Comment configurer les règles de nettoyage des appareils Intune pour la suppression automatique des appareils obsolètes

Avant de configurer les règles de nettoyage des appareils, confirmez que vous avez les autorisations nécessaires. Accédez au centre d'administration Microsoft Intune et vérifiez vos affectations de rôle.

Ouvrez votre navigateur et allez sur https://intune.microsoft.com. Connectez-vous avec votre compte administratif et accédez à Administration du locataire > Rôles > Mes autorisations.

Vérifiez que vous avez l'un de ces rôles :

• Administrateur du service Intune (accès complet)
• Rôle personnalisé avec ces autorisations spécifiques :
  • Règles de nettoyage des appareils gérés/Mise à jour
  • Paramètres de nettoyage des appareils gérés/Mise à jour
  • Organisation/Lecture
  • Appareils gérés/Lecture

Vérification : Vous devriez voir vos rôles assignés listés sous "Mes autorisations". Si vous avez les bonnes autorisations, vous pourrez accéder à la section des règles de nettoyage des appareils à l'étape suivante.

Accédez à la zone de configuration des règles de nettoyage des appareils dans le centre d'administration Intune. C'est ici que vous créerez et gérerez toutes vos politiques de nettoyage.

Depuis le tableau de bord principal du centre d'administration Intune :

1. Cliquez sur Appareils dans le volet de navigation de gauche
2. Sous la section "Organiser les appareils", cliquez sur Règles de nettoyage des appareils
3. Vous verrez la page d'aperçu des règles de nettoyage des appareils affichant toutes les règles existantes

L'interface affiche les règles actuelles, leur statut et le nombre d'appareils affectés par chaque règle. Si c'est la première fois que vous configurez des règles de nettoyage, la liste sera vide.

Vérification : Vous devriez voir la page "Règles de nettoyage des appareils" avec des options pour "Créer" de nouvelles règles. L'en-tête de la page devrait afficher "Règles de nettoyage des appareils" et afficher toutes les règles existantes sous forme de tableau.

Avant de créer des règles de nettoyage, analysez votre inventaire actuel de dispositifs pour déterminer des seuils d'inactivité appropriés. Cela empêche de masquer accidentellement des dispositifs qui sont légitimement hors ligne.

Accédez à Appareils > Tous les appareils pour examiner votre inventaire de dispositifs. Utilisez les filtres intégrés pour analyser l'activité des dispositifs :

1. Cliquez sur le bouton Filtrer en haut de la liste des appareils
2. Ajoutez des critères de filtrage :
   • Dernière connexion : Réglez sur "Plus de 30 jours"
   • Plateforme : Sélectionnez des plateformes spécifiques si nécessaire
   • État de conformité : Examinez les appareils non conformes
3. Exportez les résultats filtrés en cliquant sur Exporter pour analyser dans Excel

Examinez les données exportées pour identifier des tendances :

• Combien d'appareils ne se sont pas connectés depuis 30, 60, 90+ jours ?
• Y a-t-il des tendances saisonnières (périodes de vacances, télétravail) ?
• Quelles plateformes ont des périodes hors ligne plus longues ?

Vérification : Vous devriez avoir une compréhension claire des tendances d'activité de vos appareils et un seuil d'inactivité recommandé. Documentez le nombre d'appareils qui seraient affectés par différentes valeurs de seuil (30, 60, 90, 180 jours).

Créez maintenant une règle de nettoyage des appareils avec votre seuil d'inactivité déterminé. Commencez par une approche prudente pour votre première règle.

Depuis la page des règles de nettoyage des appareils, cliquez sur Créer pour démarrer l'assistant de création de règle :

Configuration des paramètres de base :

1. Nom : Entrez un nom descriptif comme "Appareils Windows - Nettoyage 90 jours"
2. Description : Ajoutez des détails comme "Masque les appareils Windows inactifs depuis plus de 90 jours pour maintenir un inventaire propre"
3. Plateforme : Sélectionnez votre plateforme cible :
   • Choisissez Toutes les plateformes pour un nettoyage universel
   • Sélectionnez Windows pour des règles spécifiques à la plateforme (recommandé pour un contrôle granulaire)
   • Autres options : Android (AOSP), Android (gestion complète), iOS/iPadOS, macOS

Cliquez sur Suivant pour passer aux paramètres de la règle.

