Manuel Utilisateur

Documentation pour Cerberus Enterprise MDM

Introduction

Cerberus Enterprise est une solution EMM complète, conçue pour vous aider à sécuriser et à gérer vos appareils Android et Apple. Elle dispose de toutes les fonctionnalités nécessaires pour une gestion efficace des appareils personnels (BYOD) et professionnels dans un tableau de bord clair et convivial, et vous pouvez commencer à l'utiliser en quelques minutes.

Pour utiliser efficacement Cerberus Enterprise, vous devez comprendre certains concepts clés sur le fonctionnement du système.

Le système prend en charge la gestion des appareils Android et Apple :

Sur Android, Cerberus Enterprise utilise l'API de gestion Android officielle de Google pour gérer les appareils via l'application Android Device Policy (ADP). La plupart des paramètres sont appliqués directement par l'ADP. Certaines fonctionnalités optionnelles peuvent également nécessiter l'application compagnon Cerberus Enterprise, qui étend les possibilités au-delà de la seule ADP.

Sur les appareils Apple, Cerberus Enterprise gère les appareils via le MDM (Mobile Device Management) d'Apple. La gestion Apple nécessite un certificat APNs et peut, en option, s'intégrer à Apple Business Manager pour l'enrôlement automatisé et la gestion des licences d'applications.

Chaque appareil peut être enrôlé dans le système à l'aide d'un jeton d'enrôlement ou d'un profil d'enrôlement (enrôlement manuel Apple). La méthode d'enrôlement est associée à une politique qui contient les règles devant être appliquées aux appareils.

Les administrateurs informatiques peuvent modifier la politique associée à un appareil après son enrôlement. Toutefois, chaque appareil ne peut être associé qu'à une seule politique à la fois.

Lors du processus d'enrôlement (provisionnement), les composants de gestion requis sont installés et configurés automatiquement. Sur Android, cela inclut généralement l'application Android Device Policy (et, selon votre configuration, l'application compagnon Cerberus Enterprise). Sur les appareils Apple, la gestion est appliquée via le MDM une fois l'appareil enrôlé. Par conséquent, la politique correspondante est automatiquement appliquée à l'appareil, et toutes les règles associées sont appliquées par le système de gestion de la plateforme.

Une politique peut être appliquée à de nombreux appareils. Dans ce cas, lorsque vous modifiez la politique, tous les appareils associés recevront les changements.

 

Configuration

Configuration

Configuration d'Android Management

Pour gérer des appareils Android avec Cerberus Enterprise, vous devez d'abord connecter votre organisation à Google Android Enterprise.

Le processus de configuration prend généralement quelques minutes et nécessite une adresse e-mail professionnelle (par exemple, nom@entreprise.com) ou, alternativement, une adresse e-mail Google personnelle.

Ce qui se passe pendant la configuration

Informations importantes

Nous vous recommandons de vous inscrire avec une adresse e-mail professionnelle et non avec un compte Gmail personnel. Si l'adresse e-mail est déjà associée à un compte Google Admin, ce compte existant sera réutilisé et lié à Cerberus Enterprise ; sinon, un nouveau compte Google Admin gratuit sera créé. Un compte Google Admin débloque l'ensemble complet des fonctionnalités — par exemple, l'enrôlement d'appareils via l'authentification Google avec des comptes gérés par votre domaine Google Admin.

Vous n'avez pas d'adresse e-mail professionnelle ?

Vous pouvez toujours vous inscrire avec une adresse e-mail Google personnelle (par exemple, un compte Gmail). Dans ce cas, Google crée un compte Google Play géré gratuit qui est lié à Cerberus Enterprise.

Étapes suivantes

Une fois la configuration terminée, créez un jeton d'enrôlement et choisissez la méthode de provisionnement appropriée pour l'appareil.

Configuration

Configuration de la gestion Apple (APNs)

Pour gérer les appareils Apple, Cerberus Enterprise nécessite le certificat du service de notification push d'Apple (APNs).

Utilisez l'identifiant Apple associé à votre organisation. Le certificat APNs est valide pendant un an et doit être renouvelé annuellement pour continuer à gérer les appareils.

Étape 1 : Télécharger le fichier CSR

Dans le tableau de bord, lancez la configuration de la gestion Apple et téléchargez le fichier de demande de signature de certificat (CSR) signée par le fournisseur, généré par Cerberus Enterprise.

Étape 2 : Créer le certificat de notification push sur le portail Apple

Lien du portail : https://identity.apple.com/

Étape 3 : Téléverser le certificat de notification push

Téléversez le certificat de notification push que vous avez téléchargé sur Apple dans Cerberus Enterprise pour terminer la configuration.

Si le certificat APNs expire, la gestion des appareils Apple cessera de fonctionner jusqu'à ce que le certificat soit renouvelé.

Étapes suivantes

Une fois l'APNs configuré, vous pouvez procéder à l'enrôlement des appareils Apple. Continuez avec Aperçu du provisionnement Apple.

Aperçu du provisionnement des appareils

Cerberus Enterprise prend en charge la gestion des appareils pour les plateformes Android et Apple. Vous pouvez configurer chaque plateforme indépendamment, selon les appareils que vous devez enrôler.

1. Terminer la configuration de la plateforme dans le tableau de bord

Avant d'enrôler des appareils, terminez la configuration de la plateforme dans le tableau de bord Cerberus Enterprise. Si votre compte n'est pas encore configuré, le tableau de bord vous guidera à travers les étapes requises.

Configuration Android (Google Android Enterprise)

Pour la procédure complète de configuration Android, lisez Configuration de la gestion Android.

Configuration Apple (certificat de push APNs)

Pour la procédure complète de configuration Apple, lisez Configuration de la gestion Apple (APNs).

2. Enrôler des appareils

Une fois la configuration de la plateforme terminée, choisissez la méthode d'enrôlement qui correspond à votre modèle de propriété des appareils et au système d'exploitation.

Enrôlement Android

Pour Android, l'enrôlement est piloté par les jetons d'enrôlement. Sélectionnez la méthode appropriée selon que l'appareil est personnel ou appartient à l'entreprise.

Enrôlement Apple

Provisionnement des Appareils - Android

Provisionnement des Appareils - Android

Appareils pris en charge

En général, tout appareil fonctionnant sous Android 6 ou une version ultérieure avec les services Google Play est compatible avec Cerberus Enterprise.

Pour une meilleure expérience utilisateur, nous suggérons d'utiliser des appareils qui répondent aux exigences Android Enterprise Recommended.

Certaines fonctionnalités sont limitées à des versions spécifiques d'Android ou peuvent se comporter différemment selon les versions du système d'exploitation. Pour plus d'informations sur une fonctionnalité spécifique, consultez la section Policies de la documentation.

Cerberus Enterprise prend en charge les appareils appartenant à l'entreprise ainsi que les appareils personnels, et propose deux modes de gestion : le propriétaire de l'appareil (Device Owner) et le propriétaire du profil (Profile Owner).

Les appareils personnels peuvent être gérés via un profil professionnel. Cela permet une solution BYOD en séparant les données et applications professionnelles des données et applications personnelles, améliorant ainsi la sécurité et la confidentialité. Cette option est adaptée aux appareils déjà détenus par les employés que vous souhaitez enrôler dans votre organisation pour un usage professionnel.

Appartenant à l'entreprise : les appareils peuvent également être gérés via un profil professionnel, mais vous pouvez aussi choisir l'option entièrement géré, qui permet un contrôle plus strict de l'appareil. Les appareils appartenant à l'entreprise avec un profil professionnel sont adaptés lorsque vous fournissez des appareils d'entreprise aux employés pour le travail, tout en permettant un usage personnel. Les appareils entièrement gérés sont mieux adaptés aux appareils qui doivent être utilisés uniquement pour le travail, ou pour les appareils dédiés (COSU, single-use corporate-owned), tels que les bornes interactives.

Pour plus d'informations sur le provisionnement des appareils, consultez la page Aperçu du provisionnement des appareils).


Provisionnement des Appareils - Android

Jetons d'enrôlement

Cerberus Enterprise utilise des jetons d'enrôlement pour lancer le processus d'enrôlement (provisionnement) des appareils Android. Le jeton que vous sélectionnez définit la politique initiale appliquée aux appareils enrôlés et influence les modes de provisionnement autorisés.

L'onglet des jetons d'enrôlement Android n'est disponible qu'après avoir terminé la configuration d'Android Management.

Où trouver les jetons d'enrôlement

Dans le tableau de bord, ouvrez Jetons d'enrôlement. Selon la configuration de votre compte, la page peut afficher plusieurs onglets (jetons Android, enrôlement par connexion Google, enrôlement manuel Apple et enrôlement automatique des appareils Apple (ADE)).

Si votre entreprise Android est associée à un domaine géré par Google (Google Workspace), le tableau de bord peut également afficher un onglet Authentification via l'enrôlement Google. Pour plus de détails sur l'activation et l'utilisation, consultez Authentification via l'enrôlement Google.

Liste des jetons d'enrôlement (Android)

L'onglet des jetons Android affiche un tableau de tous les jetons. Cliquer sur une ligne ouvre la page des détails du jeton.

Colonnes

Actions

Créer un nouveau jeton d'enrôlement

Dans l'onglet des jetons Android, cliquez sur Nouveau jeton d'enrôlement pour ouvrir la page de création de jeton. Si votre licence est expirée, le bouton de création est désactivé.

Options du jeton

1. Politique

Obligatoire. La politique appliquée automatiquement à tous les appareils enrôlés avec ce jeton. Sélectionnez l'une de vos politiques Android. Si vous n'avez pas encore de politique, créez-en une d'abord.

2. Utilisateur

Optionnel. Si configuré, les nouveaux appareils enrôlés seront automatiquement associés à cet utilisateur.

3. Usage personnel

Contrôle si l'usage personnel est autorisé sur un appareil provisionné avec ce jeton d'enrôlement :

4. Usages autorisés

Sélectionnez si le jeton peut être utilisé plusieurs fois (Multiples) ou une seule fois (Usage unique).

5. Expiration

Sélectionnez l'unité d'expiration (Minutes, Heures, Jours, ou Jamais). Si l'option n'est pas réglée sur Jamais, saisissez la valeur d'expiration. La plage autorisée dépend de l'unité sélectionnée et peut aller jusqu'à 10 000 jours.

Options de provisionnement (code QR uniquement)

Ces options supplémentaires sont intégrées au code QR et sont appliquées lors du provisionnement des appareils entièrement gérés enrôlés par balayage du code QR. Elles ne s'appliquent pas aux profils professionnels ni aux appareils enrôlés via l'URL ou le jeton d'enrôlement.

Configuration Wi-Fi

Utilisez cette option pour permettre à un appareil de se connecter automatiquement au Wi-Fi pendant le provisionnement, afin qu'il puisse télécharger et initialiser l'application de gestion. Les champs disponibles incluent le SSID, le SSID masqué, la Sécurité, et (si nécessaire) le Mot de passe.

Vous pouvez également configurer un proxy HTTP (Proxy) et, selon le mode, définir l'Hôte/Port, l'URI PAC, et l'Hôte de contournement du proxy.

Autres options

Les options supplémentaires incluent la Localisation, le Fuseau horaire, et le Saut de l'étape de chiffrement.

Détails du jeton d'enrôlement

Lorsque vous ouvrez un jeton, la page de détails affiche la configuration du jeton et les informations d'utilisation :

Pour les procédures de provisionnement étape par étape, suivez les guides d'enrôlement Android : Appareils personnels, Appareils appartenant à l'entreprise pour usage professionnel et personnel, Appareils appartenant à l'entreprise pour usage professionnel uniquement, et Zero-touch.

Provisionnement des Appareils - Android

Appareils personnels

Les appareils appartenant aux employés peuvent être configurés avec un profil professionnel. Un profil professionnel offre un espace autonome pour les applications et les données professionnelles, séparé des applications et des données personnelles. La plupart des politiques de gestion des applications, des données et autres s'appliquent uniquement au profil professionnel, tandis que les applications et les données personnelles des employés restent privées.
Pour configurer un profil professionnel sur un appareil personnel, utilisez l'une des méthodes de provisionnement suivantes (assurez-vous que le jeton d'enrôlement a l'option Usage personnel définie sur Autorisé) :

Lien de jeton d'enrôlement

Version Android
6.0+
Vous pouvez fournir l'URL d'enrôlement aux utilisateurs finaux. Lorsqu'un utilisateur final ouvre le lien depuis son appareil, il sera guidé à travers la configuration du profil professionnel.

Ajouter un profil professionnel depuis les « Paramètres »

Version Android
6.0+
Pour configurer un profil professionnel sur son appareil, un utilisateur peut ouvrir l'application Paramètres de l'appareil, puis utiliser la barre de recherche pour trouver et appuyer sur l'option Configurer votre profil professionnel.

Si la recherche ne donne rien, l'emplacement de cette option peut varier. Voici quelques possibilités :

Ces étapes lancent un assistant de configuration qui télécharge Android Device Policy sur l'appareil. Ensuite, l'utilisateur sera invité à scanner un code QR ou à saisir manuellement un jeton d'enrôlement pour terminer la configuration du profil professionnel.

Télécharger Android Device Policy

Version Android
6.0+
Pour configurer un profil professionnel sur son appareil, un utilisateur peut télécharger Android Device Policy depuis le Google Play Store. Une fois l'application installée, l'utilisateur sera invité à scanner un code QR ou à saisir manuellement un jeton d'enrôlement pour terminer la configuration du profil professionnel.
Provisionnement des Appareils - Android

Appareils appartenant à l'entreprise pour usage professionnel et personnel

La configuration d'un appareil appartenant à l'entreprise avec un profil professionnel permet d'utiliser l'appareil pour un usage professionnel et personnel. Sur les appareils appartenant à l'entreprise avec des profils professionnels :
Pour configurer un appareil appartenant à l'entreprise avec un profil professionnel, utilisez l'une des méthodes de provisionnement suivantes (assurez-vous que le jeton d'enrôlement a l'option Usage personnel réglée sur Autorisé) :

Méthode par code QR

Version Android
8.0+
Sur un appareil neuf ou réinitialisé aux paramètres d'usine, l'utilisateur (généralement un administrateur informatique) tapote six fois sur le même endroit de l'écran. Cela déclenche une invite sur l'appareil demandant à l'utilisateur de scanner un code QR.
Provisionnement des Appareils - Android

Appareils appartenant à l'entreprise pour usage professionnel uniquement

La gestion complète de l'appareil est adaptée aux appareils appartenant à l'entreprise destinés exclusivement à un usage professionnel. Les entreprises peuvent gérer toutes les applications de l'appareil et appliquer l'ensemble des politiques et commandes de l'API Android Management.
Il est également possible de verrouiller un appareil (via une politique) sur une seule application ou un petit ensemble d'applications pour répondre à un usage ou un cas d'utilisation spécifique. Ce sous-ensemble d'appareils entièrement gérés est appelé appareils dédiés.
Pour configurer une gestion complète sur un appareil appartenant à l'entreprise, utilisez l'une des méthodes de provisionnement suivantes (assurez-vous que le jeton d'enrôlement a l'option Usage personnel réglée sur Interdit) :

Méthode par code QR

Version Android
7.0+
Sur un appareil neuf ou réinitialisé aux paramètres d'usine, l'utilisateur (généralement un administrateur informatique) tapote six fois sur le même endroit de l'écran. Cela déclenche une invite sur l'appareil demandant à l'utilisateur de scanner un code QR.

Méthode par identifiant DPC

Version Android
5.1+
Si l'application Android Device Policy ne peut pas être ajoutée via un code QR, un utilisateur ou un administrateur informatique peut suivre ces étapes pour provisionner un appareil entièrement géré ou dédié :

1. Suivez l'assistant de configuration sur un appareil neuf ou réinitialisé aux paramètres d'usine.
2. Saisissez les informations de connexion Wi-Fi pour connecter l'appareil à Internet.
3. Lorsque l'on vous demande de vous connecter, saisissez afw#setup, ce qui téléchargera Android Device Policy.
4. Scannez un code QR ou saisissez manuellement un jeton d'enrôlement pour provisionner l'appareil.
Provisionnement des Appareils - Android

Zero-touch

Les administrateurs informatiques peuvent provisionner les appareils appartenant à l'entreprise en utilisant la méthode d'enrôlement zero-touch, décrite dans l'enrôlement zero-touch pour les administrateurs informatiques. Lorsqu'un appareil est allumé pour la première fois, il est automatiquement contraint d'appliquer les paramètres définis par l'administrateur informatique.

Les administrateurs informatiques peuvent préconfigurer des appareils achetés auprès de revendeurs agréés et les gérer à l'aide du tableau de bord Cerberus Enterprise. Pour lier votre compte Zero-touch, accédez à la section Zero-touch du tableau de bord, puis suivez les instructions.

Version AndroidProfil professionnelAppareil entièrement géréAppareil dédié
8.0+ (Pixel 7.1+)
Provisionnement des Appareils - Android

Authentification via l'enrôlement Google

L'authentification via l'enrôlement Google (également appelée Authentification Google pour l'enrôlement) permet aux utilisateurs de s'authentifier avec leur compte Google Workspace lors de l'enrôlement d'un appareil Android.

Cette fonctionnalité est disponible uniquement pour les entreprises Android associées à un domaine géré par Google (Google Workspace).

Où le trouver

Dans le tableau de bord, ouvrez Jetons d'enrôlement et sélectionnez l'onglet Authentification via l'enrôlement Google. L'onglet ne s'affiche que lorsque la gestion Android est configurée et que l'intégration Google Workspace est disponible pour votre entreprise.

Activer (ou désactiver) l'authentification Google

L'authentification Google est activée depuis la console d'administration Google. Après avoir modifié le paramètre, retournez dans Cerberus Enterprise et utilisez Actualiser le statut pour recharger la configuration actuelle.

  1. Connectez-vous à votre console d'administration Google avec un compte administrateur.
  2. Ouvrez Appareils.
  3. Allez dans Appareils mobiles et points de terminaisonParamètresIntégrations tierces.
  4. Trouvez l'Intégration Android EMM pour Cerberus Enterprise et ouvrez-la.
  5. Cliquez sur Gérer les fournisseurs EMM.
  6. Activez ou désactivez Authentification via l'enrôlement Google pour activer ou désactiver l'authentification Google pour l'enrôlement.
  7. Cliquez sur Enregistrer.
  8. Retournez sur le tableau de bord Cerberus Enterprise et cliquez sur Actualiser le statut dans l'onglet Authentification via l'enrôlement Google.

Jeton d'enrôlement par authentification Google

Lorsque l'authentification Google est activée, le tableau de bord affiche un jeton d'enrôlement dédié utilisé pour ce mode d'enrôlement. La page peut afficher un code QR, une valeur de jeton d'enrôlement et une URL d'enrôlement (copiable et envoyable par e-mail).

Options clés

Interaction avec la politique

Le paramètre de stratégie Work account setup authentication (workAccountSetupConfig.authenticationType) contrôle la manière dont les utilisateurs s'authentifient lors de la configuration du compte professionnel, mais le paramètre de la console d'administration Google Authenticate Using Google ainsi que le type de jeton d'enrôlement peuvent toujours exiger une authentification.

