# Manuel Utilisateur

Documentation pour Cerberus Enterprise MDM

# Introduction

Cerberus Enterprise est une solution EMM complète, conçue pour vous aider à sécuriser et à gérer vos appareils Android et Apple. Elle dispose de toutes les fonctionnalités nécessaires pour une gestion efficace des appareils personnels (BYOD) et professionnels dans un tableau de bord clair et convivial, et vous pouvez commencer à l'utiliser en quelques minutes.

Pour utiliser efficacement Cerberus Enterprise, vous devez comprendre certains concepts clés sur le fonctionnement du système.

Le système prend en charge la gestion des appareils Android et Apple :

Sur Android, Cerberus Enterprise utilise l'[API de gestion Android](https://developers.google.com/android/management) officielle de Google pour gérer les appareils via l'application [Android Device Policy](https://support.google.com/a/users/answer/9453213) (ADP). La plupart des paramètres sont appliqués directement par l'ADP. Certaines fonctionnalités optionnelles peuvent également nécessiter l'application compagnon Cerberus Enterprise, qui étend les possibilités au-delà de la seule ADP.

Sur les appareils Apple, Cerberus Enterprise gère les appareils via le MDM (Mobile Device Management) d'Apple. La gestion Apple nécessite un certificat APNs et peut, en option, s'intégrer à Apple Business Manager pour l'enrôlement automatisé et la gestion des licences d'applications.

Chaque appareil peut être **enrôlé** dans le système à l'aide d'un [**jeton d'enrôlement**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/jetons-denrolement "Enrollment tokens") ou d'un [**profil d'enrôlement**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/enrolement-manuel-apple-profil-denrolement "Apple manual enrollment") (enrôlement manuel Apple). La méthode d'enrôlement est associée à une [**politique**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/apercu-des-politiques "Policies") qui contient les règles devant être appliquées aux appareils.

<p class="callout info">Les administrateurs informatiques peuvent modifier la politique associée à un appareil après son enrôlement. Toutefois, chaque appareil ne peut être associé qu'à une seule politique à la fois.</p>

Lors du processus d'enrôlement (provisionnement), les composants de gestion requis sont installés et configurés automatiquement. Sur Android, cela inclut généralement l'application Android Device Policy (et, selon votre configuration, l'application compagnon Cerberus Enterprise). Sur les appareils Apple, la gestion est appliquée via le MDM une fois l'appareil enrôlé. Par conséquent, la politique correspondante est automatiquement appliquée à l'appareil, et toutes les règles associées sont appliquées par le système de gestion de la plateforme.

<p class="callout info">Une politique peut être appliquée à de nombreux appareils. Dans ce cas, lorsque vous modifiez la politique, tous les appareils associés recevront les changements.</p>

# Configuration

# Configuration d'Android Management

 Pour gérer des appareils Android avec Cerberus Enterprise, vous devez d'abord connecter votre organisation à Google Android Enterprise.

<p class="callout info"> Le processus de configuration prend généralement quelques minutes et nécessite une **adresse e-mail professionnelle** (par exemple, *nom@entreprise.com*) ou, alternativement, une **adresse e-mail Google personnelle**. </p>

## Ce qui se passe pendant la configuration

- Vous serez redirigé vers Google Android Enterprise.
- Vous vous connectez avec votre adresse e-mail professionnelle (ou une adresse e-mail Google personnelle).
- Google crée le compte Android Management pour votre organisation.
- Vous êtes redirigé vers Cerberus Enterprise pour terminer la configuration.

## Informations importantes

 Nous vous recommandons de vous inscrire avec une adresse e-mail professionnelle et non avec un compte Gmail personnel. Si l'adresse e-mail est déjà associée à un compte Google Admin, ce compte existant sera réutilisé et lié à Cerberus Enterprise ; sinon, un nouveau compte Google Admin gratuit sera créé. Un compte Google Admin débloque l'ensemble complet des fonctionnalités — par exemple, l'enrôlement d'appareils via l'authentification Google avec des comptes gérés par votre domaine Google Admin.

## Vous n'avez pas d'adresse e-mail professionnelle ?

 Vous pouvez toujours vous inscrire avec une adresse e-mail Google personnelle (par exemple, un compte Gmail). Dans ce cas, Google crée un compte Google Play géré gratuit qui est lié à Cerberus Enterprise.

## Étapes suivantes

 Une fois la configuration terminée, créez un [**jeton d'enrôlement**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/jetons-denrolement "Enrollment tokens") et choisissez la méthode de provisionnement appropriée pour l'appareil.

# Configuration de la gestion Apple (APNs)

 Pour gérer les appareils Apple, Cerberus Enterprise nécessite le certificat du service de notification push d'Apple (APNs).

<p class="callout info"> Utilisez l'identifiant Apple associé à votre organisation. Le certificat APNs est valide pendant un an et doit être renouvelé annuellement pour continuer à gérer les appareils. </p>

## Étape 1 : Télécharger le fichier CSR

 Dans le tableau de bord, lancez la configuration de la gestion Apple et téléchargez le fichier de demande de signature de certificat (CSR) signée par le fournisseur, généré par Cerberus Enterprise.

## Étape 2 : Créer le certificat de notification push sur le portail Apple

- Connectez-vous au portail des certificats de notification push d'Apple avec votre identifiant Apple.
- Cliquez sur *« Créer un certificat »*.
- Téléchargez le fichier CSR de l'étape 1.
- Téléchargez le certificat de notification push créé.

 Lien du portail : [https://identity.apple.com/](https://identity.apple.com/ "Apple Push Certificates Portal")

## Étape 3 : Téléverser le certificat de notification push

 Téléversez le certificat de notification push que vous avez téléchargé sur Apple dans Cerberus Enterprise pour terminer la configuration.

<p class="callout warning"> Si le certificat APNs expire, la gestion des appareils Apple cessera de fonctionner jusqu'à ce que le certificat soit renouvelé. </p>

## Étapes suivantes

 Une fois l'APNs configuré, vous pouvez procéder à l'enrôlement des appareils Apple. Continuez avec [**Aperçu du provisionnement Apple**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/apercu-du-provisionnement-apple "Apple provisioning overview").

# Aperçu du provisionnement des appareils

 Cerberus Enterprise prend en charge la gestion des appareils pour les plateformes Android et Apple. Vous pouvez configurer chaque plateforme indépendamment, selon les appareils que vous devez enrôler.

## 1. Terminer la configuration de la plateforme dans le tableau de bord

 Avant d'enrôler des appareils, terminez la configuration de la plateforme dans le tableau de bord Cerberus Enterprise. Si votre compte n'est pas encore configuré, le tableau de bord vous guidera à travers les étapes requises.

### Configuration Android (Google Android Enterprise)

 Pour la procédure complète de configuration Android, lisez [**Configuration de la gestion Android**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/configuration-dandroid-management "Android Management setup").

- Accédez au flux d'inscription du tableau de bord et sélectionnez **Configurer la gestion Android**.
- Vous serez redirigé vers Google pour vous connecter avec un **compte professionnel** et autoriser Android Enterprise.
- Après l'autorisation, vous serez redirigé vers Cerberus Enterprise pour terminer la configuration.

### Configuration Apple (certificat de push APNs)

 Pour la procédure complète de configuration Apple, lisez [**Configuration de la gestion Apple (APNs)**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/configuration-de-la-gestion-apple-apns "Apple Management setup (APNs)").

- Accédez au flux d'inscription du tableau de bord et sélectionnez **Configurer la gestion Apple**.
- Téléchargez le fichier CSR depuis Cerberus Enterprise.
- Créez le certificat APNs dans le portail Apple Push Certificates et téléchargez le certificat résultant.
- Téléchargez le certificat ainsi obtenu dans Cerberus Enterprise pour activer la gestion des appareils Apple.

## 2. Enrôler des appareils

 Une fois la configuration de la plateforme terminée, choisissez la méthode d'enrôlement qui correspond à votre modèle de propriété des appareils et au système d'exploitation.

### Enrôlement Android

 Pour Android, l'enrôlement est piloté par les [**jetons d'enrôlement**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/jetons-denrolement "Enrollment tokens"). Sélectionnez la méthode appropriée selon que l'appareil est personnel ou appartient à l'entreprise.

- Personnel (BYOD / profil professionnel) : [suivez ce guide](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/appareils-personnels "Personally-owned devices").
- Appartenant à l'entreprise (usage professionnel et personnel / profil professionnel) : [suivez ce guide](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/appareils-appartenant-a-lentreprise-pour-usage-professionnel-et-personnel "Company-owned devices for work and personal use").
- Appartenant à l'entreprise (usage professionnel uniquement / entièrement géré ou dédié) : [suivez ce guide](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/appareils-appartenant-a-lentreprise-pour-usage-professionnel-uniquement "Company-owned devices for work use only").
- Zero-touch : [suivez ce guide](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/zero-touch "Zero-touch").

### Enrôlement Apple

 Pour Apple, commencez par terminer la configuration APNs décrite ci-dessus, puis suivez les guides de provisionnement Apple : [**Aperçu du provisionnement Apple**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/apercu-du-provisionnement-apple "Apple provisioning overview").

# Provisionnement des Appareils - Android

# Appareils pris en charge

En général, tout appareil fonctionnant sous Android 6 ou une version ultérieure avec les services Google Play est compatible avec Cerberus Enterprise.

Pour une meilleure expérience utilisateur, nous suggérons d'utiliser des appareils qui répondent aux exigences [Android Enterprise Recommended](https://androidenterprisepartners.withgoogle.com/devices/).

<p class="callout info">Certaines fonctionnalités sont limitées à des versions spécifiques d'Android ou peuvent se comporter différemment selon les versions du système d'exploitation. Pour plus d'informations sur une fonctionnalité spécifique, consultez la section [Policies](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/chapter/politiques-android "Policies") de la documentation. </p>

Cerberus Enterprise prend en charge les appareils appartenant à l'entreprise ainsi que les appareils personnels, et propose deux modes de gestion : le propriétaire de l'appareil (Device Owner) et le propriétaire du profil (Profile Owner).

Les appareils **personnels** peuvent être gérés via un **profil professionnel**. Cela permet une solution BYOD en séparant les données et applications professionnelles des données et applications personnelles, améliorant ainsi la sécurité et la confidentialité. Cette option est adaptée aux appareils déjà détenus par les employés que vous souhaitez enrôler dans votre organisation pour un usage professionnel.

**Appartenant à l'entreprise** : les appareils peuvent également être gérés via un profil professionnel, mais vous pouvez aussi choisir l'option **entièrement géré**, qui permet un contrôle plus strict de l'appareil. Les appareils appartenant à l'entreprise avec un profil professionnel sont adaptés lorsque vous fournissez des appareils d'entreprise aux employés pour le travail, tout en permettant un usage personnel. Les appareils entièrement gérés sont mieux adaptés aux appareils qui doivent être utilisés uniquement pour le travail, ou pour les **appareils dédiés** (COSU, single-use corporate-owned), tels que les bornes interactives.

Pour plus d'informations sur le provisionnement des appareils, consultez la page [Aperçu du provisionnement des appareils](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/apercu-du-provisionnement-des-appareils "Device provisioning overview")).

<div id="bkmrk-"><div><div>  
</div></div></div>

# Jetons d'enrôlement

 Cerberus Enterprise utilise des jetons d'enrôlement pour lancer le processus d'enrôlement (provisionnement) des appareils Android. Le jeton que vous sélectionnez définit la politique initiale appliquée aux appareils enrôlés et influence les modes de provisionnement autorisés.

<p class="callout info"> L'onglet des jetons d'enrôlement Android n'est disponible qu'après avoir terminé la [**configuration d'Android Management**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/configuration-dandroid-management "Android Management setup"). </p>

## Où trouver les jetons d'enrôlement

 Dans le tableau de bord, ouvrez **Jetons d'enrôlement**. Selon la configuration de votre compte, la page peut afficher plusieurs onglets (jetons Android, enrôlement par connexion Google, enrôlement manuel Apple et enrôlement automatique des appareils Apple (ADE)).

<p class="callout info">Si votre entreprise Android est associée à un domaine géré par Google (Google Workspace), le tableau de bord peut également afficher un onglet **Authentification via l'enrôlement Google**. Pour plus de détails sur l'activation et l'utilisation, consultez [**Authentification via l'enrôlement Google**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/authentification-via-lenrolement-google "Authenticate Using Google enrollment"). </p>

## Liste des jetons d'enrôlement (Android)

 L'onglet des jetons Android affiche un tableau de tous les jetons. Cliquer sur une ligne ouvre la page des détails du jeton.

### Colonnes

- **ID** : identifiant interne du jeton.
- **Statut** : **Disponible**, **Utilisé** (jeton à usage unique déjà utilisé), ou **Expiré**.
- **Expiration** : date/heure d'expiration, ou **Jamais**.
- **Politique** : la politique assignée au jeton (l'info-bulle de l'interface utilisateur affiche également l'ID de la politique).
- **Usage personnel** : Autorisé / Interdit / Appareil dédié.
- **Usages autorisés** : Multiples ou Usage unique.
- **Utilisateur** : utilisateur optionnel préassigné aux appareils enrôlés avec le jeton.

### Actions

- Chaque ligne dispose d'une action de suppression (**Supprimer le jeton d'enrôlement**). La suppression est désactivée lorsque la licence est expirée.
- Le tableau permet la sélection de plusieurs lignes : vous pouvez activer le mode de sélection, sélectionner plusieurs jetons et les supprimer avec **Supprimer les jetons sélectionnés**.
- Utilisez l'action d'actualisation pour recharger la liste. Le tableau est paginé (10/25/50 éléments par page).

## Créer un nouveau jeton d'enrôlement

 Dans l'onglet des jetons Android, cliquez sur **Nouveau jeton d'enrôlement** pour ouvrir la page de création de jeton. Si votre licence est expirée, le bouton de création est désactivé.

### Options du jeton

#### 1. Politique

**Obligatoire.** La politique appliquée automatiquement à tous les appareils enrôlés avec ce jeton. Sélectionnez l'une de vos [**politiques Android**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/chapter/politiques-android "Policies"). Si vous n'avez pas encore de politique, créez-en une d'abord.

#### 2. Utilisateur

 Optionnel. Si configuré, les nouveaux appareils enrôlés seront automatiquement associés à cet utilisateur.

#### 3. Usage personnel

 Contrôle si l'usage personnel est autorisé sur un appareil provisionné avec ce jeton d'enrôlement :

- **Autorisé** : convient aux appareils personnels (profil professionnel) et aux appareils appartenant à l'entreprise pour un usage professionnel et personnel.
- **Interdit** : convient aux appareils appartenant à l'entreprise pour un usage professionnel uniquement (entièrement gérés).
- **Appareil dédié** : convient aux appareils de type kiosque ou dédiés (l'appareil n'est pas associé à un utilisateur unique).

#### 4. Usages autorisés

 Sélectionnez si le jeton peut être utilisé plusieurs fois (**Multiples**) ou une seule fois (**Usage unique**).

#### 5. Expiration

 Sélectionnez l'unité d'expiration (**Minutes**, **Heures**, **Jours**, ou **Jamais**). Si l'option n'est pas réglée sur Jamais, saisissez la valeur d'expiration. La plage autorisée dépend de l'unité sélectionnée et peut aller jusqu'à 10 000 jours.

### Options de provisionnement (code QR uniquement)

 Ces options supplémentaires sont intégrées au code QR et sont appliquées lors du provisionnement des appareils entièrement gérés enrôlés par balayage du code QR. Elles ne s'appliquent pas aux profils professionnels ni aux appareils enrôlés via l'URL ou le jeton d'enrôlement.

