez définir une stratégie associée. Cette stratégie vous aide à vous assurer que vous capturez toutes les considérations relatives aux appareils obsolètes. Les sections suivantes offrent des exemples de considérations généralement prises en compte dans une stratégie.

Attention

Si votre organisation utilise le chiffrement de lecteur BitLocker, vous devez vous assurer que les clés de récupération BitLocker sont sauvegardées ou que vous n’en avez pas besoin avant de supprimer des appareils. L’échec de cette opération peut entraîner une perte de données.

Compte de nettoyage

Pour mettre à jour un appareil dans Azure AD, vous avez besoin d’un compte auquel est assigné l’un des rôles suivants :

  • Administrateur général
  • Administrateur d’appareil cloud
  • Administrateur de services Intune

Dans votre stratégie de nettoyage, sélectionnez des comptes auxquels les rôles requis sont assignés.

Délai d’exécution

Définissez une plage de temps qui servira d’indicateur pour un appareil obsolète. Quand vous définissez votre plage de temps, considérez la fenêtre indiquée pour mettre à jour le timestamp d’activité dans votre valeur. Par exemple, n’utilisez pas un timestamp inférieur à 21 jours (écart compris) comme indicateur pour un appareil obsolète. Dans certains scénarios, un appareil peut apparaître comme obsolète alors qu’il ne l’est pas. Par exemple, le propriétaire de l’appareil concerné peut être en vacances ou en arrêt maladie dont la durée dépasse la plage de temps définie pour les appareils obsolètes.

Désactivation d’appareils

Il n’est pas recommandé de supprimer immédiatement un appareil apparaissant comme obsolète. En effet, en cas de faux positif, vous ne pouvez pas annuler la suppression. La meilleure pratique consiste à désactiver l’appareil pour une période de grâce avant de le supprimer. Dans votre stratégie, définissez une plage de temps pour désactiver un appareil avant de le supprimer.

Appareils contrôlés par une solution GPM

Si votre appareil est contrôlé par Intune ou toute autre solution GPM, retirez-le du système de gestion avant de le désactiver ou de le supprimer. Pour plus d’informations, consultez l’article Supprimer des appareils à l’aide de la réinitialisation, de la mise hors service ou de la désinscription manuelle de l’appareil.

Appareils gérés par le système

Ne supprimez pas des appareils gérés par le système. Il s’agit souvent d’appareils comme Autopilot. Une fois supprimés, ces appareils ne peuvent pas être reprovisionnés. Par défaut, la nouvelle cmdlet Get-AzureADDevice exclut les appareils gérés par le système.

Appareils joints Azure AD hybrides

Vos appareils joints à une version hybride d’Azure AD doivent respecter vos stratégies en matière de gestion des appareils obsolètes locaux.

Pour nettoyer Azure AD :

  • Appareils Windows 10 ou version ultérieure : désactivez ou supprimez les appareils Windows 10 ou version ultérieure dans votre environnement AD local, et laissez Azure AD Connect synchroniser l’état modifié des appareils sur Azure AD.
  • Windows 7/8 : commencez par désactiver ou supprimer les appareils Windows 7/8 dans votre service AD local. Vous ne pouvez pas utiliser Azure AD Connect pour désactiver ou supprimer des appareils Windows 7/8 dans Azure AD. Au lieu de cela, quand vous apportez la modification à votre service local, vous devez désactiver/supprimer les appareils dans Azure AD.

Notes

  • La suppression d’appareils dans votre service AD local ou Azure AD ne supprime pas l’inscription sur le client. Elle empêche uniquement d’accéder aux ressources en utilisant l’appareil en tant qu’identité (accès conditionnel, par exemple). Pour plus d’informations, reportez-vous à la section sur la suppression de l’inscription sur le client.
  • La suppression d’un appareil Windows 10 ou version ultérieure uniquement dans Azure AD resynchronise l’appareil à partir de votre service local à l’aide d’Azure AD Connect, mais en tant que nouvel objet avec l’état « En attente ». Une nouvelle inscription est nécessaire sur l’appareil.
  • La suppression d’appareils Windows 10 ou version ultérieure/Server 2016 de l’étendue de synchronisation supprime l’appareil Azure AD. Si vous l’ajoutez de nouveau à l’étendue de synchronisation, un nouvel objet est placé avec l’état « En attente ». Une réinscription de l’appareil est nécessaire.
  • Si vous n’utilisez pas Azure AD Connect pour la synchronisation des appareils Windows 10 ou version ultérieure (par exemple en utilisant UNIQUEMENT AD FS pour l’inscription), vous devez gérer le cycle de vie de la même façon que pour les appareils Windows 7/8.

