Gérer des identités d’appareil à l’aide du centre d’administration Microsoft Entra

  • Article

Microsoft Entra ID fournit un lieu central de gestion des identités d’appareils et de surveillance des informations relatives aux événements.

Capture d'écran montrant la vue d'ensemble des appareils.

Vous pouvez accéder à la vue d’ensemble des appareils en effectuant ces étapes :

  1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’utilisateur disposant au moins des autorisations utilisateur par défaut.
  2. Accédez à Identité, Appareils, puis Vue d’ensemble.

À partir de la vue d’ensemble des appareils, vous pouvez voir le nombre total d’appareils, les appareils obsolètes, les appareils non conformes et les appareils non gérés. Il fournit aussi des liens vers Intune, un accès conditionnel, des clés BitLocker et une surveillance de base.

Les nombres d’appareils sur la page vue d’ensemble ne sont pas mis à jour en temps réel. Les modifications doivent être reflétées à une fréquence de quelques heures.

À partir de là, vous pouvez accéder à Tous les appareils pour :

  • Identifier les appareils, à savoir :
  • Effectuer des tâches de gestion des identités d’appareil comme l’activation, la désactivation, la suppression ou la gestion.
    • Les options de gestion pour les imprimantes et Windows Autopilot sont limitées dans Microsoft Entra ID. Ces appareils doivent être gérés à partir de leurs interfaces d’administration respectives.
  • Configurer les paramètres d’identité de votre appareil.
  • Activer ou désactiver Enterprise State Roaming.
  • Examiner les journaux d’audit liés aux appareils.
  • Téléchargez des appareils.

Capture d'écran montrant l'affichage de tous les appareils.

Conseil

  • Les appareils Windows 10 ou version ultérieure à jonction hybride Microsoft Entra n’ont pas de propriétaire, sauf si l’utilisateur principal est défini dans Microsoft Intune. Si vous recherchez un appareil par propriétaire et que vous ne le trouvez pas, recherchez par ID d’appareil.

  • Si vous voyez qu’un appareil est à Jonction hybride Microsoft Entra avec l’état En attente dans la colonne Inscrit, cela signifie que l’appareil a été synchronisé à partir de Microsoft Entra Connect et qu’il attend d’effectuer l’inscription à partir du client. Consultez le guide pratique pour planifier l’implémentation d’une jointure hybride Microsoft Entra. Pour plus d’informations, consultez Questions fréquentes (FAQ) sur la gestion des appareils.

  • Pour certains appareils iOS, les noms d’appareil qui contiennent des apostrophes peuvent utiliser des caractères différents qui ressemblent à des apostrophes. La recherche de ces appareils est donc un peu délicate. Si vous ne voyez pas les résultats de recherche corrects, vérifiez que la chaîne de recherche contient le caractère d’apostrophe correspondant.

Gérer un appareil Intune

Si vous disposez des droits nécessaires pour gérer des appareils dans Intune, vous pouvez gérer les appareils pour lesquels la gestion des appareils mobiles indique Microsoft Intune. Si l’appareil n’est pas inscrit auprès de Microsoft Intune, l’option Gérer n’est pas disponible.

Activer ou désactiver un appareil Microsoft Entra

Il existe deux façons d’activer ou de désactiver des appareils :

  • La barre d’outils dans la page Tous les appareils, après avoir sélectionné un ou plusieurs appareils.
  • La barre d’outils, après la sélection d’un appareil spécifique.

Important

  • Vous devez être Administrateur Intune ou Administrateur d’appareil cloud pour activer ou désactiver un appareil.
  • La désactivation d’un appareil l’empêche de s’authentifier via Microsoft Entra ID. Elle l’empêche d’accéder à vos ressources Microsoft Entra qui sont protégées par un accès conditionnel basé sur l’appareil et d’utiliser des informations d’identification Windows Hello Entreprise.
  • La désactivation d’un appareil entraîne la révocation du jeton d’actualisation principal et des éventuels jetons d’actualisation sur l’appareil.
  • Les imprimantes ne peuvent pas être activées ou désactivées dans Microsoft Entra ID.