Pour les appareils déjà enrôlés, cette stratégie ne s'applique que si l'appareil est géré par un compte Google Play géré (c'est-à-dire enrôlé sans Authenticate Using Google Enrollment).

Certaines actions (par exemple, la modification des options de jeton) peuvent être désactivées lorsque la licence est expirée.

Enrôler un appareil

Lors de l'enrôlement, l'utilisateur est invité à s'authentifier avec son compte Google Workspace. Une fois l'enrôlement réussi, l'appareil est associé à l'utilisateur authentifié.

Profil professionnel (appareils personnels)

Appareils appartenant à l'entreprise

Pour les procédures générales de provisionnement Android (profil professionnel vs appareil entièrement géré), consultez les pages d'enrôlement Android standard dans ce manuel.

Provisionnement des Appareils - Apple

Provisionnement des Appareils - Apple

Aperçu du provisionnement Apple

Cerberus Enterprise prend en charge l'enrôlement et la gestion des appareils Apple. Le provisionnement Apple nécessite un certificat APNs et peut être effectué à l'aide de différentes méthodes d'enrôlement.

Prérequis : configurer la gestion Apple (APNs)

Avant d'enrôler un appareil Apple, terminez la configuration de la gestion Apple (APNs).

Choisissez une méthode d'enrôlement

Enrôlement manuel (Profil d'enrôlement)

Enrôlement automatique des appareils (ADE)

Vous pouvez utiliser l'enrôlement manuel et l'ADE en parallèle, selon votre parc d'appareils et votre processus d'achat.

Provisionnement des Appareils - Apple

Enrôlement manuel Apple (Profil d'enrôlement)

Cerberus Enterprise prend en charge l'enrôlement manuel des appareils Apple à l'aide d'une URL d'enrôlement et d'un fichier de profil d'enrôlement.

L'enrôlement manuel est disponible lorsque la gestion Apple (APNs) est configurée. Si vous n'avez pas encore terminé la configuration de l'APNs, consultez Configuration de la gestion Apple (APNs).

Obtenir l'URL et le profil d'enrôlement

Comment enrôler un iPhone ou un iPad

iOS/iPadOS 15.0+

  1. Envoyez le fichier de profil d'enrôlement (enroll.mobileconfig) à l'appareil, ou ouvrez l'URL d'enrôlement dans Safari sur l'appareil.
  2. Sur l'appareil, ouvrez RéglagesProfil téléchargéInstaller, puis suivez les instructions.
  3. Après l'enrôlement, vous pouvez vérifier le statut dans RéglagesGénéralVPN et gestion de l'appareil (ou Profils et gestion de l'appareil).

N'installez que les profils d'enrôlement que vous avez obtenus à partir de votre tableau de bord Cerberus Enterprise.

Provisionnement des Appareils - Apple

Enrôlement automatique des appareils Apple (ADE)

L'enrôlement automatique des appareils (ADE) s'intègre à Apple Business Manager (ABM) pour enrôler automatiquement les appareils appartenant à l'entreprise lors de leur première mise sous tension (ou après une réinitialisation d'usine).

L'ADE nécessite que la gestion Apple (APNs) soit configurée au préalable. Si nécessaire, consultez Configuration de la gestion Apple (APNs).

Comment enrôler les appareils automatiquement

  1. Ajoutez des appareils à votre compte Apple Business Manager.
  2. Après avoir ajouté de nouveaux appareils à votre compte ABM, synchronisez-les dans Cerberus Enterprise depuis la section Appareils en utilisant l'action Synchroniser depuis ABM.
  3. Créez un profil ADE dans le tableau de bord via EnrôlementEnrôlement automatique des appareils Apple (ADE)Nouveau profil ADE.
  4. Assignez un profil ADE à un appareil depuis la page de détails de l'appareil en utilisant le champ Profil ADE.

Paramètres du profil ADE (aperçu)

Un profil ADE contrôle la manière dont l'appareil est enrôlé et le comportement de l'Assistant de configuration. Dans Cerberus Enterprise, un profil ADE comprend un nom, une politique initiale optionnelle et certaines options d'enrôlement.

Nom du profil

Un nom lisible par l'utilisateur pour le profil (par exemple, Profil ADE par défaut).

Politique

La politique initialement appliquée aux appareils enrôlés. Vous pouvez assigner une politique lors de la création d'un nouveau profil ADE.

Options d'enrôlement

Une fois qu'un profil ADE est assigné à un appareil, celui-ci est prêt pour l'enrôlement automatique.

Aperçu des politiques

La section Politiques du tableau de bord (Tableau de bordPolitiques) liste toutes les politiques de votre compte et vous permet de les créer, de les copier, de les modifier et de les supprimer.

Liste des politiques

Les politiques sont affichées dans un tableau. Cliquer sur une ligne ouvre l'éditeur de la politique correspondante.

Colonnes

Filtres et recherche

Actualisation et pagination

Créer une nouvelle politique

En bas de la page des politiques, vous pouvez créer une nouvelle politique. Selon la plateforme configurée dans votre compte, vous pourriez voir l'une ou les deux actions suivantes :

Si votre licence est expirée, la création de politiques (et d'autres actions d'écriture) est désactivée.

Copier et supprimer des politiques

Chaque ligne de politique dispose d'un menu d'actions qui comprend Copier la politique et Supprimer la politique.

Avertissements de suppression de politique

Lors de la suppression d'une politique, le tableau de bord peut afficher des avertissements supplémentaires selon l'utilisation qui en est faite.

Supprimer plusieurs politiques

La liste des politiques prend en charge la sélection sur plusieurs lignes pour la suppression groupée. En mode de sélection multiple, vous pouvez sélectionner plusieurs politiques et les supprimer en une seule action.

La suppression groupée n'est activée que lorsque toutes les politiques sélectionnées appartiennent à la même plateforme (soit toutes Android, soit toutes Apple).

Suivant : modifier les paramètres de la politique

La liste des politiques est le point d'entrée. Pour configurer les paramètres de politique, utilisez la documentation de l'éditeur appropriée : Politiques → Android et Politiques → Apple.

Les politiques référencées par les jetons d'enrôlement sont appliquées automatiquement lors de l'enrôlement de l'appareil.

Politiques - Android

Politiques - Android

Résumé

Les politiques Android sont les entités de base du système : elles définissent les règles qui sont appliquées et imposées sur les appareils gérés.

Vous pouvez parcourir vos politiques et en créer de nouvelles depuis la section Politiques du tableau de bord. Pour ouvrir une politique Android, cliquez sur la ligne de la politique dans le tableau : le système ouvre la page Éditeur de politiques.

Une politique peut être associée à un jeton d'enrôlement, elle sera donc automatiquement appliquée aux appareils lors du processus de provisionnement. Vous pouvez également modifier la politique assignée à un appareil après le provisionnement.

Chaque appareil ne peut être associé qu'à une seule politique à la fois.

De nombreuses options de politique ne s'appliquent qu'à des types d'appareils spécifiques (gestion complète, dédié, profil de travail) et à certaines versions d'Android. Les paramètres non pris en charge peuvent être ignorés par l'appareil ou signalés comme non conformes.

Mise en page de l'éditeur de politiques

L'éditeur de politiques est organisé sous forme d'un ensemble de sections extensibles. En haut de la page, vous pouvez toujours modifier :

Les sections ci-dessous correspondent aux panneaux de l'éditeur de politiques (par exemple : Gestion des applications, Sécurité, Réseau, Système, Usage personnel, Politiques inter-profils, et plus encore). Utilisez les pages des chapitres de ce manuel pour comprendre chaque panneau en détail.

Sauvegarde, suppression et appareils associés

Utilisez Enregistrer la politique pour appliquer vos modifications. Le bouton est désactivé lorsqu'il n'y a pas de modifications en attente ou lorsque la licence est expirée.

Si vous avez ouvert une politique existante (elle possède un Id), la page affiche une action Supprimer la politique et une liste des Appareils associés en bas, afin que vous puissiez voir combien d'appareils utilisent actuellement la politique.

Politiques - Android

Gestion des applications

Dans cette section, vous pouvez définir des politiques relatives à la disponibilité des applications, à l'installation, aux mises à jour et à la gestion des permissions.

Les comptes Google Play gérés sont créés automatiquement lors du provisionnement des appareils.

 

1. Mode Play Store

Ce mode contrôle quelles applications sont disponibles pour l'utilisateur dans le Play Store et le comportement sur l'appareil lorsque des applications sont supprimées de la politique.

Liste blanche (par défaut) : seules les applications présentes dans la politique sont disponibles, et toute application non présente dans la politique sera automatiquement désinstallée de l'appareil. Le Play Store n'affichera que les applications disponibles.

Liste noire: Toutes les applications sont disponibles et toute application qui ne devrait pas être sur l'appareil doit être explicitement marquée comme bloquée dans la politique d'applications. Le Play Store affichera toutes les applications, sauf celles qui sont bloquées.

 

2. Politique des applications non approuvées

La politique relative aux applications non approuvées (applications provenant de sources inconnues) appliquée sur l'appareil. Cette option contrôle le paramètre du système Android qui détermine si un utilisateur peut installer des applications en dehors du Play Store (sideloading).

Interdire (par défaut) : Interdire l'installation d'applications non approuvées sur l'ensemble de l'appareil.

Profil personnel uniquement : Pour les appareils avec profils de travail, autorise l'installation d'applications non approuvées uniquement dans le profil personnel de l'appareil.

Autoriser: Autoriser l'installation d'applications non approuvées sur l'ensemble de l'appareil.

 

3. Google Play Protect

Si la vérification des applications par Google Play Protect est appliquée.

Appliquée (par défaut) : Active de force la vérification des applications.

Choix de l'utilisateur : Permet à l'utilisateur de choisir d'activer ou non la vérification des applications.

 

4. Politique de permission par défaut

La politique relative à l'octroi des demandes de permissions d'exécution aux applications.

Demander (par défaut) : Demander à l'utilisateur d'accorder une permission.

Accorder: Accorder automatiquement une permission.

Refuser: Refuser automatiquement une permission.

 

5. Fonctions d'application

Contrôle si les applications sur des appareils entièrement gérés ou dans des profils de travail sont autorisées à exposer des fonctions d'application. Nécessite Android 16 ou une version ultérieure.

Autorisé (par défaut) : Les applications sur des appareils entièrement gérés ou dans des profils de travail peuvent exposer des fonctions d'application.

Interdit : Les applications sur des appareils entièrement gérés ou dans des profils de travail ne peuvent pas exposer de fonctions d'application.

 

6. Installation d'applications désactivée

Si l'installation d'applications par l'utilisateur est désactivée.

 

7. Désinstallation des applications désactivée

Indique si la désinstallation des applications par l'utilisateur est désactivée.

 

8. Politiques de permissions

Attributions ou refus explicites de permissions ou de groupes pour toutes les applications. Ces valeurs remplacent le paramètre Politique de permissions par défaut.

Utilisez Ajouter une politique de permissions pour créer des entrées et supprimez-les avec l'action de suppression.

Chaque entrée comprend :

Permission/groupe Android : La permission ou le groupe Android (requis), par exemple android.permission.READ_CALENDAR ou android.permission_group.CALENDAR.

Politique : Accorder / Refuser / Demander (utilise les mêmes options de politique que Politique de permissions par défaut).

 

9. Applications

Liste des applications qui doivent être incluses dans la politique. Le comportement du contenu de la liste dépend de la valeur définie sur Mode Play Store.

Si le Mode Play Store est défini sur liste blanche, seules les applications présentes dans la politique sont disponibles et toute application non répertoriée dans la politique sera automatiquement désinstallée de l'appareil.

Si le Mode Play Store est défini sur liste noire, toutes les applications sont disponibles et toute application qui ne devrait pas être sur l'appareil doit être explicitement marquée comme bloquée dans la politique des applications.

Pour ajouter une nouvelle application, cliquez sur le bouton Ajouter des applications (ou sur l'icône Ajouter des applications), puis choisissez l'application dans le Play Store et cliquez sur le bouton Sélectionner sur la fiche de l'application.

Toutes les applications publiées sur le Play Store dans votre pays sont disponibles par défaut pour la sélection. Pour sélectionner vos propres applications privées ou web, vous devez d'abord les télécharger dans le système. Pour plus d'informations, consultez la page Applications privées.

Chaque application peut être configurée avec ses propres paramètres, qui sont regroupés visuellement dans une fiche :

9.1. Type d'installation

Le type d'installation à effectuer pour une application.

Disponible : L'application est disponible pour l'installation.

Préinstallée : L'application est installée automatiquement et peut être supprimée par l'utilisateur.

Installation forcée : L'application est installée automatiquement et ne peut pas être supprimée par l'utilisateur.

Bloquée : L'application est bloquée et ne peut pas être installée. Si l'application a été installée sous une politique précédente, elle sera désinstallée.

Requise pour la configuration : L'application est installée automatiquement, ne peut pas être supprimée par l'utilisateur et empêchera la fin de la configuration tant que l'installation n'est pas terminée.

Kiosque : L'application est installée automatiquement en mode kiosque : elle est définie comme l'intention d'accueil préférée et est ajoutée à la liste blanche pour le mode de verrouillage de tâche. La configuration de l'appareil ne sera pas terminée tant que l'application n'est pas installée. Après l'installation, les utilisateurs ne pourront pas supprimer l'application. Vous ne pouvez définir ce type d'installation que pour une seule application par politique. Lorsqu'il est présent dans la politique, la barre d'état sera automatiquement désactivée. Pour plus d'informations, veuillez consulter la page dédiée Mode kiosque.

9.2. Contraintes d'installation

Définit un ensemble de restrictions pour l'installation de l'application. Lorsque plusieurs contraintes sont sélectionnées, elles doivent toutes être respectées pour que l'application puisse être installée.

Cette option ne s'affiche que lorsque le Type d'installation est Préinstallée ou Installation forcée.

Réseau non limité : Installez l'application uniquement lorsque l'appareil est connecté à un réseau non limité (par exemple, Wi-Fi).

En charge : Installez l'application uniquement lorsque l'appareil est en charge.

Inactif : Installez l'application uniquement lorsque l'appareil est inactif.

9.3. Mode de mise à jour automatique

Contrôle le mode de mise à jour automatique de l'application.

Par défaut : L'application est mise à jour automatiquement avec une priorité basse afin de minimiser l'impact sur l'utilisateur. L'application est mise à jour lorsque toutes les contraintes suivantes sont respectées : (1) l'appareil n'est pas utilisé activement, (2) l'appareil est connecté à un réseau non limité, (3) l'appareil est en charge. L'appareil est notifié d'une nouvelle mise à jour dans les 24 heures suivant sa publication par le développeur, après quoi l'application est mise à jour la prochaine fois que les contraintes ci-dessus sont respectées.

Reporté : L'application n'est pas mise à jour automatiquement pendant une période maximale de 90 jours après qu'elle est devenue obsolète. 90 jours après que l'application est devenue obsolète, la dernière version disponible est installée automatiquement avec une priorité basse (voir le mode Mise à jour automatique par défaut). Une fois l'application mise à jour, elle ne sera plus mise à jour automatiquement avant un délai de 90 jours après qu'elle soit redevenue obsolète. L'utilisateur peut toujours mettre à jour l'application manuellement depuis le Play Store à tout moment.

Priorité haute : L'application est mise à jour dès que possible. Aucune contrainte n'est appliquée. L'appareil est immédiatement notifié d'une nouvelle mise à jour dès qu'elle devient disponible.

9.4. Code de version minimum

La version minimale de l'application qui s'exécute sur l'appareil. Si elle est définie, l'appareil tente de mettre à jour l'application vers au moins ce code de version. Si l'application n'est pas à jour, l'appareil affichera un Détail de non-conformité avec le Motif de non-conformité défini sur APP_NOT_UPDATED. L'application doit déjà être publiée sur Google Play avec un code de version supérieur ou égal à cette valeur. Au maximum, 20 applications peuvent spécifier un code de version minimum par politique.

9.5. Scopes délégués

Les scopes délégués à l'application par Android Device Policy. Vous pouvez accorder une sélection de permissions Android spéciales à d'autres applications :

Installation de certificat : Accorde l'accès à l'installation et à la gestion des certificats.

Configurations gérées : Accorde l'accès à la gestion des configurations gérées.

Bloquer la désinstallation : Accorde l'accès au blocage de la désinstallation.

Permissions : Accorde l'accès à la politique de permissions et à l'état d'attribution des permissions.

Accès aux packages : Accorde l'accès à l'état d'accès aux packages.

Application système : Accorde l'accès pour l'activation des applications système.

9.6. Réseau préférentiel

Le service de réseau préférentiel à utiliser pour cette application. Si elle est définie, l'application utilisera le segment de réseau d'entreprise spécifié pour ses connexions lorsqu'il sera disponible. Cela doit correspondre à un segment de réseau configuré dans la section Configuration du découpage de réseau 5G du panneau Réseau cellulaire.

9.7. Politique de permissions par défaut

La politique par défaut pour toutes les permissions demandées par l'application. Si elle est spécifiée, elle remplace la Politique de permissions par défaut au niveau de la politique qui s'applique à toutes les applications. Elle ne remplace pas les Politiques de permissions qui s'appliquent à toutes les applications.

Demander (par défaut) : Demander à l'utilisateur d'accorder une permission.

Accorder : Accorder automatiquement une permission.

Refuser : Refuser automatiquement une permission.

9.8. Application connectée travail et personnel

Contrôle si l'application peut communiquer avec elle-même entre les profils de travail et personnels de l'appareil, sous réserve du consentement de l'utilisateur (Android 11+).

Interdit (par défaut) : Empêche l'application de communiquer entre les profils.

Autorisé : Autorise l'application à communiquer entre les profils après avoir reçu le consentement de l'utilisateur.

9.9. Exemption du verrouillage VPN toujours actif

Spécifie si l'application est autorisée à utiliser le réseau lorsque le VPN n'est pas connecté et que le verrouillage activé est actif. Pris en charge uniquement sur les appareils fonctionnant sous Android 10 et versions ultérieures.

Appliqué (par défaut) : L'application respecte le paramètre de verrouillage VPN toujours actif.

Exemptée : L'application est exemptée du paramètre de verrouillage VPN toujours actif.

9.10. Widgets du profil de travail

Spécifie si l'application installée dans le profil de travail est autorisée à ajouter des widgets sur l'écran d'accueil.

Autorisé : L'application peut ajouter des widgets sur l'écran d'accueil.

Interdit : L'application ne peut pas ajouter de widgets sur l'écran d'accueil.

9.11. Paramètres de contrôle utilisateur

Spécifie si le contrôle utilisateur est autorisé pour une application donnée. Le contrôle utilisateur comprend des actions de l'utilisateur telles que l'arrêt forcé et l'effacement des données de l'application (Android 11+). Si extensionConfig est activé pour une application, le contrôle utilisateur est interdit quel que soit ce paramètre. Pour les applications en mode kiosque, vous pouvez utiliser Autorisé pour permettre le contrôle utilisateur.

Non spécifié : Utilise le comportement par défaut de l'application pour déterminer si le contrôle utilisateur est autorisé ou interdit.