Configuration des paramètres de la règle :

1. Dans le champ "Supprimer les appareils qui ne se sont pas connectés depuis ce nombre de jours", entrez votre seuil (entre 30 et 270 jours)
2. Pour votre première règle, utilisez 90 jours comme point de départ prudent
3. Cliquez sur Aperçu des appareils affectés pour voir quels appareils seront masqués par cette règle

Examinez attentivement l'aperçu - ces appareils seront masqués de votre console Intune une fois la règle active.

Vérification : L'aperçu devrait montrer un nombre raisonnable d'appareils. Si le nombre semble trop élevé, augmentez le seuil. Cliquez sur "Suivant" lorsque vous êtes satisfait des résultats de l'aperçu.

Complétez le processus de création de règle en examinant tous les paramètres et en déployant la règle dans votre environnement.

Sur la page "Vérifier + créer" :

1. Vérifiez que tous les paramètres sont corrects :
   • Nom de la règle et description
   • Plateforme cible
   • Seuil d'inactivité (jours)
   • Appareils estimés affectés
2. Si tout semble correct, cliquez sur Créer
3. Si vous devez apporter des modifications, cliquez sur Précédent pour revenir en arrière

Après avoir cliqué sur Créer, la règle sera active immédiatement et s'exécutera selon le calendrier automatisé de Microsoft. Le système commencera à masquer les appareils qui répondent aux critères d'inactivité.

Surveillez l'impact de la règle en revenant à Appareils > Règles de nettoyage des appareils. Vous verrez :

• Statut de la règle (Actif/Inactif)
• Nombre d'appareils actuellement masqués par la règle
• Horodatage de la dernière exécution
• Informations de ciblage de la plateforme

Vérification : La nouvelle règle devrait apparaître dans votre liste de règles de nettoyage des appareils avec un statut "Actif". Vérifiez le nombre "Appareils masqués" après 24 heures pour confirmer que la règle fonctionne. Accédez à Appareils > Tous les appareils et vérifiez que votre nombre total d'appareils a diminué de manière appropriée.

Créez des règles de nettoyage supplémentaires pour différentes plateformes afin d'optimiser votre stratégie de gestion des appareils. Différents types d'appareils ont souvent des schémas d'utilisation différents nécessitant des approches adaptées.

Retournez à Appareils > Règles de nettoyage des appareils et cliquez sur Créer pour chaque plateforme supplémentaire :

Seuils recommandés spécifiques à la plateforme :

Pour chaque règle de plateforme :

1. Nom : Utilisez le format "[Plateforme] - Nettoyage [Seuil] Jours" (par exemple, "Appareils iOS - Nettoyage 120 Jours")
2. Plateforme : Sélectionnez la plateforme spécifique
3. Seuil : Utilisez les valeurs recommandées ci-dessus comme points de départ
4. Aperçu : Vérifiez toujours les appareils affectés avant de créer

Créez des règles dans cet ordre de priorité :

1. Appareils Windows (volume le plus élevé, schémas les plus prévisibles)
2. Appareils Android (deuxième volume le plus élevé)
3. Appareils iOS/iPadOS
4. Appareils macOS (si applicable)

Vérification : Vous devriez avoir des règles de nettoyage distinctes pour chaque plateforme dans votre environnement. Vérifiez que chaque règle montre le nombre attendu d'appareils affectés et que le total ne dépasse pas votre niveau de confort pour les appareils masqués.

Surveillez régulièrement vos règles de nettoyage pour vous assurer qu'elles fonctionnent efficacement et ajustez les seuils en fonction des modèles d'utilisation réels.

Mettez en place une routine de surveillance en vérifiant ces métriques chaque semaine :

Métriques clés à suivre :

1. Appareils cachés par règle : Accédez à Appareils > Règles de nettoyage des appareils
2. Changements du nombre total d'appareils : Comparez les comptes de Appareils > Tous les appareils au fil du temps
3. Taux de réapparition des appareils : Suivez combien d'appareils cachés reviennent en ligne
4. Tickets du service d'assistance : Surveillez les utilisateurs signalant des appareils "manquants"

Processus de révision mensuelle :

# Utilisez Microsoft Graph PowerShell pour exporter les données des appareils pour analyse
Connect-MgGraph -Scopes "DeviceManagementManagedDevices.Read.All"

# Obtenez tous les appareils gérés avec le dernier temps de synchronisation
$devices = Get-MgDeviceManagementManagedDevice -All | Select-Object DeviceName, Platform, LastSyncDateTime, ComplianceState

# Exporter pour analyse
$devices | Export-Csv -Path "C:\temp\intune-devices-$(Get-Date -Format 'yyyy-MM-dd').csv" -NoTypeInformation

