Manuel Utilisateur

Cerberus Enterprise est une solution EMM complète, conçue pour vous aider à sécuriser et à gérer vos appareils Android et Apple. Elle possède toutes les fonctionnalités nécessaires pour une gestion efficace des appareils personnels et des appareils de l'entreprise, le tout dans un tableau de bord clair et convivial, et vous pouvez commencer en quelques minutes.

Pour utiliser efficacement Cerberus Enterprise, vous devez comprendre quelques concepts clés sur le fonctionnement du système.

Le système prend en charge la gestion des appareils Android et Apple

Sur Android, Cerberus Enterprise utilise l'API Android Management API officielle de Google pour gérer les appareils via l'application Android Device Policy (ADP). La plupart des paramètres sont appliqués directement par ADP. Certaines fonctionnalités optionnelles peuvent également nécessiter l'application Cerberus Enterprise, qui étend les possibilités au-delà de ce que permet ADP seul.

Sur les appareils Apple, Cerberus Enterprise gère les appareils via Apple MDM (Mobile Device Management). La gestion Apple nécessite un certificat APNs et peut, optionnellement, s'intégrer à Apple Business Manager pour l'inscription automatique et la gestion des licences d'applications.

Chaque appareil peut être enregistré dans le système à l'aide d'un jeton d'inscription ou d'un profil d'inscription (inscription manuelle Apple). La méthode d'inscription est associée à une politique qui contient les règles qui doivent être appliquées aux appareils.

Les administrateurs informatiques peuvent modifier la politique associée à un appareil après son enregistrement. Cependant, chaque appareil ne peut être associé qu'à une seule politique à la fois.

Pendant le processus d'inscription (provisionnement), les composants de gestion requis sont installés et configurés automatiquement. Sur Android, cela comprend généralement l'application Android Device Policy (et, selon votre configuration, l'application Cerberus Enterprise). Sur les appareils Apple, la gestion est appliquée via MDM une fois l'appareil inscrit. Par conséquent, la politique correspondante est automatiquement appliquée à l'appareil, et toutes les règles associées sont appliquées par le système de gestion de la plateforme.

Une politique peut être appliquée à de nombreux appareils. Dans ce cas, lorsque vous modifiez la politique, tous les appareils associés recevront les modifications.

Configuration

Configuration de la gestion Android

Pour gérer les appareils Android avec Cerberus Enterprise, vous devez d'abord connecter votre organisation à Google Android Enterprise.

Le processus de configuration prend généralement quelques minutes et nécessite une adresse e-mail professionnelle (par exemple, name@enterprise.com).

Que se passe-t-il pendant la configuration ?

Vous serez redirigé vers Google Android Enterprise.
Vous vous connectez avec votre adresse e-mail professionnelle.
Google crée le compte Android Management pour votre organisation.
Vous êtes redirigé vers Cerberus Enterprise pour terminer la configuration.

Informations importantes

Assurez-vous d'utiliser une adresse e-mail professionnelle et non un compte Gmail personnel. Cette adresse e-mail est utilisée pour créer votre compte administrateur Google pour Android Management.

Prochaines étapes

Une fois la configuration terminée, créez un jeton d'inscription et choisissez la méthode de provisionnement appropriée pour l'appareil.

Configuration

Configuration Apple Management (APNs)

Pour gérer les appareils Apple, Cerberus Enterprise nécessite le certificat du service de notifications push Apple (APNs).

Utilisez l'identifiant Apple associé à votre organisation. Le certificat APNs est valide pendant un an et doit être renouvelé chaque année pour continuer à gérer les appareils.

Étape 1 : Téléchargez le fichier CSR

Dans le tableau de bord, démarrez la configuration de gestion pour les appareils Apple et téléchargez le fichier de demande de certificat (CSR) signé par le fournisseur, généré par Cerberus Enterprise.

Étape 2 : Créez le certificat Push sur le portail Apple

Connectez-vous au portail des certificats Push Apple avec votre identifiant Apple.
Cliquez sur "Créer un certificat".
Chargez le fichier CSR de l'étape 1.
Téléchargez le certificat Push créé.

Lien vers le portail : https://identity.apple.com/

Étape 3 : Téléchargez le certificat Push

Téléchargez le certificat Push que vous avez téléchargé depuis Apple dans Cerberus Enterprise pour terminer la configuration.

Si le certificat APNs expire, la gestion des appareils Apple cessera de fonctionner jusqu'à ce que le certificat soit renouvelé.

Prochaines étapes

Une fois APNs configuré, vous pouvez procéder à l'inscription des appareils Apple. Continuez avec l'aperçu de la configuration Apple.

Aperçu de la configuration des appareils

Cerberus Enterprise prend en charge la gestion des appareils pour les plateformes Android et Apple. Vous pouvez configurer chaque plateforme indépendamment, en fonction des appareils que vous souhaitez enregistrer.

1. Configurez la plateforme entièrement depuis le tableau de bord

Avant d'enregistrer les appareils, configurez la plateforme entièrement depuis le tableau de bord de Cerberus Enterprise. Si votre compte n'est pas encore configuré, le tableau de bord vous guidera à travers les étapes nécessaires.

Configuration Android (Google Android Enterprise)

Pour connaître la procédure de configuration Android complète, consultez Configuration Android.

Accédez au flux d'inscription du tableau de bord et sélectionnez Configuration de la gestion Android.
Vous serez redirigé vers Google pour vous connecter avec un compte professionnel et autoriser Android Enterprise.
Après l'autorisation, vous serez redirigé vers Cerberus Enterprise pour terminer la configuration.

Configuration Apple (certificat APNs pour les notifications push)

Pour connaître la procédure complète de configuration Apple, consultez Configuration Apple (APNs).

Accédez au flux d'inscription du tableau de bord et sélectionnez Configuration de la gestion Apple.
Téléchargez le fichier CSR depuis Cerberus Enterprise.
Créez le certificat APNs dans le portail des certificats Apple Push et téléchargez le certificat résultant.
Importez le certificat téléchargé dans Cerberus Enterprise pour activer la gestion des appareils Apple.

2. Enregistrez les appareils

Après avoir configuré la plateforme, choisissez la méthode d'inscription qui correspond à votre modèle de gestion des appareils et au système d'exploitation.

Inscription Android

Pour Android, l'inscription est gérée par les jetons d'inscription. Sélectionnez la méthode appropriée en fonction du fait que l'appareil est personnel ou fourni par l'entreprise.

Appareils personnels (BYOD/profil professionnel) : consultez ce guide.
Appareils appartenant à l'entreprise (utilisation professionnelle et personnelle / profil professionnel) : consultez ce guide.
Appareils appartenant à l'entreprise, utilisés uniquement pour le travail (entièrement gérés ou dédiés) : consultez ce guide.
Configuration sans intervention : consultez ce guide.

Enregistrement via Apple

Pour Apple, commencez par configurer APNs comme décrit ci-dessus, puis suivez les guides de configuration Apple : Vue d'ensemble de la configuration Apple.

Provisionnement des Appareils - Android

Appareils pris en charge

En général, tout appareil exécutant Android 6+ avec les services Google Play est compatible avec Cerberus Enterprise.

Pour une meilleure expérience utilisateur, nous vous recommandons d'utiliser des appareils répondant aux exigences des appareils recommandés par Android Enterprise.

Certaines fonctionnalités sont limitées à des versions spécifiques d'Android, ou peuvent se comporter différemment selon les versions du système d'exploitation. Pour plus d'informations sur une fonctionnalité spécifique, consultez la section Politiques de la documentation.

Cerberus Enterprise prend en charge les appareils appartenant à l'entreprise et les appareils personnels, ainsi que deux modes de gestion : propriétaire de l'appareil et propriétaire du profil.

Les appareils personnels peuvent être gérés via un profil professionnel. Cela permet une solution BYOD (Bring Your Own Device) en séparant les données et applications professionnelles des employés de leurs données et applications personnelles, améliorant ainsi la sécurité et la confidentialité. Cette option convient aux appareils déjà détenus par les employés que vous souhaitez inscrire auprès de votre organisation pour un usage professionnel.

Les appareils appartenant à l'entreprise peuvent également être gérés via un profil professionnel, mais vous pouvez également choisir l'option "entièrement gérée, qui permet un contrôle plus strict de l'appareil. Les appareils appartenant à l'entreprise et dotés d'un profil professionnel sont adaptés lorsque vous fournissez des appareils professionnels à vos employés tout en leur permettant de les utiliser pour un usage personnel. Les appareils entièrement gérés conviennent mieux aux appareils qui doivent être utilisés uniquement pour le travail, ou aux appareils dédiés (COSU, appareils uniques appartenant à l'entreprise), tels que les bornes interactives.

Pour plus d'informations sur le provisionnement des appareils, consultez la page Aperçu du provisionnement des appareils.

Provisionnement des Appareils - Android

Jetons d'inscription

Cerberus Enterprise utilise des jetons d'inscription pour démarrer le processus d'inscription (provisionnement) des appareils Android. Le jeton que vous sélectionnez définit la politique initiale appliquée aux appareils inscrits et détermine les modes de provisionnement autorisés.

L'onglet des jetons d'inscription Android est disponible uniquement après avoir effectué la configuration Android Management.

Où trouver les jetons d'inscription

Dans le tableau de bord, ouvrez Jetons d'inscription. Selon la configuration de votre compte, la page peut afficher plusieurs onglets (jetons Android, inscription via Google, inscription manuelle Apple et inscription automatique des appareils Apple).

Si votre environnement Android Enterprise est associé à un domaine Google géré (Google Workspace), le tableau de bord peut également afficher un onglet "Authentification via Google". Pour plus de détails sur l'activation et l'utilisation de cette fonctionnalité, consultez Authentification via Google.

Liste des jetons d'inscription (Android)

L'onglet "Jetons Android" affiche un tableau de tous les jetons. Cliquer sur une ligne ouvre la page de détails du jeton.

Colonnes

Identifiant : identifiant de jeton interne.
Statut: Disponible, Utilisé (jeton unique déjà utilisé), ou Expiré.
Expiration : date et heure d'expiration, ou Jamais.
Stratégie : la stratégie attribuée au jeton (l'info-bulle de l'interface utilisateur affiche également l'identifiant de la stratégie).
Utilisation personnelle : Autorisé / Interdit / Appareil dédié.
Utilisations autorisées : Usage unique ou multiple.
Utilisateur : utilisateur optionnel, pré-affecté aux appareils inscrits avec le jeton.

Actions

Chaque ligne comporte une action de suppression (Supprimer le jeton d'inscription). La suppression est désactivée lorsque la licence est expirée.
Le tableau prend en charge la sélection de plusieurs lignes : vous pouvez activer le mode de sélection, sélectionner plusieurs jetons et les supprimer avec Supprimer les jetons sélectionnés.
Utilisez l'action "Actualiser" pour recharger la liste. Le tableau est paginé (10/25/50 éléments par page).

Créez un nouveau jeton d'inscription

Dans l'onglet "Jetons Android", cliquez sur Nouveau jeton d'inscription pour ouvrir la page de création du jeton. Si votre licence est expirée, le bouton de création est désactivé.

Options de jetons

1. Politique

Obligatoire. La politique est automatiquement appliquée à tous les appareils inscrits en utilisant ce jeton. Sélectionnez l'une de vos politiques Android. Si vous n'avez pas encore de politique, créez-en une en premier.

2. Utilisateur

Facultatif. Si défini, les appareils nouvellement inscrits sont automatiquement associés à cet utilisateur.

3. Utilisation personnelle

Contrôle si l'utilisation personnelle est autorisée sur un appareil provisionné avec ce jeton d'inscription :

Autorisé : adapté aux appareils personnels (profil professionnel) et aux appareils appartenant à l'entreprise, utilisés pour le travail et les usages personnels.
Non autorisé : compatible avec les appareils appartenant à l'entreprise, utilisés uniquement pour le travail (gestion complète).
Appareil dédié : adapté aux terminaux de caisse ou aux appareils dédiés (l'appareil n'est pas associé à un utilisateur unique).

4. Utilisations autorisées

Sélectionnez si le jeton peut être utilisé plusieurs fois (Plusieurs) ou une seule fois (Une seule fois).

5. Date d'expiration

Sélectionnez l'unité de temps d'expiration (Minutes, Heures, Jours, ou Jamais). Lorsque l'option "Jamais" n'est pas sélectionnée, saisissez la valeur d'expiration. La plage autorisée dépend de l'unité sélectionnée et peut aller jusqu'à 10 000 jours.

Options de provisionnement (code QR uniquement)

Ces options supplémentaires sont intégrées dans le code QR et sont appliquées lors de la configuration des appareils entièrement gérés, inscrits en scannant le code QR. Elles ne s'appliquent pas aux profils professionnels ou aux appareils inscrits à l'aide de l'URL d'inscription ou du jeton.

Configuration Wi-Fi

Utilisez ceci pour permettre à un appareil de se connecter automatiquement au Wi‑Fi lors de la configuration, afin qu'il puisse télécharger et initialiser l'application de gestion. Les champs disponibles incluent SSID, SSID masqué, Sécurité, et (si nécessaire) Phrase de passe.

Vous pouvez également configurer un proxy HTTP (Proxy) et, selon le mode, définir l'hôte/le port, l'URI PAC et l'hôte de contournement du proxy.

Autres options

Les options supplémentaires incluent la langue, le fuseau horaire et l'option de passer outre le chiffrement.

Détails du jeton d'inscription

Lorsque vous ouvrez un jeton, la page de détails affiche la configuration du jeton et les informations d'utilisation :

Statut, Expiration, Utilisation, Utilisation personnelle, et Utilisations autorisées.
Jeton : la valeur brute du jeton d'inscription (copiable).
URL d'inscription : une URL d'inscription Google Android Enterprise (copiable et pouvant être envoyée par e-mail).
Code QR : affiché sur le côté droit de la page, utilisé pour inscrire les appareils entièrement gérés.

Pour connaître les procédures d'installation étape par étape, consultez les guides d'inscription Android : Appareils personnels, Appareils appartenant à l'entreprise pour un usage professionnel et personnel, Appareils appartenant à l'entreprise pour un usage strictement professionnel, et Inscription automatique.

Provisionnement des Appareils - Android

Appareils personnels

Les appareils appartenant aux employés peuvent être configurés avec un profil professionnel. Un profil professionnel offre un espace isolé pour les applications et les données professionnelles, séparé des applications et des données personnelles. La plupart des politiques de gestion des applications, des données et autres s'appliquent uniquement au profil professionnel, tandis que les applications et les données personnelles des employés restent privées.

Pour configurer un profil professionnel sur un appareil personnel, utilisez l'une des méthodes de provisionnement suivantes (assurez-vous que le jeton d'inscription est configuré avec Utilisation personnelle sur Autorisé) :

Lien du jeton d'inscription

Version Android

6.0+

Vous pouvez fournir l'URL d'inscription aux utilisateurs finaux. Lorsqu'un utilisateur final ouvre le lien depuis son appareil, il sera guidé tout au long de la configuration du profil professionnel.

Ajouter le profil professionnel depuis "Paramètres"

Version Android

6.0+

Pour configurer un profil professionnel sur leur appareil, un utilisateur peut :

1. Allez dans Paramètres > Google > Configuration et restauration.

2. Appuyez sur "Configurer votre profil professionnel".

Ces étapes lancent un assistant de configuration qui télécharge Android Device Policy sur l'appareil. Ensuite, l'utilisateur sera invité à scanner un code QR ou à entrer manuellement un jeton d'inscription pour terminer la configuration du profil professionnel.

Télécharger Android Device Policy

Version Android

6.0+

Pour configurer un profil professionnel sur leur appareil, l'utilisateur peut télécharger l'application Android Device Policy depuis le Google Play Store. Une fois l'application installée, l'utilisateur sera invité à scanner un code QR ou à saisir manuellement un jeton d'inscription pour finaliser la configuration du profil professionnel.

Provisionnement des Appareils - Android

Appareils fournis par l'entreprise pour un usage professionnel et personnel

La configuration d'un appareil appartenant à l'entreprise avec un profil professionnel permet d'utiliser l'appareil à la fois pour le travail et pour un usage personnel. Sur les appareils appartenant à l'entreprise et dotés d'un profil professionnel :

La plupart des politiques de gestion des applications, des données et autres paramètres s'appliquent uniquement au profil professionnel.
Les profils personnels des employés restent privés. Toutefois, les entreprises peuvent appliquer certaines politiques générales de l'appareil et des politiques d'utilisation personnelle.
Les entreprises peuvent utiliser les portées de bloc pour appliquer des actions de conformité à tout un appareil ou uniquement à son profil professionnel.
La désinscription de l'appareil et les commandes de l'appareil s'appliquent à l'ensemble de l'appareil.

Pour configurer un appareil appartenant à l'entreprise avec un profil professionnel, utilisez l'une des méthodes de provisionnement suivantes (assurez-vous que le jeton d'inscription a l'option Utilisation personnelle définie sur Autorisée):

Méthode par code QR

Version Android

8.0+

Sur un appareil neuf ou réinitialisé aux paramètres d'usine, l'utilisateur (généralement un administrateur informatique) appuie six fois sur le même point de l'écran. Cela déclenche une invite sur l'appareil demandant à l'utilisateur de scanner un code QR.

Provisionnement des Appareils - Android

Appareils fournis par l'entreprise, réservés à un usage professionnel

La gestion complète de l'appareil est adaptée aux appareils appartenant à l'entreprise et destinés exclusivement à un usage professionnel. Les entreprises peuvent gérer toutes les applications de l'appareil et appliquer l'ensemble des politiques et commandes de l'Android Management API.

Il est également possible de verrouiller un appareil (via une politique) à une seule application ou à un ensemble limité d'applications, afin de lui attribuer une fonction ou un usage spécifique. Cet ensemble d'appareils entièrement gérés est appelé appareils dédiés.

Pour configurer une gestion complète sur un appareil appartenant à l'entreprise, utilisez l'une des méthodes de provisionnement suivantes (assurez-vous que le jeton d'inscription a l'option Utilisation personnelle définie sur Interdite) :

Méthode par code QR

Version Android

7.0+

Méthode d'identification du DPC

Version Android

5.1+

Si la politique d'appareil Android ne peut pas être ajoutée via un code QR, un utilisateur ou un administrateur informatique peut suivre ces étapes pour configurer un appareil entièrement géré ou un appareil dédié :

1. Suivez l'assistant de configuration sur un nouvel appareil ou un appareil réinitialisé aux paramètres d'usine.

2. Entrez les informations de connexion Wi-Fi pour connecter l'appareil à Internet.

3. Lorsque vous êtes invité à vous connecter, saisissez afw#setup, ce qui permet de télécharger la stratégie d'appareil Android.

4. Analysez un code QR ou saisissez manuellement un jeton d'inscription pour configurer l'appareil.

Provisionnement des Appareils - Android

Configuration sans intervention

Les administrateurs informatiques peuvent configurer les appareils appartenant à l'entreprise en utilisant la méthode d'inscription sans intervention, décrite dans l'inscription sans intervention pour les administrateurs informatiques. Lors du premier démarrage d'un appareil, celui-ci est automatiquement configuré selon les paramètres définis par l'administrateur informatique.

Les administrateurs informatiques peuvent préconfigurer les appareils achetés auprès de revendeurs agréés et les gérer via le tableau de bord Cerberus Enterprise. Pour lier votre compte Zero-touch, accédez à la section Zero-touch, puis suivez les instructions.

Version Android	Profil professionnel	Appareil entièrement géré	Appareil dédié
8.0+ (Pixel 7.1+)	✓	✓	✓

Provisionnement des Appareils - Android

Authentification via l'inscription Google

Authentifiez-vous via l'inscription Google (également appelée Authentification Google pour l'inscription), ce qui permet aux utilisateurs de s'authentifier avec leur compte Google Workspace lors de l'inscription de leur appareil Android.

Cette fonctionnalité est disponible uniquement pour les appareils Android utilisés par les entreprises disposant d'un domaine Google géré (Google Workspace).

Où le trouver ?

Dans le tableau de bord, ouvrez les jetons d'inscription et sélectionnez l'onglet Authentification via l'inscription Google. L'onglet est visible uniquement lorsque la gestion Android est configurée et que l'intégration Google Workspace est disponible pour votre entreprise.

Activez (ou désactivez) l'authentification via Google

L'authentification via Google est activée depuis la console d'administration Google. Après avoir modifié ce paramètre, revenez à Cerberus Enterprise et utilisez Actualiser l'état pour recharger la configuration actuelle.

Connectez-vous à votre console d'administration Google avec un compte administrateur.
Ouvrez Appareils.
Accédez à Appareils mobiles et terminaux → Paramètres → Intégrations tierces.
Trouvez l'intégration Android EMM pour Cerberus Enterprise et ouvrez-la.
Cliquez sur Gérer les fournisseurs EMM.
Activez ou désactivez l'authentification via Google pour configurer l'authentification Google pour l'inscription.
Cliquez sur Enregistrer.
Retournez au tableau de bord de Cerberus Enterprise et cliquez sur Actualiser l'état dans l'onglet Authentification via Google Enrollment.

Mettre à jour l'état de l'onglet "Authentification via Google Enrollment"

Lorsque l'authentification via Google est activée, le tableau de bord affiche un jeton d'inscription dédié utilisé pour ce mode d'inscription. La page peut afficher un code QR, une valeur de jeton d'inscription et une URL d'inscription (copiable et pouvant être envoyée par e-mail).

Options principales

Autoriser l'utilisation personnelle : contrôle si le jeton peut enregistrer des appareils pour un usage professionnel et personnel (scénarios de profil professionnel) ou uniquement pour un usage professionnel (scénarios entièrement gérés/dévolus).
Stratégie par défaut de secours : la stratégie appliquée lorsque l'utilisateur qui s'inscrit n'a pas de stratégie par défaut Google Authentication spécifique attribuée.

Interaction avec les politiques

Le paramètre de stratégie Authentification de la configuration du compte professionnel (workAccountSetupConfig.authenticationType) contrôle la manière dont les utilisateurs s'authentifient lors de la configuration du compte professionnel, mais le paramètre de la console d'administration Google Authentification via Google et le type de jeton d'inscription peuvent toujours nécessiter une authentification.

Pour les appareils déjà inscrits, cette stratégie s'applique uniquement si l'appareil est géré par un compte Google Play professionnel (c'est-à-dire, inscrit sans authentification via Google).

Certaines actions (par exemple, la modification des options de jeton) peuvent être désactivées lorsque la licence est expirée.

Enregistrer un appareil

Pendant l'inscription, l'utilisateur est invité à s'authentifier avec son compte Google Workspace. Une fois l'inscription réussie, l'appareil est associé à l'utilisateur authentifié.