Autorisé : Le contrôle utilisateur est autorisé pour l'application.

Interdit : Le contrôle utilisateur est interdit pour l'application.

9.12. Désactivée

Indique si l'application est désactivée. Lorsqu'elle est désactivée, les données de l'application sont toujours conservées.

9.13. Autoriser le fournisseur d'identifiants

Indique si l'application est autorisée à agir comme fournisseur d'identifiants sur Android 14 et versions ultérieures.

9.14. Configuration gérée

Pour configurer les paramètres gérés de l'application, cliquez sur le bouton Activer la configuration gérée. Si une configuration gérée est déjà définie pour l'application, vous pouvez la modifier avec le bouton Configuration gérée, ou la supprimer avec le bouton Supprimer la configuration.

L'option Configuration gérée est disponible uniquement pour les applications qui prennent en charge cette fonctionnalité.

9.15. Politiques de permissions

Attributions ou refus explicites de permissions pour l'application. Ces valeurs remplacent la Politique de permissions par défaut et les Politiques de permissions qui s'appliquent à toutes les applications.

Utilisez Ajouter une politique de permissions pour ajouter une ou plusieurs règles de permission à la fiche de l'application et supprimez-les avec l'action de suppression.

9.16. ID de canal

Liste des ID de canaux de test fermé de l'application auxquels un appareil peut accéder. Si plusieurs ID de canaux sont sélectionnés, les appareils reçoivent la version la plus récente parmi tous les canaux accessibles. Si aucun ID de canal n'est sélectionné, les appareils ont uniquement accès au canal de production de l'application.

L'option Identifiants de suivi n'est disponible que pour les applications disposant d'au moins un identifiant de suivi pour votre organisation. Pour plus de détails sur la manière d'ajouter votre organisation à une piste de test fermé pour une application spécifique, veuillez lire ici

 

10. Paramètres d'application par défaut

Définissez les applications par défaut pour les types pris en charge. Lorsqu'une application par défaut est définie pour au moins un type, les utilisateurs ne peuvent plus modifier les applications par défaut dans ce profil.

Un seul paramètre d'application par défaut est autorisé par Type d'application par défaut. La liste des applications par défaut ne doit pas contenir de doublons.

10.1. Type d'application par défaut

Sélectionnez la catégorie d'application à configurer (par exemple : Navigateur, Téléphone, SMS, Portefeuille ou Assistant). La disponibilité dépend de la version d'Android et du mode de gestion.

10.2. Portées de l'application par défaut

Sélectionnez l'endroit où l'application par défaut doit s'appliquer (Gestion complète, Profil professionnel ou Profil personnel). Seules les portées prises en charge par le type sélectionné peuvent être choisies.

Si aucune des portées sélectionnées n'est applicable au mode de gestion de l'appareil, l'appareil signalera un détail de non-conformité.

10.3. Applications par défaut

Liste des applications pouvant être définies par défaut pour le type sélectionné. La première application installée et éligible est définie comme application par défaut.

Si les portées incluent Gestion complète ou Profil professionnel, chaque application doit également figurer dans la liste Applications avec un Type d'installation qui n'est pas défini sur Bloqué.

 

11. Sélection de la clé privée

Permet d'afficher l'interface utilisateur sur un appareil pour qu'un utilisateur puisse choisir un alias de clé privée s'il n'y a pas de règles correspondantes dans Choisir les règles de clé privée.

Pour les appareils antérieurs à Android P, le réglage de cette option peut rendre les clés d'entreprise vulnérables.

 

12. Choisir les règles de clé privée

Contrôle l'accès des applications aux clés privées. La règle détermine quelle clé privée, le cas échéant, Android Device Policy accorde à l'application spécifiée. L'accès est accordé soit lorsque l'application appelle KeyChain.choosePrivateKeyAlias (ou toute surcharge) pour demander un alias de clé privée pour une URL donnée, soit pour les règles qui ne sont pas spécifiques à une URL (c'est-à-dire si urlPattern n'est pas défini, ou est défini sur une chaîne vide ou .*) sur Android 11 et versions ultérieures, directement afin que l'application puisse appeler KeyChain.getPrivateKey sans avoir à appeler préalablement KeyChain.choosePrivateKeyAlias. Lorsqu'une application appelle KeyChain.choosePrivateKeyAlias et que plus d'une règle de type choosePrivateKeyRules correspond, la dernière règle correspondante définit l'alias de clé à renvoyer.

Utilisez Ajouter une règle de clé privée pour créer des entrées et supprimez-les avec l'action de suppression.

12.1. Alias de clé privée

L'alias de la clé privée à utiliser.

12.2. Modèle d'URL

Le modèle d'URL à comparer avec l'URL de la requête. S'il n'est pas défini ou s'il est vide, il correspond à toutes les URL. Cela utilise la syntaxe d'expression régulière de java.util.regex.Pattern.

12.3. Noms de package

Les noms de package auxquels cette règle s'applique. L'empreinte du certificat de signature de chaque application est vérifiée par rapport à l'empreinte fournie par Play. Si aucun nom de package n'est spécifié, l'alias est fourni à toutes les applications qui appellent KeyChain.choosePrivateKeyAlias ou ses surcharges (mais pas sans appeler KeyChain.choosePrivateKeyAlias, même sur Android 11 et versions ultérieures). Toute application possédant le même UID Android qu'un package spécifié ici aura accès à l'alias lorsqu'elle appellera KeyChain.choosePrivateKeyAlias.

Utilisez Ajouter un nom de package pour ajouter des entrées et supprimez-les avec l'action de suppression.

 

Pour supprimer une application, cliquez sur l'icône poubelle au bas de la fiche de l'application. 

 

 

Politiques - Android

Mode kiosque

Avec le mode kiosque, vous pouvez restreindre les fonctionnalités d'un appareil à une seule application ou à plusieurs applications. Le choix entre le mode kiosque à application unique et celui à applications multiples dépend de vos objectifs commerciaux.

Dans le mode kiosque à application unique, l'appareil est configuré pour une seule application et ne permet pas aux utilisateurs finaux d'accéder à d'autres applications sur l'appareil. Ils ne peuvent pas non plus quitter l'application, ce qui en fait un appareil dédié à cette application spécifique. Pour activer ce mode, spécifiez une application dans la section Gestion des applications avec le Type d'installation défini sur Kiosque.

Dans le mode kiosque à applications multiples, les appareils permettent l'accès à plusieurs applications. Les utilisateurs finaux peuvent naviguer entre plusieurs applications via un lanceur personnalisé. Pour activer ce mode, activez l'option Lanceur personnalisé kiosque.

Lorsque le mode kiosque est activé, vous pouvez également configurer si les utilisateurs finaux peuvent accéder à certaines fonctionnalités du système, telles que les paramètres du système et la barre d'état.

 

Lanceur personnalisé kiosque

Détermine si le lanceur personnalisé kiosque est activé. Cela remplace l'écran d'accueil par un lanceur qui verrouille l'appareil sur les applications installées via le paramètre de la Gestion des applications. Les applications apparaissent sur une seule page par ordre alphabétique.

 

Actions du bouton d'alimentation

Définit le comportement d'un appareil en mode kiosque lorsqu'un utilisateur effectue un appui prolongé sur le bouton d'alimentation.

Disponible (par défaut) : Le menu d'alimentation (par exemple : Éteindre, Redémarrer) s'affiche lorsqu'un utilisateur effectue un appui prolongé sur le bouton d'alimentation d'un appareil en mode kiosque.

Bloqué : Le menu d'alimentation (par exemple : Éteindre, Redémarrer) ne s'affiche pas lorsqu'un utilisateur effectue un appui prolongé sur le bouton d'alimentation d'un appareil en mode kiosque. Remarque : cela peut empêcher les utilisateurs d'éteindre l'appareil.

 

Avertissements d'erreur système

Spécifie si les boîtes de dialogue d'erreur système pour les applications plantées ou ne répondant plus sont bloquées en mode kiosque. Lorsqu'elles sont bloquées, le système arrêtera de force l'application comme si l'utilisateur choisissait l'option « fermer l'application » sur l'interface utilisateur.

Bloqué (par défaut) : Toutes les boîtes de dialogue d'erreur système, telles que les plantages et l'application ne répondant pas (ANR), sont bloquées. Lorsqu'elles sont bloquées, le système arrête l'application de force comme si l'utilisateur fermait l'application via l'interface utilisateur.

Activé : Toutes les boîtes de dialogue d'erreur système, telles que les plantages et l'application ne répondant pas (ANR), sont affichées.

Navigation système

Spécifie quelles fonctions de navigation sont activées (par exemple : boutons Accueil, Aperçu) en mode kiosque.

Désactivé (par défaut) : Les boutons Accueil et Aperçu ne sont pas accessibles.

Accueil uniquement : Seul le bouton d'accueil est activé.

Activé : Les boutons Accueil et Aperçu sont activés.

 

Barre d'état

Spécifie si les informations système et les notifications sont désactivées en mode kiosque.

Désactivé (par défaut) : Les informations système et les notifications sont désactivées en mode kiosque.

Système uniquement : Seules les informations système sont affichées dans la barre d'état.

Activé : Les informations système et les notifications sont affichées dans la barre d'état en mode kiosque. Remarque : pour que cette politique prenne effet, le bouton d'accueil de l'appareil doit être activé via kioskCustomization.systemNavigation.

 

Paramètres de l'appareil

Spécifie si l'application Paramètres est autorisée en mode kiosque.

Autorisé (par défaut) : L'accès à l'application Paramètres est autorisé en mode kiosque.

Bloqué : L'accès à l'application Paramètres n'est pas autorisé en mode kiosque.

Politiques - Android

Sécurité

Dans cette section, vous pouvez configurer les politiques relatives à la sécurité.

 

Actions liées aux risques de sécurité

Choisissez l'action à entreprendre lorsqu'un appareil signale un risque de sécurité (SecurityRisk) dans les rapports d'état.

 

Types de risques de sécurité (SecurityRisk) pris en charge :

OS inconnu : l'API Play Integrity détecte que l'appareil exécute un OS inconnu (la vérification basicIntegrity réussit mais ctsProfileMatch échoue).

OS compromis : l'API Play Integrity détecte que l'appareil exécute un OS compromis (la vérification basicIntegrity échoue).

Échec de l'évaluation basée sur le matériel : l'API Play Integrity détecte que l'appareil ne dispose pas d'une garantie solide de l'intégrité du système, si le libellé MEETS_STRONG_INTEGRITY ne s'affiche pas dans le champ d'intégrité de l'appareil.

 

Actions disponibles :

Supprimer les données de l'entreprise (par défaut) : désenrôler l'appareil et supprimer les données de travail (l'appareil complet s'il est en gestion complète, ou uniquement le profil de travail pour les profils gérés).

Aucune action : laisser l'appareil enrôlé et ne rien faire automatiquement.

 

Lorsque vous sélectionnez Supprimer les données de l'entreprise, vous pouvez également configurer les options de suppression :

Conserver la protection contre la réinitialisation d'usine : préserver les données de protection contre la réinitialisation d'usine (FRP) lors de la suppression des données de l'appareil.

Supprimer le stockage externe : supprimer également le stockage externe de l'appareil (tel que les cartes SD) lors de la suppression des données.

Supprimer les eSIM : pour les appareils appartenant à l'entreprise, cela supprime toutes les eSIM de l'appareil lors de la suppression des données. Sur les appareils appartenant à des particuliers, cela supprimera les eSIM gérées (les eSIM ajoutées via la commande ADD_ESIM) sur l'appareil, et aucune eSIM personnelle ne sera supprimée.

 

1. Temps maximal avant verrouillage

Temps maximal (en secondes) d'inactivité de l'utilisateur avant le verrouillage de l'appareil. Une valeur de 0 signifie qu'il n'y a aucune restriction.

 

2. Rester activé lors de la charge

Les modes de branchement sur secteur pour lesquels l'appareil reste activé. Lors de l'utilisation de ce paramètre, il est recommandé de vider Temps maximal avant verrouillage afin que l'appareil ne se verrouille pas tout en restant activé.

Chargeur secteur : la source d'alimentation est un chargeur secteur.

Port USB : la source d'alimentation est un port USB.

Chargeur sans fil : la source d'alimentation est sans fil.

 

3. Désactivation de l'écran de verrouillage (Keyguard)

Si activé, cela désactive l'écran de verrouillage pour les écrans principaux et/ou secondaires. Cette politique est prise en charge uniquement en mode de gestion d'appareil dédié.

 

4. Exigences relatives au mot de passe

Politiques d'exigences relatives au mot de passe.

Utilisez Configurer les exigences de mot de passe pour ajouter un ou plusieurs blocs d'exigences de mot de passe. Utilisez Tout effacer pour supprimer toutes les exigences de mot de passe configurées.

Les exigences de mot de passe peuvent utiliser la portée Auto (exigence unique) ou des portées distinctes Appareil/Profil de travail. Les exigences basées sur la complexité doivent être couplées à des exigences basées sur la qualité pour la même portée.

4.1. Portée

La portée à laquelle l'exigence de mot de passe s'applique.

Auto : la portée n'est pas spécifiée. Les exigences de mot de passe s'appliquent au profil de travail pour les appareils avec profil de travail, et à l'appareil complet pour les appareils en gestion complète ou dédiés.

Appareil : les exigences de mot de passe s'appliquent uniquement à l'appareil.

Profil de travail : les exigences de mot de passe s'appliquent uniquement au profil de travail.

4.2. Longueur de l'historique des mots de passe

La longueur de l'historique des mots de passe. Après avoir défini ce champ, l'utilisateur ne pourra pas saisir un nouveau mot de passe identique à l'un des mots de passe présents dans l'historique. Une valeur de 0 signifie qu'il n'y a aucune restriction.

4.3. Nombre maximal d'échecs de mot de passe avant réinitialisation

Nombre de mots de passe de déverrouillage incorrects pouvant être saisis avant que l'appareil ne soit réinitialisé. Une valeur de 0 signifie qu'il n'y a aucune restriction.

4.4. Délai d'expiration du mot de passe (en jours)

Ce paramètre oblige l'utilisateur à mettre à jour périodiquement son mot de passe, après le nombre de jours spécifié.

4.5. Exiger le déverrouillage par mot de passe

La durée pendant laquelle, après qu'un appareil ou un profil de travail a été déverrouillé à l'aide d'une forme d'authentification forte (mot de passe, code PIN, schéma), il peut être déverrouillé à l'aide de toute autre méthode d'authentification (ex. : empreinte digitale, agents de confiance, reconnaissance faciale). Une fois la période spécifiée écoulée, seules les formes d'authentification fortes pourront être utilisées pour déverrouiller l'appareil ou le profil de travail.

Par défaut de l'appareil : la période de délai d'expiration est définie sur le paramètre par défaut de l'appareil.

Tous les jours : la période de délai d'expiration est fixée à 24 heures.

4.6. Qualité du mot de passe

La qualité requise du mot de passe.

Complexité élevée : définit la bande de complexité élevée du mot de passe comme suit : sur Android 12 et versions ultérieures : code PIN sans séquences répétitives (4444) ou ordonnées (1234, 4321, 2468), longueur d'au moins 8 caractères ; alphabétique, longueur d'au moins 6 caractères ; alphanumérique, longueur d'au moins 6 caractères.

Complexité moyenne : définit la bande de complexité moyenne du mot de passe comme suit : code PIN sans séquences répétitives (4444) ou ordonnées (1234, 4321, 2468), longueur d'au moins 4 caractères ; alphabétique, longueur d'au moins 4 caractères ; alphanumérique, longueur d'au moins 4 caractères.

Complexité faible : définit la bande de complexité faible du mot de passe comme suit : schéma ; code PIN avec séquences répétitives (4444) ou ordonnées (1234, 4321, 2468).

Aucune : il n'y a aucune exigence de mot de passe.

Faible : l'appareil doit être sécurisé au minimum par une technologie de reconnaissance biométrique à faible sécurité. Cela inclut les technologies capables de reconnaître l'identité d'un individu et qui sont approximativement équivalentes à un code PIN à 3 chiffres (le taux de fausse détection est inférieur à 1 sur 1 000).

N'importe lequel : un mot de passe est requis, mais il n'y a aucune restriction sur son contenu.

Numérique : le mot de passe doit contenir des caractères numériques.

Numérique complexe : le mot de passe doit contenir des caractères numériques sans séquences répétitives (4444) ou ordonnées (1234, 4321, 2468).

Alphabétique : le mot de passe doit contenir des caractères alphabétiques (ou des symboles).

Alphanumérique : le mot de passe doit contenir à la fois des caractères numériques et alphabétiques (ou des symboles).

Complexe : le mot de passe doit respecter les exigences minimales spécifiées dans passwordMinimumLength, passwordMinimumLetters, passwordMinimumSymbols, etc. Par exemple, si passwordMinimumSymbols est de 2, le mot de passe doit contenir au moins deux symboles.

4.7. Longueur minimale

La longueur minimale autorisée du mot de passe. Une valeur de 0 signifie qu'il n'y a aucune restriction.

4.8. Nombre minimal de lettres

Nombre minimal de lettres requis dans le mot de passe.

4.9. Nombre minimal de lettres minuscules

Nombre minimal de lettres minuscules requis dans le mot de passe.

4.10. Nombre minimal de lettres majuscules

Nombre minimal de lettres majuscules requis dans le mot de passe.

4.11. Nombre minimal de caractères autres que des lettres

Nombre minimal de caractères autres que des lettres (chiffres ou symboles) requis dans le mot de passe.

4.12. Nombre minimal de chiffres

Nombre minimal de chiffres requis dans le mot de passe.

4.13. Nombre minimal de symboles

Nombre minimal de symboles requis dans le mot de passe.

4.14. Verrouillage unifié

Contrôle si un verrouillage unifié est autorisé pour l'appareil et le profil de travail, sur les appareils fonctionnant sous Android 9 et versions ultérieures avec un profil de travail. Cela n'a aucun effet sur les autres appareils.

Autoriser le verrouillage unifié : un verrouillage commun pour l'appareil et le profil de travail est autorisé.

Exiger un verrouillage de travail distinct : un verrouillage distinct pour le profil de travail est requis.

 

5. Désactivation de la réinitialisation d'usine

Indique si la réinitialisation d'usine via les paramètres est désactivée. S'applique uniquement aux appareils en gestion complète.

 

6. Protection contre la réinitialisation d'usine

Adresses e-mail des administrateurs de l'appareil pour la protection contre la réinitialisation d'usine. Si l'appareil subit une réinitialisation d'usine non autorisée, il exigera que l'un de ces administrateurs se connecte avec son adresse e-mail et son mot de passe de compte Google pour déverrouiller l'appareil. Si aucun administrateur n'est spécifié, l'appareil ne proposera pas de protection contre la réinitialisation d'usine. S'applique uniquement aux appareils en gestion complète.

E-mails des administrateurs : utilisez Activer la protection contre la réinitialisation d'usine pour commencer à configurer les administrateurs. Ensuite, utilisez Ajouter l'e-mail de l'administrateur pour ajouter des adresses et supprimez-les avec l'action de suppression.

