Manuel Utilisateur
Documentation pour Cerberus Enterprise MDM
- Introduction
- Configuration
- Aperçu du provisionnement des appareils
- Provisionnement des Appareils - Android
- Appareils pris en charge
- Jetons d'enrôlement
- Appareils personnels
- Appareils appartenant à l'entreprise pour usage professionnel et personnel
- Appareils appartenant à l'entreprise pour usage professionnel uniquement
- Zero-touch
- Authentification via l'enrôlement Google
- Provisionnement des Appareils - Apple
- Aperçu du provisionnement Apple
- Enrôlement manuel Apple (Profil d'enrôlement)
- Enrôlement automatique des appareils Apple (ADE)
- Aperçu des politiques
- Politiques - Android
- Résumé
- Gestion des applications
- Mode kiosque
- Sécurité
- Multimédia
- Cellulaire
- Réseautage
- Système
- Localisation et géorepérage
- Gestion des utilisateurs
- Usage personnel
- Politiques interprofils
- Rapport d'état
- Divers
- Règles d'application des politiques
- Politiques - Apple
- Politiques Apple
- Politique Apple : Code de déverrouillage
- Politique Apple : Restrictions
- Politique Apple : Applications et profils
- État de l'Appareil
- Carte de localisation du tableau de bord
- Applications privées
- Gestion des certificats
- Règles d'événement
- Appareils
- Utilisateurs
- Compte
- Multitenance
- Aperçus
Introduction
Cerberus Enterprise est une solution EMM complète, conçue pour vous aider à sécuriser et à gérer vos appareils Android et Apple. Elle dispose de toutes les fonctionnalités nécessaires pour une gestion efficace des appareils personnels (BYOD) et professionnels dans un tableau de bord clair et convivial, et vous pouvez commencer à l'utiliser en quelques minutes.
Pour utiliser efficacement Cerberus Enterprise, vous devez comprendre certains concepts clés sur le fonctionnement du système.
Le système prend en charge la gestion des appareils Android et Apple :
Sur Android, Cerberus Enterprise utilise l'API de gestion Android officielle de Google pour gérer les appareils via l'application Android Device Policy (ADP). La plupart des paramètres sont appliqués directement par l'ADP. Certaines fonctionnalités optionnelles peuvent également nécessiter l'application compagnon Cerberus Enterprise, qui étend les possibilités au-delà de la seule ADP.
Sur les appareils Apple, Cerberus Enterprise gère les appareils via le MDM (Mobile Device Management) d'Apple. La gestion Apple nécessite un certificat APNs et peut, en option, s'intégrer à Apple Business Manager pour l'enrôlement automatisé et la gestion des licences d'applications.
Chaque appareil peut être enrôlé dans le système à l'aide d'un jeton d'enrôlement ou d'un profil d'enrôlement (enrôlement manuel Apple). La méthode d'enrôlement est associée à une politique qui contient les règles devant être appliquées aux appareils.
Les administrateurs informatiques peuvent modifier la politique associée à un appareil après son enrôlement. Toutefois, chaque appareil ne peut être associé qu'à une seule politique à la fois.
Lors du processus d'enrôlement (provisionnement), les composants de gestion requis sont installés et configurés automatiquement. Sur Android, cela inclut généralement l'application Android Device Policy (et, selon votre configuration, l'application compagnon Cerberus Enterprise). Sur les appareils Apple, la gestion est appliquée via le MDM une fois l'appareil enrôlé. Par conséquent, la politique correspondante est automatiquement appliquée à l'appareil, et toutes les règles associées sont appliquées par le système de gestion de la plateforme.
Une politique peut être appliquée à de nombreux appareils. Dans ce cas, lorsque vous modifiez la politique, tous les appareils associés recevront les changements.
Configuration
Configuration d'Android Management
Pour gérer des appareils Android avec Cerberus Enterprise, vous devez d'abord connecter votre organisation à Google Android Enterprise.
Le processus de configuration prend généralement quelques minutes et nécessite une adresse e-mail professionnelle (par exemple, nom@entreprise.com) ou, alternativement, une adresse e-mail Google personnelle.
Ce qui se passe pendant la configuration
- Vous serez redirigé vers Google Android Enterprise.
- Vous vous connectez avec votre adresse e-mail professionnelle (ou une adresse e-mail Google personnelle).
- Google crée le compte Android Management pour votre organisation.
- Vous êtes redirigé vers Cerberus Enterprise pour terminer la configuration.
Informations importantes
Nous vous recommandons de vous inscrire avec une adresse e-mail professionnelle et non avec un compte Gmail personnel. Si l'adresse e-mail est déjà associée à un compte Google Admin, ce compte existant sera réutilisé et lié à Cerberus Enterprise ; sinon, un nouveau compte Google Admin gratuit sera créé. Un compte Google Admin débloque l'ensemble complet des fonctionnalités — par exemple, l'enrôlement d'appareils via l'authentification Google avec des comptes gérés par votre domaine Google Admin.
Vous n'avez pas d'adresse e-mail professionnelle ?
Vous pouvez toujours vous inscrire avec une adresse e-mail Google personnelle (par exemple, un compte Gmail). Dans ce cas, Google crée un compte Google Play géré gratuit qui est lié à Cerberus Enterprise.
Étapes suivantes
Une fois la configuration terminée, créez un jeton d'enrôlement et choisissez la méthode de provisionnement appropriée pour l'appareil.
Configuration de la gestion Apple (APNs)
Pour gérer les appareils Apple, Cerberus Enterprise nécessite le certificat du service de notification push d'Apple (APNs).
Utilisez l'identifiant Apple associé à votre organisation. Le certificat APNs est valide pendant un an et doit être renouvelé annuellement pour continuer à gérer les appareils.
Étape 1 : Télécharger le fichier CSR
Dans le tableau de bord, lancez la configuration de la gestion Apple et téléchargez le fichier de demande de signature de certificat (CSR) signée par le fournisseur, généré par Cerberus Enterprise.
Étape 2 : Créer le certificat de notification push sur le portail Apple
- Connectez-vous au portail des certificats de notification push d'Apple avec votre identifiant Apple.
- Cliquez sur « Créer un certificat ».
- Téléchargez le fichier CSR de l'étape 1.
- Téléchargez le certificat de notification push créé.
Lien du portail : https://identity.apple.com/
Étape 3 : Téléverser le certificat de notification push
Téléversez le certificat de notification push que vous avez téléchargé sur Apple dans Cerberus Enterprise pour terminer la configuration.
Si le certificat APNs expire, la gestion des appareils Apple cessera de fonctionner jusqu'à ce que le certificat soit renouvelé.
Étapes suivantes
Une fois l'APNs configuré, vous pouvez procéder à l'enrôlement des appareils Apple. Continuez avec Aperçu du provisionnement Apple.
Aperçu du provisionnement des appareils
Cerberus Enterprise prend en charge la gestion des appareils pour les plateformes Android et Apple. Vous pouvez configurer chaque plateforme indépendamment, selon les appareils que vous devez enrôler.
1. Terminer la configuration de la plateforme dans le tableau de bord
Avant d'enrôler des appareils, terminez la configuration de la plateforme dans le tableau de bord Cerberus Enterprise. Si votre compte n'est pas encore configuré, le tableau de bord vous guidera à travers les étapes requises.
Configuration Android (Google Android Enterprise)
Pour la procédure complète de configuration Android, lisez Configuration de la gestion Android.
- Accédez au flux d'inscription du tableau de bord et sélectionnez Configurer la gestion Android.
- Vous serez redirigé vers Google pour vous connecter avec un compte professionnel et autoriser Android Enterprise.
- Après l'autorisation, vous serez redirigé vers Cerberus Enterprise pour terminer la configuration.
Configuration Apple (certificat de push APNs)
Pour la procédure complète de configuration Apple, lisez Configuration de la gestion Apple (APNs).
- Accédez au flux d'inscription du tableau de bord et sélectionnez Configurer la gestion Apple.
- Téléchargez le fichier CSR depuis Cerberus Enterprise.
- Créez le certificat APNs dans le portail Apple Push Certificates et téléchargez le certificat résultant.
- Téléchargez le certificat ainsi obtenu dans Cerberus Enterprise pour activer la gestion des appareils Apple.
2. Enrôler des appareils
Une fois la configuration de la plateforme terminée, choisissez la méthode d'enrôlement qui correspond à votre modèle de propriété des appareils et au système d'exploitation.
Enrôlement Android
Pour Android, l'enrôlement est piloté par les jetons d'enrôlement. Sélectionnez la méthode appropriée selon que l'appareil est personnel ou appartient à l'entreprise.
- Personnel (BYOD / profil professionnel) : suivez ce guide.
- Appartenant à l'entreprise (usage professionnel et personnel / profil professionnel) : suivez ce guide.
- Appartenant à l'entreprise (usage professionnel uniquement / entièrement géré ou dédié) : suivez ce guide.
- Zero-touch : suivez ce guide.
Enrôlement Apple
Pour Apple, commencez par terminer la configuration APNs décrite ci-dessus, puis suivez les guides de provisionnement Apple : Aperçu du provisionnement Apple.
Provisionnement des Appareils - Android
Appareils pris en charge
En général, tout appareil fonctionnant sous Android 6 ou une version ultérieure avec les services Google Play est compatible avec Cerberus Enterprise.
Pour une meilleure expérience utilisateur, nous suggérons d'utiliser des appareils qui répondent aux exigences Android Enterprise Recommended.
Certaines fonctionnalités sont limitées à des versions spécifiques d'Android ou peuvent se comporter différemment selon les versions du système d'exploitation. Pour plus d'informations sur une fonctionnalité spécifique, consultez la section Policies de la documentation.
Cerberus Enterprise prend en charge les appareils appartenant à l'entreprise ainsi que les appareils personnels, et propose deux modes de gestion : le propriétaire de l'appareil (Device Owner) et le propriétaire du profil (Profile Owner).
Les appareils personnels peuvent être gérés via un profil professionnel. Cela permet une solution BYOD en séparant les données et applications professionnelles des données et applications personnelles, améliorant ainsi la sécurité et la confidentialité. Cette option est adaptée aux appareils déjà détenus par les employés que vous souhaitez enrôler dans votre organisation pour un usage professionnel.
Appartenant à l'entreprise : les appareils peuvent également être gérés via un profil professionnel, mais vous pouvez aussi choisir l'option entièrement géré, qui permet un contrôle plus strict de l'appareil. Les appareils appartenant à l'entreprise avec un profil professionnel sont adaptés lorsque vous fournissez des appareils d'entreprise aux employés pour le travail, tout en permettant un usage personnel. Les appareils entièrement gérés sont mieux adaptés aux appareils qui doivent être utilisés uniquement pour le travail, ou pour les appareils dédiés (COSU, single-use corporate-owned), tels que les bornes interactives.
Pour plus d'informations sur le provisionnement des appareils, consultez la page Aperçu du provisionnement des appareils).
Jetons d'enrôlement
Cerberus Enterprise utilise des jetons d'enrôlement pour lancer le processus d'enrôlement (provisionnement) des appareils Android. Le jeton que vous sélectionnez définit la politique initiale appliquée aux appareils enrôlés et influence les modes de provisionnement autorisés.
L'onglet des jetons d'enrôlement Android n'est disponible qu'après avoir terminé la configuration d'Android Management.
Où trouver les jetons d'enrôlement
Dans le tableau de bord, ouvrez Jetons d'enrôlement. Selon la configuration de votre compte, la page peut afficher plusieurs onglets (jetons Android, enrôlement par connexion Google, enrôlement manuel Apple et enrôlement automatique des appareils Apple (ADE)).
Si votre entreprise Android est associée à un domaine géré par Google (Google Workspace), le tableau de bord peut également afficher un onglet Authentification via l'enrôlement Google. Pour plus de détails sur l'activation et l'utilisation, consultez Authentification via l'enrôlement Google.
Liste des jetons d'enrôlement (Android)
L'onglet des jetons Android affiche un tableau de tous les jetons. Cliquer sur une ligne ouvre la page des détails du jeton.
Colonnes
- ID : identifiant interne du jeton.
- Statut : Disponible, Utilisé (jeton à usage unique déjà utilisé), ou Expiré.
- Expiration : date/heure d'expiration, ou Jamais.
- Politique : la politique assignée au jeton (l'info-bulle de l'interface utilisateur affiche également l'ID de la politique).
- Usage personnel : Autorisé / Interdit / Appareil dédié.
- Usages autorisés : Multiples ou Usage unique.
- Utilisateur : utilisateur optionnel préassigné aux appareils enrôlés avec le jeton.
Actions
- Chaque ligne dispose d'une action de suppression (Supprimer le jeton d'enrôlement). La suppression est désactivée lorsque la licence est expirée.
- Le tableau permet la sélection de plusieurs lignes : vous pouvez activer le mode de sélection, sélectionner plusieurs jetons et les supprimer avec Supprimer les jetons sélectionnés.
- Utilisez l'action d'actualisation pour recharger la liste. Le tableau est paginé (10/25/50 éléments par page).
Créer un nouveau jeton d'enrôlement
Dans l'onglet des jetons Android, cliquez sur Nouveau jeton d'enrôlement pour ouvrir la page de création de jeton. Si votre licence est expirée, le bouton de création est désactivé.
Options du jeton
1. Politique
Obligatoire. La politique appliquée automatiquement à tous les appareils enrôlés avec ce jeton. Sélectionnez l'une de vos politiques Android. Si vous n'avez pas encore de politique, créez-en une d'abord.
2. Utilisateur
Optionnel. Si configuré, les nouveaux appareils enrôlés seront automatiquement associés à cet utilisateur.
3. Usage personnel
Contrôle si l'usage personnel est autorisé sur un appareil provisionné avec ce jeton d'enrôlement :
- Autorisé : convient aux appareils personnels (profil professionnel) et aux appareils appartenant à l'entreprise pour un usage professionnel et personnel.
- Interdit : convient aux appareils appartenant à l'entreprise pour un usage professionnel uniquement (entièrement gérés).
- Appareil dédié : convient aux appareils de type kiosque ou dédiés (l'appareil n'est pas associé à un utilisateur unique).
4. Usages autorisés
Sélectionnez si le jeton peut être utilisé plusieurs fois (Multiples) ou une seule fois (Usage unique).
5. Expiration
Sélectionnez l'unité d'expiration (Minutes, Heures, Jours, ou Jamais). Si l'option n'est pas réglée sur Jamais, saisissez la valeur d'expiration. La plage autorisée dépend de l'unité sélectionnée et peut aller jusqu'à 10 000 jours.
Options de provisionnement (code QR uniquement)
Ces options supplémentaires sont intégrées au code QR et sont appliquées lors du provisionnement des appareils entièrement gérés enrôlés par balayage du code QR. Elles ne s'appliquent pas aux profils professionnels ni aux appareils enrôlés via l'URL ou le jeton d'enrôlement.
Configuration Wi-Fi
Utilisez cette option pour permettre à un appareil de se connecter automatiquement au Wi-Fi pendant le provisionnement, afin qu'il puisse télécharger et initialiser l'application de gestion. Les champs disponibles incluent le SSID, le SSID masqué, la Sécurité, et (si nécessaire) le Mot de passe.
Vous pouvez également configurer un proxy HTTP (Proxy) et, selon le mode, définir l'Hôte/Port, l'URI PAC, et l'Hôte de contournement du proxy.
Autres options
Les options supplémentaires incluent la Localisation, le Fuseau horaire, et le Saut de l'étape de chiffrement.
Détails du jeton d'enrôlement
Lorsque vous ouvrez un jeton, la page de détails affiche la configuration du jeton et les informations d'utilisation :
- Statut, Expiration, Usage, Usage personnel, et Usages autorisés.
- Jeton : la valeur brute du jeton d'enrôlement (copiable).
- URL d'enrôlement : une URL d'enrôlement Google Android Enterprise (copiable et envoyable par e-mail).
- Code QR : affiché sur le côté droit de la page, utilisé pour enrôler les appareils entièrement gérés.
Pour les procédures de provisionnement étape par étape, suivez les guides d'enrôlement Android : Appareils personnels, Appareils appartenant à l'entreprise pour usage professionnel et personnel, Appareils appartenant à l'entreprise pour usage professionnel uniquement, et Zero-touch.
Appareils personnels
Lien de jeton d'enrôlement
| Version Android |
| 6.0+ |
Ajouter un profil professionnel depuis les « Paramètres »
| Version Android |
| 6.0+ |
- Paramètres -> Services et préférences Google -> Tous les services -> Configurer votre profil professionnel.
- Paramètres -> Google -> Configurer et restaurer -> Configurer votre profil professionnel.
Ces étapes lancent un assistant de configuration qui télécharge Android Device Policy sur l'appareil. Ensuite, l'utilisateur sera invité à scanner un code QR ou à saisir manuellement un jeton d'enrôlement pour terminer la configuration du profil professionnel.
Télécharger Android Device Policy
| Version Android |
| 6.0+ |
Appareils appartenant à l'entreprise pour usage professionnel et personnel
- La plupart des politiques relatives aux applications, aux données et à la gestion s'appliquent uniquement au profil professionnel.
- Les profils personnels des employés restent privés. Toutefois, les entreprises peuvent appliquer certaines politiques globales sur l'appareil ainsi que des politiques d'utilisation personnelle.
- Les entreprises peuvent utiliser la portée de blocage pour appliquer des actions de conformité sur l'appareil entier ou uniquement sur son profil professionnel.
- Le désenrôlement de l'appareil et les commandes d'appareil s'appliquent à l'appareil entier.
Méthode par code QR
| Version Android |
| 8.0+ |
Appareils appartenant à l'entreprise pour usage professionnel uniquement
Méthode par code QR
| Version Android |
| 7.0+ |
Méthode par identifiant DPC
| Version Android |
| 5.1+ |
Zero-touch
Les administrateurs informatiques peuvent provisionner les appareils appartenant à l'entreprise en utilisant la méthode d'enrôlement zero-touch, décrite dans l'enrôlement zero-touch pour les administrateurs informatiques. Lorsqu'un appareil est allumé pour la première fois, il est automatiquement contraint d'appliquer les paramètres définis par l'administrateur informatique.
Les administrateurs informatiques peuvent préconfigurer des appareils achetés auprès de revendeurs agréés et les gérer à l'aide du tableau de bord Cerberus Enterprise. Pour lier votre compte Zero-touch, accédez à la section Zero-touch du tableau de bord, puis suivez les instructions.
| Version Android | Profil professionnel | Appareil entièrement géré | Appareil dédié |
| 8.0+ (Pixel 7.1+) | ✓ | ✓ | ✓ |
Authentification via l'enrôlement Google
L'authentification via l'enrôlement Google (également appelée Authentification Google pour l'enrôlement) permet aux utilisateurs de s'authentifier avec leur compte Google Workspace lors de l'enrôlement d'un appareil Android.
Cette fonctionnalité est disponible uniquement pour les entreprises Android associées à un domaine géré par Google (Google Workspace).
Où le trouver
Dans le tableau de bord, ouvrez Jetons d'enrôlement et sélectionnez l'onglet Authentification via l'enrôlement Google. L'onglet ne s'affiche que lorsque la gestion Android est configurée et que l'intégration Google Workspace est disponible pour votre entreprise.
Activer (ou désactiver) l'authentification Google
L'authentification Google est activée depuis la console d'administration Google. Après avoir modifié le paramètre, retournez dans Cerberus Enterprise et utilisez Actualiser le statut pour recharger la configuration actuelle.
- Connectez-vous à votre console d'administration Google avec un compte administrateur.
- Ouvrez Appareils.
- Allez dans Appareils mobiles et points de terminaison → Paramètres → Intégrations tierces.
- Trouvez l'Intégration Android EMM pour Cerberus Enterprise et ouvrez-la.
- Cliquez sur Gérer les fournisseurs EMM.
- Activez ou désactivez Authentification via l'enrôlement Google pour activer ou désactiver l'authentification Google pour l'enrôlement.
- Cliquez sur Enregistrer.
- Retournez sur le tableau de bord Cerberus Enterprise et cliquez sur Actualiser le statut dans l'onglet Authentification via l'enrôlement Google.
Jeton d'enrôlement par authentification Google
Lorsque l'authentification Google est activée, le tableau de bord affiche un jeton d'enrôlement dédié utilisé pour ce mode d'enrôlement. La page peut afficher un code QR, une valeur de jeton d'enrôlement et une URL d'enrôlement (copiable et envoyable par e-mail).
Options clés
- Autoriser l'usage personnel : contrôle si le jeton peut enrôler des appareils pour un usage professionnel et personnel (scénarios de profil professionnel) ou uniquement pour un usage professionnel (scénarios d'appareils entièrement gérés / dédiés).
- Politique par défaut de repli : la politique appliquée lorsque l'utilisateur enrôlé n'a pas de politique par défaut d'authentification Google spécifique assignée.
Interaction avec la politique
Le paramètre de stratégie Work account setup authentication (workAccountSetupConfig.authenticationType) contrôle la manière dont les utilisateurs s'authentifient lors de la configuration du compte professionnel, mais le paramètre de la console d'administration Google Authenticate Using Google ainsi que le type de jeton d'enrôlement peuvent toujours exiger une authentification.
Pour les appareils déjà enrôlés, cette stratégie ne s'applique que si l'appareil est géré par un compte Google Play géré (c'est-à-dire enrôlé sans Authenticate Using Google Enrollment).
Certaines actions (par exemple, la modification des options de jeton) peuvent être désactivées lorsque la licence est expirée.
Enrôler un appareil
Lors de l'enrôlement, l'utilisateur est invité à s'authentifier avec son compte Google Workspace. Une fois l'enrôlement réussi, l'appareil est associé à l'utilisateur authentifié.
Profil professionnel (appareils personnels)
- Partagez l'URL d'enrôlement avec l'utilisateur. Lorsqu'il l'ouvre sur son appareil Android, il est guidé à travers la configuration du profil professionnel et l'authentification Google.
- Alternativement, l'utilisateur peut démarrer depuis les paramètres Android et choisir le flux de configuration du profil professionnel, puis scanner le code QR ou saisir le jeton d'enrôlement lorsqu'il est invité à le faire.
Appareils appartenant à l'entreprise
- Méthode par code QR : sur un appareil neuf ou réinitialisé aux paramètres d'usine, appuyez plusieurs fois au même endroit sur l'écran jusqu'à ce que l'invite de code QR apparaisse, puis scannez le code QR affiché dans le tableau de bord.
- Méthode par identifiant DPC (lorsque le scan de code QR n'est pas disponible) : suivez l'assistant de configuration, connectez-vous au Wi‑Fi, puis lorsqu'on vous demande de vous connecter, saisissez afw#setup et procédez en scannant le code QR ou en saisissant le jeton d'enrôlement. Lorsqu'on vous le demande, authentifiez-vous avec votre compte Google Workspace.
Pour les procédures générales de provisionnement Android (profil professionnel vs appareil entièrement géré), consultez les pages d'enrôlement Android standard dans ce manuel.
Provisionnement des Appareils - Apple
Aperçu du provisionnement Apple
Cerberus Enterprise prend en charge l'enrôlement et la gestion des appareils Apple. Le provisionnement Apple nécessite un certificat APNs et peut être effectué à l'aide de différentes méthodes d'enrôlement.
Prérequis : configurer la gestion Apple (APNs)
Avant d'enrôler un appareil Apple, terminez la configuration de la gestion Apple (APNs).