Profil professionnel (appareils personnels)

Partagez l' URL d'inscription avec l'utilisateur. Lorsque l'utilisateur l'ouvre sur son appareil Android, il est guidé tout au long de la configuration du profil professionnel et de l'authentification Google.
Sinon, l'utilisateur peut commencer depuis les paramètres Android et choisir le processus de configuration du profil professionnel, puis scanner le code QR ou saisir le code d'inscription lorsqu'on lui demande.

Appareils appartenant à l'entreprise

Méthode du code QR : sur un appareil neuf ou réinitialisé aux paramètres d'usine, appuyez plusieurs fois sur le même endroit de l'écran jusqu'à ce que l'invite du code QR apparaisse, puis scannez le code QR affiché dans le tableau de bord.
Méthode d'identification DPC (lorsque le scan de QR code n'est pas disponible) : suivez l'assistant de configuration, connectez-vous au réseau Wi‑Fi, puis, lorsque vous êtes invité à vous connecter, saisissez afw#setup et continuez en scannant le code QR ou en entrant le jeton d'inscription. Lorsque vous y êtes invité, authentifiez-vous avec le compte Google Workspace.

Pour connaître les procédures générales de configuration des appareils Android (profil professionnel par rapport à gestion complète), consultez les pages standard d'inscription Android de ce manuel.

Provisionnement des Appareils - Apple

Aperçu de la configuration Apple

Cerberus Enterprise prend en charge l'inscription et la gestion des appareils Apple. La configuration Apple nécessite un certificat APNs et peut être effectuée à l'aide de différentes méthodes d'inscription.

Prérequis : configurez la gestion Apple (APNs)

Avant d'enregistrer un appareil Apple, configurez la gestion Apple (APNs).

Choisissez une méthode d'inscription

Inscription manuelle (Profil d'inscription)

Cette méthode fournit une URL d'inscription et un fichier de profil de configuration (mobileconfig) que vous installez sur l'appareil. Consultez Inscription manuelle Apple.

Inscription automatique des appareils (ADE)

Cette méthode s'intègre à Apple Business Manager pour automatiser l'inscription des appareils appartenant à l'entreprise. Consultez l'inscription automatisée des appareils Apple (ADE).

Vous pouvez utiliser l'inscription manuelle et l'inscription automatisée des appareils Apple (ADE) en parallèle, en fonction de votre parc d'appareils et de votre processus d'achat.

Provisionnement des Appareils - Apple

Inscription Apple via manuel (profil d'inscription)

Cerberus Enterprise prend en charge l'inscription manuelle des appareils Apple à l'aide d'une URL d'inscription et d'un fichier de profil d'inscription.

L'inscription manuelle est disponible lorsque Apple Management (APNs) est configuré. Si vous n'avez pas encore effectué la configuration d'Apple Management (APNs), consultez la configuration d'Apple Management (APNs).

Obtenez l'URL d'inscription et le profil

Ouvrez la section Inscription dans le tableau de bord et sélectionnez l'onglet Inscription manuelle Apple (Profil d'inscription).
Copiez l'URL d'inscription indiquée, ou utilisez l'action "envoyer par e-mail".
Téléchargez le profil d'inscription (fichier mobileconfig).

Comment enregistrer un iPhone ou un iPad

iOS/iPadOS 15.0 et versions ultérieures

Envoyez le fichier de profil d'inscription (enroll.mobileconfig) à l'appareil, ou ouvrez l'URL d'inscription dans Safari sur l'appareil.
Sur l'appareil, ouvrez Paramètres → Profil téléchargé → Installer, puis suivez les instructions.
Après l'inscription, vous pouvez vérifier le statut dans Paramètres → Général → VPN et gestion des appareils (ou Profils et gestion des appareils).

Installez uniquement les profils d'inscription que vous avez obtenus depuis votre tableau de bord Cerberus Enterprise.

Provisionnement des Appareils - Apple

Apple Automated Device Enrollment (ADE)

L'inscription automatique des appareils (ADE) s'intègre à Apple Business Manager (ABM) pour inscrire automatiquement les appareils appartenant à l'entreprise lorsqu'ils sont allumés pour la première fois (ou après une réinitialisation aux paramètres d'usine).

L'inscription automatique des appareils (ADE) nécessite d'abord la configuration d'Apple Management (APNs). Si nécessaire, consultez Configuration d'Apple Management (APNs).

Comment inscrire automatiquement les appareils

Ajouter des appareils à votre compte Apple Business Manager.
Après avoir ajouté de nouveaux appareils à votre compte ABM, synchronisez-les dans Cerberus Enterprise depuis la section Appareils en utilisant l'action Synchroniser depuis ABM.
Créez un profil ADE dans le tableau de bord depuis Inscription → Inscription automatique des appareils Apple (ADE) → Nouveau profil ADE.
Attribuez un profil ADE à un appareil à partir de la page des détails de l'appareil en utilisant le champ Profil ADE.

Paramètres du profil ADE (aperçu)

Un profil ADE contrôle la manière dont l'appareil est enregistré et le comportement de l'assistant de configuration. Dans Cerberus Enterprise, un profil ADE comprend un nom, une politique initiale facultative et certaines options d'enregistrement.

Nom du profil

Un nom descriptif pour le profil (par exemple, Profil ADE par défaut).

Stratégie

La politique s'appliquait initialement aux appareils enregistrés. Vous pouvez attribuer une politique lors de la création d'un nouveau profil ADE.

Options d'inscription

MDM désactivable : contrôle si la configuration MDM peut être supprimée de l'appareil.
Autoriser l'appairage : contrôle si l'appairage est autorisé (déprécié par Apple dans iOS 13).
Configuration automatique : permet de faire avancer automatiquement l'assistant de configuration à travers ses différentes étapes.
Attendre la configuration de l'appareil : empêche l'assistant de configuration de se lancer tant que le serveur n'a pas indiqué que l'appareil est configuré.
Obligatoire : empêche de sauter l'étape d'application du profil pendant la configuration.
Mode multi-utilisateurs (iPad partagé) : configure l'appareil pour un usage partagé sur iPad.
Mode supervisé : permet de configurer la supervision de l'appareil.

Une fois qu'un profil ADE est attribué à un appareil, celui-ci est prêt à être automatiquement enregistré.

Aperçu des politiques

La section Politiques du tableau de bord (Tableau de bord → Politiques) répertorie toutes les politiques de votre compte et vous permet de les créer, de les copier, de les modifier et de les supprimer.

Liste des politiques

Les politiques sont affichées dans un tableau. Cliquer sur une ligne ouvre l'éditeur de politique correspondant.

Colonnes

Id : identifiant interne de la politique.
MDM : la plateforme pour la gestion des politiques (Android ou Apple).
Nom : nom de la politique.
Description : description de la politique.
Appareils : nombre d'appareils inscrits actuellement associés à la politique.

Filtres et recherche

Si la gestion Android et la gestion Apple sont toutes deux configurées, vous pouvez filtrer la liste par Tous, Android ou Apple.
Vous pouvez activer la recherche et effectuer une recherche par nom de politique ou description.

Actualiser et pagination

Utilisez l'action "Actualiser" pour recharger la liste.
Le tableau est paginé (10/25/50 éléments par page).

Créez une nouvelle politique

En bas de la page "Politiques", vous pouvez créer une nouvelle politique. Selon la plateforme configurée dans votre compte, vous pouvez voir une ou les deux actions suivantes :

Créer une nouvelle politique Android
Créer une nouvelle politique pour les appareils Apple

Si votre licence est expirée, la création de politiques (et d'autres actions d'écriture) est désactivée.

Copier et supprimer les politiques

Chaque ligne de politique possède un menu d'actions qui inclut Copier la politique et Supprimer la politique.

Supprimer les avertissements de politique

Lors de la suppression d'une politique, le tableau de bord peut afficher des avertissements supplémentaires en fonction de la manière dont la politique est utilisée.

Si la politique est attribuée à des appareils enregistrés, sa suppression désenregistrera les appareils associés et effacera leurs applications et leurs données.
Si la politique est attribuée aux jetons d'inscription, ceux-ci pourraient ne plus être en mesure de finaliser l'inscription.
Si la politique est définie par défaut pour l'inscription via Google Authentication (globalement ou pour certains utilisateurs), sa suppression peut entraîner des échecs d'inscription.

Supprimer plusieurs politiques

La liste des politiques prend en charge la sélection de plusieurs éléments pour la suppression en masse. En mode de sélection multiple, vous pouvez sélectionner plusieurs politiques et les supprimer en une seule action.

La suppression en masse n'est activée que lorsque toutes les politiques sélectionnées appartiennent à la même plateforme (toutes Android ou toutes Apple).

Suivant : modifier les paramètres de la politique

La liste des politiques est le point d'entrée. Pour configurer les paramètres de la politique, consultez la documentation de l'éditeur appropriée : Politiques → Android et Politiques → Apple.

Les politiques référencées par les jetons d'inscription sont appliquées automatiquement lors de l'inscription de l'appareil.

Politiques - Android

Résumé

Les politiques Android sont les éléments centraux du système : elles définissent les règles qui sont appliquées et mises en œuvre sur les appareils gérés.

Vous pouvez consulter vos politiques et en créer de nouvelles dans la section Politiques du tableau de bord. Pour ouvrir une politique Android, cliquez sur la ligne correspondante dans le tableau : le système ouvre la page Éditeur de politique.

Une politique peut être associée à un jeton d'inscription, ce qui permet de l'appliquer automatiquement aux appareils pendant le processus de configuration. Vous pouvez également modifier la politique attribuée à un appareil après sa configuration.

Chaque appareil ne peut être associé qu'à une seule politique à la fois.

De nombreuses options de politique ne s'appliquent qu'à certains types d'appareils (entièrement gérés, dédiés, profil professionnel) et versions d'Android. Les paramètres non pris en charge peuvent être ignorés par l'appareil ou signalés comme non conformes.

Mise en page de l'éditeur de politiques

L'éditeur de politiques est organisé en sections extensibles. En haut de la page, vous pouvez toujours modifier :

Nom (obligatoire)
Identifiant (lecture seule)
Description (facultative)

Les sections ci-dessous correspondent aux panneaux de l'éditeur de politiques (par exemple : gestion des applications, sécurité, réseau, système, utilisation personnelle, politiques multi-profils, etc.). Utilisez les pages de ce manuel pour comprendre chaque panneau en détail.

Enregistrer, supprimer et appareils associés

Utilisez Enregistrer la politique pour appliquer vos modifications. Le bouton est désactivé lorsqu'il n'y a pas de modifications en attente, ou lorsque la licence est expirée.

Si vous avez ouvert une politique existante (elle possède un identifiant), la page affiche une action "Supprimer la politique ainsi qu'une liste "Appareils associés en bas, afin que vous puissiez voir combien d'appareils utilisent actuellement cette politique.

Politiques - Android

Gestion des applications

Dans cette section, vous pouvez configurer les politiques relatives à la disponibilité des applications, à l'installation, aux mises à jour et à la gestion des autorisations.

Les comptes Google Play gérés sont créés automatiquement lors de l'inscription des appareils.

1. Mode Google Play

Ce mode contrôle les applications disponibles pour l'utilisateur dans le Google Play Store et le comportement de l'appareil lorsque des applications sont supprimées de la politique.

Liste blanche (par défaut): Seules les applications présentes dans la politique sont disponibles, et toute application non présente dans la politique sera automatiquement désinstallée de l'appareil. Le Google Play Store n'affichera que les applications disponibles.

Liste noire: Toutes les applications sont disponibles, et toute application qui ne doit pas être présente sur l'appareil doit être explicitement marquée comme bloquée dans la politique des applications. Le Play Store affichera toutes les applications, à l'exception de celles qui sont bloquées.

2. Stratégie concernant les applications non approuvées

La politique concernant les applications non approuvées (applications provenant de sources inconnues) appliquée à l'appareil. Cette option contrôle le paramètre du système Android qui détermine si un utilisateur peut installer des applications en dehors du Play Store (installation manuelle).

Interdire (par défaut) : Interdire l'installation d'applications non approuvées sur l'ensemble de l'appareil.

Profil personnel uniquement : Pour les appareils avec profils professionnels, autoriser l'installation d'applications non approuvées uniquement dans le profil personnel de l'appareil.

Autoriser : Autoriser l'installation d'applications non approuvées sur l'ensemble de l'appareil.

3. Google Play Protect

Que la vérification des applications Google Play Protect soit appliquée ou non.

Activé (par défaut) : Active la vérification des applications.

Choix de l'utilisateur : Permet à l'utilisateur de choisir si la vérification des applications doit être activée.

4. Stratégie de permissions par défaut

La stratégie pour accorder les demandes d'autorisations en cours d'exécution aux applications.

Demande (par défaut): Demander à l'utilisateur d'accorder une autorisation.

Autoriser : Accorder automatiquement une autorisation.

Refuser : Refuser automatiquement une autorisation.

5. Fonctions de l'application

Permet de contrôler si les applications installées sur les appareils entièrement gérés ou dans les profils professionnels peuvent exposer leurs fonctionnalités. Nécessite Android 16 ou version ultérieure.

Autorisé (par défaut) : Les applications installées sur les appareils entièrement gérés ou dans les profils professionnels peuvent exposer leurs fonctionnalités.

Non autorisé : Les applications installées sur les appareils entièrement gérés ou dans les profils professionnels ne peuvent pas exposer leurs fonctionnalités.

6. Installation des applications désactivée

Indique si l'installation d'applications par l'utilisateur est désactivée.

7. Désactivation de la désinstallation des applications

La désinstallation des applications par l'utilisateur est-elle désactivée ?

8. Politiques de permissions

Attribution de permissions explicites, ou octroi/refus de permissions par groupe, pour toutes les applications. Ces valeurs remplacent le paramètre Politique de permissions par défaut.

Utilisez Ajouter une politique de permissions pour créer des entrées et les supprimer avec l'action de suppression.

Chaque entrée comprend :

Autorisation/groupe Android : L'autorisation ou le groupe Android (obligatoire), par exemple android.permission.READ_CALENDAR ou android.permission_group.CALENDAR.

Politique : Autoriser / Refuser / Demander (utilise les mêmes options de politique que la politique de permissions par défaut).

9. Applications

Liste des applications qui doivent être incluses dans la politique. Le comportement du contenu de cette liste dépend de la valeur définie pour le mode Google Play.

Si le mode Play Store est configuré en mode liste blanche, seules les applications figurant dans la politique sont disponibles, et toute application non présente dans la politique sera automatiquement désinstallée de l'appareil.

Si le mode Play Store est configuré en mode liste noire, toutes les applications sont disponibles, et toute application qui ne devrait pas être présente sur l'appareil doit être explicitement marquée comme bloquée dans la politique des applications.

Pour ajouter une nouvelle application, cliquez sur le bouton "Ajouter des applications" (ou l'icône "Ajouter des applications"), puis sélectionnez l'application depuis le Play Store et cliquez sur le bouton "Sélectionner" dans la fiche de l'application.

Toutes les applications disponibles sur le Play Store dans votre pays sont sélectionnables par défaut. Pour sélectionner vos propres applications privées ou web, vous devez d'abord les importer dans le système. Pour plus d'informations, consultez la page Applications privées.

Chaque application peut être configurée avec ses propres paramètres, qui sont regroupés visuellement dans une carte :

9.1. Type d'installation

Le type d'installation à effectuer pour une application.

Disponible : L'application est disponible pour l'installation.

Préinstallé : L'application est installée automatiquement et peut être supprimée par l'utilisateur.

Installé de force : L'application est installée automatiquement et ne peut pas être supprimée par l'utilisateur.

Bloquée : L'application est bloquée et ne peut pas être installée. Si l'application était installée via une politique précédente, elle sera désinstallée.

Nécessaire pour la configuration : L'application est installée automatiquement et ne peut pas être supprimée par l'utilisateur. Elle empêchera la finalisation de la configuration jusqu'à ce que l'installation soit terminée.

Mode kiosque : L'application est installée automatiquement en mode kiosque. Elle est définie comme l'intention d'accueil par défaut et est autorisée pour le mode de verrouillage. La configuration de l'appareil ne sera pas finalisée tant que l'application n'est pas installée. Une fois installée, les utilisateurs ne pourront pas désinstaller l'application. Vous ne pouvez définir ce type d'installation que pour une seule application par politique. Lorsque cette option est présente dans la politique, la barre de statut est automatiquement désactivée. Pour plus d'informations, veuillez consulter la page dédiée Mode kiosque.

9.2. Contraintes d'installation

Définit un ensemble de restrictions pour l'installation de l'application. Lorsque plusieurs contraintes sont sélectionnées, toutes doivent être satisfaites pour que l'application puisse être installée.

Cette option est affichée uniquement lorsque le type d'installation est préinstallé ou installé de force.

Réseau non limité : Installez l'application uniquement lorsque l'appareil est connecté à un réseau non limité (par exemple, Wi‑Fi).

Chargement : Installez l'application uniquement lorsque l'appareil est en cours de chargement.

En veille : Installez l'application uniquement lorsque l'appareil est en mode veille.

9.3. Mode de mise à jour automatique

Contrôle le mode de mise à jour automatique de l'application.

Par défaut : L'application est automatiquement mise à jour avec une faible priorité afin de minimiser l'impact sur l'utilisateur. L'application est mise à jour lorsque toutes les conditions suivantes sont remplies : (1) l'appareil n'est pas activement utilisé, (2) l'appareil est connecté à un réseau non facturé, (3) l'appareil est en charge. L'utilisateur est informé d'une nouvelle mise à jour dans les 24 heures suivant sa publication par le développeur, après quoi l'application est mise à jour la prochaine fois que les conditions ci-dessus sont remplies.

Reporté : L'application n'est pas mise à jour automatiquement pendant un maximum de 90 jours après qu'elle soit devenue obsolète. 90 jours après qu'elle soit redevenue obsolète, la dernière version disponible est installée automatiquement avec une priorité faible (voir le mode de mise à jour automatique par défaut). Une fois l'application mise à jour, elle ne sera pas automatiquement mise à jour à nouveau avant 90 jours après qu'elle soit redevenue obsolète. L'utilisateur peut toujours mettre à jour manuellement l'application depuis le Play Store à tout moment.

Priorité élevée : L'application est mise à jour dès que possible. Aucune contrainte n'est appliquée. L'appareil est immédiatement notifié de la disponibilité d'une nouvelle mise à jour.

9.4. Version minimale requise

La version minimale de l'application qui peut fonctionner sur l'appareil. Si cette valeur est définie, l'appareil tente de mettre à jour l'application vers au moins cette version. Si l'application n'est pas à jour, l'appareil affichera un détail de non-conformité avec une raison de non-conformité définie sur APP_NOT_UPDATED. L'application doit déjà être publiée sur Google Play avec un code de version supérieur ou égal à cette valeur. Au maximum, 20 applications peuvent spécifier un code de version minimale par politique.

9.5. Portées déléguées

Les autorisations déléguées à l'application depuis la politique de l'appareil Android. Vous pouvez accorder à d'autres applications une sélection de permissions Android spéciales :

Installation des certificats : Permet d'accéder à l'installation et à la gestion des certificats.

Configurations gérées : Permet d'accéder à la gestion des configurations gérées.

Bloquer la désinstallation : Permet d'accéder à la fonctionnalité de blocage de la désinstallation.

Autorisations : Accorde l'accès à la politique des autorisations et à l'état d'octroi des autorisations.

Accès aux applications : Accorde l'accès à l'état d'accès aux applications.

Application système : Autorise l'activation des applications système.

9.6. Réseau privilégié

Le réseau privilégié à utiliser pour cette application. Si ce paramètre est défini, l'application utilisera le segment de réseau d'entreprise spécifié pour ses connexions, lorsque cela est possible. Il doit correspondre à un segment de réseau configuré dans la section Configuration du découpage de réseau 5G du panneau Cellulaire.

9.7. Stratégie de permissions par défaut

La stratégie par défaut pour toutes les autorisations demandées par l'application. Si spécifiée, elle remplace la stratégie de niveau Stratégie d'autorisation par défaut qui s'applique à toutes les applications. Elle ne remplace pas les Stratégies d'autorisation qui s'appliquent à toutes les applications.

Demande (par défaut): Demander à l'utilisateur d'accorder une autorisation.

Autoriser : Accorder automatiquement une autorisation.

Refuser : Refuser automatiquement une autorisation.

9.8. Travail connecté et applications personnelles

Contrôle si l'application peut communiquer avec elle-même entre les profils professionnel et personnel d'un appareil, sous réserve du consentement de l'utilisateur (Android 11 et versions ultérieures).

Non autorisé (par défaut) : Empêche l'application de communiquer entre les profils.

Autorisé : Permet à l'application de communiquer entre les profils après avoir obtenu le consentement de l'utilisateur.

9.9. Exemption du verrouillage VPN "Always On"

Indique si l'application est autorisée à utiliser le réseau lorsque le VPN n'est pas connecté et que le mode verrouillage est activé. Cette fonctionnalité est prise en charge uniquement sur les appareils exécutant Android 10 et versions ultérieures.

Activé (par défaut) : L'application respecte le paramètre de verrouillage VPN permanent.

Exclu : L'application ne prend pas en compte le paramètre de verrouillage VPN permanent.

9.10. Widgets du profil de travail

Indique si l'application installée dans le profil de travail est autorisée à ajouter des widgets à l'écran d'accueil.

Autorisé : L'application peut ajouter des widgets à l'écran d'accueil.

Non autorisé : L'application ne peut pas ajouter de widgets à l'écran d'accueil.

9.11. Paramètres de contrôle utilisateur

Indique si le contrôle utilisateur est autorisé pour une application donnée. Le contrôle utilisateur comprend les actions de l'utilisateur, telles que la force-arrêt et la suppression des données de l'application (Android 11 et versions ultérieures). Si extensionConfig est activé pour une application, le contrôle utilisateur est désactivé, quel que soit ce paramètre. Pour les applications en mode kiosk, vous pouvez utiliser Autorisé pour autoriser le contrôle utilisateur.

Non spécifié : Utilise le comportement par défaut de l'application pour déterminer si le contrôle utilisateur est autorisé ou non.

Autorisé : Le contrôle utilisateur est autorisé pour cette application.

Non autorisé : Le contrôle utilisateur n'est pas autorisé pour cette application.

9.12. Désactivé

L'application est-elle désactivée ? Lorsque l'application est désactivée, ses données sont toujours conservées.

9.13. Autoriser le fournisseur d'identifiants

L'application est-elle autorisée à agir en tant que fournisseur d'identifiants sur Android 14 et versions ultérieures ?

9.14. Configuration gérée

Pour configurer les paramètres gérés de l'application, cliquez sur le bouton Activer la configuration gérée. Si une configuration gérée est déjà définie pour l'application, vous pouvez modifier la configuration avec le bouton Configuration gérée, ou la supprimer avec le bouton Supprimer la configuration.

La configuration gérée est disponible uniquement pour les applications qui prennent en charge cette fonctionnalité.