 

7. Fonctionnalités de l'écran de verrouillage (Keyguard)

Fonctionnalités de l'écran de verrouillage (Keyguard) qui peuvent être désactivées.

7.1. Tout désactiver

Désactive toutes les personnalisations actuelles et futures de l'écran de verrouillage.

7.2. Désactiver l'appareil photo

Désactive l'appareil photo sur les écrans de verrouillage sécurisés (ex. : code PIN).

7.3. Désactiver les notifications

Désactive l'affichage de toutes les notifications sur les écrans de verrouillage sécurisés.

7.4. Désactiver les notifications non masquées

Désactive l'affichage du contenu des notifications sur les écrans de verrouillage sécurisés.

7.5. Ignorer l'état de l'agent de confiance

Ignore l'état de l'agent de confiance sur les écrans de verrouillage sécurisés.

7.6. Désactiver l'empreinte digitale

Désactive le capteur d'empreinte digitale sur les écrans de verrouillage sécurisés.

7.7. Désactiver la saisie de texte dans les notifications

Désactive la saisie de texte dans les notifications sur les écrans de verrouillage sécurisés.

7.8. Désactiver l'authentification faciale

Désactive l'authentification faciale sur les écrans de verrouillage sécurisés.

7.9. Désactiver l'authentification par iris

Désactive l'authentification par iris sur les écrans de verrouillage sécurisés.

7.10. Désactiver toute l'authentification biométrique

Désactive toute l'authentification biométrique sur les écrans de verrouillage sécurisés.

7.11. Désactiver tous les raccourcis

Désactive tous les raccourcis sur l'écran de verrouillage sécurisé sous Android 14 et versions ultérieures.

Politiques - Android

Multimédia

Dans cette section, vous pouvez configurer le comportement de l'appareil photo/microphone, l'accès aux données USB, l'impression et les restrictions liées à l'affichage.

 

1. Accès à l'appareil photo

Contrôle l'utilisation de l'appareil photo et si l'utilisateur peut accéder au commutateur d'accès à l'appareil photo (Android 12+). En général, la désactivation de l'appareil photo s'applique à l'ensemble de l'appareil sur les appareils en gestion complète, et uniquement au sein du profil professionnel sur les appareils avec profil professionnel.

Choix de l'utilisateur (par défaut) : Comportement par défaut de l'appareil. Les appareils photo sont disponibles et (Android 12+) l'utilisateur peut activer ou désactiver l'accès à l'appareil photo.

Désactivé : Tous les appareils photo sont désactivés (gestion complète : sur tout l'appareil ; profil professionnel : uniquement pour les applications du profil professionnel). Le commutateur d'accès à l'appareil photo n'a aucun effet dans la portée gérée.

Appliqué : Les appareils photo sont disponibles. Sur les appareils en gestion complète sous Android 12+, l'utilisateur ne peut pas activer ou désactiver l'accès à l'appareil photo. Sur les autres appareils/versions, cela se comporte comme le choix de l'utilisateur.

 

2. Accès au microphone

Sur les appareils en gestion complète, contrôle l'utilisation du microphone et si l'utilisateur peut accéder au commutateur d'accès au microphone (Android 12+). Ce paramètre n'a aucun effet sur les appareils qui ne sont pas en gestion complète.

Choix de l'utilisateur (par défaut) : Comportement par défaut. Le microphone est disponible et (Android 12+) l'utilisateur peut activer ou désactiver l'accès au microphone.

Désactivé : Le microphone est désactivé (sur tout l'appareil). Le commutateur d'accès au microphone n'a aucun effet.

Appliqué : Le microphone est disponible. Sur Android 12+, l'utilisateur ne peut pas activer ou désactiver l'accès au microphone. Sur Android 11 ou versions antérieures, cela se comporte comme le choix de l'utilisateur.

 

3. Accès aux données USB

Contrôle quels fichiers et/ou données peuvent être transférés via USB. Pris en charge uniquement sur les appareils appartenant à l'entreprise.

Interdire le transfert de fichiers (par défaut) : Les transferts de fichiers sont interdits, mais les autres connexions de données USB (par exemple : souris/clavier) sont autorisées.

Interdire le transfert de données : Tous les types de transferts de données USB sont interdits (Android 12+ avec USB HAL 1.3+). Si cette option n'est pas prise en charge, l'appareil revient à l'option Interdire le transfert de fichiers.

Autoriser le transfert de données : Tous les types de transferts de données USB sont autorisés.

 

4. Impression

Contrôle si l'impression est autorisée (Android 9+).

Autorisé (par défaut) : L'impression est autorisée.

Interdit : L'impression est interdite (Android 9+).

 

5. Paramètres de luminosité de l'écran

Contrôle le mode de luminosité de l'écran et (facultativement) la valeur de luminosité.

Mode de luminosité de l'écran :

Choix de l'utilisateur (par défaut) : L'utilisateur est autorisé à configurer la luminosité de l'écran.

Automatique : La luminosité est automatique et l'utilisateur ne peut pas la modifier. Vous pouvez toujours définir une valeur de luminosité, qui est utilisée dans le cadre du réglage automatique (Android 9+ en gestion complète ; profils professionnels sur Android 15+ appartenant à l'entreprise).

Fixe : La luminosité est réglée sur la valeur configurée et l'utilisateur ne peut pas la modifier. La valeur de luminosité est requise (Android 9+ en gestion complète ; profils professionnels sur Android 15+ appartenant à l'entreprise).

Luminosité de l'écran :

Valeur de 1 à 255 (1 = plus faible, 255 = plus élevée). Une valeur de 0 signifie qu'aucune valeur de luminosité n'est définie.

 

6. Paramètres de mise en veille de l'écran

Contrôle si l'utilisateur peut configurer la mise en veille de l'écran et, lorsqu'elle est imposée, la valeur de la mise en veille.

Le champ Mode de mise en veille de l'écran permet de choisir entre un comportement contrôlé par l'utilisateur et un comportement imposé.

Choix de l'utilisateur (par défaut) : L'utilisateur est autorisé à configurer la mise en veille de l'écran.

Appliqué : La mise en veille de l'écran est réglée sur la valeur configurée et l'utilisateur ne peut pas la modifier (Android 9+ en gestion complète ; profils professionnels sur Android 15+ appartenant à l'entreprise).

Mise en veille de l'écran :

Durée de la mise en veille en secondes. La valeur doit être supérieure à 0. Si elle est supérieure au temps de verrouillage maximal, le système peut la limiter et signaler une non-conformité.

 

7. Capture d'écran désactivée

Détermine si la capture d'écran est désactivée.

 

8. Ajustement du volume désactivé

Détermine si l'ajustement du volume principal est désactivé.

 

9. Montage de supports physiques désactivé

Détermine si le montage de supports physiques externes est désactivé.

Politiques - Android

Cellulaire

Dans cette section, vous pouvez configurer les politiques relatives au cellulaire.

 

1. Mode avion

Contrôle si le mode avion peut être activé ou désactivé par l'utilisateur.

Choix de l'utilisateur (par défaut) : L'utilisateur est autorisé à activer ou désactiver le mode avion.

Désactivé : Le mode avion est désactivé. L'utilisateur n'est pas autorisé à activer le mode avion. Pris en charge sur Android 9 et versions ultérieures.

 

2. Cellulaire 2G

Contrôle si le paramètre cellulaire 2G peut être activé ou désactivé par l'utilisateur.

Choix de l'utilisateur (par défaut) : L'utilisateur est autorisé à activer ou désactiver le cellulaire 2G.

Désactivé : Le cellulaire 2G est désactivé. L'utilisateur n'est pas autorisé à activer le cellulaire 2G via les paramètres. Pris en charge sur Android 14 et versions ultérieures.

 

3. Remplacer les APN

Contrôle si le remplacement des APN est activé ou désactivé. Lorsqu'il est activé, seuls les APN de remplacement configurés sont utilisés et tous les autres APN sur l'appareil sont ignorés.

Désactivé (par défaut) : Tous les paramètres d'APN configurés sont enregistrés sur l'appareil, mais ils sont désactivés et n'ont aucun effet. Tous les autres APN sur l'appareil restent en usage.

Activé : Seuls les APN de remplacement sont utilisés, tous les autres APN sont ignorés. Ce paramètre ne peut être configuré que sur les appareils en gestion complète avec Android 10 et versions ultérieures.

 

4. Paramètres APN

Configurez une ou plusieurs entrées APN. Utilisez Ajouter un APN pour créer une entrée et Supprimer l'APN pour la supprimer.

Chaque APN possède des champs obligatoires :

Types d'APN : Sélectionnez un ou plusieurs types de trafic pour cet APN (la disponibilité dépend du mode de gestion et de la version d'Android).

Nom de l'APN : L'identifiant de l'APN fourni par votre opérateur.

Nom d'affichage : Nom convivial affiché dans l'interface utilisateur.

 

Champs APN facultatifs :

Type d'authentification, Nom d'utilisateur, Mot de passe : Configurez l'authentification de l'opérateur (si nécessaire).

Protocole et Protocole d'itinérance : Configuration du protocole IP.

Types de réseau : Restreignez les technologies cellulaires que l'APN peut utiliser (par exemple LTE/5G NR).

Adresse du proxy et Port du proxy : Proxy HTTP pour le trafic de données (le cas échéant).

Adresse du proxy MMS, Port du proxy MMS, MMSC (URI du centre MMS) : Paramètres relatifs aux MMS.

Identifiant numérique de l'opérateur (MCC+MNC) et Identifiant de l'opérateur : Champs d'identification de l'opérateur.

Paramètre Toujours activé : Détermine si la session PDU activée par cet APN doit être toujours active. Pris en charge sur Android 15 et versions ultérieures.

Type d'MVNO : Type d'identifiant de l'opérateur de réseau mobile virtuel.

MTU IPv4 et MTU IPv6 : Unité de transmission maximale pour les routes IPv4/IPv6. Pris en charge sur Android 13 et versions ultérieures.

 

5. Configuration de la diffusion cellulaire désactivée

Détermine si la configuration de la diffusion cellulaire est désactivée.

 

6. Configuration des réseaux mobiles désactivée

Détermine si la configuration des réseaux mobiles est désactivée.

 

7. Données en itinérance désactivées

Détermine si les services de données en itinérance sont désactivés.

 

8. Appels sortants désactivés

Détermine si les appels sortants sont désactivés.

 

9. SMS désactivés

Détermine si l'envoi et la réception de messages SMS sont désactivés.

 

10. Configuration du découpage de réseau 5G

Configurez les paramètres de service réseau préférentiels pour activer le découpage de réseau 5G d'entreprise. Vous pouvez configurer jusqu'à 5 tranches d'entreprise et assigner des applications à des réseaux spécifiques pour un routage optimisé du trafic.

10.1. Réseau préférentiel par défaut

Identifiant du réseau préférentiel par défaut pour les applications qui ne figurent pas dans la liste des applications, ou si le Réseau préférentiel d'une application n'est pas défini. Doit comporter une configuration pour l'identifiant de réseau spécifié (sauf s'il est défini sur Aucun réseau préférentiel).

Remarque : Les applications critiques telles que com.google.android.apps.work.clouddpc et com.google.android.gms sont exclues de ce paramètre par défaut.

 

10.2. Configurations des services réseau

Utilisez Ajouter une configuration réseau pour créer une configuration de tranche. Vous pouvez ajouter jusqu'à 5 configurations. Chaque configuration comprend :

Identifiant du réseau préférentiel (assigné automatiquement) : L'identifiant du réseau est assigné automatiquement et ne peut pas être modifié.

Repli sur la connexion par défaut : Détermine si le repli sur le réseau par défaut de l'appareil est autorisé. Si ce n'est pas autorisé, les applications ne pourront pas accéder à Internet si la tranche 5G est indisponible.

Réseaux non correspondants : Détermine si les applications soumises à cette configuration peuvent utiliser des réseaux autres que le service préférentiel. Si défini sur Interdit, le Repli sur la connexion par défaut doit également être sur Interdit. Nécessite Android 14 et versions ultérieures.

Politiques - Android

Réseautage

Dans cette section, vous pouvez configurer les politiques relatives au réseautage.

Les configurations Wi‑Fi peuvent être provisionnées et gérées par le système via les configurations Wi‑Fi. Selon la valeur définie sur Configurer le Wi‑Fi, les utilisateurs peuvent avoir un contrôle limité ou aucun contrôle sur l'ajout ou la modification de réseaux.

 

État de la radio de l'appareil

1. État du Wi-Fi

Contrôle l'état actuel du Wi-Fi et si l'utilisateur peut modifier son état.

Choix de l'utilisateur (par défaut) : L'utilisateur est autorisé à activer ou désactiver le Wi‑Fi.

Activé : Le Wi‑Fi est activé et l'utilisateur n'est pas autorisé à le désactiver (Android 13+).

Désactivé : Le Wi‑Fi est désactivé et l'utilisateur n'est pas autorisé à l'activer (Android 13+).

 

2. Niveau de sécurité Wi-Fi minimal

Le niveau de sécurité minimal requis des réseaux Wi-Fi auxquels l'appareil peut se connecter. Pris en charge sur Android 13 et versions ultérieures, pour les appareils en gestion complète et les profils professionnels sur les appareils appartenant à l'entreprise.

Réseau ouvert (par défaut) : L'appareil peut se connecter à tous les types de réseaux Wi‑Fi.

Réseau personnel : Interdit les réseaux Wi‑Fi ouverts ; nécessite au moins une sécurité de type personnel (par exemple WPA2‑PSK).

Réseau d'entreprise : Nécessite des réseaux EAP d'entreprise ; interdit les réseaux Wi-Fi dont le niveau de sécurité est inférieur.

Réseau d'entreprise 192 bits : Nécessite des réseaux d'entreprise 192 bits ; l'option la plus stricte.

 

3. État de l'ultra-large bande (UWB)

Contrôle l'état du paramètre ultra-large bande et si l'utilisateur peut l'activer ou le désactiver.

Choix de l'utilisateur (par défaut) : L'utilisateur est autorisé à activer ou désactiver l'UWB.

Désactivé : L'UWB est désactivé et l'utilisateur n'est pas autorisé à l'activer via les paramètres (Android 14+).

 

Gestion de la connectivité de l'appareil

4. Partage Bluetooth

Contrôle si le partage Bluetooth est autorisé.

Autorisé : Le partage Bluetooth est autorisé (par défaut sur les appareils en gestion complète, Android 8+).

Interdit : Le partage Bluetooth est interdit (par défaut sur les profils professionnels, Android 8+).

 

5. Configurer le Wi-Fi

Contrôle les privilèges de configuration du Wi-Fi. Selon l'option sélectionnée, l'utilisateur dispose d'un contrôle total, limité ou nul sur la configuration des réseaux Wi-Fi.

Autoriser la configuration du Wi‑Fi (par défaut) : L'utilisateur est autorisé à configurer le Wi‑Fi.

Interdire l'ajout de config. Wi‑Fi : L'ajout de nouvelles configurations Wi‑Fi est interdit. L'utilisateur peut basculer entre les réseaux déjà configurés (Android 13+ ; appareils en gestion complète et profils professionnels sur appareils appartenant à l'entreprise).

Interdire la configuration du Wi‑Fi : Interdit la configuration des réseaux Wi‑Fi. Pour les appareils en gestion complète, cela supprime les réseaux configurés par l'utilisateur et ne conserve que les réseaux configurés via les configurations Wi‑Fi. Pour les profils professionnels sur appareils appartenant à l'entreprise, les réseaux existants ne sont pas affectés, mais les utilisateurs ne peuvent ni ajouter, ni supprimer, ni modifier de réseaux Wi‑Fi.

Lorsque la configuration du Wi‑Fi est désactivée et que l'appareil ne peut pas se connecter au démarrage, le système peut afficher la soupape de sécurité réseau pour permettre à l'utilisateur de se connecter temporairement et d'actualiser la politique.

 

6. Paramètres Wi-Fi Direct

Contrôle la configuration et l'utilisation des paramètres Wi-Fi Direct. Pris en charge sur les appareils appartenant à l'entreprise sous Android 13 et versions ultérieures.

Autoriser (par défaut) : L'utilisateur est autorisé à utiliser le Wi‑Fi direct.

Interdire : L'utilisateur n'est pas autorisé à utiliser le Wi‑Fi direct.

 

7. Paramètres de partage de connexion

Contrôle les paramètres de partage de connexion. Selon la valeur définie, l'utilisateur se voit partiellement ou totalement interdire l'utilisation de différentes formes de partage de connexion.

Autoriser tout le partage de connexion (par défaut) : permet la configuration et l'utilisation de toutes les formes de partage de connexion.

Interdire le partage de connexion Wi‑Fi : empêche l'utilisateur d'utiliser le partage de connexion Wi‑Fi (appareils Android 13+ appartenant à l'entreprise).

Interdire tout le partage de connexion : empêche toutes les formes de partage de connexion (gestion complète + profils de travail appartenant à l'entreprise).

 

8. Politique de SSID Wi‑Fi

Restrictions sur les SSID Wi‑Fi auxquels l'appareil peut se connecter (cela n'affecte pas les réseaux pouvant être configurés sur l'appareil). Pris en charge sur les appareils appartenant à l'entreprise fonctionnant sous Android 13 et versions ultérieures.

Liste d'exclusion de SSID (par défaut) : l'appareil ne peut se connecter à aucun réseau Wi‑Fi dont le SSID est répertorié, mais peut se connecter aux autres réseaux.

Liste d'autorisation de SSID : l'appareil peut se connecter uniquement aux SSID répertoriés. La liste des SSID ne doit pas être vide.

Utilisez Ajouter un SSID pour ajouter des entrées. Selon le type de politique sélectionné, la liste est interprétée comme des SSID autorisés ou refusés.

Dans l'interface de l'éditeur de politiques, la liste des SSID est intitulée SSID Wi‑Fi autorisés pour les listes d'autorisation et SSID Wi‑Fi refusés pour les listes d'exclusion.

 

9. Paramètres d'itinérance Wi‑Fi

Configurez le mode d'itinérance Wi‑Fi par SSID. Utilisez Ajouter un paramètre d'itinérance Wi‑Fi pour créer des entrées.

Chaque entrée comprend :

SSID : le SSID auquel s'applique le paramètre d'itinérance (requis).

Mode d'itinérance Wi‑Fi : Par défaut / Désactivé / Agressif. Les modes Désactivé et Agressif nécessitent Android 15+ et sont pris en charge uniquement sur les appareils en gestion complète ainsi que sur les profils de travail des appareils appartenant à l'entreprise.

 

Restrictions réseau

10. Désactivation du Bluetooth

Indique si le Bluetooth est désactivé. Privilégiez ce paramètre par rapport à la désactivation de la configuration Bluetooth, car cette dernière peut être contournée par l'utilisateur.

 

11. Désactivation du partage de contacts via Bluetooth

Indique si le partage de contacts via Bluetooth est désactivé.

 

12. Désactivation de la configuration Bluetooth

Indique si la configuration du Bluetooth est désactivée.

 

13. Désactivation de la réinitialisation du réseau

Indique si la réinitialisation des paramètres réseau est désactivée.