Appareils joints Azure AD

Désactivez ou supprimez les appareils joints à Azure AD dans Azure AD.

Notes

  • La suppression d’un appareil Azure AD ne supprime pas l’inscription sur le client. Elle empêche uniquement d’accéder aux ressources en utilisant l’appareil en tant qu’identité (accès conditionnel, par exemple).
  • Pour plus d’informations, reportez-vous à la section sur la disjonction d’un appareil sur Azure AD.

Appareils inscrits sur Azure AD

Désactivez ou supprimez les appareils inscrits à Azure AD dans Azure AD.

Notes

  • La suppression d’un appareil inscrit à Azure AD dans Azure AD ne supprime pas l’inscription sur le client. Elle empêche uniquement d’accéder aux ressources en utilisant l’appareil en tant qu’identité (accès conditionnel, par exemple).
  • Pour plus d’informations, reportez-vous à la section sur la suppression d’une inscription sur le client.

Nettoyer les appareils obsolètes dans le Portail Azure

Vous pouvez nettoyer les appareils obsolètes dans le portail Azure. Cependant, il est plus efficace d’effectuer cette tâche à l’aide d’un script PowerShell. Utilisez le dernier module PowerShell V2 pour utiliser le filtre d’horodatage et filtrer les appareils gérés par le système comme Autopilot.

La procédure classique se déroule comme suit :

  1. Connectez-vous à Azure Active Directory à l’aide de la cmdlet Connect-AzureAD.
  2. Obtenir la liste des appareils
  3. Désactivez l’appareil à l’aide de la cmdlet Set-AzureADDevice (désactivez à l’aide de l’option -AccountEnabled).
  4. Attendez que la période de grâce du nombre de jours que vous choisissez soit passée avant de supprimer l’appareil.
  5. Supprimez l’appareil à l’aide de la cmdlet Remove-AzureADDevice.

Obtenir la liste des appareils

Pour obtenir la liste complète des appareils et stocker les données retournées dans un fichier CSV :

Get-AzureADDevice -All:$true | select-object -Property AccountEnabled, DeviceId, DeviceOSType, DeviceOSVersion, DisplayName, DeviceTrustType, ApproximateLastLogonTimestamp | export-csv devicelist-summary.csv -NoTypeInformation

Si votre annuaire comporte un grand nombre d’appareils, utilisez le filtre de timestamp pour limiter le nombre d’appareils retournés. Pour obtenir tous les appareils qui ne se sont pas connectés depuis plus de 90 jours et stocker les données retournées dans un fichier CSV :

$dt = (Get-Date).AddDays(-90)
Get-AzureADDevice -All:$true | Where {$_.ApproximateLastLogonTimeStamp -le $dt} | select-object -Property AccountEnabled, DeviceId, DeviceOSType, DeviceOSVersion, DisplayName, DeviceTrustType, ApproximateLastLogonTimestamp | export-csv devicelist-olderthan-90days-summary.csv -NoTypeInformation

Définir les appareils comme désactivés

À l’aide des mêmes commandes, nous pouvons diriger la sortie vers la commande set pour désactiver les appareils de plus d’un certain âge.

$dt = (Get-Date).AddDays(-90)
$Devices = Get-AzureADDevice -All:$true | Where {$_.ApproximateLastLogonTimeStamp -le $dt}
foreach ($Device in $Devices) {
Set-AzureADDevice -ObjectId $Device.ObjectId -AccountEnabled $false
}

Supprimer des appareils

Attention

L’applet de commande Remove-AzureADDevice ne fournit pas d’avertissement. L’exécution de cette commande entraîne la suppression des appareils sans invite. Il n’existe aucun moyen de récupérer des appareils supprimés.

