Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
L’agent de désintéglage d’appareil identifie les appareils obsolètes ou mal alignés sur Intune et l’ID Entra, fournissant des insights exploitables et nécessitant l’approbation de l’administrateur avant de désactiver les appareils. L’agent de désintéglage d’appareil complète l’automatisation Intune existante en exposant des insights et en gérant les cas ambigus où le nettoyage automatisé peut ne pas suffire.
Configuration requise
Configuration requise pour le cloud
L’agent est pris en charge uniquement sur le cloud public. Il n’est pas pris en charge sur les clouds gouvernementaux.
Conditions requises pour les licences
Pour utiliser des agents Security Copilot dans Microsoft Intune, votre organization doit répondre à des exigences de licence spécifiques.
Licences requises :
- abonnement Microsoft Intune Plan 1
- Microsoft Security Copilot avec suffisamment d’unités de calcul de sécurité (SKU)
Conditions requises pour les plug-in
Les plug-ins permettent aux agents Security Copilot de se connecter aux services Microsoft et d’effectuer des actions spécialisées.
L’agent device offboarding nécessite le plug-in suivant :
Configuration requise pour la plateforme de l’appareil
L’agent prend en charge les appareils gérés par Intune sur plusieurs plateformes, notamment Windows, iOS/iPadOS, macOS, Android et Linux.
Elle s’applique aux scénarios appartenant à l’entreprise et BYOD (bring-your-own-device).L’agent ne prend pas en charge :
- Appareils Windows joints à Entra hybrides
- Appareils Windows Autopilot
- Appareils partagés
- Téléphones Microsoft Teams
Conditions requises pour les rôles
Les exigences de rôle varient selon que vous configurez ou utilisez l’agent, et selon les actions spécifiques effectuées.
Pour activer, configurer et supprimer l’agent de désintéglage d’appareil, utilisez un compte avec les rôles suivants :
Intune rôles , soit :
- Opérateur en lecture seule
- Rôle personnalisé avec les autorisations Données d’audit/Lecture et organisation/Lecture
Rôles Entra, soit :
- Lecteur de sécurité
- Rôle personnalisé avec des autorisations Microsoft.Directory/Devices/Standard/Read
Security Copilot rôles :
Pour utiliser l’agent et effectuer des actions de désintégrage, utilisez un compte avec au moins les rôles suivants :
- Opérateur en lecture seule
- Rôle personnalisé avec les autorisations Données d’audit/Lecture et organisation/Lecture
- Lecteur de sécurité
- Rôle personnalisé avec des autorisations Microsoft.Directory/Devices/Standard/Read
Pour effectuer une action à partir de l’agent, par exemple pour désactiver des appareils dans Entra, vous devez disposer de l’autorisation Désactiver les appareils . Vous n’avez pas besoin de cette autorisation pour exécuter ou afficher les résultats de l’agent.
Mode de fonctionnement
Pour prendre en charge la gestion sécurisée et efficace du cycle de vie des appareils, l’agent de désintéglage d’appareil effectue une série d’évaluations et d’actions automatisées. Voici une répartition de son flux de travail :
1. Agrégation des signaux
L’agent de désintéglage de l’appareil commence par agréger les signaux de Microsoft Intune et Microsoft Entra ID. Ces signaux incluent des indicateurs qui permettent de déterminer si un appareil est actif, obsolète ou mal configuré.
2. Évaluation
L’agent évalue chaque appareil à l’aide d’une logique prédéfinie et de toutes les instructions personnalisées facultatives fournies par un administrateur.
3. Recommandations
Sur la base de cette évaluation, l’agent génère des recommandations qui signalent le retrait des appareils, ainsi que les actions suggérées et la raison d’être qui les sous-tendent.
4. approbation Administration
Aucune modification n’est apportée aux appareils sans approbation de l’administrateur explicite. L’agent fournit des recommandations détaillées, mais la décision finale de retirer un appareil incombe à l’administrateur informatique.
5. Correction assistée
Lors de l’approbation de l’administrateur, l’agent de désintéglage d’appareil désactive les objets d’ID Entra correspondants. Il facilite également le processus de désintégration en fournissant des conseils sur les étapes de correction supplémentaires, telles que la suppression d’appareils de Microsoft Defender ou d’Apple Business Manager.
Identité de l’agent
L’agent de désintéglage d’appareil s’exécute sous l’identité et les autorisations du compte d’administrateur Intune utilisé lors de l’installation. Ses actions sont limitées aux autorisations de ce compte et l’identité s’actualise à chaque exécution. Si l’agent ne s’exécute pas pendant 90 jours consécutifs, son authentification expire et les exécutions suivantes échouent jusqu’au renouvellement. Pour conserver les fonctionnalités, renouvelez l’identité de l’agent avant la limite de 90 jours.
Considérations opérationnelles
Avant d’exécuter l’agent de désintéglage d’appareil, notez les points suivants :
- Les administrateurs doivent démarrer l’agent manuellement . une fois lancé, il ne peut pas être suspendu ou arrêté.
- Les administrateurs peuvent uniquement lancer l’agent à partir du centre d’administration Microsoft Intune.
- Seul l’administrateur qui a configuré l’agent peut afficher les détails de la session dans le portail Microsoft Security Copilot.
- L’agent identifie les appareils qui ont été mis hors service, effacés ou supprimés de Intune au cours des 30 derniers jours.
- L’agent limite les résultats aux 10 000 premiers appareils.
- Lors de l’approbation de l’administrateur pour la désintégration, l’agent désactive les objets d’ID Entra. D’autres étapes de correction sont fournies sous forme d’instructions pour les administrateurs.