 

14. Désactivation du partage par Android Beam (sortant)

Indique si l'utilisation du NFC pour le partage de données via Beam est désactivée.

 

VPN

15. Application VPN toujours activé (Always On)

Spécifiez le nom du package de l'application VPN toujours activé (Always On) pour garantir que les données des applications gérées spécifiées passeront toujours par un VPN configuré.

Remarque : Cette fonctionnalité nécessite le déploiement d'un client VPN prenant en charge à la fois les fonctions « Always On » (toujours activé) et le VPN par application.

 

16. Verrouillage VPN (VPN lockdown)

Interdit l'accès au réseau lorsque le VPN n'est pas connecté.

 

17. Désactivation de la configuration VPN

Indique si la configuration du VPN est désactivée.

 

Proxy et services réseau

18. Service de réseau préférentiel

Contrôle si le service de réseau préférentiel est activé sur le profil de travail. Par exemple, une organisation peut avoir un accord avec un opérateur prévoyant que les données de travail soient envoyées via un service réseau dédié à l'usage professionnel (par exemple, une tranche d'entreprise sur les réseaux 5G). Cela n'a aucun effet sur les appareils en gestion complète.

Désactivé : le service de réseau préférentiel est désactivé sur le profil de travail.

Activé : le service de réseau préférentiel est activé sur le profil de travail.

Si vous utilisez le découpage de réseau (network slicing) d'entreprise, configurez également la Configuration du découpage de réseau 5G dans le panneau de politique Réseau cellulaire et assignez les applications à une tranche en utilisant leur paramètre Réseau préférentiel.

 

Le proxy HTTP global indépendant du réseau. En règle générale, les proxys doivent être configurés par réseau dans les configurations Wi-Fi. Un proxy global peut être utile pour des configurations inhabituelles, comme un filtrage interne général. Le proxy global n'est qu'une recommandation et certaines applications peuvent l'ignorer.

Désactivé

Proxy direct

Proxy auto-config (PAC)

19.1. Hôte

L'hôte du proxy direct.

19.2. Port

Le port du proxy direct.

19.3. URI PAC

L'URI du script PAC utilisé pour configurer le proxy.

19.4. Hôtes exclus

Pour un proxy direct, les hôtes pour lesquels le proxy est contourné. Les noms d'hôtes peuvent contenir des caractères génériques tels que *.example.com.

Utilisez Ajouter un hôte exclu pour ajouter des entrées (disponible uniquement pour le proxy direct).

 

Configurations Wi-Fi

Définissez les configurations de réseau Wi‑Fi que le système appliquera sur les appareils. Utilisez Ajouter une configuration Wi‑Fi pour créer une entrée et supprimez-la avec l'action de suppression.

20. Champs de configuration Wi‑Fi

Chaque configuration comprend :

Nom de la configuration : Requis.

SSID : Requis.

Connexion automatique : indique si le réseau doit être connecté automatiquement lorsqu'il est à portée.

Transition rapide (Fast Transition) : indique si le client doit tenter d'utiliser la transition rapide (IEEE 802.11r-2008) avec le réseau.

SSID caché : indique si le SSID sera diffusé.

Mode de randomisation de l'adresse MAC : Matériel ou Automatique (Android 13+).

 

20.1. Sécurité

Options de sécurité Wi‑Fi :

WEP‑PSK : WEP (clé pré-partagée).

WPA‑PSK : WPA/WPA2/WPA3-Personnel (clé pré-partagée).

WPA‑EAP : WPA/WPA2/WPA3-Entreprise (Extensible Authentication Protocol).

Mode WPA3 192 bits : réseau WPA‑EAP n'autorisant que le mode WPA3 192 bits.

20.2. Mot de passe (clé pré-partagée)

Affiché lorsque la sécurité est WEP‑PSK ou WPA‑PSK. Le mot de passe est requis.

20.3. Méthode EAP (Entreprise)

Affiché lorsque la sécurité est WPA‑EAP ou Mode WPA3 192 bits. Sélectionnez une méthode EAP externe :

EAP‑TLS

EAP‑TTLS

PEAP

EAP‑SIM

EAP‑AKA

20.4. Authentification de phase 2

Affiché pour les méthodes externes à tunnel (EAP‑TTLS et PEAP).

MSCHAPv2

PAP

20.5. Identifiants EAP des utilisateurs

Lorsqu'elle est activée, le système applique automatiquement les identifiants EAP sur les appareils pour chaque utilisateur. Vous pouvez configurer les identifiants des utilisateurs dans la section Utilisateurs.

20.6. Certificat client

Pour EAP‑TLS, vous pouvez assigner un certificat client utilisé pour l'authentification Wi‑Fi. Pour plus d'informations, consultez la page Gestion des certificats.

Si un certificat est déjà assigné, vous pouvez utiliser Ouvrir le certificat pour le consulter ou Modifier le certificat pour en sélectionner un autre.

Alternativement, vous pouvez spécifier l'alias de la paire de clés du certificat client, qui fait référence à un certificat client stocké dans le trousseau Android et autorisé pour l'authentification Wi‑Fi.

Si le Certificat client et l'alias de la paire de clés du certificat client sont tous deux configurés, l'alias de la paire de clés est ignoré.

20.7. Identité

Identité de l'utilisateur. Pour les protocoles externes à tunnel (PEAP, EAP‑TTLS), celle-ci est utilisée pour l'authentification à l'intérieur du tunnel, et l'Identité anonyme est utilisée pour l'identité EAP à l'extérieur du tunnel. Pour les protocoles externes sans tunnel, elle est utilisée pour l'identité EAP.

20.8. Identité anonyme

Pour les protocoles à tunnel uniquement, cela indique l'identité de l'utilisateur présentée au protocole externe.

20.9. Mot de passe

Mot de passe de l'utilisateur. S'il n'est pas spécifié, l'utilisateur sera invité à le saisir par défaut.

20.10. Certificats d'autorité de certification (CA) du serveur

Liste des certificats d'autorité de certification (CA) à utiliser pour vérifier la chaîne de certificats de l'hôte. Au moins un certificat CA doit correspondre. Pour plus d'informations, consultez la page Gestion des certificats.

Utilisez Ajouter un certificat d'autorité de certification (CA) du serveur pour ajouter des entrées et supprimez-les avec l'action de suppression.

20.11. Correspondances de suffixes de domaine

Une liste de contraintes pour le nom de domaine du serveur. Les entrées sont utilisées comme exigences de correspondance de suffixe par rapport au(x) nom(s) DNS du nom de sujet alternatif d'un certificat de serveur d'authentification.

 

Politiques - Android

Système

Dans cette section, vous pouvez configurer les politiques relatives au système.

 

1. Niveau d'API minimal

Le niveau d'API Android minimal autorisé.

 

2. Politique de chiffrement

Indique si le chiffrement est activé.

Par défaut : cette valeur est ignorée, c'est-à-dire qu'aucun chiffrement n'est requis.

Activé sans mot de passe : le chiffrement est requis, mais aucun mot de passe n'est nécessaire pour le démarrage.

Activé avec mot de passe : le chiffrement est requis avec un mot de passe nécessaire pour le démarrage.

 

3. Date et heure automatiques

Indique si la date, l'heure et le fuseau horaire automatiques sont activés sur un appareil appartenant à l'entreprise.

Choix de l'utilisateur (par défaut) : la date, l'heure et le fuseau horaire automatiques sont laissés au choix de l'utilisateur.

Imposé : impose la date, l'heure et le fuseau horaire automatiques sur l'appareil.

 

4. Paramètres de développement

Contrôle l'accès aux paramètres de développement : options pour développeurs et mode sans échec.

Désactivé (par défaut) : désactive tous les paramètres de développement et empêche l'utilisateur d'y accéder.

Autorisé : permet tous les paramètres de développement. L'utilisateur peut y accéder et, si nécessaire, configurer les paramètres.

 

5. Mode Critères Communs (Common Criteria)

Contrôle le mode Critères Communs (Common Criteria) — des normes de sécurité définies dans les Critères Communs pour l'évaluation de la sécurité de l'informatique (CC). L'activation du mode Critères Communs renforce certains composants de sécurité sur l'appareil (par exemple : le chiffrement AES-GCM des clés à long terme Bluetooth, une validation supplémentaire pour certains certificats réseau et des contrôles d'intégrité de la politique cryptographique). Le mode Critères Communs est pris en charge uniquement sur les appareils appartenant à l'entreprise fonctionnant sous Android 11 ou versions ultérieures. Avertissement : le mode Critères Commuliers impose un modèle de sécurité strict, généralement requis uniquement pour les organisations hautement sensibles. L'utilisation standard de l'appareil peut être affectée ; ne l'activez que si nécessaire.

Désactivé (par défaut) : désactive le mode Critères Communs.

Activé : Active le mode Common Criteria.

 

6. Memory Tagging Extension (MTE)

Contrôle le Memory Tagging Extension (MTE) sur l'appareil.

Choix de l'utilisateur (par défaut) : L'utilisateur peut choisir d'activer ou de désactiver le MTE sur l'appareil (si l'appareil est compatible).

Appliqué : Le MTE est activé et l'utilisateur ne peut pas le modifier (Android 14+ ; pris en charge sur les appareils entièrement gérés et les profils de travail sur les appareils appartenant à l'entreprise).

Désactivé : Le MTE est désactivé et l'utilisateur ne peut pas le modifier (Android 14+ ; pris en charge uniquement sur les appareils entièrement gérés).

 

7. Protection du contenu

Contrôle si la protection du contenu (qui recherche les applications trompeuses) est activée. Cette fonctionnalité est prise en charge sur Android 15 et versions ultérieures.

Désactivé (par défaut) : La protection du contenu est désactivée et l'utilisateur ne peut pas modifier ce paramètre.

Appliqué : La protection du contenu est activée et l'utilisateur ne peut pas modifier ce paramètre (Android 15+).

Choix de l'utilisateur : La protection du contenu n'est pas contrôlée par la politique ; l'utilisateur peut choisir (Android 15+).

 

8. Contenu d'assistance

Contrôle si l'envoi de AssistContent est autorisé à une application privilégiée, telle qu'une application d'assistance (par exemple, Circle to Search). AssistContent inclut des captures d'écran et des informations sur une application, comme le nom du package. Cette fonctionnalité est prise en charge sur Android 15 et versions ultérieures.

Autorisé (par défaut) : L'envoi du contenu d'assistance à une application privilégiée est autorisé (Android 15+).

Interdit : L'envoi du contenu d'assistance à une application privilégiée est bloqué (Android 15+).

 

9. Désactivation de la création de fenêtres

Indique si la création de fenêtres autres que les fenêtres d'applications est désactivée. Cette option empêche l'affichage des éléments d'interface système suivants : toasts et snackbars, activités téléphoniques (telles que les appels entrants) et activités téléphoniques prioritaires (telles que les appels en cours), alertes système, erreurs système et superpositions système.

 

10. Soupape de sécurité réseau

Indique si la soupape de sécurité réseau est activée. Si aucune connexion réseau ne peut être établie au démarrage, la soupape de sécurité invite l'utilisateur à se connecter temporairement à un réseau afin d'actualiser la politique de l'appareil. Après l'application de la politique, le réseau temporaire sera oublié et l'appareil poursuivra son démarrage. Cela permet d'éviter de se retrouver dans l'impossibilité de se connecter à un réseau si aucun réseau approprié n'était disponible dans la dernière politique et que l'appareil démarre sur une application en mode verrouillage (lock task), ou si l'utilisateur est autrement incapable d'accéder aux paramètres de l'appareil.

 

11. Activités par défaut

Une liste d'activités par défaut pour la gestion des intents correspondant à un filtre d'intent spécifique. Par exemple, cette fonctionnalité permettrait aux administrateurs informatiques de choisir quelle application de navigateur ouvre automatiquement les liens web, ou quelle application de lanceur est utilisée lors de l'appui sur le bouton d'accueil.

Utilisez Ajouter une activité par défaut pour créer des entrées. Dans une entrée, utilisez Ajouter une action et Ajouter une catégorie pour construire le filtre d'intent.

11.1. Activité de réception

L'activité qui doit servir de gestionnaire d'intent par défaut. Il s'agit d'un nom de composant Android, par exemple com.android.enterprise.app/.MainActivity. Alternativement, la valeur peut être le nom du package d'une application, ce qui amène Android Device Policy à choisir une activité appropriée au sein de l'application pour gérer l'intent.

11.2. Action

Les actions d'intent à faire correspondre dans le filtre. Si des actions sont incluses dans le filtre, l'action de l'intent doit être l'une de ces valeurs pour qu'il y ait correspondance. Si aucune action n'est incluse, l'action de l'intent est ignorée.

11.3. Catégorie

Les catégories d'intent à faire correspondre dans le filtre. Un intent inclut les catégories dont il a besoin, et toutes celles-ci doivent être incluses dans le filtre pour qu'il y ait correspondance. En d'autres termes, l'ajout d'une catégorie au filtre n'a aucun impact sur la correspondance, à moins que cette catégorie ne soit spécifiée dans l'intent.

 

12. Méthodes de saisie autorisées

Spécifie les méthodes de saisie autorisées.

Tout est autorisé : Aucune restriction appliquée. Toutes les méthodes de saisie sont autorisées.

Système uniquement : Seules les méthodes de saisie intégrées au système sont autorisées.

Système et fournies uniquement : Seules les méthodes de saisie fournies et celles intégrées au système sont autorisées.

12.1. Méthodes de saisie autorisées

Noms de packages des méthodes de saisie autorisés. S'applique uniquement lorsque Méthodes de saisie autorisées est défini sur Système et fournies uniquement.

Utilisez Ajouter une méthode de saisie pour ajouter des entrées et supprimez-les avec l'action de suppression.

 

13. Services d'accessibilité autorisés

Spécifie les services d'accessibilité autorisés.

Tout est autorisé : N'importe quel service d'accessibilité peut être utilisé.

Système uniquement : Seuls les services d'accessibilité intégrés au système peuvent être utilisés.

Système et fournies uniquement : Seuls les services d'accessibilité fournis et ceux intégrés au système peuvent être utilisés.

13.1. Services d'accessibilité autorisés

Services d'accessibilité autorisés. S'applique uniquement lorsque Services d'accessibilité autorisés est défini sur Système et fournies uniquement.

Utilisez Ajouter un service d'accessibilité pour ajouter des entrées et supprimez-les avec l'action de suppression.

 

14. Politique de mise à jour du système

Configuration pour la gestion des mises à jour du système.

Par défaut : Suit le comportement de mise à jour par défaut de l'appareil, ce qui nécessite généralement que l'utilisateur accepte les mises à jour du système.

Automatique : Installe automatiquement dès qu'une mise à jour est disponible.

Fenêtre de maintenance : Installe automatiquement au sein d'une fenêtre de maintenance quotidienne. Cela configure également les applications Play pour qu'elles soient mises à jour pendant cette fenêtre. Cette option est fortement recommandée pour les appareils de type kiosque, car c'est le seul moyen de mettre à jour via Play les applications épinglées de manière persistante au premier plan.

Reporter : Reporte l'installation automatique jusqu'à un maximum de 30 jours.

 

14.1. Fenêtre de maintenance (Mode fenêtre uniquement)

Lorsque la Politique de mise à jour du système est définie sur Fenêtre de maintenance, vous pouvez définir la fenêtre de maintenance quotidienne à l'aide des champs de et à.

 

14.2. Périodes de gel des mises à jour du système

Une période de temps se répétant chaque année au cours de laquelle les mises à jour système over-the-air (OTA) sont reportées afin de figer la version du système d'exploitation en cours d'exécution sur un appareil. Pour éviter de figer l'appareil indéfiniment, chaque période de gel doit être séparée par au moins 60 jours. Chaque période de gel ne doit pas dépasser 90 jours.

Utilisez Ajouter une période de gel des mises à jour du système pour créer des entrées.

 

15. Fournisseurs d'identifiants par défaut

Contrôle quelles applications sont autorisées à agir en tant que fournisseurs d'identifiants sur Android 14 et versions ultérieures.

Interdit (par défaut) : Les applications dont la politique credentialProviderPolicy n'est pas spécifiée ne sont pas autorisées à agir en tant que fournisseur d'identifiants.

Interdit sauf système : Les applications dont la politique credentialProviderPolicy n'est pas spécifiée ne sont pas autorisées à agir en tant que fournisseur d'identifiants, sauf pour les fournisseurs d'identifiants par défaut du fabricant (OEM).

Politiques - Android

Localisation et géorepérage

Ce panneau regroupe les paramètres de la politique Android qui contrôlent le signalement de la position de l'appareil, l'application de la localisation et les définitions de géorepérage. Utilisez-le lorsque vous souhaitez que Cerberus Enterprise collecte la position des appareils ou détecte lorsqu'ils entrent ou sortent de zones configurées.

Signalement de la position

Signaler la position

Active le signalement de la géolocalisation de l'appareil. Les données de localisation collectées via ce paramètre sont utilisées par la carte de localisation du tableau de bord, l'historique de localisation de l'aperçu de l'appareil et le traitement du géorepérage.

Sur les appareils qui ne sont pas entièrement gérés, la transmission des données de localisation peut toujours dépendre du fait que l'application Cerberus Enterprise possède les autorisations de localisation requises et que les services de localisation soient activés sur l'appareil.

Mode de localisation

Contrôle le paramètre de localisation sur les appareils appartenant à l'entreprise.

Partage de la position désactivé

Désactive le partage de la position pour les applications professionnelles. Sur les appareils avec propriétaire de profil, cela affecte le profil professionnel. Sur les appareils en gestion complète, cela désactive la localisation pour l'ensemble de l'appareil et remplace le mode de localisation de l'appareil.

Comportement automatique avec géorepérages actifs

Les géorepérages actifs nécessitent le signalement de la position pour fonctionner. Lorsqu'au moins un géorepérage est actif, Cerberus Enterprise maintient automatiquement la cohérence des paramètres de localisation associés.

Si vous tentez de désactiver Signaler la position alors qu'un ou plusieurs géorepérages sont actifs, Cerberus Enterprise affiche une boîte de dialogue de confirmation. Si vous continuez, tous les géorepérages actifs dans la politique seront désactivés.

Liste de géorepérages

Une politique peut contenir jusqu'à 10 géorepérages. Les noms des géorepérages doivent être uniques au sein de la politique.

Utilisez Ajouter un géorepérage pour créer une nouvelle entrée. Chaque géorepérage contient ces champs principaux :

Au moins l'une des options Signaler l'entrée ou Signaler la sortie doit rester activée pour chaque géorepérage.

Outils d'édition de la carte

Chaque fiche de géorepérage inclut un aperçu cartographique de la zone. Vous pouvez modifier la géométrie à partir de la carte ou des champs numériques.

Où les données de géorepérage apparaissent

Les transitions de géorepérage peuvent être consultées dans la page Aperçu de l'appareil de l'Android, dans l'onglet Géorepérage du panneau de localisation. Cet onglet affiche les transitions sur une carte dédiée, ainsi que des outils de filtrage et la liste des transitions.

