Intégration Microsoft Intune
Intégration d'Intune avec le connecteur Microsoft Graph API
Intégration Microsoft Intune
Intégration d'Intune avec le connecteur Microsoft Graph API
Les fonctionnalités liées à l’intégration d’Intune sont incluses dans le connecteur Microsoft Graph API (anciennement connecteur Entra ID ).
Le connecteur Microsoft Graph API vous permet de lire les données de Microsoft Intune. À partir de la version 2025.2, vous pouvez également effectuer des modifications/actions dans Intune. Ces deux fonctionnalités offrent une valeur ajoutée significative dans quatre domaines clés :
Visibilité et contrôle améliorés : l'accès en temps quasi réel aux données des appareils et des logiciels améliore la supervision informatique, le suivi des actifs et la prise de décision.
Automatisation et efficacité : les modifications automatisées réduisent le travail manuel, accélèrent les temps de réponse et rationalisent les processus tels que l'intégration et les mises à jour.
Sécurité et conformité renforcées : la détection et la correction rapides des risques favorisent des postures de sécurité plus solides et le respect des normes réglementaires.
Intégration stratégique et innovation : l’intégration transparente avec d’autres systèmes informatiques permet une automatisation plus intelligente, une meilleure gouvernance et soutient les efforts de transformation numérique.
Pour la configuration de base de la connexion et des tâches Microsoft Graph API , consultez la documentation du connecteur Microsoft Graph API .
Pour les instructions client, voir https://docs.efecte.com/customer-instructions/efecte-provisioning-engine-customer-instructions-for-entra-id
Les cas d’utilisation les plus courants avec Intune sont
- Lecture des appareils d'Intune vers CMDB (inclus dans la version de base 2025.1)
- Lecture de logiciels d'Intune vers CMDB
Lire les appareils depuis Intune
Consultez la documentation Microsoft pour leur API https://learn.microsoft.com/en-us/graph/api/resources/intune-devices-manageddevice?view=graph-rest-1.0
Autorisations de l'application Entra ID
Pour l'importation d'appareils Intune, l'application dans Entra ID a besoin de ces autorisations
Pour les instructions client, voir https://docs.efecte.com/customer-instructions/efecte-provisioning-engine-customer-instructions-for-entra-id
| Type d'autorisation | Autorisation |
| Application |
Gestion des appareilsAppareils gérés.Lire.Tous ou Gestion des périphériques.Appareils gérés.Lecture/écriture.Tous |
Requêtes pour les tâches planifiées
Il n'est pas recommandé d'utiliser plus de 3 sous-requêtes, car chaque sous-requête rend la récupération des données beaucoup plus lourde.
Si possible, effectuez un test de performance avant de lancer la tâche en production.
Supprimez les sous-requêtes que vous n'utilisez pas dans les mappages d'attributs.
Si vous devez extraire des données de plus de sous-requêtes que ce qui est acceptable pour les performances, créez vos propres tâches distinctes pour celles-ci, puis utilisez les fonctionnalités ESM pour combiner les données extraites par deux tâches.
Requête : deviceManagement/managedDevices
Sous-requêtes (Exemples de possibilités pour les sous-requêtes. Pour les mappages utilisés ci-dessous, aucune sous-requête n'est nécessaire) :
deviceManagement/managedDevices/{id}/ Pro protection Windows
Gestion des appareils/appareils gérés/{id}/utilisateurs
Mappages pour les tâches planifiées
Utilisez toujours un modèle générique pour les mappages Intune Type :
Il est possible que votre environnement utilise différents modèles et/ou dossiers cibles pour les appareils que vous souhaitez importer depuis Intune. Le champ de mappage d'ID de tâche et la valeur de l'attribut Statut peuvent également être différents lors de la suppression d'un appareil d'Intune.
Cet exemple utilise ces valeurs :
Modèle cible - Appareil
Dossier cible - Actif/Serveur
Mappage des identifiants de tâche - Tâche de connecteur associée. Sélectionnez l'attribut où stocker l'identifiant de tâche, dans cet exemple « Tâche de connecteur associée ». Cet attribut peut être utilisé dans les scripts pour déterminer quelle tâche a créé/mis à jour la carte de données. Cet attribut est également utilisé en interne pour la fonctionnalité « Définir une valeur pour les objets supprimés ».