#### Configuration Wi-Fi

 Utilisez cette option pour permettre à un appareil de se connecter automatiquement au Wi-Fi pendant le provisionnement, afin qu'il puisse télécharger et initialiser l'application de gestion. Les champs disponibles incluent le **SSID**, le **SSID masqué**, la **Sécurité**, et (si nécessaire) le **Mot de passe**.

Vous pouvez également configurer un proxy HTTP (**Proxy**) et, selon le mode, définir l'**Hôte**/**Port**, l'**URI PAC**, et l'**Hôte de contournement du proxy**.

#### Autres options

Les options supplémentaires incluent la **Localisation**, le **Fuseau horaire**, et le **Saut de l'étape de chiffrement**.

## Détails du jeton d'enrôlement

 Lorsque vous ouvrez un jeton, la page de détails affiche la configuration du jeton et les informations d'utilisation :

- **Statut**, **Expiration**, **Usage**, **Usage personnel**, et **Usages autorisés**.
- **Jeton** : la valeur brute du jeton d'enrôlement (copiable).
- **URL d'enrôlement** : une URL d'enrôlement Google Android Enterprise (copiable et envoyable par e-mail).
- **Code QR** : affiché sur le côté droit de la page, utilisé pour enrôler les appareils entièrement gérés.

<p class="callout info"> Pour les procédures de provisionnement étape par étape, suivez les guides d'enrôlement Android : [**Appareils personnels**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/appareils-personnels "Personally-owned devices"), [**Appareils appartenant à l'entreprise pour usage professionnel et personnel**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/appareils-appartenant-a-lentreprise-pour-usage-professionnel-et-personnel "Company-owned devices for work and personal use"), [**Appareils appartenant à l'entreprise pour usage professionnel uniquement**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/appareils-appartenant-a-lentreprise-pour-usage-professionnel-uniquement "Company-owned devices for work use only"), et [**Zero-touch**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/zero-touch "Zero-touch"). </p>

# Appareils personnels

<div id="bkmrk-devices-owned-by-emp">Les appareils appartenant aux employés peuvent être configurés avec un **profil professionnel**. Un profil professionnel offre un espace autonome pour les applications et les données professionnelles, séparé des applications et des données personnelles. La plupart des politiques de gestion des applications, des données et autres s'appliquent uniquement au profil professionnel, tandis que les applications et les données personnelles des employés restent privées. </div><div id="bkmrk-"><div></div></div><div id="bkmrk-to-set-up-a-work-pro">Pour configurer un profil professionnel sur un appareil personnel, utilisez l'une des méthodes de provisionnement suivantes (assurez-vous que le [jeton d'enrôlement](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/jetons-denrolement "Enrollment tokens") a l'option ***Usage personnel*** définie sur **Autorisé**) : </div><div id="bkmrk--0"></div>#### Lien de jeton d'enrôlement

<table id="bkmrk-android-version-work" style="width: 161px;"><colgroup><col width="“25%”"></col><col width="“25%”"></col><col width="25%"></col><col width="25%"></col></colgroup><tbody><tr><td style="width: 161px;"><span style="text-align: center; display: block;">Version Android</span></td></tr><tr><td style="width: 161px;"><span style="text-align: center; display: block;"><small>6.0+</small></span></td></tr></tbody></table>

<div id="bkmrk-you-can-provide-the-">Vous pouvez fournir l'URL d'enrôlement aux utilisateurs finaux. Lorsqu'un utilisateur final ouvre le lien depuis son appareil, il sera guidé à travers la configuration du profil professionnel.</div><div id="bkmrk--1"></div>#### Ajouter un profil professionnel depuis les *« Paramètres »*

<table id="bkmrk-android-version-5.1%2B" style="width: 161px;"><colgroup><col width="“25%”"></col><col width="“25%”"></col><col width="25%"></col><col width="25%"></col></colgroup><tbody><tr><td style="width: 161px;"><span style="text-align: center; display: block;">Version Android</span></td></tr><tr><td style="width: 161px;"><span style="text-align: center; display: block;"><small>6.0+</small></span></td></tr></tbody></table>

<div id="bkmrk-to-set-up-a-work-pro-0"><div>Pour configurer un profil professionnel sur son appareil, un utilisateur peut ouvrir l'application ***Paramètres*** de l'appareil, puis utiliser la barre de recherche pour trouver et appuyer sur l'option ***Configurer votre profil professionnel***. </div>  
<div>Si la recherche ne donne rien, l'emplacement de cette option peut varier. Voici quelques possibilités :</div>- *Paramètres* -&gt; *Services et préférences Google* -&gt; *Tous les services* -&gt; *Configurer votre profil professionnel*.
- *Paramètres* -&gt; *Google* -&gt; *Configurer et restaurer* -&gt; *Configurer votre profil professionnel*.

  
Ces étapes lancent un assistant de configuration qui télécharge *Android Device Policy* sur l'appareil. Ensuite, l'utilisateur sera invité à scanner un code QR ou à saisir manuellement un jeton d'enrôlement pour terminer la configuration du profil professionnel. </div><div id="bkmrk--2"></div>#### Télécharger Android Device Policy

<table id="bkmrk-android-version-5.1%2B-0" style="width: 161px;"><colgroup><col width="“25%”"></col><col width="“25%”"></col><col width="25%"></col><col width="25%"></col></colgroup><tbody><tr><td style="width: 161px;"><span style="text-align: center; display: block;">Version Android</span></td></tr><tr><td style="width: 161px;"><span style="text-align: center; display: block;"><small>6.0+</small></span></td></tr></tbody></table>

<div id="bkmrk-to-set-up-a-work-pro-1">Pour configurer un profil professionnel sur son appareil, un utilisateur peut télécharger Android Device Policy depuis le Google Play Store. Une fois l'application installée, l'utilisateur sera invité à scanner un code QR ou à saisir manuellement un jeton d'enrôlement pour terminer la configuration du profil professionnel.</div>

# Appareils appartenant à l'entreprise pour usage professionnel et personnel

<div id="bkmrk-setting-up-a-company">La configuration d'un appareil appartenant à l'entreprise avec un **profil professionnel** permet d'utiliser l'appareil pour un usage professionnel et personnel. Sur les appareils appartenant à l'entreprise avec des profils professionnels : </div><div id="bkmrk-"></div>- La plupart des politiques relatives aux applications, aux données et à la gestion s'appliquent uniquement au profil professionnel.
- Les profils personnels des employés restent privés. Toutefois, les entreprises peuvent appliquer certaines politiques globales sur l'appareil ainsi que des politiques d'utilisation personnelle.
- Les entreprises peuvent utiliser la *portée de blocage* pour appliquer des actions de conformité sur l'appareil entier ou uniquement sur son profil professionnel.
- Le désenrôlement de l'appareil et les commandes d'appareil s'appliquent à l'appareil entier.

<div id="bkmrk-to-set-up-a-company-">Pour configurer un appareil appartenant à l'entreprise avec un profil professionnel, utilisez l'une des méthodes de provisionnement suivantes (assurez-vous que le [jeton d'enrôlement](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/jetons-denrolement "Enrollment tokens") a l'option **Usage personnel** réglée sur **Autorisé**) : </div><div id="bkmrk--0"></div>#### Méthode par code QR

<table id="bkmrk-android-version-work" style="width: 161px;"><colgroup><col width="“25%”"></col><col width="“25%”"></col><col width="25%"></col><col width="25%"></col></colgroup><tbody><tr><td style="width: 161px;"><span style="text-align: center; display: block;">Version Android</span></td></tr><tr><td style="width: 161px;"><span style="text-align: center; display: block;"><small>8.0+</small></span></td></tr></tbody></table>

<div id="bkmrk-on-a-new-or-factory-">Sur un appareil neuf ou réinitialisé aux paramètres d'usine, l'utilisateur (généralement un administrateur informatique) tapote six fois sur le même endroit de l'écran. Cela déclenche une invite sur l'appareil demandant à l'utilisateur de scanner un code QR.</div>

# Appareils appartenant à l'entreprise pour usage professionnel uniquement

<div id="bkmrk-full-device-manageme">**La gestion complète de l'appareil** est adaptée aux appareils appartenant à l'entreprise destinés exclusivement à un usage professionnel. Les entreprises peuvent gérer toutes les applications de l'appareil et appliquer l'ensemble des politiques et commandes de l'API Android Management. </div><div id="bkmrk-"></div><div id="bkmrk-it%27s-also-possible-t">Il est également possible de verrouiller un appareil (via une politique) sur une seule application ou un petit ensemble d'applications pour répondre à un usage ou un cas d'utilisation spécifique. Ce sous-ensemble d'appareils entièrement gérés est appelé **appareils dédiés**. </div><div id="bkmrk--0"></div><div id="bkmrk-to-set-up-full-manag">Pour configurer une gestion complète sur un appareil appartenant à l'entreprise, utilisez l'une des méthodes de provisionnement suivantes (assurez-vous que le [jeton d'enrôlement](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/jetons-denrolement "Enrollment tokens") a l'option **Usage personnel** réglée sur **Interdit**) : </div><div id="bkmrk--1"></div>#### Méthode par code QR

<table id="bkmrk-android-version-work" style="width: 161px;"><colgroup><col width="“25%”"></col><col width="“25%”"></col><col width="25%"></col><col width="25%"></col></colgroup><tbody><tr><td style="width: 161px;"><span style="text-align: center; display: block;">Version Android</span></td></tr><tr><td style="width: 161px;"><span style="text-align: center; display: block;"><small>7.0+</small></span></td></tr></tbody></table>

<div id="bkmrk-on-a-new-or-factory-">Sur un appareil neuf ou réinitialisé aux paramètres d'usine, l'utilisateur (généralement un administrateur informatique) tapote six fois sur le même endroit de l'écran. Cela déclenche une invite sur l'appareil demandant à l'utilisateur de scanner un code QR.</div><div id="bkmrk--2"></div>#### Méthode par identifiant DPC

<table id="bkmrk-android-version-5.1%2B" style="width: 161px;"><colgroup><col width="“25%”"></col><col width="“25%”"></col><col width="25%"></col><col width="25%"></col></colgroup><tbody><tr><td style="width: 161px;"><span style="text-align: center; display: block;">Version Android</span></td></tr><tr><td style="width: 161px;"><span style="text-align: center; display: block;"><small>5.1+</small></span></td></tr></tbody></table>

<div id="bkmrk-if-android-device-po"><div>Si l'application Android Device Policy ne peut pas être ajoutée via un code QR, un utilisateur ou un administrateur informatique peut suivre ces étapes pour provisionner un appareil entièrement géré ou dédié :</div>  
<div>1. Suivez l'assistant de configuration sur un appareil neuf ou réinitialisé aux paramètres d'usine.</div><div>2. Saisissez les informations de connexion Wi-Fi pour connecter l'appareil à Internet.</div><div>3. Lorsque l'on vous demande de vous connecter, saisissez **afw#setup**, ce qui téléchargera Android Device Policy. </div><div>4. Scannez un code QR ou saisissez manuellement un jeton d'enrôlement pour provisionner l'appareil.</div></div>

# Zero-touch

Les administrateurs informatiques peuvent provisionner les appareils appartenant à l'entreprise en utilisant la méthode d'enrôlement zero-touch, décrite dans [l'enrôlement zero-touch pour les administrateurs informatiques](https://support.google.com/work/android/answer/7514005). Lorsqu'un appareil est allumé pour la première fois, il est automatiquement contraint d'appliquer les paramètres définis par l'administrateur informatique.

Les administrateurs informatiques peuvent préconfigurer des appareils achetés auprès de [revendeurs agréés](https://www.android.com/enterprise/management/zero-touch/) et les gérer à l'aide du tableau de bord Cerberus Enterprise. Pour lier votre compte Zero-touch, accédez à la section **Zero-touch** du tableau de bord, puis suivez les instructions.

<table id="bkmrk-android-version-work"><colgroup><col width="“25%”"></col><col width="“25%”"></col><col width="25%"></col><col width="25%"></col></colgroup><tbody><tr><td><span style="text-align: center; display: block;">Version Android</span></td><td><span style="text-align: center; display: block;">Profil professionnel</span></td><td><span style="text-align: center; display: block;">Appareil entièrement géré</span></td><td><span style="text-align: center; display: block;">Appareil dédié</span></td></tr><tr><td><span style="text-align: center; display: block;"><small>8.0+ (Pixel 7.1+)</small></span></td><td><span style="text-align: center; display: block;">✓</span></td><td><span style="text-align: center; display: block;">✓</span></td><td><span style="text-align: center; display: block;">✓</span></td></tr></tbody></table>

# Authentification via l'enrôlement Google

 L'authentification via l'enrôlement Google (également appelée **Authentification Google pour l'enrôlement**) permet aux utilisateurs de s'authentifier avec leur compte Google Workspace lors de l'enrôlement d'un appareil Android.

<p class="callout info"> Cette fonctionnalité est disponible uniquement pour les entreprises Android associées à un domaine géré par Google (Google Workspace). </p>

## Où le trouver

 Dans le tableau de bord, ouvrez **Jetons d'enrôlement** et sélectionnez l'onglet **Authentification via l'enrôlement Google**. L'onglet ne s'affiche que lorsque la gestion Android est configurée et que l'intégration Google Workspace est disponible pour votre entreprise.

## Activer (ou désactiver) l'authentification Google

L'authentification Google est activée depuis la **console d'administration Google**. Après avoir modifié le paramètre, retournez dans Cerberus Enterprise et utilisez **Actualiser le statut** pour recharger la configuration actuelle.

1. Connectez-vous à votre [**console d'administration Google**](https://admin.google.com/) avec un compte administrateur.
2. Ouvrez **Appareils**.
3. Allez dans **Appareils mobiles et points de terminaison** → **Paramètres** → **Intégrations tierces**.
4. Trouvez l'**Intégration Android EMM** pour Cerberus Enterprise et ouvrez-la.
5. Cliquez sur **Gérer les fournisseurs EMM**.
6. Activez ou désactivez **Authentification via l'enrôlement Google** pour activer ou désactiver l'authentification Google pour l'enrôlement.
7. Cliquez sur **Enregistrer**.
8. Retournez sur le tableau de bord Cerberus Enterprise et cliquez sur **Actualiser le statut** dans l'onglet **Authentification via l'enrôlement Google**.

## Jeton d'enrôlement par authentification Google

 Lorsque l'authentification Google est activée, le tableau de bord affiche un jeton d'enrôlement dédié utilisé pour ce mode d'enrôlement. La page peut afficher un **code QR**, une valeur de **jeton d'enrôlement** et une **URL d'enrôlement** (copiable et envoyable par e-mail).

### Options clés

- **Autoriser l'usage personnel** : contrôle si le jeton peut enrôler des appareils pour un usage professionnel et personnel (scénarios de profil professionnel) ou uniquement pour un usage professionnel (scénarios d'appareils entièrement gérés / dédiés).
- **Politique par défaut de repli** : la politique appliquée lorsque l'utilisateur enrôlé n'a pas de politique par défaut d'authentification Google spécifique assignée.

### Interaction avec la politique

 Le paramètre de stratégie **Work account setup authentication** (workAccountSetupConfig.authenticationType) contrôle la manière dont les utilisateurs s'authentifient lors de la configuration du compte professionnel, mais le paramètre de la console d'administration Google **Authenticate Using Google** ainsi que le type de jeton d'enrôlement peuvent toujours exiger une authentification.

 Pour les appareils déjà enrôlés, cette stratégie ne s'applique que si l'appareil est géré par un compte Google Play géré (c'est-à-dire enrôlé sans **Authenticate Using Google Enrollment**).

<p class="callout info"> Certaines actions (par exemple, la modification des options de jeton) peuvent être désactivées lorsque la licence est expirée. </p>

## Enrôler un appareil

 Lors de l'enrôlement, l'utilisateur est invité à s'authentifier avec son compte Google Workspace. Une fois l'enrôlement réussi, l'appareil est associé à l'utilisateur authentifié.