- L’agent ne conserve pas les suggestions entre les exécutions ; La réexécutation efface les recommandations précédentes.
- Un seul agent instance est pris en charge par locataire.
Importante
Les données signalées par l’agent sont exposées par le biais de suggestions d’agent. Ces informations peuvent être visibles par les administrateurs qui ont accès à l’agent dans le centre d’administration Intune, même si elles incluent des données en dehors des unités administratives (UNITÉS) qui leur sont attribuées dans Microsoft Entra ID.
Activer l’agent
Pour activer l’agent device offboarding, procédez comme suit :
- Dans le centre d’administration Microsoft Intune, sélectionnez Agents, puis sélectionnez l’agent que vous souhaitez activer.
- Sélectionnez Configurer l’agent pour ouvrir le volet de configuration.
- Passez en revue les détails pour vous assurer que les exigences sont en place, puis sélectionnez Démarrer l’agent.
L’agent s’exécute jusqu’à ce qu’il se termine, puis affiche ses résultats sous l’onglet Vue d’ensemble .
Configurer des instructions personnalisées
Utilisez des instructions personnalisées pour guider la logique de l’agent en fonction des besoins de votre organization. Les instructions personnalisées permettent d’affiner les critères d’évaluation de l’agent, ce qui vous permet d’inclure ou d’exclure des appareils spécifiques des recommandations de désintéglage.
Ces instructions peuvent être utilisées pour :
- Inclure ou exclure des ID d’objet spécifiques.
- Définissez des seuils pour l’activité de l’appareil.
Par exemple, si votre organization a des appareils exécutifs que vous ne souhaitez pas marquer pour la désintégration, vous pouvez utiliser des instructions personnalisées pour les exclure. Sans cette exclusion, l’agent peut détecter les incompatibilités d’identité sur ces appareils et consommer des SKU pour suggérer la désintégrance, même si cela n’est pas approprié. Les instructions personnalisées vous aident à éviter ce problème en guidant la logique de l’agent en fonction des besoins de votre organisation.
Les instructions personnalisées sont conservées entre les exécutions de l’agent. Par conséquent, une fois que vous les avez définies, elles sont évaluées chaque fois que l’agent s’exécute. Vous pouvez modifier les instructions personnalisées à tout moment dans l’onglet Paramètres et réexécuter l’agent. La section Facteurs d’une suggestion met en évidence les détails sur les instructions personnalisées qui ont été prises en compte lors de la création de la liste des appareils suggérés à retirer.
Pour configurer des instructions personnalisées :
- Dans le centre d’administration Microsoft Intune, sélectionnez Agents Agent> dedésintéglage d’appareil (préversion) .
- Sélectionnez l’onglet Paramètres.
- Dans le champ Instructions , entrez une invite pour personnaliser les critères d’évaluation de l’agent.
Exemples d’instructions personnalisées que vous pouvez utiliser
Exclure des appareils avec des ID [...]
Exclure les appareils avec la dernière activité après [...]
Exclure les appareils avec la dernière activité avant [...]
Inclure uniquement les appareils avec des ID [...]
Importante
Si vous incluez un ou plusieurs deviceIds et qu’aucun d’entre eux n’a été mis hors service, réinitialise ou supprimé au cours des 30 derniers jours, l’agent ne peut pas s’exécuter.
Inclure uniquement les appareils avec la dernière activité après [...]
Inclure uniquement les appareils avec la dernière activité avant [...]
Renouveler l’agent
Les agents expirent après 90 jours d’inactivité. Lorsque l’authentification expire, les exécutions de l’agent échouent jusqu’à ce que vous vous réauthentiez. Vous pouvez renouveler l’authentification à tout moment.
À l’approche de l’expiration, Intune affiche un avertissement sur la page de vue d’ensemble de l’agent. Les propriétaires Copilot et les contributeurs Copilot peuvent voir cette bannière, qui vous invite à renouveler l’identité de l’agent.
Pour renouveler l’agent :
- Ouvrez le centre d’administration Microsoft Security Copilot et connectez-vous avec un compte disposant des autorisations requises.
- Sélectionnez Agents.
- Recherchez l’agent qui doit être renouvelé, puis sélectionnez Accéder à l’agent.
- Dans la page détails de l’agent, sélectionnez ..., puis Modifier.
- Sélectionnez Renouveler l’authentification. L’agent utilise vos informations d’identification de connexion par défaut. Pour utiliser différentes informations d’identification, sélectionnez Ré-authentifier et fournissez-les .
Après le renouvellement, la bannière d’avertissement disparaît et une notification toast confirme la réussite.
Supprimer l’agent
Lorsque vous supprimez un agent, toutes les données associées générées, y compris les suggestions et les activités, sont supprimées. Les suggestions précédemment appliquées restent inchangées.
Étapes de suppression d’un agent instance :
- Dans le centre d’administration Microsoft Intune, sélectionnez Agents.
- Sélectionnez l’agent instance que vous souhaitez supprimer.
- Sélectionnez Supprimer l’agent et confirmez la suppression.
Après la suppression :
- Le volet agent revient à son état d’origine.
- Un administrateur peut réinstaller l’agent ultérieurement en répétant le processus d’installation.
Contribuer à façonner l’avenir des agents Intune
Rejoignez notre forum de commentaires Intune Agents pour partager des insights et influencer les fonctionnalités à venir dans Microsoft Intune.
Inscrivez-vous et apprenez-en davantage : https://aka.ms/IntuneAgentsForum