Définir la valeur pour l'objet supprimé - coché
Nom de l'attribut - Statut
Valeur d'attribut - 07 - Éliminé
Exemple de base de mappages pour les appareils Intune. Vous souhaiterez peut-être mapper différents attributs, en raison de leur utilisation différente et de leurs exigences et modèles différents.
Ces attributs Intune ne figurent pas dans la liste déroulante des mappages (colonne de gauche). Vous devez donc les ajouter en cliquant sur le bouton « + Nouvel attribut ».
Si vous définissez cette sous-requête deviceManagement/managedDevices/{id}/windows Pro tectionState , vous pouvez également ajouter un mappage, par exemple, à ces attributs Intune liés à Devices Windows Pro :
Ou si vous avez ajouté d'autres sous-requêtes, par exemple : deviceManagement/managedDevices/{id}/users
vous pouvez avoir des mappages pour ceux-là.
Exemple de tableau de mappage d'attributs pour les appareils Intune
Cela contient les attributs les plus utilisés liés aux appareils Intune, mais vous pouvez également ajouter d'autres attributs à la table de mappage.
| Attribut externe | Attribut local |
|---|---|
| identifiant | intune_id |
| ID de l'utilisateur | ID utilisateur intune |
| Type de propriétaire de l'appareil géré | type de propriétaire de périphérique géré par intune |
| Date et heure d'inscription | date et heure d'inscription intune |
| dernièreDateHeure de Synchronisation | intune_lastsyncdatetime |
| jailBroken | intune_jailbreaké |
| État d'attestation de santé de l'appareil | attestation d'état de santé de l'appareil intune |
| abonnéOpérateur | intue_abonnéopérateur |
| meid | intune_meid |
| espace de stockage total en octets | intune_totalstoragespaceinbytes |
| espace de stockage libre en octets | intune_freestoragespaceinbytes |
| nom de l'appareil géré | nom_de_l'appareil_géré_intune |
| État de la menace signalée par le partenaire | état de menace signalé par le partenaire intune |
| activationLockBypassCode | intune_activationlockbypasscode |
| État de conformité | état de conformité d'Intune |
| adresse e-mail | adresse e-mail intune |
| est supervisé | intune_est_supervisé |
| système opérateur | système d'exploitation intune |
| osVersion | intune_osversion |
| numéro de série | intune_numéro_de_série |
| Agent de gestion | agent de gestion intune |
| easActivé | intune_easactivated |
| easDeviceId | intune_easdeviceid |
| Date et heure d'activation eas | intune_easactivationdatetime |
| Azure AD enregistré | intune_azureadenregistré |
| type d'inscription de l'appareil | type d'inscription de l'appareil intune |
| ID de périphérique Azure AD | intune_azureaddeviceid |
| État d'enregistrement de l'appareil | état d'enregistrement de l'appareil intune |
| deviceCategoryDisplayName | intune_devicecategorydisplayname |
| échangeDateHeure de la dernière synchronisation réussie | intune_exchangelastsuccessfulsyncdatetime |
| nom de l'appareil | nom_de_périphérique_intune |
| modèle | modèle_intune |
| échangeAccessState | état d'accès intune_exchange |
| échangeAccessStateReason | intune_exchangeaccessstatereason |
| est crypté | intune_isencrypted |
| fabricant | intune_fabricant |
| nom_principal_utilisateur | nom_principal_utilisateur_intune |
| numéro de téléphone | intune_numéro_de_téléphone |
| Niveau de correctif de sécurité Android | niveau de correctif de sécurité intune_android |
| nom d'affichage de l'utilisateur | nom d'affichage de l'utilisateur intune |
| adresse Wi-FiMac | adresse_wifi_intune |
| imei | intune_imei |
| Résultats de l'action du périphérique | résultats d'action intune_device |
Lire le logiciel depuis Intune
Consultez la documentation Microsoft pour leur API https://learn.microsoft.com/en-us/graph/api/intune-devices-detectedapp-list?view=graph-rest-1.0&tabs=http
Autorisations de l'application Entra ID
Pour l'importation d'appareils Intune, l'application dans Entra ID a besoin de ces autorisations
Pour les instructions client, voir https://docs.efecte.com/customer-instructions/efecte-provisioning-engine-customer-instructions-for-entra-id
| Type d'autorisation | Autorisation |
| Application |
Gestion des appareilsAppareils gérés.Lire.Tous ou Gestion des périphériques.Appareils gérés.Lecture/écriture.Tous |
Requêtes pour les tâches planifiées
Requête : deviceManagement/detectedApps
Sous-requêtes : deviceManagement/detectedApps/{id}/managedDevices
Mappages pour les tâches planifiées
Utilisez toujours un modèle générique pour les mappages Intune Type :
Mappage des identifiants des périphériques de sous-requête : deviceManagement/detectedApps/{id}/managedDevices.id
mappé sur des périphériques d'attributs de chaîne à valeurs multiples.