### Profil professionnel (appareils personnels)

- Partagez l'**URL d'enrôlement** avec l'utilisateur. Lorsqu'il l'ouvre sur son appareil Android, il est guidé à travers la configuration du profil professionnel et l'authentification Google.
- Alternativement, l'utilisateur peut démarrer depuis les paramètres Android et choisir le flux de configuration du profil professionnel, puis scanner le code QR ou saisir le jeton d'enrôlement lorsqu'il est invité à le faire.

### Appareils appartenant à l'entreprise

- **Méthode par code QR** : sur un appareil neuf ou réinitialisé aux paramètres d'usine, appuyez plusieurs fois au même endroit sur l'écran jusqu'à ce que l'invite de code QR apparaisse, puis scannez le code QR affiché dans le tableau de bord.
- **Méthode par identifiant DPC** (lorsque le scan de code QR n'est pas disponible) : suivez l'assistant de configuration, connectez-vous au Wi‑Fi, puis lorsqu'on vous demande de vous connecter, saisissez **afw#setup** et procédez en scannant le code QR ou en saisissant le jeton d'enrôlement. Lorsqu'on vous le demande, authentifiez-vous avec votre compte Google Workspace.

 Pour les procédures générales de provisionnement Android (profil professionnel vs appareil entièrement géré), consultez les pages d'enrôlement Android standard dans ce manuel.

# Provisionnement des Appareils - Apple

# Aperçu du provisionnement Apple

 Cerberus Enterprise prend en charge l'enrôlement et la gestion des appareils Apple. Le provisionnement Apple nécessite un certificat APNs et peut être effectué à l'aide de différentes méthodes d'enrôlement.

## Prérequis : configurer la gestion Apple (APNs)

 Avant d'enrôler un appareil Apple, terminez la [**configuration de la gestion Apple (APNs)**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/configuration-de-la-gestion-apple-apns "Apple Management setup (APNs)").

## Choisissez une méthode d'enrôlement

### Enrôlement manuel (Profil d'enrôlement)

 Cette méthode fournit une URL d'enrôlement et un fichier de profil de configuration (mobileconfig) que vous installez sur l'appareil. Consultez [**l'enrôlement manuel Apple**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/enrolement-manuel-apple-profil-denrolement "Apple manual enrollment").

### Enrôlement automatique des appareils (ADE)

 Cette méthode s'intègre à Apple Business Manager pour automatiser l'enrôlement des appareils appartenant à l'entreprise. Consultez [**l'enrôlement automatique des appareils Apple (ADE)**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/enrolement-automatique-des-appareils-apple-ade "Apple Automated Device Enrollment").

<p class="callout info"> Vous pouvez utiliser l'enrôlement manuel et l'ADE en parallèle, selon votre parc d'appareils et votre processus d'achat. </p>

# Enrôlement manuel Apple (Profil d'enrôlement)

 Cerberus Enterprise prend en charge l'enrôlement manuel des appareils Apple à l'aide d'une URL d'enrôlement et d'un fichier de profil d'enrôlement.

<p class="callout info"> L'enrôlement manuel est disponible lorsque la gestion Apple (APNs) est configurée. Si vous n'avez pas encore terminé la configuration de l'APNs, consultez [**Configuration de la gestion Apple (APNs)**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/configuration-de-la-gestion-apple-apns "Apple Management setup (APNs)"). </p>

## Obtenir l'URL et le profil d'enrôlement

- Ouvrez la section **Enrôlement** dans le tableau de bord et sélectionnez l'onglet **Enrôlement manuel Apple (Profil d'enrôlement)**.
- Copiez l'**URL d'enrôlement**, ou utilisez l'action d'envoi par e-mail.
- Téléchargez le **Profil d'enrôlement** (fichier .mobileconfig).

## Comment enrôler un iPhone ou un iPad

 iOS/iPadOS 15.0+

1. Envoyez le fichier de profil d'enrôlement (*enroll.mobileconfig*) à l'appareil, ou ouvrez l'URL d'enrôlement dans Safari sur l'appareil.
2. Sur l'appareil, ouvrez *Réglages* → *Profil téléchargé* → *Installer*, puis suivez les instructions.
3. Après l'enrôlement, vous pouvez vérifier le statut dans *Réglages* → *Général* → *VPN et gestion de l'appareil* (ou *Profils et gestion de l'appareil*).

<p class="callout warning"> N'installez que les profils d'enrôlement que vous avez obtenus à partir de votre tableau de bord Cerberus Enterprise. </p>

# Enrôlement automatique des appareils Apple (ADE)

 L'enrôlement automatique des appareils (ADE) s'intègre à Apple Business Manager (ABM) pour enrôler automatiquement les appareils appartenant à l'entreprise lors de leur première mise sous tension (ou après une réinitialisation d'usine).

<p class="callout info"> L'ADE nécessite que la gestion Apple (APNs) soit configurée au préalable. Si nécessaire, consultez [**Configuration de la gestion Apple (APNs)**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/configuration-de-la-gestion-apple-apns "Apple Management setup (APNs)"). </p>

## Comment enrôler les appareils automatiquement

1. Ajoutez des appareils à votre compte Apple Business Manager.
2. Après avoir ajouté de nouveaux appareils à votre compte ABM, synchronisez-les dans Cerberus Enterprise depuis la section **Appareils** en utilisant l'action **Synchroniser depuis ABM**.
3. Créez un profil ADE dans le tableau de bord via **Enrôlement** → **Enrôlement automatique des appareils Apple (ADE)** → **Nouveau profil ADE**.
4. Assignez un profil ADE à un appareil depuis la page de détails de l'appareil en utilisant le champ **Profil ADE**.

## Paramètres du profil ADE (aperçu)

 Un profil ADE contrôle la manière dont l'appareil est enrôlé et le comportement de l'Assistant de configuration. Dans Cerberus Enterprise, un profil ADE comprend un nom, une politique initiale optionnelle et certaines options d'enrôlement.

### Nom du profil

Un nom lisible par l'utilisateur pour le profil (par exemple, *Profil ADE par défaut*).

### Politique

 La politique initialement appliquée aux appareils enrôlés. Vous pouvez assigner une politique lors de la création d'un nouveau profil ADE.

### Options d'enrôlement

- **MDM supprimable** : contrôle si la charge utile MDM peut être supprimée de l'appareil.
- **Autoriser l'appairage** : contrôle si l'appairage est autorisé (obsolète par Apple dans iOS 13).
- **Avancement automatique de la configuration** : fait avancer automatiquement l'Assistant de configuration à travers ses écrans.
- **Attendre la configuration de l'appareil** : bloque l'Assistant de configuration jusqu'à ce que le serveur marque l'appareil comme configuré.
- **Obligatoire** : empêche de passer l'application du profil lors de la configuration.
- **Multi-utilisateur (iPad partagé)** : configure l'appareil pour le mode iPad partagé.
- **Supervisé** : demande la supervision de l'appareil.

<p class="callout info"> Une fois qu'un profil ADE est assigné à un appareil, celui-ci est prêt pour l'enrôlement automatique. </p>

# Aperçu des politiques

 La section **Politiques** du tableau de bord (*Tableau de bord* → *Politiques*) liste toutes les politiques de votre compte et vous permet de les créer, de les copier, de les modifier et de les supprimer.

## Liste des politiques

 Les politiques sont affichées dans un tableau. Cliquer sur une ligne ouvre l'éditeur de la politique correspondante.

### Colonnes

- **ID**: identifiant interne de la politique.
- **MDM**: la plateforme de la politique (Android ou Apple).
- **Nom**: nom de la politique.
- **Description**: description de la politique.
- **Appareils**: nombre d'appareils enrôlés actuellement assignés à la politique.

### Filtres et recherche

- Si la gestion Android et la gestion Apple sont toutes deux configurées, vous pouvez filtrer la liste par **Tous**, **Android** ou **Apple**.
- Vous pouvez activer **Recherche** et effectuer une recherche par nom ou description de politique.

### Actualisation et pagination

- Utilisez l'action d'actualisation pour recharger la liste.
- Le tableau est paginé (10/25/50 éléments par page).

## Créer une nouvelle politique

 En bas de la page des politiques, vous pouvez créer une nouvelle politique. Selon la plateforme configurée dans votre compte, vous pourriez voir l'une ou les deux actions suivantes :

- **Créer une nouvelle politique Android**
- **Créer une nouvelle politique Apple**

<p class="callout info"> Si votre licence est expirée, la création de politiques (et d'autres actions d'écriture) est désactivée. </p>

## Copier et supprimer des politiques

 Chaque ligne de politique dispose d'un menu d'actions qui comprend **Copier la politique** et **Supprimer la politique**.

### Avertissements de suppression de politique

 Lors de la suppression d'une politique, le tableau de bord peut afficher des avertissements supplémentaires selon l'utilisation qui en est faite.

- Si la politique est assignée à des appareils enrôlés, sa suppression entraînera le désenrôlement des appareils associés et l'effacement de leurs applications et de leurs données.
- Si la politique est assignée à des jetons d'enrôlement, ces jetons pourraient ne plus être en mesure de finaliser l'enrôlement.
- Si la politique est définie comme défaut pour l'enrôlement via l'authentification Google (au niveau global ou pour certains utilisateurs), sa suppression peut entraîner l'échec des enrôlements.

### Supprimer plusieurs politiques

 La liste des politiques prend en charge la sélection sur plusieurs lignes pour la suppression groupée. En mode de sélection multiple, vous pouvez sélectionner plusieurs politiques et les supprimer en une seule action.

<p class="callout info"> La suppression groupée n'est activée que lorsque toutes les politiques sélectionnées appartiennent à la même plateforme (soit toutes Android, soit toutes Apple). </p>

## Suivant : modifier les paramètres de la politique

 La liste des politiques est le point d'entrée. Pour configurer les paramètres de politique, utilisez la documentation de l'éditeur appropriée : [**Politiques → Android**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/chapter/politiques-android "Android policies") et [**Politiques → Apple**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/chapter/politiques-apple "Apple policies").

<p class="callout info"> Les politiques référencées par les jetons d'enrôlement sont appliquées automatiquement lors de l'enrôlement de l'appareil. </p>

# Politiques - Android

# Résumé

Les politiques Android sont les entités de base du système : elles définissent les règles qui sont appliquées et imposées sur les appareils gérés.

Vous pouvez parcourir vos politiques et en créer de nouvelles depuis la section **Politiques** du tableau de bord. Pour ouvrir une politique Android, cliquez sur la ligne de la politique dans le tableau : le système ouvre la page **Éditeur de politiques**.

Une politique peut être associée à un [jeton d'enrôlement](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/jetons-denrolement "Enrollment tokens"), elle sera donc automatiquement appliquée aux appareils lors du processus de provisionnement. Vous pouvez également modifier la politique assignée à un appareil après le provisionnement.

<p class="callout info">Chaque appareil ne peut être associé qu'à une seule politique à la fois.</p>

<p class="callout info">De nombreuses options de politique ne s'appliquent qu'à des types d'appareils spécifiques (gestion complète, dédié, profil de travail) et à certaines versions d'Android. Les paramètres non pris en charge peuvent être ignorés par l'appareil ou signalés comme non conformes.</p>

## Mise en page de l'éditeur de politiques

L'éditeur de politiques est organisé sous forme d'un ensemble de sections extensibles. En haut de la page, vous pouvez toujours modifier :

- **Nom** (requis)
- **Id** (lecture seule)
- **Description** (facultatif)

Les sections ci-dessous correspondent aux panneaux de l'éditeur de politiques (par exemple : Gestion des applications, Sécurité, Réseau, Système, Usage personnel, Politiques inter-profils, et plus encore). Utilisez les pages des chapitres de ce manuel pour comprendre chaque panneau en détail.

## Sauvegarde, suppression et appareils associés

Utilisez **Enregistrer la politique** pour appliquer vos modifications. Le bouton est désactivé lorsqu'il n'y a pas de modifications en attente ou lorsque la licence est expirée.

Si vous avez ouvert une politique existante (elle possède un Id), la page affiche une action **Supprimer la politique** et une liste des **Appareils associés** en bas, afin que vous puissiez voir combien d'appareils utilisent actuellement la politique.

# Gestion des applications

Dans cette section, vous pouvez définir des politiques relatives à la disponibilité des applications, à l'installation, aux mises à jour et à la gestion des permissions.

<p class="callout info">Les comptes Google Play gérés sont créés automatiquement lors du provisionnement des appareils.</p>

#### 1. Mode Play Store

Ce mode contrôle quelles applications sont disponibles pour l'utilisateur dans le Play Store et le comportement sur l'appareil lorsque des applications sont supprimées de la politique.

**Liste blanche (par défaut)** : seules les applications présentes dans la politique sont disponibles, et toute application non présente dans la politique sera automatiquement désinstallée de l'appareil. Le Play Store n'affichera que les applications disponibles.

**Liste noire**: Toutes les applications sont disponibles et toute application qui ne devrait pas être sur l'appareil doit être explicitement marquée comme **bloquée** dans la politique d'applications. Le Play Store affichera toutes les applications, sauf celles qui sont bloquées.

#### 2. Politique des applications non approuvées

La politique relative aux applications non approuvées (applications provenant de sources inconnues) appliquée sur l'appareil. Cette option contrôle le paramètre du système Android qui détermine si un utilisateur peut installer des applications en dehors du Play Store (sideloading).

**Interdire (par défaut)** : Interdire l'installation d'applications non approuvées sur l'ensemble de l'appareil.

**Profil personnel uniquement** : Pour les appareils avec profils de travail, autorise l'installation d'applications non approuvées uniquement dans le profil personnel de l'appareil.

**Autoriser**: Autoriser l'installation d'applications non approuvées sur l'ensemble de l'appareil.

#### 3. Google Play Protect

Si la vérification des applications par Google Play Protect est appliquée.

**Appliquée (par défaut)** : Active de force la vérification des applications.

**Choix de l'utilisateur** : Permet à l'utilisateur de choisir d'activer ou non la vérification des applications.

#### 4. Politique de permission par défaut

La politique relative à l'octroi des demandes de permissions d'exécution aux applications.

**Demander (par défaut)** : Demander à l'utilisateur d'accorder une permission.

**Accorder**: Accorder automatiquement une permission.

**Refuser**: Refuser automatiquement une permission.

#### 5. Fonctions d'application

Contrôle si les applications sur des appareils entièrement gérés ou dans des profils de travail sont autorisées à exposer des fonctions d'application. Nécessite Android 16 ou une version ultérieure.

**Autorisé (par défaut)** : Les applications sur des appareils entièrement gérés ou dans des profils de travail peuvent exposer des fonctions d'application.

**Interdit** : Les applications sur des appareils entièrement gérés ou dans des profils de travail ne peuvent pas exposer de fonctions d'application.

#### 6. Installation d'applications désactivée

Si l'installation d'applications par l'utilisateur est désactivée.

#### 7. Désinstallation des applications désactivée

Indique si la désinstallation des applications par l'utilisateur est désactivée.

#### 8. Politiques de permissions

Attributions ou refus explicites de permissions ou de groupes pour toutes les applications. Ces valeurs remplacent le paramètre **Politique de permissions par défaut**.

Utilisez **Ajouter une politique de permissions** pour créer des entrées et supprimez-les avec l'action de suppression.

Chaque entrée comprend :

**Permission/groupe Android** : La permission ou le groupe Android (requis), par exemple **android.permission.READ\_CALENDAR** ou **android.permission\_group.CALENDAR**.

**Politique** : Accorder / Refuser / Demander (utilise les mêmes options de politique que **Politique de permissions par défaut**).

#### 9. Applications

Liste des applications qui doivent être incluses dans la politique. Le comportement du contenu de la liste dépend de la valeur définie sur **Mode Play Store**.