Politiques - Android

Gestion des utilisateurs

Désactivation de l'ajout d'utilisateurs

Indique si l'ajout de nouveaux utilisateurs et profils est désactivé. Pour les appareils où le mode de gestion est DEVICE_OWNER, ce champ est ignoré et l'utilisateur n'est jamais autorisé à ajouter ou supprimer des utilisateurs.

 

Désactivation de la modification des comptes

Indique si l'ajout ou la suppression de comptes est désactivé.

 

Désactivation de la configuration des identifiants utilisateur

Indique si la configuration des identifiants utilisateur est désactivée.

 

Désactivation de la suppression d'utilisateurs

Indique si la suppression d'autres utilisateurs est désactivée.

 

Désactivation de la définition de l'icône utilisateur

Indique si le changement de l'icône utilisateur est désactivé.

 

Désactivation de la définition du fond d'écran

Indique si le changement de fond d'écran est désactivé.

 

Authentification lors de la configuration du compte de travail

Contrôle la manière dont les utilisateurs s'authentifient lors de la configuration du compte de travail. Cette option est disponible uniquement pour les entreprises Android gérées par un domaine Google (Google Workspace).

Lors de la configuration ou de l'enrôlement de l'appareil, cette politique influence si une connexion au compte de travail est requise, mais le paramètre S'authentifier à l'aide de Google de la console d'administration Google ainsi que le type de jeton d'enrôlement peuvent toujours exiger une authentification.

Pour les appareils déjà enrôlés, cette politique ne s'applique que si l'appareil est géré par un compte Google Play géré (c'est-à-dire enrôlé sans enrôlement avec authentification via Google).

Pour plus de détails et pour le dépannage, reportez-vous à l'enrôlement avec authentification via Google.

 

Types de comptes bloqués

Types de comptes qui ne peuvent pas être gérés par l'utilisateur. Cette option empêche les utilisateurs de l'appareil d'ajouter des comptes non approuvés.

Utilisez Ajouter un type de compte bloqué pour ajouter un ou plusieurs types de comptes.

Chaque entrée possède un champ Type de compte (obligatoire). Saisissez une chaîne de caractères telle que com.google. Supprimez une entrée à l'aide de l'action de suppression.

Politiques - Android

Usage personnel

Lors du provisionnement d'un appareil appartenant à l'entreprise pour un usage professionnel et personnel, vous pouvez spécifier certaines règles pour limiter la manière dont l'utilisateur peut utiliser l'appareil à des fins personnelles, en dehors du profil de travail.

Cette section s'applique uniquement aux appareils appartenant à l'entreprise avec un profil de travail. Elle n'aura aucun effet sur les appareils en gestion complète ou appartenant à des particuliers.

1. Désactivation de l'appareil photo

Indique si l'appareil photo est désactivé.

 

2. Désactivation de la capture d'écran

Indique si la capture d'écran est désactivée.

 

3. Nombre maximal de jours avec le profil de travail désactivé

Contrôle la durée pendant laquelle le profil de travail peut rester désactivé.

 

4. Partage via Bluetooth

Contrôle si le partage via Bluetooth est autorisé dans le profil personnel d'un appareil appartenant à l'entreprise avec un profil de travail.

 

5. Espace privé

Contrôle si un espace privé est autorisé sur l'appareil.

 

6. Mode Play Store

Ce mode contrôle quelles applications sont autorisées ou bloquées pour l'utilisateur dans le Play Store du profil personnel.

Liste d'exclusion (par défaut) : toutes les applications sont disponibles et toute application qui ne devrait pas être sur l'appareil doit être explicitement marquée comme Bloquée dans la section Applications.

Liste d'autorisation : seules les applications explicitement spécifiées dans la section Applications avec le Type d'installation défini sur Disponible sont autorisées à être installées dans le profil personnel.

 

7. Applications

Liste des applications qui doivent être autorisées ou bloquées sur le profil personnel. Le comportement du contenu de la liste dépend de la valeur définie dans le Mode Play Store.

Pour ajouter une nouvelle application depuis le Play Store, cliquez sur l'icône +.

7.1. Type d'installation

Types de comportements d'installation qu'une application du profil personnel peut avoir.

Bloquée : l'application est bloquée et ne peut pas être installée dans le profil personnel.

Disponible : l'application est disponible pour être installée dans le profil personnel.

 

8. Types de comptes bloqués

Types de comptes qui ne peuvent pas être gérés par l'utilisateur. Cette option empêche les utilisateurs de l'appareil d'ajouter des comptes non approuvés sur leur profil personnel.

Politiques - Android

Politiques interprofils

S'applique uniquement aux appareils disposant de profils personnels et professionnels.

Copier/coller interprofils

Détermine si le texte copié d'un profil (personnel ou professionnel) peut être collé dans l'autre profil.

Interdit (par défaut) : Empêche les utilisateurs de coller dans le profil personnel du texte copié depuis le profil professionnel. Le texte copié depuis le profil personnel peut être collé dans le profil professionnel.

Autorisé : Le texte copié dans l'un ou l'autre profil peut être collé dans l'autre profil.

 

Partage de données interprofils

Détermine si les données d'un profil (personnel ou professionnel) peuvent être partagées avec les applications de l'autre profil. Contrôle spécifiquement le partage simple de données via des intents. La gestion des autres canaux de communication interprofils, tels que la recherche de contacts, le copier/coller,
ou les applications professionnelles et personnelles connectées, est configurée séparément.

Interdit : Empêche le partage de données, que ce soit du profil personnel vers le profil professionnel ou du profil professionnel vers le profil personnel.

Partage professionnel vers personnel interdit (par défaut) : Empêche les utilisateurs de partager des données du profil professionnel vers les applications du profil personnel. Les données personnelles peuvent être partagées avec les applications professionnelles.

Autorisé : Les données de l'un ou l'autre profil peuvent être partagées avec l'autre profil.

 

Widgets du profil professionnel par défaut

Comportement par défaut des widgets du profil professionnel. Si une application spécifique ne définit pas de politique de widgets, elle suivra le paramètre défini ici.

 

Fonctions d'application interprofils

Contrôle si les applications du profil personnel peuvent invoquer des fonctions d'application provenant des applications du profil professionnel. Cela nécessite Android 16 ou une version ultérieure.

Ce paramètre dépend de l'option Fonctions d'application au niveau de la politique (dans la section Gestion des applications). Si les fonctions d'application sont définies sur Interdit, l'API rejettera les fonctions d'application interprofils définies sur Autorisé.

 

Contacts professionnels dans le profil personnel

Détermine si les contacts enregistrés dans le profil professionnel peuvent être affichés lors des recherches de contacts et des appels entrants sur le profil personnel.

Autorisé (par défaut) : Permet aux contacts du profil professionnel d'apparaître dans le profil personnel.

Interdit : Empêche les applications personnelles d'accéder aux contacts du profil professionnel et de rechercher des contacts professionnels.

Interdit sauf système : Empêche la plupart des applications personnelles d'accéder aux contacts du profil professionnel, à l'exception des applications par défaut de l'OEM (Téléphone, Messages et Contacts) (Android 14+).

Lorsque l'option Contacts professionnels dans le profil personnel est configurée, vous pouvez facultativement définir une liste d'entrées Noms de package exemptés. Selon le mode sélectionné, ces exemptions se comportent comme une liste d'autorisation ou une liste de blocage pour les applications personnelles.

Politiques - Android

Rapport d'état

Dans cette section, vous pouvez configurer les données qui doivent être récupérées sur l'appareil. Les données d'état peuvent être consultées sur la page du tableau de bord État de l'appareil.

 

Rapports d'applications

Indique si les rapports d'applications sont activés. (Informations rapportées sur une application installée.)

Cette option est requise par le système (pour l'intégration d'applications compagnons) et est toujours activée ; elle ne peut pas être désactivée.

 

Inclure les applications supprimées

Indique si les applications supprimées sont incluses dans les rapports d'applications.

 

Paramètres de l'appareil

Indique si le rapport des paramètres de l'appareil est activé. (Informations sur les paramètres de l'appareil liés à la sécurité sur l'appareil.)

 

Informations sur le logiciel

Indique si le rapport des informations sur le logiciel est activé. (Informations sur le logiciel de l'appareil.)

 

Informations sur la mémoire

Indique si le rapport de la mémoire est activé. (Un événement lié aux mesures de la mémoire et du stockage.)

 

Informations sur le réseau

Indique si le rapport des informations sur le réseau est activé. (Informations sur le réseau de l'appareil.)

 

Informations sur l'affichage

Indique si le rapport de l'affichage est activé. Les données de rapport ne sont pas disponibles pour les appareils appartenant à des particuliers avec un profil de travail. (Informations sur l'affichage de l'appareil.)

 

Événements de gestion de l'alimentation

Indique si le rapport des événements de gestion de l'alimentation est activé. Les données de rapport ne sont pas disponibles pour les appareils appartenant à des particuliers avec un profil de travail.

 

État du matériel

Indique si le rapport de l'état du matériel est activé. Les données de rapport ne sont pas disponibles pour les appareils appartenant à des particuliers avec un profil de travail.

 

Propriétés du système

Indique si le rapport des propriétés du système est activé.

 

Mode Critères Communs (Common Criteria)

Indique si le rapport du mode Critères Communs est activé.

Politiques - Android

Divers

1. Jeu d'Easter egg désactivé

Détermine si le jeu d'Easter egg dans les Paramètres est désactivé.

 

2. Ignorer les conseils de première utilisation

Indicateur pour ignorer les conseils lors de la première utilisation. L'administrateur d'entreprise peut activer la recommandation système permettant aux applications de sauter leur tutoriel utilisateur et autres conseils d'introduction lors du premier démarrage.

 

3. Message d'assistance court

Un message affiché à l'utilisateur sur l'écran des paramètres partout où une fonctionnalité a été désactivée par l'administrateur. Si le message dépasse 200 caractères, il peut être tronqué.

 

4. Message d'assistance long

Un message affiché à l'utilisateur sur l'écran des paramètres de l'administrateur de l'appareil.

 

5. Infos écran de verrouillage du propriétaire

Les informations sur le propriétaire de l'appareil à afficher sur l'écran de verrouillage.

 

6. Actions de configuration

Actions à effectuer pendant le processus de configuration. Lors de l'enrôlement, vous pouvez exiger que l'utilisateur ouvre une ou plusieurs applications nécessaires à la configuration de l'appareil.

Utilisez Ajouter une action de configuration pour créer des entrées et supprimez-les avec l'action de suppression.

6.1. Lancer l'application

Nom de package de l'application à lancer

6.2. Titre

Fournit un message destiné à l'utilisateur pour lui expliquer pourquoi le lancement de l'application est requis.

6.3. Description

Fournit un message destiné à l'utilisateur pour lui expliquer pourquoi le lancement de l'application est requis.

 

7. Visibilité du nom d'affichage de l'entreprise

Contrôle si le nom d'affichage de l'entreprise est visible sur l'appareil (par exemple, sous forme de message sur l'écran de verrouillage des appareils appartenant à l'entreprise).

Visible (par défaut) : Le nom d'affichage de l'entreprise est visible sur l'appareil (pris en charge sur les profils professionnels sous Android 7+ et les appareils en gestion complète sous Android 8+).

Masqué : Le nom d'affichage de l'entreprise est masqué sur l'appareil.

Politiques - Android

Règles d'application des politiques

Si un appareil ou un profil de travail ne respecte pas l'un des paramètres de politique énumérés ci-dessous, la politique d'appareil Android bloque immédiatement l'utilisation de l'appareil ou du profil de travail par défaut :

Si l'appareil ou le profil de travail reste non conforme après 10 jours, la politique d'appareil Android réinitialisera l'appareil aux paramètres d'usine ou supprimera le profil de travail.

Dans cette section, vous pouvez remplacer les règles d'application de conformité par défaut ou en ajouter de nouvelles.

Règles

Liste des règles qui définissent le comportement lorsqu'une politique particulière ne peut pas être appliquée à un appareil.

Utilisez Ajouter une règle pour créer une nouvelle règle. Chaque fiche de règle peut être supprimée à l'aide de l'action de suppression.

Nom du paramètre

La politique de premier niveau à appliquer. Par exemple, Applications ou Exigences relatives au mot de passe.

Requis. La valeur doit correspondre à un nom de politique de premier niveau pris en charge ; sinon, le champ est marqué comme invalide.

Bloquer après X jours

Nombre de jours pendant lesquels la politique est non conforme avant que l'appareil ou le profil de travail ne soit bloqué. Pour bloquer l'accès immédiatement, réglez sur 0. Bloquer après X jours doit être inférieur à Réinitialisation après X jours. Applicable uniquement aux appareils appartenant à l'entreprise.

Plage autorisée : 0–300.

Portée du blocage

Spécifie la portée de l'action de blocage. Applicable uniquement aux appareils appartenant à l'entreprise.

Par défaut (nouvelle règle) : Profil de travail.

Profil de travail : l'action de blocage s'applique uniquement aux applications du profil de travail. Les applications du profil personnel ne sont pas affectées.

Appareil complet : l'action de blocage s'applique à l'appareil complet, y compris les applications du profil personnel.

Réinitialisation après X jours

Nombre de jours pendant lesquels la politique est non conforme avant que l'appareil ou le profil de travail ne soit réinitialisé.
Réinitialisation après X jours doit être supérieur à Bloquer après X jours. Applicable uniquement aux appareils appartenant à l'entreprise.

Requis. Par défaut (nouvelle règle) : 1.

Plage autorisée : 1–300.

Conserver la protection contre la réinitialisation d'usine

Indique si les données de protection contre la réinitialisation d'usine sont conservées sur l'appareil. Ce paramètre ne s'applique pas aux profils de travail.

Par défaut (nouvelle règle) : activé.

Politiques - Apple

Politiques - Apple

Politiques Apple

Les politiques Apple définissent les paramètres de gestion que Cerberus Enterprise applique aux appareils Apple via MDM. Ces paramètres sont configurés depuis le tableau de bord dans l'éditeur de politique Apple.

Avant de commencer

La gestion des appareils Apple nécessite la configuration d'Apple Management (APNs). Si nécessaire, consultez la page Configuration d'Apple Management (APNs).

Ouvrir l'éditeur de politique Apple

Dans le tableau de bord, ouvrez Politiques et cliquez sur Créer une nouvelle politique Apple. Pour modifier une politique Apple existante, cliquez sur sa ligne dans le tableau des politiques.

Mise en page de l'éditeur

L'éditeur de politique Apple est organisé en un ensemble de sections extensibles. En haut de la page, vous pouvez toujours modifier :

Sections de la politique

Les sections ci-dessous correspondent aux panneaux actuellement disponibles dans l'éditeur de politique Apple :

De nombreuses options dans l'éditeur de politique Apple incluent une info-bulle qui documente les exigences et les versions d'OS prises en charge.

Sauvegarde, suppression et appareils associés

Utilisez Enregistrer la politique pour appliquer vos modifications. Le bouton est désactivé lorsqu'il n'y a pas de modifications en attente ou lorsque la licence est expirée.

Lors de la modification d'une politique existante, la page affiche également une action Supprimer la politique. L'éditeur peut afficher une liste des Appareils associés en bas de page, afin que vous puissiez voir combien d'appareils utilisent actuellement la politique.

Pages suivantes

Politiques - Apple

Politique Apple : Code de déverrouillage

La section Paramètres du code de déverrouillage contrôle les exigences relatives au code de déverrouillage de l'appareil et les règles de sécurité associées (par exemple, la longueur minimale et la complexité).

Options

Dans l'éditeur de politique Apple, les options de code de déverrouillage sont configurées à l'aide d'un mélange d'interrupteurs et de champs numériques. De nombreux champs incluent des info-bulles indiquant les versions d'OS prises en charge et les exigences de supervision.

Interrupteurs du code de déverrouillage

Champs numériques

Politiques - Apple

Politique Apple : Restrictions

Les sections Restrictions contrôlent quelles fonctionnalités de l'OS sont autorisées sur les appareils Apple gérés. Dans l'éditeur de politique Apple, ces options sont présentées sous forme de panneaux groupés comportant plusieurs interrupteurs.

De nombreuses restrictions ne sont prises en charge que sur des versions spécifiques de l'OS et peuvent nécessiter des appareils supervisés. Utilisez les info-bulles dans le tableau de bord pour connaître les exigences officielles.

Sécurité

iCloud

Multimédia

Cellulaire

Réseautage

Comptes (restriction)

Le panneau Comptes contient à la fois une restriction et (facultativement) la configuration des comptes. L'interrupteur de restriction permet de contrôler si l'utilisateur peut modifier les comptes système.

Politiques - Apple

Politique Apple : Applications et profils

Cette section documente la configuration des applications gérées et des charges utiles de compte pour les appareils Apple.

Gestion des applications

Le panneau Gestion des applications contient à la fois des restrictions générales relatives aux applications et une liste d'applications gérées.

Restrictions générales sur les applications

Applications gérées

Utilisez Ajouter une application pour ajouter une application à la politique. Chaque application gérée est affichée sous forme de fiche. Vous pouvez agrandir la fiche pour modifier ses paramètres et supprimer l'application à l'aide de l'action de suppression.

Comptes

Le panneau Comptes vous permet de configurer les comptes qui sont appliqués aux appareils gérés. Il comprend également un interrupteur de restriction pour la modification des comptes.

Restriction

Ajouter des comptes

Utilisez Ajouter un compte Google ou Ajouter un compte de messagerie pour ajouter des charges utiles de compte à la politique. Chaque compte apparaît sous forme de fiche avec ses champs de configuration.

Identifiants de compte des utilisateurs

Les fiches de compte Google et de messagerie proposent toutes deux un interrupteur Identifiants de compte des utilisateurs. Lorsqu'il est activé, le système applique les identifiants de compte par utilisateur. Lorsqu'il est désactivé, vous saisissez l'identité du compte dans la politique.

Champs du compte Google

Champs du compte de messagerie

Les comptes de messagerie incluent des champs d'identité ainsi que la configuration des serveurs entrants et sortants. Les noms d'hôte sont requis.

Serveur entrant

Serveur sortant

Options S/MIME

Pour les comptes de messagerie, vous pouvez également configurer le comportement de chiffrement et de signature S/MIME.

Chiffrement

Signature

Les options de compte et de restriction incluent des info-bulles dans le tableau de bord qui documentent les prérequis et les versions d'OS prises en charge.

État de l'Appareil

État de l'Appareil

Aperçu de l'appareil

Ouvrez un appareil à partir de Tableau de bordAppareils en cliquant sur la ligne de l'appareil. Le titre de la page affiche le modèle de l'appareil (lorsqu'il est disponible) et son ID interne.

Données historiques vs inscription actuelle

Lorsqu'un appareil possède plusieurs inscriptions, Cerberus Enterprise peut afficher un historique en lecture seule. Dans ce cas, la page affiche une bannière Données historiques et un bouton pour revenir aux données d'inscription actuelles.

Champs supérieurs

La section supérieure résume l'identité, l'assignation et l'état de gestion de l'appareil. Certains champs sont spécifiques à la plateforme et n'apparaissent que pour les appareils Android ou Apple.

Certaines données et certains panneaux ne sont disponibles que lorsque la catégorie correspondante est activée dans la politique de l'appareil. Pour plus d'informations, consultez les pages Rapport d'état et Localisation et géofencing.