Choisissez une méthode d'enrôlement
Enrôlement manuel (Profil d'enrôlement)
Cette méthode fournit une URL d'enrôlement et un fichier de profil de configuration (mobileconfig) que vous installez sur l'appareil. Consultez l'enrôlement manuel Apple.
Enrôlement automatique des appareils (ADE)
Cette méthode s'intègre à Apple Business Manager pour automatiser l'enrôlement des appareils appartenant à l'entreprise. Consultez l'enrôlement automatique des appareils Apple (ADE).
Vous pouvez utiliser l'enrôlement manuel et l'ADE en parallèle, selon votre parc d'appareils et votre processus d'achat.
Enrôlement manuel Apple (Profil d'enrôlement)
Cerberus Enterprise prend en charge l'enrôlement manuel des appareils Apple à l'aide d'une URL d'enrôlement et d'un fichier de profil d'enrôlement.
L'enrôlement manuel est disponible lorsque la gestion Apple (APNs) est configurée. Si vous n'avez pas encore terminé la configuration de l'APNs, consultez Configuration de la gestion Apple (APNs).
Obtenir l'URL et le profil d'enrôlement
- Ouvrez la section Enrôlement dans le tableau de bord et sélectionnez l'onglet Enrôlement manuel Apple (Profil d'enrôlement).
- Copiez l'URL d'enrôlement, ou utilisez l'action d'envoi par e-mail.
- Téléchargez le Profil d'enrôlement (fichier .mobileconfig).
Comment enrôler un iPhone ou un iPad
iOS/iPadOS 15.0+
- Envoyez le fichier de profil d'enrôlement (enroll.mobileconfig) à l'appareil, ou ouvrez l'URL d'enrôlement dans Safari sur l'appareil.
- Sur l'appareil, ouvrez Réglages → Profil téléchargé → Installer, puis suivez les instructions.
- Après l'enrôlement, vous pouvez vérifier le statut dans Réglages → Général → VPN et gestion de l'appareil (ou Profils et gestion de l'appareil).
N'installez que les profils d'enrôlement que vous avez obtenus à partir de votre tableau de bord Cerberus Enterprise.
Enrôlement automatique des appareils Apple (ADE)
L'enrôlement automatique des appareils (ADE) s'intègre à Apple Business Manager (ABM) pour enrôler automatiquement les appareils appartenant à l'entreprise lors de leur première mise sous tension (ou après une réinitialisation d'usine).
L'ADE nécessite que la gestion Apple (APNs) soit configurée au préalable. Si nécessaire, consultez Configuration de la gestion Apple (APNs).
Comment enrôler les appareils automatiquement
- Ajoutez des appareils à votre compte Apple Business Manager.
- Après avoir ajouté de nouveaux appareils à votre compte ABM, synchronisez-les dans Cerberus Enterprise depuis la section Appareils en utilisant l'action Synchroniser depuis ABM.
- Créez un profil ADE dans le tableau de bord via Enrôlement → Enrôlement automatique des appareils Apple (ADE) → Nouveau profil ADE.
- Assignez un profil ADE à un appareil depuis la page de détails de l'appareil en utilisant le champ Profil ADE.
Paramètres du profil ADE (aperçu)
Un profil ADE contrôle la manière dont l'appareil est enrôlé et le comportement de l'Assistant de configuration. Dans Cerberus Enterprise, un profil ADE comprend un nom, une politique initiale optionnelle et certaines options d'enrôlement.
Nom du profil
Un nom lisible par l'utilisateur pour le profil (par exemple, Profil ADE par défaut).
Politique
La politique initialement appliquée aux appareils enrôlés. Vous pouvez assigner une politique lors de la création d'un nouveau profil ADE.
Options d'enrôlement
- MDM supprimable : contrôle si la charge utile MDM peut être supprimée de l'appareil.
- Autoriser l'appairage : contrôle si l'appairage est autorisé (obsolète par Apple dans iOS 13).
- Avancement automatique de la configuration : fait avancer automatiquement l'Assistant de configuration à travers ses écrans.
- Attendre la configuration de l'appareil : bloque l'Assistant de configuration jusqu'à ce que le serveur marque l'appareil comme configuré.
- Obligatoire : empêche de passer l'application du profil lors de la configuration.
- Multi-utilisateur (iPad partagé) : configure l'appareil pour le mode iPad partagé.
- Supervisé : demande la supervision de l'appareil.
Une fois qu'un profil ADE est assigné à un appareil, celui-ci est prêt pour l'enrôlement automatique.
Aperçu des politiques
La section Politiques du tableau de bord (Tableau de bord → Politiques) liste toutes les politiques de votre compte et vous permet de les créer, de les copier, de les modifier et de les supprimer.
Liste des politiques
Les politiques sont affichées dans un tableau. Cliquer sur une ligne ouvre l'éditeur de la politique correspondante.
Colonnes
- ID: identifiant interne de la politique.
- MDM: la plateforme de la politique (Android ou Apple).
- Nom: nom de la politique.
- Description: description de la politique.
- Appareils: nombre d'appareils enrôlés actuellement assignés à la politique.
Filtres et recherche
- Si la gestion Android et la gestion Apple sont toutes deux configurées, vous pouvez filtrer la liste par Tous, Android ou Apple.
- Vous pouvez activer Recherche et effectuer une recherche par nom ou description de politique.
Actualisation et pagination
- Utilisez l'action d'actualisation pour recharger la liste.
- Le tableau est paginé (10/25/50 éléments par page).
Créer une nouvelle politique
En bas de la page des politiques, vous pouvez créer une nouvelle politique. Selon la plateforme configurée dans votre compte, vous pourriez voir l'une ou les deux actions suivantes :
- Créer une nouvelle politique Android
- Créer une nouvelle politique Apple
Si votre licence est expirée, la création de politiques (et d'autres actions d'écriture) est désactivée.
Copier et supprimer des politiques
Chaque ligne de politique dispose d'un menu d'actions qui comprend Copier la politique et Supprimer la politique.
Avertissements de suppression de politique
Lors de la suppression d'une politique, le tableau de bord peut afficher des avertissements supplémentaires selon l'utilisation qui en est faite.
- Si la politique est assignée à des appareils enrôlés, sa suppression entraînera le désenrôlement des appareils associés et l'effacement de leurs applications et de leurs données.
- Si la politique est assignée à des jetons d'enrôlement, ces jetons pourraient ne plus être en mesure de finaliser l'enrôlement.
- Si la politique est définie comme défaut pour l'enrôlement via l'authentification Google (au niveau global ou pour certains utilisateurs), sa suppression peut entraîner l'échec des enrôlements.
Supprimer plusieurs politiques
La liste des politiques prend en charge la sélection sur plusieurs lignes pour la suppression groupée. En mode de sélection multiple, vous pouvez sélectionner plusieurs politiques et les supprimer en une seule action.
La suppression groupée n'est activée que lorsque toutes les politiques sélectionnées appartiennent à la même plateforme (soit toutes Android, soit toutes Apple).
Suivant : modifier les paramètres de la politique
La liste des politiques est le point d'entrée. Pour configurer les paramètres de politique, utilisez la documentation de l'éditeur appropriée : Politiques → Android et Politiques → Apple.
Les politiques référencées par les jetons d'enrôlement sont appliquées automatiquement lors de l'enrôlement de l'appareil.
Politiques - Android
Résumé
Les politiques Android sont les entités de base du système : elles définissent les règles qui sont appliquées et imposées sur les appareils gérés.
Vous pouvez parcourir vos politiques et en créer de nouvelles depuis la section Politiques du tableau de bord. Pour ouvrir une politique Android, cliquez sur la ligne de la politique dans le tableau : le système ouvre la page Éditeur de politiques.
Une politique peut être associée à un jeton d'enrôlement, elle sera donc automatiquement appliquée aux appareils lors du processus de provisionnement. Vous pouvez également modifier la politique assignée à un appareil après le provisionnement.
Chaque appareil ne peut être associé qu'à une seule politique à la fois.
De nombreuses options de politique ne s'appliquent qu'à des types d'appareils spécifiques (gestion complète, dédié, profil de travail) et à certaines versions d'Android. Les paramètres non pris en charge peuvent être ignorés par l'appareil ou signalés comme non conformes.
Mise en page de l'éditeur de politiques
L'éditeur de politiques est organisé sous forme d'un ensemble de sections extensibles. En haut de la page, vous pouvez toujours modifier :
- Nom (requis)
- Id (lecture seule)
- Description (facultatif)
Les sections ci-dessous correspondent aux panneaux de l'éditeur de politiques (par exemple : Gestion des applications, Sécurité, Réseau, Système, Usage personnel, Politiques inter-profils, et plus encore). Utilisez les pages des chapitres de ce manuel pour comprendre chaque panneau en détail.
Sauvegarde, suppression et appareils associés
Utilisez Enregistrer la politique pour appliquer vos modifications. Le bouton est désactivé lorsqu'il n'y a pas de modifications en attente ou lorsque la licence est expirée.
Si vous avez ouvert une politique existante (elle possède un Id), la page affiche une action Supprimer la politique et une liste des Appareils associés en bas, afin que vous puissiez voir combien d'appareils utilisent actuellement la politique.
Gestion des applications
Dans cette section, vous pouvez définir des politiques relatives à la disponibilité des applications, à l'installation, aux mises à jour et à la gestion des permissions.
Les comptes Google Play gérés sont créés automatiquement lors du provisionnement des appareils.
1. Mode Play Store
Ce mode contrôle quelles applications sont disponibles pour l'utilisateur dans le Play Store et le comportement sur l'appareil lorsque des applications sont supprimées de la politique.
Liste blanche (par défaut) : seules les applications présentes dans la politique sont disponibles, et toute application non présente dans la politique sera automatiquement désinstallée de l'appareil. Le Play Store n'affichera que les applications disponibles.
Liste noire: Toutes les applications sont disponibles et toute application qui ne devrait pas être sur l'appareil doit être explicitement marquée comme bloquée dans la politique d'applications. Le Play Store affichera toutes les applications, sauf celles qui sont bloquées.
2. Politique des applications non approuvées
La politique relative aux applications non approuvées (applications provenant de sources inconnues) appliquée sur l'appareil. Cette option contrôle le paramètre du système Android qui détermine si un utilisateur peut installer des applications en dehors du Play Store (sideloading).
Interdire (par défaut) : Interdire l'installation d'applications non approuvées sur l'ensemble de l'appareil.
Profil personnel uniquement : Pour les appareils avec profils de travail, autorise l'installation d'applications non approuvées uniquement dans le profil personnel de l'appareil.
Autoriser: Autoriser l'installation d'applications non approuvées sur l'ensemble de l'appareil.
3. Google Play Protect
Si la vérification des applications par Google Play Protect est appliquée.
Appliquée (par défaut) : Active de force la vérification des applications.
Choix de l'utilisateur : Permet à l'utilisateur de choisir d'activer ou non la vérification des applications.
4. Politique de permission par défaut
La politique relative à l'octroi des demandes de permissions d'exécution aux applications.
Demander (par défaut) : Demander à l'utilisateur d'accorder une permission.
Accorder: Accorder automatiquement une permission.
Refuser: Refuser automatiquement une permission.
5. Fonctions d'application
Contrôle si les applications sur des appareils entièrement gérés ou dans des profils de travail sont autorisées à exposer des fonctions d'application. Nécessite Android 16 ou une version ultérieure.
Autorisé (par défaut) : Les applications sur des appareils entièrement gérés ou dans des profils de travail peuvent exposer des fonctions d'application.
Interdit : Les applications sur des appareils entièrement gérés ou dans des profils de travail ne peuvent pas exposer de fonctions d'application.
6. Installation d'applications désactivée
Si l'installation d'applications par l'utilisateur est désactivée.
7. Désinstallation des applications désactivée
Indique si la désinstallation des applications par l'utilisateur est désactivée.
8. Politiques de permissions
Attributions ou refus explicites de permissions ou de groupes pour toutes les applications. Ces valeurs remplacent le paramètre Politique de permissions par défaut.
Utilisez Ajouter une politique de permissions pour créer des entrées et supprimez-les avec l'action de suppression.
Chaque entrée comprend :
Permission/groupe Android : La permission ou le groupe Android (requis), par exemple android.permission.READ_CALENDAR ou android.permission_group.CALENDAR.
Politique : Accorder / Refuser / Demander (utilise les mêmes options de politique que Politique de permissions par défaut).
9. Applications
Liste des applications qui doivent être incluses dans la politique. Le comportement du contenu de la liste dépend de la valeur définie sur Mode Play Store.
Si le Mode Play Store est défini sur liste blanche, seules les applications présentes dans la politique sont disponibles et toute application non répertoriée dans la politique sera automatiquement désinstallée de l'appareil.
Si le Mode Play Store est défini sur liste noire, toutes les applications sont disponibles et toute application qui ne devrait pas être sur l'appareil doit être explicitement marquée comme bloquée dans la politique des applications.
Pour ajouter une nouvelle application, cliquez sur le bouton Ajouter des applications (ou sur l'icône Ajouter des applications), puis choisissez l'application dans le Play Store et cliquez sur le bouton Sélectionner sur la fiche de l'application.
Toutes les applications publiées sur le Play Store dans votre pays sont disponibles par défaut pour la sélection. Pour sélectionner vos propres applications privées ou web, vous devez d'abord les télécharger dans le système. Pour plus d'informations, consultez la page Applications privées.
Chaque application peut être configurée avec ses propres paramètres, qui sont regroupés visuellement dans une fiche :
9.1. Type d'installation
Le type d'installation à effectuer pour une application.
Disponible : L'application est disponible pour l'installation.
Préinstallée : L'application est installée automatiquement et peut être supprimée par l'utilisateur.
Installation forcée : L'application est installée automatiquement et ne peut pas être supprimée par l'utilisateur.
Bloquée : L'application est bloquée et ne peut pas être installée. Si l'application a été installée sous une politique précédente, elle sera désinstallée.
Requise pour la configuration : L'application est installée automatiquement, ne peut pas être supprimée par l'utilisateur et empêchera la fin de la configuration tant que l'installation n'est pas terminée.
Kiosque : L'application est installée automatiquement en mode kiosque : elle est définie comme l'intention d'accueil préférée et est ajoutée à la liste blanche pour le mode de verrouillage de tâche. La configuration de l'appareil ne sera pas terminée tant que l'application n'est pas installée. Après l'installation, les utilisateurs ne pourront pas supprimer l'application. Vous ne pouvez définir ce type d'installation que pour une seule application par politique. Lorsqu'il est présent dans la politique, la barre d'état sera automatiquement désactivée. Pour plus d'informations, veuillez consulter la page dédiée Mode kiosque.
9.2. Contraintes d'installation
Définit un ensemble de restrictions pour l'installation de l'application. Lorsque plusieurs contraintes sont sélectionnées, elles doivent toutes être respectées pour que l'application puisse être installée.
Cette option ne s'affiche que lorsque le Type d'installation est Préinstallée ou Installation forcée.
Réseau non limité : Installez l'application uniquement lorsque l'appareil est connecté à un réseau non limité (par exemple, Wi-Fi).
En charge : Installez l'application uniquement lorsque l'appareil est en charge.
Inactif : Installez l'application uniquement lorsque l'appareil est inactif.
9.3. Mode de mise à jour automatique
Contrôle le mode de mise à jour automatique de l'application.
Par défaut : L'application est mise à jour automatiquement avec une priorité basse afin de minimiser l'impact sur l'utilisateur. L'application est mise à jour lorsque toutes les contraintes suivantes sont respectées : (1) l'appareil n'est pas utilisé activement, (2) l'appareil est connecté à un réseau non limité, (3) l'appareil est en charge. L'appareil est notifié d'une nouvelle mise à jour dans les 24 heures suivant sa publication par le développeur, après quoi l'application est mise à jour la prochaine fois que les contraintes ci-dessus sont respectées.
Reporté : L'application n'est pas mise à jour automatiquement pendant une période maximale de 90 jours après qu'elle est devenue obsolète. 90 jours après que l'application est devenue obsolète, la dernière version disponible est installée automatiquement avec une priorité basse (voir le mode Mise à jour automatique par défaut). Une fois l'application mise à jour, elle ne sera plus mise à jour automatiquement avant un délai de 90 jours après qu'elle soit redevenue obsolète. L'utilisateur peut toujours mettre à jour l'application manuellement depuis le Play Store à tout moment.
Priorité haute : L'application est mise à jour dès que possible. Aucune contrainte n'est appliquée. L'appareil est immédiatement notifié d'une nouvelle mise à jour dès qu'elle devient disponible.
9.4. Code de version minimum
La version minimale de l'application qui s'exécute sur l'appareil. Si elle est définie, l'appareil tente de mettre à jour l'application vers au moins ce code de version. Si l'application n'est pas à jour, l'appareil affichera un Détail de non-conformité avec le Motif de non-conformité défini sur APP_NOT_UPDATED. L'application doit déjà être publiée sur Google Play avec un code de version supérieur ou égal à cette valeur. Au maximum, 20 applications peuvent spécifier un code de version minimum par politique.
9.5. Scopes délégués
Les scopes délégués à l'application par Android Device Policy. Vous pouvez accorder une sélection de permissions Android spéciales à d'autres applications :
Installation de certificat : Accorde l'accès à l'installation et à la gestion des certificats.
Configurations gérées : Accorde l'accès à la gestion des configurations gérées.
Bloquer la désinstallation : Accorde l'accès au blocage de la désinstallation.
Permissions : Accorde l'accès à la politique de permissions et à l'état d'attribution des permissions.
Accès aux packages : Accorde l'accès à l'état d'accès aux packages.
Application système : Accorde l'accès pour l'activation des applications système.
9.6. Réseau préférentiel
Le service de réseau préférentiel à utiliser pour cette application. Si elle est définie, l'application utilisera le segment de réseau d'entreprise spécifié pour ses connexions lorsqu'il sera disponible. Cela doit correspondre à un segment de réseau configuré dans la section Configuration du découpage de réseau 5G du panneau Réseau cellulaire.
9.7. Politique de permissions par défaut
La politique par défaut pour toutes les permissions demandées par l'application. Si elle est spécifiée, elle remplace la Politique de permissions par défaut au niveau de la politique qui s'applique à toutes les applications. Elle ne remplace pas les Politiques de permissions qui s'appliquent à toutes les applications.
Demander (par défaut) : Demander à l'utilisateur d'accorder une permission.
Accorder : Accorder automatiquement une permission.
Refuser : Refuser automatiquement une permission.
9.8. Application connectée travail et personnel
Contrôle si l'application peut communiquer avec elle-même entre les profils de travail et personnels de l'appareil, sous réserve du consentement de l'utilisateur (Android 11+).
Interdit (par défaut) : Empêche l'application de communiquer entre les profils.
Autorisé : Autorise l'application à communiquer entre les profils après avoir reçu le consentement de l'utilisateur.
9.9. Exemption du verrouillage VPN toujours actif
Spécifie si l'application est autorisée à utiliser le réseau lorsque le VPN n'est pas connecté et que le verrouillage activé est actif. Pris en charge uniquement sur les appareils fonctionnant sous Android 10 et versions ultérieures.
Appliqué (par défaut) : L'application respecte le paramètre de verrouillage VPN toujours actif.
Exemptée : L'application est exemptée du paramètre de verrouillage VPN toujours actif.
9.10. Widgets du profil de travail
Spécifie si l'application installée dans le profil de travail est autorisée à ajouter des widgets sur l'écran d'accueil.
Autorisé : L'application peut ajouter des widgets sur l'écran d'accueil.
Interdit : L'application ne peut pas ajouter de widgets sur l'écran d'accueil.
9.11. Paramètres de contrôle utilisateur
Spécifie si le contrôle utilisateur est autorisé pour une application donnée. Le contrôle utilisateur comprend des actions de l'utilisateur telles que l'arrêt forcé et l'effacement des données de l'application (Android 11+). Si extensionConfig est activé pour une application, le contrôle utilisateur est interdit quel que soit ce paramètre. Pour les applications en mode kiosque, vous pouvez utiliser Autorisé pour permettre le contrôle utilisateur.
Non spécifié : Utilise le comportement par défaut de l'application pour déterminer si le contrôle utilisateur est autorisé ou interdit.
Autorisé : Le contrôle utilisateur est autorisé pour l'application.
Interdit : Le contrôle utilisateur est interdit pour l'application.
9.12. Désactivée
Indique si l'application est désactivée. Lorsqu'elle est désactivée, les données de l'application sont toujours conservées.
9.13. Autoriser le fournisseur d'identifiants
Indique si l'application est autorisée à agir comme fournisseur d'identifiants sur Android 14 et versions ultérieures.
9.14. Configuration gérée
Pour configurer les paramètres gérés de l'application, cliquez sur le bouton Activer la configuration gérée. Si une configuration gérée est déjà définie pour l'application, vous pouvez la modifier avec le bouton Configuration gérée, ou la supprimer avec le bouton Supprimer la configuration.
L'option Configuration gérée est disponible uniquement pour les applications qui prennent en charge cette fonctionnalité.
9.15. Politiques de permissions
Attributions ou refus explicites de permissions pour l'application. Ces valeurs remplacent la Politique de permissions par défaut et les Politiques de permissions qui s'appliquent à toutes les applications.
Utilisez Ajouter une politique de permissions pour ajouter une ou plusieurs règles de permission à la fiche de l'application et supprimez-les avec l'action de suppression.
9.16. ID de canal
Liste des ID de canaux de test fermé de l'application auxquels un appareil peut accéder. Si plusieurs ID de canaux sont sélectionnés, les appareils reçoivent la version la plus récente parmi tous les canaux accessibles. Si aucun ID de canal n'est sélectionné, les appareils ont uniquement accès au canal de production de l'application.
L'option Identifiants de suivi n'est disponible que pour les applications disposant d'au moins un identifiant de suivi pour votre organisation. Pour plus de détails sur la manière d'ajouter votre organisation à une piste de test fermé pour une application spécifique, veuillez lire ici.
10. Paramètres d'application par défaut
Définissez les applications par défaut pour les types pris en charge. Lorsqu'une application par défaut est définie pour au moins un type, les utilisateurs ne peuvent plus modifier les applications par défaut dans ce profil.
Un seul paramètre d'application par défaut est autorisé par Type d'application par défaut. La liste des applications par défaut ne doit pas contenir de doublons.
10.1. Type d'application par défaut
Sélectionnez la catégorie d'application à configurer (par exemple : Navigateur, Téléphone, SMS, Portefeuille ou Assistant). La disponibilité dépend de la version d'Android et du mode de gestion.
10.2. Portées de l'application par défaut
Sélectionnez l'endroit où l'application par défaut doit s'appliquer (Gestion complète, Profil professionnel ou Profil personnel). Seules les portées prises en charge par le type sélectionné peuvent être choisies.
Si aucune des portées sélectionnées n'est applicable au mode de gestion de l'appareil, l'appareil signalera un détail de non-conformité.
10.3. Applications par défaut
Liste des applications pouvant être définies par défaut pour le type sélectionné. La première application installée et éligible est définie comme application par défaut.
Si les portées incluent Gestion complète ou Profil professionnel, chaque application doit également figurer dans la liste Applications avec un Type d'installation qui n'est pas défini sur Bloqué.
11. Sélection de la clé privée
Permet d'afficher l'interface utilisateur sur un appareil pour qu'un utilisateur puisse choisir un alias de clé privée s'il n'y a pas de règles correspondantes dans Choisir les règles de clé privée.