Si le **Mode Play Store** est défini sur **liste blanche**, seules les applications présentes dans la politique sont disponibles et toute application non répertoriée dans la politique sera automatiquement désinstallée de l'appareil.

Si le **Mode Play Store** est défini sur **liste noire**, toutes les applications sont disponibles et toute application qui ne devrait pas être sur l'appareil doit être explicitement marquée comme **bloquée** dans la politique des applications.

Pour ajouter une nouvelle application, cliquez sur le bouton **Ajouter des applications** (ou sur l'icône **Ajouter des applications**), puis choisissez l'application dans le Play Store et cliquez sur le bouton **Sélectionner** sur la fiche de l'application.

<p class="callout info">Toutes les applications publiées sur le Play Store dans votre pays sont disponibles par défaut pour la sélection. Pour sélectionner vos propres applications privées ou web, vous devez d'abord les télécharger dans le système. Pour plus d'informations, consultez la page [**Applications privées**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/applications-privees "Private apps"). </p>

Chaque application peut être configurée avec ses propres paramètres, qui sont regroupés visuellement dans une fiche :

##### 9.1. Type d'installation

Le type d'installation à effectuer pour une application.

**Disponible** : L'application est disponible pour l'installation.

**Préinstallée** : L'application est installée automatiquement et peut être supprimée par l'utilisateur.

**Installation forcée** : L'application est installée automatiquement et ne peut pas être supprimée par l'utilisateur.

**Bloquée** : L'application est bloquée et ne peut pas être installée. Si l'application a été installée sous une politique précédente, elle sera désinstallée.

**Requise pour la configuration** : L'application est installée automatiquement, ne peut pas être supprimée par l'utilisateur et empêchera la fin de la configuration tant que l'installation n'est pas terminée.

**Kiosque** : L'application est installée automatiquement en mode kiosque : elle est définie comme l'intention d'accueil préférée et est ajoutée à la liste blanche pour le mode de verrouillage de tâche. La configuration de l'appareil ne sera pas terminée tant que l'application n'est pas installée. Après l'installation, les utilisateurs ne pourront pas supprimer l'application. Vous ne pouvez définir ce **type d'installation** que pour une seule application par politique. Lorsqu'il est présent dans la politique, la barre d'état sera automatiquement désactivée. Pour plus d'informations, veuillez consulter la page dédiée [**Mode kiosque**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/mode-kiosque "Kiosk mode").

##### 9.2. Contraintes d'installation

Définit un ensemble de restrictions pour l'installation de l'application. Lorsque plusieurs contraintes sont sélectionnées, elles doivent toutes être respectées pour que l'application puisse être installée.

<p class="callout info">Cette option ne s'affiche que lorsque le **Type d'installation** est **Préinstallée** ou **Installation forcée**. </p>

**Réseau non limité** : Installez l'application uniquement lorsque l'appareil est connecté à un réseau non limité (par exemple, Wi-Fi).

**En charge** : Installez l'application uniquement lorsque l'appareil est en charge.

**Inactif** : Installez l'application uniquement lorsque l'appareil est inactif.

##### 9.3. Mode de mise à jour automatique

Contrôle le mode de mise à jour automatique de l'application.

**Par défaut** : L'application est mise à jour automatiquement avec une priorité basse afin de minimiser l'impact sur l'utilisateur. L'application est mise à jour lorsque toutes les contraintes suivantes sont respectées : (1) l'appareil n'est pas utilisé activement, (2) l'appareil est connecté à un réseau non limité, (3) l'appareil est en charge. L'appareil est notifié d'une nouvelle mise à jour dans les 24 heures suivant sa publication par le développeur, après quoi l'application est mise à jour la prochaine fois que les contraintes ci-dessus sont respectées.

**Reporté** : L'application n'est pas mise à jour automatiquement pendant une période maximale de 90 jours après qu'elle est devenue obsolète. 90 jours après que l'application est devenue obsolète, la dernière version disponible est installée automatiquement avec une priorité basse (voir le mode **Mise à jour automatique par défaut**). Une fois l'application mise à jour, elle ne sera plus mise à jour automatiquement avant un délai de 90 jours après qu'elle soit redevenue obsolète. L'utilisateur peut toujours mettre à jour l'application manuellement depuis le Play Store à tout moment.

**Priorité haute** : L'application est mise à jour dès que possible. Aucune contrainte n'est appliquée. L'appareil est immédiatement notifié d'une nouvelle mise à jour dès qu'elle devient disponible.

##### 9.4. Code de version minimum

La version minimale de l'application qui s'exécute sur l'appareil. Si elle est définie, l'appareil tente de mettre à jour l'application vers au moins ce code de version. Si l'application n'est pas à jour, l'appareil affichera un **Détail de non-conformité** avec le **Motif de non-conformité** défini sur **APP\_NOT\_UPDATED**. L'application doit déjà être publiée sur Google Play avec un code de version supérieur ou égal à cette valeur. Au maximum, 20 applications peuvent spécifier un code de version minimum par politique.

##### 9.5. Scopes délégués

Les scopes délégués à l'application par Android Device Policy. Vous pouvez accorder une sélection de permissions Android spéciales à d'autres applications :

**Installation de certificat** : Accorde l'accès à l'installation et à la gestion des certificats.

**Configurations gérées** : Accorde l'accès à la gestion des configurations gérées.

**Bloquer la désinstallation** : Accorde l'accès au blocage de la désinstallation.

**Permissions** : Accorde l'accès à la politique de permissions et à l'état d'attribution des permissions.

**Accès aux packages** : Accorde l'accès à l'état d'accès aux packages.

**Application système** : Accorde l'accès pour l'activation des applications système.

##### 9.6. Réseau préférentiel

Le service de réseau préférentiel à utiliser pour cette application. Si elle est définie, l'application utilisera le segment de réseau d'entreprise spécifié pour ses connexions lorsqu'il sera disponible. Cela doit correspondre à un segment de réseau configuré dans la section **Configuration du découpage de réseau 5G** du panneau **Réseau cellulaire**.

<span style="color: #222222; font-size: 1.4em; font-weight: 400;">9.7. Politique de permissions par défaut</span>

La politique par défaut pour toutes les permissions demandées par l'application. Si elle est spécifiée, elle remplace la **Politique de permissions par défaut** au niveau de la politique qui s'applique à toutes les applications. Elle ne remplace pas les **Politiques de permissions** qui s'appliquent à toutes les applications.

**Demander (par défaut)** : Demander à l'utilisateur d'accorder une permission.

**Accorder** : Accorder automatiquement une permission.

**Refuser** : Refuser automatiquement une permission.

##### 9.8. Application connectée travail et personnel

Contrôle si l'application peut communiquer avec elle-même entre les profils de travail et personnels de l'appareil, sous réserve du consentement de l'utilisateur (Android 11+).

**Interdit (par défaut)** : Empêche l'application de communiquer entre les profils.

**Autorisé** : Autorise l'application à communiquer entre les profils après avoir reçu le consentement de l'utilisateur.

##### 9.9. Exemption du verrouillage VPN toujours actif

Spécifie si l'application est autorisée à utiliser le réseau lorsque le VPN n'est pas connecté et que le **verrouillage activé** est actif. Pris en charge uniquement sur les appareils fonctionnant sous Android 10 et versions ultérieures.

**Appliqué (par défaut)** : L'application respecte le paramètre de verrouillage VPN toujours actif.

**Exemptée** : L'application est exemptée du paramètre de verrouillage VPN toujours actif.

##### 9.10. Widgets du profil de travail

Spécifie si l'application installée dans le profil de travail est autorisée à ajouter des widgets sur l'écran d'accueil.

**Autorisé** : L'application peut ajouter des widgets sur l'écran d'accueil.

**Interdit** : L'application ne peut pas ajouter de widgets sur l'écran d'accueil.

##### 9.11. Paramètres de contrôle utilisateur

Spécifie si le contrôle utilisateur est autorisé pour une application donnée. Le contrôle utilisateur comprend des actions de l'utilisateur telles que l'arrêt forcé et l'effacement des données de l'application (Android 11+). Si **extensionConfig** est activé pour une application, le contrôle utilisateur est interdit quel que soit ce paramètre. Pour les applications en mode kiosque, vous pouvez utiliser **Autorisé** pour permettre le contrôle utilisateur.

**Non spécifié** : Utilise le comportement par défaut de l'application pour déterminer si le contrôle utilisateur est autorisé ou interdit.

**Autorisé** : Le contrôle utilisateur est autorisé pour l'application.

**Interdit** : Le contrôle utilisateur est interdit pour l'application.

##### 9.12. Désactivée

Indique si l'application est désactivée. Lorsqu'elle est désactivée, les données de l'application sont toujours conservées.

##### 9.13. Autoriser le fournisseur d'identifiants

Indique si l'application est autorisée à agir comme fournisseur d'identifiants sur Android 14 et versions ultérieures.

##### 9.14. Configuration gérée

Pour configurer les paramètres gérés de l'application, cliquez sur le bouton **Activer la configuration gérée**. Si une configuration gérée est déjà définie pour l'application, vous pouvez la modifier avec le bouton **Configuration gérée**, ou la supprimer avec le bouton **Supprimer la configuration**.

<p class="callout info">L'option **Configuration gérée** est disponible uniquement pour les applications qui prennent en charge cette fonctionnalité. </p>

##### 9.15. Politiques de permissions

Attributions ou refus explicites de permissions pour l'application. Ces valeurs remplacent la **Politique de permissions par défaut** et les **Politiques de permissions** qui s'appliquent à toutes les applications.

Utilisez **Ajouter une politique de permissions** pour ajouter une ou plusieurs règles de permission à la fiche de l'application et supprimez-les avec l'action de suppression.

##### 9.16. ID de canal

Liste des ID de canaux de test fermé de l'application auxquels un appareil peut accéder. Si plusieurs ID de canaux sont sélectionnés, les appareils reçoivent la version la plus récente parmi tous les canaux accessibles. Si aucun ID de canal n'est sélectionné, les appareils ont uniquement accès au canal de production de l'application.

<p class="callout info">**L'option Identifiants de suivi** n'est disponible que pour les applications disposant d'au moins un identifiant de suivi pour votre organisation. Pour plus de détails sur la manière d'ajouter votre organisation à une piste de test fermé pour une application spécifique, veuillez lire [ici](https://developers.google.com/android/management/apps#distribute_apps_for_closed_testing). </p>

#### 10. Paramètres d'application par défaut

Définissez les applications par défaut pour les types pris en charge. Lorsqu'une application par défaut est définie pour au moins un type, les utilisateurs ne peuvent plus modifier les applications par défaut dans ce profil.

<p class="callout info">Un seul paramètre d'application par défaut est autorisé par **Type d'application par défaut**. La liste des applications par défaut ne doit pas contenir de doublons. </p>

##### 10.1. Type d'application par défaut

Sélectionnez la catégorie d'application à configurer (par exemple : Navigateur, Téléphone, SMS, Portefeuille ou Assistant). La disponibilité dépend de la version d'Android et du mode de gestion.

##### 10.2. Portées de l'application par défaut

Sélectionnez l'endroit où l'application par défaut doit s'appliquer (Gestion complète, Profil professionnel ou Profil personnel). Seules les portées prises en charge par le type sélectionné peuvent être choisies.

<p class="callout info">Si aucune des portées sélectionnées n'est applicable au mode de gestion de l'appareil, l'appareil signalera un détail de non-conformité.</p>

##### 10.3. Applications par défaut

Liste des applications pouvant être définies par défaut pour le type sélectionné. La première application installée et éligible est définie comme application par défaut.

<p class="callout warning">Si les portées incluent **Gestion complète** ou **Profil professionnel**, chaque application doit également figurer dans la liste **Applications** avec un **Type d'installation** qui n'est pas défini sur **Bloqué**. </p>

#### 11. Sélection de la clé privée

Permet d'afficher l'interface utilisateur sur un appareil pour qu'un utilisateur puisse choisir un alias de clé privée s'il n'y a pas de règles correspondantes dans **Choisir les règles de clé privée**.

<p class="callout warning">Pour les appareils antérieurs à Android P, le réglage de cette option peut rendre les clés d'entreprise vulnérables.</p>

#### 12. Choisir les règles de clé privée

Contrôle l'accès des applications aux clés privées. La règle détermine quelle clé privée, le cas échéant, Android Device Policy accorde à l'application spécifiée. L'accès est accordé soit lorsque l'application appelle KeyChain.choosePrivateKeyAlias (ou toute surcharge) pour demander un alias de clé privée pour une URL donnée, soit pour les règles qui ne sont pas spécifiques à une URL (c'est-à-dire si urlPattern n'est pas défini, ou est défini sur une chaîne vide ou .\*) sur Android 11 et versions ultérieures, directement afin que l'application puisse appeler KeyChain.getPrivateKey sans avoir à appeler préalablement KeyChain.choosePrivateKeyAlias. Lorsqu'une application appelle KeyChain.choosePrivateKeyAlias et que plus d'une règle de type choosePrivateKeyRules correspond, la dernière règle correspondante définit l'alias de clé à renvoyer.

Utilisez **Ajouter une règle de clé privée** pour créer des entrées et supprimez-les avec l'action de suppression.

##### 12.1. Alias de clé privée

L'alias de la clé privée à utiliser.

##### 12.2. Modèle d'URL

Le modèle d'URL à comparer avec l'URL de la requête. S'il n'est pas défini ou s'il est vide, il correspond à toutes les URL. Cela utilise la syntaxe d'expression régulière de java.util.regex.Pattern.

##### 12.3. Noms de package

Les noms de package auxquels cette règle s'applique. L'empreinte du certificat de signature de chaque application est vérifiée par rapport à l'empreinte fournie par Play. Si aucun nom de package n'est spécifié, l'alias est fourni à toutes les applications qui appellent KeyChain.choosePrivateKeyAlias ou ses surcharges (mais pas sans appeler KeyChain.choosePrivateKeyAlias, même sur Android 11 et versions ultérieures). Toute application possédant le même UID Android qu'un package spécifié ici aura accès à l'alias lorsqu'elle appellera KeyChain.choosePrivateKeyAlias.

Utilisez **Ajouter un nom de package** pour ajouter des entrées et supprimez-les avec l'action de suppression.

<p class="callout info">Pour supprimer une application, cliquez sur l'icône **poubelle** au bas de la fiche de l'application. </p>

<div id="bkmrk-"><div></div></div>

# Mode kiosque

Avec le mode kiosque, vous pouvez restreindre les fonctionnalités d'un appareil à une seule application ou à plusieurs applications. Le choix entre le mode kiosque à application unique et celui à applications multiples dépend de vos objectifs commerciaux.

Dans le **mode kiosque à application unique**, l'appareil est configuré pour une seule application et ne permet pas aux utilisateurs finaux d'accéder à d'autres applications sur l'appareil. Ils ne peuvent pas non plus quitter l'application, ce qui en fait un appareil dédié à cette application spécifique. Pour activer ce mode, spécifiez une application dans la section [**Gestion des applications**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/gestion-des-applications "App management") avec le **Type d'installation** défini sur **Kiosque**.

Dans le **mode kiosque à applications multiples**, les appareils permettent l'accès à plusieurs applications. Les utilisateurs finaux peuvent naviguer entre plusieurs applications via un lanceur personnalisé. Pour activer ce mode, activez l'option **Lanceur personnalisé kiosque**.

Lorsque le mode kiosque est activé, vous pouvez également configurer si les utilisateurs finaux peuvent accéder à certaines fonctionnalités du système, telles que les paramètres du système et la barre d'état.

##### Lanceur personnalisé kiosque

Détermine si le lanceur personnalisé kiosque est activé. Cela remplace l'écran d'accueil par un lanceur qui verrouille l'appareil sur les applications installées via le paramètre de la [**Gestion des applications**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/gestion-des-applications "App management"). Les applications apparaissent sur une seule page par ordre alphabétique.

