Désaffecter l'appareil
Retirer / mettre hors service un appareil Windows
Description
Retirer/mettre hors service un appareil Windows. Vous pouvez choisir si vous souhaitez effacer l'appareil et/ou le supprimer d'Intune et d'AutoPilot. En option, l'appareil peut être étiqueté dans Microsoft Defender for Endpoint afin de le marquer comme exclu de la remédiation. REMARQUE : la balise d'exclusion est appliquée à l'appareil, mais elle n'apparaît dans le filtre "Tags" du portail Defender qu'une fois qu'elle a été créée via le portail (Appareil > Gérer les balises > "Créer une nouvelle balise").
balise d'exclusion Microsoft Defender for Endpoint
Microsoft Defender for Endpoint dispose d'un état d'exclusion (affiché dans le filtre de l'inventaire des appareils comme Exclu / Non exclu). Cet état ne peut être défini que via le portail Defender — il n'existe aucune API pour définir par programme l'état d'exclusion natif d'un appareil.
Comme l'état d'exclusion natif ne peut pas être automatisé, ce runbook applique à la place une balise d'appareil personnalisée (par défaut ExcludeFromRemediation) lorsque Exclure l'appareil de Microsoft Defender for Endpoint est activée. L'appareil est recherché par son ID d'appareil Entra ID et étiqueté via POST /api/machines/{id}/tags, ce qui fournit un indicateur pouvant être utilisé pour filtrer et cibler les appareils exclus.
Configuration unique : rendre la balise filtrable
Le filtre Balises du portail Balises Le filtre n'affiche malheureusement que les balises créées via le portail. Une balise définie uniquement via l'API est rattachée à l'appareil et visible sur la page de l'appareil, mais elle ne pas n'apparaît pas seule dans le filtre Balises.
Pour rendre la balise d'exclusion visible et utilisable pour le filtrage dans le l'inventaire des appareils Defender, un client doit être balisé manuellement une fois via le portail (sélectionnez un appareil > Gérer les balises > "Créer une nouvelle balise", en utilisant exactement la même valeur de balise). Après cette étape unique, la balise devient une balise connue et filtrable, et ce runbook peut l'appliquer à grande échelle aux appareils.
Remarque : Cette balise n'est qu'une étiquette — elle ne définit pas l'état d'exclusion natif de l'appareil et n'a aucun effet de remédiation à elle seule. Elle ne prend effet que si un groupe d'appareils Defender ou une règle d'automatisation est explicitement configuré pour correspondre à cette valeur de balise. Ces règles correspondent directement à la valeur de la balise, indépendamment du portail Balises filtre, de sorte que l'étape manuelle unique n'affecte que le fait que la balise puisse être sélectionnée pour le filtrage dans l'interface utilisateur du portail.
Voir Créer et gérer des balises d'appareil pour plus de détails.
Emplacement
Appareil → Général → Mettre hors service l'appareil
Nom complet du Runbook
rjgit-device_general_outphase-device
Autorisations
Autorisations d'application
Type: Microsoft Graph
DeviceManagementManagedDevices.PrivilegedOperations.All
DeviceManagementManagedDevices.ReadWrite.All
DeviceManagementServiceConfig.ReadWrite.All
Device.Read.All
Type: WindowsDefenderATP
Machine.Read.All
Machine.ReadWrite.All
rôles RBAC
Administrateur d'appareils cloud
Paramètres
ID de l’appareil
L’ID de l’appareil cible.
Requis
vrai
Valeur par défaut
Type
Chaîne de caractères
intuneAction
Détermine l'action Intune à effectuer (effacer, supprimer ou aucune).
Requis
faux
Valeur par défaut
2
Type
Int32
aadAction
Détermine l'action Entra ID (Azure AD) à effectuer (supprimer, désactiver ou aucune).
Requis
faux
Valeur par défaut
2
Type
Int32
wipeDevice
Si la valeur est true, déclenche une action d'effacement dans Intune.
Requis
faux
Valeur par défaut
Vrai
Type
Boolean
removeIntuneDevice
Si la valeur est true, supprime l’objet d’appareil Intune.
Requis
faux
Valeur par défaut
Faux
Type
Boolean
removeAutopilotDevice
"Supprimer l'appareil de la base de données AutoPilot ?" (valeur finale : true) ou "Conserver l'appareil / peu importe" (valeur finale : false) peuvent être sélectionnés comme action à effectuer. Si la valeur est true, le runbook supprimera l'appareil de la base de données AutoPilot, ce qui permet également à l'appareil de quitter le Tenant. Si la valeur est false, l'appareil restera dans la base de données AutoPilot et pourra être réaffecté à un autre utilisateur/appareil dans le Tenant.
Requis
faux
Valeur par défaut
Vrai
Type
Boolean
removeAADDevice
"Supprimer l’appareil d’Entra ID ?" (valeur finale : true) ou "Conserver l’appareil / sans importance" (valeur finale : false) peuvent être sélectionnés comme action à effectuer. Si la valeur est true, le runbook supprimera l’objet d’appareil d’Entra ID (Azure AD). Si la valeur est false, l’objet d’appareil restera dans Entra ID (Azure AD).
Requis
faux
Valeur par défaut
Vrai
Type
Boolean
disableAADDevice
"Désactiver l’appareil dans Entra ID ?" (valeur finale : true) ou "Conserver l’appareil / sans importance" (valeur finale : false) peuvent être sélectionnés comme action à effectuer. Si la valeur est true, le runbook désactivera l’objet d’appareil dans Entra ID (Azure AD). Si la valeur est false, l’objet d’appareil restera activé dans Entra ID (Azure AD).
Requis
faux
Valeur par défaut
Faux
Type
Boolean
excludeFromDefender
Si la valeur est true, l'appareil sera étiqueté dans Microsoft Defender for Endpoint avec la balise d'exclusion spécifiée. Si la valeur est false, l'étape Defender sera entièrement ignorée.
Requis
faux
Valeur par défaut
Faux
Type
Boolean
defenderExclusionTag
La balise qui sera ajoutée à l'appareil dans Microsoft Defender for Endpoint pour le marquer comme exclu. Par défaut, "ExcludeFromRemediation".
Requis
faux
Valeur par défaut
ExcludeFromRemediation
Type
Chaîne de caractères
Mis à jour
Ce contenu vous a-t-il été utile ?