Pour les appareils antérieurs à Android P, le réglage de cette option peut rendre les clés d'entreprise vulnérables.
12. Choisir les règles de clé privée
Contrôle l'accès des applications aux clés privées. La règle détermine quelle clé privée, le cas échéant, Android Device Policy accorde à l'application spécifiée. L'accès est accordé soit lorsque l'application appelle KeyChain.choosePrivateKeyAlias (ou toute surcharge) pour demander un alias de clé privée pour une URL donnée, soit pour les règles qui ne sont pas spécifiques à une URL (c'est-à-dire si urlPattern n'est pas défini, ou est défini sur une chaîne vide ou .*) sur Android 11 et versions ultérieures, directement afin que l'application puisse appeler KeyChain.getPrivateKey sans avoir à appeler préalablement KeyChain.choosePrivateKeyAlias. Lorsqu'une application appelle KeyChain.choosePrivateKeyAlias et que plus d'une règle de type choosePrivateKeyRules correspond, la dernière règle correspondante définit l'alias de clé à renvoyer.
Utilisez Ajouter une règle de clé privée pour créer des entrées et supprimez-les avec l'action de suppression.
12.1. Alias de clé privée
L'alias de la clé privée à utiliser.
12.2. Modèle d'URL
Le modèle d'URL à comparer avec l'URL de la requête. S'il n'est pas défini ou s'il est vide, il correspond à toutes les URL. Cela utilise la syntaxe d'expression régulière de java.util.regex.Pattern.
12.3. Noms de package
Les noms de package auxquels cette règle s'applique. L'empreinte du certificat de signature de chaque application est vérifiée par rapport à l'empreinte fournie par Play. Si aucun nom de package n'est spécifié, l'alias est fourni à toutes les applications qui appellent KeyChain.choosePrivateKeyAlias ou ses surcharges (mais pas sans appeler KeyChain.choosePrivateKeyAlias, même sur Android 11 et versions ultérieures). Toute application possédant le même UID Android qu'un package spécifié ici aura accès à l'alias lorsqu'elle appellera KeyChain.choosePrivateKeyAlias.
Utilisez Ajouter un nom de package pour ajouter des entrées et supprimez-les avec l'action de suppression.
Pour supprimer une application, cliquez sur l'icône poubelle au bas de la fiche de l'application.
Mode kiosque
Avec le mode kiosque, vous pouvez restreindre les fonctionnalités d'un appareil à une seule application ou à plusieurs applications. Le choix entre le mode kiosque à application unique et celui à applications multiples dépend de vos objectifs commerciaux.
Dans le mode kiosque à application unique, l'appareil est configuré pour une seule application et ne permet pas aux utilisateurs finaux d'accéder à d'autres applications sur l'appareil. Ils ne peuvent pas non plus quitter l'application, ce qui en fait un appareil dédié à cette application spécifique. Pour activer ce mode, spécifiez une application dans la section Gestion des applications avec le Type d'installation défini sur Kiosque.
Dans le mode kiosque à applications multiples, les appareils permettent l'accès à plusieurs applications. Les utilisateurs finaux peuvent naviguer entre plusieurs applications via un lanceur personnalisé. Pour activer ce mode, activez l'option Lanceur personnalisé kiosque.
Lorsque le mode kiosque est activé, vous pouvez également configurer si les utilisateurs finaux peuvent accéder à certaines fonctionnalités du système, telles que les paramètres du système et la barre d'état.
Lanceur personnalisé kiosque
Détermine si le lanceur personnalisé kiosque est activé. Cela remplace l'écran d'accueil par un lanceur qui verrouille l'appareil sur les applications installées via le paramètre de la Gestion des applications. Les applications apparaissent sur une seule page par ordre alphabétique.
Actions du bouton d'alimentation
Définit le comportement d'un appareil en mode kiosque lorsqu'un utilisateur effectue un appui prolongé sur le bouton d'alimentation.
Disponible (par défaut) : Le menu d'alimentation (par exemple : Éteindre, Redémarrer) s'affiche lorsqu'un utilisateur effectue un appui prolongé sur le bouton d'alimentation d'un appareil en mode kiosque.
Bloqué : Le menu d'alimentation (par exemple : Éteindre, Redémarrer) ne s'affiche pas lorsqu'un utilisateur effectue un appui prolongé sur le bouton d'alimentation d'un appareil en mode kiosque. Remarque : cela peut empêcher les utilisateurs d'éteindre l'appareil.
Avertissements d'erreur système
Spécifie si les boîtes de dialogue d'erreur système pour les applications plantées ou ne répondant plus sont bloquées en mode kiosque. Lorsqu'elles sont bloquées, le système arrêtera de force l'application comme si l'utilisateur choisissait l'option « fermer l'application » sur l'interface utilisateur.
Bloqué (par défaut) : Toutes les boîtes de dialogue d'erreur système, telles que les plantages et l'application ne répondant pas (ANR), sont bloquées. Lorsqu'elles sont bloquées, le système arrête l'application de force comme si l'utilisateur fermait l'application via l'interface utilisateur.
Activé : Toutes les boîtes de dialogue d'erreur système, telles que les plantages et l'application ne répondant pas (ANR), sont affichées.
Navigation système
Désactivé (par défaut) : Les boutons Accueil et Aperçu ne sont pas accessibles.
Accueil uniquement : Seul le bouton d'accueil est activé.
Activé : Les boutons Accueil et Aperçu sont activés.
Barre d'état
Spécifie si les informations système et les notifications sont désactivées en mode kiosque.
Désactivé (par défaut) : Les informations système et les notifications sont désactivées en mode kiosque.
Système uniquement : Seules les informations système sont affichées dans la barre d'état.
Activé : Les informations système et les notifications sont affichées dans la barre d'état en mode kiosque. Remarque : pour que cette politique prenne effet, le bouton d'accueil de l'appareil doit être activé via kioskCustomization.systemNavigation.
Paramètres de l'appareil
Spécifie si l'application Paramètres est autorisée en mode kiosque.
Autorisé (par défaut) : L'accès à l'application Paramètres est autorisé en mode kiosque.
Bloqué : L'accès à l'application Paramètres n'est pas autorisé en mode kiosque.
Sécurité
Dans cette section, vous pouvez configurer les politiques relatives à la sécurité.
Actions liées aux risques de sécurité
Choisissez l'action à entreprendre lorsqu'un appareil signale un risque de sécurité (SecurityRisk) dans les rapports d'état.
Types de risques de sécurité (SecurityRisk) pris en charge :
OS inconnu : l'API Play Integrity détecte que l'appareil exécute un OS inconnu (la vérification basicIntegrity réussit mais ctsProfileMatch échoue).
OS compromis : l'API Play Integrity détecte que l'appareil exécute un OS compromis (la vérification basicIntegrity échoue).
Échec de l'évaluation basée sur le matériel : l'API Play Integrity détecte que l'appareil ne dispose pas d'une garantie solide de l'intégrité du système, si le libellé MEETS_STRONG_INTEGRITY ne s'affiche pas dans le champ d'intégrité de l'appareil.
Actions disponibles :
Supprimer les données de l'entreprise (par défaut) : désenrôler l'appareil et supprimer les données de travail (l'appareil complet s'il est en gestion complète, ou uniquement le profil de travail pour les profils gérés).
Aucune action : laisser l'appareil enrôlé et ne rien faire automatiquement.
Lorsque vous sélectionnez Supprimer les données de l'entreprise, vous pouvez également configurer les options de suppression :
Conserver la protection contre la réinitialisation d'usine : préserver les données de protection contre la réinitialisation d'usine (FRP) lors de la suppression des données de l'appareil.
Supprimer le stockage externe : supprimer également le stockage externe de l'appareil (tel que les cartes SD) lors de la suppression des données.
Supprimer les eSIM : pour les appareils appartenant à l'entreprise, cela supprime toutes les eSIM de l'appareil lors de la suppression des données. Sur les appareils appartenant à des particuliers, cela supprimera les eSIM gérées (les eSIM ajoutées via la commande ADD_ESIM) sur l'appareil, et aucune eSIM personnelle ne sera supprimée.
1. Temps maximal avant verrouillage
Temps maximal (en secondes) d'inactivité de l'utilisateur avant le verrouillage de l'appareil. Une valeur de 0 signifie qu'il n'y a aucune restriction.
2. Rester activé lors de la charge
Les modes de branchement sur secteur pour lesquels l'appareil reste activé. Lors de l'utilisation de ce paramètre, il est recommandé de vider Temps maximal avant verrouillage afin que l'appareil ne se verrouille pas tout en restant activé.
Chargeur secteur : la source d'alimentation est un chargeur secteur.
Port USB : la source d'alimentation est un port USB.
Chargeur sans fil : la source d'alimentation est sans fil.
3. Désactivation de l'écran de verrouillage (Keyguard)
Si activé, cela désactive l'écran de verrouillage pour les écrans principaux et/ou secondaires. Cette politique est prise en charge uniquement en mode de gestion d'appareil dédié.
4. Exigences relatives au mot de passe
Politiques d'exigences relatives au mot de passe.
Utilisez Configurer les exigences de mot de passe pour ajouter un ou plusieurs blocs d'exigences de mot de passe. Utilisez Tout effacer pour supprimer toutes les exigences de mot de passe configurées.
Les exigences de mot de passe peuvent utiliser la portée Auto (exigence unique) ou des portées distinctes Appareil/Profil de travail. Les exigences basées sur la complexité doivent être couplées à des exigences basées sur la qualité pour la même portée.
4.1. Portée
La portée à laquelle l'exigence de mot de passe s'applique.
Auto : la portée n'est pas spécifiée. Les exigences de mot de passe s'appliquent au profil de travail pour les appareils avec profil de travail, et à l'appareil complet pour les appareils en gestion complète ou dédiés.
Appareil : les exigences de mot de passe s'appliquent uniquement à l'appareil.
Profil de travail : les exigences de mot de passe s'appliquent uniquement au profil de travail.
4.2. Longueur de l'historique des mots de passe
La longueur de l'historique des mots de passe. Après avoir défini ce champ, l'utilisateur ne pourra pas saisir un nouveau mot de passe identique à l'un des mots de passe présents dans l'historique. Une valeur de 0 signifie qu'il n'y a aucune restriction.
4.3. Nombre maximal d'échecs de mot de passe avant réinitialisation
Nombre de mots de passe de déverrouillage incorrects pouvant être saisis avant que l'appareil ne soit réinitialisé. Une valeur de 0 signifie qu'il n'y a aucune restriction.
4.4. Délai d'expiration du mot de passe (en jours)
Ce paramètre oblige l'utilisateur à mettre à jour périodiquement son mot de passe, après le nombre de jours spécifié.
4.5. Exiger le déverrouillage par mot de passe
La durée pendant laquelle, après qu'un appareil ou un profil de travail a été déverrouillé à l'aide d'une forme d'authentification forte (mot de passe, code PIN, schéma), il peut être déverrouillé à l'aide de toute autre méthode d'authentification (ex. : empreinte digitale, agents de confiance, reconnaissance faciale). Une fois la période spécifiée écoulée, seules les formes d'authentification fortes pourront être utilisées pour déverrouiller l'appareil ou le profil de travail.
Par défaut de l'appareil : la période de délai d'expiration est définie sur le paramètre par défaut de l'appareil.
Tous les jours : la période de délai d'expiration est fixée à 24 heures.
4.6. Qualité du mot de passe
La qualité requise du mot de passe.
Complexité élevée : définit la bande de complexité élevée du mot de passe comme suit : sur Android 12 et versions ultérieures : code PIN sans séquences répétitives (4444) ou ordonnées (1234, 4321, 2468), longueur d'au moins 8 caractères ; alphabétique, longueur d'au moins 6 caractères ; alphanumérique, longueur d'au moins 6 caractères.
Complexité moyenne : définit la bande de complexité moyenne du mot de passe comme suit : code PIN sans séquences répétitives (4444) ou ordonnées (1234, 4321, 2468), longueur d'au moins 4 caractères ; alphabétique, longueur d'au moins 4 caractères ; alphanumérique, longueur d'au moins 4 caractères.
Complexité faible : définit la bande de complexité faible du mot de passe comme suit : schéma ; code PIN avec séquences répétitives (4444) ou ordonnées (1234, 4321, 2468).
Aucune : il n'y a aucune exigence de mot de passe.
Faible : l'appareil doit être sécurisé au minimum par une technologie de reconnaissance biométrique à faible sécurité. Cela inclut les technologies capables de reconnaître l'identité d'un individu et qui sont approximativement équivalentes à un code PIN à 3 chiffres (le taux de fausse détection est inférieur à 1 sur 1 000).
N'importe lequel : un mot de passe est requis, mais il n'y a aucune restriction sur son contenu.
Numérique : le mot de passe doit contenir des caractères numériques.
Numérique complexe : le mot de passe doit contenir des caractères numériques sans séquences répétitives (4444) ou ordonnées (1234, 4321, 2468).
Alphabétique : le mot de passe doit contenir des caractères alphabétiques (ou des symboles).
Alphanumérique : le mot de passe doit contenir à la fois des caractères numériques et alphabétiques (ou des symboles).
Complexe : le mot de passe doit respecter les exigences minimales spécifiées dans passwordMinimumLength, passwordMinimumLetters, passwordMinimumSymbols, etc. Par exemple, si passwordMinimumSymbols est de 2, le mot de passe doit contenir au moins deux symboles.
4.7. Longueur minimale
La longueur minimale autorisée du mot de passe. Une valeur de 0 signifie qu'il n'y a aucune restriction.
4.8. Nombre minimal de lettres
Nombre minimal de lettres requis dans le mot de passe.
4.9. Nombre minimal de lettres minuscules
Nombre minimal de lettres minuscules requis dans le mot de passe.
4.10. Nombre minimal de lettres majuscules
Nombre minimal de lettres majuscules requis dans le mot de passe.
4.11. Nombre minimal de caractères autres que des lettres
Nombre minimal de caractères autres que des lettres (chiffres ou symboles) requis dans le mot de passe.
4.12. Nombre minimal de chiffres
Nombre minimal de chiffres requis dans le mot de passe.
4.13. Nombre minimal de symboles
Nombre minimal de symboles requis dans le mot de passe.
4.14. Verrouillage unifié
Contrôle si un verrouillage unifié est autorisé pour l'appareil et le profil de travail, sur les appareils fonctionnant sous Android 9 et versions ultérieures avec un profil de travail. Cela n'a aucun effet sur les autres appareils.
Autoriser le verrouillage unifié : un verrouillage commun pour l'appareil et le profil de travail est autorisé.
Exiger un verrouillage de travail distinct : un verrouillage distinct pour le profil de travail est requis.
5. Désactivation de la réinitialisation d'usine
Indique si la réinitialisation d'usine via les paramètres est désactivée. S'applique uniquement aux appareils en gestion complète.
6. Protection contre la réinitialisation d'usine
Adresses e-mail des administrateurs de l'appareil pour la protection contre la réinitialisation d'usine. Si l'appareil subit une réinitialisation d'usine non autorisée, il exigera que l'un de ces administrateurs se connecte avec son adresse e-mail et son mot de passe de compte Google pour déverrouiller l'appareil. Si aucun administrateur n'est spécifié, l'appareil ne proposera pas de protection contre la réinitialisation d'usine. S'applique uniquement aux appareils en gestion complète.
E-mails des administrateurs : utilisez Activer la protection contre la réinitialisation d'usine pour commencer à configurer les administrateurs. Ensuite, utilisez Ajouter l'e-mail de l'administrateur pour ajouter des adresses et supprimez-les avec l'action de suppression.
7. Fonctionnalités de l'écran de verrouillage (Keyguard)
Fonctionnalités de l'écran de verrouillage (Keyguard) qui peuvent être désactivées.
7.1. Tout désactiver
Désactive toutes les personnalisations actuelles et futures de l'écran de verrouillage.
7.2. Désactiver l'appareil photo
Désactive l'appareil photo sur les écrans de verrouillage sécurisés (ex. : code PIN).
7.3. Désactiver les notifications
Désactive l'affichage de toutes les notifications sur les écrans de verrouillage sécurisés.
7.4. Désactiver les notifications non masquées
Désactive l'affichage du contenu des notifications sur les écrans de verrouillage sécurisés.
7.5. Ignorer l'état de l'agent de confiance
Ignore l'état de l'agent de confiance sur les écrans de verrouillage sécurisés.
7.6. Désactiver l'empreinte digitale
Désactive le capteur d'empreinte digitale sur les écrans de verrouillage sécurisés.
7.7. Désactiver la saisie de texte dans les notifications
Désactive la saisie de texte dans les notifications sur les écrans de verrouillage sécurisés.
7.8. Désactiver l'authentification faciale
Désactive l'authentification faciale sur les écrans de verrouillage sécurisés.
7.9. Désactiver l'authentification par iris
Désactive l'authentification par iris sur les écrans de verrouillage sécurisés.
7.10. Désactiver toute l'authentification biométrique
Désactive toute l'authentification biométrique sur les écrans de verrouillage sécurisés.
7.11. Désactiver tous les raccourcis
Désactive tous les raccourcis sur l'écran de verrouillage sécurisé sous Android 14 et versions ultérieures.
Multimédia
Dans cette section, vous pouvez configurer le comportement de l'appareil photo/microphone, l'accès aux données USB, l'impression et les restrictions liées à l'affichage.
1. Accès à l'appareil photo
Contrôle l'utilisation de l'appareil photo et si l'utilisateur peut accéder au commutateur d'accès à l'appareil photo (Android 12+). En général, la désactivation de l'appareil photo s'applique à l'ensemble de l'appareil sur les appareils en gestion complète, et uniquement au sein du profil professionnel sur les appareils avec profil professionnel.
Choix de l'utilisateur (par défaut) : Comportement par défaut de l'appareil. Les appareils photo sont disponibles et (Android 12+) l'utilisateur peut activer ou désactiver l'accès à l'appareil photo.
Désactivé : Tous les appareils photo sont désactivés (gestion complète : sur tout l'appareil ; profil professionnel : uniquement pour les applications du profil professionnel). Le commutateur d'accès à l'appareil photo n'a aucun effet dans la portée gérée.
Appliqué : Les appareils photo sont disponibles. Sur les appareils en gestion complète sous Android 12+, l'utilisateur ne peut pas activer ou désactiver l'accès à l'appareil photo. Sur les autres appareils/versions, cela se comporte comme le choix de l'utilisateur.
2. Accès au microphone
Sur les appareils en gestion complète, contrôle l'utilisation du microphone et si l'utilisateur peut accéder au commutateur d'accès au microphone (Android 12+). Ce paramètre n'a aucun effet sur les appareils qui ne sont pas en gestion complète.
Choix de l'utilisateur (par défaut) : Comportement par défaut. Le microphone est disponible et (Android 12+) l'utilisateur peut activer ou désactiver l'accès au microphone.
Désactivé : Le microphone est désactivé (sur tout l'appareil). Le commutateur d'accès au microphone n'a aucun effet.
Appliqué : Le microphone est disponible. Sur Android 12+, l'utilisateur ne peut pas activer ou désactiver l'accès au microphone. Sur Android 11 ou versions antérieures, cela se comporte comme le choix de l'utilisateur.
3. Accès aux données USB
Contrôle quels fichiers et/ou données peuvent être transférés via USB. Pris en charge uniquement sur les appareils appartenant à l'entreprise.
Interdire le transfert de fichiers (par défaut) : Les transferts de fichiers sont interdits, mais les autres connexions de données USB (par exemple : souris/clavier) sont autorisées.
Interdire le transfert de données : Tous les types de transferts de données USB sont interdits (Android 12+ avec USB HAL 1.3+). Si cette option n'est pas prise en charge, l'appareil revient à l'option Interdire le transfert de fichiers.
Autoriser le transfert de données : Tous les types de transferts de données USB sont autorisés.
4. Impression
Contrôle si l'impression est autorisée (Android 9+).
Autorisé (par défaut) : L'impression est autorisée.
Interdit : L'impression est interdite (Android 9+).
5. Paramètres de luminosité de l'écran
Contrôle le mode de luminosité de l'écran et (facultativement) la valeur de luminosité.
Mode de luminosité de l'écran :
Choix de l'utilisateur (par défaut) : L'utilisateur est autorisé à configurer la luminosité de l'écran.
Automatique : La luminosité est automatique et l'utilisateur ne peut pas la modifier. Vous pouvez toujours définir une valeur de luminosité, qui est utilisée dans le cadre du réglage automatique (Android 9+ en gestion complète ; profils professionnels sur Android 15+ appartenant à l'entreprise).
Fixe : La luminosité est réglée sur la valeur configurée et l'utilisateur ne peut pas la modifier. La valeur de luminosité est requise (Android 9+ en gestion complète ; profils professionnels sur Android 15+ appartenant à l'entreprise).
Luminosité de l'écran :
Valeur de 1 à 255 (1 = plus faible, 255 = plus élevée). Une valeur de 0 signifie qu'aucune valeur de luminosité n'est définie.
6. Paramètres de mise en veille de l'écran
Contrôle si l'utilisateur peut configurer la mise en veille de l'écran et, lorsqu'elle est imposée, la valeur de la mise en veille.
Le champ Mode de mise en veille de l'écran permet de choisir entre un comportement contrôlé par l'utilisateur et un comportement imposé.
Choix de l'utilisateur (par défaut) : L'utilisateur est autorisé à configurer la mise en veille de l'écran.
Appliqué : La mise en veille de l'écran est réglée sur la valeur configurée et l'utilisateur ne peut pas la modifier (Android 9+ en gestion complète ; profils professionnels sur Android 15+ appartenant à l'entreprise).
Mise en veille de l'écran :
Durée de la mise en veille en secondes. La valeur doit être supérieure à 0. Si elle est supérieure au temps de verrouillage maximal, le système peut la limiter et signaler une non-conformité.
7. Capture d'écran désactivée
Détermine si la capture d'écran est désactivée.
8. Ajustement du volume désactivé
Détermine si l'ajustement du volume principal est désactivé.
9. Montage de supports physiques désactivé
Détermine si le montage de supports physiques externes est désactivé.
Cellulaire
Dans cette section, vous pouvez configurer les politiques relatives au cellulaire.
1. Mode avion
Contrôle si le mode avion peut être activé ou désactivé par l'utilisateur.
Choix de l'utilisateur (par défaut) : L'utilisateur est autorisé à activer ou désactiver le mode avion.
Désactivé : Le mode avion est désactivé. L'utilisateur n'est pas autorisé à activer le mode avion. Pris en charge sur Android 9 et versions ultérieures.
2. Cellulaire 2G
Contrôle si le paramètre cellulaire 2G peut être activé ou désactivé par l'utilisateur.
Choix de l'utilisateur (par défaut) : L'utilisateur est autorisé à activer ou désactiver le cellulaire 2G.
Désactivé : Le cellulaire 2G est désactivé. L'utilisateur n'est pas autorisé à activer le cellulaire 2G via les paramètres. Pris en charge sur Android 14 et versions ultérieures.
3. Remplacer les APN
Contrôle si le remplacement des APN est activé ou désactivé. Lorsqu'il est activé, seuls les APN de remplacement configurés sont utilisés et tous les autres APN sur l'appareil sont ignorés.
Désactivé (par défaut) : Tous les paramètres d'APN configurés sont enregistrés sur l'appareil, mais ils sont désactivés et n'ont aucun effet. Tous les autres APN sur l'appareil restent en usage.