##### Actions du bouton d'alimentation

Définit le comportement d'un appareil en mode kiosque lorsqu'un utilisateur effectue un appui prolongé sur le bouton d'alimentation.

**Disponible (par défaut)** : Le menu d'alimentation (par exemple : Éteindre, Redémarrer) s'affiche lorsqu'un utilisateur effectue un appui prolongé sur le bouton d'alimentation d'un appareil en mode kiosque.

**Bloqué** : Le menu d'alimentation (par exemple : Éteindre, Redémarrer) ne s'affiche pas lorsqu'un utilisateur effectue un appui prolongé sur le bouton d'alimentation d'un appareil en mode kiosque. Remarque : cela peut empêcher les utilisateurs d'éteindre l'appareil.

##### Avertissements d'erreur système

Spécifie si les boîtes de dialogue d'erreur système pour les applications plantées ou ne répondant plus sont bloquées en mode kiosque. Lorsqu'elles sont bloquées, le système arrêtera de force l'application comme si l'utilisateur choisissait l'option « fermer l'application » sur l'interface utilisateur.

**Bloqué (par défaut)** : Toutes les boîtes de dialogue d'erreur système, telles que les plantages et l'application ne répondant pas (ANR), sont bloquées. Lorsqu'elles sont bloquées, le système arrête l'application de force comme si l'utilisateur fermait l'application via l'interface utilisateur.

**Activé** : Toutes les boîtes de dialogue d'erreur système, telles que les plantages et l'application ne répondant pas (ANR), sont affichées.

##### Navigation système

Spécifie quelles fonctions de navigation sont activées (par exemple : boutons Accueil, Aperçu) en mode kiosque.

**Désactivé (par défaut)** : Les boutons Accueil et Aperçu ne sont pas accessibles.

**Accueil uniquement** : Seul le bouton d'accueil est activé.

**Activé** : Les boutons Accueil et Aperçu sont activés.

##### Barre d'état

Spécifie si les informations système et les notifications sont désactivées en mode kiosque.

**Désactivé (par défaut)** : Les informations système et les notifications sont désactivées en mode kiosque.

**Système uniquement** : Seules les informations système sont affichées dans la barre d'état.

**Activé** : Les informations système et les notifications sont affichées dans la barre d'état en mode kiosque. Remarque : pour que cette politique prenne effet, le bouton d'accueil de l'appareil doit être activé via kioskCustomization.systemNavigation.

##### Paramètres de l'appareil

Spécifie si l'application Paramètres est autorisée en mode kiosque.

**Autorisé (par défaut)** : L'accès à l'application Paramètres est autorisé en mode kiosque.

**Bloqué** : L'accès à l'application Paramètres n'est pas autorisé en mode kiosque.

# Sécurité

Dans cette section, vous pouvez configurer les politiques relatives à la sécurité.

#### Actions liées aux risques de sécurité

Choisissez l'action à entreprendre lorsqu'un appareil signale un risque de sécurité (SecurityRisk) dans les rapports d'état.

Types de risques de sécurité (SecurityRisk) pris en charge :

**OS inconnu** : l'API Play Integrity détecte que l'appareil exécute un OS inconnu (la vérification basicIntegrity réussit mais ctsProfileMatch échoue).

**OS compromis** : l'API Play Integrity détecte que l'appareil exécute un OS compromis (la vérification basicIntegrity échoue).

**Échec de l'évaluation basée sur le matériel** : l'API Play Integrity détecte que l'appareil ne dispose pas d'une garantie solide de l'intégrité du système, si le libellé MEETS\_STRONG\_INTEGRITY ne s'affiche pas dans le champ d'intégrité de l'appareil.

Actions disponibles :

**Supprimer les données de l'entreprise (par défaut)** : désenrôler l'appareil et supprimer les données de travail (l'appareil complet s'il est en gestion complète, ou uniquement le profil de travail pour les profils gérés).

**Aucune action** : laisser l'appareil enrôlé et ne rien faire automatiquement.

Lorsque vous sélectionnez **Supprimer les données de l'entreprise**, vous pouvez également configurer les options de suppression :

**Conserver la protection contre la réinitialisation d'usine** : préserver les données de protection contre la réinitialisation d'usine (FRP) lors de la suppression des données de l'appareil.

**Supprimer le stockage externe** : supprimer également le stockage externe de l'appareil (tel que les cartes SD) lors de la suppression des données.

**Supprimer les eSIM** : pour les appareils appartenant à l'entreprise, cela supprime toutes les eSIM de l'appareil lors de la suppression des données. Sur les appareils appartenant à des particuliers, cela supprimera les eSIM gérées (les eSIM ajoutées via la commande ADD\_ESIM) sur l'appareil, et aucune eSIM personnelle ne sera supprimée.

#### 1. Temps maximal avant verrouillage

Temps maximal (en secondes) d'inactivité de l'utilisateur avant le verrouillage de l'appareil. Une valeur de 0 signifie qu'il n'y a aucune restriction.

#### 2. Rester activé lors de la charge

Les modes de branchement sur secteur pour lesquels l'appareil reste activé. Lors de l'utilisation de ce paramètre, il est recommandé de vider **Temps maximal avant verrouillage** afin que l'appareil ne se verrouille pas tout en restant activé.

**Chargeur secteur** : la source d'alimentation est un chargeur secteur.

**Port USB** : la source d'alimentation est un port USB.

**Chargeur sans fil** : la source d'alimentation est sans fil.

#### 3. Désactivation de l'écran de verrouillage (Keyguard)

Si activé, cela désactive l'écran de verrouillage pour les écrans principaux et/ou secondaires. Cette politique est prise en charge uniquement en mode de gestion d'appareil dédié.

#### 4. Exigences relatives au mot de passe

Politiques d'exigences relatives au mot de passe.

Utilisez **Configurer les exigences de mot de passe** pour ajouter un ou plusieurs blocs d'exigences de mot de passe. Utilisez **Tout effacer** pour supprimer toutes les exigences de mot de passe configurées.

Les exigences de mot de passe peuvent utiliser la portée **Auto** (exigence unique) ou des portées distinctes **Appareil**/**Profil de travail**. Les exigences basées sur la complexité doivent être couplées à des exigences basées sur la qualité pour la même portée.

##### 4.1. Portée

La portée à laquelle l'exigence de mot de passe s'applique.

**Auto** : la portée n'est pas spécifiée. Les exigences de mot de passe s'appliquent au profil de travail pour les appareils avec profil de travail, et à l'appareil complet pour les appareils en gestion complète ou dédiés.

**Appareil** : les exigences de mot de passe s'appliquent uniquement à l'appareil.

**Profil de travail** : les exigences de mot de passe s'appliquent uniquement au profil de travail.

##### 4.2. Longueur de l'historique des mots de passe

La longueur de l'historique des mots de passe. Après avoir défini ce champ, l'utilisateur ne pourra pas saisir un nouveau mot de passe identique à l'un des mots de passe présents dans l'historique. Une valeur de 0 signifie qu'il n'y a aucune restriction.

##### 4.3. Nombre maximal d'échecs de mot de passe avant réinitialisation

Nombre de mots de passe de déverrouillage incorrects pouvant être saisis avant que l'appareil ne soit réinitialisé. Une valeur de 0 signifie qu'il n'y a aucune restriction.

##### 4.4. Délai d'expiration du mot de passe (en jours)

Ce paramètre oblige l'utilisateur à mettre à jour périodiquement son mot de passe, après le nombre de jours spécifié.

##### 4.5. Exiger le déverrouillage par mot de passe

La durée pendant laquelle, après qu'un appareil ou un profil de travail a été déverrouillé à l'aide d'une forme d'authentification forte (mot de passe, code PIN, schéma), il peut être déverrouillé à l'aide de toute autre méthode d'authentification (ex. : empreinte digitale, agents de confiance, reconnaissance faciale). Une fois la période spécifiée écoulée, seules les formes d'authentification fortes pourront être utilisées pour déverrouiller l'appareil ou le profil de travail.

**Par défaut de l'appareil** : la période de délai d'expiration est définie sur le paramètre par défaut de l'appareil.

**Tous les jours** : la période de délai d'expiration est fixée à 24 heures.

##### 4.6. Qualité du mot de passe

La qualité requise du mot de passe.

**Complexité élevée** : définit la bande de complexité élevée du mot de passe comme suit : sur Android 12 et versions ultérieures : code PIN sans séquences répétitives (4444) ou ordonnées (1234, 4321, 2468), longueur d'au moins 8 caractères ; alphabétique, longueur d'au moins 6 caractères ; alphanumérique, longueur d'au moins 6 caractères.

**Complexité moyenne** : définit la bande de complexité moyenne du mot de passe comme suit : code PIN sans séquences répétitives (4444) ou ordonnées (1234, 4321, 2468), longueur d'au moins 4 caractères ; alphabétique, longueur d'au moins 4 caractères ; alphanumérique, longueur d'au moins 4 caractères.

**Complexité faible** : définit la bande de complexité faible du mot de passe comme suit : schéma ; code PIN avec séquences répétitives (4444) ou ordonnées (1234, 4321, 2468).

**Aucune** : il n'y a aucune exigence de mot de passe.

**Faible** : l'appareil doit être sécurisé au minimum par une technologie de reconnaissance biométrique à faible sécurité. Cela inclut les technologies capables de reconnaître l'identité d'un individu et qui sont approximativement équivalentes à un code PIN à 3 chiffres (le taux de fausse détection est inférieur à 1 sur 1 000).

**N'importe lequel** : un mot de passe est requis, mais il n'y a aucune restriction sur son contenu.

**Numérique** : le mot de passe doit contenir des caractères numériques.

**Numérique complexe** : le mot de passe doit contenir des caractères numériques sans séquences répétitives (4444) ou ordonnées (1234, 4321, 2468).

**Alphabétique** : le mot de passe doit contenir des caractères alphabétiques (ou des symboles).

**Alphanumérique** : le mot de passe doit contenir à la fois des caractères numériques et alphabétiques (ou des symboles).

**Complexe** : le mot de passe doit respecter les exigences minimales spécifiées dans passwordMinimumLength, passwordMinimumLetters, passwordMinimumSymbols, etc. Par exemple, si passwordMinimumSymbols est de 2, le mot de passe doit contenir au moins deux symboles.

##### 4.7. Longueur minimale

La longueur minimale autorisée du mot de passe. Une valeur de 0 signifie qu'il n'y a aucune restriction.

##### 4.8. Nombre minimal de lettres

Nombre minimal de lettres requis dans le mot de passe.

##### 4.9. Nombre minimal de lettres minuscules

Nombre minimal de lettres minuscules requis dans le mot de passe.

##### 4.10. Nombre minimal de lettres majuscules

Nombre minimal de lettres majuscules requis dans le mot de passe.

##### 4.11. Nombre minimal de caractères autres que des lettres

Nombre minimal de caractères autres que des lettres (chiffres ou symboles) requis dans le mot de passe.

##### 4.12. Nombre minimal de chiffres

Nombre minimal de chiffres requis dans le mot de passe.

##### 4.13. Nombre minimal de symboles

Nombre minimal de symboles requis dans le mot de passe.

##### 4.14. Verrouillage unifié

Contrôle si un verrouillage unifié est autorisé pour l'appareil et le profil de travail, sur les appareils fonctionnant sous Android 9 et versions ultérieures avec un profil de travail. Cela n'a aucun effet sur les autres appareils.

**Autoriser le verrouillage unifié** : un verrouillage commun pour l'appareil et le profil de travail est autorisé.

**Exiger un verrouillage de travail distinct** : un verrouillage distinct pour le profil de travail est requis.

#### 5. Désactivation de la réinitialisation d'usine

Indique si la réinitialisation d'usine via les paramètres est désactivée. S'applique uniquement aux appareils en gestion complète.

#### 6. Protection contre la réinitialisation d'usine

Adresses e-mail des administrateurs de l'appareil pour la protection contre la réinitialisation d'usine. Si l'appareil subit une réinitialisation d'usine non autorisée, il exigera que l'un de ces administrateurs se connecte avec son adresse e-mail et son mot de passe de compte Google pour déverrouiller l'appareil. Si aucun administrateur n'est spécifié, l'appareil ne proposera pas de protection contre la réinitialisation d'usine. S'applique uniquement aux appareils en gestion complète.

**E-mails des administrateurs** : utilisez **Activer la protection contre la réinitialisation d'usine** pour commencer à configurer les administrateurs. Ensuite, utilisez **Ajouter l'e-mail de l'administrateur** pour ajouter des adresses et supprimez-les avec l'action de suppression.

#### 7. Fonctionnalités de l'écran de verrouillage (Keyguard)

Fonctionnalités de l'écran de verrouillage (Keyguard) qui peuvent être désactivées.

##### 7.1. Tout désactiver

Désactive toutes les personnalisations actuelles et futures de l'écran de verrouillage.

##### 7.2. Désactiver l'appareil photo

Désactive l'appareil photo sur les écrans de verrouillage sécurisés (ex. : code PIN).

##### 7.3. Désactiver les notifications

Désactive l'affichage de toutes les notifications sur les écrans de verrouillage sécurisés.

##### 7.4. Désactiver les notifications non masquées

Désactive l'affichage du contenu des notifications sur les écrans de verrouillage sécurisés.

##### 7.5. Ignorer l'état de l'agent de confiance

Ignore l'état de l'agent de confiance sur les écrans de verrouillage sécurisés.

##### 7.6. Désactiver l'empreinte digitale

Désactive le capteur d'empreinte digitale sur les écrans de verrouillage sécurisés.

##### 7.7. Désactiver la saisie de texte dans les notifications

Désactive la saisie de texte dans les notifications sur les écrans de verrouillage sécurisés.

##### 7.8. Désactiver l'authentification faciale

Désactive l'authentification faciale sur les écrans de verrouillage sécurisés.

##### 7.9. Désactiver l'authentification par iris

Désactive l'authentification par iris sur les écrans de verrouillage sécurisés.

##### 7.10. Désactiver toute l'authentification biométrique

Désactive toute l'authentification biométrique sur les écrans de verrouillage sécurisés.

##### 7.11. Désactiver tous les raccourcis

Désactive tous les raccourcis sur l'écran de verrouillage sécurisé sous Android 14 et versions ultérieures.

# Multimédia

Dans cette section, vous pouvez configurer le comportement de l'appareil photo/microphone, l'accès aux données USB, l'impression et les restrictions liées à l'affichage.

#### 1. Accès à l'appareil photo

Contrôle l'utilisation de l'appareil photo et si l'utilisateur peut accéder au commutateur d'accès à l'appareil photo (Android 12+). En général, la désactivation de l'appareil photo s'applique à l'ensemble de l'appareil sur les appareils en gestion complète, et uniquement au sein du profil professionnel sur les appareils avec profil professionnel.

**Choix de l'utilisateur (par défaut)** : Comportement par défaut de l'appareil. Les appareils photo sont disponibles et (Android 12+) l'utilisateur peut activer ou désactiver l'accès à l'appareil photo.

**Désactivé** : Tous les appareils photo sont désactivés (gestion complète : sur tout l'appareil ; profil professionnel : uniquement pour les applications du profil professionnel). Le commutateur d'accès à l'appareil photo n'a aucun effet dans la portée gérée.

**Appliqué** : Les appareils photo sont disponibles. Sur les appareils en gestion complète sous Android 12+, l'utilisateur ne peut pas activer ou désactiver l'accès à l'appareil photo. Sur les autres appareils/versions, cela se comporte comme le choix de l'utilisateur.

#### 2. Accès au microphone

Sur les appareils en gestion complète, contrôle l'utilisation du microphone et si l'utilisateur peut accéder au commutateur d'accès au microphone (Android 12+). Ce paramètre n'a aucun effet sur les appareils qui ne sont pas en gestion complète.