9.15. Politiques de permissions

Attribution explicite des autorisations ou refus pour l'application. Ces valeurs remplacent la politique de permissions par défaut et les politiques de permissions qui s'appliquent à toutes les applications.

Utilisez la politique d'ajout des permissions pour ajouter une ou plusieurs règles de permissions à la carte de l'application et pour les supprimer, utilisez l'action "supprimer".

9.16. Identifiants de suivi

Liste des identifiants de test fermé de l'application auxquels un appareil peut accéder. Si plusieurs identifiants de test sont sélectionnés, les appareils reçoivent la dernière version parmi tous les tests accessibles. S'aucun identifiant de test n'est sélectionné, les appareils n'ont accès qu'à la version de production de l'application.

L'option "Identifiants de test" est disponible uniquement pour les applications qui disposent d'au moins un identifiant de test pour votre organisation. Pour plus de détails sur la façon d'ajouter votre organisation à un programme de test fermé pour une application spécifique, veuillez lire ici.

10. Paramètres d'application par défaut

Définir les applications par défaut pour les types pris en charge. Lorsqu'une application par défaut est définie pour au moins un type, les utilisateurs ne peuvent pas modifier les applications par défaut dans ce profil.

Une seule application par défaut est autorisée par type d'application par défaut. La liste des applications par défaut ne doit pas contenir de doublons.

10.1. Type d'application par défaut

Sélectionnez la catégorie d'application à configurer (par exemple, Navigateur, Téléphone, SMS, Portefeuille ou Assistant). La disponibilité dépend de la version d'Android et du mode de gestion.

10.2. Portées d'application par défaut

Sélectionnez où appliquer l'application par défaut (entièrement gérée, profil professionnel ou profil personnel). Seules les portées prises en charge par le type sélectionné peuvent être choisies.

Si aucune des portées sélectionnées ne s'applique au mode de gestion de l'appareil, l'appareil signale un détail de non-conformité.

10.3. Applications par défaut

Liste des applications pouvant être définies par défaut pour le type sélectionné. La première application installée et éligible est définie par défaut.

Si les étendues incluent entièrement gérées ou profil de travail, chaque application doit également exister dans la liste Applications avec le type d’installation non défini sur bloqué.

11. Sélection de la clé privée

Permet d'afficher une interface utilisateur sur un appareil pour qu'un utilisateur puisse choisir un alias de clé privée s'il n'existe aucune règle correspondante dans Règles de sélection de la clé privée.

Pour les appareils utilisant une version d'Android antérieure à P, l'activation de cette option peut rendre les clés d'entreprise vulnérables.

12. Choisissez les règles relatives à la clé privée

Contrôle l'accès des applications aux clés privées. Cette règle détermine quelle clé privée, le cas échéant, la politique d'appareil Android accorde à l'application spécifiée. L'accès est accordé soit lorsque l'application appelle KeyChain.choosePrivateKeyAlias (ou l'une de ses variantes) pour demander un alias de clé privée pour une URL donnée, soit pour les règles qui ne sont pas spécifiques à une URL (c'est-à-dire si urlPattern n'est pas défini, ou est défini sur une chaîne vide ou sur ".*") sur Android 11 et versions ultérieures, directement, afin que l'application puisse appeler KeyChain.getPrivateKey, sans avoir à appeler KeyChain.choosePrivateKeyAlias au préalable. Lorsqu'une application appelle KeyChain.choosePrivateKeyAlias et que plusieurs règles choosePrivateKeyRules correspondent, la dernière règle correspondante définit quel alias de clé à renvoyer.

Utilisez la règle de clé privée pour créer des entrées et les supprimer à l'aide de l'action de suppression.

12.1. Alias de la clé privée

L'alias de la clé privée à utiliser.

12.2. Modèle d'URL

Le modèle d'URL à utiliser pour comparer à l'URL de la requête. S'il n'est pas défini ou est vide, toutes les URL sont acceptées. Il utilise la syntaxe d'expressions régulières de java.util.regex.Pattern.

12.3. Noms des packages

Les noms de packages auxquels cette règle s'applique. Le hachage du certificat de signature de chaque application est vérifié par rapport au hachage fourni par Play. Si aucun nom de package n'est spécifié, l'alias est fourni à toutes les applications qui appellent KeyChain.choosePrivateKeyAlias ou l'une de ses variantes (mais uniquement après avoir appelé KeyChain.choosePrivateKeyAlias, même sur Android 11 et versions ultérieures). Toute application ayant le même UID Android qu'un package spécifié ici aura accès lorsqu'elle appelle KeyChain.choosePrivateKeyAlias.

Utilisez Ajouter le nom du package pour ajouter des éléments et les supprimer avec l'action de suppression.

Pour supprimer une application, cliquez sur l'icône de la corbeille située en bas de la carte de l'application.

Politiques - Android

Mode kiosque

Avec le mode kiosque, vous pouvez limiter les fonctionnalités d'un appareil à une seule application ou à plusieurs applications. Le choix entre le mode kiosque à une seule application et le mode kiosque à plusieurs applications dépend de vos objectifs commerciaux.

En mode borne interactive monopropriétaire, un appareil est configuré pour une seule application et n'autorise pas les utilisateurs finaux à accéder à d'autres applications sur l'appareil. Ils ne peuvent pas non plus quitter l'application, ce qui en fait un appareil dédié à cette application spécifique. Pour activer ce mode, spécifiez une application dans la section Gestion des applications et définissez le type d'installation sur borne interactive.

En mode kiosque multi-applications, les appareils peuvent accéder à plusieurs applications. Les utilisateurs finaux peuvent naviguer entre différentes applications grâce à un lanceur personnalisé. Pour activer ce mode, activez l'option lanceur kiosque personnalisé.

Lorsque le mode kiosque est activé, vous pouvez également configurer si les utilisateurs finaux peuvent accéder à certaines fonctionnalités du système, telles que les paramètres système et la barre d'état.

Lanceur personnalisé pour le mode kiosque

Indique si le lanceur personnalisé pour le mode kiosque est activé. Cela remplace l'écran d'accueil par un lanceur qui verrouille l'appareil aux applications installées via le Gestion des applications. Les applications apparaissent sur une seule page, par ordre alphabétique.

Actions du bouton d'alimentation

Définit le comportement d'un appareil en mode kiosque lorsque l'utilisateur appuie longuement sur le bouton d'alimentation.

Disponible (par défaut) : Le menu d’alimentation (par exemple, Éteindre, Redémarrer) s’affiche lorsque l’utilisateur appuie longuement sur le bouton d’alimentation d’un appareil en mode kiosque.

Bloqué : Le menu d’alimentation (par exemple, Éteindre, Redémarrer) n’est pas affiché lorsque l’utilisateur appuie longuement sur le bouton d’alimentation d’un appareil en mode kiosque. Note : cela peut empêcher les utilisateurs d’éteindre l’appareil.

Avertissements d'erreurs système

Spécifie si les boîtes de dialogue d'erreurs système pour les applications qui se bloquent ou ne répondent pas sont bloquées en mode kiosque. Lorsqu'elles sont bloquées, le système force la fermeture de l'application, comme si l'utilisateur choisissait l'option "fermer l'application" dans l'interface utilisateur.

Bloqué (par défaut) : Tous les dialogues d'erreur système, tels que les plantages et les applications qui ne répondent pas (ANR), sont bloqués. Lorsqu'ils sont bloqués, le système force la fermeture de l'application, comme si l'utilisateur choisissait de la fermer via l'interface utilisateur.

Activé : Tous les dialogues d'erreur système, tels que les plantages et les applications qui ne répondent pas (ANR), sont affichés.

Spécifie quelles fonctionnalités de navigation sont activées (par exemple, les boutons Accueil et Aperçu) en mode kiosque.

Désactivé (par défaut) : Les boutons Accueil et Aperçu ne sont pas accessibles.

Accueil uniquement : Seul le bouton Accueil est activé.

Activés : Les boutons Accueil et Aperçu sont activés.

Barre d'état

Indique si les informations système et les notifications sont désactivés en mode kiosque.

Désactivé (par défaut) : Les informations système et les notifications sont désactivés en mode kiosque.

Informations système uniquement : Seules les informations système sont affichées dans la barre d'état.

Activé : Les informations système et les notifications s'affichent dans la barre d'état en mode kiosque. Remarque : Pour que cette stratégie prenne effet, le bouton d'accueil de l'appareil doit être activé via kioskCustomization.systemNavigation.

Paramètres de l'appareil

Indique si l'application Paramètres est autorisée en mode kiosque.

Autorisé (par défaut) : L'accès à l'application Paramètres est autorisé en mode kiosque.

Bloqué : L'accès à l'application Paramètres n'est pas autorisé en mode kiosque.

Politiques - Android

Sécurité

Dans cette section, vous pouvez configurer les politiques relatives à la sécurité.

Actions liées aux risques de sécurité

Choisissez ce qu'il faut faire lorsqu'un appareil signale un risque de sécurité dans les rapports d'état.

Types de risques de sécurité pris en charge :

Système d'exploitation inconnu : L'API Play Integrity détecte que l'appareil exécute un système d'exploitation inconnu (le test basicIntegrity réussit, mais ctsProfileMatch échoue).

Système d'exploitation compromis : L'API Play Integrity détecte que l'appareil exécute un système d'exploitation compromis (le test basicIntegrity échoue).

L'évaluation basée sur le matériel a échoué : L'API Play Integrity détecte que l'appareil ne dispose pas d'une garantie forte de l'intégrité du système, si l'étiquette MEETS_STRONG_INTEGRITY n'apparaît pas dans le champ de l'intégrité de l'appareil.

Actions disponibles :

Effacer les données de l'entreprise (par défaut) : Désinscrire et effacer les données professionnelles (tout l'appareil si entièrement géré, ou uniquement le profil professionnel pour les appareils gérés par profil).

Aucune action : Ne pas désinscrire l'appareil et ne rien modifier automatiquement.

Lorsque vous sélectionnez Effacer les données professionnelles, vous pouvez également configurer les options d'effacement :

Conserver la protection de réinitialisation d'usine : Conservez les données de protection de réinitialisation d'usine (FRP) lors de l'effacement de l'appareil.

Effacer le stockage externe : Effacez également le stockage externe de l'appareil (comme les cartes SD) lors de l'effacement.

Effacer les eSIM : Pour les appareils appartenant à l'entreprise, cette option supprime toutes les eSIM de l'appareil lors de l'effacement. Pour les appareils personnels, cette option supprime les eSIM gérées (les eSIM ajoutées via la commande ADD_ESIM) sur les appareils, et aucune eSIM personnelle ne sera supprimée.

1. Durée maximale de verrouillage

Durée maximale (en secondes) d'inactivité de l'utilisateur avant le verrouillage de l'appareil. Une valeur de 0 signifie qu'il n'y a aucune restriction.

2. Rester activé pendant la charge

Les modes de charge pour lesquels l'appareil reste allumé. Lorsque vous utilisez ce paramètre, il est recommandé de désactiver le verrouillage automatique afin que l'appareil ne se verrouille pas pendant qu'il est allumé.

Chargeur secteur : La source d'alimentation est un chargeur secteur.

Port USB : La source d'alimentation est un port USB.

Chargeur sans fil : La source d'alimentation est sans fil.

3. Verrouillage d'écran désactivé

Si cette option est activée, elle désactive l'écran de verrouillage pour les écrans principaux et/ou secondaires. Cette stratégie est prise en charge uniquement en mode de gestion d'appareils dédié.

4. Exigences de mot de passe

Politiques de complexité des mots de passe.

Utilisez Configurer les exigences de mot de passe pour ajouter un ou plusieurs blocs d'exigences de mot de passe. Utilisez Effacer tout pour supprimer toutes les exigences de mot de passe configurées.

Les exigences de mot de passe peuvent utiliser la portée automatique (une seule exigence) ou des portées distinctes appareil/profil professionnel. Les exigences basées sur la complexité doivent être combinées avec des exigences basées sur la qualité pour la même portée.

4.1. Portée

La portée à laquelle s'applique l'exigence de mot de passe.

Automatique : La portée n'est pas spécifiée. Les exigences de mot de passe s'appliquent au profil de travail pour les appareils avec profil de travail, et à l'ensemble de l'appareil pour les appareils entièrement gérés ou dédiés.

Appareil : Les exigences de mot de passe s'appliquent uniquement à l'appareil.

Profil professionnel : Les exigences de mot de passe s'appliquent uniquement au profil professionnel.

4.2. Longueur de l'historique des mots de passe

Longueur de l'historique des mots de passe. Une fois cette valeur définie, l'utilisateur ne pourra pas utiliser un nouveau mot de passe identique à un mot de passe présent dans l'historique. Une valeur de 0 signifie qu'il n'y a aucune restriction.

4.3. Nombre maximum de tentatives de mot de passe échouées avant suppression

Nombre maximal de mots de passe incorrects pour le déverrouillage de l'appareil avant effacement. Une valeur de 0 signifie qu'il n'y a aucune restriction.

4.4. Délai d'expiration du mot de passe (en jours)

Ce paramètre oblige l'utilisateur à modifier régulièrement son mot de passe, après le nombre de jours spécifié.

4.5. Nécessite un déverrouillage par mot de passe

La durée après le déverrouillage d'un appareil ou d'un profil professionnel à l'aide d'une méthode d'authentification forte (mot de passe, code PIN, schéma) pendant laquelle il peut être déverrouillé à l'aide de toute autre méthode d'authentification (par exemple, empreinte digitale, agents de confiance, reconnaissance faciale). Une fois la période spécifiée écoulée, seules les méthodes d'authentification fortes peuvent être utilisées pour déverrouiller l'appareil ou le profil professionnel.

Paramètres par défaut de l’appareil : La période d’attente est définie sur les paramètres par défaut de l’appareil.

Chaque jour : La période de délai d'attente est définie sur 24 heures.

4.6. Qualité du mot de passe

La qualité du mot de passe requise.

Complexité élevée: Définissez la plage de complexité élevée des mots de passe comme suit : Sur Android 12 et versions ultérieures : code PIN sans répétitions (4444) ni séquences ordonnées (1234, 4321, 2468), longueur minimale de 8 caractères ; alphabétique, longueur minimale de 6 caractères ; alphanumérique, longueur minimale de 6 caractères.

Complexité moyenne : Définissez la plage de complexité moyenne des mots de passe comme suit : code PIN sans répétitions (4444) ni séquences ordonnées (1234, 4321, 2468), longueur minimale de 4 caractères ; alphabétique, longueur minimale de 4 caractères ; alphanumérique, longueur minimale de 4 caractères.

Faible complexité: Définissez la plage de faible complexité des mots de passe comme suit : motif ; code PIN avec répétitions (4444) ou séquences ordonnées (1234, 4321, 2468).

Aucun : Aucune exigence de mot de passe n'est définie.

Faible: L'appareil doit être sécurisé avec une technologie de reconnaissance biométrique de faible sécurité, au minimum. Cela inclut les technologies capables de reconnaître l'identité d'une personne, et qui sont approximativement équivalentes à un code PIN à 3 chiffres (le taux de fausses détections est inférieur à 1 sur 1 000).

N'importe quel: Un mot de passe est requis, mais il n'y a aucune restriction quant au contenu du mot de passe.

Chiffres : Le mot de passe doit contenir des caractères numériques.

Chiffres complexes : Le mot de passe doit contenir des caractères numériques sans séquences répétées (par exemple, 4444) ou ordonnées (par exemple, 1234, 4321, 2468).

Alphabétiques : Le mot de passe doit contenir des caractères alphabétiques (ou des symboles).

Alphanumériques : Le mot de passe doit contenir à la fois des chiffres et des caractères alphabétiques (ou des symboles).

Complexe : Le mot de passe doit répondre aux exigences minimales spécifiées dans passwordMinimumLength, passwordMinimumLetters, passwordMinimumSymbols, etc. Par exemple, si passwordMinimumSymbols est égal à 2, le mot de passe doit contenir au moins deux symboles.

4.7. Longueur minimale

La longueur minimale autorisée pour le mot de passe. Une valeur de 0 signifie qu'il n'y a aucune restriction.

4.8. Minimum de lettres

Nombre minimum de caractères requis pour le mot de passe.

4.9. Minimum de lettres minuscules

Minimum de lettres minuscules requises dans le mot de passe.

4.10. Minimum de lettres majuscules

Nombre minimum de lettres majuscules requis dans le mot de passe.

4.11. Nombre minimum de caractères non alphabétiques requis

Nombre minimum de caractères non alphabétiques (chiffres ou symboles) requis dans le mot de passe.

4.12. Nombre minimum de chiffres

Nombre minimum de chiffres requis dans le mot de passe.

4.13. Nombre minimum de symboles

Nombre minimum de symboles requis dans le mot de passe.

4.14. Verrouillage unifié

Activez ou désactivez le verrouillage unifié pour l'appareil et le profil professionnel, sur les appareils Android 9 et versions ultérieures disposant d'un profil professionnel. Cette option n'a aucun effet sur les autres appareils.

Autoriser le verrouillage unifié : Permet d'utiliser un même verrouillage pour l'appareil et le profil professionnel.

Exiger un verrouillage distinct pour le profil professionnel : Un verrouillage distinct est requis pour le profil professionnel.

5. Réinitialisation aux paramètres d'usine désactivée

La possibilité de réinitialiser aux paramètres d'usine depuis les paramètres est désactivée. Ceci ne s'applique qu'aux appareils entièrement gérés.

6. Protection contre la réinitialisation aux paramètres d'usine

Adresses e-mail des administrateurs de l'appareil pour la protection contre la réinitialisation aux paramètres d'usine. Lorsqu'un appareil subit une réinitialisation aux paramètres d'usine non autorisée, l'un de ces administrateurs devra se connecter avec l'adresse e-mail et le mot de passe du compte Google pour déverrouiller l'appareil. Si aucun administrateur n'est spécifié, l'appareil ne bénéficiera pas de la protection contre la réinitialisation aux paramètres d'usine. S'applique uniquement aux appareils entièrement gérés.

Adresses e-mail des administrateurs : utilisez Activer la protection contre la réinitialisation d'usine pour commencer à configurer les administrateurs. Ensuite, utilisez Ajouter une adresse e-mail d'administrateur pour ajouter des adresses et les supprimer avec l'action de suppression.

7. Fonctionnalités de Keyguard

Fonctionnalités de l'écran de verrouillage (Keyguard) qui peuvent être désactivées.

7.1. Désactiver tout

Désactiver toutes les personnalisations actuelles et futures de l'écran de verrouillage.

7.2. Désactiver la caméra

Désactiver la caméra sur les écrans de verrouillage sécurisés (par exemple, code PIN).

7.3. Désactiver les notifications

Désactiver l'affichage de toutes les notifications sur les écrans de verrouillage sécurisés.

7.4. Désactiver les notifications sans censure

Désactiver les notifications non censurées sur les écrans de verrouillage sécurisés.

7.5. Ignorer l'état de l'agent de confiance

Ignorer l'état de l'agent de confiance sur les écrans de verrouillage sécurisés.

7.6. Désactiver l'empreinte digitale

Désactiver le capteur d'empreintes digitales sur les écrans de verrouillage sécurisés.

7.7. Désactiver la saisie de texte dans les notifications

Désactiver la saisie de texte dans les notifications sur les écrans de verrouillage sécurisés.

7.8. Désactiver l'authentification par reconnaissance faciale

Désactiver l'authentification par reconnaissance faciale sur les écrans de verrouillage sécurisés.

7.9. Désactiver l'authentification par reconnaissance de l'iris

Désactiver l'authentification par reconnaissance de l'iris sur les écrans de verrouillage sécurisés.

7.10. Désactiver toutes les méthodes d'authentification biométrique

Désactiver toutes les méthodes d'authentification biométrique sur les écrans de verrouillage sécurisés.

7.11. Désactiver tous les raccourcis

Désactiver tous les raccourcis sur l'écran de verrouillage sécurisé pour Android 14 et versions ultérieures.

Politiques - Android

Multimédia

Dans cette section, vous pouvez configurer le comportement de l'appareil photo/du microphone, l'accès aux données USB, l'impression et les restrictions relatives à l'affichage.

1. Accès à l'appareil photo

Contrôle l'utilisation de l'appareil photo et permet à l'utilisateur d'activer ou de désactiver l'accès à l'appareil photo (Android 12+). En général, la désactivation de l'appareil photo s'applique à l'ensemble de l'appareil sur les appareils entièrement gérés, et uniquement dans le profil professionnel sur les appareils avec profil professionnel.

Choix de l'utilisateur (par défaut) : Comportement par défaut de l'appareil. Les caméras sont accessibles, et (Android 12+) l'utilisateur peut activer ou désactiver l'accès à la caméra.

Désactivé : Toutes les caméras sont désactivées (mode entièrement géré : à l'échelle de l'appareil ; profil professionnel : uniquement pour les applications du profil professionnel). Le commutateur d'accès à la caméra n'a aucun effet dans le contexte géré.

Autorisé : Les caméras sont accessibles. Sur les appareils entièrement gérés exécutant Android 12 ou supérieur, l'utilisateur ne peut pas activer ou désactiver l'accès à la caméra. Sur les autres appareils/versions, le comportement est similaire au choix de l'utilisateur.

2. Accès au microphone

Sur les appareils entièrement gérés, contrôle l'utilisation du microphone et indique si l'utilisateur peut activer ou désactiver l'accès au microphone (Android 12 et versions ultérieures). Ce paramètre n'a aucun effet sur les appareils qui ne sont pas entièrement gérés.

Choix utilisateur (par défaut) : Comportement par défaut. Le microphone est accessible et (Android 12+) l'utilisateur peut activer ou désactiver l'accès au microphone.

Désactivé : Le microphone est désactivé (au niveau de l'appareil). Le commutateur d'accès au microphone n'a aucun effet.

Appliquée : Le microphone est accessible. Sur Android 12 et versions ultérieures, l'utilisateur ne peut pas activer ou désactiver l'accès au microphone. Sur Android 11 et versions antérieures, le comportement est identique à celui d'un choix de l'utilisateur.

3. Accès aux données via USB

Contrôle les fichiers et/ou les données qui peuvent être transférés via USB. Disponible uniquement sur les appareils appartenant à l'entreprise.

Interdire le transfert de fichiers (par défaut) : Le transfert de fichiers est désactivé, mais d'autres connexions USB (par exemple, souris/clavier) restent autorisées.

Interdire le transfert de données : Tous les types de transferts de données USB sont interdits (Android 12+ avec USB HAL 1.3+). Si cette fonctionnalité n'est pas prise en charge, l'appareil revient à l'option "Interdire le transfert de fichiers".

Autoriser le transfert de données : Tous les types de transferts de données USB sont autorisés.

4. Impression

Contrôle si l'impression est autorisée (Android 9+).

Autorisé (par défaut): L'impression est autorisée.

Non autorisé: L'impression n'est pas autorisée (Android 9 et versions ultérieures).

5. Paramètres de luminosité de l'écran

Contrôle le mode de luminosité de l'écran et (facultativement) la valeur de luminosité.