Panneaux

L'éditeur d'appareil est organisé en sections extensibles. Selon la plateforme et l'état, vous pouvez voir un ou plusieurs des panneaux suivants :

Onglets du panneau de localisation

Le panneau Carte de localisation utilise désormais des onglets afin que l'historique de localisation et les transitions de géofencing restent séparés.

Pour connaître le comportement complet de ces onglets, consultez Carte de localisation.

Actions

Au bas de la page, vous pouvez actualiser les données et effectuer des actions en fonction de la plateforme, de l'état de l'appareil et du statut de la licence.

État de l'Appareil

Commandes

L'éditeur d'appareil propose un panneau Commandes pour envoyer des commandes à distance à un appareil géré. Les commandes disponibles dépendent de la plateforme (Android ou Apple) et de l'état de l'appareil.

Si l'appareil n'est pas actuellement en ligne, la commande sera livrée et exécutée dès que l'appareil se connectera à Internet. Pour les commandes Android, vous pouvez définir le paramètre Durée pour déterminer la durée de validité d'une commande non livrée.

Commandes Android (AMAPI)

Pour les appareils Android, le panneau Commandes comprend un champ Durée (valeur + unité) et un sélecteur de Commande. Certaines commandes nécessitent des paramètres supplémentaires, qui apparaissent dynamiquement lorsque vous sélectionnez la commande.

Paramètres communs

Commandes avec champs supplémentaires

Historique des commandes

Sous les commandes d'envoi, le tableau de bord affiche un tableau d'historique des commandes. Le tableau est triable et prend en charge la pagination. Certaines lignes peuvent être développées pour afficher des paramètres supplémentaires ou des détails d'exécution.

Colonnes de l'historique Android

Commandes Apple (MDM)

Pour les appareils Apple, le panneau Commandes propose un sélecteur de Commande. Certaines commandes nécessitent des saisies supplémentaires. Comme pour Android, un tableau d'historique des commandes est affiché ci-dessous.

Commandes avec champs supplémentaires

Colonnes de l'historique Apple

Actualiser

Utilisez l'action d'actualisation dans le panneau Commandes pour recharger l'historique des commandes.

État de l'Appareil

Carte de localisation

Cette page documente les outils de localisation spécifiques aux appareils disponibles dans l'Aperçu de l'appareil. Le panneau contient un onglet Localisation pour l'historique des positions et, sur les appareils Android, un onglet Géorepérage pour les transitions de périmètre.

Prérequis

Les données de localisation de l'appareil ne sont affichées que lorsque le signalement de la position est activé dans la politique de l'appareil. Pour l'activer, ouvrez la politique et activez Localisation et géorepérageSignaler la position. Pour plus de détails, consultez Localisation et géorepérage.

Sur les appareils qui ne sont pas entièrement gérés, la transmission des données de localisation peut toujours dépendre du fait que l'application Cerberus Enterprise possède les autorisations de localisation requises et que les services de localisation soient activés sur l'appareil.

Pour la carte multi-appareils globale disponible depuis le tableau de bord, consultez Carte de localisation du tableau de bord.

Chargement et état sans données

Onglet Localisation

Ouvrez l'onglet Localisation pour inspecter l'historique d'un seul appareil. Les filtres disponibles incluent la dernière position connue, des plages d'historique récentes, une plage de dates personnalisée et le suivi en direct.

Détails du marqueur

Lorsque vous cliquez sur un marqueur de localisation, une fenêtre d'information s'ouvre avec :

Cercle de précision

Lorsque la fenêtre d'information est ouverte, un cercle de précision s'affiche autour du marqueur. Le rayon du cercle correspond à la précision rapportée (en mètres). La fermeture de la fenêtre d'information masque le cercle.

Suivi en direct

Dans la vue de l'historique de l'appareil, la sélection du filtre En direct lance une demande de suivi en temps réel pour cet appareil spécifique. Cerberus Enterprise demande une confirmation avant de lancer la demande.

Onglet Géorepérage

Sur les appareils Android, le second onglet affiche les transitions de périmètre générées à partir des géorepérages définis dans la politique assignée. Cet onglet est disponible lorsque des données de géorepérage existent pour l'appareil.

Détails de la transition de géorepérage

Sélectionner une transition ouvre ses détails sur la carte et met en évidence l'entrée correspondante dans la liste. Lorsque cela est disponible, Cerberus Enterprise affiche également les coordonnées de l'appareil et la précision rapportée pour cette transition.

Carte de localisation du tableau de bord

La carte de localisation du tableau de bord fournit une vue globale de la dernière position connue des appareils qui transmettent des données de localisation. Ouvrez-la depuis le Tableau de bord pour examiner plusieurs appareils sur la même carte Google.

Prérequis

Un appareil n'apparaît sur cette carte que lorsque le signalement de la position est activé dans sa politique assignée. Pour l'activer, ouvrez la politique et activez Position et géofencingSignaler la position. Pour plus de détails, consultez Position et géofencing.

Sur les appareils qui ne sont pas entièrement gérés, la transmission des données de localisation peut toujours dépendre du fait que l'application Cerberus Enterprise possède les autorisations de localisation requises et que les services de localisation soient activés sur l'appareil.

Pour l'historique par appareil et les transitions de géofencing disponibles dans l'éditeur d'appareil, consultez Carte de localisation.

État de chargement et absence de données

Marqueurs et grappes

Chaque appareil disposant de données de localisation est affiché sous la forme d'un marqueur. Lorsque de nombreux appareils sont proches les uns des autres, les marqueurs sont regroupés automatiquement pour maintenir la lisibilité de la carte.

Les appareils faisant actuellement l'objet d'un suivi en direct sont mis en évidence par un marqueur animé afin qu'ils soient plus faciles à repérer sur la carte.

Commandes de la carte

Lorsque la carte contient des emplacements d'appareils, Cerberus Enterprise affiche des boutons d'action dans le coin supérieur droit de la carte.

Détails du marqueur

Cliquer sur un marqueur ouvre une fenêtre d'information avec :

L'identifiant de l'appareil dans la fenêtre d'information est un lien qui ouvre la page Aperçu de l'appareil.

Actions de la fenêtre d'information

Chaque fenêtre d'information comprend également des boutons d'action pour l'appareil sélectionné.

Cercle de précision

Lorsqu'un marqueur est sélectionné, la carte affiche un cercle de précision autour de l'emplacement. Le rayon du cercle correspond à la précision rapportée.

Comportement du suivi en direct

Lancer le suivi en direct depuis une fenêtre d'information envoie une demande de suivi en temps réel à cet appareil. Cerberus Enterprise actualise ensuite la carte automatiquement tant que la session est active.

Applications privées

À partir de cette section du tableau de bord, vous pouvez télécharger vos propres applications Android privées ou créer des applications web pour les distribuer sur vos appareils.

Les seuls détails que vous devez fournir sont le titre de l'application et son fichier APK. Les applications privées sont automatiquement approuvées pour votre organisation et sont généralement prêtes pour la distribution en moins de 10 minutes. Vous pouvez télécharger un total de 15 applications privées par jour. Notez que les applications web comptent également dans ce total.

La première fois que vous publiez une application privée, vous devrez fournir une adresse e-mail pour recevoir les notifications de la Play Console concernant vos applications et votre compte développeur Google Play. De plus, le Play géré crée automatiquement un compte développeur Play au nom de votre organisation. Vous n'avez pas besoin de payer de frais d'inscription pour ce compte.

Applications privées publiées depuis l'iframe :

Pour plus de détails, veuillez consulter l'aide de Managed Google Play

Gestion des certificats

Le tableau de bord comprend une section Certificats pour importer, consulter et supprimer des certificats. Cliquer sur une ligne de certificat ouvre l'éditeur de certificat.

Liste des certificats

Les certificats sont affichés dans un tableau paginé et triable. La liste comprend à la fois les certificats clients et les autorités de certification (CA).

Filtres

En haut de la page, vous pouvez activer des filtres à l'aide de la liste de puces. Certains filtres sont mutuellement exclusifs.

Colonnes du tableau

Actions

Importer des certificats

Pour importer des certificats, cliquez sur Importer un certificat et sélectionnez un ou plusieurs fichiers. Les formats pris en charge sont indiqués dans l'info-bulle du bouton d'importation.

Clients

Format pris en charge : PKCS#12 encodé en Base64 (.p12 / .pfx).

Les certificats clients permettent d'identifier un utilisateur ou un appareil sur le réseau de l'entreprise. Les certificats clients peuvent être associés à un utilisateur spécifique.

Chaque certificat client peut être optionnellement assigné à un utilisateur spécifique : cela permet de déployer la même configuration Wi‑Fi EAP sur de nombreux appareils. Vous pouvez le faire dans la section configuration réseau de la politique, en utilisant l'option identifiants EAP des utilisateurs.

Alternativement, vous pouvez attribuer un certificat à un utilisateur depuis la page Utilisateurs.

Autorités de certification (CA)

Formats pris en charge : X.509 encodé en Base64 (.crt / .pem / .cer / .der).

Les certificats CA identifient une autorité de certification et indiquent à l'appareil que tous les certificats émis par cette CA doivent être dignes de confiance. Le tableau de bord valide qu'un certificat X.509 importé est bien une CA.

Éditeur de certificat

Lorsque vous ouvrez un certificat, l'éditeur affiche ses champs principaux et un panneau Informations sur le certificat en lecture seule.

Champs principaux

Association utilisateur (certificats clients)

Pour les certificats Client, l'éditeur affiche un champ Utilisateur. Si un utilisateur est assigné, un menu vous permet d' Ouvrir l'utilisateur, de Changer l'utilisateur ou de Désassocier l'utilisateur. Si aucun utilisateur n'est assigné, vous pouvez en assigner un à l'aide du bouton d'action utilisateur.

Supprimer le certificat

L'action de suppression est désactivée lorsque le certificat est actuellement associé à un utilisateur ou utilisé dans des politiques. Elle peut également être désactivée lorsque la licence est expirée.

Règles d'événement

Les règles d'événement vous permettent d'automatiser les réactions aux événements pris en charge sur les appareils. Ouvrez Tableau de bordRègles d'événement pour créer des règles qui surveillent les événements d'enrôlement, de désenrôlement, de non-conformité et de géorepérage Android, puis déclenchent automatiquement une ou plusieurs actions.

Ce qu'une règle d'événement peut faire

Chaque règle combine un sujet, un événement et une ou deux actions. Les sujets pris en charge sont Tous les appareils, Appareil spécifique et Politique.

Une règle peut contenir uniquement une action par e-mail, uniquement une action sur l'appareil, ou une action sur l'appareil plus une action par e-mail. Si les deux actions sont configurées, Cerberus Enterprise exécute d'abord l'action sur l'appareil, puis l'action par e-mail.

Règles de plateforme et de compatibilité

Les événements et les actions disponibles dépendent du sujet sélectionné et de la plateforme qui s'applique à ce sujet.

Liste des règles

La liste des règles d'événement est la page de gestion principale pour cette fonctionnalité. Elle comprend un tableau avec recherche incluant le nom de la règle, le sujet, l'événement, les actions, la plateforme, l'état d'activation et l'heure de mise à jour.

Éditeur de règles

L'éditeur est divisé en sections Général, Portée, Déclencheur et Actions. Au bas de la page, une barre d'actions collante permet de garder les boutons principaux visibles pendant le défilement.

Général

Portée

La portée définit les appareils auxquels la règle peut s'appliquer. L'éditeur affiche également la plateforme résolue et, lorsqu'elle est disponible, le contexte de politique effectif.

Déclencheur

La section déclencheur filtre automatiquement les événements disponibles en fonction de la portée et de la plateforme sélectionnées.

Déclencheurs de géorepérage

Les règles d'entrée et de sortie de géorepérage sont prises en charge uniquement pour Android et nécessitent un contexte de politique Android valide. Pour les rapports de localisation et les définitions de géorepérage, consultez Localisation et géorepérage.

Actions

La section des actions vous permet de choisir une action sur l'appareil et une notification par e-mail, toutes deux facultatives. L'interface utilisateur masque automatiquement les combinaisons non prises en charge.

Destinataires de l'e-mail

Les actions par e-mail incluent toujours les utilisateurs de l'entreprise ayant le rôle ADMIN. Si l'entreprise est gérée via le multi-tenant, vous pouvez étendre les destinataires pour inclure les gestionnaires MT.

Comportement d'exécution

Les règles d'événement s'exécutent immédiatement lorsque Cerberus Enterprise reçoit un événement pris en charge via les intégrations backend. Les règles désactivées sont automatiquement ignorées.

Les exécutions réussies et échouées sont enregistrées dans le journal système avec des messages lisibles par l'utilisateur.

Appareils

Appareils

Appareils

La section Appareils du tableau de bord (Tableau de bordAppareils) répertorie tous les appareils enrôlés dans votre compte. À partir de cette page, vous pouvez filtrer la liste, ouvrir la fiche d'un appareil et effectuer des actions telles que la désactivation ou le désenrôlement.

Filtres

En haut de la page, vous pouvez activer un ou plusieurs filtres à l'aide de la liste de puces. Les puces sélectionnées représentent les filtres actuellement actifs.

Filtres disponibles

Recherche

Lorsque vous activez le filtre Recherche, un champ de texte apparaît avec l'étiquette ID, Modèle ou Utilisateur. La liste est mise à jour automatiquement une fois la saisie terminée.

Tableau des appareils

Les appareils sont affichés dans un tableau paginé et triable. Cliquer sur une ligne ouvre l'éditeur d'appareil.

Colonnes

Actualisation et pagination

Actions sur les appareils

Chaque ligne d'appareil peut proposer des actions, selon la plateforme et l'état de l'appareil. Certaines actions sont désactivées lorsque votre licence est expirée ou résiliée.

Actions par appareil

Sélection multiple de lignes

Vous pouvez activer la sélection multiple de lignes à partir de la barre d'actions située sous le tableau. Une fois activée, vous pouvez sélectionner plusieurs lignes et appliquer des actions groupées (désactiver, activer, désenrôler ou supprimer), selon les appareils sélectionnés.

Synchronisation avec Apple Business Manager

Si la gestion Apple est configurée et qu'un jeton d'enrôlement automatique des appareils est présent, la page peut afficher l'action Synchroniser depuis ABM pour importer des appareils depuis Apple Business Manager.

Enrôler un appareil

Utilisez Enrôler un appareil pour ouvrir la section des jetons d'enrôlement et commencer l'enrôlement d'un nouvel appareil.

Utilisateurs

Utilisateurs

Utilisateurs

La section Utilisateurs du tableau de bord (Tableau de bordUtilisateurs) répertorie tous les utilisateurs configurés dans votre compte. À partir de cette page, vous pouvez rechercher des utilisateurs, ouvrir l'éditeur d'utilisateurs, créer de nouveaux utilisateurs et supprimer les utilisateurs qui ne sont pas actuellement associés à des appareils.

Recherche

En haut de la page se trouve un champ de recherche avec l'étiquette Recherche et le texte de remplacement Nom, nom d'utilisateur ou e-mail. La liste se met à jour automatiquement une fois la saisie terminée.

Tableau des utilisateurs

Les utilisateurs sont affichés dans un tableau paginé et triable. Cliquer sur une ligne ouvre l'éditeur d'utilisateurs.

Colonnes

Actualisation et pagination

Actions utilisateur

Créer un nouvel utilisateur

Utilisez Créer un nouvel utilisateur pour ouvrir la boîte de dialogue de création d'utilisateur. Cette action est désactivée lorsque votre licence est expirée.

Synchronisation depuis Google Workspace

Si la synchronisation du répertoire Google Workspace est disponible pour votre compte, la page affiche Synchronisation depuis Google Workspace. Lorsque vous lancez une synchronisation, un indicateur de progression s'affiche pendant l'exécution de la requête.

Supprimer un utilisateur

Vous ne pouvez supprimer un utilisateur que lorsqu'il n'est associé à aucun appareil (la colonne Appareils doit être à 0). L'action de suppression est désactivée lorsque votre licence est expirée ou résiliée.

Sélection multiple et suppression en masse

À partir de la barre d'actions située sous le tableau, vous pouvez activer la sélection multiple. Dans ce mode, vous pouvez sélectionner plusieurs utilisateurs et les supprimer en masse.

Certificats Wi-Fi et EAP

La colonne Certificat Wi-Fi indique si un certificat est actuellement assigné à un utilisateur. Les certificats utilisateur sont généralement utilisés pour les configurations Wi-Fi EAP (par exemple, EAP-TLS). Pour l'assignation et la gestion des certificats, consultez la gestion des certificats.

Utilisateurs

Éditeur d'utilisateurs

L'éditeur d'utilisateurs est disponible depuis Tableau de bordUtilisateurs en cliquant sur une ligne d'utilisateur. Il vous permet de modifier les détails de l'utilisateur, de configurer les identifiants Wi-Fi EAP par utilisateur et de consulter les appareils associés à l'utilisateur.

Détails de l'utilisateur

La section supérieure contient les champs principaux de l'utilisateur. Certains champs sont obligatoires et l'éditeur affiche des erreurs de validation lorsqu'ils sont manquants ou invalides.

Politique par défaut d'authentification Google

Dans les environnements Google Workspace avec l'authentification Google activée, l'éditeur peut afficher la Politique par défaut d'authentification Google. Il s'agit de la politique appliquée aux appareils enrôlés via l'authentification Google par cet utilisateur.

Identifiants Wi-Fi EAP

La section Identifiants Wi-Fi EAP est utilisée pour configurer des identifiants par utilisateur qui sont automatiquement installés sur les appareils de l'utilisateur lorsque sa politique assignée contient une configuration Wi-Fi EAP qui les nécessite. La configuration Wi-Fi EAP fait partie de la configuration réseau de la politique Android.

Certificat client

Vous pouvez facultativement attribuer un certificat client à un utilisateur. Lorsqu'un certificat est attribué, il apparaît dans le champ Certificat client et un menu propose des actions. Lorsqu'aucun certificat n'est attribué, le champ affiche Aucun certificat attribué et vous pouvez en attribuer un.

Pour l'importation et la gestion des certificats, consultez la gestion des certificats.

Identité, identité anonyme et mot de passe

Appareils associés

La section Appareils associés affiche la liste des appareils actuellement liés à l'utilisateur. Si l'utilisateur possède un ou plusieurs appareils associés, il ne peut pas être supprimé.

Enregistrer et supprimer

Avertissement sur les modifications non enregistrées

Si vous avez des modifications non enregistrées et que vous tentez de quitter la page, le tableau de bord vous demandera si vous souhaitez abandonner les modifications.

Compte

Compte

Paramètres

La page Paramètres (Tableau de bordParamètres) résume les informations relatives au compte et aux licences, et propose des actions pour gérer la facturation, la configuration de la plateforme (Android Management et Apple Management), ainsi que les intégrations optionnelles d'annuaire ou de jeton.

Bannière de licence (expiration imminente / expirée)

Lorsque votre licence est en cours d'expiration, expirée, ou résiliée, une bannière bien visible s'affiche en haut de la page. Selon l'état de votre abonnement, elle propose soit une action Gérer la facturation (portail client Stripe), soit une action Acheter une licence.

