Vous cherchez à automatiser davantage Intune ? Vous êtes au bon endroit. Voici un cas d’usage que de nombreux clients rencontrent : comment gérer les appareils volés ou perdus ?
Automatisons, en tenant compte des processus réels, les actions à distance pour ces appareils.
De quoi avons-nous besoin ?
Bien sûr, de Microsoft Graph. Une application enregistrée dans Entra avec les permissions pour les actions à distance (Remote Actions), les droits de lecture/écriture sur les appareils gérés (Managed Devices), ainsi que les permissions sur les appartenances aux groupes Entra.
Bien que PowerShell combiné à un Runbook Azure soit une option, ce cas d’usage est idéal pour Power Automate (ou Logic Apps). Les Triggers y sont nombreux et les appels Graph ne sont pas si complexes.
Le « Wipe » : La meilleure action pour les appareils volés
Le « Wipe » est une remise à zéro d’usine. Il supprime les données personnelles et professionnelles. S’il s’agit d’un appareil Autopilot, il se ré-enrôlera après l’authentification d’entreprise. C’est l’action la plus adaptée aux appareils volés.
Note : Si l’appareil ne se synchronise pas avec Internet, il ne sera pas supprimé d’Intune ni d’Entra. Le nettoyage final doit donc être géré par un autre processus.
Les étapes du processus
- L’appareil est ajouté à un Groupe A (via une demande de service ou manuellement par un admin).
- Le flux récupère tous les membres du Groupe A.
- Pour chaque membre, il récupère l’objet Entra.
- Ensuite, il récupère l’appareil Intune correspondant via le
deviceID. - Exécution du Wipe.
- Retrait de l’appareil du Groupe A.
- Ajout de l’appareil à un Groupe B pour le reporting et pour éviter de relancer le Wipe inutilement.
Configuration du flux Power Automate
1. Le Déclencheur (Trigger)
Pour la démo, utilisez une récurrence « Toutes les heures ». Vous pourriez aussi utiliser un Webhook pour déclencher le flux dès qu’un appareil rejoint le groupe.
2. Récupérer les membres du groupe
Utilisez l’étape intégrée « Get Group Members » avec l’ID de votre Groupe A.
3. Récupérer les infos Entra et Intune
Pour chaque appareil, effectuez une requête HTTP GET pour obtenir les infos depuis Entra.
- Authentification : Utilisez le secret de votre application ou un certificat (converti en base 64)
- Analyse JSON : Utilisez l’étape « Parse JSON ». Copiez-collez un exemple de réponse provenant du Graph Explorer pour générer le schéma automatiquement.
4. Identifier l’ID Intune
Comme nous ne connaissons pas l’ID Intune au départ, nous filtrons les appareils gérés en utilisant le deviceID d’Entra qui correspond à la propriété azureADDeviceId dans Intune.
- Astuce : Encodez les espaces (
%20) et les guillemets simples (%27) dans l’URI de votre requête HTTP, car Power Automate est pointilleux sur ces caractères.
5. L’action Wipe
Effectuez une action POST sur : [https://graph.microsoft.com/v1.0/deviceManagement/managedDevices/](https://graph.microsoft.com/v1.0/deviceManagement/managedDevices/){managedDeviceId}/wipe
Pour récupérer dynamiquement le managedDeviceId, utilisez cette expression (à adapter selon le nom de votre étape précédente) : first(body('Parse_Intune_Info_Json')?['value'])?['id']
6. Nettoyage et Reporting
Pour éviter que l’appareil ne reçoive l’ordre de Wipe à chaque heure :
- Retrait du groupe : Utilisez l’étape « Remove member from group ».
- Historisation : Utilisez l’étape « Add member to group » pour l’ajouter au Groupe B (« Appareils Wipés »).
Le corps de la requête pour l’ajout au groupe B ressemblera à ceci :
JSON
{ "@odata.id": "https://graph.microsoft.com/v1.0/directoryObjects/@{items('For_each')?['id']}"}
Conclusion
Et voilà ! Vous disposez maintenant d’un flux automatisé qui réinitialise à distance tout appareil ajouté à un groupe spécifique. Ce processus peut facilement être intégré aux outils de ticketing ou de support de votre organisation pour une réactivité maximale en cas de perte.