Mode de luminosité de l'écran :

Choix utilisateur (par défaut): L'utilisateur peut configurer la luminosité de l'écran.

Automatique : La luminosité est réglée automatiquement et l'utilisateur ne peut pas la modifier. Vous pouvez toujours définir une valeur de luminosité, qui est utilisée dans le cadre du réglage automatique (Android 9+ avec gestion complète ; profils professionnels sur les appareils Android 15+ appartenant à l'entreprise).

Fixe : La luminosité est réglée sur la valeur configurée et l'utilisateur ne peut pas la modifier. La valeur de luminosité est obligatoire (Android 9+ avec gestion complète ; profils professionnels sur les appareils Android 15+ appartenant à l'entreprise).

Luminosité de l'écran : la valeur est fixée et ne peut être modifiée par l'utilisateur. La valeur de luminosité est obligatoire (Android 9+ avec gestion complète ; profils professionnels sur les appareils Android 15+ appartenant à l'entreprise)

Valeur comprise entre 1 et 255 (1 = minimum, 255 = maximum). Une valeur de 0 indique qu'aucune luminosité n'est définie.

6. Paramètres du délai d'inactivité de l'écran

Contrôle si l'utilisateur peut configurer le délai d'inactivité de l'écran et, si cette option est imposée, la valeur du délai.

Le champ Mode de délai d'inactivité de l'écran permet de choisir entre un comportement contrôlé par l'utilisateur et un comportement imposé.

Choix de l'utilisateur (par défaut) : L'utilisateur peut configurer le délai d'inactivité de l'écran.

Imposé : Le délai d'inactivité de l'écran est défini sur la valeur configurée et l'utilisateur ne peut pas le modifier (Android 9+ avec gestion complète ; profils professionnels sur les appareils Android 15+ appartenant à l'entreprise).

Temps d'attente avant extinction de l'écran : la valeur est définie par configuration et ne peut pas être modifiée par l'utilisateur (Android 9+ avec gestion complète ; profils professionnels sur les appareils Android 15+ appartenant à l'entreprise)

Durée du délai en secondes. La valeur doit être supérieure à 0. Si elle est supérieure à durée maximale de verrouillage, le système peut la limiter et signaler une non-conformité.

7. La capture d'écran est désactivée

La capture d'écran est-elle désactivée ?

8. Ajustement du volume désactivé

Que l'ajustement du volume principal soit désactivé.

9. Montage des supports physiques désactivé

Le montage des supports externes physiques est-il désactivé ?

Politiques - Android

Cellulaire

Dans cette section, vous pouvez configurer les politiques relatives à la connectivité cellulaire.

Mode avion

Permet de contrôler si l'utilisateur peut activer ou désactiver le mode avion.

Choix utilisateur (par défaut) : L'utilisateur peut activer ou désactiver le mode avion.

Désactivé : Le mode avion est désactivé. L'utilisateur ne peut pas activer ou désactiver le mode avion. Compatible avec Android 9 et versions ultérieures.

2. Cellulaire 2G

Permet de contrôler si l'utilisateur peut activer ou désactiver le paramètre cellulaire 2G.

Choix utilisateur (par défaut): L'utilisateur peut activer ou désactiver la connexion cellulaire 2G.

Désactivé : La connexion cellulaire 2G est désactivée. L'utilisateur ne peut pas activer la connexion cellulaire 2G via les paramètres. Disponible sur Android 14 et versions ultérieures.

3. Ignorer les APNs

Activez ou désactivez l'utilisation des APNs personnalisés. Lorsque cette option est activée, seuls les APNs personnalisés configurés sont utilisés, et tous les autres APNs sur l'appareil sont ignorés.

Désactivé (par défaut) : Tous les paramètres APN configurés sont enregistrés sur l'appareil, mais ils sont désactivés et n'ont aucun effet. Tous les autres APN sur l'appareil restent actifs.

Activé : Seuls les profils APN définis dans cette configuration sont utilisés, tous les autres profils APN sont ignorés. Ce paramètre ne peut être configuré que sur les appareils entièrement gérés avec Android 10 et versions ultérieures.

4. Paramètres APN

Configurez une ou plusieurs entrées APN. Utilisez Ajouter APN pour créer une entrée et Supprimer APN pour la supprimer.

Chaque APN possède des champs obligatoires :

Types d'APN : Sélectionnez un ou plusieurs types de trafic pour cet APN (la disponibilité dépend du mode de gestion et de la version d'Android).

Nom de l'APN : L'identifiant APN fourni par votre opérateur.

Nom d'affichage : Nom convivial affiché dans l'interface utilisateur.

Champs APN facultatifs :

Type d'authentification, Nom d'utilisateur, Mot de passe : Configurez l'authentification du transporteur (si nécessaire).

Protocole et Protocole d'itinérance : Configuration du protocole IP.

Types de réseau : Limitez les technologies cellulaires que le profil APN peut utiliser (par exemple, LTE/5G NR).

Adresse du proxy et Port du proxy : Serveur proxy HTTP pour le trafic de données (si applicable).

Adresse du serveur proxy MMS, Port du serveur proxy MMS, MMSC (URI du centre MMS) : Paramètres liés à MMS.

Identifiant numérique de l'opérateur (MCC+MNC) et Identifiant de l'opérateur : Champs d'identification de l'opérateur.

Paramètre Toujours Actif : Indique si la session PDU activée par ce APN doit être maintenue active en permanence. Supporté sur Android 15 et versions ultérieures.

Type d'opérateur virtuel : Type d'identifiant de l'opérateur de réseau virtuel mobile.

MTU IPv4 et MTU IPv6 : Unité maximale de transmission pour les routes IPv4/IPv6. Pris en charge sur Android 13 et versions ultérieures.

5. La configuration de la diffusion cellulaire est désactivée

Que la configuration de la diffusion cellulaire est désactivée.

6. Configuration des réseaux mobiles : désactivé

La configuration des réseaux mobiles est-elle désactivée ?

7. Les données en itinérance sont désactivées

Si les services de données en itinérance sont désactivés.

8. Appels sortants désactivés

Que les appels sortants soient désactivés ou non.

9. SMS désactivé

L'envoi et la réception des SMS sont-ils désactivés.

10. Configuration du découpage réseau 5G

Configurez les paramètres du service réseau prioritaire pour activer le découpage réseau 5G d'entreprise. Vous pouvez configurer jusqu'à 5 slices d'entreprise et attribuer des applications à des réseaux spécifiques pour optimiser le routage du trafic.

10.1. Réseau prioritaire par défaut

Identifiant du réseau prioritaire par défaut pour les applications qui ne figurent pas dans la liste des applications, ou si le Réseau prioritaire d'une application n'est pas configuré. Une configuration pour l'identifiant de réseau spécifié est requise (sauf si elle est définie sur Aucun réseau prioritaire).

Remarque : Les applications critiques telles que com.google.android.apps.work.clouddpc et com.google.android.gms sont exclues de ce paramètre par défaut.

10.2. Configurations des services réseau

Utilisez Ajouter une configuration réseau pour créer une configuration de partition. Vous pouvez ajouter jusqu'à 5 configurations. Chaque configuration comprend :

Identifiant de réseau préféré (attribué automatiquement) : L'identifiant de réseau est attribué automatiquement et ne peut pas être modifié.

Revenir à la connexion par défaut : Indique si le système doit revenir à la connexion réseau par défaut de l'appareil. Si cette option est désactivée, les applications ne peuvent pas accéder à Internet si la tranche 5G n'est pas disponible.

Réseaux incompatibles : Indique si les applications soumises à cette configuration peuvent utiliser des réseaux autres que le service préféré. Si cette option est définie sur Non autorisé, l'option Revenir à la connexion par défaut doit également être définie sur Non autorisé. Nécessite Android 14 et versions ultérieures.

Politiques - Android

Réseau

Dans cette section, vous pouvez configurer les stratégies relatives au réseau.

Les configurations Wi-Fi peuvent être provisionnées et gérées par le système via les configurations Wi-Fi. Selon la valeur définie dans Configurer le Wi-Fi, les utilisateurs peuvent avoir un contrôle limité ou inexistant sur l'ajout/la modification des réseaux.

État de la radio de l'appareil

1. État du Wi-Fi

Contrôle de l'état actuel du Wi-Fi et de la possibilité pour l'utilisateur de le modifier.

Choix de l'utilisateur (par défaut): L'utilisateur peut activer ou désactiver le Wi-Fi.

Activé : Le Wi-Fi est activé et l'utilisateur n'est pas autorisé à le désactiver (Android 13 et versions ultérieures).

Désactivé : Le Wi-Fi est désactivé et l'utilisateur n'est pas autorisé à le réactiver (Android 13 et versions ultérieures).

2. Niveau de sécurité Wi-Fi minimum

Le niveau de sécurité Wi-Fi minimum requis pour les réseaux auxquels l'appareil peut se connecter. Supporté sur Android 13 et versions ultérieures, pour les appareils entièrement gérés et les profils professionnels sur les appareils appartenant à l'entreprise.

Réseau ouvert (par défaut) : L'appareil peut se connecter à tous les types de réseaux Wi‑Fi.

Réseau personnel : Interdit les réseaux Wi‑Fi publics ; requiert au moins une sécurité de niveau personnel (par exemple, WPA2‑PSK).

Réseau d'entreprise : Nécessite des réseaux EAP d'entreprise ; interdit les réseaux Wi‑Fi ayant un niveau de sécurité inférieur.

Réseau d'entreprise 192 bits : Nécessite des réseaux d'entreprise 192 bits ; option la plus sécurisée.

3. État de la technologie à très large bande (UWB)

Contrôle l'état du paramètre à très large bande et indique si l'utilisateur peut l'activer ou le désactiver.

Choix utilisateur (par défaut): L'utilisateur peut activer ou désactiver UWB.

Désactivé : UWB est désactivé et l'utilisateur ne peut pas le réactiver via les paramètres (Android 14 et versions ultérieures).

Gestion de la connectivité des appareils

5. Configurez le Wi-Fi

Contrôle des privilèges de configuration Wi-Fi. Selon l'option sélectionnée, l'utilisateur dispose d'un contrôle total, limité ou inexistant sur la configuration des réseaux Wi-Fi.

Autoriser la configuration du Wi‑Fi (par défaut) : L'utilisateur est autorisé à configurer le Wi‑Fi.

Interdire l'ajout de configurations Wi‑Fi : L'ajout de nouvelles configurations Wi‑Fi est interdit. L'utilisateur peut basculer entre les réseaux déjà configurés (Android 13 et versions ultérieures ; profils professionnels gérés et appartenant à l'entreprise).

Interdire la configuration du Wi‑Fi : Empêche la configuration de réseaux Wi‑Fi. Pour les appareils entièrement gérés, cela supprime les réseaux configurés par l'utilisateur et conserve uniquement les réseaux configurés via les configurations Wi‑Fi. Pour les profils professionnels d'entreprise, les réseaux existants ne sont pas affectés, mais les utilisateurs ne peuvent pas ajouter, supprimer ou modifier les réseaux Wi‑Fi.

Lorsque la configuration Wi‑Fi est désactivée et que l'appareil ne peut pas se connecter au démarrage, le système peut afficher la fonction de contournement réseau pour permettre à l'utilisateur de se connecter temporairement et de rafraîchir la configuration.

6. Paramètres de la connexion Wi-Fi Direct

Paramètres de configuration et d'utilisation de la connexion Wi-Fi Direct. Supporté sur les appareils appartenant à l'entreprise et fonctionnant sous Android 13 et versions ultérieures.

Autoriser (par défaut) : L'utilisateur est autorisé à utiliser la connexion Wi-Fi Direct.

Interdire : L'utilisateur n'est pas autorisé à utiliser la connexion Wi-Fi Direct.

7. Paramètres du partage de connexion

Contrôle les paramètres du partage de connexion. En fonction de la valeur définie, l'utilisateur peut être partiellement ou totalement empêché d'utiliser différentes formes de partage de connexion.

Autoriser toutes les options de partage de connexion (par défaut) : Permet la configuration et l'utilisation de toutes les formes de partage de connexion.

Interdire le partage de connexion Wi-Fi : Empêche l'utilisateur d'utiliser le partage de connexion Wi-Fi (appareils Android 13 et versions ultérieures appartenant à l'entreprise).

Interdire tout le partage de connexion : Empêche toutes les formes de partage de connexion (appareils entièrement gérés et profils professionnels appartenant à l'entreprise).

8. Politique du SSID Wi-Fi

Restrictions sur les SSID Wi-Fi auxquels l'appareil peut se connecter (cela n'affecte pas les réseaux qui peuvent être configurés sur l'appareil). Disponible sur les appareils appartenant à l'entreprise et exécutant Android 13 et versions ultérieures.

Liste noire des SSID (par défaut) : L'appareil ne peut se connecter à aucun réseau Wi‑Fi dont le SSID figure dans cette liste, mais peut se connecter à d'autres réseaux.

Liste blanche des SSID : L'appareil ne peut se connecter qu'aux réseaux Wi-Fi dont le SSID figure dans cette liste. La liste des SSID ne doit pas être vide.

Utilisez Ajouter SSID pour ajouter des entrées. Selon le type de stratégie sélectionné, la liste est interprétée comme une liste de SSIDs autorisés ou interdits.

Dans l'interface de l'éditeur de stratégie, la liste des SSID est intitulée SSID Wi-Fi autorisés pour les listes d'autorisation et SSID Wi-Fi interdits pour les listes de blocage.

9. Paramètres de compatibilité Wi‑Fi

Configurez le mode de compatibilité Wi‑Fi par SSID. Utilisez Ajouter un paramètre de compatibilité Wi‑Fi pour créer des entrées.

Chaque entrée comprend :

SSID : L'identifiant SSID auquel s'applique le paramètre de roaming (obligatoire).

Mode de roaming Wi-Fi : Par défaut / Désactivé / Adaptatif. Les modes Désactivé et Adaptatif nécessitent Android 15 et ne sont pris en charge que sur les appareils entièrement gérés et les profils d'entreprise sur les appareils appartenant à l'entreprise.

Restrictions réseau

Bluetooth désactivé

Le Bluetooth est-il désactivé ? (Privilégiez ce paramètre plutôt que "Configuration Bluetooth désactivée", car cette dernière peut être contournée par l'utilisateur).

11. Le partage de contacts via Bluetooth est désactivé

Que le partage de contacts via Bluetooth est désactivé.

12. La configuration Bluetooth est désactivée

Que la configuration Bluetooth est désactivée.

13. Réinitialisation du réseau désactivée

Que la réinitialisation des paramètres réseau est désactivée.

14. Transmission en flux désactivée

L'utilisation de la technologie NFC pour transmettre des données depuis les applications est désactivée.

VPN

Application VPN toujours activée

Spécifiez un nom de package VPN permanent pour vous assurer que les données des applications gérées spécifiées transitent toujours par un VPN configuré.

Note : Cette fonctionnalité nécessite le déploiement d'un client VPN prenant en charge à la fois les fonctionnalités VPN permanentes et VPN par application.

16. Blocage VPN

Empêche l'accès au réseau lorsque le VPN n'est pas connecté.

17. Configuration VPN désactivée

Que la configuration VPN soit désactivée.

Services proxy et réseau

18. Service réseau prioritaire

Activez ou désactivez le service réseau prioritaire sur le profil professionnel. Par exemple, une entreprise peut avoir un accord avec un opérateur qui prévoit que les données professionnelles sont envoyées via un service réseau dédié aux entreprises (par exemple, une tranche réservée aux entreprises sur les réseaux 5G). Cela n'a aucun effet sur les appareils entièrement gérés.

Désactivé : Le service réseau prioritaire est désactivé sur le profil professionnel.

Activé : Le service réseau prioritaire est activé sur le profil professionnel.

Si vous utilisez le découpage de réseau entreprise, configurez également Configuration du découpage réseau 5G dans le panneau de la politique Cellulaire et attribuez des applications à un segment en utilisant leur paramètre Réseau Prioritaire.

19. Proxy global recommandé

Le proxy HTTP global indépendant du réseau. En général, les proxies doivent être configurés pour chaque réseau dans les paramètres WiFi. Un proxy global peut être utile pour des configurations inhabituelles, comme le filtrage interne général. Le proxy global n'est qu'une recommandation et certaines applications peuvent l'ignorer.

Désactivé

Proxy direct

Configuration automatique du proxy (PAC)

19.1. Hôte

L'hôte du proxy direct.

19.2. Port

Le port du proxy direct.

19.3. URI PAC

L'URI du script PAC utilisé pour configurer le proxy.

19.4. Hôtes exclus

Pour un proxy direct, ce sont les hôtes pour lesquels le proxy est contourné. Les noms d'hôtes peuvent contenir des caractères génériques tels que *.example.com.

Utilisez Ajouter un hôte exclu pour ajouter des entrées (disponible uniquement pour le proxy direct).

Configurations Wi-Fi

Définissez les configurations réseau Wi-Fi que le système appliquera aux appareils. Utilisez Ajouter une configuration Wi-Fi pour créer une entrée et supprimez-la avec l'action de suppression.

20. Champs de configuration Wi‑Fi

Chaque configuration comprend :

Nom de la configuration : Obligatoire.

Nom du réseau : Obligatoire.

Connexion automatique : Indique si le réseau doit se connecter automatiquement lorsque vous êtes dans sa portée.

Transition rapide : Indique si le client doit essayer d'utiliser la transition rapide (IEEE 802.11r-2008) avec le réseau.

SSID masqué : Indique si le SSID doit être diffusé.

Mode de randomisation de l'adresse MAC : Matériel ou Automatique (Android 13 et versions ultérieures).

20.1. Sécurité

Options de sécurité Wi-Fi :

WEP‑PSK : WEP (clé prépartagée).

WPA‑PSK : WPA/WPA2/WPA3-Personnal (clé prépartagée).

WPA‑EAP : WPA/WPA2/WPA3-Entreprise (protocole d'authentification extensible).

Mode WPA3 192 bits : réseau WPA‑EAP autorisant uniquement le mode WPA3 192 bits.

20.2. Phrase de passe (clé pré-partagée)

Affiché lorsque la sécurité est WEP-PSK ou WPA-PSK. La phrase de passe est requise.

20.3. Méthode EAP (Entreprise)

Affiché lorsque la sécurité est WPA‑EAP ou WPA3 en mode 192 bits. Sélectionnez une méthode EAP externe :

EAP‑TLS

EAP‑TTLS

PEAP

EAP‑SIM

EAP‑AKA

20.4. Authentification, phase 2

Affiché pour le tunneling des méthodes externes (EAP‑TTLS et PEAP).

MSCHAPv2

PAP

20.5. Identifiants EAP fournis par les utilisateurs

Lorsque cette option est activée, le système applique automatiquement les identifiants EAP aux appareils, par utilisateur. Vous pouvez configurer les identifiants utilisateur dans la section Utilisateurs.

20.6. Certificat client

Pour EAP‑TLS, vous pouvez attribuer un certificat client utilisé pour l'authentification Wi‑Fi. Pour plus d'informations, consultez la page Gestion des certificats.

Si un certificat est déjà attribué, vous pouvez utiliser Ouvrir le certificat pour le consulter ou Modifier le certificat pour en sélectionner un autre.

Alternativement, vous pouvez spécifier l'alias de la paire de clés du certificat client, qui fait référence à un certificat client stocké dans le trousseau Android et autorisé pour l'authentification Wi‑Fi.

Si le certificat client et l'alias de la paire de clés du certificat client sont spécifiés, l'alias de la paire de clés est ignoré.

20.7. Identité

Identité de l'utilisateur. Pour le tunneling des protocoles externes (PEAP, EAP‑TTLS), ceci est utilisé pour l'authentification à l'intérieur du tunnel, et l'identité anonyme est utilisée pour l'identité EAP à l'extérieur du tunnel. Pour les protocoles externes non utilisant le tunneling, ceci est utilisé pour l'identité EAP.

20.8. Identité anonyme

Pour les protocoles de tunneling uniquement, cela indique l'identité de l'utilisateur présentée au protocole externe.

20.9. Mot de passe

Mot de passe de l'utilisateur. Si non spécifié, le système invite l'utilisateur à le saisir.

20.10. Certificats CA du serveur

Liste des certificats CA à utiliser pour vérifier la chaîne de certificats de l'appareil. Au moins un certificat CA doit correspondre. Pour plus d'informations, consultez la page Gestion des certificats.

Utilisez l'option Ajouter le certificat CA du serveur pour ajouter des entrées et les supprimer à l'aide de l'action supprimer.

20.11. Le suffixe de domaine correspond

Une liste de contraintes pour le nom de domaine du serveur. Ces entrées sont utilisées comme exigences de correspondance de suffixe par rapport au(x) nom(s) DNS du nom de sujet alternatif d'un certificat de serveur d'authentification.

Politiques - Android

Système

Dans cette section, vous pouvez configurer les politiques relatives au système.

1. Niveau d'API minimum

Le niveau d'API Android minimum autorisé.

2. Politique de chiffrement

Indique si le chiffrement est activé.

Par défaut: cette valeur est ignorée, c'est-à-dire qu'aucun chiffrement n'est requis.

Activé sans mot de passe: Le chiffrement est requis, mais aucun mot de passe n'est nécessaire pour le démarrage.

Activé avec mot de passe: Le chiffrement est requis et un mot de passe est nécessaire pour le démarrage.

3. Date et heure automatiques

Indique si la synchronisation automatique de la date, de l'heure et du fuseau horaire est activée sur un appareil appartenant à l'entreprise.

Choix de l'utilisateur (par défaut): La synchronisation automatique de la date, de l'heure et du fuseau horaire est laissée au choix de l'utilisateur.

Obligatoire: Activer la synchronisation automatique de la date, de l'heure et du fuseau horaire sur l'appareil.

4. Paramètres pour les développeurs

Contrôle l'accès aux paramètres développeur : options pour les développeurs et démarrage sécurisé.

Désactivé (par défaut) : Désactive tous les paramètres pour développeurs et empêche l'utilisateur d'y accéder.

Autorisé : Permet l'accès à tous les paramètres pour développeurs. L'utilisateur peut accéder et, éventuellement, configurer ces paramètres.

5. Mode de conformité aux critères communs

Modes de sécurité standard : normes de sécurité définies dans le référentiel Common Criteria pour l'évaluation de la sécurité des technologies de l'information. L'activation du mode Common Criteria renforce certains composants de sécurité d'un appareil (par exemple, le chiffrement AES-GCM des clés à long terme Bluetooth, une validation supplémentaire pour certains certificats réseau et des vérifications de l'intégrité des politiques cryptographiques). Le mode Common Criteria est pris en charge uniquement sur les appareils appartenant à l'entreprise et exécutant Android 11 ou une version ultérieure. Attention : le mode Common Criteria applique un modèle de sécurité strict, généralement requis uniquement pour les organisations traitant des informations très sensibles. L'utilisation normale de l'appareil peut être affectée ; activez-le uniquement si nécessaire.