Effacer l'appareil Intune
L'effacement est l'une des actions prises en charge pour les appareils Intune. Il permet d'effacer les données d'un appareil perdu. Pour plus d'informations sur toutes les actions, consultez le chapitre « Toutes les actions prises en charge pour les appareils Intune » sur cette page.
Documentation Microsoft pour l'action d'effacement : Documentation pour l'effacement
Tâche basée sur les événements
L'URL de la tâche basée sur les événements peut être vide. L'URL finale à appeler est créée en combinant l'URL du connecteur et celle du nœud de workflow.
Mappages pour les tâches basées sur les événements
En-tête pour la tâche basée sur les événements
Il n’est pas nécessaire de définir des en-têtes supplémentaires, la gestion des connecteurs le définit automatiquement :
| Type de contenu | application/json |
Nœud de flux de travail
Sélectionnez ces éléments Orchestration, Source de données et Activités :
Sélectionnez la tâche événementielle créée pour cette action. Vous pouvez également utiliser une tâche événementielle pour plusieurs actions.
Activité : Appel REST API générique
Type : POST
URL : deviceManagement/managedDevices/$attributecode_for_deviceid$/wipe
Exemple de corps :
{ "keepEnrollmentData": vrai,
"keepUserData": faux,
"macOsUnlockCode": "Valeur du code de déverrouillage Mac OS",
"persistEsimDataPlan": vrai }
Autorisations de l'application Entra ID
Pour les actions des appareils Intune, l'application dans Entra ID a besoin de ces autorisations
Pour les instructions client, voir https://docs.efecte.com/customer-instructions/efecte-provisioning-engine-customer-instructions-for-entra-id
| Type d'autorisation | Autorisation |
|---|---|
| Application |
Gestion des périphériques.Appareils gérés.Lecture/écriture.Tous ou Gestion des appareils.Appareils gérés.Opérations privilégiées.Tous |
Autres actions pour les appareils Intune
Autorisations de l'application Entra ID
Pour les actions sur les appareils Intune, l'application dans Entra ID nécessite des autorisations. Pour définir les autorisations appropriées, consultez : https://docs.efecte.com/customer-instructions/efecte-provisioning-engine-customer-instructions-for-entra-id et https://learn.microsoft.com/en-us/graph/permissions-reference
Tâche basée sur les événements
L'URL de la tâche basée sur les événements peut être vide. L'URL finale à appeler est créée en combinant l'URL du connecteur et celle du nœud de workflow.
Mappages pour les tâches basées sur les événements
En-tête pour la tâche basée sur les événements
Il n’est pas nécessaire de définir des en-têtes supplémentaires, la gestion des connecteurs le définit automatiquement :
| Type de contenu | application/json |
Nœud de flux de travail
Dans le nœud Orchestration du workflow, sélectionnez Orchestration, Source de données et Activité :
Sélectionnez la tâche événementielle créée pour cette action. Vous pouvez également utiliser une tâche événementielle pour plusieurs actions.
Toutes ces actions utilisent la méthode http POST, à l’exception de Supprimer l’appareil d’Intune qui utilise DELETE.