Avant de supprimer des appareils, sauvegardez les clés de récupération BitLocker dont vous aurez peut-être besoin à l’avenir. Il n’existe aucun moyen de récupérer les clés de récupération BitLocker après avoir supprimé l’appareil associé.

En s’appuyant sur l’exemple de désactivation des appareils, nous cherchons les appareils désactivés, inactifs depuis maintenant 120 jours, et nous redirigeons la sortie vers Remove-AzureADDevice pour supprimer ces appareils.

$dt = (Get-Date).AddDays(-120)
$Devices = Get-AzureADDevice -All:$true | Where {($_.ApproximateLastLogonTimeStamp -le $dt) -and ($_.AccountEnabled -eq $false)}
foreach ($Device in $Devices) {
Remove-AzureADDevice -ObjectId $Device.ObjectId
}

Ce que vous devez savoir

Pourquoi le timestamp n’est-il pas mis à jour plus fréquemment ?

La mise à jour du timestamp vise à simplifier les scénarios de cycle de vie des appareils. Cet attribut n’est pas un audit. Utilisez les journaux d’audit de connexion pour les mises à jour plus fréquentes sur l’appareil.

Pourquoi dois-je me soucier de mes clés BitLocker ?

Quand vous configurez des clés BitLocker pour des appareils Windows 10 ou version ultérieure, elles sont stockées sur l’objet appareil dans Azure AD. Si vous supprimez un appareil obsolète, vous supprimez également les clés BitLocker qui sont stockées sur l’appareil. Confirmez que votre stratégie de nettoyage correspond au cycle de vie réel de votre appareil avant de supprimer un appareil obsolète.

Pourquoi dois-je surveiller de près l’utilisation des appareils Windows AutoPilot ?

Quand vous supprimez un appareil Azure AD associé à un objet Windows AutoPilot, les trois scénarios suivants peuvent se produire en cas de réaffectation de l’appareil :

  • Dans le cadre d’un déploiement de Windows AutoPilot piloté par l’utilisateur sans pré-provisionnement, un appareil Azure AD est créé, sans que ce dernier soit identifié par un ZTDID.
  • Dans le cadre d’un déploiement en mode automatique Windows Autopilot, nous obtenons un échec parce qu’un appareil Azure AD associé est introuvable. (Cet échec est un mécanisme de sécurité qui permet de se prémunir contre les tentatives d’infiltrations d’appareils « frauduleux » dans Azure AD, sans informations d’identification.) L’échec entraîne l’affichage d’un message d’erreur indiquant une incompatibilité ZTDID.
  • Dans le cadre d’un déploiement de pré-approvisionnement Windows Autopilot, nous obtenons un échec parce qu’un appareil Azure AD associé est introuvable. (En arrière-plan, les déploiements de pré-provisionnement utilisent le même processus en mode de déploiement automatique, de sorte qu’ils appliquent les mêmes mécanismes de sécurité.)

Comment faire pour connaître tous les types d’appareils joints ?

Pour en savoir plus sur les différents types, consultez l’article Vue d’ensemble de la gestion des appareils.

Que se passe-t-il lorsque je désactive un appareil ?

Toute authentification auprès d’Azure AD effectuée avec l’appareil est refusée. Voici des exemples courants :

  • Appareil joint à une version hybride d’Azure AD  : les utilisateurs peuvent être autorisés à utiliser l’appareil pour se connecter à leur domaine local. Toutefois, ils ne peuvent pas accéder aux ressources Azure AD telles que Microsoft 365.
  • Appareil joint à Azure AD : les utilisateurs ne peuvent pas utiliser l’appareil pour se connecter.
  • Appareils mobiles : les utilisateurs ne peuvent pas accéder aux ressources Azure AD telles que Microsoft 365.

Étapes suivantes

Les appareils managés avec Intune peuvent être supprimés ou réinitialisés. Pour plus d’informations, consultez l’article Supprimer des appareils à l’aide de la réinitialisation, de la mise hors service ou de la désinscription manuelle de l’appareil.

Pour obtenir une vue d’ensemble de la gestion des appareils dans le portail Azure, consultez Gestion des appareils via le portail Azure.