Désactivé (par défaut) : Désactive le mode Common Criteria.

Activé : Active le mode Common Criteria.

6. Extension de marquage de la mémoire (MTE)

Active ou désactive l'extension de marquage de la mémoire (MTE) sur l'appareil.

Choix de l'utilisateur (par défaut) : L'utilisateur peut choisir d'activer ou de désactiver MTE sur l'appareil (si l'appareil le prend en charge).

Obligatoire : MTE est activé et l'utilisateur ne peut pas le désactiver (Android 14 et versions ultérieures ; pris en charge sur les appareils entièrement gérés et les profils professionnels sur les appareils appartenant à l'entreprise).

Désactivé : MTE est désactivé et l'utilisateur ne peut pas le modifier (Android 14 et versions ultérieures ; pris en charge uniquement sur les appareils entièrement gérés).

7. Protection du contenu

Active ou désactive la protection du contenu (qui analyse la présence d'applications potentiellement malveillantes). Cette fonctionnalité est prise en charge sur Android 15 et versions ultérieures.

Désactivé (par défaut): La protection du contenu est désactivée et l'utilisateur ne peut pas modifier ce paramètre.

Activée (obligatoire): La protection du contenu est activée et l'utilisateur ne peut pas modifier ce paramètre (Android 15 et versions ultérieures).

Choix de l'utilisateur: La protection du contenu n'est pas contrôlée par la stratégie ; l'utilisateur peut choisir (Android 15 et versions ultérieures).

8. Assistance au contenu

Permet de déterminer si l'envoi de contenu d'assistance à une application privilégiée, telle qu'une application d'assistance (par exemple, Circle to Search), est autorisé. Le contenu d'assistance comprend des captures d'écran et des informations sur une application, telles que le nom du package. Cette fonctionnalité est prise en charge sur Android 15 et versions ultérieures.

Autorisé (par défaut) : L'envoi de contenu d'assistance à une application privilégiée (Android 15 et versions ultérieures) est autorisé.

Interdit : L'envoi de contenu d'assistance à une application privilégiée est bloqué (Android 15 et versions ultérieures).

9. Créez des fenêtres désactivées

Que la création de fenêtres en dehors des fenêtres d'application soit désactivée. Cette option empêche l'affichage des éléments d'interface système suivants : notifications et barres de notification, activités du téléphone (telles que les appels entrants) et activités téléphoniques prioritaires (telles que les appels en cours), alertes système, erreurs système et superpositions système.

10. Porte de sortie réseau

Indique si la fonctionnalité de secours réseau est activée. Si une connexion réseau ne peut pas être établie au démarrage, la fonctionnalité de secours invite l'utilisateur à se connecter temporairement à un réseau afin de mettre à jour la configuration de l'appareil. Une fois la configuration appliquée, la connexion temporaire est oubliée et l'appareil continue de démarrer. Cela permet d'éviter l'impossibilité de se connecter à un réseau si aucun réseau approprié n'est défini dans la configuration et que l'appareil démarre dans une application en mode "lock task", ou si l'utilisateur ne peut pas accéder aux paramètres de l'appareil.

11. Activités par défaut

Une liste des activités par défaut pour gérer les intentions qui correspondent à un filtre d'intention spécifique. Par exemple, cette fonctionnalité permettrait aux administrateurs informatiques de choisir quelle application de navigateur s'ouvre automatiquement pour les liens web, ou quelle application de lanceur est utilisée lorsqu'on appuie sur le bouton d'accueil.

Utilisez "Ajouter une activité par défaut" pour créer des entrées. Dans une entrée, utilisez "Ajouter une action" et "Ajouter une catégorie" pour définir le filtre d'intention.

11.1. Activité du récepteur

L'activité qui doit être le gestionnaire d'intent par défaut. Il s'agit d'un nom de composant Android, par exemple com.android.enterprise.app/.MainActivity. Alternativement, la valeur peut être le nom du package d'une application, ce qui permet à Android Device Policy de choisir une activité appropriée dans cette application pour gérer l'intent.

11.2. Action

Les actions à faire correspondre dans le filtre. Si des actions sont incluses dans le filtre, l'action de l'intent doit correspondre à l'une de ces valeurs pour qu'il soit pris en compte. S'il n'y a pas d'actions incluses, l'action de l'intent est ignorée.

11.3. Catégorie

Les catégories d'intentions à prendre en compte dans le filtre. Une intention inclut les catégories qu'elle requiert, et toutes doivent être incluses dans le filtre pour qu'il corresponde. En d'autres termes, ajouter une catégorie au filtre n'a aucun impact sur la correspondance, sauf si cette catégorie est spécifiée dans l'intention.

12. Méthodes de saisie autorisées

Spécifie les méthodes de saisie autorisées.

Autorisées : Aucune restriction n'est appliquée. Toutes les méthodes de saisie sont autorisées.

Uniquement les méthodes de saisie du système : Seules les méthodes de saisie intégrées au système sont autorisées.

Seules les méthodes de saisie intégrées au système et celles fournies sont autorisées.

12.1. Méthodes de saisie autorisées

Noms de packages de méthodes de saisie autorisés. S'applique uniquement lorsque Méthodes de saisie autorisées est défini sur Uniquement les méthodes du système et celles fournies.

Utilisez l'option Ajouter une méthode de saisie pour ajouter des éléments et supprimez-les avec l'action de suppression.

13. Services d'accessibilité autorisés

Spécifie les services d'accessibilité autorisés.

Tous autorisés : Tout service d'accessibilité peut être utilisé.

Seuls les services : Seuls les services d'accessibilité intégrés au système peuvent être utilisés.

Seuls les services : Seuls les services d'accessibilité intégrés au système et ceux fournis peuvent être utilisés.

13.1. Services d'accessibilité autorisés

Services d'accessibilité autorisés. S'applique uniquement lorsque Services d'accessibilité autorisés est défini sur Uniquement les services système et fournis.

Utilisez l'option Ajouter un service d'accessibilité pour ajouter des éléments et les supprimer avec l'action de suppression.

14. Stratégie de mise à jour du système

Configuration pour gérer les mises à jour du système.

Par défaut: Suivez le comportement par défaut des mises à jour pour l'appareil, ce qui nécessite généralement que l'utilisateur accepte les mises à jour du système.

Automatique: Installer automatiquement dès qu'une mise à jour est disponible.

Mode fenêtré : Installation automatique pendant une plage horaire de maintenance quotidienne. Cela configure également les applications Play pour qu'elles soient mises à jour pendant cette plage horaire. Il est fortement recommandé pour les appareils en mode kiosque, car c'est la seule façon pour les applications épinglées en permanence au premier plan de pouvoir être mises à jour via Play.

Reporter : Reportez l'installation automatique jusqu'à un maximum de 30 jours.

14.1. Fenêtre de maintenance (Uniquement fenêtré)

Lorsque la politique de mise à jour du système est définie sur Mode graphique, vous pouvez définir la fenêtre de maintenance quotidienne à l'aide des champs depuis et jusqu'à.

14.2. Périodes de suspension des mises à jour système

Une période annuelle pendant laquelle les mises à jour système sans fil (OTA) sont reportées afin de figer la version du système d'exploitation exécutée sur un appareil. Pour éviter de bloquer définitivement l'appareil, chaque période de suspension doit être séparée d'au moins 60 jours. Chaque période de suspension ne doit pas dépasser 90 jours.

Utilisez Ajouter une période de suspension des mises à jour système pour créer des entrées.

15. Fournisseurs de crédentiels par défaut

Contrôle les applications autorisées à agir en tant que fournisseurs de crédentiels sur Android 14 et versions ultérieures.

Non autorisées (par défaut): Les applications dont la politique de fournisseur de crédentiels n'est pas spécifiée ne sont pas autorisées à agir en tant que fournisseur de crédentiels.

Non autorisées, sauf pour le système: Les applications dont la politique de fournisseur de crédentiels n'est pas spécifiée ne sont pas autorisées à agir en tant que fournisseur de crédentiels, sauf pour les fournisseurs de crédentiels par défaut du fabricant de l'appareil.

Politiques - Android

Emplacement et périmètre géographique

Ce panneau regroupe les paramètres de stratégie Android qui contrôlent l’envoi des données de localisation, l’application des règles de géolocalisation et la définition des périmètres. Utilisez-le lorsque vous souhaitez que Cerberus Enterprise collecte les positions des appareils ou détecte quand ils entrent ou sortent de zones configurées.

Rapports de localisation

Signaler la position

Active la déclaration géolocalisation de l’appareil. Les données de localisation collectées via ce paramètre sont utilisées par le tableau de bord des emplacements, l’historique des emplacements dans la vue d’ensemble de l’appareil et le traitement des géofences.

Sur les appareils qui ne sont pas entièrement gérés, l’accès aux données de localisation peut toujours dépendre des autorisations de localisation requises pour l’application Cerberus Enterprise et de l’activation des services de localisation sur l’appareil.

Mode de géolocalisation

Contrôle le paramètre de localisation des appareils appartenant à l'entreprise.

Choix de l'utilisateur : les services de localisation ne sont pas restreints par la politique.
Appliqué: les services de localisation sont activés sur l'appareil.
Désactivé: les services de localisation sont désactivés sur l'appareil.

Partage de la localisation désactivé

Désactive le partage de la localisation pour les applications professionnelles. Sur les appareils appartenant au profil, cela affecte le profil professionnel. Sur les appareils entièrement gérés, cela désactive la localisation pour l'ensemble de l'appareil et écrase le mode de localisation de l'appareil.

Comportement automatique avec des géosalles actives

Les géosalles actives nécessitent l'envoi de données de localisation pour fonctionner. Lorsqu'au moins une géosalle est active, Cerberus Enterprise maintient automatiquement les paramètres de localisation associés.

L'envoi de la position est forcé lorsque des géosalles actives sont présentes.
Mode localisation est forcé sur Actif.
Le partage de la position est désactivé et forcé sur Off.

Si vous essayez de désactiver Signaler la position alors qu’une ou plusieurs clôtures géographiques sont actives, Cerberus Enterprise affiche une boîte de dialogue de confirmation. Si vous continuez, toutes les clôtures géographiques actives dans la stratégie sont désactivées.

Liste des clôtures géographiques

Une stratégie peut contenir jusqu’à 10 clôtures géographiques. Les noms des clôtures géographiques doivent être uniques au sein de la stratégie.

Utilisez Ajouter une clôture géographique pour créer une nouvelle entrée. Chaque clôture géographique contient les champs principaux suivants :

Nom : requis et unique.
Latitude et Longitude : le centre de la zone.
Rayon (m): requis, de 100 à 10000 mètres.
Description: notes optionnelles pour les administrateurs.
Rapport d’entrée et Rapport de sortie : sélectionnez les événements de transition à générer.
Actif : active ou désactive la géoperimètre sans la supprimer.

Au moins un des Report d’entrée ou Report de sortie doit rester activé pour chaque géoperimètre.

Outils de modification de la carte

Chaque carte de géofence inclut un aperçu cartographique de la zone. Vous pouvez modifier la géométrie directement sur la carte ou à partir des champs numériques.

Cliquez sur la carte pour déplacer le centre de la géofence lorsque l'édition de zone est activée.
Utilisez le bouton Position actuelle pour centrer la carte sur votre position de navigateur actuelle.
Utilisez le bouton Recentrer la carte pour restaurer la vue préférée pour cette zone géographique.
Utilisez le bouton de verrouillage pour éviter toute modification accidentelle de la géolocalisation.

Où apparaissent les données de géocage

Les transitions de géocage peuvent être consultées dans la page Aperçu de l’appareil, dans l’onglet Géocage du panneau de localisation. Cet onglet affiche les transitions sur une carte dédiée, ainsi que des outils de filtrage et la liste des transitions.

Politiques - Android

Gestion des utilisateurs

Ajouter un utilisateur désactivé

L'ajout de nouveaux utilisateurs et profils peut être désactivé. Pour les appareils où managementMode est DEVICE_OWNER, ce champ est ignoré et l'utilisateur n'a jamais la possibilité d'ajouter ou de supprimer des utilisateurs.

Modifier les comptes désactivés

Que l'ajout ou la suppression de comptes soit désactivé.

La configuration des identifiants utilisateur est désactivée

La configuration des identifiants utilisateur est-elle désactivée ?

Supprimer l'utilisateur désactivé

Que la suppression d'autres utilisateurs soit désactivée.

Définir l'icône utilisateur comme désactivée

Que le changement de l'icône utilisateur soit désactivé.

Définir le fond d'écran est désactivé

Que le changement de fond d'écran soit désactivé.

Authentification de la configuration du compte professionnel

Contrôle la méthode d'authentification des utilisateurs lors de la configuration du compte professionnel. Cette option est uniquement disponible pour les entreprises Android utilisant un domaine Google géré (Google Workspace).

Pendant la configuration/l'inscription de l'appareil, cette stratégie détermine si une authentification pour le compte professionnel est requise, mais le paramètre de la console d'administration Google Authentification via Google et le type de jeton d'inscription peuvent toujours nécessiter une authentification.

Pour les appareils déjà inscrits, cette stratégie s'applique uniquement si l'appareil est géré par un compte Google Play d'entreprise (c'est-à-dire, inscrit sans authentification via Google).

Pour plus de détails et pour résoudre les problèmes, consultez Authentification via Google.

Types de comptes bloqués

Types de comptes que l'utilisateur ne peut pas gérer. Cette option empêche les utilisateurs de l'appareil d'ajouter des comptes non autorisés.

Utilisez Ajouter le type de compte bloqué pour ajouter un ou plusieurs types de comptes.

Chaque entrée possède un champ "Type de compte" (obligatoire). Entrez une chaîne de caractères comme com.google. Supprimez une entrée en utilisant l'action de suppression.

Politiques - Android

Utilisation personnelle

Lorsque vous configurez un appareil de l'entreprise pour un usage professionnel et personnel, vous pouvez définir certaines règles pour limiter la manière dont l'utilisateur peut utiliser l'appareil pour un usage personnel, en dehors du profil professionnel.

Cette section s'applique uniquement aux appareils appartenant à l'entreprise et configurés avec un profil professionnel. Elle n'aura aucun effet sur les appareils entièrement gérés ou appartenant à des particuliers.

1. Appareil photo désactivé

L'appareil photo est-il désactivé ?

2. La capture d'écran est désactivée

La capture d'écran est-elle désactivée ?

3. Nombre maximal de jours de congé

Contrôle la durée pendant laquelle le profil professionnel peut être désactivé.

5. Espace privé

Active ou désactive l'autorisation d'espaces privés sur l'appareil.

6. Mode Google Play

Ce mode contrôle les applications autorisées ou bloquées pour l'utilisateur dans le Play Store du profil personnel.

Liste bloquée (par défaut) : Toutes les applications sont disponibles, et toute application qui ne doit pas être présente sur l'appareil doit être explicitement marquée comme bloquée dans la section Applications.

Liste autorisée : Seules les applications spécifiées explicitement dans la section Applications et dont le Type d'installation est défini sur Disponible peuvent être installées dans le profil personnel.

7. Applications

Liste des applications qui doivent être autorisées ou bloquées sur le profil personnel. Le comportement du contenu de cette liste dépend de la valeur définie pour le mode Play Store.

Pour ajouter une nouvelle application depuis le Play Store, cliquez sur l'icône +.

7.1. Type d'installation

Types de comportements d'installation qu'une application de profil personnel peut avoir.

Bloqué : L'application est bloquée et ne peut pas être installée dans le profil personnel.

Disponible : L'application est disponible pour l'installation dans le profil personnel.

8. Types de comptes bloqués

Types de comptes que l'utilisateur ne peut pas gérer. Cette option empêche les utilisateurs de l'appareil d'ajouter des comptes non autorisés à leur profil personnel.

Politiques - Android

Stratégies multi-profils

S'applique uniquement aux appareils disposant de profils personnels et professionnels.

Copier/coller entre les profils

Que le texte copié d'un profil (personnel ou professionnel) puisse être collé dans l'autre profil.

Non autorisé (par défaut) : Empêche les utilisateurs de coller du texte dans le profil personnel à partir du profil professionnel. Le texte copié du profil personnel peut être collé dans le profil professionnel.

Autorisé : Le texte copié dans n'importe quel profil peut être collé dans l'autre profil.

Partage de données entre les profils

Indique si les données d'un profil (personnel ou professionnel) peuvent être partagées avec les applications de l'autre profil. Contrôle spécifiquement le partage simple de données via les intents. La gestion des autres canaux de communication inter-profils, tels que la recherche de contacts, la copie/colle,
ou les applications professionnelles et personnelles connectées, est configurée séparément.

Interdit : Empêche le partage de données entre le profil personnel et le profil professionnel, et inversement.

Interdit le partage de données (par défaut) : Empêche les utilisateurs de partager des données du profil professionnel vers les applications du profil personnel. Les données personnelles peuvent être partagées avec les applications professionnelles.

Autorisé : Les données de n'importe quel profil peuvent être partagées avec l'autre profil.

Les widgets du profil de travail sont configurés par défaut

Comportement par défaut des widgets du profil de travail. Si une application spécifique ne définit pas de politique pour les widgets, elle utilise les paramètres par défaut définis ici.

Fonctions des applications inter-profils

Contrôle si les applications du profil personnel peuvent invoquer des fonctions d'applications du profil professionnel. Nécessite Android 16 ou version supérieure.

Ce paramètre dépend de l'option de fonctions d'application définie au niveau de la politique (dans la section Gestion des applications). Si l'option Fonctions d'application est définie sur Non autorisées, l'API rejettera les fonctions d'application inter-profil définies sur Autorisées.

Contacts professionnels dans le profil personnel

Si les contacts enregistrés dans le profil professionnel peuvent être affichés dans les recherches de contacts du profil personnel et dans les appels entrants.

Autorisé (par défaut) : Permet aux contacts du profil professionnel de s'afficher dans le profil personnel.

Non autorisé : Empêche les applications personnelles d'accéder aux contacts du profil professionnel et de rechercher des contacts professionnels.

Non autorisé, sauf pour les applications système : Empêche la plupart des applications personnelles d'accéder aux contacts du profil professionnel, à l'exception des applications Dialer, Messages et Contacts par défaut du fabricant (Android 14 et versions ultérieures).

Lorsque les contacts professionnels sont configurés dans le profil personnel, vous pouvez éventuellement définir une liste de noms de paquets exclus. Selon le mode sélectionné, ces exclusions fonctionnent comme une liste blanche ou une liste noire pour les applications personnelles.

Politiques - Android

Rapport d'état

Dans cette section, vous pouvez configurer les données à récupérer depuis l'appareil. Les données d'état peuvent être consultées sur la page de tableau de bord État de l'appareil.

Rapports d'application

Si les rapports d'application sont activés. (Informations rapportées concernant une application installée.)

Cette option est requise par le système (pour l'intégration avec l'application compagnon) et est toujours activée ; elle ne peut pas être désactivée.

Inclure les applications supprimées

Indique si les applications supprimées sont incluses dans les rapports d'applications.

Paramètres de l'appareil

Indique si l'enregistrement des paramètres de l'appareil est activé. (Informations sur les paramètres de sécurité de l'appareil.)

Informations sur le logiciel

L'affichage des informations sur le logiciel est-il activé ? (Informations sur le logiciel de l'appareil.)

Informations sur la mémoire

Indique si le reporting de la mémoire est activé. (Un événement lié aux mesures de mémoire et de stockage.)

Informations réseau

Indique si l'envoi des informations réseau est activé. (Informations réseau de l'appareil.)

Afficher les informations

L'affichage des informations de l'appareil est activé ou non. Les données de reporting ne sont pas disponibles pour les appareils personnels avec des profils professionnels. (Informations d'affichage de l'appareil.)

Événements de gestion de l'alimentation

Indique si l'enregistrement des événements de gestion de l'alimentation est activé. Les données ne sont pas disponibles pour les appareils personnels avec des profils professionnels.

État du matériel

Indique si le reporting de l'état du matériel est activé. Les données de reporting ne sont pas disponibles pour les appareils personnels équipés d'un profil professionnel.

Propriétés du système

Indique si l'enregistrement des propriétés du système est activé.

Mode de conformité aux critères communs

Indique si le mode de conformité aux critères communs est activé.

Politiques - Android

Divers

1. Jeu de "cloclo" désactivé

Le jeu de "cloclo" dans les paramètres est-il désactivé ?

2. Ignorer les conseils pour la première utilisation

Indiquer si l'on doit ignorer les conseils lors de la première utilisation. L'administrateur Enterprise peut activer la recommandation système pour que les applications n'affichent pas leur tutoriel utilisateur ni d'autres conseils d'introduction lors du premier lancement.

3. Court message d'assistance

Message affiché à l'utilisateur dans l'écran des paramètres, indiquant que la fonctionnalité a été désactivée par l'administrateur. Si le message est plus long que 200 caractères, il peut être tronqué.

4. Message de support détaillé

Un message affiché à l'utilisateur dans l'écran des paramètres des administrateurs de l'appareil.

5. Informations affichées sur l'écran de verrouillage du propriétaire

Les informations du propriétaire de l'appareil à afficher sur l'écran de verrouillage.

6. Actions de configuration

Actions à effectuer pendant le processus de configuration. Pendant l'inscription, vous pouvez demander à l'utilisateur d'ouvrir une ou plusieurs applications nécessaires à la configuration de l'appareil.

Utilisez l'action Ajouter une configuration pour créer des entrées, et supprimez-les avec l'action de suppression.

6.1. Lancer l'application

Nom du package de l'application à lancer

6.2. Titre

Affiche un message destiné à l'utilisateur, expliquant pourquoi l'application doit être lancée.

6.3. Description

Affiche un message destiné à l'utilisateur, expliquant pourquoi l'application doit être lancée.

7. Visibilité du nom d'affichage pour les entreprises

Contrôle la visibilité du nom d'affichage de l'entreprise sur l'appareil (par exemple, en tant que message sur l'écran de verrouillage des appareils appartenant à l'entreprise).

Visible (par défaut) : Le nom d'affichage de l'entreprise est visible sur l'appareil (pris en charge sur les profils professionnels pour Android 7+ et les appareils entièrement gérés sur Android 8+).

Masqué : Le nom d'affichage de l'entreprise est masqué sur l'appareil.

Politiques - Android

Règles d'application des politiques

Si un appareil ou un profil professionnel ne respecte pas l'une des règles de configuration indiquées ci-dessous, Android Device Policy bloque automatiquement l'utilisation de l'appareil ou du profil professionnel

Exigences de mot de passe
Politique de chiffrement
Verrouillage d'écran désactivé
Méthodes de saisie autorisées
Services d'accessibilité autorisés

Si l'appareil ou le profil professionnel reste non conforme après 10 jours, la stratégie de gestion des appareils Android réinitialisera l'appareil aux paramètres d'usine ou supprimera le profil professionnel.