Activé : Seuls les APN de remplacement sont utilisés, tous les autres APN sont ignorés. Ce paramètre ne peut être configuré que sur les appareils en gestion complète avec Android 10 et versions ultérieures.
4. Paramètres APN
Configurez une ou plusieurs entrées APN. Utilisez Ajouter un APN pour créer une entrée et Supprimer l'APN pour la supprimer.
Chaque APN possède des champs obligatoires :
Types d'APN : Sélectionnez un ou plusieurs types de trafic pour cet APN (la disponibilité dépend du mode de gestion et de la version d'Android).
Nom de l'APN : L'identifiant de l'APN fourni par votre opérateur.
Nom d'affichage : Nom convivial affiché dans l'interface utilisateur.
Champs APN facultatifs :
Type d'authentification, Nom d'utilisateur, Mot de passe : Configurez l'authentification de l'opérateur (si nécessaire).
Protocole et Protocole d'itinérance : Configuration du protocole IP.
Types de réseau : Restreignez les technologies cellulaires que l'APN peut utiliser (par exemple LTE/5G NR).
Adresse du proxy et Port du proxy : Proxy HTTP pour le trafic de données (le cas échéant).
Adresse du proxy MMS, Port du proxy MMS, MMSC (URI du centre MMS) : Paramètres relatifs aux MMS.
Identifiant numérique de l'opérateur (MCC+MNC) et Identifiant de l'opérateur : Champs d'identification de l'opérateur.
Paramètre Toujours activé : Détermine si la session PDU activée par cet APN doit être toujours active. Pris en charge sur Android 15 et versions ultérieures.
Type d'MVNO : Type d'identifiant de l'opérateur de réseau mobile virtuel.
MTU IPv4 et MTU IPv6 : Unité de transmission maximale pour les routes IPv4/IPv6. Pris en charge sur Android 13 et versions ultérieures.
5. Configuration de la diffusion cellulaire désactivée
Détermine si la configuration de la diffusion cellulaire est désactivée.
6. Configuration des réseaux mobiles désactivée
Détermine si la configuration des réseaux mobiles est désactivée.
7. Données en itinérance désactivées
Détermine si les services de données en itinérance sont désactivés.
8. Appels sortants désactivés
Détermine si les appels sortants sont désactivés.
9. SMS désactivés
Détermine si l'envoi et la réception de messages SMS sont désactivés.
10. Configuration du découpage de réseau 5G
Configurez les paramètres de service réseau préférentiels pour activer le découpage de réseau 5G d'entreprise. Vous pouvez configurer jusqu'à 5 tranches d'entreprise et assigner des applications à des réseaux spécifiques pour un routage optimisé du trafic.
10.1. Réseau préférentiel par défaut
Identifiant du réseau préférentiel par défaut pour les applications qui ne figurent pas dans la liste des applications, ou si le Réseau préférentiel d'une application n'est pas défini. Doit comporter une configuration pour l'identifiant de réseau spécifié (sauf s'il est défini sur Aucun réseau préférentiel).
Remarque : Les applications critiques telles que com.google.android.apps.work.clouddpc et com.google.android.gms sont exclues de ce paramètre par défaut.
10.2. Configurations des services réseau
Utilisez Ajouter une configuration réseau pour créer une configuration de tranche. Vous pouvez ajouter jusqu'à 5 configurations. Chaque configuration comprend :
Identifiant du réseau préférentiel (assigné automatiquement) : L'identifiant du réseau est assigné automatiquement et ne peut pas être modifié.
Repli sur la connexion par défaut : Détermine si le repli sur le réseau par défaut de l'appareil est autorisé. Si ce n'est pas autorisé, les applications ne pourront pas accéder à Internet si la tranche 5G est indisponible.
Réseaux non correspondants : Détermine si les applications soumises à cette configuration peuvent utiliser des réseaux autres que le service préférentiel. Si défini sur Interdit, le Repli sur la connexion par défaut doit également être sur Interdit. Nécessite Android 14 et versions ultérieures.
Réseautage
Dans cette section, vous pouvez configurer les politiques relatives au réseautage.
Les configurations Wi‑Fi peuvent être provisionnées et gérées par le système via les configurations Wi‑Fi. Selon la valeur définie sur Configurer le Wi‑Fi, les utilisateurs peuvent avoir un contrôle limité ou aucun contrôle sur l'ajout ou la modification de réseaux.
État de la radio de l'appareil
1. État du Wi-Fi
Contrôle l'état actuel du Wi-Fi et si l'utilisateur peut modifier son état.
Choix de l'utilisateur (par défaut) : L'utilisateur est autorisé à activer ou désactiver le Wi‑Fi.
Activé : Le Wi‑Fi est activé et l'utilisateur n'est pas autorisé à le désactiver (Android 13+).
Désactivé : Le Wi‑Fi est désactivé et l'utilisateur n'est pas autorisé à l'activer (Android 13+).
2. Niveau de sécurité Wi-Fi minimal
Le niveau de sécurité minimal requis des réseaux Wi-Fi auxquels l'appareil peut se connecter. Pris en charge sur Android 13 et versions ultérieures, pour les appareils en gestion complète et les profils professionnels sur les appareils appartenant à l'entreprise.
Réseau ouvert (par défaut) : L'appareil peut se connecter à tous les types de réseaux Wi‑Fi.
Réseau personnel : Interdit les réseaux Wi‑Fi ouverts ; nécessite au moins une sécurité de type personnel (par exemple WPA2‑PSK).
Réseau d'entreprise : Nécessite des réseaux EAP d'entreprise ; interdit les réseaux Wi-Fi dont le niveau de sécurité est inférieur.
Réseau d'entreprise 192 bits : Nécessite des réseaux d'entreprise 192 bits ; l'option la plus stricte.
3. État de l'ultra-large bande (UWB)
Contrôle l'état du paramètre ultra-large bande et si l'utilisateur peut l'activer ou le désactiver.
Choix de l'utilisateur (par défaut) : L'utilisateur est autorisé à activer ou désactiver l'UWB.
Désactivé : L'UWB est désactivé et l'utilisateur n'est pas autorisé à l'activer via les paramètres (Android 14+).
Gestion de la connectivité de l'appareil
4. Partage Bluetooth
Contrôle si le partage Bluetooth est autorisé.
Autorisé : Le partage Bluetooth est autorisé (par défaut sur les appareils en gestion complète, Android 8+).
Interdit : Le partage Bluetooth est interdit (par défaut sur les profils professionnels, Android 8+).
5. Configurer le Wi-Fi
Contrôle les privilèges de configuration du Wi-Fi. Selon l'option sélectionnée, l'utilisateur dispose d'un contrôle total, limité ou nul sur la configuration des réseaux Wi-Fi.
Autoriser la configuration du Wi‑Fi (par défaut) : L'utilisateur est autorisé à configurer le Wi‑Fi.
Interdire l'ajout de config. Wi‑Fi : L'ajout de nouvelles configurations Wi‑Fi est interdit. L'utilisateur peut basculer entre les réseaux déjà configurés (Android 13+ ; appareils en gestion complète et profils professionnels sur appareils appartenant à l'entreprise).
Interdire la configuration du Wi‑Fi : Interdit la configuration des réseaux Wi‑Fi. Pour les appareils en gestion complète, cela supprime les réseaux configurés par l'utilisateur et ne conserve que les réseaux configurés via les configurations Wi‑Fi. Pour les profils professionnels sur appareils appartenant à l'entreprise, les réseaux existants ne sont pas affectés, mais les utilisateurs ne peuvent ni ajouter, ni supprimer, ni modifier de réseaux Wi‑Fi.
Lorsque la configuration du Wi‑Fi est désactivée et que l'appareil ne peut pas se connecter au démarrage, le système peut afficher la soupape de sécurité réseau pour permettre à l'utilisateur de se connecter temporairement et d'actualiser la politique.
6. Paramètres Wi-Fi Direct
Contrôle la configuration et l'utilisation des paramètres Wi-Fi Direct. Pris en charge sur les appareils appartenant à l'entreprise sous Android 13 et versions ultérieures.
Autoriser (par défaut) : L'utilisateur est autorisé à utiliser le Wi‑Fi direct.
Interdire : L'utilisateur n'est pas autorisé à utiliser le Wi‑Fi direct.
7. Paramètres de partage de connexion
Contrôle les paramètres de partage de connexion. Selon la valeur définie, l'utilisateur se voit partiellement ou totalement interdire l'utilisation de différentes formes de partage de connexion.
Autoriser tout le partage de connexion (par défaut) : permet la configuration et l'utilisation de toutes les formes de partage de connexion.
Interdire le partage de connexion Wi‑Fi : empêche l'utilisateur d'utiliser le partage de connexion Wi‑Fi (appareils Android 13+ appartenant à l'entreprise).
Interdire tout le partage de connexion : empêche toutes les formes de partage de connexion (gestion complète + profils de travail appartenant à l'entreprise).
8. Politique de SSID Wi‑Fi
Restrictions sur les SSID Wi‑Fi auxquels l'appareil peut se connecter (cela n'affecte pas les réseaux pouvant être configurés sur l'appareil). Pris en charge sur les appareils appartenant à l'entreprise fonctionnant sous Android 13 et versions ultérieures.
Liste d'exclusion de SSID (par défaut) : l'appareil ne peut se connecter à aucun réseau Wi‑Fi dont le SSID est répertorié, mais peut se connecter aux autres réseaux.
Liste d'autorisation de SSID : l'appareil peut se connecter uniquement aux SSID répertoriés. La liste des SSID ne doit pas être vide.
Utilisez Ajouter un SSID pour ajouter des entrées. Selon le type de politique sélectionné, la liste est interprétée comme des SSID autorisés ou refusés.
Dans l'interface de l'éditeur de politiques, la liste des SSID est intitulée SSID Wi‑Fi autorisés pour les listes d'autorisation et SSID Wi‑Fi refusés pour les listes d'exclusion.
9. Paramètres d'itinérance Wi‑Fi
Configurez le mode d'itinérance Wi‑Fi par SSID. Utilisez Ajouter un paramètre d'itinérance Wi‑Fi pour créer des entrées.
Chaque entrée comprend :
SSID : le SSID auquel s'applique le paramètre d'itinérance (requis).
Mode d'itinérance Wi‑Fi : Par défaut / Désactivé / Agressif. Les modes Désactivé et Agressif nécessitent Android 15+ et sont pris en charge uniquement sur les appareils en gestion complète ainsi que sur les profils de travail des appareils appartenant à l'entreprise.
Restrictions réseau
10. Désactivation du Bluetooth
Indique si le Bluetooth est désactivé. Privilégiez ce paramètre par rapport à la désactivation de la configuration Bluetooth, car cette dernière peut être contournée par l'utilisateur.
11. Désactivation du partage de contacts via Bluetooth
Indique si le partage de contacts via Bluetooth est désactivé.
12. Désactivation de la configuration Bluetooth
Indique si la configuration du Bluetooth est désactivée.
13. Désactivation de la réinitialisation du réseau
Indique si la réinitialisation des paramètres réseau est désactivée.
14. Désactivation du partage par Android Beam (sortant)
Indique si l'utilisation du NFC pour le partage de données via Beam est désactivée.
VPN
15. Application VPN toujours activé (Always On)
Spécifiez le nom du package de l'application VPN toujours activé (Always On) pour garantir que les données des applications gérées spécifiées passeront toujours par un VPN configuré.
Remarque : Cette fonctionnalité nécessite le déploiement d'un client VPN prenant en charge à la fois les fonctions « Always On » (toujours activé) et le VPN par application.
16. Verrouillage VPN (VPN lockdown)
Interdit l'accès au réseau lorsque le VPN n'est pas connecté.
17. Désactivation de la configuration VPN
Indique si la configuration du VPN est désactivée.
Proxy et services réseau
18. Service de réseau préférentiel
Contrôle si le service de réseau préférentiel est activé sur le profil de travail. Par exemple, une organisation peut avoir un accord avec un opérateur prévoyant que les données de travail soient envoyées via un service réseau dédié à l'usage professionnel (par exemple, une tranche d'entreprise sur les réseaux 5G). Cela n'a aucun effet sur les appareils en gestion complète.
Désactivé : le service de réseau préférentiel est désactivé sur le profil de travail.
Activé : le service de réseau préférentiel est activé sur le profil de travail.
Si vous utilisez le découpage de réseau (network slicing) d'entreprise, configurez également la Configuration du découpage de réseau 5G dans le panneau de politique Réseau cellulaire et assignez les applications à une tranche en utilisant leur paramètre Réseau préférentiel.
19. Proxy global recommandé
Le proxy HTTP global indépendant du réseau. En règle générale, les proxys doivent être configurés par réseau dans les configurations Wi-Fi. Un proxy global peut être utile pour des configurations inhabituelles, comme un filtrage interne général. Le proxy global n'est qu'une recommandation et certaines applications peuvent l'ignorer.
Désactivé
Proxy direct
Proxy auto-config (PAC)
19.1. Hôte
L'hôte du proxy direct.
19.2. Port
Le port du proxy direct.
19.3. URI PAC
L'URI du script PAC utilisé pour configurer le proxy.
19.4. Hôtes exclus
Pour un proxy direct, les hôtes pour lesquels le proxy est contourné. Les noms d'hôtes peuvent contenir des caractères génériques tels que *.example.com.
Utilisez Ajouter un hôte exclu pour ajouter des entrées (disponible uniquement pour le proxy direct).
Configurations Wi-Fi
Définissez les configurations de réseau Wi‑Fi que le système appliquera sur les appareils. Utilisez Ajouter une configuration Wi‑Fi pour créer une entrée et supprimez-la avec l'action de suppression.
20. Champs de configuration Wi‑Fi
Chaque configuration comprend :
Nom de la configuration : Requis.
SSID : Requis.
Connexion automatique : indique si le réseau doit être connecté automatiquement lorsqu'il est à portée.
Transition rapide (Fast Transition) : indique si le client doit tenter d'utiliser la transition rapide (IEEE 802.11r-2008) avec le réseau.
Mode de randomisation de l'adresse MAC : Matériel ou Automatique (Android 13+).
20.1. Sécurité
Options de sécurité Wi‑Fi :
WPA‑PSK : WPA/WPA2/WPA3-Personnel (clé pré-partagée).
WPA‑EAP : WPA/WPA2/WPA3-Entreprise (Extensible Authentication Protocol).
Mode WPA3 192 bits : réseau WPA‑EAP n'autorisant que le mode WPA3 192 bits.
20.2. Mot de passe (clé pré-partagée)
Affiché lorsque la sécurité est WEP‑PSK ou WPA‑PSK. Le mot de passe est requis.
20.3. Méthode EAP (Entreprise)
Affiché lorsque la sécurité est WPA‑EAP ou Mode WPA3 192 bits. Sélectionnez une méthode EAP externe :
EAP‑TLS
EAP‑TTLS
PEAP
EAP‑SIM
EAP‑AKA
20.4. Authentification de phase 2
Affiché pour les méthodes externes à tunnel (EAP‑TTLS et PEAP).
MSCHAPv2
PAP
20.5. Identifiants EAP des utilisateurs
Lorsqu'elle est activée, le système applique automatiquement les identifiants EAP sur les appareils pour chaque utilisateur. Vous pouvez configurer les identifiants des utilisateurs dans la section Utilisateurs.
20.6. Certificat client
Pour EAP‑TLS, vous pouvez assigner un certificat client utilisé pour l'authentification Wi‑Fi. Pour plus d'informations, consultez la page Gestion des certificats.
Si un certificat est déjà assigné, vous pouvez utiliser Ouvrir le certificat pour le consulter ou Modifier le certificat pour en sélectionner un autre.
Alternativement, vous pouvez spécifier l'alias de la paire de clés du certificat client, qui fait référence à un certificat client stocké dans le trousseau Android et autorisé pour l'authentification Wi‑Fi.
Si le Certificat client et l'alias de la paire de clés du certificat client sont tous deux configurés, l'alias de la paire de clés est ignoré.
20.7. Identité
Identité de l'utilisateur. Pour les protocoles externes à tunnel (PEAP, EAP‑TTLS), celle-ci est utilisée pour l'authentification à l'intérieur du tunnel, et l'Identité anonyme est utilisée pour l'identité EAP à l'extérieur du tunnel. Pour les protocoles externes sans tunnel, elle est utilisée pour l'identité EAP.
20.8. Identité anonyme
Pour les protocoles à tunnel uniquement, cela indique l'identité de l'utilisateur présentée au protocole externe.
20.9. Mot de passe
Mot de passe de l'utilisateur. S'il n'est pas spécifié, l'utilisateur sera invité à le saisir par défaut.
20.10. Certificats d'autorité de certification (CA) du serveur
Liste des certificats d'autorité de certification (CA) à utiliser pour vérifier la chaîne de certificats de l'hôte. Au moins un certificat CA doit correspondre. Pour plus d'informations, consultez la page Gestion des certificats.
Utilisez Ajouter un certificat d'autorité de certification (CA) du serveur pour ajouter des entrées et supprimez-les avec l'action de suppression.
20.11. Correspondances de suffixes de domaine
Une liste de contraintes pour le nom de domaine du serveur. Les entrées sont utilisées comme exigences de correspondance de suffixe par rapport au(x) nom(s) DNS du nom de sujet alternatif d'un certificat de serveur d'authentification.
Système
Dans cette section, vous pouvez configurer les politiques relatives au système.
1. Niveau d'API minimal
Le niveau d'API Android minimal autorisé.
2. Politique de chiffrement
Indique si le chiffrement est activé.
Par défaut : cette valeur est ignorée, c'est-à-dire qu'aucun chiffrement n'est requis.
Activé sans mot de passe : le chiffrement est requis, mais aucun mot de passe n'est nécessaire pour le démarrage.
Activé avec mot de passe : le chiffrement est requis avec un mot de passe nécessaire pour le démarrage.
3. Date et heure automatiques
Indique si la date, l'heure et le fuseau horaire automatiques sont activés sur un appareil appartenant à l'entreprise.
Choix de l'utilisateur (par défaut) : la date, l'heure et le fuseau horaire automatiques sont laissés au choix de l'utilisateur.
Imposé : impose la date, l'heure et le fuseau horaire automatiques sur l'appareil.
4. Paramètres de développement
Contrôle l'accès aux paramètres de développement : options pour développeurs et mode sans échec.
Désactivé (par défaut) : désactive tous les paramètres de développement et empêche l'utilisateur d'y accéder.
Autorisé : permet tous les paramètres de développement. L'utilisateur peut y accéder et, si nécessaire, configurer les paramètres.
5. Mode Critères Communs (Common Criteria)
Contrôle le mode Critères Communs (Common Criteria) — des normes de sécurité définies dans les Critères Communs pour l'évaluation de la sécurité de l'informatique (CC). L'activation du mode Critères Communs renforce certains composants de sécurité sur l'appareil (par exemple : le chiffrement AES-GCM des clés à long terme Bluetooth, une validation supplémentaire pour certains certificats réseau et des contrôles d'intégrité de la politique cryptographique). Le mode Critères Communs est pris en charge uniquement sur les appareils appartenant à l'entreprise fonctionnant sous Android 11 ou versions ultérieures. Avertissement : le mode Critères Commuliers impose un modèle de sécurité strict, généralement requis uniquement pour les organisations hautement sensibles. L'utilisation standard de l'appareil peut être affectée ; ne l'activez que si nécessaire.
Désactivé (par défaut) : désactive le mode Critères Communs.
Activé : Active le mode Common Criteria.
6. Memory Tagging Extension (MTE)
Contrôle le Memory Tagging Extension (MTE) sur l'appareil.
Choix de l'utilisateur (par défaut) : L'utilisateur peut choisir d'activer ou de désactiver le MTE sur l'appareil (si l'appareil est compatible).
Appliqué : Le MTE est activé et l'utilisateur ne peut pas le modifier (Android 14+ ; pris en charge sur les appareils entièrement gérés et les profils de travail sur les appareils appartenant à l'entreprise).
Désactivé : Le MTE est désactivé et l'utilisateur ne peut pas le modifier (Android 14+ ; pris en charge uniquement sur les appareils entièrement gérés).
7. Protection du contenu
Contrôle si la protection du contenu (qui recherche les applications trompeuses) est activée. Cette fonctionnalité est prise en charge sur Android 15 et versions ultérieures.
Désactivé (par défaut) : La protection du contenu est désactivée et l'utilisateur ne peut pas modifier ce paramètre.
Appliqué : La protection du contenu est activée et l'utilisateur ne peut pas modifier ce paramètre (Android 15+).
Choix de l'utilisateur : La protection du contenu n'est pas contrôlée par la politique ; l'utilisateur peut choisir (Android 15+).
8. Contenu d'assistance
Contrôle si l'envoi de AssistContent est autorisé à une application privilégiée, telle qu'une application d'assistance (par exemple, Circle to Search). AssistContent inclut des captures d'écran et des informations sur une application, comme le nom du package. Cette fonctionnalité est prise en charge sur Android 15 et versions ultérieures.
Autorisé (par défaut) : L'envoi du contenu d'assistance à une application privilégiée est autorisé (Android 15+).
Interdit : L'envoi du contenu d'assistance à une application privilégiée est bloqué (Android 15+).
9. Désactivation de la création de fenêtres
Indique si la création de fenêtres autres que les fenêtres d'applications est désactivée. Cette option empêche l'affichage des éléments d'interface système suivants : toasts et snackbars, activités téléphoniques (telles que les appels entrants) et activités téléphoniques prioritaires (telles que les appels en cours), alertes système, erreurs système et superpositions système.
10. Soupape de sécurité réseau
Indique si la soupape de sécurité réseau est activée. Si aucune connexion réseau ne peut être établie au démarrage, la soupape de sécurité invite l'utilisateur à se connecter temporairement à un réseau afin d'actualiser la politique de l'appareil. Après l'application de la politique, le réseau temporaire sera oublié et l'appareil poursuivra son démarrage. Cela permet d'éviter de se retrouver dans l'impossibilité de se connecter à un réseau si aucun réseau approprié n'était disponible dans la dernière politique et que l'appareil démarre sur une application en mode verrouillage (lock task), ou si l'utilisateur est autrement incapable d'accéder aux paramètres de l'appareil.
11. Activités par défaut
Une liste d'activités par défaut pour la gestion des intents correspondant à un filtre d'intent spécifique. Par exemple, cette fonctionnalité permettrait aux administrateurs informatiques de choisir quelle application de navigateur ouvre automatiquement les liens web, ou quelle application de lanceur est utilisée lors de l'appui sur le bouton d'accueil.
Utilisez Ajouter une activité par défaut pour créer des entrées. Dans une entrée, utilisez Ajouter une action et Ajouter une catégorie pour construire le filtre d'intent.
11.1. Activité de réception
L'activité qui doit servir de gestionnaire d'intent par défaut. Il s'agit d'un nom de composant Android, par exemple com.android.enterprise.app/.MainActivity. Alternativement, la valeur peut être le nom du package d'une application, ce qui amène Android Device Policy à choisir une activité appropriée au sein de l'application pour gérer l'intent.
11.2. Action
Les actions d'intent à faire correspondre dans le filtre. Si des actions sont incluses dans le filtre, l'action de l'intent doit être l'une de ces valeurs pour qu'il y ait correspondance. Si aucune action n'est incluse, l'action de l'intent est ignorée.
11.3. Catégorie
Les catégories d'intent à faire correspondre dans le filtre. Un intent inclut les catégories dont il a besoin, et toutes celles-ci doivent être incluses dans le filtre pour qu'il y ait correspondance. En d'autres termes, l'ajout d'une catégorie au filtre n'a aucun impact sur la correspondance, à moins que cette catégorie ne soit spécifiée dans l'intent.