**Choix de l'utilisateur (par défaut)** : Comportement par défaut. Le microphone est disponible et (Android 12+) l'utilisateur peut activer ou désactiver l'accès au microphone.

**Désactivé** : Le microphone est désactivé (sur tout l'appareil). Le commutateur d'accès au microphone n'a aucun effet.

**Appliqué** : Le microphone est disponible. Sur Android 12+, l'utilisateur ne peut pas activer ou désactiver l'accès au microphone. Sur Android 11 ou versions antérieures, cela se comporte comme le choix de l'utilisateur.

#### 3. Accès aux données USB

Contrôle quels fichiers et/ou données peuvent être transférés via USB. Pris en charge uniquement sur les appareils appartenant à l'entreprise.

**Interdire le transfert de fichiers (par défaut)** : Les transferts de fichiers sont interdits, mais les autres connexions de données USB (par exemple : souris/clavier) sont autorisées.

**Interdire le transfert de données** : Tous les types de transferts de données USB sont interdits (Android 12+ avec USB HAL 1.3+). Si cette option n'est pas prise en charge, l'appareil revient à l'option Interdire le transfert de fichiers.

**Autoriser le transfert de données** : Tous les types de transferts de données USB sont autorisés.

#### 4. Impression

Contrôle si l'impression est autorisée (Android 9+).

**Autorisé (par défaut)** : L'impression est autorisée.

**Interdit** : L'impression est interdite (Android 9+).

#### 5. Paramètres de luminosité de l'écran

Contrôle le mode de luminosité de l'écran et (facultativement) la valeur de luminosité.

Mode de luminosité de l'écran :

**Choix de l'utilisateur (par défaut)** : L'utilisateur est autorisé à configurer la luminosité de l'écran.

**Automatique** : La luminosité est automatique et l'utilisateur ne peut pas la modifier. Vous pouvez toujours définir une valeur de luminosité, qui est utilisée dans le cadre du réglage automatique (Android 9+ en gestion complète ; profils professionnels sur Android 15+ appartenant à l'entreprise).

**Fixe** : La luminosité est réglée sur la valeur configurée et l'utilisateur ne peut pas la modifier. La valeur de luminosité est requise (Android 9+ en gestion complète ; profils professionnels sur Android 15+ appartenant à l'entreprise).

Luminosité de l'écran :

Valeur de 1 à 255 (1 = plus faible, 255 = plus élevée). Une valeur de 0 signifie qu'aucune valeur de luminosité n'est définie.

#### 6. Paramètres de mise en veille de l'écran

Contrôle si l'utilisateur peut configurer la mise en veille de l'écran et, lorsqu'elle est imposée, la valeur de la mise en veille.

Le champ **Mode de mise en veille de l'écran** permet de choisir entre un comportement contrôlé par l'utilisateur et un comportement imposé.

**Choix de l'utilisateur (par défaut)** : L'utilisateur est autorisé à configurer la mise en veille de l'écran.

**Appliqué** : La mise en veille de l'écran est réglée sur la valeur configurée et l'utilisateur ne peut pas la modifier (Android 9+ en gestion complète ; profils professionnels sur Android 15+ appartenant à l'entreprise).

Mise en veille de l'écran :

Durée de la mise en veille en secondes. La valeur doit être supérieure à 0. Si elle est supérieure au **temps de verrouillage maximal**, le système peut la limiter et signaler une non-conformité.

#### 7. Capture d'écran désactivée

Détermine si la capture d'écran est désactivée.

#### 8. Ajustement du volume désactivé

Détermine si l'ajustement du volume principal est désactivé.

#### 9. Montage de supports physiques désactivé

Détermine si le montage de supports physiques externes est désactivé.

# Cellulaire

Dans cette section, vous pouvez configurer les politiques relatives au cellulaire.

#### 1. Mode avion

Contrôle si le mode avion peut être activé ou désactivé par l'utilisateur.

**Choix de l'utilisateur (par défaut)** : L'utilisateur est autorisé à activer ou désactiver le mode avion.

**Désactivé** : Le mode avion est désactivé. L'utilisateur n'est pas autorisé à activer le mode avion. Pris en charge sur Android 9 et versions ultérieures.

#### 2. Cellulaire 2G

Contrôle si le paramètre cellulaire 2G peut être activé ou désactivé par l'utilisateur.

**Choix de l'utilisateur (par défaut)** : L'utilisateur est autorisé à activer ou désactiver le cellulaire 2G.

**Désactivé** : Le cellulaire 2G est désactivé. L'utilisateur n'est pas autorisé à activer le cellulaire 2G via les paramètres. Pris en charge sur Android 14 et versions ultérieures.

#### 3. Remplacer les APN

Contrôle si le remplacement des APN est activé ou désactivé. Lorsqu'il est activé, seuls les APN de remplacement configurés sont utilisés et tous les autres APN sur l'appareil sont ignorés.

**Désactivé (par défaut)** : Tous les paramètres d'APN configurés sont enregistrés sur l'appareil, mais ils sont désactivés et n'ont aucun effet. Tous les autres APN sur l'appareil restent en usage.

**Activé** : Seuls les APN de remplacement sont utilisés, tous les autres APN sont ignorés. Ce paramètre ne peut être configuré que sur les appareils en gestion complète avec Android 10 et versions ultérieures.

#### 4. Paramètres APN

Configurez une ou plusieurs entrées APN. Utilisez **Ajouter un APN** pour créer une entrée et **Supprimer l'APN** pour la supprimer.

Chaque APN possède des champs obligatoires :

**Types d'APN** : Sélectionnez un ou plusieurs types de trafic pour cet APN (la disponibilité dépend du mode de gestion et de la version d'Android).

**Nom de l'APN** : L'identifiant de l'APN fourni par votre opérateur.

**Nom d'affichage** : Nom convivial affiché dans l'interface utilisateur.

Champs APN facultatifs :

**Type d'authentification**, **Nom d'utilisateur**, **Mot de passe** : Configurez l'authentification de l'opérateur (si nécessaire).

**Protocole** et **Protocole d'itinérance** : Configuration du protocole IP.

**Types de réseau** : Restreignez les technologies cellulaires que l'APN peut utiliser (par exemple LTE/5G NR).

**Adresse du proxy** et **Port du proxy** : Proxy HTTP pour le trafic de données (le cas échéant).

**Adresse du proxy MMS**, **Port du proxy MMS**, **MMSC (URI du centre MMS)** : Paramètres relatifs aux MMS.

**Identifiant numérique de l'opérateur (MCC+MNC)** et **Identifiant de l'opérateur** : Champs d'identification de l'opérateur.

**Paramètre Toujours activé** : Détermine si la session PDU activée par cet APN doit être toujours active. Pris en charge sur Android 15 et versions ultérieures.

**Type d'MVNO** : Type d'identifiant de l'opérateur de réseau mobile virtuel.

**MTU IPv4** et **MTU IPv6** : Unité de transmission maximale pour les routes IPv4/IPv6. Pris en charge sur Android 13 et versions ultérieures.

#### 5. Configuration de la diffusion cellulaire désactivée

Détermine si la configuration de la diffusion cellulaire est désactivée.

#### 6. Configuration des réseaux mobiles désactivée

Détermine si la configuration des réseaux mobiles est désactivée.

#### 7. Données en itinérance désactivées

Détermine si les services de données en itinérance sont désactivés.

#### 8. Appels sortants désactivés

Détermine si les appels sortants sont désactivés.

#### 9. SMS désactivés

Détermine si l'envoi et la réception de messages SMS sont désactivés.

#### 10. Configuration du découpage de réseau 5G

Configurez les paramètres de service réseau préférentiels pour activer le découpage de réseau 5G d'entreprise. Vous pouvez configurer jusqu'à 5 tranches d'entreprise et assigner des applications à des réseaux spécifiques pour un routage optimisé du trafic.

##### 10.1. Réseau préférentiel par défaut

Identifiant du réseau préférentiel par défaut pour les applications qui ne figurent pas dans la liste des applications, ou si le **Réseau préférentiel** d'une application n'est pas défini. Doit comporter une configuration pour l'identifiant de réseau spécifié (sauf s'il est défini sur **Aucun réseau préférentiel**).

Remarque : Les applications critiques telles que **com.google.android.apps.work.clouddpc** et **com.google.android.gms** sont exclues de ce paramètre par défaut.

##### 10.2. Configurations des services réseau

Utilisez **Ajouter une configuration réseau** pour créer une configuration de tranche. Vous pouvez ajouter jusqu'à 5 configurations. Chaque configuration comprend :

**Identifiant du réseau préférentiel (assigné automatiquement)** : L'identifiant du réseau est assigné automatiquement et ne peut pas être modifié.

**Repli sur la connexion par défaut** : Détermine si le repli sur le réseau par défaut de l'appareil est autorisé. Si ce n'est pas autorisé, les applications ne pourront pas accéder à Internet si la tranche 5G est indisponible.

**Réseaux non correspondants** : Détermine si les applications soumises à cette configuration peuvent utiliser des réseaux autres que le service préférentiel. Si défini sur **Interdit**, le **Repli sur la connexion par défaut** doit également être sur **Interdit**. Nécessite Android 14 et versions ultérieures.

# Réseautage

Dans cette section, vous pouvez configurer les politiques relatives au réseautage.

<p class="callout info">Les configurations Wi‑Fi peuvent être provisionnées et gérées par le système via les **configurations Wi‑Fi**. Selon la valeur définie sur **Configurer le Wi‑Fi**, les utilisateurs peuvent avoir un contrôle limité ou aucun contrôle sur l'ajout ou la modification de réseaux. </p>

## État de la radio de l'appareil

#### 1. État du Wi-Fi

Contrôle l'état actuel du Wi-Fi et si l'utilisateur peut modifier son état.

**Choix de l'utilisateur (par défaut)** : L'utilisateur est autorisé à activer ou désactiver le Wi‑Fi.

**Activé** : Le Wi‑Fi est activé et l'utilisateur n'est pas autorisé à le désactiver (Android 13+).

**Désactivé** : Le Wi‑Fi est désactivé et l'utilisateur n'est pas autorisé à l'activer (Android 13+).

#### 2. Niveau de sécurité Wi-Fi minimal

Le niveau de sécurité minimal requis des réseaux Wi-Fi auxquels l'appareil peut se connecter. Pris en charge sur Android 13 et versions ultérieures, pour les appareils en gestion complète et les profils professionnels sur les appareils appartenant à l'entreprise.

**Réseau ouvert (par défaut)** : L'appareil peut se connecter à tous les types de réseaux Wi‑Fi.

**Réseau personnel** : Interdit les réseaux Wi‑Fi ouverts ; nécessite au moins une sécurité de type personnel (par exemple WPA2‑PSK).

**Réseau d'entreprise** : Nécessite des réseaux EAP d'entreprise ; interdit les réseaux Wi-Fi dont le niveau de sécurité est inférieur.

**Réseau d'entreprise 192 bits** : Nécessite des réseaux d'entreprise 192 bits ; l'option la plus stricte.

#### 3. État de l'ultra-large bande (UWB)

Contrôle l'état du paramètre ultra-large bande et si l'utilisateur peut l'activer ou le désactiver.

**Choix de l'utilisateur (par défaut)** : L'utilisateur est autorisé à activer ou désactiver l'UWB.

**Désactivé** : L'UWB est désactivé et l'utilisateur n'est pas autorisé à l'activer via les paramètres (Android 14+).

## Gestion de la connectivité de l'appareil

#### 4. Partage Bluetooth

Contrôle si le partage Bluetooth est autorisé.

**Autorisé** : Le partage Bluetooth est autorisé (par défaut sur les appareils en gestion complète, Android 8+).

**Interdit** : Le partage Bluetooth est interdit (par défaut sur les profils professionnels, Android 8+).

#### 5. Configurer le Wi-Fi

Contrôle les privilèges de configuration du Wi-Fi. Selon l'option sélectionnée, l'utilisateur dispose d'un contrôle total, limité ou nul sur la configuration des réseaux Wi-Fi.

**Autoriser la configuration du Wi‑Fi (par défaut)** : L'utilisateur est autorisé à configurer le Wi‑Fi.

**Interdire l'ajout de config. Wi‑Fi** : L'ajout de nouvelles configurations Wi‑Fi est interdit. L'utilisateur peut basculer entre les réseaux déjà configurés (Android 13+ ; appareils en gestion complète et profils professionnels sur appareils appartenant à l'entreprise).

**Interdire la configuration du Wi‑Fi** : Interdit la configuration des réseaux Wi‑Fi. Pour les appareils en gestion complète, cela supprime les réseaux configurés par l'utilisateur et ne conserve que les réseaux configurés via les **configurations Wi‑Fi**. Pour les profils professionnels sur appareils appartenant à l'entreprise, les réseaux existants ne sont pas affectés, mais les utilisateurs ne peuvent ni ajouter, ni supprimer, ni modifier de réseaux Wi‑Fi.

<p class="callout info">Lorsque la configuration du Wi‑Fi est désactivée et que l'appareil ne peut pas se connecter au démarrage, le système peut afficher la **soupape de sécurité réseau** pour permettre à l'utilisateur de se connecter temporairement et d'actualiser la politique. </p>

#### 6. Paramètres Wi-Fi Direct

Contrôle la configuration et l'utilisation des paramètres Wi-Fi Direct. Pris en charge sur les appareils appartenant à l'entreprise sous Android 13 et versions ultérieures.

**Autoriser (par défaut)** : L'utilisateur est autorisé à utiliser le Wi‑Fi direct.

**Interdire** : L'utilisateur n'est pas autorisé à utiliser le Wi‑Fi direct.

#### 7. Paramètres de partage de connexion

Contrôle les paramètres de partage de connexion. Selon la valeur définie, l'utilisateur se voit partiellement ou totalement interdire l'utilisation de différentes formes de partage de connexion.

**Autoriser tout le partage de connexion (par défaut)** : permet la configuration et l'utilisation de toutes les formes de partage de connexion.

**Interdire le partage de connexion Wi‑Fi** : empêche l'utilisateur d'utiliser le partage de connexion Wi‑Fi (appareils Android 13+ appartenant à l'entreprise).

**Interdire tout le partage de connexion** : empêche toutes les formes de partage de connexion (gestion complète + profils de travail appartenant à l'entreprise).

#### 8. Politique de SSID Wi‑Fi

Restrictions sur les SSID Wi‑Fi auxquels l'appareil peut se connecter (cela n'affecte pas les réseaux pouvant être configurés sur l'appareil). Pris en charge sur les appareils appartenant à l'entreprise fonctionnant sous Android 13 et versions ultérieures.

**Liste d'exclusion de SSID (par défaut)** : l'appareil ne peut se connecter à aucun réseau Wi‑Fi dont le SSID est répertorié, mais peut se connecter aux autres réseaux.

**Liste d'autorisation de SSID** : l'appareil peut se connecter uniquement aux SSID répertoriés. La liste des SSID ne doit pas être vide.

Utilisez **Ajouter un SSID** pour ajouter des entrées. Selon le type de politique sélectionné, la liste est interprétée comme des SSID autorisés ou refusés.

Dans l'interface de l'éditeur de politiques, la liste des SSID est intitulée **SSID Wi‑Fi autorisés** pour les listes d'autorisation et **SSID Wi‑Fi refusés** pour les listes d'exclusion.

#### 9. Paramètres d'itinérance Wi‑Fi

Configurez le mode d'itinérance Wi‑Fi par SSID. Utilisez **Ajouter un paramètre d'itinérance Wi‑Fi** pour créer des entrées.