# Analyser les appareils par plateforme et dernière synchronisation
$devices | Group-Object Platform | ForEach-Object {
    $platformDevices = $_.Group
    $staleDevices = $platformDevices | Where-Object { $_.LastSyncDateTime -lt (Get-Date).AddDays(-60) }
    Write-Output "$($_.Name): $($staleDevices.Count) appareils plus anciens que 60 jours"
}

Lignes directrices pour les ajustements :

• Trop d'appareils cachés : Augmentez le seuil de 30 jours
• Trop peu d'appareils cachés : Diminuez le seuil de 15 jours
• Réapparitions fréquentes : Envisagez d'augmenter le seuil pour cette plateforme
• Réclamations des utilisateurs : Examinez les modèles spécifiques des appareils et ajustez en conséquence

Vérification : Exécutez l'analyse PowerShell mensuellement et documentez les tendances. Vos règles de nettoyage doivent maintenir un nombre stable d'"appareils cachés" avec un impact minimal sur les utilisateurs. Ajustez les seuils si vous observez des modèles cohérents d'appareils étant cachés et réapparaissant fréquemment.

Étant donné que les règles de nettoyage d'Intune ne font que masquer les appareils dans la console Intune, mettez en œuvre des procédures distinctes pour nettoyer les appareils obsolètes de Microsoft Entra ID pour une hygiène complète de l'environnement.

Accédez au centre d'administration Microsoft Entra à l'adresse https://entra.microsoft.com et naviguez vers Identité > Appareils > Tous les appareils.

Identifier les appareils Entra ID obsolètes :

1. Utilisez les options de filtrage pour trouver les appareils inactifs :
   • Activité : Réglez sur "Inactif depuis plus de 60 jours"
   • Type de jonction : Filtrez par "Joint à Azure AD" ou "Joint hybride à Azure AD"
   • État de l'appareil : Recherchez les appareils "Activés" qui sont en réalité obsolètes
2. Exportez la liste filtrée pour analyse
3. Faites une référence croisée avec votre liste d'appareils masqués Intune

Procédures de nettoyage par type de jonction :

Pour les appareils joints à Azure AD :

# Connectez-vous à Microsoft Graph
Connect-MgGraph -Scopes "Device.ReadWrite.All"

# Obtenez les appareils inactifs depuis plus de 90 jours
$cutoffDate = (Get-Date).AddDays(-90)
$staleDevices = Get-MgDevice -All | Where-Object {
    $_.ApproximateLastSignInDateTime -lt $cutoffDate -and
    $_.TrustType -eq "AzureAd"
}

# Révisez avant suppression
$staleDevices | Select-Object DisplayName, ApproximateLastSignInDateTime, TrustType | Format-Table

# Supprimez les appareils obsolètes (décommentez lorsque prêt)
# $staleDevices | ForEach-Object { Remove-MgDevice -DeviceId $_.Id }

Pour les appareils joints hybrides à Azure AD :

• Supprimez les objets ordinateurs obsolètes dans Active Directory sur site
• Déplacez les objets obsolètes vers une UO non synchronisée avec Azure AD Connect
• Utilisez Azure AD Connect pour synchroniser les suppressions avec Entra ID

Script de nettoyage automatisé :

# Script de nettoyage hebdomadaire pour les appareils Entra ID
param(
    [int]$DaysInactive = 90,
    [switch]$WhatIf = $true
)

Connect-MgGraph -Scopes "Device.ReadWrite.All"

$cutoffDate = (Get-Date).AddDays(-$DaysInactive)
$staleDevices = Get-MgDevice -All | Where-Object {
    $_.ApproximateLastSignInDateTime -lt $cutoffDate -and
    $_.TrustType -eq "AzureAd" -and
    $_.AccountEnabled -eq $true
}

Write-Output "Trouvé $($staleDevices.Count) appareils obsolètes de plus de $DaysInactive jours"

if ($WhatIf) {
    $staleDevices | Select-Object DisplayName, ApproximateLastSignInDateTime | Format-Table
} else {
    $staleDevices | ForEach-Object {
        Write-Output "Suppression de l'appareil : $($_.DisplayName)"
        Remove-MgDevice -DeviceId $_.Id
    }
}

Vérification : Après avoir exécuté le nettoyage, vérifiez que le nombre d'appareils Entra ID a diminué de manière appropriée. Assurez-vous qu'aucun appareil actif n'a été supprimé par erreur en examinant les journaux de connexion récents. Le nombre total d'appareils dans Entra ID devrait maintenant correspondre plus étroitement à votre nombre d'appareils actifs Intune.