Remarque ! Pour les URL d'action, n'oubliez pas de définir l'attribut correct pour $attributecode_for_deviceid$ soit directement à partir de la carte de données, soit via la référence $referencedata:attributecode_for_deviceid$ .
Cycle de vie et conformité des appareils
Essuyer
Effacer les données de l'appareil (conserver éventuellement les données utilisateur).
Documentation pour l'effacement
URL : deviceManagement/managedDevices/$attributecode_for_deviceid$/wipe
{ "keepEnrollmentData": vrai,
"keepUserData": faux,
"macOsUnlockCode": "Valeur du code de déverrouillage Mac OS",
"persistEsimDataPlan": vrai }
Se retirer
Supprimez les données de l'entreprise et le profil de gestion de l'appareil.
Documentation pour la retraite
URL : deviceManagement/managedDevices/$attributecode_for_deviceid$/retire
Supprimer
Supprimez définitivement un enregistrement d’appareil d’Intune.
Documentation pour Supprimer
Type d'action : SUPPRIMER
URL : deviceManagement/managedDevices/$attributecode_for_deviceid$
Nettoyer l'appareil Windows
Effectuez une réinstallation propre de Windows.
Documentation pour le nettoyage
URL : deviceManagement/managedDevices/$attributecode_for_deviceid$/cleanWindowsDevice
Synchroniser l'appareil
Forcer l'appareil à s'enregistrer auprès d'Intune.
Documentation pour Sync
URL : deviceManagement/managedDevices/$attributecode_for_deviceid$/syncDevice
Sécurité et gestion
Verrouillage à distance
Verrouiller l'appareil à distance.
Le verrouillage à distance est pris en charge sur les appareils exécutant :
- Android
- iOS
Documentation pour le verrouillage à distance
URL : deviceManagement/managedDevices/$attributecode_for_deviceid$/remoteLock
Réinitialiser le code d'accès (iOS/ iPad OS uniquement)
Réinitialiser le mot de passe de l'appareil.
Documentation de réinitialisation du mot de passe
URL : deviceManagement/managedDevices/$attributecode_for_deviceid$/resetPasscode
Exemple de corps :
{
"mot de passe": "Temporaire-??-42?!"
}
Activer/désactiver le mode perdu (iOS uniquement)
Suivez les appareils perdus via le mode Perdu.
Remarque ! Microsoft n'a pas encore ajouté cette fonctionnalité à la version 1 de son API Graph. Pour appeler ces API , vous devez donc utiliser un connecteur utilisant la version bêta Microsoft Graph API . URL de l'API Graph dans le connecteur : https://graph.microsoft.com/beta/ 
Documentation pour Activer le mode perdu
Documentation pour Désactiver le mode perdu
URL : deviceManagement/managedDevices/$attributecode_for_deviceid$/enableLostMode
Exemple de corps :
{
"footer": "Veuillez retourner cet appareil au service informatique de CompanyX",
"message": "Appareil perdu. Contactez le service informatique de la société X au +358999999999.",
"Numéro de téléphone": "+358999999999"
}
Localiser l'appareil
Obtenez les coordonnées GPS d'un appareil perdu.
Documentation localiser l'appareil
URL : deviceManagement/managedDevices/$attributecode_for_deviceid$/locateDevice
Exemple de corps :
{
"deviceTag": "HRDeptTempTag"
}
Redémarrer maintenant (Windows uniquement)
Redémarrez l'appareil à distance.
Redémarrage de la documentation
URL : deviceManagement/managedDevices/$attributecode_for_deviceid$/restartNow
Arrêter (Windows uniquement)
Éteignez l'appareil à distance.
Fermeture de la documentation
URL : deviceManagement/managedDevices/$attributecode_for_deviceid$/shutdown
Rotation des clés BitLocker
Faites pivoter les clés de récupération BitLocker pour plus de sécurité.
Documentation sur la rotation des clés Bitlocker
URL : deviceManagement/managedDevices/$attributecode_for_deviceid$/rotateBitLockerKeys
Configuration et Cloud PC
Définir le nom de l'appareil
Attribuer un nouveau nom à l'appareil.