Chaque entrée comprend :

**SSID** : le SSID auquel s'applique le paramètre d'itinérance (requis).

**Mode d'itinérance Wi‑Fi** : Par défaut / Désactivé / Agressif. Les modes Désactivé et Agressif nécessitent Android 15+ et sont pris en charge uniquement sur les appareils en gestion complète ainsi que sur les profils de travail des appareils appartenant à l'entreprise.

## Restrictions réseau

#### 10. Désactivation du Bluetooth

Indique si le Bluetooth est désactivé. Privilégiez ce paramètre par rapport à la désactivation de la configuration Bluetooth, car cette dernière peut être contournée par l'utilisateur.

#### 11. Désactivation du partage de contacts via Bluetooth

Indique si le partage de contacts via Bluetooth est désactivé.

#### 12. Désactivation de la configuration Bluetooth

Indique si la configuration du Bluetooth est désactivée.

#### 13. Désactivation de la réinitialisation du réseau

Indique si la réinitialisation des paramètres réseau est désactivée.

#### 14. Désactivation du partage par Android Beam (sortant)

Indique si l'utilisation du NFC pour le partage de données via Beam est désactivée.

## VPN

#### 15. Application VPN toujours activé (Always On)

Spécifiez le nom du package de l'application VPN toujours activé (Always On) pour garantir que les données des applications gérées spécifiées passeront toujours par un VPN configuré.

<p class="callout info">Remarque : Cette fonctionnalité nécessite le déploiement d'un client VPN prenant en charge à la fois les fonctions « Always On » (toujours activé) et le VPN par application.</p>

#### 16. Verrouillage VPN (VPN lockdown)

Interdit l'accès au réseau lorsque le VPN n'est pas connecté.

#### 17. Désactivation de la configuration VPN

Indique si la configuration du VPN est désactivée.

## Proxy et services réseau

#### 18. Service de réseau préférentiel

Contrôle si le service de réseau préférentiel est activé sur le profil de travail. Par exemple, une organisation peut avoir un accord avec un opérateur prévoyant que les données de travail soient envoyées via un service réseau dédié à l'usage professionnel (par exemple, une tranche d'entreprise sur les réseaux 5G). Cela n'a aucun effet sur les appareils en gestion complète.

**Désactivé** : le service de réseau préférentiel est désactivé sur le profil de travail.

**Activé** : le service de réseau préférentiel est activé sur le profil de travail.

<p class="callout info">Si vous utilisez le découpage de réseau (network slicing) d'entreprise, configurez également la **Configuration du découpage de réseau 5G** dans le panneau de politique **Réseau cellulaire** et assignez les applications à une tranche en utilisant leur paramètre **Réseau préférentiel**. </p>

#### 19. Proxy global recommandé

Le proxy HTTP global indépendant du réseau. En règle générale, les proxys doivent être configurés par réseau dans les configurations Wi-Fi. Un proxy global peut être utile pour des configurations inhabituelles, comme un filtrage interne général. Le proxy global n'est qu'une recommandation et certaines applications peuvent l'ignorer.

**Désactivé**

**Proxy direct**

**Proxy auto-config (PAC)**

##### 19.1. Hôte

L'hôte du proxy direct.

##### 19.2. Port

Le port du proxy direct.

##### 19.3. URI PAC

L'URI du script PAC utilisé pour configurer le proxy.

##### 19.4. Hôtes exclus

Pour un proxy direct, les hôtes pour lesquels le proxy est contourné. Les noms d'hôtes peuvent contenir des caractères génériques tels que **\*.example.com**.

Utilisez **Ajouter un hôte exclu** pour ajouter des entrées (disponible uniquement pour le proxy direct).

## Configurations Wi-Fi

Définissez les configurations de réseau Wi‑Fi que le système appliquera sur les appareils. Utilisez **Ajouter une configuration Wi‑Fi** pour créer une entrée et supprimez-la avec l'action de suppression.

#### 20. Champs de configuration Wi‑Fi

Chaque configuration comprend :

**Nom de la configuration** : Requis.

**SSID** : Requis.

**Connexion automatique** : indique si le réseau doit être connecté automatiquement lorsqu'il est à portée.

**Transition rapide (Fast Transition)** : indique si le client doit tenter d'utiliser la transition rapide (IEEE 802.11r-2008) avec le réseau.

**SSID caché** : indique si le SSID sera diffusé.

**Mode de randomisation de l'adresse MAC** : Matériel ou Automatique (Android 13+).

##### 20.1. Sécurité

Options de sécurité Wi‑Fi :

**WEP‑PSK** : WEP (clé pré-partagée).

**WPA‑PSK** : WPA/WPA2/WPA3-Personnel (clé pré-partagée).

**WPA‑EAP** : WPA/WPA2/WPA3-Entreprise (Extensible Authentication Protocol).

**Mode WPA3 192 bits** : réseau WPA‑EAP n'autorisant que le mode WPA3 192 bits.

##### 20.2. Mot de passe (clé pré-partagée)

Affiché lorsque la sécurité est **WEP‑PSK** ou **WPA‑PSK**. Le mot de passe est requis.

##### 20.3. Méthode EAP (Entreprise)

Affiché lorsque la sécurité est **WPA‑EAP** ou **Mode WPA3 192 bits**. Sélectionnez une méthode EAP externe :

**EAP‑TLS**

**EAP‑TTLS**

**PEAP**

**EAP‑SIM**

**EAP‑AKA**

##### 20.4. Authentification de phase 2

Affiché pour les méthodes externes à tunnel (**EAP‑TTLS** et **PEAP**).

**MSCHAPv2**

**PAP**

##### 20.5. Identifiants EAP des utilisateurs

Lorsqu'elle est activée, le système applique automatiquement les identifiants EAP sur les appareils pour chaque utilisateur. Vous pouvez configurer les identifiants des utilisateurs dans la section **Utilisateurs**.

##### 20.6. Certificat client

Pour **EAP‑TLS**, vous pouvez assigner un certificat client utilisé pour l'authentification Wi‑Fi. Pour plus d'informations, consultez la page [**Gestion des certificats**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/gestion-des-certificats "Certificate management").

Si un certificat est déjà assigné, vous pouvez utiliser **Ouvrir le certificat** pour le consulter ou **Modifier le certificat** pour en sélectionner un autre.

Alternativement, vous pouvez spécifier l'**alias de la paire de clés du certificat client**, qui fait référence à un certificat client stocké dans le trousseau Android et autorisé pour l'authentification Wi‑Fi.

<p class="callout info">Si le **Certificat client** et l'**alias de la paire de clés du certificat client** sont tous deux configurés, l'alias de la paire de clés est ignoré. </p>

##### 20.7. Identité

Identité de l'utilisateur. Pour les protocoles externes à tunnel (PEAP, EAP‑TTLS), celle-ci est utilisée pour l'authentification à l'intérieur du tunnel, et l'**Identité anonyme** est utilisée pour l'identité EAP à l'extérieur du tunnel. Pour les protocoles externes sans tunnel, elle est utilisée pour l'identité EAP.

##### 20.8. Identité anonyme

Pour les protocoles à tunnel uniquement, cela indique l'identité de l'utilisateur présentée au protocole externe.

##### 20.9. Mot de passe

Mot de passe de l'utilisateur. S'il n'est pas spécifié, l'utilisateur sera invité à le saisir par défaut.

##### 20.10. Certificats d'autorité de certification (CA) du serveur

Liste des certificats d'autorité de certification (CA) à utiliser pour vérifier la chaîne de certificats de l'hôte. Au moins un certificat CA doit correspondre. Pour plus d'informations, consultez la page [**Gestion des certificats**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/gestion-des-certificats "Certificate management").

Utilisez **Ajouter un certificat d'autorité de certification (CA) du serveur** pour ajouter des entrées et supprimez-les avec l'action de suppression.

##### 20.11. Correspondances de suffixes de domaine

Une liste de contraintes pour le nom de domaine du serveur. Les entrées sont utilisées comme exigences de correspondance de suffixe par rapport au(x) nom(s) DNS du nom de sujet alternatif d'un certificat de serveur d'authentification.

# Système

Dans cette section, vous pouvez configurer les politiques relatives au système.

#### 1. Niveau d'API minimal

Le niveau d'API Android minimal autorisé.

#### 2. Politique de chiffrement

Indique si le chiffrement est activé.

**Par défaut** : cette valeur est ignorée, c'est-à-dire qu'aucun chiffrement n'est requis.

**Activé sans mot de passe** : le chiffrement est requis, mais aucun mot de passe n'est nécessaire pour le démarrage.

**Activé avec mot de passe** : le chiffrement est requis avec un mot de passe nécessaire pour le démarrage.

#### 3. Date et heure automatiques

Indique si la date, l'heure et le fuseau horaire automatiques sont activés sur un appareil appartenant à l'entreprise.

**Choix de l'utilisateur (par défaut)** : la date, l'heure et le fuseau horaire automatiques sont laissés au choix de l'utilisateur.

**Imposé** : impose la date, l'heure et le fuseau horaire automatiques sur l'appareil.

#### 4. Paramètres de développement

Contrôle l'accès aux paramètres de développement : options pour développeurs et mode sans échec.

**Désactivé (par défaut)** : désactive tous les paramètres de développement et empêche l'utilisateur d'y accéder.

**Autorisé** : permet tous les paramètres de développement. L'utilisateur peut y accéder et, si nécessaire, configurer les paramètres.

#### 5. Mode Critères Communs (Common Criteria)

Contrôle le mode Critères Communs (Common Criteria) — des normes de sécurité définies dans les Critères Communs pour l'évaluation de la sécurité de l'informatique (CC). L'activation du mode Critères Communs renforce certains composants de sécurité sur l'appareil (par exemple : le chiffrement AES-GCM des clés à long terme Bluetooth, une validation supplémentaire pour certains certificats réseau et des contrôles d'intégrité de la politique cryptographique). Le mode Critères Communs est pris en charge uniquement sur les appareils appartenant à l'entreprise fonctionnant sous Android 11 ou versions ultérieures. Avertissement : le mode Critères Commuliers impose un modèle de sécurité strict, généralement requis uniquement pour les organisations hautement sensibles. L'utilisation standard de l'appareil peut être affectée ; ne l'activez que si nécessaire.

**Désactivé (par défaut)** : désactive le mode Critères Communs.

**Activé** : Active le mode Common Criteria.

#### 6. Memory Tagging Extension (MTE)

Contrôle le Memory Tagging Extension (MTE) sur l'appareil.

**Choix de l'utilisateur (par défaut)** : L'utilisateur peut choisir d'activer ou de désactiver le MTE sur l'appareil (si l'appareil est compatible).

**Appliqué** : Le MTE est activé et l'utilisateur ne peut pas le modifier (Android 14+ ; pris en charge sur les appareils entièrement gérés et les profils de travail sur les appareils appartenant à l'entreprise).

**Désactivé** : Le MTE est désactivé et l'utilisateur ne peut pas le modifier (Android 14+ ; pris en charge uniquement sur les appareils entièrement gérés).

#### 7. Protection du contenu

Contrôle si la protection du contenu (qui recherche les applications trompeuses) est activée. Cette fonctionnalité est prise en charge sur Android 15 et versions ultérieures.

**Désactivé (par défaut)** : La protection du contenu est désactivée et l'utilisateur ne peut pas modifier ce paramètre.

**Appliqué** : La protection du contenu est activée et l'utilisateur ne peut pas modifier ce paramètre (Android 15+).

**Choix de l'utilisateur** : La protection du contenu n'est pas contrôlée par la politique ; l'utilisateur peut choisir (Android 15+).

#### 8. Contenu d'assistance

Contrôle si l'envoi de AssistContent est autorisé à une application privilégiée, telle qu'une application d'assistance (par exemple, Circle to Search). AssistContent inclut des captures d'écran et des informations sur une application, comme le nom du package. Cette fonctionnalité est prise en charge sur Android 15 et versions ultérieures.

**Autorisé (par défaut)** : L'envoi du contenu d'assistance à une application privilégiée est autorisé (Android 15+).

**Interdit** : L'envoi du contenu d'assistance à une application privilégiée est bloqué (Android 15+).

#### 9. Désactivation de la création de fenêtres

Indique si la création de fenêtres autres que les fenêtres d'applications est désactivée. Cette option empêche l'affichage des éléments d'interface système suivants : toasts et snackbars, activités téléphoniques (telles que les appels entrants) et activités téléphoniques prioritaires (telles que les appels en cours), alertes système, erreurs système et superpositions système.

#### 10. Soupape de sécurité réseau

Indique si la soupape de sécurité réseau est activée. Si aucune connexion réseau ne peut être établie au démarrage, la soupape de sécurité invite l'utilisateur à se connecter temporairement à un réseau afin d'actualiser la politique de l'appareil. Après l'application de la politique, le réseau temporaire sera oublié et l'appareil poursuivra son démarrage. Cela permet d'éviter de se retrouver dans l'impossibilité de se connecter à un réseau si aucun réseau approprié n'était disponible dans la dernière politique et que l'appareil démarre sur une application en mode verrouillage (lock task), ou si l'utilisateur est autrement incapable d'accéder aux paramètres de l'appareil.

#### 11. Activités par défaut

Une liste d'activités par défaut pour la gestion des intents correspondant à un filtre d'intent spécifique. Par exemple, cette fonctionnalité permettrait aux administrateurs informatiques de choisir quelle application de navigateur ouvre automatiquement les liens web, ou quelle application de lanceur est utilisée lors de l'appui sur le bouton d'accueil.

Utilisez **Ajouter une activité par défaut** pour créer des entrées. Dans une entrée, utilisez **Ajouter une action** et **Ajouter une catégorie** pour construire le filtre d'intent.

##### 11.1. Activité de réception

L'activité qui doit servir de gestionnaire d'intent par défaut. Il s'agit d'un nom de composant Android, par exemple com.android.enterprise.app/.MainActivity. Alternativement, la valeur peut être le nom du package d'une application, ce qui amène Android Device Policy à choisir une activité appropriée au sein de l'application pour gérer l'intent.

##### 11.2. Action

Les actions d'intent à faire correspondre dans le filtre. Si des actions sont incluses dans le filtre, l'action de l'intent doit être l'une de ces valeurs pour qu'il y ait correspondance. Si aucune action n'est incluse, l'action de l'intent est ignorée.

##### 11.3. Catégorie

Les catégories d'intent à faire correspondre dans le filtre. Un intent inclut les catégories dont il a besoin, et toutes celles-ci doivent être incluses dans le filtre pour qu'il y ait correspondance. En d'autres termes, l'ajout d'une catégorie au filtre n'a aucun impact sur la correspondance, à moins que cette catégorie ne soit spécifiée dans l'intent.

#### 12. Méthodes de saisie autorisées

Spécifie les méthodes de saisie autorisées.

**Tout est autorisé** : Aucune restriction appliquée. Toutes les méthodes de saisie sont autorisées.

**Système uniquement** : Seules les méthodes de saisie intégrées au système sont autorisées.

**Système et fournies uniquement** : Seules les méthodes de saisie fournies et celles intégrées au système sont autorisées.

##### 12.1. Méthodes de saisie autorisées

Noms de packages des méthodes de saisie autorisés. S'applique uniquement lorsque **Méthodes de saisie autorisées** est défini sur **Système et fournies uniquement**.

Utilisez **Ajouter une méthode de saisie** pour ajouter des entrées et supprimez-les avec l'action de suppression.

#### 13. Services d'accessibilité autorisés

Spécifie les services d'accessibilité autorisés.

**Tout est autorisé** : N'importe quel service d'accessibilité peut être utilisé.

**Système uniquement** : Seuls les services d'accessibilité intégrés au système peuvent être utilisés.

**Système et fournies uniquement** : Seuls les services d'accessibilité fournis et ceux intégrés au système peuvent être utilisés.

##### 13.1. Services d'accessibilité autorisés

Services d'accessibilité autorisés. S'applique uniquement lorsque **Services d'accessibilité autorisés** est défini sur **Système et fournies uniquement**.