Dans cette section, vous pouvez modifier les règles de conformité par défaut ou en ajouter de nouvelles.

Règles

Liste des règles qui définissent le comportement lorsqu'une politique ne peut pas être appliquée à un appareil.

Utilisez Ajouter une règle pour créer une nouvelle règle. Chaque carte de règle peut être supprimée à l'aide de l'action de suppression.

Nom du paramètre

La politique de niveau supérieur à appliquer. Par exemple, les applications ou les exigences de mot de passe.

Obligatoire. La valeur doit correspondre à un nom de politique de niveau supérieur pris en charge ; sinon, le champ est marqué comme invalide.

Bloquer après un nombre de jours

Nombre de jours pendant lesquels la stratégie n'est pas conforme avant que l'appareil ou le profil professionnel ne soit bloqué. Pour bloquer l'accès immédiatement, réglez sur 0. Bloquer après un certain nombre de jours doit être inférieur à Effacer après un certain nombre de jours. Applicable uniquement aux appareils appartenant à l'entreprise.

Plage autorisée : 0 à 300.

Portée de bloc

Définit la portée de l'action de blocage. S'applique uniquement aux appareils appartenant à l'entreprise.

Par défaut (nouvelle règle) : Profil professionnel.

Profil professionnel : L'action de blocage s'applique uniquement aux applications du profil professionnel. Les applications du profil personnel ne sont pas affectées.

Appareil entier : L'action de blocage s'applique à l'ensemble de l'appareil, y compris les applications du profil personnel.

Effacer après un nombre de jours

Nombre de jours pendant lesquels la règle est non conforme avant que l'appareil ou le profil professionnel ne soit effacé.
Nombre de jours avant effacement doit être supérieur à la valeur de Bloquer après un nombre de jours. S'applique uniquement aux appareils appartenant à l'entreprise.

Obligatoire. Valeur par défaut (nouvelle règle) : 1.

Plage autorisée : de 1 à 300.

Conserver la protection de réinitialisation d'usine

Indique si les données de protection contre la réinitialisation d'usine sont conservées sur l'appareil. Ce paramètre ne s'applique pas aux profils professionnels.

Par défaut (nouvelle règle) : activé.

Politiques - Apple

Les politiques Apple

Les politiques Apple définissent les paramètres de gestion que Cerberus Enterprise applique aux appareils Apple via MDM. Ces paramètres sont configurés depuis le tableau de bord dans l'éditeur de politiques Apple.

Avant de commencer

La gestion des appareils Apple nécessite la configuration d'Apple Management (APNs). Si nécessaire, consultez la page Configuration d'Apple Management (APNs).

Ouvrez l'éditeur de stratégies Apple

Dans le tableau de bord, ouvrez Stratégies et cliquez sur Créer une nouvelle stratégie Apple. Pour modifier une stratégie Apple existante, cliquez sur la ligne correspondante dans le tableau des stratégies.

Mise en page de l'éditeur

L'éditeur de stratégies Apple est organisé en sections extensibles. En haut de la page, vous pouvez toujours modifier :

Nom (obligatoire)
Identifiant (lecture seule)
Description (facultative)

Sections de politique

Les sections ci-dessous correspondent aux panneaux actuellement disponibles dans l'éditeur de politiques Apple :

Gestion des applications : configurez les restrictions liées aux applications et gérez les applications installées.
Paramètres du code PIN : configurez les exigences du code PIN et les règles associées.
Sécurité : contrôlez les fonctionnalités telles que le déverrouillage automatique et le déverrouillage biométrique.
iCloud : autorisez ou désactivez des services iCloud spécifiques (sauvegarde, synchronisation du trousseau, relais privé, etc.).
Multimédia : autorisez ou désactivez l'appareil photo et les fonctionnalités associées.
Cellulaire : contrôlez les paramètres liés à la connectivité cellulaire (paramètres des données cellulaires de l'application, eSIM, modifications de forfait).
Réseau : contrôlez les paramètres de partage de proximité, d'impression sans fil et d'autres options de connectivité.
Comptes : limitez les modifications de comptes et (facultativement) configurez les comptes Google et Mail.

De nombreuses options dans l'éditeur de stratégies Apple incluent une info-bulle qui documente les exigences et les versions de système d'exploitation prises en charge.

Enregistrer, supprimer et appareils associés

Utilisez la politique de sauvegarde pour appliquer vos modifications. Le bouton est désactivé lorsqu'il n'y a pas de modifications en attente, ou lorsque la licence est expirée.

Lorsque vous modifiez une stratégie existante, la page affiche également une action "Supprimer la stratégie". L'éditeur peut afficher une liste des "appareils associés" en bas, afin que vous puissiez voir le nombre d'appareils qui utilisent actuellement cette stratégie.

Pages suivantes

Code PIN : configurez les exigences du code PIN et les options de sécurité associées.
Restrictions : définissez les fonctionnalités autorisées et les limitations au niveau du système d'exploitation.
Applications et profils : configurez les applications installées et les profils de configuration.

Politiques - Apple

Stratégie Apple : Code d'accès

La section Paramètres du code d'accès permet de configurer les exigences relatives au code d'accès de l'appareil et les règles de sécurité associées (par exemple, la longueur et la complexité minimales).

Options

Dans l'éditeur de stratégies Apple, les options de code d'accès sont configurées à l'aide d'une combinaison de boutons et de champs numériques. De nombreux champs incluent des info-bulles qui indiquent les versions de système d'exploitation prises en charge et les exigences de supervision.

Boutons d'activation/désactivation du code d'accès

Modifier au prochain authentification : force un changement de mot de passe lors de la prochaine authentification de l'utilisateur.
Exiger un code alphanumérique : exige qu'au moins une lettre et un chiffre soient présents.
Exiger un code complexe : nécessite un code complexe (sans motifs répétitifs ou séquentiels et avec au moins un caractère non alphanumérique).
Exiger un code : nécessite un code sans exigences supplémentaires de longueur ou de qualité. Remarque : la configuration d'autres paramètres de code implique l'utilisation d'un code.

Champs numériques

TentativesInfructueuses:RéinitialisationEnMinutes: nombre de minutes avant la réinitialisation du compteur de tentatives échouées (nécessite MaximumFailedAttempts).
Nombre maximal de tentatives infructueuses : nombre de tentatives autorisées avant que l'appareil ne soit effacé/bloqué (plage : 2–11).
Période de grâce maximale en minutes : durée pendant laquelle l'appareil peut être déverrouillé sans nécessiter le code d'accès (0 = aucune).
Délai maximal d'inactivité en minutes : durée pendant laquelle l'appareil peut rester inactif avant le verrouillage (plage : 0–15).
Durée maximale de validité du code PIN en jours : durée pendant laquelle le code PIN est valide avant qu'un changement ne soit imposé (plage : 0–730).
Nombre minimum de caractères complexes : nombre minimal de "caractères complexes" (plage : 0–4).
LongueurMinimale : longueur minimale du code (plage : 0–16).
Limite du nombre de codes utilisés : nombre maximum de codes utilisés pour éviter la réutilisation de vieux codes (plage : 1–50).

Politiques - Apple

Politique Apple : Restrictions

La section Restrictions contrôle les fonctionnalités du système d'exploitation autorisées sur les appareils Apple gérés. Dans l'éditeur de politique Apple, ces options sont présentées sous forme de panneaux regroupés avec plusieurs interrupteurs.

De nombreuses restrictions ne sont prises en charge que sur des versions spécifiques du système d'exploitation et peuvent nécessiter des appareils supervisés. Consultez les info-bulles du tableau de bord pour connaître les exigences.

Sécurité

Autoriser le déverrouillage automatique
Autoriser l'utilisation de l'empreinte digitale pour le déverrouillage
Autoriser la modification de l'empreinte digitale

iCloud

Autoriser l'accès au carnet d'adresses iCloud
Autoriser la sauvegarde iCloud
Autoriser les favoris iCloud
Autoriser le calendrier iCloud
Autoriser le bureau et les documents iCloud
Autoriser la synchronisation des documents iCloud
Autoriser la synchronisation iCloud Freeform
Autoriser la synchronisation du trousseau iCloud
Autoriser l'accès aux e-mails iCloud
Autoriser l'accès aux notes iCloud
Autoriser l'accès à la bibliothèque de photos iCloud
Autoriser iCloud Private Relay
Autoriser les rappels iCloud

Multimédia

Autoriser l'appareil photo
Autoriser la modification du partage de fichiers
Autoriser l'accès aux fichiers via la clé USB

Cellulaire

Autoriser la modification des données cellulaires de l'application
Autoriser la modification des données cellulaires
Autoriser la modification du profil eSIM
Autoriser les transferts sortants eSIM

Réseau

Autoriser AirDrop
Autoriser les requêtes AirPlay entrantes
Autoriser AirPrint
Autoriser le stockage des informations d'identification AirPrint
Autoriser la découverte AirPrint iBeacon
Autoriser la modification des paramètres Bluetooth
Autoriser la modification des paramètres de partage Bluetooth
Autoriser l'accès au lecteur réseau pour les fichiers
Autoriser la modification du partage de connexion Internet

Comptes (restriction)

Le panneau Comptes contient à la fois des restrictions et (facultativement) des paramètres de configuration des comptes. Le commutateur de restriction contrôle si l'utilisateur peut modifier les comptes système.

Autoriser la modification des comptes

Politiques - Apple

Politique Apple : Applications et profils

Cette section explique comment configurer les applications gérées et les profils de configuration pour les appareils Apple.

Gestion des applications

Le panneau Gestion des applications contient à la fois les restrictions générales relatives aux applications et une liste des applications gérées.

Restrictions générales concernant les applications

Autoriser les applications clips
Autoriser l'installation d'applications
Autoriser la désinstallation des applications
Autoriser les téléchargements automatiques d'applications
Autoriser la dissimulation des applications
Autoriser le verrouillage des applications
Autoriser les achats intégrés

Applications gérées

Utilisez Ajouter une application pour ajouter une application à la stratégie. Chaque application gérée est affichée sous forme de carte. Vous pouvez développer la carte pour modifier ses paramètres et supprimer l'application à l'aide de l'action de suppression.

Identifiant de l'App Store : l'identifiant de l'application sur l'App Store pour les applications gérées.
Identifiant de l'application (Bundle ID) : l'identifiant de l'application, utilisé pour l'installation.
Comportement de l'installation : contrôle si l'application doit rester installée ou si elle peut être installée/désinstallée par l'utilisateur.
Attribution : type d'attribution de licence.
Licence VPP : type de licence VPP utilisée pour l'installation via l'App Store.

Comptes

Le panneau Comptes vous permet de configurer les comptes qui sont appliqués aux appareils gérés. Il comprend également un interrupteur pour restreindre la modification des comptes.

Restriction

Autoriser la modification du compte : lorsque cette option est désactivée, les utilisateurs ne peuvent pas modifier les comptes, tels que les comptes Apple et les comptes Internet.

Ajouter des comptes

Utilisez Ajouter un compte Google ou Ajouter un compte de messagerie pour ajouter des informations de compte à la stratégie. Chaque compte s'affiche sous forme de carte avec ses champs de configuration.

Informations d'identification des comptes des utilisateurs

Les cartes Google et Mail fournissent une option pour activer/désactiver les informations d'identification des comptes des utilisateurs. Lorsqu'elle est activée, le système applique les informations d'identification au niveau de chaque utilisateur. Lorsqu'elle est désactivée, vous devez saisir l'identité du compte dans la stratégie.

champs d'identification des comptes Google

Nom visible: le nom affiché à l'utilisateur pour le compte.
Adresse e-mail Google : l'adresse e-mail de l'utilisateur.
Nom complet : le nom complet de l'utilisateur.

Champs du compte de messagerie

Les comptes de messagerie incluent les champs d'identification ainsi que la configuration des serveurs entrants et sortants. Les noms d'hôte sont obligatoires.

Nom visible: le nom affiché à l'utilisateur pour le compte de messagerie.
Adresse e-mail: l'adresse e-mail de l'utilisateur.
Nom complet : le nom complet de l'utilisateur.

Serveur entrant

Type de serveur : protocole de messagerie (par exemple IMAP ou POP).
Méthode d'authentification : méthode d'authentification pour le serveur.
Préfixe du chemin IMAP : affiché uniquement lorsque le type de serveur est IMAP.
Nom d'hôte : obligatoire.
Port : numéro de port du serveur (1 à 65 535).

Serveur sortant

Méthode d'authentification
Nom d'hôte : obligatoire.
Port : numéro de port du serveur (1 à 65 535).

Options S/MIME

Pour les comptes de messagerie, vous pouvez également configurer le comportement du chiffrement et de la signature S/MIME.

Chiffrement

Chiffrement S/MIME
Identité, paramètre pouvant être modifié par l'utilisateur
Activation de l'interrupteur par message
Modifiable par l'utilisateur

Signature

Signature S/MIME
Identité, paramètre pouvant être modifié par l'utilisateur
Modifiable par l'utilisateur

Les options de compte et de restriction incluent des infobulles dans le tableau de bord qui expliquent les prérequis et les versions de système d'exploitation prises en charge.

État de l'Appareil

Vue d'ensemble de l'appareil

Ouvrez un appareil depuis le Tableau de bord → Appareils en cliquant sur la ligne de l'appareil. Le titre de la page affiche le Modèle (si disponible) et l'identifiant interne.

Données historiques par rapport à l'inscription actuelle

Lorsqu'un appareil possède plusieurs inscriptions, Cerberus Enterprise peut afficher un historique consultable en lecture seule. Dans ce cas, la page affiche une bannière "Données historiques" et un bouton pour revenir aux données d'inscription actuelles.

Champs principaux

La section supérieure résume les informations d'identification de l'appareil, son affectation et son état de gestion. Certains champs sont spécifiques à la plateforme et n'apparaissent que pour les appareils Android ou Apple.

Identifiant et Modèle : identifiants en lecture seule.
Utilisateur : affiche l'utilisateur actuellement attribué (le cas échéant). Depuis le menu utilisateur, vous pouvez Ouvrir l'utilisateur ou Changer d'utilisateur, ou attribuer un utilisateur si aucun n'est défini.
Mode de gestion et propriété : affichés avec des info-bulles dans l'interface utilisateur.
État : état actuel de l'appareil (avec icône et détails affichés dans un infobulle).
Profil ADE (uniquement pour les appareils Apple) : affiche le profil d'inscription automatique de l'appareil attribué (le cas échéant) et vous permet de l'ouvrir ou de le modifier.
Stratégie : affiche la stratégie attribuée et vous permet de l'ouvrir ou de la modifier, ou d'en attribuer une si aucune n'est définie.
Statut de conformité à la politique (lorsqu'une politique est attribuée) : indique si l'appareil est conforme.
Version de la politique (lorsqu'une politique est attribuée) : indique si l'appareil possède la dernière version de la politique installée.
Enregistré le et Dernier rapport d'état : horodatages de l'enregistrement et du dernier rapport d'état.
Radié le : affiché lorsque l'appareil a été désinscrit.

Certaines données et certains panneaux ne sont disponibles que lorsque la catégorie correspondante est activée dans la politique de l’appareil. Pour plus d’informations, consultez la Rapport d’état et la Position et géofences.

Panneaux

L'éditeur d'appareil est organisé en sections extensibles. Selon la plateforme et l'état, vous pouvez voir un ou plusieurs des panneaux suivants :

Carte de localisation : un volet tabulé avec l’historique de localisation pour l’appareil actuel et, sur les appareils Android, un onglet Géofences pour les transitions de géofences lorsque les données de géofence sont disponibles.
Commandes : envoyez des commandes à l'appareil et consultez l'historique des commandes (spécifique à la plateforme).
Posture de sécurité (Android uniquement) : posture, verdict Play Integrity et risques de sécurité.
Rapports d'application (Android uniquement) : applications installées et rapports de commentaires/erreurs.
Applications gérées (Apple uniquement) : état des applications gérées et détails d'installation.
Détails de non-conformité : affichés lorsque l'appareil n'est pas conforme ; liste les paramètres de stratégie qui ne sont pas conformes.
Rapports d'état : données supplémentaires signalées par l'appareil, affichées sous forme d'arborescence de catégories et de valeurs.
Historique des enregistrements : enregistrements précédents pour ce même appareil physique, affichés sous forme de liste.

Onglets du panneau de localisation

Le panneau de la carte de localisation utilise désormais des onglets pour que l'historique de localisation et les transitions de géofences restent séparés.

Localisation : affiche les filtres d’historique, une recherche par période, les marqueurs de localisation, le cercle de précision et les commandes de suivi en direct pour l’appareil actuel.
Géosérés (Android uniquement) : affiche l’historique des franchissements de géosérés sur une carte dédiée, avec des filtres par période, un interrupteur facultatif pour l’archivage des géosérés et une liste latérale des franchissements.

Pour le comportement complet de ces onglets, consultez Carte des lieux.

Actions

En bas de la page, vous pouvez actualiser les données et effectuer des actions en fonction de la plateforme, de l'état de l'appareil et du statut de la licence.

Actualiser les données : recharger les informations de l'appareil.
Désactiver l'appareil / Activer l'appareil (Android uniquement) : disponible dans les états pris en charge.
Désinscrire l'appareil : supprime la gestion de l'appareil. Le comportement exact dépend de la plateforme et du propriétaire (par exemple, Android peut supprimer un profil professionnel ou effectuer une réinitialisation aux paramètres d'usine).
Supprimer l'appareil : cette option est disponible lorsque l'appareil a déjà été désinscrit et que son enregistrement peut être supprimé.

État de l'Appareil

Commandes

L'éditeur de périphériques fournit un panneau Commandes pour envoyer des commandes à distance à un périphérique géré. Les commandes disponibles dépendent de la plateforme (Android ou Apple) et de l'état du périphérique.

Si l'appareil n'est pas actuellement connecté, la commande sera transmise et exécutée dès que l'appareil se connectera à Internet. Pour les commandes Android, vous pouvez définir le paramètre Durée pour déterminer la durée pendant laquelle une commande non transmise reste valide.

Commandes Android (AMAPI)

Pour les appareils Android, le panneau des commandes inclut un champ Durée (valeur + unité) et un sélecteur de commande. Certaines commandes nécessitent des paramètres supplémentaires, qui apparaissent dynamiquement lorsque vous sélectionnez la commande.

Paramètres courants

Durée : indique la durée de validité de la commande si elle ne peut pas être exécutée immédiatement.
Commande : sélectionnez l'action à envoyer à l'appareil.

Commandes avec champs supplémentaires

Réinitialiser le mot de passe : nécessite un nouveau mot de passe et une confirmation du nouveau mot de passe. Les options facultatives incluent : Verrouiller immédiatement, Exiger un code, et Ne pas demander les identifiants au démarrage.
Effacer les données de l'application : nécessite le nom du package cible Package.
Activer le mode perdu : nécessite un message personnalisé et prend en charge des champs de contact facultatifs (adresse, organisation, numéro de téléphone, courriel).
Demande des informations sur l'appareil : nécessite de sélectionner les informations sur l'appareil à demander.
Ajouter un eSIM : nécessite un code d'activation et un état d'activation.
Supprimer la eSIM : nécessite l'identifiant eSIM ICCID.
Effacer : prend en charge un message de raison d'effacement (affiché aux utilisateurs sur les appareils personnels) ainsi que des indicateurs d'effacement facultatifs.

Historique des commandes

Sous les commandes, le tableau de bord affiche l'historique des commandes. Le tableau est triable et prend en charge la pagination. Certaines lignes peuvent être développées pour afficher des paramètres supplémentaires ou des détails d'exécution.

Colonnes de l'historique Android

Date de création
Commande
Validité
État
Erreur
Date d'exécution

Commandes Apple (MDM)

Pour les appareils Apple, le panneau Commandes fournit un sélecteur de commandes. Certaines commandes nécessitent des paramètres supplémentaires. Comme pour Android, un tableau de l'historique des commandes est affiché ci-dessous.

Commandes avec champs supplémentaires

Installer l'application : nécessite l'identifiant de l'application Bundle ID.
EnvoyerNotification : nécessite un message de notification (longueur maximale de 200 caractères).

Historique des actions Apple

Date de création
Commande
État
Durée du statut

Actualiser

Utilisez l'action « Actualiser » dans le panneau des commandes pour recharger l'historique des commandes.

État de l'Appareil

Carte de localisation

Cette page documente les outils de géolocalisation spécifiques à l’appareil disponibles dans Aperçu de l’appareil. Le panneau contient un onglet Géolocalisation pour l’historique de position et, sur les appareils Android, un onglet Clôture géographique pour les transitions de clôture géographique.

Prérequis

Les données de localisation de l'appareil ne s'affichent que lorsque le reporting de localisation est activé dans la stratégie de l'appareil. Pour l'activer, ouvrez la stratégie et activez Localisation et clôture géographique → Envoyer la localisation. Pour plus de détails, consultez Localisation et clôture géographique.

Pour consulter la carte multi-appareils disponible depuis le tableau de bord, voir Carte du tableau de bord.

État de chargement et absence de données

Pendant le chargement des données de localisation, le panneau affiche un écran de chargement sur la carte.
Si l’appareil ne dispose pas de données de localisation, le panneau affiche un message indiquant Aucune donnée de localisation disponible, ainsi qu’un rappel d’activer la déclaration de position dans la stratégie attribuée.
Si un filtre de date est actif et qu’aucun échantillon ne correspond, le panneau affiche Aucune donnée disponible dans la plage de dates sélectionnée.

Onglet Position

Ouvrez l’onglet Position pour consulter l’historique d’un appareil. Les filtres disponibles incluent la dernière position connue, les intervalles d’historique récents, une plage de dates personnalisée et le suivi en direct.

Dernière : affiche la dernière position connue.
Aujourd'hui, Les 7 derniers jours, et Les 30 derniers jours : affichent les positions enregistrées pour la période sélectionnée.
Recherche : vous permet de choisir une période personnalisée.
Direct : démarre ou arrête le suivi en direct pour l’appareil actuel.

Détails du marqueur

Lorsque vous cliquez sur un marqueur de localisation, une fenêtre d'informations s'ouvre avec :

L'horodatage de l'enregistrement de géolocalisation.
La précision indiquée (en mètres).
La vitesse signalée, lorsque l'appareil la fournit.
Le cap indiqué, lorsque l'appareil le fournit.

Cercle de précision

Lorsque la fenêtre d'informations est ouverte, un cercle de précision s'affiche autour du marqueur. Le rayon du cercle correspond à la précision indiquée (en mètres). La fermeture de la fenêtre d'informations masque le cercle.

Suivi en direct

Dans la vue de l’historique de l’appareil, la sélection du filtre Suivi en direct lance une demande de suivi en temps réel pour cet appareil spécifique. Cerberus Enterprise demande une confirmation avant de lancer la demande.