Nom du périphérique de l'ensemble de documentation
URL : deviceManagement/managedDevices/$attributecode_for_deviceid$/setDeviceName
Exemple de corps :
{
"deviceName": "Finance-Laptop-20250123"
}
Autres exemples liés à Intune
Ce chapitre vous donne quelques exemples sur la manière dont il peut être utilisé pour récupérer des données Intune.
Comment récupérer les appareils Intune
L'exemple ci-dessous montre comment récupérer les appareils Intune, l'utilisateur principal de l'appareil et l'état de protection Windows de l'appareil.
Si vous souhaitez utiliser des filtres dans la requête Microsoft Entra pour deviceManagement/managedDevices, consultez ce document Microsoft : https://learn.microsoft.com/en-us/graph/api/resources/intune-devices-manageddevice?view=graph-rest-1.0
Voici un exemple de filtrage, qui filtre vos appareils dont l'état de conformité n'est pas conforme : deviceManagement/managedDevices?$filter=complianceState eq 'noncompliant'
Mappage d'attributs
Avec les requêtes et sous-requêtes Intune, voici des exemples de lecture de données avec des mappages d'attributs :
Plus d’exemples de mappage Intune :
Mappage à partir d'une sous-requête
Si vous souhaitez lire un attribut d'une sous-requête, ce dernier possède son propre format. Vous devez d'abord définir la sous-requête comme préfixe, puis le point (.), puis le nom de l'attribut à lire.
À titre d’exemple, examinons cette cartographie plus en détail :
/deviceManagement/managedDevices/{id}/windows Pro tectionState . deviceState
préfixe (identique à la sous-requête) : /deviceManagement/managedDevices/{id}/windows Pro tectionState
point : .
suffixe comme nom d'attribut à partir du jeu de résultats de la sous-requête : deviceState
Ce mappage de sous-requête lit à partir de tous les périphériques résultant de la requête principale l'objet Pro de Windows, et à partir de là, il lit la valeur de l'attribut deviceState.
Informations Microsoft Graph API relatives à cet exemple Intune
https://learn.microsoft.com/en-us/graph/api/intune-devices-manageddevice-list?view=graph-rest-1.0
Comment récupérer des applications Intune
L'exemple ci-dessous montre comment récupérer les applications Intune et les appareils dotés de ces applications.
Requête Microsoft entra : deviceManagement/detectedApps
Sous-requêtes : deviceManagement/detectedApps/{id}/managedDevices
Mappage d'attributs
Avec les requêtes et sous-requêtes Intune, voici 3 exemples de mappages :
nom d'affichage
plate-forme
deviceManagement/detectedApps/{id}/managedDevices.operatingSystem
Informations Microsoft Graph API relatives à cet exemple Intune
https://learn.microsoft.com/en-us/graph/api/resources/intune-devices-detectedapp?view=graph-rest-1.0
Restrictions connues
Restrictions dans les versions 2025.2 et antérieures
API de création de rapports Microsoft Intune https://graph.microsoft.com/beta/deviceManagement/reports/exportJobs n'est pas prise en charge https://learn.microsoft.com/en-us/intune/intune-service/fundamentals/reports-export-graph-available-reports
Plusieurs niveaux de sous-requêtes ne sont pas pris en charge, pour des raisons de performances.
Les versions antérieures à 2025.3 ne prennent pas en charge plusieurs sous-requêtes. Cette prise en charge a été ajoutée à la version 2025.3.
Le connecteur ne prend pas en charge le marquage des objets Intune supprimés dans Matrix42 Core , Pro et IGA lorsqu'ils sont supprimés de Microsoft Intune dans les versions antérieures à 2025.3. Cette prise en charge a été ajoutée à la version 2025.3.
Restrictions en 2025.3
API de création de rapports Microsoft Intune https://graph.microsoft.com/beta/deviceManagement/reports/exportJobs n'est pas prise en charge https://learn.microsoft.com/en-us/intune/intune-service/fundamentals/reports-export-graph-available-reports
Plusieurs niveaux de sous-requêtes ne sont pas pris en charge, pour des raisons de performances.