12. Méthodes de saisie autorisées
Spécifie les méthodes de saisie autorisées.
Tout est autorisé : Aucune restriction appliquée. Toutes les méthodes de saisie sont autorisées.
Système uniquement : Seules les méthodes de saisie intégrées au système sont autorisées.
Système et fournies uniquement : Seules les méthodes de saisie fournies et celles intégrées au système sont autorisées.
12.1. Méthodes de saisie autorisées
Noms de packages des méthodes de saisie autorisés. S'applique uniquement lorsque Méthodes de saisie autorisées est défini sur Système et fournies uniquement.
Utilisez Ajouter une méthode de saisie pour ajouter des entrées et supprimez-les avec l'action de suppression.
13. Services d'accessibilité autorisés
Spécifie les services d'accessibilité autorisés.
Tout est autorisé : N'importe quel service d'accessibilité peut être utilisé.
Système uniquement : Seuls les services d'accessibilité intégrés au système peuvent être utilisés.
Système et fournies uniquement : Seuls les services d'accessibilité fournis et ceux intégrés au système peuvent être utilisés.
13.1. Services d'accessibilité autorisés
Services d'accessibilité autorisés. S'applique uniquement lorsque Services d'accessibilité autorisés est défini sur Système et fournies uniquement.
Utilisez Ajouter un service d'accessibilité pour ajouter des entrées et supprimez-les avec l'action de suppression.
14. Politique de mise à jour du système
Configuration pour la gestion des mises à jour du système.
Par défaut : Suit le comportement de mise à jour par défaut de l'appareil, ce qui nécessite généralement que l'utilisateur accepte les mises à jour du système.
Automatique : Installe automatiquement dès qu'une mise à jour est disponible.
Fenêtre de maintenance : Installe automatiquement au sein d'une fenêtre de maintenance quotidienne. Cela configure également les applications Play pour qu'elles soient mises à jour pendant cette fenêtre. Cette option est fortement recommandée pour les appareils de type kiosque, car c'est le seul moyen de mettre à jour via Play les applications épinglées de manière persistante au premier plan.
Reporter : Reporte l'installation automatique jusqu'à un maximum de 30 jours.
14.1. Fenêtre de maintenance (Mode fenêtre uniquement)
Lorsque la Politique de mise à jour du système est définie sur Fenêtre de maintenance, vous pouvez définir la fenêtre de maintenance quotidienne à l'aide des champs de et à.
14.2. Périodes de gel des mises à jour du système
Une période de temps se répétant chaque année au cours de laquelle les mises à jour système over-the-air (OTA) sont reportées afin de figer la version du système d'exploitation en cours d'exécution sur un appareil. Pour éviter de figer l'appareil indéfiniment, chaque période de gel doit être séparée par au moins 60 jours. Chaque période de gel ne doit pas dépasser 90 jours.
Utilisez Ajouter une période de gel des mises à jour du système pour créer des entrées.
15. Fournisseurs d'identifiants par défaut
Contrôle quelles applications sont autorisées à agir en tant que fournisseurs d'identifiants sur Android 14 et versions ultérieures.
Interdit (par défaut) : Les applications dont la politique credentialProviderPolicy n'est pas spécifiée ne sont pas autorisées à agir en tant que fournisseur d'identifiants.
Interdit sauf système : Les applications dont la politique credentialProviderPolicy n'est pas spécifiée ne sont pas autorisées à agir en tant que fournisseur d'identifiants, sauf pour les fournisseurs d'identifiants par défaut du fabricant (OEM).
Localisation et géorepérage
Ce panneau regroupe les paramètres de la politique Android qui contrôlent le signalement de la position de l'appareil, l'application de la localisation et les définitions de géorepérage. Utilisez-le lorsque vous souhaitez que Cerberus Enterprise collecte la position des appareils ou détecte lorsqu'ils entrent ou sortent de zones configurées.
Signalement de la position
Signaler la position
Active le signalement de la géolocalisation de l'appareil. Les données de localisation collectées via ce paramètre sont utilisées par la carte de localisation du tableau de bord, l'historique de localisation de l'aperçu de l'appareil et le traitement du géorepérage.
Sur les appareils qui ne sont pas entièrement gérés, la transmission des données de localisation peut toujours dépendre du fait que l'application Cerberus Enterprise possède les autorisations de localisation requises et que les services de localisation soient activés sur l'appareil.
Mode de localisation
Contrôle le paramètre de localisation sur les appareils appartenant à l'entreprise.
- Choix de l'utilisateur : les services de localisation ne sont pas restreints par la politique.
- Appliqué : les services de localisation sont activés sur l'appareil.
- Désactivé : les services de localisation sont désactivés sur l'appareil.
Partage de la position désactivé
Désactive le partage de la position pour les applications professionnelles. Sur les appareils avec propriétaire de profil, cela affecte le profil professionnel. Sur les appareils en gestion complète, cela désactive la localisation pour l'ensemble de l'appareil et remplace le mode de localisation de l'appareil.
Comportement automatique avec géorepérages actifs
Les géorepérages actifs nécessitent le signalement de la position pour fonctionner. Lorsqu'au moins un géorepérage est actif, Cerberus Enterprise maintient automatiquement la cohérence des paramètres de localisation associés.
- Signaler la position est activé de force tant que des géorepérages actifs existent.
- Le mode de localisation est forcé sur Appliqué.
- Le partage de la position désactivé est forcé sur désactivé.
Si vous tentez de désactiver Signaler la position alors qu'un ou plusieurs géorepérages sont actifs, Cerberus Enterprise affiche une boîte de dialogue de confirmation. Si vous continuez, tous les géorepérages actifs dans la politique seront désactivés.
Liste de géorepérages
Une politique peut contenir jusqu'à 10 géorepérages. Les noms des géorepérages doivent être uniques au sein de la politique.
Utilisez Ajouter un géorepérage pour créer une nouvelle entrée. Chaque géorepérage contient ces champs principaux :
- Nom : obligatoire et unique.
- Latitude et Longitude : le centre de la zone.
- Rayon (m) : obligatoire, de 100 à 10000 mètres.
- Description : notes facultatives pour les administrateurs.
- Signaler l'entrée et Signaler la sortie : choisissez quels événements de transition doivent être générés.
- Actif : active ou désactive le géorepérage sans le supprimer.
Au moins l'une des options Signaler l'entrée ou Signaler la sortie doit rester activée pour chaque géorepérage.
Outils d'édition de la carte
Chaque fiche de géorepérage inclut un aperçu cartographique de la zone. Vous pouvez modifier la géométrie à partir de la carte ou des champs numériques.
- Cliquez sur la carte pour déplacer le centre du géorepérage lorsque l'édition de la zone est déverrouillée.
- Utilisez le bouton Position actuelle pour centrer la carte sur votre position actuelle dans le navigateur.
- Utilisez le bouton Recentrer la carte pour restaurer la zone d'affichage préférée de ce géorepérage.
- Utilisez le bouton de verrouillage pour empêcher toute modification accidentelle de la géométrie du géorepérage.
Où les données de géorepérage apparaissent
Les transitions de géorepérage peuvent être consultées dans la page Aperçu de l'appareil de l'Android, dans l'onglet Géorepérage du panneau de localisation. Cet onglet affiche les transitions sur une carte dédiée, ainsi que des outils de filtrage et la liste des transitions.
Gestion des utilisateurs
Désactivation de l'ajout d'utilisateurs
Indique si l'ajout de nouveaux utilisateurs et profils est désactivé. Pour les appareils où le mode de gestion est DEVICE_OWNER, ce champ est ignoré et l'utilisateur n'est jamais autorisé à ajouter ou supprimer des utilisateurs.
Désactivation de la modification des comptes
Indique si l'ajout ou la suppression de comptes est désactivé.
Désactivation de la configuration des identifiants utilisateur
Indique si la configuration des identifiants utilisateur est désactivée.
Désactivation de la suppression d'utilisateurs
Indique si la suppression d'autres utilisateurs est désactivée.
Désactivation de la définition de l'icône utilisateur
Indique si le changement de l'icône utilisateur est désactivé.
Désactivation de la définition du fond d'écran
Indique si le changement de fond d'écran est désactivé.
Authentification lors de la configuration du compte de travail
Contrôle la manière dont les utilisateurs s'authentifient lors de la configuration du compte de travail. Cette option est disponible uniquement pour les entreprises Android gérées par un domaine Google (Google Workspace).
Lors de la configuration ou de l'enrôlement de l'appareil, cette politique influence si une connexion au compte de travail est requise, mais le paramètre S'authentifier à l'aide de Google de la console d'administration Google ainsi que le type de jeton d'enrôlement peuvent toujours exiger une authentification.
Pour les appareils déjà enrôlés, cette politique ne s'applique que si l'appareil est géré par un compte Google Play géré (c'est-à-dire enrôlé sans enrôlement avec authentification via Google).
Pour plus de détails et pour le dépannage, reportez-vous à l'enrôlement avec authentification via Google.
Types de comptes bloqués
Types de comptes qui ne peuvent pas être gérés par l'utilisateur. Cette option empêche les utilisateurs de l'appareil d'ajouter des comptes non approuvés.
Utilisez Ajouter un type de compte bloqué pour ajouter un ou plusieurs types de comptes.
Chaque entrée possède un champ Type de compte (obligatoire). Saisissez une chaîne de caractères telle que com.google. Supprimez une entrée à l'aide de l'action de suppression.
Usage personnel
Lors du provisionnement d'un appareil appartenant à l'entreprise pour un usage professionnel et personnel, vous pouvez spécifier certaines règles pour limiter la manière dont l'utilisateur peut utiliser l'appareil à des fins personnelles, en dehors du profil de travail.
Cette section s'applique uniquement aux appareils appartenant à l'entreprise avec un profil de travail. Elle n'aura aucun effet sur les appareils en gestion complète ou appartenant à des particuliers.
1. Désactivation de l'appareil photo
Indique si l'appareil photo est désactivé.
2. Désactivation de la capture d'écran
Indique si la capture d'écran est désactivée.
3. Nombre maximal de jours avec le profil de travail désactivé
Contrôle la durée pendant laquelle le profil de travail peut rester désactivé.
4. Partage via Bluetooth
Contrôle si le partage via Bluetooth est autorisé dans le profil personnel d'un appareil appartenant à l'entreprise avec un profil de travail.
5. Espace privé
Contrôle si un espace privé est autorisé sur l'appareil.
6. Mode Play Store
Ce mode contrôle quelles applications sont autorisées ou bloquées pour l'utilisateur dans le Play Store du profil personnel.
Liste d'exclusion (par défaut) : toutes les applications sont disponibles et toute application qui ne devrait pas être sur l'appareil doit être explicitement marquée comme Bloquée dans la section Applications.
Liste d'autorisation : seules les applications explicitement spécifiées dans la section Applications avec le Type d'installation défini sur Disponible sont autorisées à être installées dans le profil personnel.
7. Applications
Liste des applications qui doivent être autorisées ou bloquées sur le profil personnel. Le comportement du contenu de la liste dépend de la valeur définie dans le Mode Play Store.
Pour ajouter une nouvelle application depuis le Play Store, cliquez sur l'icône +.
7.1. Type d'installation
Types de comportements d'installation qu'une application du profil personnel peut avoir.
Bloquée : l'application est bloquée et ne peut pas être installée dans le profil personnel.
Disponible : l'application est disponible pour être installée dans le profil personnel.
8. Types de comptes bloqués
Types de comptes qui ne peuvent pas être gérés par l'utilisateur. Cette option empêche les utilisateurs de l'appareil d'ajouter des comptes non approuvés sur leur profil personnel.
Politiques interprofils
S'applique uniquement aux appareils disposant de profils personnels et professionnels.
Copier/coller interprofils
Détermine si le texte copié d'un profil (personnel ou professionnel) peut être collé dans l'autre profil.
Interdit (par défaut) : Empêche les utilisateurs de coller dans le profil personnel du texte copié depuis le profil professionnel. Le texte copié depuis le profil personnel peut être collé dans le profil professionnel.
Autorisé : Le texte copié dans l'un ou l'autre profil peut être collé dans l'autre profil.
Partage de données interprofils
Détermine si les données d'un profil (personnel ou professionnel) peuvent être partagées avec les applications de l'autre profil. Contrôle spécifiquement le partage simple de données via des intents. La gestion des autres canaux de communication interprofils, tels que la recherche de contacts, le copier/coller,
ou les applications professionnelles et personnelles connectées, est configurée séparément.
Interdit : Empêche le partage de données, que ce soit du profil personnel vers le profil professionnel ou du profil professionnel vers le profil personnel.
Partage professionnel vers personnel interdit (par défaut) : Empêche les utilisateurs de partager des données du profil professionnel vers les applications du profil personnel. Les données personnelles peuvent être partagées avec les applications professionnelles.
Autorisé : Les données de l'un ou l'autre profil peuvent être partagées avec l'autre profil.
Widgets du profil professionnel par défaut
Comportement par défaut des widgets du profil professionnel. Si une application spécifique ne définit pas de politique de widgets, elle suivra le paramètre défini ici.
Fonctions d'application interprofils
Contrôle si les applications du profil personnel peuvent invoquer des fonctions d'application provenant des applications du profil professionnel. Cela nécessite Android 16 ou une version ultérieure.
Ce paramètre dépend de l'option Fonctions d'application au niveau de la politique (dans la section Gestion des applications). Si les fonctions d'application sont définies sur Interdit, l'API rejettera les fonctions d'application interprofils définies sur Autorisé.
Contacts professionnels dans le profil personnel
Détermine si les contacts enregistrés dans le profil professionnel peuvent être affichés lors des recherches de contacts et des appels entrants sur le profil personnel.
Autorisé (par défaut) : Permet aux contacts du profil professionnel d'apparaître dans le profil personnel.
Interdit : Empêche les applications personnelles d'accéder aux contacts du profil professionnel et de rechercher des contacts professionnels.
Interdit sauf système : Empêche la plupart des applications personnelles d'accéder aux contacts du profil professionnel, à l'exception des applications par défaut de l'OEM (Téléphone, Messages et Contacts) (Android 14+).
Lorsque l'option Contacts professionnels dans le profil personnel est configurée, vous pouvez facultativement définir une liste d'entrées Noms de package exemptés. Selon le mode sélectionné, ces exemptions se comportent comme une liste d'autorisation ou une liste de blocage pour les applications personnelles.
Rapport d'état
Dans cette section, vous pouvez configurer les données qui doivent être récupérées sur l'appareil. Les données d'état peuvent être consultées sur la page du tableau de bord État de l'appareil.
Rapports d'applications
Indique si les rapports d'applications sont activés. (Informations rapportées sur une application installée.)
Cette option est requise par le système (pour l'intégration d'applications compagnons) et est toujours activée ; elle ne peut pas être désactivée.
Inclure les applications supprimées
Indique si les applications supprimées sont incluses dans les rapports d'applications.
Paramètres de l'appareil
Indique si le rapport des paramètres de l'appareil est activé. (Informations sur les paramètres de l'appareil liés à la sécurité sur l'appareil.)
Informations sur le logiciel
Indique si le rapport des informations sur le logiciel est activé. (Informations sur le logiciel de l'appareil.)
Informations sur la mémoire
Indique si le rapport de la mémoire est activé. (Un événement lié aux mesures de la mémoire et du stockage.)
Informations sur le réseau
Indique si le rapport des informations sur le réseau est activé. (Informations sur le réseau de l'appareil.)
Informations sur l'affichage
Indique si le rapport de l'affichage est activé. Les données de rapport ne sont pas disponibles pour les appareils appartenant à des particuliers avec un profil de travail. (Informations sur l'affichage de l'appareil.)
Événements de gestion de l'alimentation
Indique si le rapport des événements de gestion de l'alimentation est activé. Les données de rapport ne sont pas disponibles pour les appareils appartenant à des particuliers avec un profil de travail.
État du matériel
Indique si le rapport de l'état du matériel est activé. Les données de rapport ne sont pas disponibles pour les appareils appartenant à des particuliers avec un profil de travail.
Propriétés du système
Indique si le rapport des propriétés du système est activé.
Mode Critères Communs (Common Criteria)
Indique si le rapport du mode Critères Communs est activé.
Divers
1. Jeu d'Easter egg désactivé
Détermine si le jeu d'Easter egg dans les Paramètres est désactivé.
2. Ignorer les conseils de première utilisation
Indicateur pour ignorer les conseils lors de la première utilisation. L'administrateur d'entreprise peut activer la recommandation système permettant aux applications de sauter leur tutoriel utilisateur et autres conseils d'introduction lors du premier démarrage.
3. Message d'assistance court
Un message affiché à l'utilisateur sur l'écran des paramètres partout où une fonctionnalité a été désactivée par l'administrateur. Si le message dépasse 200 caractères, il peut être tronqué.
4. Message d'assistance long
Un message affiché à l'utilisateur sur l'écran des paramètres de l'administrateur de l'appareil.
5. Infos écran de verrouillage du propriétaire
Les informations sur le propriétaire de l'appareil à afficher sur l'écran de verrouillage.
6. Actions de configuration
Actions à effectuer pendant le processus de configuration. Lors de l'enrôlement, vous pouvez exiger que l'utilisateur ouvre une ou plusieurs applications nécessaires à la configuration de l'appareil.
Utilisez Ajouter une action de configuration pour créer des entrées et supprimez-les avec l'action de suppression.
6.1. Lancer l'application
Nom de package de l'application à lancer
6.2. Titre
Fournit un message destiné à l'utilisateur pour lui expliquer pourquoi le lancement de l'application est requis.
6.3. Description
Fournit un message destiné à l'utilisateur pour lui expliquer pourquoi le lancement de l'application est requis.
7. Visibilité du nom d'affichage de l'entreprise
Contrôle si le nom d'affichage de l'entreprise est visible sur l'appareil (par exemple, sous forme de message sur l'écran de verrouillage des appareils appartenant à l'entreprise).
Visible (par défaut) : Le nom d'affichage de l'entreprise est visible sur l'appareil (pris en charge sur les profils professionnels sous Android 7+ et les appareils en gestion complète sous Android 8+).
Règles d'application des politiques
Si un appareil ou un profil de travail ne respecte pas l'un des paramètres de politique énumérés ci-dessous, la politique d'appareil Android bloque immédiatement l'utilisation de l'appareil ou du profil de travail par défaut :
- Exigences relatives au mot de passe
- Politique de chiffrement
- Désactivation de l'écran de verrouillage (Keyguard)
- Méthodes de saisie autorisées
- Services d'accessibilité autorisés
Si l'appareil ou le profil de travail reste non conforme après 10 jours, la politique d'appareil Android réinitialisera l'appareil aux paramètres d'usine ou supprimera le profil de travail.
Dans cette section, vous pouvez remplacer les règles d'application de conformité par défaut ou en ajouter de nouvelles.
Règles
Liste des règles qui définissent le comportement lorsqu'une politique particulière ne peut pas être appliquée à un appareil.
Utilisez Ajouter une règle pour créer une nouvelle règle. Chaque fiche de règle peut être supprimée à l'aide de l'action de suppression.
Nom du paramètre
La politique de premier niveau à appliquer. Par exemple, Applications ou Exigences relatives au mot de passe.
Requis. La valeur doit correspondre à un nom de politique de premier niveau pris en charge ; sinon, le champ est marqué comme invalide.
Bloquer après X jours
Nombre de jours pendant lesquels la politique est non conforme avant que l'appareil ou le profil de travail ne soit bloqué. Pour bloquer l'accès immédiatement, réglez sur 0. Bloquer après X jours doit être inférieur à Réinitialisation après X jours. Applicable uniquement aux appareils appartenant à l'entreprise.
Plage autorisée : 0–300.
Portée du blocage
Spécifie la portée de l'action de blocage. Applicable uniquement aux appareils appartenant à l'entreprise.
Par défaut (nouvelle règle) : Profil de travail.
Profil de travail : l'action de blocage s'applique uniquement aux applications du profil de travail. Les applications du profil personnel ne sont pas affectées.
Appareil complet : l'action de blocage s'applique à l'appareil complet, y compris les applications du profil personnel.
Réinitialisation après X jours
Nombre de jours pendant lesquels la politique est non conforme avant que l'appareil ou le profil de travail ne soit réinitialisé.
Réinitialisation après X jours doit être supérieur à Bloquer après X jours. Applicable uniquement aux appareils appartenant à l'entreprise.
Requis. Par défaut (nouvelle règle) : 1.
Plage autorisée : 1–300.
Conserver la protection contre la réinitialisation d'usine
Indique si les données de protection contre la réinitialisation d'usine sont conservées sur l'appareil. Ce paramètre ne s'applique pas aux profils de travail.
Par défaut (nouvelle règle) : activé.
Politiques - Apple
Politiques Apple
Les politiques Apple définissent les paramètres de gestion que Cerberus Enterprise applique aux appareils Apple via MDM. Ces paramètres sont configurés depuis le tableau de bord dans l'éditeur de politique Apple.
Avant de commencer
La gestion des appareils Apple nécessite la configuration d'Apple Management (APNs). Si nécessaire, consultez la page Configuration d'Apple Management (APNs).
Ouvrir l'éditeur de politique Apple
Dans le tableau de bord, ouvrez Politiques et cliquez sur Créer une nouvelle politique Apple. Pour modifier une politique Apple existante, cliquez sur sa ligne dans le tableau des politiques.
Mise en page de l'éditeur
L'éditeur de politique Apple est organisé en un ensemble de sections extensibles. En haut de la page, vous pouvez toujours modifier :
- Nom (requis)
- ID (lecture seule)
- Description (optionnel)
Sections de la politique
Les sections ci-dessous correspondent aux panneaux actuellement disponibles dans l'éditeur de politique Apple :
- Gestion des applications : configurez les restrictions relatives aux applications et les applications gérées.
- Paramètres du code de déverrouillage : configurez les exigences relatives au code de déverrouillage et les règles associées.
- Sécurité : contrôlez des fonctionnalités telles que le déverrouillage automatique et le déverrouillage biométrique.
- iCloud : autorisez ou désactivez des services iCloud spécifiques (sauvegarde, synchronisation du trousseau, relais privé, etc.).
- Multimédia : autorisez ou désactivez l'appareil photo et les fonctionnalités associées.
- Cellulaire : contrôlez les paramètres relatifs au cellulaire (paramètres de données cellulaires par application, eSIM, changements de forfait).
- Réseautage : contrôlez AirDrop/AirPrint/AirPlay et les autres paramètres de connectivité.
- Comptes : restreignez la modification des comptes et (facultativement) configurez les comptes Google et de messagerie.
De nombreuses options dans l'éditeur de politique Apple incluent une info-bulle qui documente les exigences et les versions d'OS prises en charge.
Sauvegarde, suppression et appareils associés
Utilisez Enregistrer la politique pour appliquer vos modifications. Le bouton est désactivé lorsqu'il n'y a pas de modifications en attente ou lorsque la licence est expirée.
Lors de la modification d'une politique existante, la page affiche également une action Supprimer la politique. L'éditeur peut afficher une liste des Appareils associés en bas de page, afin que vous puissiez voir combien d'appareils utilisent actuellement la politique.
Pages suivantes
- Code de déverrouillage : configurez les exigences relatives au code de déverrouillage et les options de sécurité associées.