Le suivi en direct s’exécute jusqu’à 15 minutes.
L’appareil affiche une notification pendant le suivi en direct.
Pendant le suivi en direct, le panneau actualise continuellement la dernière position et l'indicateur de suivi reste visible.
Sélectionner à nouveau le filtre en direct vous permet d’arrêter le suivi en direct avant la fin du délai d’attente.

Onglet « Périmètre virtuel »

Sur les appareils Android, l’onglet suivant affiche les transitions de périmètre virtuel générées à partir des périmètres virtuels définis dans la stratégie affectée. Cet onglet est disponible lorsqu’il existe des données de périmètre virtuel pour l’appareil.

La carte affiche les zones de périmètre virtuel actuelles ainsi que les points de transition enregistrés.
La liste des transitions sur la droite vous permet d’examiner les événements d’entrée et sortie.
Les filtres disponibles sont Aujourd’hui, Les 7 derniers jours, Les 30 derniers jours, et une recherche personnalisée par intervalle de dates.
Inclure les archives affiche également les transitions liées aux anciennes définitions de périmètres géoclimatiques qui ne sont plus présentes dans la politique actuelle.

Détails de transition de périmètre géographique

La sélection d’une transition affiche ses détails sur la carte et met en évidence l’élément correspondant dans la liste. Disponible, Cerberus Enterprise affiche également les coordonnées de l’appareil et la précision rapportée pour cette transition.

Carte de localisation du tableau de bord

La carte de localisation du tableau de bord offre une vue globale de la dernière position connue des appareils qui envoient des données de localisation. Ouvrez-la depuis Tableau de bord pour consulter plusieurs appareils sur la même carte Google.

Prérequis

Un appareil apparaît sur cette carte uniquement lorsque le signalement de la position est activé dans sa politique attribuée. Pour l’activer, ouvrez la politique et activez Position et géosérénade → Envoyer la position. Pour plus de détails, consultez Position et géosérénade.

Pour l’historique par appareil et les transitions de géocence disponibles dans l’éditeur d’appareil, consultez Carte de localisation.

État de chargement et absence de données

Pendant le chargement des données de localisation, la carte affiche un écran de chargement.
Si aucun appareil ne dispose actuellement de données de localisation, la page affiche un message Aucune donnée de localisation disponible.

Marqueurs et grappes

Chaque appareil disposant de données de localisation est affiché sous forme de marqueur. Lorsqu'un grand nombre d'appareils sont proches les uns des autres, les marqueurs sont regroupés automatiquement pour maintenir la lisibilité de la carte.

Les appareils en suivi en direct sont mis en évidence avec un marqueur animé pour qu'ils soient plus faciles à repérer sur la carte.

Contrôles de la carte

Lorsque la carte contient les emplacements des appareils, Cerberus Enterprise affiche des boutons d'action dans le coin supérieur droit de la carte.

Position actuelle : utilise la géolocalisation de votre navigateur pour déplacer la carte vers votre position actuelle et adapter la zone de précision signalée.
Recentrer la carte : ajuste de nouveau la carte autour des marqueurs d’appareil actuellement affichés.
Suivi en direct : apparaît lorsqu’un ou plusieurs appareils sont suivis en direct et indique le nombre d’appareils actuellement actifs.
Arrêter le suivi en direct : le bouton de l'icône dans la pilule de suivi en direct arrête le suivi en direct pour tous les appareils actuellement suivis après confirmation.

Détails du marqueur

Cliquer sur un marqueur ouvre une fenêtre d’informations avec :

Le modèle de l’appareil et l’identifiant interne.
L'horodatage de la dernière position signalée.
La précision signalée en mètres.
La vitesse signalée, si disponible.
L'entête ou la direction rapportée indiquée, si disponible.

L'identifiant de l'appareil dans la fenêtre d'informations est un lien qui ouvre la page Aperçu de l'appareil.

Actions de la fenêtre d'informations

Chaque fenêtre d'informations inclut également des boutons d'action pour l'appareil sélectionné.

Lien vers l’appareil : le nom de l’appareil et l’identifiant en haut de la fenêtre d’informations ouvrent la page d’aperçu de l’appareil correspondant.
Zoom avant : centre la carte sur l’appareil sélectionné et ajuste le cercle de précision signalé autour de celui-ci.
Suivi en direct : démarre le suivi en direct pour cet appareil. Si le suivi en direct est déjà actif, le même bouton l’arrête après confirmation.
Suivi en direct actif : lorsque cette ligne d’état est présente, elle indique que l’appareil sélectionné est déjà suivi en temps réel.

Cercle de précision

Lorsqu’un marqueur est sélectionné, la carte affiche un cercle de précision autour de la position. Le rayon du cercle correspond à la précision indiquée.

Comportement du suivi en direct

Le démarrage du suivi en direct à partir d'une fenêtre d'informations envoie une demande de suivi en temps réel à cet appareil. Cerberus Enterprise actualise ensuite automatiquement la carte pendant la durée de la session.

Chaque session de suivi en direct dure jusqu’à 15 minutes.
L’appareil affiche une notification pendant le suivi en direct.
Le suivi en direct peut être interrompu depuis la fenêtre d’informations de l’appareil sélectionné ou depuis le bouton Arrêter tout le suivi en direct sur la carte.

Applications privées

Dans cette section du tableau de bord, vous pouvez importer vos propres applications Android privées ou créer des applications web à distribuer sur vos appareils.

Les seules informations que vous devez fournir sont le titre de l'application et le fichier APK. Les applications privées sont automatiquement approuvées pour votre organisation et sont généralement prêtes à être distribuées en 10 minutes. Vous pouvez télécharger un total de 15 applications privées par jour. Notez que les applications web sont également prises en compte dans ce total.

La première fois que vous publiez une application privée, vous devrez fournir une adresse e-mail pour recevoir les notifications de la Play Console concernant vos applications et votre compte développeur Google Play. De plus, Play géré crée automatiquement un compte développeur Google Play au nom de votre organisation. Vous n'avez pas à payer de frais d'inscription pour ce compte.

Applications privées publiées depuis l'iframe :

Ne sont pas soumis aux mêmes contrôles que les autres applications. Par conséquent, ils ne peuvent pas être convertis en applications publiques.
Ne sont pas transférables. Vous ne pouvez pas transférer la propriété d'une application à un autre compte développeur Play.

Pour plus de détails, veuillez consulter l'aide de Google Play Entreprise

Gestion des certificats

Le tableau de bord comprend une section Certificats pour importer, afficher et supprimer les certificats. Cliquer sur une ligne de certificat ouvre l'éditeur de certificat.

Liste des certificats

Les certificats sont affichés dans un tableau triable et paginé. La liste comprend les certificats clients et les autorités de certification (CA).

Filtres

En haut de la page, vous pouvez activer les filtres à l'aide de la liste de puces. Certains filtres sont mutuellement exclusifs.

Tous : afficher tous les certificats.
Client : afficher uniquement les certificats client.
Autorité de certification (CA): afficher uniquement les certificats d'autorité de certification.
Rechercher : affiche un champ de texte (étiquette Nom ou nom de fichier) pour effectuer une recherche par nom de certificat ou nom de fichier importé.
Sans utilisateur: affiche les certificats clients qui ne sont associés à aucun utilisateur.

Colonnes du tableau

Nom
Type
Expiration
Utilisateur (affiché pour les certificats clients)
Nom du fichier importé
Date d'importation

Actions

Ouvrir le certificat : cliquez sur une ligne pour ouvrir l'éditeur de certificat.
Supprimer le certificat : cette option est disponible uniquement lorsque le certificat n’est pas associé à des utilisateurs/des stratégies et n’est pas utilisé par des appareils. Cette action peut également être désactivée lorsque la licence est expirée.
Sélection multiple : vous pouvez activer la sélection multiple pour supprimer plusieurs certificats en une seule fois. Seuls les certificats pouvant être supprimés peuvent être sélectionnés.
Actualiser : rechargez la liste des certificats.

Importer les certificats

Pour importer des certificats, cliquez sur Importer le certificat et sélectionnez un ou plusieurs fichiers. Les formats pris en charge sont indiqués dans l'info-bulle du bouton d'importation.

Clients

Format pris en charge : PKCS#12 encodé en Base64 (.p12 / .pfx).

Les certificats client identifient un utilisateur ou un appareil sur le réseau de l'entreprise. Les certificats client peuvent être associés à un utilisateur spécifique.

Chaque certificat client peut être associé, de manière facultative, à un utilisateur spécifique : cela permet de déployer la même configuration Wi-Fi EAP sur de nombreux appareils. Vous pouvez le faire dans la section configuration réseau, en utilisant l'option identifiants EAP des utilisateurs.

Vous pouvez également affecter un certificat à un utilisateur depuis la page Utilisateurs.

Autorités de certification (CA)

Formats pris en charge : X.509 encodé en Base64 (.crt / .pem / .cer / .der).

Les certificats CA identifient une autorité de certification et indiquent à l'appareil que tous les certificats émis par cette autorité doivent être considérés comme faisant confiance. Le tableau de bord vérifie qu'un certificat X.509 importé est bien un certificat CA.

Éditeur de certificats

Lorsque vous ouvrez un certificat, l'éditeur affiche ses champs principaux ainsi qu'un panneau d'informations sur le certificat en lecture seule Informations du certificat.

Champs principaux

Nom (obligatoire)
Identifiant (lecture seule)
Type (en lecture seule)
Expiration (en lecture seule)
Date d'importation (en lecture seule)
Nom de fichier importé (en lecture seule)

Association utilisateur (certificats clients)

Pour les certificats client, l'éditeur affiche un champ Utilisateur. Si un utilisateur est attribué, un menu vous permet de Ouvrir l'utilisateur, Modifier l'utilisateur, ou Dissocier l'utilisateur.

Supprimer le certificat

L'action de suppression est désactivée si le certificat est actuellement associé à un utilisateur ou utilisé dans des stratégies. Elle peut également être désactivée si la licence est expirée.

Appareils

La section Appareils du tableau de bord (Tableau de bord → Appareils) affiche tous les appareils enregistrés dans votre compte. À partir de cette page, vous pouvez filtrer la liste, ouvrir un enregistrement d'appareil et effectuer des actions sur les appareils, telles que la désactivation ou le désenregistrement.

Filtres

En haut de la page, vous pouvez activer un ou plusieurs filtres en utilisant la liste des options. Les options sélectionnées représentent les filtres actuellement actifs.

Filtres disponibles

Tous : afficher tous les appareils.
Android : afficher uniquement les appareils Android.
Apple : afficher uniquement les appareils Apple.
Appareils appartenant à l'entreprise : afficher uniquement les appareils appartenant à l'entreprise.
Appareils personnels : afficher uniquement les appareils personnels.
Propriétaire du profil : afficher uniquement les appareils Android enregistrés avec un profil professionnel.
Propriétaire de l'appareil : afficher uniquement les appareils Android entièrement gérés.
Actifs : afficher uniquement les appareils en état actif.
Conformes : afficher les appareils qui respectent les politiques.
Non conformes : afficher les appareils qui ne respectent pas les politiques.
Sécurisés : afficher les appareils ayant un niveau de sécurité élevé.
Non sécurisés : afficher les appareils dont le niveau de sécurité est faible.
Stratégie non mise à jour : afficher les appareils pour lesquels des modifications de stratégie sont en attente.
État non mis à jour : afficher les appareils qui n'ont pas signalé leur état au cours des 72 dernières heures.
Erreurs des applications : afficher les appareils dont les applications ont signalé des erreurs.
Recherche : activer un champ de recherche textuelle.

Recherche : activer un champ de recherche textuelle

Lorsque vous activez le filtre Recherche, un champ de texte apparaît avec le libellé Identifiant, modèle ou utilisateur. La liste est mise à jour automatiquement lorsque vous arrêtez de taper.

Tableau des appareils

Les appareils sont affichés dans un tableau triable et paginé. Cliquer sur une ligne ouvre l'éditeur de l'appareil.

Colonnes

Id: identifiant interne de l'appareil.
MDM : plateforme (Android ou Apple).
Modèle : modèle de l'appareil.
Propriété : appartenant à l'entreprise ou à un particulier (avec détails dans l'info-bulle).
Mode de gestion : mode de gestion (avec détails dans l'info-bulle).
Stratégie : stratégie actuellement appliquée.
Utilisateur : utilisateur associé (nom, adresse e-mail ou identifiant, selon disponibilité).
Dernier rapport d'état : date et heure du dernier rapport d'état disponible.
État : état de l'appareil (avec détails dans l'info-bulle).
Conformité : indicateur de l'état de conformité.
Sécurité : état de sécurité (avec détails dans l'info-bulle).
Erreurs d'applications : indicateur d'erreurs d'applications.

Actualiser et pagination

Utilisez l'action "Actualiser" pour recharger la liste.
Le tableau est paginé (10/25/50 éléments par page).

Actions sur l'appareil

Chaque ligne d'appareil peut proposer des actions, en fonction de la plateforme et de l'état de l'appareil. Certaines actions sont désactivées lorsque votre licence est expirée ou résiliée.

Actions par appareil

Désactiver l'appareil / Activer l'appareil : disponible pour les appareils Android dans les états pris en charge.
Désinscrire l'appareil : supprime la gestion. Sur Android, cela peut effacer le profil professionnel ou effectuer une réinitialisation aux paramètres d'usine (selon le propriétaire) ; sur Apple, cela supprime les paramètres de configuration.
Supprimer l'appareil : disponible pour les appareils déjà désinscrits (supprime l'enregistrement du système).

Sélection multiple de lignes

Vous pouvez activer la sélection multiple de lignes à partir de la barre d'actions située sous le tableau. Une fois activée, vous pouvez sélectionner plusieurs lignes et appliquer des actions groupées (désactiver, activer, désinscrire ou supprimer), selon les appareils sélectionnés.

Synchronisation avec Apple Business Manager

Si Apple Management est configuré et qu'un jeton d'inscription automatique des appareils est présent, la page peut afficher l'action Synchronisation depuis ABM pour importer les appareils depuis Apple Business Manager.

Enregistrer un appareil

Utilisez "Enregistrer un appareil" pour ouvrir la section des jetons d'inscription et commencer à enregistrer un nouvel appareil.

Utilisateurs

La section Utilisateurs du tableau de bord (Tableau de bord → Utilisateurs) affiche tous les utilisateurs configurés dans votre compte. À partir de cette page, vous pouvez rechercher des utilisateurs, ouvrir l'éditeur de profil utilisateur, créer de nouveaux utilisateurs et supprimer les utilisateurs qui ne sont pas actuellement associés à des appareils.

Recherche : activer un champ de recherche textuelle

En haut de la page, vous trouverez un champ de recherche avec l'étiquette Rechercher et l'espace réservé Nom, nom d'utilisateur ou adresse e-mail. La liste se met à jour automatiquement lorsque vous cessez de taper.

Tableau des utilisateurs

Les utilisateurs sont affichés dans un tableau triable et paginé. Cliquer sur une ligne ouvre l'éditeur de l'utilisateur.

Colonnes

Id: identifiant utilisateur interne.
Prénom : prénom de l'utilisateur.
Nom : nom de l'utilisateur.
Nom d'utilisateur : nom d'utilisateur (souvent un nom de répertoire).
Adresse e-mail : adresse e-mail de l'utilisateur.
Appareils : nombre d'appareils actuellement associés à l'utilisateur.
Certificat Wi-Fi : indicateur qui montre si un certificat Wi-Fi est attribué à l'utilisateur.

Actualiser et pagination

L'action "Actualiser" recharge la liste.
Le tableau est paginé (10/25/50 éléments par page).

Actions utilisateur

Créer un nouvel utilisateur

Utilisez Créer un nouvel utilisateur pour ouvrir la boîte de dialogue de création d'utilisateur. Cette action est désactivée lorsque votre licence est expirée.

Synchronisation depuis Google Workspace

Si la synchronisation avec l'annuaire Google Workspace est disponible pour votre compte, la page affiche Synchronisation depuis Google Workspace. Lorsque vous lancez une synchronisation, un indicateur de progression s'affiche pendant que la requête est en cours.

Supprimer un utilisateur

Vous pouvez supprimer un utilisateur uniquement si celui-ci n'est associé à aucun appareil (la colonne Appareils doit être à 0). L'action de suppression est désactivée lorsque votre licence est expirée ou résiliée.

Sélection multiple de lignes et suppression en masse

À partir de la barre d'actions située sous le tableau, vous pouvez activer la sélection de plusieurs lignes. En mode sélection multiple, vous pouvez sélectionner plusieurs utilisateurs et les supprimer en masse.

Conditions d'éligibilité : seuls les utilisateurs ayant un nombre de appareils égal à 0 peuvent être sélectionnés pour la suppression.
Sélectionner tout : la case "Tout" sélectionne toutes les lignes éligibles de la page actuelle.
Suppression en masse : La fonction Supprimer les utilisateurs sélectionnés est désactivée si aucune ligne n'est sélectionnée, ou si votre licence a expiré ou a été résiliée.

Certificats Wi-Fi et EAP

La colonne Certificat Wi-Fi indique si un certificat est actuellement attribué à un utilisateur. Les certificats utilisateur sont généralement utilisés pour les configurations Wi-Fi EAP (par exemple, EAP-TLS). Pour l'attribution et la gestion des certificats, consultez Gestion des certificats.

Utilisateurs

Éditeur de profil utilisateur

L'éditeur de profil utilisateur est accessible depuis le Tableau de bord → Utilisateurs en cliquant sur une ligne d'utilisateur. Il vous permet de modifier les détails de l'utilisateur, de configurer les informations d'identification Wi-Fi EAP par utilisateur et de consulter les appareils associés à l'utilisateur.

Détails de l'utilisateur

La section supérieure contient les champs principaux de l'utilisateur. Certains champs sont obligatoires et l'éditeur affiche des erreurs de validation lorsqu'ils sont manquants ou invalides.

Identifiant : identifiant en lecture seule.
Prénom : obligatoire.
Nom : obligatoire.
Nom d'utilisateur : obligatoire.
Adresse e-mail : obligatoire et doit être une adresse e-mail valide.
Numéro de téléphone : facultatif.
Compte Google : facultatif, et doit être une adresse e-mail valide si fourni.

Authentification Google : stratégie par défaut

Dans les environnements Google Workspace avec l'authentification Google activée, l'éditeur peut afficher Authentification Google : stratégie par défaut. Il s'agit de la stratégie appliquée aux appareils inscrits via l'authentification Google par cet utilisateur.

Modifier la stratégie : ouvre la boîte de dialogue de sélection de la stratégie.
Ouvrir la stratégie : ouvre la stratégie sélectionnée dans l'éditeur de stratégie (lorsqu'une stratégie est configurée).
Après avoir sélectionné une nouvelle stratégie par défaut, vous devez enregistrer les modifications pour l'utilisateur afin qu'elles soient appliquées. L'éditeur affiche un message vous rappelant d'enregistrer.

Identifiants Wi-Fi EAP

La section Identifiants Wi-Fi EAP est utilisée pour configurer les identifiants spécifiques à chaque utilisateur qui sont automatiquement installés sur les appareils de l'utilisateur lorsque leur stratégie attribuée contient une configuration Wi‑Fi EAP qui les requiert. La configuration Wi-Fi EAP fait partie de la configuration réseau.

Certificat client

Vous pouvez éventuellement attribuer un certificat client à un utilisateur. Lorsqu'un certificat est attribué, il apparaît dans le champ Certificat client et un menu propose des actions. Lorsqu'aucun certificat n'est attribué, le champ affiche Aucun certificat attribué et vous pouvez en attribuer un.

Attribuer un certificat : ouvre la boîte de dialogue de sélection du certificat.
Ouvrir le certificat : ouvre l'éditeur de certificat.
Modifier le certificat : permet de sélectionner un certificat client différent.
Dissocier le certificat : supprime le certificat de l'utilisateur. Le système supprime également le certificat de tous les appareils associés à cet utilisateur.

Pour l'importation et la gestion des certificats, consultez Gestion des certificats.

Identité, identité anonyme et mot de passe

Identité : identité de l'utilisateur. Pour le tunneling des protocoles externes (PEAP, EAP‑TTLS), cela est utilisé à l'intérieur du tunnel.
Identité anonyme : utilisée pour le tunneling des protocoles externes, représentant l'identité présentée en dehors du tunnel. Si non spécifiée, elle par défaut à une chaîne vide.
Mot de passe : le mot de passe de l'utilisateur requis pour les méthodes EAP. S'il n'est pas spécifié, l'appareil peut inviter l'utilisateur à le saisir. Une action de masquage/démasquage permet d'afficher ou de masquer le mot de passe.

Appareils associés

La section Appareils associés affiche la liste des appareils actuellement associés à l'utilisateur. Si l'utilisateur a un ou plusieurs appareils associés, il ne peut pas être supprimé.

Enregistrer et supprimer

Enregistrer l'utilisateur : activé uniquement lorsque le formulaire est valide, qu'il existe des modifications en attente et que la licence est active. Un indicateur de progression est affiché pendant l'enregistrement.
Supprimer l'utilisateur : cette option est désactivée si l'utilisateur est associé à des appareils ou si la licence est expirée/résiliée. Lorsque la suppression est autorisée, une boîte de dialogue de confirmation s'affiche. Si l'utilisateur est associé à des jetons d'inscription, la boîte de dialogue avertit que les appareils inscrits avec ces jetons ne seront plus associés à un utilisateur.

Avertissement : les modifications n'ont pas été enregistrées

Si vous avez des modifications non enregistrées et que vous essayez de quitter la page, le tableau de bord vous demandera si vous souhaitez supprimer les modifications.

Compte

Paramètres

La page Paramètres (Tableau de bord → Paramètres) récapitule les informations relatives au compte et à la licence, et propose des actions pour gérer la facturation, la configuration de la plateforme (gestion Android et gestion Apple) ainsi que les intégrations optionnelles de répertoires/jetons.

Bannière de licence (expiration imminente / expirée)

Lorsque votre licence est sur le point d'expirer, expirée ou résiliée, une bannière bien visible s'affiche en haut de la page. Selon votre statut d'abonnement, elle propose soit une action "Gérer les paiements" (portail client Stripe), soit une action "Acheter une licence".

Lorsque la licence est expirée, le compte est limité à la seule fonction de désinscription des appareils. Après la période de grâce, le compte peut être annulé et les appareils peuvent être automatiquement désinscrits.

Informations sur le compte

La carte "Informations du compte" affiche des champs en lecture seule :

Nom d'utilisateur
Nom de l'entreprise
Identifiant de l'entreprise

Modifier le mot de passe

Si vous n'êtes pas connecté avec Google ou Apple, la carte affiche également une action "Modifier le mot de passe". Cela ouvre une fenêtre de dialogue pour continuer le processus de modification du mot de passe.

Informations de licence

La carte Informations sur la licence affiche l'état actuel de la licence et la limite du nombre d'appareils autorisés. Elle fournit également des actions pour contacter le service commercial, gérer la facturation ou acheter une licence.