Supprimer un appareil Microsoft Entra

Il existe deux façons de supprimer un appareil :

  • La barre d’outils dans la page Tous les appareils, après avoir sélectionné un ou plusieurs appareils.
  • La barre d’outils, après la sélection d’un appareil spécifique.

Important

  • Pour supprimer un appareil, vous devez être Administrateur d’appareil cloud, Administrateur Intune ou Administrateur Windows 365.
  • Les imprimantes ne peuvent pas être supprimées avant leur suppression de l’impression universelle.
  • Les appareils Windows Autopilot ne peuvent pas être supprimés avant leur suppression d’Intune.
  • La suppression d’un appareil :
    • Empêche ce dernier d’accéder à vos ressources Microsoft Entra.
    • Supprime tous les détails attachés à l’appareil. Par exemple, les clés BitLocker pour les appareils Windows.
    • Est une activité non récupérable. Nous ne la recommandons pas, sauf si elle est nécessaire.

Si un appareil est géré au sein d’une autre autorité de gestion, comme Microsoft Intune, veillez à qu’il soit réinitialisé ou mis hors service avant de le supprimer. Consultez Comment gérer les appareils obsolètes avant de supprimer un appareil.

Visualiser ou copier un ID d’appareil

Vous pouvez utiliser un ID d’appareil pour vérifier les informations d’ID de l’appareil ou résoudre les problèmes via PowerShell. Pour accéder à l’option de copie, sélectionnez l’appareil.

Capture d’écran montrant un ID d’appareil et le bouton Copier.

Afficher ou copier des clés BitLocker

Vous pouvez visualiser et copier des clés BitLocker pour permettre aux utilisateurs de récupérer leurs lecteurs chiffrés. Ces clés sont disponibles seulement pour les appareils Windows chiffrés qui stockent leurs clés dans Microsoft Entra ID. Vous pouvez trouver ces clés quand vous visualisez les détails d’un appareil en sélectionnant Afficher la clé de récupération. Sélectionner Afficher la clé de récupération génère une entrée de journal d’audit que vous pouvez trouver dans la catégorie KeyManagement.

Capture d’écran montrant comment visualiser les clés BitLocker.

Pour visualiser ou copier des clés BitLocker, vous devez être le propriétaire de l’appareil ou avoir un des rôles suivants :

Remarque

Lorsque des appareils qui utilisent Windows Autopilot sont réutilisés et qu'il y a un nouveau propriétaire d'appareil, ce nouveau propriétaire d'appareil doit contacter un administrateur pour acquérir la clé de récupération BitLocker pour cet appareil. Les administrateurs au niveau de l'unité administrative perdront l'accès aux clés de récupération BitLocker après le changement de propriétaire de l'appareil. Ces administrateurs concernés devront contacter un administrateur non concerné pour obtenir les clés de récupération.

Afficher et filtrer vos appareils

Vous pouvez filtrer la liste des appareils selon ces attributs :

  • État activé
  • État conforme
  • Type de jointure (jointure Microsoft Entra, jointure hybride Microsoft Entra, inscrit auprès de Microsoft Entra)
  • Timestamp d’activité
  • Type de système d’exploitation et version du système d’exploitation
  • Type d’appareil (imprimante, machine virtuelle sécurisée, appareil partagé, appareil inscrit)
  • GESTION DES APPAREILS MOBILES
  • Autopilot
  • Attributs d’extension
  • Unité administrative
  • Propriétaire

Télécharger des appareils

Les administrateurs d’appareil cloud et les administrateurs Intune peuvent utiliser l’option Télécharger les appareils pour exporter un fichier CSV listant les appareils. Vous pouvez appliquer des filtres pour déterminer les appareils à lister. Si vous n’appliquez aucun filtre, tous les appareils sont listés. Une tâche d’exportation peut s’exécuter pendant jusqu’à une heure, en fonction de vos sélections. Si la tâche d’exportation dépasse 1 heure, elle échoue et aucun fichier n’est généré.