- Restrictions : définissez les fonctionnalités autorisées et les limitations au niveau de l'OS.
- Applications et profils : configurez les applications installées et les profils de configuration.
Politique Apple : Code de déverrouillage
La section Paramètres du code de déverrouillage contrôle les exigences relatives au code de déverrouillage de l'appareil et les règles de sécurité associées (par exemple, la longueur minimale et la complexité).
Options
Dans l'éditeur de politique Apple, les options de code de déverrouillage sont configurées à l'aide d'un mélange d'interrupteurs et de champs numériques. De nombreux champs incluent des info-bulles indiquant les versions d'OS prises en charge et les exigences de supervision.
Interrupteurs du code de déverrouillage
- ChangeAtNextAuth : force la réinitialisation du mot de passe lors de la prochaine authentification de l'utilisateur.
- RequireAlphanumericPasscode : exige au moins un caractère alphabétique et un chiffre.
- RequireComplexPasscode: exige un code de déverrouillage « complexe » (pas de motifs répétitifs ou séquentiels et au moins un caractère non alphanumérique).
- RequirePasscode: exige un code de déverrouillage sans exigences supplémentaires de longueur ou de qualité. Remarque : le réglage d'autres clés de code de déverrouillage impose implicitement un code de déverrouillage.
Champs numériques
- FailedAttemptsResetInMinutes : nombre de minutes avant la réinitialisation du compteur d'échecs (nécessite MaximumFailedAttempts).
- MaximumFailedAttempts: nombre d'échecs autorisés avant que l'appareil ne soit effacé ou verrouillé (plage : 2–11).
- MaximumGracePeriodInMinutes: durée pendant laquelle l'appareil peut rester déverrouillé sans exiger le code de déverrouillage (0 = aucun).
- MaximumInactivityInMinutes: temps d'inactivité avant le verrouillage de l'appareil (plage : 0–15).
- MaximumPasscodeAgeInDays: âge maximal du code de déverrouillage avant un changement forcé (plage : 0–730).
- MinimumComplexCharacters: nombre minimum de caractères « complexes » (plage : 0–4).
- MinimumLength: longueur minimale du code de déverrouillage (plage : 0–16).
- PasscodeReuseLimit: longueur de l'historique du code de déverrouillage pour empêcher la réutilisation d'anciens codes (plage : 1–50).
Politique Apple : Restrictions
Les sections Restrictions contrôlent quelles fonctionnalités de l'OS sont autorisées sur les appareils Apple gérés. Dans l'éditeur de politique Apple, ces options sont présentées sous forme de panneaux groupés comportant plusieurs interrupteurs.
De nombreuses restrictions ne sont prises en charge que sur des versions spécifiques de l'OS et peuvent nécessiter des appareils supervisés. Utilisez les info-bulles dans le tableau de bord pour connaître les exigences officielles.
Sécurité
- Autoriser le déverrouillage automatique
- Autoriser l'empreinte digitale pour le déverrouillage
- Autoriser la modification de l'empreinte digitale
iCloud
- Autoriser le carnet d'adresses iCloud
- Autoriser la sauvegarde iCloud
- Autoriser les favoris iCloud
- Autoriser le calendrier iCloud
- Autoriser le bureau et les documents iCloud
- Autoriser la synchronisation des documents iCloud
- Autoriser iCloud Freeform
- Autoriser la synchronisation du trousseau iCloud
- Autoriser Mail iCloud
- Autoriser Notes iCloud
- Autoriser la bibliothèque de photos iCloud
- Autoriser le relais privé iCloud
- Autoriser Rappels iCloud
Multimédia
- Autoriser l'appareil photo
- Autoriser la modification du partage de fichiers
- Autoriser l'accès aux clés USB via l'app Fichiers
Cellulaire
- Autoriser la modification des données cellulaires par application
- Autoriser la modification du forfait cellulaire
- Autoriser la modification de l'eSIM
- Autoriser les transferts sortants d'eSIM
Réseautage
- Autoriser AirDrop
- Autoriser les requêtes entrantes AirPlay
- Autoriser AirPrint
- Autoriser le stockage des identifiants AirPrint
- Autoriser la découverte iBeacon pour AirPrint
- Autoriser la modification du Bluetooth
- Autoriser la modification du partage Bluetooth
- Autoriser l'accès aux lecteurs réseau via l'app Fichiers
- Autoriser la modification du partage Internet
Comptes (restriction)
Le panneau Comptes contient à la fois une restriction et (facultativement) la configuration des comptes. L'interrupteur de restriction permet de contrôler si l'utilisateur peut modifier les comptes système.
- Autoriser la modification des comptes
Politique Apple : Applications et profils
Cette section documente la configuration des applications gérées et des charges utiles de compte pour les appareils Apple.
Gestion des applications
Le panneau Gestion des applications contient à la fois des restrictions générales relatives aux applications et une liste d'applications gérées.
Restrictions générales sur les applications
- Autoriser les App Clips
- Autoriser l'installation d'applications
- Autoriser la suppression d'applications
- Autoriser le téléchargement automatique d'applications
- Autoriser la dissimulation d'applications
- Autoriser le verrouillage d'applications
- Autoriser les achats intégrés
Applications gérées
Utilisez Ajouter une application pour ajouter une application à la politique. Chaque application gérée est affichée sous forme de fiche. Vous pouvez agrandir la fiche pour modifier ses paramètres et supprimer l'application à l'aide de l'action de suppression.
- ID de l'App Store : l'identifiant de l'App Store de l'application gérée.
- ID de bundle : l'identifiant de bundle de l'application.
- Comportement d'installation : contrôle si l'application doit rester installée ou si elle peut être installée/supprimée par l'utilisateur.
- Assignation : type d'assignation de licence.
- Licence VPP : type de licence VPP utilisé pour l'installation via l'App Store.
Comptes
Le panneau Comptes vous permet de configurer les comptes qui sont appliqués aux appareils gérés. Il comprend également un interrupteur de restriction pour la modification des comptes.
Restriction
- Autoriser la modification des comptes : lorsqu'elle est désactivée, les utilisateurs ne peuvent pas modifier les comptes tels que les comptes Apple et les comptes Internet.
Ajouter des comptes
Utilisez Ajouter un compte Google ou Ajouter un compte de messagerie pour ajouter des charges utiles de compte à la politique. Chaque compte apparaît sous forme de fiche avec ses champs de configuration.
Identifiants de compte des utilisateurs
Les fiches de compte Google et de messagerie proposent toutes deux un interrupteur Identifiants de compte des utilisateurs. Lorsqu'il est activé, le système applique les identifiants de compte par utilisateur. Lorsqu'il est désactivé, vous saisissez l'identité du compte dans la politique.
Champs du compte Google
- Nom visible : le nom affiché à l'utilisateur pour le compte.
- Adresse e-mail Google : l'adresse e-mail de l'utilisateur.
- Nom complet : le nom complet de l'utilisateur.
Champs du compte de messagerie
Les comptes de messagerie incluent des champs d'identité ainsi que la configuration des serveurs entrants et sortants. Les noms d'hôte sont requis.
- Nom visible : le nom affiché à l'utilisateur pour le compte de messagerie.
- Adresse e-mail : l'adresse e-mail de l'utilisateur.
- Nom complet : le nom complet de l'utilisateur.
Serveur entrant
- Type de serveur : protocole de messagerie (par exemple IMAP ou POP).
- Méthode d'authentification : méthode d'authentification pour le serveur.
- Préfixe de chemin IMAP : affiché uniquement lorsque le type de serveur est IMAP.
- Nom d'hôte : requis.
- Port: port du serveur (1–65535).
Serveur sortant
- Méthode d'authentification
- Nom d'hôte: requis.
- Port: port du serveur (1–65535).
Options S/MIME
Pour les comptes de messagerie, vous pouvez également configurer le comportement de chiffrement et de signature S/MIME.
Chiffrement
- Chiffrement S/MIME
- Identité modifiable par l'utilisateur
- Interrupteur par message activé
- Modifiable par l'utilisateur
Signature
- Signature S/MIME
- Identité modifiable par l'utilisateur
- Modifiable par l'utilisateur
Les options de compte et de restriction incluent des info-bulles dans le tableau de bord qui documentent les prérequis et les versions d'OS prises en charge.
État de l'Appareil
Aperçu de l'appareil
Ouvrez un appareil à partir de Tableau de bord → Appareils en cliquant sur la ligne de l'appareil. Le titre de la page affiche le modèle de l'appareil (lorsqu'il est disponible) et son ID interne.
Données historiques vs inscription actuelle
Lorsqu'un appareil possède plusieurs inscriptions, Cerberus Enterprise peut afficher un historique en lecture seule. Dans ce cas, la page affiche une bannière Données historiques et un bouton pour revenir aux données d'inscription actuelles.
Champs supérieurs
La section supérieure résume l'identité, l'assignation et l'état de gestion de l'appareil. Certains champs sont spécifiques à la plateforme et n'apparaissent que pour les appareils Android ou Apple.
- ID et Modèle : identifiants en lecture seule.
- Utilisateur : affiche l'utilisateur actuellement assigné (le cas échéant). Depuis le menu utilisateur, vous pouvez ouvrir l'utilisateur ou changer d'utilisateur, ou assigner un utilisateur lorsqu'aucun n'est défini.
- Mode de gestion et Propriété : affichés avec des info-bulles dans l'interface utilisateur.
- État : état actuel de l'appareil (avec icône et détails dans l'info-bulle).
- Profil ADE (Apple uniquement) : affiche le profil d'enrôlement automatique des appareils assigné (le cas échéant) et vous permet de l'ouvrir ou de le modifier.
- Politique : affiche la politique assignée et vous permet de l'ouvrir ou de la modifier, ou d'en assigner une lorsqu'aucune n'est définie.
- État de conformité de la politique (lorsqu'une politique est assignée) : indique si l'appareil est conforme.
- Version de la politique (lorsqu'une politique est assignée) : indique si la dernière version de la politique est appliquée sur l'appareil.
- Enrôlé le et Dernier rapport d'état : horodatages de l'enrôlement et du dernier rapport d'état.
- Désenrôlé le : affiché lorsque l'appareil a été désenrôlé.
Certaines données et certains panneaux ne sont disponibles que lorsque la catégorie correspondante est activée dans la politique de l'appareil. Pour plus d'informations, consultez les pages Rapport d'état et Localisation et géofencing.
Panneaux
L'éditeur d'appareil est organisé en sections extensibles. Selon la plateforme et l'état, vous pouvez voir un ou plusieurs des panneaux suivants :
- Carte de localisation : un panneau à onglets comprenant l'historique de la localisation de l'appareil actuel et, sur les appareils Android, un onglet Géofencing pour les transitions de périmètre lorsque les données de géofencing sont disponibles.
- Commandes : envoyer des commandes à l'appareil et consulter l'historique des commandes (selon la plateforme).
- Posture de sécurité (Android uniquement) : posture, verdict Play Integrity et risques de sécurité.
- Rapports d'applications (Android uniquement) : applications installées et rapports de commentaires/erreurs.
- Applications gérées (Apple uniquement) : état des applications gérées et détails d'installation.
- Détails de non-conformité : affiché lorsqu'un appareil n'est pas conforme ; liste les paramètres de la politique qui sont en situation de non-conformité.
- Rapports d'état : données supplémentaires rapportées par l'appareil, affichées sous forme d'arborescence de catégories et de valeurs.
- Historique d'enrôlement : enrôlements précédents pour ce même appareil physique, affichés sous forme de liste.
Onglets du panneau de localisation
Le panneau Carte de localisation utilise désormais des onglets afin que l'historique de localisation et les transitions de géofencing restent séparés.
- Localisation : affiche les filtres d'historique, une recherche par plage de dates, les marqueurs de localisation, le cercle de précision et les commandes de suivi en direct pour l'appareil actuel.
- Géofencing (Android uniquement) : affiche l'historique des transitions de périmètre sur une carte dédiée, avec des filtres de période, un commutateur optionnel pour les périmètres archivés et une liste latérale des transitions.
Pour connaître le comportement complet de ces onglets, consultez Carte de localisation.
Actions
Au bas de la page, vous pouvez actualiser les données et effectuer des actions en fonction de la plateforme, de l'état de l'appareil et du statut de la licence.
- Actualiser les données : recharger la fiche de l'appareil.
- Désactiver l'appareil / Activer l'appareil (Android uniquement) : disponible dans les états pris en charge.
- Désenrôler l'appareil : supprime la gestion de l'appareil. Le comportement exact dépend de la plateforme et de la propriété (par exemple, sur Android, cela peut supprimer un profil professionnel ou effectuer une réinitialisation d'usine).
- Supprimer l'appareil : disponible lorsque l'appareil est déjà désenrôlé et que sa fiche peut être supprimée.
Commandes
L'éditeur d'appareil propose un panneau Commandes pour envoyer des commandes à distance à un appareil géré. Les commandes disponibles dépendent de la plateforme (Android ou Apple) et de l'état de l'appareil.
Si l'appareil n'est pas actuellement en ligne, la commande sera livrée et exécutée dès que l'appareil se connectera à Internet. Pour les commandes Android, vous pouvez définir le paramètre Durée pour déterminer la durée de validité d'une commande non livrée.
Commandes Android (AMAPI)
Pour les appareils Android, le panneau Commandes comprend un champ Durée (valeur + unité) et un sélecteur de Commande. Certaines commandes nécessitent des paramètres supplémentaires, qui apparaissent dynamiquement lorsque vous sélectionnez la commande.
Paramètres communs
- Durée : durée de validité de la commande si elle ne peut pas être exécutée immédiatement.
- Commande : choisissez l'action à envoyer à l'appareil.
Commandes avec champs supplémentaires
- Réinitialiser le mot de passe : nécessite un nouveau mot de passe et une confirmation du nouveau mot de passe. Les options facultatives incluent Verrouiller maintenant, Exiger la saisie et Ne pas demander d'identifiants au démarrage.
- Effacer les données de l'application : nécessite le nom du package cible.
- Activer le mode perte : nécessite un message de perte et prend en charge des champs de contact optionnels (adresse, organisation, numéro de téléphone, e-mail).
- Demander des informations sur l'appareil : nécessite de sélectionner les informations sur l'appareil à demander.
- Ajouter une eSIM : nécessite un code d'activation et un état d'activation.
- Supprimer l'eSIM : nécessite l'ICCID de l'eSIM.
- Effacement : prend en charge un message de motif d'effacement (affiché aux utilisateurs sur les appareils personnels) et des options d'effacement facultatives.
Historique des commandes
Sous les commandes d'envoi, le tableau de bord affiche un tableau d'historique des commandes. Le tableau est triable et prend en charge la pagination. Certaines lignes peuvent être développées pour afficher des paramètres supplémentaires ou des détails d'exécution.
Colonnes de l'historique Android
- Date de création
- Commande
- Validité
- Statut
- Erreur
- Date d'exécution
Commandes Apple (MDM)
Pour les appareils Apple, le panneau Commandes propose un sélecteur de Commande. Certaines commandes nécessitent des saisies supplémentaires. Comme pour Android, un tableau d'historique des commandes est affiché ci-dessous.
Commandes avec champs supplémentaires
- InstallApplication : nécessite l'ID de bundle de l'application.
- SendNotification : nécessite un message de notification (longueur maximale de 200 caractères).
Colonnes de l'historique Apple
- Date de création
- Commande
- Statut
- Heure du statut
Actualiser
Utilisez l'action d'actualisation dans le panneau Commandes pour recharger l'historique des commandes.
Carte de localisation
Cette page documente les outils de localisation spécifiques aux appareils disponibles dans l'Aperçu de l'appareil. Le panneau contient un onglet Localisation pour l'historique des positions et, sur les appareils Android, un onglet Géorepérage pour les transitions de périmètre.
Prérequis
Les données de localisation de l'appareil ne sont affichées que lorsque le signalement de la position est activé dans la politique de l'appareil. Pour l'activer, ouvrez la politique et activez Localisation et géorepérage → Signaler la position. Pour plus de détails, consultez Localisation et géorepérage.
Sur les appareils qui ne sont pas entièrement gérés, la transmission des données de localisation peut toujours dépendre du fait que l'application Cerberus Enterprise possède les autorisations de localisation requises et que les services de localisation soient activés sur l'appareil.
Pour la carte multi-appareils globale disponible depuis le tableau de bord, consultez Carte de localisation du tableau de bord.
Chargement et état sans données
- Pendant le chargement des données de localisation, le panneau affiche une superposition de chargement sur la carte.
- Si l'appareil ne dispose d'aucune donnée de localisation, le panneau affiche un message indiquant Aucune donnée de localisation disponible, accompagné d'un rappel pour activer le signalement de la position dans la politique assignée.
- Si un filtre de date est actif et qu'aucun échantillon ne correspond, le panneau affiche Aucune donnée disponible dans la plage de dates sélectionnée.
Onglet Localisation
Ouvrez l'onglet Localisation pour inspecter l'historique d'un seul appareil. Les filtres disponibles incluent la dernière position connue, des plages d'historique récentes, une plage de dates personnalisée et le suivi en direct.
- Dernière : affiche la dernière position connue.
- Aujourd'hui, 7 derniers jours, et 30 derniers jours : affichent les positions enregistrées pour la période sélectionnée.
- Recherche : vous permet de choisir une plage de dates personnalisée.
- En direct : lance ou arrête le suivi en direct pour l'appareil actuel.
Détails du marqueur
Lorsque vous cliquez sur un marqueur de localisation, une fenêtre d'information s'ouvre avec :
- L'horodatage de l'enregistrement de la position.
- La précision rapportée (en mètres).
- La vitesse rapportée, lorsque l'appareil la fournit.
- Le cap ou l'orientation rapportés, lorsque l'appareil les fournit.
Cercle de précision
Lorsque la fenêtre d'information est ouverte, un cercle de précision s'affiche autour du marqueur. Le rayon du cercle correspond à la précision rapportée (en mètres). La fermeture de la fenêtre d'information masque le cercle.
Suivi en direct
Dans la vue de l'historique de l'appareil, la sélection du filtre En direct lance une demande de suivi en temps réel pour cet appareil spécifique. Cerberus Enterprise demande une confirmation avant de lancer la demande.
- Le suivi en direct dure jusqu'à 15 minutes.
- L'appareil affiche une notification pendant que le suivi en direct est actif.
- Tant que le suivi en direct est actif, le panneau actualise continuellement la dernière position et l'indicateur de suivi en direct reste visible.
- Sélectionner à nouveau le filtre en direct vous permet d'arrêter le suivi en direct avant la fin du délai d'expiration.
Onglet Géorepérage
Sur les appareils Android, le second onglet affiche les transitions de périmètre générées à partir des géorepérages définis dans la politique assignée. Cet onglet est disponible lorsque des données de géorepérage existent pour l'appareil.
- La carte affiche les zones de géorepérage actuelles ainsi que les points de transition enregistrés.
- La liste des transitions à droite vous permet d'inspecter les événements d'entrée et de sortie.
- Les filtres disponibles sont Aujourd'hui, 7 derniers jours, 30 derniers jours et une recherche par plage de dates personnalisée.
- Inclure les archives affiche également les transitions liées aux anciennes définitions de géorepérage qui ne sont plus présentes dans la politique actuelle.
Détails de la transition de géorepérage
Sélectionner une transition ouvre ses détails sur la carte et met en évidence l'entrée correspondante dans la liste. Lorsque cela est disponible, Cerberus Enterprise affiche également les coordonnées de l'appareil et la précision rapportée pour cette transition.
Carte de localisation du tableau de bord
La carte de localisation du tableau de bord fournit une vue globale de la dernière position connue des appareils qui transmettent des données de localisation. Ouvrez-la depuis le Tableau de bord pour examiner plusieurs appareils sur la même carte Google.
Prérequis
Un appareil n'apparaît sur cette carte que lorsque le signalement de la position est activé dans sa politique assignée. Pour l'activer, ouvrez la politique et activez Position et géofencing → Signaler la position. Pour plus de détails, consultez Position et géofencing.
Sur les appareils qui ne sont pas entièrement gérés, la transmission des données de localisation peut toujours dépendre du fait que l'application Cerberus Enterprise possède les autorisations de localisation requises et que les services de localisation soient activés sur l'appareil.
Pour l'historique par appareil et les transitions de géofencing disponibles dans l'éditeur d'appareil, consultez Carte de localisation.
État de chargement et absence de données
- Pendant le chargement des données de localisation, la carte affiche une superposition de chargement.
- Si aucun appareil ne dispose actuellement de données de localisation, la page affiche un message Aucune donnée de localisation disponible.
Marqueurs et grappes
Chaque appareil disposant de données de localisation est affiché sous la forme d'un marqueur. Lorsque de nombreux appareils sont proches les uns des autres, les marqueurs sont regroupés automatiquement pour maintenir la lisibilité de la carte.
Les appareils faisant actuellement l'objet d'un suivi en direct sont mis en évidence par un marqueur animé afin qu'ils soient plus faciles à repérer sur la carte.
Commandes de la carte
Lorsque la carte contient des emplacements d'appareils, Cerberus Enterprise affiche des boutons d'action dans le coin supérieur droit de la carte.
- Position actuelle : utilise la position de votre navigateur pour déplacer la carte vers votre position actuelle et ajuster la zone de précision rapportée.
- Recentrer la carte : réajuste la carte autour des marqueurs d'appareils actuellement affichés.
- Suivi en cours (pastille de suivi en direct) : apparaît lorsqu'un ou plusieurs appareils font l'objet d'un suivi en direct et indique combien sont actuellement actifs.
- Arrêter tout le suivi en direct : le bouton d'icône à l'intérieur de la pastille de suivi en direct arrête le suivi en direct pour tous les appareils suivis après confirmation.
Détails du marqueur
Cliquer sur un marqueur ouvre une fenêtre d'information avec :
- Le modèle et l'ID interne de l'appareil.
- L'horodatage de la dernière position rapportée.
- La précision rapportée en mètres.
- La vitesse rapportée, lorsque disponible.
- Le cap ou l'orientation rapportés, lorsque disponible.
L'identifiant de l'appareil dans la fenêtre d'information est un lien qui ouvre la page Aperçu de l'appareil.
Actions de la fenêtre d'information
Chaque fenêtre d'information comprend également des boutons d'action pour l'appareil sélectionné.
- Lien de l'appareil : le nom et l'ID de l'appareil en haut de la fenêtre d'information ouvrent la page d'aperçu correspondante de l'appareil.
- Zoom avant : centre la carte sur l'appareil sélectionné et ajuste le cercle de précision rapporté plus étroitement autour de celui-ci.
- En direct : lance le suivi en direct pour cet appareil. Si le suivi en direct est déjà actif, ce même bouton l'arrête après confirmation.
- Suivi en direct actif : lorsqu'elle est présente, cette ligne de statut indique que l'appareil sélectionné fait déjà l'objet d'un suivi en temps réel.
Cercle de précision
Lorsqu'un marqueur est sélectionné, la carte affiche un cercle de précision autour de l'emplacement. Le rayon du cercle correspond à la précision rapportée.
Comportement du suivi en direct
Lancer le suivi en direct depuis une fenêtre d'information envoie une demande de suivi en temps réel à cet appareil. Cerberus Enterprise actualise ensuite la carte automatiquement tant que la session est active.
- Chaque session de suivi en direct dure jusqu'à 15 minutes.
- L'appareil affiche une notification pendant que le suivi en direct est actif.
