Jusqu’à présent, la suppression accidentelle d’un appareil dans Entra ID était synonyme de perte définitive. Désormais, ce ne sera plus le cas car Microsoft a ajouté une nouveauté attendue au sein d’Entra ID : le soft delete pour les appareils. Disponible en préversion publique, cette nouveauté offre un précieux filet de sécurité de 30 jours aux administrateurs. Voici ce que l’on sait sur cette nouveauté.

Comment fonctionne le soft delete des appareils ?

Dans Microsoft Entra ID, les identités des appareils sont associées à des politiques d’accès et de sécurité. Il y a un lien fort et important entre les deux. Et pourtant, jusqu’ici, une simple erreur de manipulation pouvait permettre de supprimer un appareil d’Entra ID (à condition d’avoir les permissions), de façon irréversible. Le problème, c’est que l’appareil entraîne dans sa chute des données importantes, comme le mot de passe LAPS ou la clé de récupération BitLocker.

La fonctionnalité de suppression réversible (“Device Soft Delete”) dévoilée par Microsoft et actuellement en Public Preview, répond à cette problématique. Lorsqu’un appareil est supprimé, il sera déplacé dans un conteneur dédié aux appareils supprimés pendant 30 jours. Ce n’est qu’à la fin de cette période de grâce que l’appareil sera définitivement supprimé.

“L’ADRS (Azure Device Registration Service) lance une procédure de désenregistrement qui désactive les jetons de rafraîchissement d’authentification de l’appareil, puis déplace l’objet représentant l’appareil vers le conteneur des éléments supprimés temporairement. L’appareil conserve son identifiant unique et ses clés de chiffrement dans cet état de suppression temporaire.”, précise la documentation de Microsoft.

En pratique, voici ce qu’il se passe lorsqu’un appareil est supprimé de façon réversible :

• L’ADRS supprime immédiatement ses accès (authentification) et le déconnecte.
• Les informations associées à la machine, comme les clés de récupération BitLocker, les mots de passe LAPS et les identifiants uniques, sont précieusement conservées.
• L’appareil ne peut plus se connecter ni accéder aux ressources protégées par Microsoft Entra ID.
• Les administrateurs ne peuvent plus gérer ni mettre à jour l’appareil, qui n’apparaît plus dans les résultats classiques d’Entra ou d’Intune.
• Le Device ID correspondant à son identifiant unique d’appareil ne peut pas être réutilisé tant que l’objet n’est pas restauré ou définitivement supprimé.

Quels sont les appareils pris en charge ?

Microsoft explique que cette nouveauté, dans le cadre de la préversion publique, prend en charge les types d’appareils suivants :

• Microsoft Entra joined : appareils gérés par l’entreprise et directement joints à Microsoft Entra ID.
• Microsoft Entra hybrid joined : appareils gérés par l’entreprise, joints à votre domaine Active Directory (on-premises) et enregistrés auprès de Microsoft Entra ID.
• Microsoft Entra registered : appareils personnels ou BYOD enregistrés avec un compte professionnel ou scolaire.

Il y a tout de même des exceptions, c’est-à-dire des types d’appareils toujours soumis au hard delete :

• Les appareils sans type reconnu, comme ceux créés via l’API Microsoft Graph.
• Certains types d’appareils bien spécifiques, comme les VM sécurisées avec des identités managées, les instances VDI non persistantes, ainsi que les imprimantes.

L’essentiel est donc pris en charge dès maintenant. Le fait que les appareils Entra Hybrid Joined soient pris en charge est plutôt avantageux sur le papier, notamment pour prévenir la création de doublons. En effet, si un appareil est accidentellement retiré du scope de la synchronisation, il pourra être restauré depuis la corbeille soft delete lors du cycle de synchronisation suivant. Cela évite qu’un nouvel appareil soit recréé, avec les conséquences que cela peut avoir.

Comment restaurer un appareil supprimé ?

Pour afficher ou restaurer ces appareils en sursis, vous avez le choix entre la console d’administration, la ligne de commande avec PowerShell ou directement en sollicitant l’API Microsoft Graph.

Par ailleurs, vous devez disposer de l’un des rôles d’administration suivants : Cloud Device Administrators, Intune Administrators ou Global Administrators.

• Via la console d’administration

La section correspondant au soft delete est déjà accessible, même si elle devrait être disponible uniquement quand la fonctionnalité sera en disponibilité générale, comme le révèle AdminDroid. Ainsi, vous pouvez accéder à la liste des appareils supprimés en utilisant ce lien :

– https://entra.microsoft.com/#view/Microsoft_AAD_Devices/DeletedDevices.reactview

Cela fonctionne bien :

• Via Microsoft Graph PowerShell

Si vous ne disposez pas du module Microsoft Graph Beta, vous pouvez l’installer avec cette commande :

Puis, établissez une connexion à votre tenant :

Ensuite, pour récupérer la liste complète des machines se trouvant dans le conteneur de soft delete, exécutez la commande suivante :

Cette commande vous retournera des informations à propos des appareils supprimés, notamment l’identifiant uniquement, la date et l’heure à laquelle l’appareil a été supprimé, etc. Vous pouvez déclencher la restauration d’un appareil avec cette commande :

Qu’en pensez-vous ?