La liste exportée comprend ces attributs d’identité d’appareil :

displayName,accountEnabled,operatingSystem,operatingSystemVersion,joinType (trustType),registeredOwners,userNames,mdmDisplayName,isCompliant,registrationTime,approximateLastSignInDateTime,deviceId,isManaged,objectId,profileType,systemLabels,model

Les filtres suivants peuvent être appliqués à la tâche d’exportation :

  • État activé
  • État conforme
  • Type de jointure
  • Timestamp d’activité
  • Type de système d’exploitation
  • Type d’appareil

Configurer les paramètres des appareils

Si vous souhaitez gérer les identités des appareils à l’aide du centre d’administration Microsoft Entra, les appareils doivent être inscrits ou joints auprès de Microsoft Entra ID. En tant qu’administrateur, vous pouvez contrôler le processus d’inscription et de jonction d’appareils en configurant les paramètres d’appareil suivants.

Pour gérer les paramètres d’un appareil, vous devez disposer de l’un des rôles suivants :

Capture d’écran montrant les paramètres de périphérique en rapport avec Microsoft Entra ID.

  • Les utilisateurs peuvent joindre des appareils à Microsoft Entra ID : ce paramètre vous permet de sélectionner les utilisateurs qui peuvent inscrire leurs appareils en tant qu’appareils à jointure Microsoft Entra. La valeur par défaut est Tous.

    Remarque

    Le paramètre Les utilisateurs peuvent joindre des appareils à Microsoft Entra ID ne s’applique qu’à la jointure Microsoft Entra sur Windows 10 ou version ultérieure. Ce paramètre ne s’applique pas aux appareils à jointure hybride Microsoft Entra, aux machines virtuelles à jointure Microsoft Entra dans Azure et aux appareils à jointure Microsoft Entra qui utilisent le mode de déploiement automatique Windows Autopilot, car ces méthodes fonctionnent dans un contexte sans utilisateur.

  • Les utilisateurs peuvent inscrire leurs appareils sur Microsoft Entra ID : vous devez configurer ce paramètre pour permettre aux utilisateurs d’inscrire des appareils Windows 10 (ou version ultérieure) personnels, iOS, Android et macOS auprès de Microsoft Entra ID. Si vous sélectionnez Aucun, les appareils ne peuvent pas s’inscrire auprès de Microsoft Entra ID. L’inscription auprès de Microsoft Intune ou de la Gestion des appareils mobiles (MDM) pour Microsoft 365 nécessite l’enregistrement. Si vous avez configuré un de ces services, l’option TOUS est sélectionnée et l’option AUCUN est indisponible.

  • Exiger l’authentification multifacteur pour inscrire ou joindre des appareils avec Microsoft Entra ID :

    • Nous recommandons aux organisations d’utiliser l’action utilisateur Inscrire ou joindre des appareils dans l’accès conditionnel pour appliquer l’authentification multifacteur. Vous devez configurer cette bascule sur Non si vous utilisez la stratégie d’accès conditionnel pour exiger l’authentification multifacteur.
    • Ce paramètre vous permet de spécifier si les utilisateurs doivent fournir un autre facteur d’authentification pour joindre ou inscrire leur appareil à Microsoft Entra ID. La valeur par défaut est No. Nous vous recommandons d’exiger l’authentification multifacteur quand un appareil est inscrit ou joint. Avant d’activer l’authentification multifacteur pour ce service, vous devez vérifier que l’authentification multifacteur est configurée pour les utilisateurs qui inscrivent leurs appareils. Pour plus d'informations sur les services d’authentification multifacteur Microsoft Entra, consultez Bien démarrer avec l'authentification multifacteur Microsoft Entra. Ce paramètre peut ne pas fonctionner avec des fournisseurs d’identité tiers.

    Remarque

    Le paramètre Exiger l’authentification multifacteur pour inscrire ou joindre des appareils avec Microsoft Entra ID s’applique aux appareils à jointure Microsoft Entra (à quelques exceptions près) ou inscrits auprès de Microsoft Entra. Ce paramètre ne s’applique pas aux appareils à jointure hybride Microsoft Entra, aux machines virtuelles à jointure Microsoft Entra dans Azure et aux appareils à jointure Microsoft Entra qui utilisent le mode de déploiement automatique Windows Autopilot.