- Le suivi en direct peut être arrêté soit depuis la fenêtre d'information de l'appareil sélectionné, soit via le bouton global Arrêter tout le suivi en direct sur la carte.
Applications privées
À partir de cette section du tableau de bord, vous pouvez télécharger vos propres applications Android privées ou créer des applications web pour les distribuer sur vos appareils.
Les seuls détails que vous devez fournir sont le titre de l'application et son fichier APK. Les applications privées sont automatiquement approuvées pour votre organisation et sont généralement prêtes pour la distribution en moins de 10 minutes. Vous pouvez télécharger un total de 15 applications privées par jour. Notez que les applications web comptent également dans ce total.
La première fois que vous publiez une application privée, vous devrez fournir une adresse e-mail pour recevoir les notifications de la Play Console concernant vos applications et votre compte développeur Google Play. De plus, le Play géré crée automatiquement un compte développeur Play au nom de votre organisation. Vous n'avez pas besoin de payer de frais d'inscription pour ce compte.
Applications privées publiées depuis l'iframe :
- Elles ne sont pas soumises aux mêmes vérifications que les autres applications. Par conséquent, elles ne peuvent pas être converties en applications publiques.
- Elles ne sont pas transférables. Vous ne pouvez pas transférer la propriété d'une application vers un autre compte développeur Play.
Pour plus de détails, veuillez consulter l'aide de Managed Google Play
Gestion des certificats
Le tableau de bord comprend une section Certificats pour importer, consulter et supprimer des certificats. Cliquer sur une ligne de certificat ouvre l'éditeur de certificat.
Liste des certificats
Les certificats sont affichés dans un tableau paginé et triable. La liste comprend à la fois les certificats clients et les autorités de certification (CA).
Filtres
En haut de la page, vous pouvez activer des filtres à l'aide de la liste de puces. Certains filtres sont mutuellement exclusifs.
- Tous : affiche tous les certificats.
- Client : affiche uniquement les certificats clients.
- Autorité de certification (CA) : affiche uniquement les certificats CA.
- Recherche : affiche un champ de texte (libellé Nom ou nom de fichier) pour effectuer une recherche par nom de certificat ou par nom de fichier importé.
- Sans utilisateur : affiche les certificats clients qui ne sont associés à aucun utilisateur.
Colonnes du tableau
- Nom
- Type
- Expiration
- Utilisateur (affiché pour les certificats clients)
- Nom de fichier importé
- Date d'importation
Actions
- Ouvrir le certificat : cliquez sur une ligne pour ouvrir l'éditeur de certificat.
- Supprimer le certificat : disponible uniquement lorsque le certificat n'est associé à aucun utilisateur ou aucune politique et qu'il n'est pas utilisé par des appareils. L'action peut également être désactivée lorsque la licence est expirée.
- Sélection multiple : vous pouvez activer la sélection multiple pour supprimer plusieurs certificats à la fois. Seuls les certificats pouvant être supprimés peuvent être sélectionnés.
- Actualiser : recharge la liste des certificats.
Importer des certificats
Pour importer des certificats, cliquez sur Importer un certificat et sélectionnez un ou plusieurs fichiers. Les formats pris en charge sont indiqués dans l'info-bulle du bouton d'importation.
Clients
Format pris en charge : PKCS#12 encodé en Base64 (.p12 / .pfx).
Les certificats clients permettent d'identifier un utilisateur ou un appareil sur le réseau de l'entreprise. Les certificats clients peuvent être associés à un utilisateur spécifique.
Chaque certificat client peut être optionnellement assigné à un utilisateur spécifique : cela permet de déployer la même configuration Wi‑Fi EAP sur de nombreux appareils. Vous pouvez le faire dans la section configuration réseau de la politique, en utilisant l'option identifiants EAP des utilisateurs.
Alternativement, vous pouvez attribuer un certificat à un utilisateur depuis la page Utilisateurs.
Autorités de certification (CA)
Formats pris en charge : X.509 encodé en Base64 (.crt / .pem / .cer / .der).
Les certificats CA identifient une autorité de certification et indiquent à l'appareil que tous les certificats émis par cette CA doivent être dignes de confiance. Le tableau de bord valide qu'un certificat X.509 importé est bien une CA.
Éditeur de certificat
Lorsque vous ouvrez un certificat, l'éditeur affiche ses champs principaux et un panneau Informations sur le certificat en lecture seule.
Champs principaux
- Nom (requis)
- ID (lecture seule)
- Type (lecture seule)
- Expiration (lecture seule)
- Date d'importation (lecture seule)
- Nom de fichier importé (lecture seule)
Association utilisateur (certificats clients)
Pour les certificats Client, l'éditeur affiche un champ Utilisateur. Si un utilisateur est assigné, un menu vous permet d' Ouvrir l'utilisateur, de Changer l'utilisateur ou de Désassocier l'utilisateur. Si aucun utilisateur n'est assigné, vous pouvez en assigner un à l'aide du bouton d'action utilisateur.
Supprimer le certificat
L'action de suppression est désactivée lorsque le certificat est actuellement associé à un utilisateur ou utilisé dans des politiques. Elle peut également être désactivée lorsque la licence est expirée.
Règles d'événement
Les règles d'événement vous permettent d'automatiser les réactions aux événements pris en charge sur les appareils. Ouvrez Tableau de bord → Règles d'événement pour créer des règles qui surveillent les événements d'enrôlement, de désenrôlement, de non-conformité et de géorepérage Android, puis déclenchent automatiquement une ou plusieurs actions.
Ce qu'une règle d'événement peut faire
Chaque règle combine un sujet, un événement et une ou deux actions. Les sujets pris en charge sont Tous les appareils, Appareil spécifique et Politique.
- Événements : enrôlement de l'appareil, désenrôlement de l'appareil, l'appareil devient non conforme, entrée dans le géorepérage, sortie du géorepérage.
- Actions sur l'appareil : désactiver l'appareil, activer l'appareil, verrouiller l'appareil.
- Action par e-mail : envoi d'un e-mail de notification aux administrateurs et, lorsqu'elle est activée, aux gestionnaires délégués.
Une règle peut contenir uniquement une action par e-mail, uniquement une action sur l'appareil, ou une action sur l'appareil plus une action par e-mail. Si les deux actions sont configurées, Cerberus Enterprise exécute d'abord l'action sur l'appareil, puis l'action par e-mail.
Règles de plateforme et de compatibilité
Les événements et les actions disponibles dépendent du sujet sélectionné et de la plateforme qui s'applique à ce sujet.
- Android prend en charge les événements d'enrôlement, de désenrôlement, de non-conformité et de géorepérage.
- Apple prend en charge les événements d'enrôlement, de désenrôlement et de non-conformité.
- Désactiver l'appareil et Activer l'appareil sont des actions réservées à Android.
- Verrouiller l'appareil et Envoyer un e-mail sont disponibles sur Android et Apple, lorsque l'événement sélectionné les prend en charge.
- Désenrôlement de l'appareil ne prend en charge que les actions par e-mail.
Liste des règles
La liste des règles d'événement est la page de gestion principale pour cette fonctionnalité. Elle comprend un tableau avec recherche incluant le nom de la règle, le sujet, l'événement, les actions, la plateforme, l'état d'activation et l'heure de mise à jour.
- Utilisez les puces de filtrage pour basculer entre toutes les règles, les règles activées, les règles désactivées et la recherche textuelle.
- Utilisez le bouton Actualiser pour recharger la vue actuelle du tableau.
- Utilisez l'interrupteur d'activation de chaque ligne pour activer ou désactiver temporairement une règle.
- Utilisez le mode de sélection multiple pour supprimer plusieurs règles simultanément.
- Utilisez Créer une règle d'événement pour ouvrir l'éditeur d'une nouvelle règle.
Éditeur de règles
L'éditeur est divisé en sections Général, Portée, Déclencheur et Actions. Au bas de la page, une barre d'actions collante permet de garder les boutons principaux visibles pendant le défilement.
Général
- Nom : obligatoire, jusqu'à 150 caractères.
- Description : facultatif, jusqu'à 2000 caractères.
- Règle activée : enregistre la règle avec l'état activé ou désactivé.
Portée
La portée définit les appareils auxquels la règle peut s'appliquer. L'éditeur affiche également la plateforme résolue et, lorsqu'elle est disponible, le contexte de politique effectif.
- Tous les appareils : la règle peut s'appliquer à tous les appareils pris en charge dans l'entreprise.
- Appareil spécifique : sélectionnez un appareil géré dans la boîte de dialogue de sélection.
- Politique : sélectionnez un modèle de politique dans la boîte de dialogue de sélection.
Déclencheur
La section déclencheur filtre automatiquement les événements disponibles en fonction de la portée et de la plateforme sélectionnées.
Déclencheurs de géorepérage
Les règles d'entrée et de sortie de géorepérage sont prises en charge uniquement pour Android et nécessitent un contexte de politique Android valide. Pour les rapports de localisation et les définitions de géorepérage, consultez Localisation et géorepérage.
- Si le sujet est Tous les appareils, la règle s'applique toujours à N'importe quel géorepérage.
- Si le sujet est un appareil ou une politique, vous pouvez choisir N'importe quel géorepérage ou un Géorepérage spécifique.
- La liste des géorepérages spécifiques est chargée à partir du contexte de politique effectif de l'appareil ou de la politique sélectionnée.
Actions
La section des actions vous permet de choisir une action sur l'appareil et une notification par e-mail, toutes deux facultatives. L'interface utilisateur masque automatiquement les combinaisons non prises en charge.
- Si aucune action sur l'appareil n'est disponible pour l'événement et la portée sélectionnés, vous pouvez tout de même enregistrer une règle uniquement par e-mail.
- Si l'envoi d'e-mails est désactivé pour l'événement et la plateforme sélectionnés, l'option d'envoi d'e-mail n'est pas disponible.
- Une règle sans aucune action est invalide et ne peut pas être enregistrée.
Destinataires de l'e-mail
Les actions par e-mail incluent toujours les utilisateurs de l'entreprise ayant le rôle ADMIN. Si l'entreprise est gérée via le multi-tenant, vous pouvez étendre les destinataires pour inclure les gestionnaires MT.
- Gestionnaires principaux uniquement : inclut les administrateurs de l'entreprise et les contacts principaux des gestionnaires MT.
- Gestionnaires principaux et gestionnaires de sous-comptes : ajoute également les gestionnaires de sous-comptes assignés.
- La liste de prévisualisation affiche les adresses e-mail réelles qui seront utilisées lors de l'exécution de la règle.
- Seuls les gestionnaires délégués ayant un accès accordé à l'entreprise sont inclus dans la liste finale des destinataires.
Comportement d'exécution
Les règles d'événement s'exécutent immédiatement lorsque Cerberus Enterprise reçoit un événement pris en charge via les intégrations backend. Les règles désactivées sont automatiquement ignorées.
Les exécutions réussies et échouées sont enregistrées dans le journal système avec des messages lisibles par l'utilisateur.
Appareils
Appareils
La section Appareils du tableau de bord (Tableau de bord → Appareils) répertorie tous les appareils enrôlés dans votre compte. À partir de cette page, vous pouvez filtrer la liste, ouvrir la fiche d'un appareil et effectuer des actions telles que la désactivation ou le désenrôlement.
Filtres
En haut de la page, vous pouvez activer un ou plusieurs filtres à l'aide de la liste de puces. Les puces sélectionnées représentent les filtres actuellement actifs.
Filtres disponibles
- Tous : affiche tous les appareils.
- Android : affiche uniquement les appareils Android.
- Apple : affiche uniquement les appareils Apple.
- Appartenant à l'entreprise : affiche uniquement les appareils appartenant à l'entreprise.
- Personnels : affiche uniquement les appareils personnels.
- Propriétaire du profil : affiche uniquement les appareils avec profil professionnel Android.
- Propriétaire de l'appareil : affiche uniquement les appareils Android entièrement gérés.
- Actif : affiche les appareils à l'état actif.
- Conforme : affiche les appareils conformes aux politiques.
- Non conforme : affiche les appareils qui ne sont pas conformes aux politiques.
- Sécurisé : affiche les appareils ayant une posture de sécurité établie.
- Non sécurisé : affiche les appareils ayant une posture de sécurité non établie.
- Politique non mise à jour : affiche les appareils ayant des changements de politique en attente.
- Statut non mis à jour : affiche les appareils qui n'ont pas transmis de statut au cours des dernières 72 heures.
- Erreur d'application : affiche les appareils dont les applications ont envoyé des rapports d'erreur.
- Recherche : active un champ de recherche textuelle.
Recherche
Lorsque vous activez le filtre Recherche, un champ de texte apparaît avec l'étiquette ID, Modèle ou Utilisateur. La liste est mise à jour automatiquement une fois la saisie terminée.
Tableau des appareils
Les appareils sont affichés dans un tableau paginé et triable. Cliquer sur une ligne ouvre l'éditeur d'appareil.
Colonnes
- ID : identifiant interne de l'appareil.
- MDM : plateforme (Android ou Apple).
- Modèle : modèle de l'appareil.
- Propriété : appartient à l'entreprise ou personnel (avec détails dans l'infobulle).
- Mode de gestion : mode de gestion (avec détails dans l'infobulle).
- Politique : politique actuellement assignée.
- Utilisateur : utilisateur associé (nom, e-mail ou ID selon la disponibilité).
- Dernier rapport de statut : horodatage du rapport de statut le plus récent (si disponible).
- État : état de l'appareil (avec détails dans l'infobulle).
- Conformité : indicateur de l'état de conformité.
- Sécurité : posture de sécurité (avec détails dans l'infobulle).
- Erreur d'application : indicateur d'erreur d'application.
Actualisation et pagination
- Utilisez l'action d'actualisation pour recharger la liste.
- Le tableau est paginé (10/25/50 éléments par page).
Actions sur les appareils
Chaque ligne d'appareil peut proposer des actions, selon la plateforme et l'état de l'appareil. Certaines actions sont désactivées lorsque votre licence est expirée ou résiliée.
Actions par appareil
- Désactiver l'appareil / Activer l'appareil : disponible pour les appareils Android dans les états pris en charge.
- Désenrôler l'appareil : supprime la gestion. Sur Android, cela peut effacer le profil professionnel ou réinitialiser l'appareil aux paramètres d'usine (selon la propriété) ; sur Apple, cela supprime les paramètres de stratégie.
- Supprimer l'appareil: disponible pour les appareils qui ont déjà été désenrôlés (supprime l'enregistrement du système).
Sélection multiple de lignes
Vous pouvez activer la sélection multiple de lignes à partir de la barre d'actions située sous le tableau. Une fois activée, vous pouvez sélectionner plusieurs lignes et appliquer des actions groupées (désactiver, activer, désenrôler ou supprimer), selon les appareils sélectionnés.
Synchronisation avec Apple Business Manager
Si la gestion Apple est configurée et qu'un jeton d'enrôlement automatique des appareils est présent, la page peut afficher l'action Synchroniser depuis ABM pour importer des appareils depuis Apple Business Manager.
Enrôler un appareil
Utilisez Enrôler un appareil pour ouvrir la section des jetons d'enrôlement et commencer l'enrôlement d'un nouvel appareil.
Utilisateurs
Utilisateurs
La section Utilisateurs du tableau de bord (Tableau de bord → Utilisateurs) répertorie tous les utilisateurs configurés dans votre compte. À partir de cette page, vous pouvez rechercher des utilisateurs, ouvrir l'éditeur d'utilisateurs, créer de nouveaux utilisateurs et supprimer les utilisateurs qui ne sont pas actuellement associés à des appareils.
Recherche
En haut de la page se trouve un champ de recherche avec l'étiquette Recherche et le texte de remplacement Nom, nom d'utilisateur ou e-mail. La liste se met à jour automatiquement une fois la saisie terminée.
Tableau des utilisateurs
Les utilisateurs sont affichés dans un tableau paginé et triable. Cliquer sur une ligne ouvre l'éditeur d'utilisateurs.
Colonnes
- Id : identifiant interne de l'utilisateur.
- Prénom : prénom de l'utilisateur.
- Nom : nom de l'utilisateur.
- Nom d'utilisateur : nom d'utilisateur (souvent un nom d'utilisateur de répertoire).
- E-mail : adresse e-mail de l'utilisateur.
- Appareils : nombre d'appareils actuellement associés à l'utilisateur.
- Certificat Wi-Fi : indicateur montrant si un certificat Wi-Fi est assigné à l'utilisateur.
Actualisation et pagination
- L'action d'actualisation recharge la liste.
- Le tableau est paginé (10/25/50 éléments par page).
Actions utilisateur
Créer un nouvel utilisateur
Utilisez Créer un nouvel utilisateur pour ouvrir la boîte de dialogue de création d'utilisateur. Cette action est désactivée lorsque votre licence est expirée.
Synchronisation depuis Google Workspace
Si la synchronisation du répertoire Google Workspace est disponible pour votre compte, la page affiche Synchronisation depuis Google Workspace. Lorsque vous lancez une synchronisation, un indicateur de progression s'affiche pendant l'exécution de la requête.
Supprimer un utilisateur
Vous ne pouvez supprimer un utilisateur que lorsqu'il n'est associé à aucun appareil (la colonne Appareils doit être à 0). L'action de suppression est désactivée lorsque votre licence est expirée ou résiliée.
Sélection multiple et suppression en masse
À partir de la barre d'actions située sous le tableau, vous pouvez activer la sélection multiple. Dans ce mode, vous pouvez sélectionner plusieurs utilisateurs et les supprimer en masse.
- Éligibilité : seuls les utilisateurs avec Appareils = 0 peuvent être sélectionnés pour la suppression.
- Tout sélectionner : la case à cocher Tout sélectionne toutes les lignes éligibles sur la page actuelle.
- Suppression en masse : Supprimer les utilisateurs sélectionnés est désactivé lorsqu'aucune ligne n'est sélectionnée, ou lorsque votre licence est expirée ou résiliée.
Certificats Wi-Fi et EAP
La colonne Certificat Wi-Fi indique si un certificat est actuellement assigné à un utilisateur. Les certificats utilisateur sont généralement utilisés pour les configurations Wi-Fi EAP (par exemple, EAP-TLS). Pour l'assignation et la gestion des certificats, consultez la gestion des certificats.
Éditeur d'utilisateurs
L'éditeur d'utilisateurs est disponible depuis Tableau de bord → Utilisateurs en cliquant sur une ligne d'utilisateur. Il vous permet de modifier les détails de l'utilisateur, de configurer les identifiants Wi-Fi EAP par utilisateur et de consulter les appareils associés à l'utilisateur.
Détails de l'utilisateur
La section supérieure contient les champs principaux de l'utilisateur. Certains champs sont obligatoires et l'éditeur affiche des erreurs de validation lorsqu'ils sont manquants ou invalides.
- Id : identifiant en lecture seule.
- Prénom : obligatoire.
- Nom : obligatoire.
- Nom d'utilisateur : obligatoire.
- E-mail : obligatoire et doit être une adresse e-mail valide.
- Numéro de téléphone : facultatif.
- Compte Google : facultatif et doit être une adresse e-mail valide si fourni.
Politique par défaut d'authentification Google
Dans les environnements Google Workspace avec l'authentification Google activée, l'éditeur peut afficher la Politique par défaut d'authentification Google. Il s'agit de la politique appliquée aux appareils enrôlés via l'authentification Google par cet utilisateur.
- Modifier la politique : ouvre la boîte de dialogue de sélection de la politique.
- Ouvrir la politique : ouvre la politique sélectionnée dans l'éditeur de politiques (lorsqu'une politique est définie).
- Après avoir sélectionné une nouvelle politique par défaut, vous devez enregistrer l'utilisateur pour appliquer le changement. L'éditeur affiche une notification pour vous rappeler d'enregistrer.
Identifiants Wi-Fi EAP
La section Identifiants Wi-Fi EAP est utilisée pour configurer des identifiants par utilisateur qui sont automatiquement installés sur les appareils de l'utilisateur lorsque sa politique assignée contient une configuration Wi-Fi EAP qui les nécessite. La configuration Wi-Fi EAP fait partie de la configuration réseau de la politique Android.
Certificat client
Vous pouvez facultativement attribuer un certificat client à un utilisateur. Lorsqu'un certificat est attribué, il apparaît dans le champ Certificat client et un menu propose des actions. Lorsqu'aucun certificat n'est attribué, le champ affiche Aucun certificat attribué et vous pouvez en attribuer un.
- Attribuer un certificat : ouvre la boîte de dialogue de sélection du certificat.
- Ouvrir le certificat : ouvre l'éditeur de certificat.
- Modifier le certificat : permet de sélectionner un autre certificat client.
- Dissocier le certificat : supprime le certificat de l'utilisateur. Le système supprime également le certificat de tous les appareils associés à cet utilisateur.
Pour l'importation et la gestion des certificats, consultez la gestion des certificats.
Identité, identité anonyme et mot de passe
- Identité : identité de l'utilisateur. Pour les protocoles de tunnelisation (PEAP, EAP-TTLS), celle-ci est utilisée à l'intérieur du tunnel.
- Identité anonyme : utilisée pour les protocoles de tunnelisation comme identité présentée à l'extérieur du tunnel. Si elle n'est pas spécifiée, la valeur par défaut est une chaîne vide.
- Mot de passe : le mot de passe de l'utilisateur pour les méthodes EAP qui le requièrent. S'il n'est pas spécifié, l'appareil peut inviter l'utilisateur à le saisir. Une action d'affichage/masquage permet de basculer la visibilité du mot de passe.
Appareils associés
La section Appareils associés affiche la liste des appareils actuellement liés à l'utilisateur. Si l'utilisateur possède un ou plusieurs appareils associés, il ne peut pas être supprimé.
Enregistrer et supprimer
- Enregistrer l'utilisateur : activé uniquement lorsque le formulaire est valide, qu'il y a des modifications en attente et que la licence est active. Un indicateur de progression s'affiche pendant l'enregistrement.
- Supprimer l'utilisateur : désactivé lorsque l'utilisateur est associé à des appareils ou lorsque la licence est expirée/résiliée. Lorsque la suppression est autorisée, une boîte de dialogue de confirmation s'affiche. Si l'utilisateur est assigné à des jetons d'enrôlement, la boîte de dialogue avertit que les appareils enrôlés avec ces jetons ne seront plus assignés à un utilisateur.
Avertissement sur les modifications non enregistrées
Si vous avez des modifications non enregistrées et que vous tentez de quitter la page, le tableau de bord vous demandera si vous souhaitez abandonner les modifications.
Compte
Paramètres
La page Paramètres (Tableau de bord → Paramètres) résume les informations relatives au compte et aux licences, et propose des actions pour gérer la facturation, la configuration de la plateforme (Android Management et Apple Management), ainsi que les intégrations optionnelles d'annuaire ou de jeton.
Bannière de licence (expiration imminente / expirée)
Lorsque votre licence est en cours d'expiration, expirée, ou résiliée, une bannière bien visible s'affiche en haut de la page. Selon l'état de votre abonnement, elle propose soit une action Gérer la facturation (portail client Stripe), soit une action Acheter une licence.
Lorsque la licence est expirée, le compte est limité à la seule possibilité de désenregistrer des appareils. Après la période de grâce, le compte peut être résilié et les appareils peuvent être automatiquement désenregistrés.
Informations sur le compte
La fiche Informations sur le compte affiche des champs en lecture seule :
- Nom d'utilisateur
- Nom de l'entreprise
- ID de l'entreprise
Changer le mot de passe
Si vous ne vous êtes pas connecté avec Google ou Apple, la fiche affiche également une action Changer le mot de passe. Cela ouvre une boîte de dialogue pour poursuivre le processus de changement de mot de passe.