État de la licence : affiché comme Actif ou Expiré (avec un badge et un info-bulle).
Essai gratuit : affiché lorsque le compte est actuellement en période d'essai.
Appareils sous licence : nombre maximum d'appareils autorisés par la licence. Le lien "besoin de plus d'appareils ?" ouvre un message pour contacter le support.
Prochain renouvellement programmé : affiché pour les abonnements actifs qui se renouvellent automatiquement. Sinon, la carte affiche la date d'expiration.

Gestion des appareils Android

La carte Gestion des appareils Android affiche l'état de la gestion des appareils Android pour votre entreprise. Si la gestion des appareils Android n'est pas encore configurée, la carte propose une action Configurer la gestion des appareils Android qui ouvre le processus de configuration.

État de configuration

Lorsque la gestion Android est configurée, la carte peut afficher :

Identifiant de gestion
Synchronisé avec Google Workspace (l'indicateur s'affiche lorsque la synchronisation de l'annuaire est active).
Paramètres du compte Google Play géré (lien vers les paramètres d'administration de Google Play, si applicable).
Console d'administration Google (lien, si applicable).
Synchronisation avec Google Workspace (visible lorsque la synchronisation du répertoire n'est pas configurée ; ouvre le panneau d'instructions en bas de la page).

Gestion des appareils Apple

La carte Gestion des appareils Apple affiche l'état de la gestion des appareils Apple (MDM) pour votre entreprise. Si la gestion Apple n'est pas encore configurée, la carte propose une action Configurer la gestion Apple qui ouvre le processus de configuration.

État de configuration

Une fois la gestion Apple configurée, la carte peut afficher :

Identifiant Apple
Expiration du certificat Apple Push : indique la date d'expiration et affiche une icône. Si le certificat arrive à échéance ou est expiré, l'icône est cliquable et affiche les instructions de renouvellement.
Date d'expiration du jeton ABM : affiche la date d'expiration du jeton Apple Business Manager (un indicateur cliquable s'affiche lorsque l'action est nécessaire).
Jeton VPP : affiche le nom de l'organisation et la date d'expiration du jeton du programme d'achat en volume Apple (une icône cliquable s'affiche lorsque l'action est requise).
Portail Apple Business Manager : lien affiché lorsqu'un jeton ABM est présent.
Synchronisation avec Apple Business Manager et Synchronisation avec le programme d'achat en volume Apple : affichés lorsque les jetons sont manquants.

La gestion Apple nécessite la configuration du certificat APNs. Si nécessaire, consultez Configuration de la gestion Apple (APNs).

Préférences et confidentialité

La section Préférences et confidentialité contient un interrupteur pour les préférences marketing ainsi que des liens vers les conditions d'utilisation et la politique de confidentialité. Utilisez Enregistrer les préférences pour appliquer les modifications (un indicateur de progression est affiché pendant l'enregistrement).

Envoyer une remarque

Lorsque les abonnements sont activés pour le compte, la page peut afficher une carte Envoyer une remarque avec des liens vers : Formuler une demande de fonctionnalité et des plateformes d'avis externes.

Instructions de configuration et de renouvellement intégrées

En bas de la page, le tableau de bord peut afficher des panneaux d'instructions déroulants en fonction de l'état actuel (par exemple, lorsqu'un certificat/jeton est manquant ou sur le point d'expirer).

Renouveler le certificat Apple Push Notification (APNs)

Lorsque le certificat APNs arrive à expiration ou est expiré, une section s'affiche avec les étapes pour télécharger une demande de signature (CSR), renouveler le certificat sur le portail d'Apple, et importer le nouveau certificat dans Cerberus Enterprise.

Synchronisation avec Apple Business Manager (ABM)

Lorsque le jeton ABM est manquant, expiré ou sur le point d'expirer, une fenêtre affiche les étapes à suivre pour télécharger un jeton depuis Apple Business Manager et l'importer dans Cerberus Enterprise.

Synchronisation avec le programme Apple Volume Purchase (VPP)

Lorsqu'il manque, qu'il a expiré ou qu'il est sur le point d'expirer, le panneau affiche les étapes à suivre pour télécharger un jeton de contenu depuis Apple Business Manager et l'importer dans Cerberus Enterprise.

Synchronisation avec Google Workspace

Lorsque la synchronisation avec le répertoire Google Workspace n'est pas configurée, une fenêtre s'affiche pour expliquer l'intégration et fournit un bouton d'autorisation. Elle affiche également les autorisations Google OAuth requises : https://www.googleapis.com/auth/admin.directory.user.readonly.

Pour la configuration initiale d'Android, consultez la configuration Android Management.

Multitenance

Aperçu de la multi-tenancy

La section Multi-tenancy est disponible pour les comptes MSP et gestionnaires d'entreprise qui gèrent plusieurs entreprises clientes depuis une seule connexion. Ce chapitre explique le modèle de portée d'entreprise, le basculement d'entreprise, l'administration des entreprises gérées et les sous-comptes.

Pour demander un compte multi-tenancy, contactez enterprise@cerberusapp.com.

Concepts clés

Compte multi-location principal: le compte administrateur principal qui peut accéder à l’espace de travail multi-location global.
Compte secondaire: un compte de gestionnaire délégué créé par le compte principal, avec des attributions d’entreprise sélectionnables.
Contexte d’entreprise sélectionné : l’entreprise active actuellement ouverte dans le tableau de bord pour les opérations quotidiennes.
Délégation : autorisation accordée par un propriétaire d’entreprise qui permet à un compte de gestionnaire d’accéder et de gérer cette entreprise.

Lorsque aucun contexte d'entreprise n'est sélectionné, la navigation latérale affiche les espaces multi-tenants tels que Entreprises et, pour les comptes principaux, Sous-comptes. Une fois une entreprise sélectionnée, le tableau de bord passe à la navigation standard à entreprise unique (Accueil, Utilisateurs, Appareils, Inscription, Stratégies, et plus).

Propriété et délégation

Chaque entreprise gérée a un propriétaire. Le propriétaire peut toujours accéder à cette entreprise. Les comptes de gestionnaires non-propriétaires peuvent accéder à une entreprise uniquement lorsque la délégation est accordée.

La propriété et l'état de la délégation sont affichés directement sur les cartes des entreprises afin de rendre la portée d'accès explicite avant d'entrer dans une entreprise.

Actions relatives aux licences et à la facturation

Les vues multi-tenant affichent l'état de la licence, les limites de l'appareil et les actions de facturation entreprise. Selon l'état de l'abonnement de l'entreprise et vos autorisations, la carte peut afficher Gérer la facturation ou Acheter une licence.

Pour les entreprises créées par un compte multi-tenant, la gestion des licences est assurée par les utilisateurs multi-tenant. Le compte principal peut toujours gérer les licences, tandis que les comptes secondaires peuvent gérer les licences uniquement lorsque le compte principal active Peuvent gérer la licence pour ce compte secondaire.

Pages de ce chapitre

Entreprises gérées: recherche, filtres, détails de carte et création d’entreprise.
Passage d’entreprise: comportement du commutateur principal et transitions de portée.
Comptes secondaires: opérateurs délégués, affectations et gestion des identifiants.

Multitenance

Entreprises gérées

La page Entreprises (Tableau de bord → Entreprises) est le centre de contrôle pour l’accès aux entreprises gérées. Elle liste toutes les entreprises visibles par votre compte multi-locataire et vous permet de filtrer, d’inspecter la propriété/la délégation, d’entrer dans un contexte d’entreprise et de créer de nouvelles entreprises gérées (comptes principaux uniquement).

Recherche et filtres

Recherche dans l’entreprise : filtre par nom d’entreprise ou ID d’entreprise.
Délégation : Tout, Délégué, ou Non délégué.
Statut de la licence: Tous, Valide, Expiration imminente, Expiré, ou Résilié.

Cartes Entreprise

Chaque carte Entreprise affiche les métadonnées de gestion essentielles :

Statut de la licence avec indicateur et info-bulle contextuelle.
Appareils sous licence (limite du nombre d’appareils de l’entreprise).
Prochain renouvellement programmé ou date d’expiration, selon l’état de l’abonnement.
Délégation état (Propriétaire, Accordée, ou Non accordée).
Nom d’affichage et nom d’utilisateur du propriétaire.

Entreprises récemment sélectionnées

Les entreprises que vous avez récemment consultées sont épinglées dans une section Entreprises récemment sélectionnées pour accélérer les changements de contexte répétés.

Actions Entreprise

Entrez entreprise : ouvre le contexte entreprise sélectionné lorsque la délégation/la propriété autorise l'accès.
Gérer la facturation : ouvre la gestion de la facturation entreprise lorsque celle-ci est disponible et autorisée.
Acheter une licence : ouvre le flux d’achat entreprise lorsque la facturation n’est pas active.

Qui peut gérer les licences

Pour les entreprises créées par un compte multi-tenant, la gestion des licences est contrôlée par les utilisateurs multi-tenant. Le compte principal peut toujours gérer la facturation et les actions relatives aux licences pour ces entreprises.

Les sous-comptes ne peuvent gérer la facturation et les actions relatives aux licences que si le compte principal accorde la permission de gérer les licences dans la page des sous-comptes.

Créer une entreprise gérée

Les comptes multi-tenancy principaux peuvent étendre Créer une entreprise gérée depuis la zone d'actions inférieure.

Le nom de l’entreprise est requis.
La création d’un utilisateur administrateur par entreprise contrôle le mode de propriété.
Lorsque l'option est activée, nom d'utilisateur administrateur (au format e-mail) et nom d'administrateur sont requis.
Avant la création, une fenêtre de confirmation récapitule l'opération et, le cas échéant, avertit que des identifiants temporaires sont envoyés par e-mail au nouvel utilisateur administrateur.

Mode de propriété

Administrateur multi-entreprise activé: le nouvel administrateur possède l'entreprise et peut déléguer la gestion à votre compte multi-locataire.
Administrateur par entreprise désactivé: l'entreprise est directement associée à votre compte multi-tenancy.

Quota entreprise

Si le compte atteint la limite d'entreprise configurée, la création est bloquée et le formulaire affiche un message de contact du support avec le nombre actuel et le nombre maximum d'entreprises.

Lorsque la limite d'entreprises est atteinte, vous ne pouvez pas créer d'entreprises gérées supplémentaires tant que votre limite n'est pas augmentée.

Multitenance

Basculer vers l'entreprise

Le basculeur d'entreprise dans la barre d'outils supérieure permet aux utilisateurs multi-tenant de passer d'une entreprise déléguée à une autre sans se déconnecter. Il est disponible lorsqu'au moins un contexte d'entreprise peut être sélectionné.

Comportement du basculeur

Le déclencheur affiche le nom de l'entreprise (ou l'identifiant de l'entreprise s'il n'y a pas de nom).
Le menu affiche les entreprises déléguées/accessibles et marque l'entreprise actuelle comme étant déjà sélectionnée.
Pendant le changement, les actions de basculement sont temporairement désactivées pour empêcher les modifications simultanées de la portée.

Quitter l'entreprise

Règles de réinitialisation du contexte

Le changement d'entreprise ou la sortie de l'entreprise réinitialise la portée du tableau de bord. Les pages et les données spécifiques à l'entreprise sont actualisées en fonction du contexte sélectionné, et la visibilité du menu s'adapte en fonction de la sélection d'une entreprise.

Utilisez le sélecteur pour changer rapidement de contexte opérationnel, mais vérifiez le nom de l'entreprise sélectionnée avant d'exécuter des actions sensibles comme les mises à jour de politiques ou les commandes de périphériques.

Multitenance

Comptes secondaires

La page Comptes secondaires (Tableau de bord → Comptes secondaires) est disponible pour les comptes multi-locataires principaux. Elle vous permet de créer des utilisateurs de gestion délégués, d’affecter des entreprises gérées, de contrôler les autorisations de facturation et de gérer les informations d’identification des comptes secondaires.

Liste des comptes secondaires

Chaque carte de compte secondaire affiche l'identité et les contrôles de gestion :

Nom et nom d'utilisateur/adresse e-mail.
Entreprises gérées, affectation multi-sélection.
Autorisation de gérer les licences, bascule.
Réinitialiser le mot de passe et supprimer les actions.

Attribution d'entreprises gérées

Les affectations d'entreprises sont modifiées via le champ multi-sélection Entreprises gérées. Lorsque vous fermez le sélecteur après modification, le tableau de bord vous demande une confirmation avant d'enregistrer les mises à jour.

Autorisation de gestion des licences

Le mode de gestion des licences permet de contrôler si un sous-compte peut accéder aux actions de facturation/gestion des licences de l'entreprise.

Pour les entreprises créées par le compte multi-tenancy, le compte principal conserve toujours les droits de gestion des licences. Les sous-comptes reçoivent les droits de gestion des licences uniquement lorsque ce paramètre est activé par le compte principal.

Réinitialisation du mot de passe

Réinitialiser le mot de passe génère un nouveau mot de passe temporaire et l'envoie au sous-compte par e-mail après confirmation.

Supprimer le sous-compte

La suppression d'un sous-compte nécessite une confirmation et supprime définitivement l'accès délégué pour ce compte.

Créer un sous-compte

Utilisez le panneau d’actions inférieur Créer un sous-compte pour ajouter un nouveau gestionnaire délégué.

Email : requis et validé au format e-mail.
Nom : nom d'affichage obligatoire.
Peut gérer la licence : permission de facturation initiale facultative.
Avant la création, une fenêtre de confirmation avertit qu'un e-mail contenant un mot de passe temporaire est envoyé à l'adresse fournie.

Informations

Voici quelques articles qui expliquent comment une solution MDM peut aider votre entreprise :

Qu'est-ce que le mode Kiosque ? Un guide pour verrouiller les appareils Android et Apple pour les entreprises

Le mode Kiosque transforme les téléphones et tablettes classiques en outils professionnels spécialisés. Cerberus Enterprise aide les organisations à verrouiller les appareils sur une seule application ou un ensemble restreint d’applications approuvées pour des cas d'utilisation tels que les terminaux de paiement pour la vente au détail, l'enregistrement des visiteurs et la navigation pour les flottes, tout en facilitant la sécurisation, le support et la gestion de ces appareils spécialisés à grande échelle.

Comment choisir la bonne solution MDM : une liste de contrôle en 7 points pour les petites entreprises

Choisir une solution MDM tard dans le processus d’achat est plus facile lorsque la comparaison reste pragmatique. Cette liste de contrôle aide les petites entreprises à évaluer les fournisseurs selon les sept critères qui importent généralement le plus dans les déploiements réels : sécurité, prise en charge d’Android et d’Apple, facilité d’utilisation pour les équipes réduites, évolutivité, limites de confidentialité, coût total de possession et capacité de support au quotidien.

Créer une salle de classe numérique sûre et axée : un guide de la GRC pour les écoles de la maternelle à la 12e année

Les appareils gérés par l’école fonctionnent le mieux lorsqu’ils restent concentrés sur l’apprentissage. Cerberus Enterprise aide les organisations de la maternelle à la 12e année à maintenir les appareils des élèves concentrés grâce à des applications gérées, des restrictions de type borne, des configurations standardisées pour les appareils partagés ou prêtés, et des actions de récupération à distance qui réduisent les pertes, les dérives et les perturbations en classe.

Équiper vos techniciens sur le terrain : comment le MDM améliore l’efficacité et la sécurité sur site

Les techniciens sur le terrain dépendent des appareils mobiles pour les horaires, les notes de service, les références techniques, l’historique des clients et les mises à jour des tâches lorsqu’ils travaillent sur site. Cerberus Enterprise les aide à maintenir ces appareils prêts grâce aux applications gérées, aux modèles d’appareils standardisés, aux commandes de support à distance et à une visibilité basée sur la géolocalisation qui peut améliorer la coordination de la planification tout en renforçant la sécurité sur le terrain.

Au-delà de la Carte : Utilisez la GRC pour une Gestion de Flotte Plus Intelligente et une Sécurité des Conducteurs Accrue

Les opérations de flotte s'appuient sur les appareils mobiles pour la navigation, la transmission, la messagerie, la journalisation et l'exécution sur le terrain. Cerberus Enterprise aide à maintenir ces appareils concentrés sur les flux de travail approuvés grâce à des applications gérées, des contrôles de mode kiosque et d'appareils dédiés, des politiques de communication sécurisées, un dépannage à distance et une supervision basée sur la géolocalisation qui peut réduire les temps d'arrêt et soutenir des opérations de conduite plus sûres.

Comment les clôtures géographiques, le suivi en direct et les cartes de localisation améliorent les opérations de l'entreprise

Les fonctionnalités basées sur la localisation dans Cerberus Enterprise aident les organisations à passer d'une simple visibilité des appareils à un contrôle opérationnel plus pratique. Les rapports de localisation périodiques, le suivi en direct, les transitions de clôtures géographiques et les cartes interactives peuvent soutenir la logistique, le service en milieu, la santé, le commerce de détail, la construction et autres équipes réparties qui ont besoin de mieux comprendre où se déroulent les travaux et quand les appareils entrent ou sortent de zones importantes.

Comment la multi-tenancy aide les MSP à développer leurs services MDM et à créer de nouvelles sources de revenus

La multi-tenancy permet aux MSP, revendeurs et organisations multi-sociétés de gérer plusieurs entreprises depuis un seul compte Cerberus Enterprise tout en gardant chaque environnement séparé. Ce modèle réduit les frictions opérationnelles, améliore la scalabilité des services et prend en charge l'accès délégué via des sous-comptes et une administration contrôlée explicitement par les clients. Il crée également des opportunités commerciales plus fortes pour les fournisseurs qui souhaitent combiner la licence logicielle avec l'intégration, le support, la conformité et les services de mobilité gérée.

Améliorez l'efficacité de votre entreprise avec les solutions MDM :

La gestion centralisée des appareils mobiles simplifie l'inscription, la configuration et la maintenance. La provisionnement automatisé et les opérations groupées réduisent le travail manuel de l'équipe informatique et garantissent une application uniforme des politiques sur tous les appareils. Les fonctionnalités de sécurité telles que le chiffrement, la surveillance de la conformité et l'effacement à distance protègent les données de l'entreprise. Globalement, la gestion des appareils mobiles améliore la productivité tout en réduisant les coûts de support et la complexité opérationnelle.

Sécurité avancée dans la gestion Android Enterprise

Android Enterprise utilise un profil professionnel pour isoler les applications et les données d’entreprise du contenu personnel sur le même appareil. Cette conteneurisation crée des environnements cryptés distincts, gérés indépendamment par les administrateurs informatiques. Les politiques de sécurité peuvent contrôler le partage des données d’entreprise sans affecter les applications personnelles. L’architecture protège les données professionnelles même si les applications personnelles sont compromises.

Apple iPhone MDM et inscription automatisée

Le framework MDM d’Apple permet la gestion centralisée des iPhones dans les environnements professionnels. Combiné à Apple Business Manager, les appareils peuvent s’inscrire et se configurer automatiquement lors de leur première activation. Les administrateurs peuvent déployer et configurer silencieusement des applications d’entreprise, appliquer des paramètres de sécurité et surveiller la conformité. Cette automatisation garantit une configuration d’appareils cohérente et réduit les erreurs de configuration.

Comprendre la gestion des appareils mobiles

La gestion des appareils mobiles offre une plateforme centralisée pour surveiller, sécuriser et contrôler les appareils mobiles accédant aux systèmes d’entreprise. Les principales fonctionnalités comprennent l’application de politiques de sécurité, la gestion des applications et le verrouillage ou l’effacement à distance des appareils perdus. La GMD aide à protéger les données de l’entreprise tout en maintenant la conformité des appareils. Elle permet aux entreprises de toutes tailles de gérer en toute sécurité une main-d’œuvre mobile en constante augmentation.

Modèles de déploiement des appareils Entreprise

Les organisations peuvent adopter plusieurs modèles de propriété des appareils, tels que BYOD, CYOD, COPE, COBO et COSU. Chaque modèle équilibre différemment le coût, la flexibilité de l’utilisateur et le contrôle de la sécurité. Le BYOD privilégie la commodité de l’utilisateur, tandis que le COBO et le COSU maximisent le contrôle et la sécurité de l’entreprise. Le choix du modèle approprié dépend des exigences réglementaires, des besoins de la main-d’œuvre et de la capacité de gestion informatique.

MDM contre EMM contre UEM

MDM se concentre sur la gestion et la sécurisation des appareils mobiles grâce à l’application de politiques, le contrôle de configuration et la gestion à distance. EMM étend cette portée pour inclure la gestion des applications et du contenu, tandis que UEM tente de gérer tous les terminaux, y compris les ordinateurs portables et de bureau. Pour de nombreuses PME, les suites EMM ou UEM complètes ajoutent une complexité inutile. En pratique, des capacités MDM robustes répondent souvent à la plupart des besoins en matière de gestion mobile.

MDM sur les téléphones personnels et confidentialité des employés

Les systèmes MDM modernes utilisent la conteneurisation pour séparer les données professionnelles et personnelles sur les appareils appartenant aux employés. Les employeurs ne peuvent gérer et surveiller que l'environnement professionnel, y compris les applications d'entreprise et les informations de conformité de l'appareil. Les données personnelles, telles que les photos, les messages et l'historique de navigation, restent inaccessibles à l'entreprise. Cette séparation technique permet des programmes BYOD sécurisés tout en préservant la confidentialité des employés.

Retour sur investissement Cerberus et valeur commerciale

Il faut considérer la GRC comme un investissement stratégique, et non comme une simple dépense de sécurité. Elle génère des retours financiers grâce à la réduction des pertes de dispositifs, à la baisse des coûts de support informatique et à l’amélioration de l’efficacité opérationnelle. La gestion automatisée augmente également la productivité des employés et réduit les temps d'arrêt. De plus, une sécurité renforcée réduit le risque et l’impact financier des violations de données.

Gestion des appareils conforme à HIPAA

Les établissements de santé doivent protéger les données électroniques des patients conformément aux exigences de sécurité de HIPAA. La GMD aide à faire respecter le cryptage, les contrôles d'authentification, la transmission sécurisée des données et les journaux d'audit détaillés. Elle permet également l'effacement à distance et l'application centralisée des stratégies pour les appareils accédant aux systèmes médicaux. Ces contrôles réduisent les risques de non-conformité tout en permettant les flux de travail mobiles dans les environnements de santé.

MDM pour les opérations et la sécurité de détail

Les entreprises de retail s'appuient sur les appareils mobiles pour les systèmes de point de vente, la gestion des stocks et les opérations en magasin. Cerberus assure la sécurité, la mise à jour et la conformité de ces appareils aux normes telles que PCI-DSS. La gestion centralisée réduit les temps d'arrêt et simplifie le déploiement des appareils sur plusieurs sites. Le résultat est une efficacité opérationnelle accrue et un risque réduit d'incidents de sécurité liés aux paiements.