Lorsque la licence est expirée, le compte est limité à la seule possibilité de désenregistrer des appareils. Après la période de grâce, le compte peut être résilié et les appareils peuvent être automatiquement désenregistrés.

Informations sur le compte

La fiche Informations sur le compte affiche des champs en lecture seule :

Changer le mot de passe

Si vous ne vous êtes pas connecté avec Google ou Apple, la fiche affiche également une action Changer le mot de passe. Cela ouvre une boîte de dialogue pour poursuivre le processus de changement de mot de passe.

Informations sur la licence

La fiche Informations sur la licence affiche l'état actuel de la licence et votre limite d'appareils. Elle propose également des actions pour contacter le service commercial, gérer la facturation ou acheter une licence.

Gestion Android

La fiche Gestion Android affiche l'état de la gestion Android pour votre entreprise. Si la gestion Android n'est pas encore configurée, la fiche propose une action Configurer la gestion Android qui ouvre le processus de configuration.

État configuré

Lorsque la gestion Android est configurée, la fiche peut afficher :

Gestion des appareils Apple

La fiche Gestion des appareils Apple affiche l'état de la gestion des appareils Apple (MDM) pour votre entreprise. Si la gestion Apple n'est pas encore configurée, la fiche propose une action Configurer la gestion Apple qui ouvre le processus de configuration.

État configuré

Lorsque la gestion Apple est configurée, la fiche peut afficher :

La gestion Apple nécessite la configuration du certificat APNs. Si nécessaire, consultez Configuration de la gestion Apple (APNs).

Préférences et confidentialité

La fiche Préférences et confidentialité contient un commutateur de préférences marketing et des liens vers les Conditions d'utilisation et la Politique de confidentialité. Utilisez Enregistrer les préférences pour appliquer les modifications (un indicateur de progression s'affiche pendant l'enregistrement).

Envoyer des commentaires

Lorsque les abonnements sont activés pour le compte, la page peut afficher une fiche Envoyer des commentaires avec des liens vers : Faire une demande de fonctionnalité et des plateformes d'avis externes.

Instructions de configuration et de renouvellement intégrées

Au bas de la page, le tableau de bord peut afficher des panneaux d'instructions extensibles selon l'état actuel (par exemple, lorsqu'un certificat ou un jeton est manquant ou en cours d'expiration).

Renouveler le certificat Apple Push (APNs)

Lorsque le certificat APNs est en cours d'expiration ou expiré, la page affiche un panneau présentant les étapes pour télécharger un CSR, renouveler le certificat sur le portail d'Apple et télécharger le nouveau certificat dans Cerberus Enterprise.

Synchroniser avec Apple Business Manager (ABM)

Lorsque le jeton ABM est manquant, expiré ou en cours d'expiration, la page affiche un panneau présentant les étapes pour télécharger un jeton depuis Apple Business Manager et le charger dans Cerberus Enterprise.

Synchroniser avec Apple Volume Purchase Program (VPP)

Lorsque le jeton VPP est manquant, expiré ou en cours d'expiration, la page affiche un panneau présentant les étapes pour télécharger un jeton de contenu depuis Apple Business Manager et le charger dans Cerberus Enterprise.

Synchroniser avec Google Workspace

Lorsque la synchronisation de l'annuaire Google Workspace n'est pas configurée, la page affiche un panneau qui explique l'intégration et fournit un bouton d'autorisation. Elle liste également le scope Google OAuth requis : https://www.googleapis.com/auth/admin.directory.user.readonly.

Pour la configuration initiale d'Android, consultez Configuration de la gestion Android.

Multitenance

Multitenance

Aperçu du multi-tenant

La section Multi-tenant est disponible pour les comptes MSP et de gestionnaire d'entreprise qui gèrent plusieurs entreprises clientes à partir d'une seule connexion. Ce chapitre explique le modèle de portée de l'entreprise, le changement d'entreprise, l'administration des entreprises gérées et les sous-comptes.

Pour demander un compte multi-tenant, contactez enterprise@cerberusapp.com.

Concepts fondamentaux

Modèle de navigation

Lorsqu'aucun contexte d'entreprise n'est sélectionné, la navigation latérale affiche les zones multi-tenant telles que Entreprises et, pour les comptes principaux, Sous-comptes. Après être entré dans une entreprise, le tableau de bord passe à la navigation standard pour une entreprise unique (Accueil, Utilisateurs, Appareils, Enrôlement, Politiques, et plus encore).

Propriété et délégation

Chaque entreprise gérée possède un propriétaire. Le propriétaire peut toujours accéder à cette entreprise. Les comptes gestionnaires non-propriétaires ne peuvent accéder à une entreprise que lorsque la délégation est accordée.

L'état de la propriété et de la délégation est affiché directement sur les fiches d'entreprise afin de rendre explicite le périmètre d'accès avant d'entrer dans une entreprise.

Actions de licence et de facturation

Les vues multi-tenant exposent le statut des licences, les limites d'appareils et les actions de facturation de l'entreprise. Selon l'état de l'abonnement de l'entreprise et vos permissions, la fiche peut afficher Gérer la facturation ou Acheter une licence.

Pour les entreprises créées par un compte multi-tenant, la gestion des licences est assurée par les utilisateurs du compte multi-tenant. Le compte principal peut toujours gérer les licences, tandis que les sous-comptes ne peuvent gérer les licences que lorsque le compte principal active l'Peut gérer les licences pour ce sous-compte.

Pages de ce chapitre

Multitenance

Entreprises gérées

La page Entreprises (Tableau de bordEntreprises) est le centre de contrôle pour l'accès aux entreprises gérées. Elle répertorie toutes les entreprises visibles pour votre compte multi-tenant et vous permet de filtrer, d'inspecter la propriété/délégation, d'entrer dans un contexte d'entreprise et de créer de nouvelles entreprises gérées (comptes principaux uniquement).

Recherche et filtres

Cartes d'entreprise

Chaque carte d'entreprise affiche les métadonnées de gestion clés :

Entreprises récemment sélectionnées

Les entreprises auxquelles vous avez accédé récemment sont épinglées dans une section Récemment sélectionnées pour accélérer les changements de contexte répétés.

Actions sur l'entreprise

Qui peut gérer les licences

Pour les entreprises créées par un compte multi-tenant, la gestion des licences est contrôlée par les utilisateurs du multi-tenant. Le compte principal peut toujours gérer la facturation et les actions relatives aux licences pour ces entreprises.

Les sous-comptes peuvent gérer la facturation et les actions relatives aux licences uniquement si le compte principal accorde la permission Peut gérer les licences sur la page Sous-comptes.

Créer une entreprise gérée

Les comptes multi-tenants principaux peuvent étendre Créer une entreprise gérée depuis la zone d'action en bas de page.

Mode de propriété

Quota d'entreprise

Si le compte atteint le quota d'entreprise configuré, la création est bloquée et le formulaire affiche un message de contact pour l'assistance avec le nombre actuel et maximal d'entreprises.

Lorsque le quota d'entreprise est atteint, vous ne pouvez plus créer d'entreprises gérées supplémentaires tant que votre limite n'a pas été augmentée.

Multitenance

Changement d'entreprise

Le sélecteur d'entreprise dans la barre d'outils supérieure permet aux utilisateurs en mode multi-tenant de passer d'une entreprise déléguée à l'autre sans se déconnecter. Il est disponible lorsqu'au moins un contexte d'entreprise peut être sélectionné.

Comportement du sélecteur

Quitter l'entreprise

Le menu du sélecteur inclut l'option Quitter l'entreprise, qui efface le contexte de l'entreprise actuelle et vous ramène à l'espace de travail multi-tenant global.

Règles de réinitialisation du contexte

Le changement d'entreprise ou le fait de quitter l'entreprise réinitialise la portée du tableau de bord. Les pages spécifiques à l'entreprise et les données sont actualisées pour le nouveau contexte sélectionné, et la visibilité du menu s'adapte selon qu'une entreprise est actuellement sélectionnée ou non.

Utilisez le sélecteur pour des changements de contexte opérationnels rapides, mais vérifiez le nom de l'entreprise sélectionnée avant d'exécuter des actions sensibles telles que les mises à jour de politiques ou les commandes sur les appareils.

Multitenance

Sous-comptes

La page Sous-comptes (Tableau de bordSous-comptes) est accessible aux comptes multi-tenants principaux. Elle vous permet de créer des utilisateurs gestionnaires délégués, d'assigner des entreprises gérées, de contrôler les permissions de facturation et de gérer les identifiants des sous-comptes.

Liste des sous-comptes

Chaque fiche de sous-compte affiche les contrôles d'identité et de gestion :

Assignation des entreprises gérées

Les assignations d'entreprises sont modifiées via le champ de sélection multiple Entreprises gérées. Lorsque vous fermez le sélecteur après avoir effectué des modifications, le tableau de bord demande une confirmation avant d'enregistrer les mises à jour.

Permission de gestion des licences

L'interrupteur Peut gérer les licences permet de contrôler si un sous-compte peut accéder aux actions de facturation et de gestion des licences de l'entreprise.

Pour les entreprises créées par le compte multi-tenant, le compte principal dispose toujours des droits de gestion des licences. Les sous-comptes ne reçoivent les droits de gestion des licences que lorsque cet interrupteur est activé par le compte principal.

Réinitialisation du mot de passe

Réinitialiser le mot de passe génère un nouveau mot de passe temporaire et l'envoie au sous-compte par e-mail après confirmation.

Supprimer le sous-compte

La suppression d'un sous-compte nécessite une confirmation et supprime définitivement l'accès délégué pour ce compte.

Créer un sous-compte

Utilisez le panneau d'action en bas Créer un sous-compte pour ajouter un nouveau gestionnaire délégué.

Aperçus

Voici quelques articles qui explorent comment la gestion des appareils mobiles (MDM) peut aider votre entreprise :

Qu'est-ce que le mode kiosque ? Un guide pour verrouiller les appareils Android et Apple en entreprise

Le mode kiosque transforme les téléphones et tablettes standards en outils professionnels dédiés. Cerberus Enterprise aide les organisations à verrouiller les appareils sur une seule application ou sur un petit ensemble d'applications approuvées pour des cas d'utilisation tels que les points de vente (POS), l'enregistrement des clients ou la navigation de flotte, tout en facilitant la sécurisation, le support et la gestion à grande échelle de ces appareils spécialisés.

Comment choisir la bonne solution MDM : une liste de contrôle en 7 points pour les petites entreprises

Choisir une solution MDM tardivement dans le processus d'achat est plus facile lorsque la comparaison reste pratique. Cette liste de contrôle aide les petites entreprises à évaluer les fournisseurs selon les sept critères qui comptent généralement le plus lors des déploiements réels : la sécurité, le support Android et Apple, la facilité d'utilisation pour les équipes restreintes, l'évolutivité, les limites de confidentialité, le coût total de possession et la capacité de support au quotidien.

Créer une classe numérique sûre et concentrée : un guide sur le MDM pour les écoles K-12

Les appareils gérés par l'école fonctionnent mieux lorsqu'ils restent centrés sur l'apprentissage. Cerberus Enterprise aide les organisations de niveau K-12 à maintenir la concentration des appareils des élèves grâce aux applications gérées, aux restrictions de type kiosque, à la configuration standardisée des appareils partagés ou prêtés, ainsi qu'aux actions de récupération à distance qui réduisent les pertes, l'usage détourné et les interruptions en classe.

Équiper vos techniciens de terrain : comment le MDM booste l'efficacité et la sécurité sur site

Les techniciens de terrain dépendent des appareils mobiles pour leurs horaires, notes d'intervention, références techniques, historique client et mises à jour de tâches lors de leurs interventions sur site. Cerberus Enterprise aide à maintenir ces appareils opérationnels grâce aux applications gérées, des modèles d'appareils standardisés, des commandes de support à distance et une visibilité basée sur la localisation qui peut améliorer la coordination des interventions tout en renforçant la sécurité sur le terrain.

Au-delà de la carte : utiliser le MDM pour une gestion de flotte et une sécurité des conducteurs plus intelligentes

Les opérations de flotte reposent sur les appareils mobiles pour la navigation, l'envoi d'ordres de mission, la messagerie, le journalisation et l'exécution sur le terrain. Cerberus Enterprise aide à maintenir ces appareils concentrés sur les flux de travail approuvés grâce aux applications gérées, aux contrôles de type kiosque et appareils dédiés, aux politiques de communication sécurisées, au dépannage à distance et à une supervision basée sur la localisation qui peut réduire les temps d'arrêt et favoriser des opérations de conduite plus sûres.

Comment les géorepérages, le suivi en direct et les cartes de localisation améliorent les opérations en entreprise

Les fonctionnalités de géolocalisation dans Cerberus Enterprise aident les organisations à passer d'une simple visibilité des appareils à un contrôle opérationnel plus concret. Les rapports de localisation périodiques, le suivi en direct, les transitions de géorepérage et les cartes interactives peuvent soutenir la logistique, le service sur le terrain, la santé, le commerce de détail, la construction et d'autres équipes distribuées qui ont besoin d'une meilleure visibilité sur l'endroit où le travail s'effectue et sur les moments où les appareils entrent ou sortent de zones importantes.

Comment le multi-tenant aide les MSP à développer leurs services MDM et à créer de nouvelles sources de revenus

Le multi-tenant permet aux MSP, aux revendeurs et aux organisations multi-sociétés de gérer plusieurs entreprises à partir d'un seul compte Cerberus Enterprise tout en maintenant chaque environnement séparé. Ce modèle réduit les frictions opérationnelles, améliore l'évolutivité des services et prend en charge l'accès délégué via des sous-comptes et une administration explicite contrôlée par le client. Il crée également des opportunités commerciales plus solides pour les prestataires qui souhaitent combiner l'octroi de licences logicielles avec l'enrôlement, le support, la conformité et les services de mobilité gérée.

Améliorer l'opérativité de l'entreprise grâce aux solutions MDM

La gestion des appareils mobiles (MDM) centralise le contrôle des appareils de l'entreprise, simplifiant ainsi l'enrôlement, la configuration et la maintenance. Le provisionnement automatisé et les opérations groupées réduisent le travail informatique manuel et garantissent des politiques cohérentes sur tous les appareils. Les fonctionnalités de sécurité, telles que le chiffrement, la surveillance de la conformité et l'effacement à distance, protègent les données de l'entreprise. Dans l'ensemble, le MDM améliore la productivité tout en réduisant les coûts de support et la complexité opérationnelle.

Sécurité avancée dans la gestion Android Enterprise

Android Enterprise utilise un profil professionnel pour isoler les applications et les données de l'entreprise du contenu personnel sur le même appareil. Cette conteneurisation crée des environnements chiffrés distincts, gérés indépendamment par les administrateurs informatiques. Les politiques de sécurité peuvent contrôler le partage des données professionnelles sans affecter les applications personnelles. L'architecture protège les données de l'entreprise même si des applications personnelles sont compromises.

MDM pour iPhone Apple et enrôlement automatisé

Le cadre MDM d'Apple permet une gestion centralisée des iPhones dans les environnements d'entreprise. Combiné à Apple Business Manager, les appareils peuvent s'enrôler et se configurer automatiquement lors de leur première activation. Les administrateurs peuvent déployer et configurer silencieusement les applications d'entreprise, appliquer des paramètres de sécurité et surveiller la conformité. Cette automatisation garantit une configuration cohérente des appareils et réduit les erreurs de paramétrage.

Comprendre la gestion des appareils mobiles (MDM)

La gestion des appareils mobiles (MDM) fournit une plateforme centralisée pour surveiller, sécuriser et contrôler les appareils mobiles accédant aux systèmes de l'entreprise. Les capacités de base incluent l'application de politiques de sécurité, la gestion des applications et le verrouillage ou l'effacement à distance des appareils perdus. Le MDM aide à protéger les données de l'entreprise tout en maintenant la conformité des appareils. Il permet aux organisations de toutes tailles de gérer en toute sécurité une main-d'œuvre mobile croissante.

Modèles de déploiement des appareils en entreprise

Les organisations peuvent adopter plusieurs modèles de propriété d'appareils tels que le BYOD, le CYOD, le COPE, le COBO et le COSU. Chaque modèle équilibre différemment les coûts, la flexibilité de l'utilisateur et le contrôle de la sécurité. Le BYOD privilégie le confort de l'utilisateur, tandis que le COBO et le COSU maximisent le contrôle et la sécurité de l'entreprise. Le choix du bon modèle dépend des exigences réglementaires, des besoins de la main-d'œuvre et de la capacité de gestion informatique.

MDM vs EMM vs UEM

Le MDM se concentre sur la gestion et la sécurisation des appareils mobiles via l'application de politiques, le contrôle de la configuration et la gestion à distance. L'EMM élargit ce périmètre pour inclure la gestion des applications et du contenu, tandis que l'UEM tente de gérer tous les points de terminaison, y compris les ordinateurs portables et de bureau. Pour de nombreuses PME, des suites EMM ou UEM complètes ajoutent une complexité inutile. En pratique, des capacités MDM robustes répondent souvent à la plupart des besoins de gestion mobile.

Le MDM sur les téléphones personnels et la vie privée des employés

Les systèmes MDM modernes utilisent la conteneurisation pour séparer les données professionnelles et personnelles sur les appareils appartenant aux employés. Les employeurs peuvent uniquement gérer et surveiller l'environnement de travail, y compris les applications d'entreprise et les informations de conformité des appareils. Les données personnelles telles que les photos, les messages et l'historique de navigation restent inaccessibles à l'entreprise. Cette séparation technique permet des programmes BYOD sécurisés tout en préservant la vie privée des employés.

ROI du MDM et valeur commerciale

Le MDM doit être évalué comme un investissement stratégique plutôt que comme une simple dépense de sécurité. Il génère des retours financiers grâce à la réduction des pertes d'appareils, à la diminution des coûts de support informatique et à l'amélioration de l'efficacité opérationnelle. La gestion automatisée augmente également la productivité des employés et réduit les temps d'arrêt. De plus, une sécurité renforcée réduit le risque et l'impact financier des violations de données.

Gestion des appareils conforme à la loi HIPAA

Les organisations de santé doivent protéger les données électroniques des patients conformément aux exigences de sécurité de la loi HIPAA. Le MDM aide à appliquer le chiffrement, les contrôles d'authentification, la transmission sécurisée des données et les journaux d'audit détaillés. Il permet également l'effacement à distance et l'application centralisée des politiques pour les appareils accédant aux systèmes médicaux. Ces contrôles réduisent les risques de non-conformité tout en permettant des flux de travail mobiles dans les environnements de santé.

Le MDM pour les opérations et la sécurité dans le commerce de détail

Les organisations de vente au détail s'appuient sur les appareils mobiles pour les systèmes de point de vente (POS), la gestion des stocks et les opérations en magasin. Le MDM garantit que ces appareils restent sécurisés, à jour et conformes aux normes telles que PCI-DSS. Une gestion centralisée réduit les temps d'arrêt et simplifie le déploiement des appareils sur plusieurs sites. Le résultat est une efficacité opérationnelle accrue et un risque réduit d'incidents de sécurité liés aux paiements.