Informations sur la licence
La fiche Informations sur la licence affiche l'état actuel de la licence et votre limite d'appareils. Elle propose également des actions pour contacter le service commercial, gérer la facturation ou acheter une licence.
- État de la licence : affiché comme Active ou Expirée (avec un badge d'icône et une info-bulle).
- Essai gratuit : affiché lorsque le compte est actuellement en mode d'essai.
- Appareils sous licence : nombre maximal d'appareils autorisés par la licence. Le lien besoin de plus d'appareils ? ouvre un message pour contacter l'assistance.
- Prochain renouvellement prévu : affiché pour les abonnements actifs qui se renouvellent automatiquement. Sinon, la fiche affiche la date d'expiration.
Gestion Android
La fiche Gestion Android affiche l'état de la gestion Android pour votre entreprise. Si la gestion Android n'est pas encore configurée, la fiche propose une action Configurer la gestion Android qui ouvre le processus de configuration.
État configuré
Lorsque la gestion Android est configurée, la fiche peut afficher :
- ID de gestion
- Synchronisé avec Google Workspace (badge affiché lorsque la synchronisation de l'annuaire est active)
- Paramètres du compte Managed Google Play (lien vers les paramètres d'administration Google Play, le cas échéant)
- Console d'administration Google (lien, le cas échéant)
- Synchroniser avec Google Workspace (affiché lorsque la synchronisation de l'annuaire n'est pas configurée ; ouvre le panneau d'instructions en bas de la page)
Gestion des appareils Apple
La fiche Gestion des appareils Apple affiche l'état de la gestion des appareils Apple (MDM) pour votre entreprise. Si la gestion Apple n'est pas encore configurée, la fiche propose une action Configurer la gestion Apple qui ouvre le processus de configuration.
État configuré
Lorsque la gestion Apple est configurée, la fiche peut afficher :
- ID Apple
- Expiration du certificat Apple Push : affiche la date d'expiration et un badge d'icône. Si le certificat est en cours d'expiration ou expiré, le badge est cliquable et ouvre les instructions de renouvellement.
- Expiration du jeton ABM : affiche l'expiration du jeton Apple Business Manager (avec un badge cliquable lorsqu'une action est requise).
- Jeton VPP : affiche le nom de l'organisation et la date d'expiration du jeton Apple Volume Purchase Program (avec un badge cliquable lorsqu'une action est requise).
- Portail Apple Business Manager : lien affiché lorsqu'un jeton ABM est présent.
- Synchroniser avec Apple Business Manager et Synchroniser avec Apple Volume Purchase Program : affiché lorsque des jetons sont manquants.
La gestion Apple nécessite la configuration du certificat APNs. Si nécessaire, consultez Configuration de la gestion Apple (APNs).
Préférences et confidentialité
La fiche Préférences et confidentialité contient un commutateur de préférences marketing et des liens vers les Conditions d'utilisation et la Politique de confidentialité. Utilisez Enregistrer les préférences pour appliquer les modifications (un indicateur de progression s'affiche pendant l'enregistrement).
Envoyer des commentaires
Lorsque les abonnements sont activés pour le compte, la page peut afficher une fiche Envoyer des commentaires avec des liens vers : Faire une demande de fonctionnalité et des plateformes d'avis externes.
Instructions de configuration et de renouvellement intégrées
Au bas de la page, le tableau de bord peut afficher des panneaux d'instructions extensibles selon l'état actuel (par exemple, lorsqu'un certificat ou un jeton est manquant ou en cours d'expiration).
Renouveler le certificat Apple Push (APNs)
Lorsque le certificat APNs est en cours d'expiration ou expiré, la page affiche un panneau présentant les étapes pour télécharger un CSR, renouveler le certificat sur le portail d'Apple et télécharger le nouveau certificat dans Cerberus Enterprise.
Synchroniser avec Apple Business Manager (ABM)
Lorsque le jeton ABM est manquant, expiré ou en cours d'expiration, la page affiche un panneau présentant les étapes pour télécharger un jeton depuis Apple Business Manager et le charger dans Cerberus Enterprise.
Synchroniser avec Apple Volume Purchase Program (VPP)
Lorsque le jeton VPP est manquant, expiré ou en cours d'expiration, la page affiche un panneau présentant les étapes pour télécharger un jeton de contenu depuis Apple Business Manager et le charger dans Cerberus Enterprise.
Synchroniser avec Google Workspace
Lorsque la synchronisation de l'annuaire Google Workspace n'est pas configurée, la page affiche un panneau qui explique l'intégration et fournit un bouton d'autorisation. Elle liste également le scope Google OAuth requis : https://www.googleapis.com/auth/admin.directory.user.readonly.
Pour la configuration initiale d'Android, consultez Configuration de la gestion Android.
Multitenance
Aperçu du multi-tenant
La section Multi-tenant est disponible pour les comptes MSP et de gestionnaire d'entreprise qui gèrent plusieurs entreprises clientes à partir d'une seule connexion. Ce chapitre explique le modèle de portée de l'entreprise, le changement d'entreprise, l'administration des entreprises gérées et les sous-comptes.
Pour demander un compte multi-tenant, contactez enterprise@cerberusapp.com.
Concepts fondamentaux
- Compte multi-tenant principal : le compte gestionnaire principal qui peut accéder à l'espace de travail multi-tenant global.
- Sous-compte : un compte gestionnaire délégué créé par le compte principal, avec des assignations d'entreprises sélectionnables.
- Contexte de l'entreprise sélectionnée : l'entreprise active actuellement ouverte dans le tableau de bord pour les opérations quotidiennes.
- Délégation : permission accordée par un propriétaire d'entreprise permettant à un compte gestionnaire d'accéder à cette entreprise et de la gérer.
Modèle de navigation
Lorsqu'aucun contexte d'entreprise n'est sélectionné, la navigation latérale affiche les zones multi-tenant telles que Entreprises et, pour les comptes principaux, Sous-comptes. Après être entré dans une entreprise, le tableau de bord passe à la navigation standard pour une entreprise unique (Accueil, Utilisateurs, Appareils, Enrôlement, Politiques, et plus encore).
Propriété et délégation
Chaque entreprise gérée possède un propriétaire. Le propriétaire peut toujours accéder à cette entreprise. Les comptes gestionnaires non-propriétaires ne peuvent accéder à une entreprise que lorsque la délégation est accordée.
L'état de la propriété et de la délégation est affiché directement sur les fiches d'entreprise afin de rendre explicite le périmètre d'accès avant d'entrer dans une entreprise.
Actions de licence et de facturation
Les vues multi-tenant exposent le statut des licences, les limites d'appareils et les actions de facturation de l'entreprise. Selon l'état de l'abonnement de l'entreprise et vos permissions, la fiche peut afficher Gérer la facturation ou Acheter une licence.
Pour les entreprises créées par un compte multi-tenant, la gestion des licences est assurée par les utilisateurs du compte multi-tenant. Le compte principal peut toujours gérer les licences, tandis que les sous-comptes ne peuvent gérer les licences que lorsque le compte principal active l'Peut gérer les licences pour ce sous-compte.
Pages de ce chapitre
- Entreprises gérées : recherche, filtres, détails des fiches et création d'entreprises.
- Changement d'entreprise : comportement du sélecteur en haut de page et transitions de périmètre.
- Sous-comptes : opérateurs délégués, assignations et gestion des identifiants.
Entreprises gérées
La page Entreprises (Tableau de bord → Entreprises) est le centre de contrôle pour l'accès aux entreprises gérées. Elle répertorie toutes les entreprises visibles pour votre compte multi-tenant et vous permet de filtrer, d'inspecter la propriété/délégation, d'entrer dans un contexte d'entreprise et de créer de nouvelles entreprises gérées (comptes principaux uniquement).
Recherche et filtres
- Rechercher une entreprise : filtre par nom d'entreprise ou par ID d'entreprise.
- Délégation : Tous, Déléguée, ou Non déléguée.
- État de la licence : Tous, Valide, Expire bientôt, Expirée, ou Résiliée.
Cartes d'entreprise
Chaque carte d'entreprise affiche les métadonnées de gestion clés :
- État de la licence avec badge d'icône et infobulle contextuelle.
- Appareils sous licence (limite d'appareils de l'entreprise).
- Prochain renouvellement prévu ou Date d'expiration, selon l'état de l'abonnement.
- État de la délégation (Propriétaire, Accordée, ou Non accordée).
- Nom d'affichage et nom d'utilisateur du propriétaire.
Entreprises récemment sélectionnées
Les entreprises auxquelles vous avez accédé récemment sont épinglées dans une section Récemment sélectionnées pour accélérer les changements de contexte répétés.
Actions sur l'entreprise
- Entrer dans l'entreprise : ouvre le contexte de l'entreprise sélectionnée lorsque la délégation ou la propriété permet l'accès.
- Gérer la facturation : ouvre la gestion de la facturation de l'entreprise lorsque celle-ci est disponible et autorisée.
- Acheter une licence : ouvre le flux d'achat de l'entreprise lorsque la facturation n'est pas active.
Qui peut gérer les licences
Pour les entreprises créées par un compte multi-tenant, la gestion des licences est contrôlée par les utilisateurs du multi-tenant. Le compte principal peut toujours gérer la facturation et les actions relatives aux licences pour ces entreprises.
Les sous-comptes peuvent gérer la facturation et les actions relatives aux licences uniquement si le compte principal accorde la permission Peut gérer les licences sur la page Sous-comptes.
Créer une entreprise gérée
Les comptes multi-tenants principaux peuvent étendre Créer une entreprise gérée depuis la zone d'action en bas de page.
- Le nom de l'entreprise est requis.
- Créer un utilisateur administrateur par entreprise contrôle le mode de propriété.
- Lorsqu'elle est activée, l'identifiant administrateur (au format e-mail) et le nom de l'administrateur sont requis.
- Avant la création, une boîte de dialogue de confirmation résume l'opération et, le cas échéant, avertit que des identifiants temporaires sont envoyés par e-mail au nouvel utilisateur administrateur.
Mode de propriété
- Administrateur par entreprise activé : le nouvel utilisateur administrateur est propriétaire de l'entreprise et peut déléguer la gestion à votre compte multi-tenant.
- Administrateur par entreprise désactivé : l'entreprise est détenue directement par votre compte multi-tenant.
Quota d'entreprise
Si le compte atteint le quota d'entreprise configuré, la création est bloquée et le formulaire affiche un message de contact pour l'assistance avec le nombre actuel et maximal d'entreprises.
Lorsque le quota d'entreprise est atteint, vous ne pouvez plus créer d'entreprises gérées supplémentaires tant que votre limite n'a pas été augmentée.
Changement d'entreprise
Le sélecteur d'entreprise dans la barre d'outils supérieure permet aux utilisateurs en mode multi-tenant de passer d'une entreprise déléguée à l'autre sans se déconnecter. Il est disponible lorsqu'au moins un contexte d'entreprise peut être sélectionné.
Comportement du sélecteur
- Le déclencheur affiche le nom de l'entreprise actuelle (ou l'ID de l'entreprise si aucun nom n'est disponible).
- Le menu répertorie les entreprises déléguées/accessibles et marque l'entreprise actuelle comme étant déjà sélectionnée.
- Pendant le changement, les actions du sélecteur sont temporairement désactivées pour éviter des changements de portée simultanés.
Quitter l'entreprise
Règles de réinitialisation du contexte
Le changement d'entreprise ou le fait de quitter l'entreprise réinitialise la portée du tableau de bord. Les pages spécifiques à l'entreprise et les données sont actualisées pour le nouveau contexte sélectionné, et la visibilité du menu s'adapte selon qu'une entreprise est actuellement sélectionnée ou non.
Utilisez le sélecteur pour des changements de contexte opérationnels rapides, mais vérifiez le nom de l'entreprise sélectionnée avant d'exécuter des actions sensibles telles que les mises à jour de politiques ou les commandes sur les appareils.
Sous-comptes
La page Sous-comptes (Tableau de bord → Sous-comptes) est accessible aux comptes multi-tenants principaux. Elle vous permet de créer des utilisateurs gestionnaires délégués, d'assigner des entreprises gérées, de contrôler les permissions de facturation et de gérer les identifiants des sous-comptes.
Liste des sous-comptes
Chaque fiche de sous-compte affiche les contrôles d'identité et de gestion :
- Nom et identifiant/e-mail.
- Assignation par sélection multiple des entreprises gérées.
- Interrupteur de la permission Peut gérer les licences.
- Actions de Réinitialisation du mot de passe et de Suppression.
Assignation des entreprises gérées
Les assignations d'entreprises sont modifiées via le champ de sélection multiple Entreprises gérées. Lorsque vous fermez le sélecteur après avoir effectué des modifications, le tableau de bord demande une confirmation avant d'enregistrer les mises à jour.
Permission de gestion des licences
L'interrupteur Peut gérer les licences permet de contrôler si un sous-compte peut accéder aux actions de facturation et de gestion des licences de l'entreprise.
Pour les entreprises créées par le compte multi-tenant, le compte principal dispose toujours des droits de gestion des licences. Les sous-comptes ne reçoivent les droits de gestion des licences que lorsque cet interrupteur est activé par le compte principal.
Réinitialisation du mot de passe
Réinitialiser le mot de passe génère un nouveau mot de passe temporaire et l'envoie au sous-compte par e-mail après confirmation.
Supprimer le sous-compte
La suppression d'un sous-compte nécessite une confirmation et supprime définitivement l'accès délégué pour ce compte.
Créer un sous-compte
Utilisez le panneau d'action en bas Créer un sous-compte pour ajouter un nouveau gestionnaire délégué.
- E-mail : requis et validé au format e-mail.
- Nom : nom d'affichage requis.
- Peut gérer les licences : permission de facturation initiale optionnelle.
- Avant la création, une boîte de dialogue de confirmation avertit qu'un e-mail contenant un mot de passe temporaire est envoyé à l'adresse fournie.
Aperçus
Voici quelques articles qui explorent comment la gestion des appareils mobiles (MDM) peut aider votre entreprise :
Qu'est-ce que le mode kiosque ? Un guide pour verrouiller les appareils Android et Apple en entreprise
Le mode kiosque transforme les téléphones et tablettes standards en outils professionnels dédiés. Cerberus Enterprise aide les organisations à verrouiller les appareils sur une seule application ou sur un petit ensemble d'applications approuvées pour des cas d'utilisation tels que les points de vente (POS), l'enregistrement des clients ou la navigation de flotte, tout en facilitant la sécurisation, le support et la gestion à grande échelle de ces appareils spécialisés.
Comment choisir la bonne solution MDM : une liste de contrôle en 7 points pour les petites entreprises
Choisir une solution MDM tardivement dans le processus d'achat est plus facile lorsque la comparaison reste pratique. Cette liste de contrôle aide les petites entreprises à évaluer les fournisseurs selon les sept critères qui comptent généralement le plus lors des déploiements réels : la sécurité, le support Android et Apple, la facilité d'utilisation pour les équipes restreintes, l'évolutivité, les limites de confidentialité, le coût total de possession et la capacité de support au quotidien.
Créer une classe numérique sûre et concentrée : un guide sur le MDM pour les écoles K-12
Les appareils gérés par l'école fonctionnent mieux lorsqu'ils restent centrés sur l'apprentissage. Cerberus Enterprise aide les organisations de niveau K-12 à maintenir la concentration des appareils des élèves grâce aux applications gérées, aux restrictions de type kiosque, à la configuration standardisée des appareils partagés ou prêtés, ainsi qu'aux actions de récupération à distance qui réduisent les pertes, l'usage détourné et les interruptions en classe.
Équiper vos techniciens de terrain : comment le MDM booste l'efficacité et la sécurité sur site
Les techniciens de terrain dépendent des appareils mobiles pour leurs horaires, notes d'intervention, références techniques, historique client et mises à jour de tâches lors de leurs interventions sur site. Cerberus Enterprise aide à maintenir ces appareils opérationnels grâce aux applications gérées, des modèles d'appareils standardisés, des commandes de support à distance et une visibilité basée sur la localisation qui peut améliorer la coordination des interventions tout en renforçant la sécurité sur le terrain.
Au-delà de la carte : utiliser le MDM pour une gestion de flotte et une sécurité des conducteurs plus intelligentes
Les opérations de flotte reposent sur les appareils mobiles pour la navigation, l'envoi d'ordres de mission, la messagerie, le journalisation et l'exécution sur le terrain. Cerberus Enterprise aide à maintenir ces appareils concentrés sur les flux de travail approuvés grâce aux applications gérées, aux contrôles de type kiosque et appareils dédiés, aux politiques de communication sécurisées, au dépannage à distance et à une supervision basée sur la localisation qui peut réduire les temps d'arrêt et favoriser des opérations de conduite plus sûres.
Comment les géorepérages, le suivi en direct et les cartes de localisation améliorent les opérations en entreprise
Les fonctionnalités de géolocalisation dans Cerberus Enterprise aident les organisations à passer d'une simple visibilité des appareils à un contrôle opérationnel plus concret. Les rapports de localisation périodiques, le suivi en direct, les transitions de géorepérage et les cartes interactives peuvent soutenir la logistique, le service sur le terrain, la santé, le commerce de détail, la construction et d'autres équipes distribuées qui ont besoin d'une meilleure visibilité sur l'endroit où le travail s'effectue et sur les moments où les appareils entrent ou sortent de zones importantes.
Comment le multi-tenant aide les MSP à développer leurs services MDM et à créer de nouvelles sources de revenus
Le multi-tenant permet aux MSP, aux revendeurs et aux organisations multi-sociétés de gérer plusieurs entreprises à partir d'un seul compte Cerberus Enterprise tout en maintenant chaque environnement séparé. Ce modèle réduit les frictions opérationnelles, améliore l'évolutivité des services et prend en charge l'accès délégué via des sous-comptes et une administration explicite contrôlée par le client. Il crée également des opportunités commerciales plus solides pour les prestataires qui souhaitent combiner l'octroi de licences logicielles avec l'enrôlement, le support, la conformité et les services de mobilité gérée.
Améliorer l'opérativité de l'entreprise grâce aux solutions MDM
La gestion des appareils mobiles (MDM) centralise le contrôle des appareils de l'entreprise, simplifiant ainsi l'enrôlement, la configuration et la maintenance. Le provisionnement automatisé et les opérations groupées réduisent le travail informatique manuel et garantissent des politiques cohérentes sur tous les appareils. Les fonctionnalités de sécurité, telles que le chiffrement, la surveillance de la conformité et l'effacement à distance, protègent les données de l'entreprise. Dans l'ensemble, le MDM améliore la productivité tout en réduisant les coûts de support et la complexité opérationnelle.
Sécurité avancée dans la gestion Android Enterprise
Android Enterprise utilise un profil professionnel pour isoler les applications et les données de l'entreprise du contenu personnel sur le même appareil. Cette conteneurisation crée des environnements chiffrés distincts, gérés indépendamment par les administrateurs informatiques. Les politiques de sécurité peuvent contrôler le partage des données professionnelles sans affecter les applications personnelles. L'architecture protège les données de l'entreprise même si des applications personnelles sont compromises.
MDM pour iPhone Apple et enrôlement automatisé
Le cadre MDM d'Apple permet une gestion centralisée des iPhones dans les environnements d'entreprise. Combiné à Apple Business Manager, les appareils peuvent s'enrôler et se configurer automatiquement lors de leur première activation. Les administrateurs peuvent déployer et configurer silencieusement les applications d'entreprise, appliquer des paramètres de sécurité et surveiller la conformité. Cette automatisation garantit une configuration cohérente des appareils et réduit les erreurs de paramétrage.
Comprendre la gestion des appareils mobiles (MDM)
La gestion des appareils mobiles (MDM) fournit une plateforme centralisée pour surveiller, sécuriser et contrôler les appareils mobiles accédant aux systèmes de l'entreprise. Les capacités de base incluent l'application de politiques de sécurité, la gestion des applications et le verrouillage ou l'effacement à distance des appareils perdus. Le MDM aide à protéger les données de l'entreprise tout en maintenant la conformité des appareils. Il permet aux organisations de toutes tailles de gérer en toute sécurité une main-d'œuvre mobile croissante.
Modèles de déploiement des appareils en entreprise
Les organisations peuvent adopter plusieurs modèles de propriété d'appareils tels que le BYOD, le CYOD, le COPE, le COBO et le COSU. Chaque modèle équilibre différemment les coûts, la flexibilité de l'utilisateur et le contrôle de la sécurité. Le BYOD privilégie le confort de l'utilisateur, tandis que le COBO et le COSU maximisent le contrôle et la sécurité de l'entreprise. Le choix du bon modèle dépend des exigences réglementaires, des besoins de la main-d'œuvre et de la capacité de gestion informatique.
MDM vs EMM vs UEM
Le MDM se concentre sur la gestion et la sécurisation des appareils mobiles via l'application de politiques, le contrôle de la configuration et la gestion à distance. L'EMM élargit ce périmètre pour inclure la gestion des applications et du contenu, tandis que l'UEM tente de gérer tous les points de terminaison, y compris les ordinateurs portables et de bureau. Pour de nombreuses PME, des suites EMM ou UEM complètes ajoutent une complexité inutile. En pratique, des capacités MDM robustes répondent souvent à la plupart des besoins de gestion mobile.
Le MDM sur les téléphones personnels et la vie privée des employés
Les systèmes MDM modernes utilisent la conteneurisation pour séparer les données professionnelles et personnelles sur les appareils appartenant aux employés. Les employeurs peuvent uniquement gérer et surveiller l'environnement de travail, y compris les applications d'entreprise et les informations de conformité des appareils. Les données personnelles telles que les photos, les messages et l'historique de navigation restent inaccessibles à l'entreprise. Cette séparation technique permet des programmes BYOD sécurisés tout en préservant la vie privée des employés.
ROI du MDM et valeur commerciale
Le MDM doit être évalué comme un investissement stratégique plutôt que comme une simple dépense de sécurité. Il génère des retours financiers grâce à la réduction des pertes d'appareils, à la diminution des coûts de support informatique et à l'amélioration de l'efficacité opérationnelle. La gestion automatisée augmente également la productivité des employés et réduit les temps d'arrêt. De plus, une sécurité renforcée réduit le risque et l'impact financier des violations de données.
Gestion des appareils conforme à la loi HIPAA
Les organisations de santé doivent protéger les données électroniques des patients conformément aux exigences de sécurité de la loi HIPAA. Le MDM aide à appliquer le chiffrement, les contrôles d'authentification, la transmission sécurisée des données et les journaux d'audit détaillés. Il permet également l'effacement à distance et l'application centralisée des politiques pour les appareils accédant aux systèmes médicaux. Ces contrôles réduisent les risques de non-conformité tout en permettant des flux de travail mobiles dans les environnements de santé.
Le MDM pour les opérations et la sécurité dans le commerce de détail
Les organisations de vente au détail s'appuient sur les appareils mobiles pour les systèmes de point de vente (POS), la gestion des stocks et les opérations en magasin. Le MDM garantit que ces appareils restent sécurisés, à jour et conformes aux normes telles que PCI-DSS. Une gestion centralisée réduit les temps d'arrêt et simplifie le déploiement des appareils sur plusieurs sites. Le résultat est une efficacité opérationnelle accrue et un risque réduit d'incidents de sécurité liés aux paiements.