  • Nombre maximal d’appareils : ce paramètre vous permet de sélectionner le nombre maximal d’appareils à jointure Microsoft Entra ou inscrits auprès de Microsoft Entra, dont un utilisateur peut disposer dans Microsoft Entra ID. Si un utilisateur atteint cette limite, il ne peut plus ajouter d’appareils tant qu’un ou plusieurs appareils existants n’ont pas été supprimés. La valeur par défaut est de 50. Vous pouvez augmenter la valeur jusqu’à 100. Si vous entrez une valeur supérieure à 100, Microsoft Entra ID la définit sur 100. Vous pouvez aussi utiliser Illimité pour n’appliquer aucune limite autre que les limites de quotas existantes.

    Remarque

    Le paramètre Nombre maximal d’appareils s’applique aux appareils à jointure Microsoft Entra ou inscrits auprès de Microsoft Entra. Ce paramètre ne s’applique pas aux appareils à jointure hybride Microsoft Entra.

  • Gérer des Administrateurs locaux supplémentaires sur les appareils joints à Microsoft Entra : ce paramètre vous permet de sélectionner les utilisateurs auxquels sont octroyés les droits d’administrateur local sur un appareil. Ces utilisateurs sont ajoutés au rôle Administrateurs d’appareils dans Microsoft Entra ID.

  • Activer la solution de mot de passe d’administrateur local (LAPS) Microsoft Entra (préversion) : LAPS est la gestion des mots de passe du compte local sur les appareils Windows. LAPS fournit une solution sécurisée de gestion et de récupération du mot de passe d’administrateur local intégré. Avec la version cloud de LAPS, les clients peuvent activer le stockage et la rotation des mots de passe d’administrateur local pour les appareils à jonction hybride Microsoft Entra ID et Microsoft Entra. Pour savoir comment gérer LAPS dans Microsoft Entra ID, consultez l’article vue d’ensemble.

  • Empêcher les utilisateurs non administrateurs de récupérer les clés BitLocker pour leurs appareils : les administrateurs peuvent bloquer l’accès à la clé BitLocker en libre-service au propriétaire inscrit de l’appareil. Les utilisateurs par défaut sans l’autorisation de lecture BitLocker ne peuvent pas afficher ni copier la ou les clés BitLocker des appareils qu’ils possèdent. Pour mettre à jour ce paramètre, vous devez au moins être Administrateur de rôle privilégié.

  • Enterprise State Roaming : pour plus d’informations sur ce paramètre, consultez l’article Vue d’ensemble.

Journaux d’audit

Les activités des appareils sont visibles dans les journaux d’activité. Ces journaux comprennent les activités déclenchées par le service d’inscription des appareils et par les utilisateurs :

  • Création d’un appareil et ajout de propriétaires/d’utilisateurs sur l’appareil
  • Modification des paramètres de l’appareil
  • Opérations concernant les appareils, comme la suppression ou la mise à jour d’un appareil

Le point d’entrée des données d’audit est Journaux d’audit dans la section Activité de la page Appareils.

Un journal d’audit inclut une vue Liste par défaut, qui indique les informations suivantes :

  • La date et l’heure de l’occurrence.
  • Les cibles.
  • L’initiateur/acteur d’une activité.
  • Activité.

Capture d’écran montrant un tableau dans la section Activité de la page Appareils. Le tableau liste la date, la cible, l’acteur et l’activité pour quatre journaux d’audit.

Vous pouvez personnaliser la vue de liste en sélectionnant Colonnes dans la barre d’outils :

Capture d’écran montrant la barre d’outils de la page Appareils.

Pour réduire les données affichées à un niveau qui vous convient, vous pouvez les filtrer en utilisant ces champs :

  • Catégorie
  • Type de ressource d’activité
  • Activité
  • Plage de dates
  • Cible
  • Initié par (intervenant)

Vous pouvez également rechercher des entrées spécifiques.

Capture d’écran montrant les contrôles de filtrage des données d’audit.

Étapes suivantes