Utilisez **Ajouter un service d'accessibilité** pour ajouter des entrées et supprimez-les avec l'action de suppression.

#### 14. Politique de mise à jour du système

Configuration pour la gestion des mises à jour du système.

**Par défaut** : Suit le comportement de mise à jour par défaut de l'appareil, ce qui nécessite généralement que l'utilisateur accepte les mises à jour du système.

**Automatique** : Installe automatiquement dès qu'une mise à jour est disponible.

**Fenêtre de maintenance** : Installe automatiquement au sein d'une fenêtre de maintenance quotidienne. Cela configure également les applications Play pour qu'elles soient mises à jour pendant cette fenêtre. Cette option est fortement recommandée pour les appareils de type kiosque, car c'est le seul moyen de mettre à jour via Play les applications épinglées de manière persistante au premier plan.

**Reporter** : Reporte l'installation automatique jusqu'à un maximum de 30 jours.

##### 14.1. Fenêtre de maintenance (Mode fenêtre uniquement)

Lorsque la **Politique de mise à jour du système** est définie sur **Fenêtre de maintenance**, vous pouvez définir la fenêtre de maintenance quotidienne à l'aide des champs **de** et **à**.

##### 14.2. Périodes de gel des mises à jour du système

Une période de temps se répétant chaque année au cours de laquelle les mises à jour système over-the-air (OTA) sont reportées afin de figer la version du système d'exploitation en cours d'exécution sur un appareil. Pour éviter de figer l'appareil indéfiniment, chaque période de gel doit être séparée par au moins 60 jours. Chaque période de gel ne doit pas dépasser 90 jours.

Utilisez **Ajouter une période de gel des mises à jour du système** pour créer des entrées.

#### 15. Fournisseurs d'identifiants par défaut

Contrôle quelles applications sont autorisées à agir en tant que fournisseurs d'identifiants sur Android 14 et versions ultérieures.

**Interdit (par défaut)** : Les applications dont la politique credentialProviderPolicy n'est pas spécifiée ne sont pas autorisées à agir en tant que fournisseur d'identifiants.

**Interdit sauf système** : Les applications dont la politique credentialProviderPolicy n'est pas spécifiée ne sont pas autorisées à agir en tant que fournisseur d'identifiants, sauf pour les fournisseurs d'identifiants par défaut du fabricant (OEM).

# Localisation et géorepérage

 Ce panneau regroupe les paramètres de la politique Android qui contrôlent le signalement de la position de l'appareil, l'application de la localisation et les définitions de géorepérage. Utilisez-le lorsque vous souhaitez que Cerberus Enterprise collecte la position des appareils ou détecte lorsqu'ils entrent ou sortent de zones configurées.

## Signalement de la position

### Signaler la position

 Active le signalement de la géolocalisation de l'appareil. Les données de localisation collectées via ce paramètre sont utilisées par la [**carte de localisation du tableau de bord**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/carte-de-localisation-du-tableau-de-bord "Dashboard location map"), l'historique de localisation de l'aperçu de l'appareil et le traitement du géorepérage.

<p class="callout info"> Sur les appareils qui ne sont pas entièrement gérés, la transmission des données de localisation peut toujours dépendre du fait que l'application Cerberus Enterprise possède les autorisations de localisation requises et que les services de localisation soient activés sur l'appareil. </p>

### Mode de localisation

 Contrôle le paramètre de localisation sur les appareils appartenant à l'entreprise.

- **Choix de l'utilisateur** : les services de localisation ne sont pas restreints par la politique.
- **Appliqué** : les services de localisation sont activés sur l'appareil.
- **Désactivé** : les services de localisation sont désactivés sur l'appareil.

### Partage de la position désactivé

 Désactive le partage de la position pour les applications professionnelles. Sur les appareils avec propriétaire de profil, cela affecte le profil professionnel. Sur les appareils en gestion complète, cela désactive la localisation pour l'ensemble de l'appareil et remplace le mode de localisation de l'appareil.

## Comportement automatique avec géorepérages actifs

 Les géorepérages actifs nécessitent le signalement de la position pour fonctionner. Lorsqu'au moins un géorepérage est actif, Cerberus Enterprise maintient automatiquement la cohérence des paramètres de localisation associés.

- **Signaler la position** est activé de force tant que des géorepérages actifs existent.
- **Le mode de localisation** est forcé sur **Appliqué**.
- **Le partage de la position désactivé** est forcé sur désactivé.

 Si vous tentez de désactiver **Signaler la position** alors qu'un ou plusieurs géorepérages sont actifs, Cerberus Enterprise affiche une boîte de dialogue de confirmation. Si vous continuez, tous les géorepérages actifs dans la politique seront désactivés.

## Liste de géorepérages

 Une politique peut contenir jusqu'à **10 géorepérages**. Les noms des géorepérages doivent être uniques au sein de la politique.

 Utilisez **Ajouter un géorepérage** pour créer une nouvelle entrée. Chaque géorepérage contient ces champs principaux :

- **Nom** : obligatoire et unique.
- **Latitude** et **Longitude** : le centre de la zone.
- **Rayon (m)** : obligatoire, de **100** à **10000** mètres.
- **Description** : notes facultatives pour les administrateurs.
- **Signaler l'entrée** et **Signaler la sortie** : choisissez quels événements de transition doivent être générés.
- **Actif** : active ou désactive le géorepérage sans le supprimer.

<p class="callout info"> Au moins l'une des options **Signaler l'entrée** ou **Signaler la sortie** doit rester activée pour chaque géorepérage. </p>

## Outils d'édition de la carte

 Chaque fiche de géorepérage inclut un aperçu cartographique de la zone. Vous pouvez modifier la géométrie à partir de la carte ou des champs numériques.

- Cliquez sur la carte pour déplacer le centre du géorepérage lorsque l'édition de la zone est déverrouillée.
- Utilisez le bouton **Position actuelle** pour centrer la carte sur votre position actuelle dans le navigateur.
- Utilisez le bouton **Recentrer la carte** pour restaurer la zone d'affichage préférée de ce géorepérage.
- Utilisez le bouton de verrouillage pour empêcher toute modification accidentelle de la géométrie du géorepérage.

## Où les données de géorepérage apparaissent

 Les transitions de géorepérage peuvent être consultées dans la page [**Aperçu de l'appareil**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/apercu-de-lappareil "Device overview") de l'Android, dans l'onglet **Géorepérage** du panneau de localisation. Cet onglet affiche les transitions sur une carte dédiée, ainsi que des outils de filtrage et la liste des transitions.

# Gestion des utilisateurs

##### Désactivation de l'ajout d'utilisateurs

Indique si l'ajout de nouveaux utilisateurs et profils est désactivé. Pour les appareils où le mode de gestion est **DEVICE\_OWNER**, ce champ est ignoré et l'utilisateur n'est jamais autorisé à ajouter ou supprimer des utilisateurs.

##### Désactivation de la modification des comptes

Indique si l'ajout ou la suppression de comptes est désactivé.

##### Désactivation de la configuration des identifiants utilisateur

Indique si la configuration des identifiants utilisateur est désactivée.

##### Désactivation de la suppression d'utilisateurs

Indique si la suppression d'autres utilisateurs est désactivée.

##### Désactivation de la définition de l'icône utilisateur

Indique si le changement de l'icône utilisateur est désactivé.

##### Désactivation de la définition du fond d'écran

Indique si le changement de fond d'écran est désactivé.

##### Authentification lors de la configuration du compte de travail

Contrôle la manière dont les utilisateurs s'authentifient lors de la configuration du compte de travail. Cette option est disponible uniquement pour les entreprises Android gérées par un domaine Google (Google Workspace).

Lors de la configuration ou de l'enrôlement de l'appareil, cette politique influence si une connexion au compte de travail est requise, mais le paramètre **S'authentifier à l'aide de Google** de la console d'administration Google ainsi que le type de jeton d'enrôlement peuvent toujours exiger une authentification.

Pour les appareils déjà enrôlés, cette politique ne s'applique que si l'appareil est géré par un compte Google Play géré (c'est-à-dire enrôlé sans **enrôlement avec authentification via Google**).

Pour plus de détails et pour le dépannage, reportez-vous à [**l'enrôlement avec authentification via Google**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/authentification-via-lenrolement-google "Authenticate Using Google enrollment").

##### Types de comptes bloqués

Types de comptes qui ne peuvent pas être gérés par l'utilisateur. Cette option empêche les utilisateurs de l'appareil d'ajouter des comptes non approuvés.

Utilisez **Ajouter un type de compte bloqué** pour ajouter un ou plusieurs types de comptes.

Chaque entrée possède un champ **Type de compte** (obligatoire). Saisissez une chaîne de caractères telle que **com.google**. Supprimez une entrée à l'aide de l'action de suppression.

# Usage personnel

Lors du [provisionnement d'un appareil appartenant à l'entreprise pour un usage professionnel et personnel](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/appareils-appartenant-a-lentreprise-pour-usage-professionnel-et-personnel "Company-owned devices for work and personal use"), vous pouvez spécifier certaines règles pour limiter la manière dont l'utilisateur peut utiliser l'appareil à des fins personnelles, en dehors du profil de travail.

<p class="callout info">Cette section s'applique uniquement aux appareils appartenant à l'entreprise avec un profil de travail. Elle n'aura aucun effet sur les appareils en gestion complète ou appartenant à des particuliers.</p>

<div id="bkmrk-"><div><svg class="svg-icon" data-icon="link" role="presentation" viewbox="0 0 24 24" xmlns="http://www.w3.org/2000/svg"></svg></div></div>#### 1. Désactivation de l'appareil photo

Indique si l'appareil photo est désactivé.

#### 2. Désactivation de la capture d'écran

Indique si la capture d'écran est désactivée.

#### 3. Nombre maximal de jours avec le profil de travail désactivé

Contrôle la durée pendant laquelle le profil de travail peut rester désactivé.

#### 4. Partage via Bluetooth

Contrôle si le partage via Bluetooth est autorisé dans le profil personnel d'un appareil appartenant à l'entreprise avec un profil de travail.

#### 5. Espace privé

Contrôle si un espace privé est autorisé sur l'appareil.

#### 6. Mode Play Store

Ce mode contrôle quelles applications sont autorisées ou bloquées pour l'utilisateur dans le Play Store du profil personnel.

**Liste d'exclusion (par défaut)** : toutes les applications sont disponibles et toute application qui ne devrait pas être sur l'appareil doit être explicitement marquée comme **Bloquée** dans la section **Applications**.

**Liste d'autorisation** : seules les applications explicitement spécifiées dans la section **Applications** avec le **Type d'installation** défini sur **Disponible** sont autorisées à être installées dans le profil personnel.

#### 7. Applications

Liste des applications qui doivent être autorisées ou bloquées sur le profil personnel. Le comportement du contenu de la liste dépend de la valeur définie dans le **Mode Play Store**.

Pour ajouter une nouvelle application depuis le Play Store, cliquez sur l'icône **+**.

##### 7.1. Type d'installation

Types de comportements d'installation qu'une application du profil personnel peut avoir.

**Bloquée** : l'application est bloquée et ne peut pas être installée dans le profil personnel.

**Disponible** : l'application est disponible pour être installée dans le profil personnel.

#### 8. Types de comptes bloqués

Types de comptes qui ne peuvent pas être gérés par l'utilisateur. Cette option empêche les utilisateurs de l'appareil d'ajouter des comptes non approuvés sur leur profil personnel.

<div id="bkmrk--0"><div><svg class="svg-icon" data-icon="link" role="presentation" viewbox="0 0 24 24" xmlns="http://www.w3.org/2000/svg"></svg></div></div>

# Politiques interprofils

S'applique uniquement aux appareils disposant de profils personnels et professionnels.

##### Copier/coller interprofils

Détermine si le texte copié d'un profil (personnel ou professionnel) peut être collé dans l'autre profil.

**Interdit (par défaut)** : Empêche les utilisateurs de coller dans le profil personnel du texte copié depuis le profil professionnel. Le texte copié depuis le profil personnel peut être collé dans le profil professionnel.

**Autorisé** : Le texte copié dans l'un ou l'autre profil peut être collé dans l'autre profil.

##### Partage de données interprofils

Détermine si les données d'un profil (personnel ou professionnel) peuvent être partagées avec les applications de l'autre profil. Contrôle spécifiquement le partage simple de données via des intents. La gestion des autres canaux de communication interprofils, tels que la recherche de contacts, le copier/coller,   
ou les applications professionnelles et personnelles connectées, est configurée séparément.

**Interdit** : Empêche le partage de données, que ce soit du profil personnel vers le profil professionnel ou du profil professionnel vers le profil personnel.

**Partage professionnel vers personnel interdit (par défaut)** : Empêche les utilisateurs de partager des données du profil professionnel vers les applications du profil personnel. Les données personnelles peuvent être partagées avec les applications professionnelles.

**Autorisé** : Les données de l'un ou l'autre profil peuvent être partagées avec l'autre profil.

##### Widgets du profil professionnel par défaut

Comportement par défaut des widgets du profil professionnel. Si une application spécifique ne définit pas de politique de widgets, elle suivra le paramètre défini ici.

##### Fonctions d'application interprofils

Contrôle si les applications du profil personnel peuvent invoquer des fonctions d'application provenant des applications du profil professionnel. Cela nécessite Android 16 ou une version ultérieure.

<p class="callout info">Ce paramètre dépend de l'option **Fonctions d'application** au niveau de la politique (dans la section Gestion des applications). Si les fonctions d'application sont définies sur **Interdit**, l'API rejettera les fonctions d'application interprofils définies sur **Autorisé**. </p>

##### Contacts professionnels dans le profil personnel

Détermine si les contacts enregistrés dans le profil professionnel peuvent être affichés lors des recherches de contacts et des appels entrants sur le profil personnel.

**Autorisé (par défaut)** : Permet aux contacts du profil professionnel d'apparaître dans le profil personnel.

**Interdit** : Empêche les applications personnelles d'accéder aux contacts du profil professionnel et de rechercher des contacts professionnels.

**Interdit sauf système** : Empêche la plupart des applications personnelles d'accéder aux contacts du profil professionnel, à l'exception des applications par défaut de l'OEM (Téléphone, Messages et Contacts) (Android 14+).

Lorsque l'option Contacts professionnels dans le profil personnel est configurée, vous pouvez facultativement définir une liste d'entrées **Noms de package exemptés**. Selon le mode sélectionné, ces exemptions se comportent comme une liste d'autorisation ou une liste de blocage pour les applications personnelles.

# Rapport d'état

Dans cette section, vous pouvez configurer les données qui doivent être récupérées sur l'appareil. Les données d'état peuvent être consultées sur la page du tableau de bord [**État de l'appareil**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/chapter/etat-de-lappareil "Device status").

##### Rapports d'applications

Indique si les rapports d'applications sont activés. (Informations rapportées sur une application installée.)

<p class="callout info">Cette option est requise par le système (pour l'intégration d'applications compagnons) et est toujours activée ; elle ne peut pas être désactivée.</p>

##### Inclure les applications supprimées

Indique si les applications supprimées sont incluses dans les rapports d'applications.

##### Paramètres de l'appareil

Indique si le rapport des paramètres de l'appareil est activé. (Informations sur les paramètres de l'appareil liés à la sécurité sur l'appareil.)

##### Informations sur le logiciel

Indique si le rapport des informations sur le logiciel est activé. (Informations sur le logiciel de l'appareil.)

##### Informations sur la mémoire

Indique si le rapport de la mémoire est activé. (Un événement lié aux mesures de la mémoire et du stockage.)

##### Informations sur le réseau

Indique si le rapport des informations sur le réseau est activé. (Informations sur le réseau de l'appareil.)

##### Informations sur l'affichage

Indique si le rapport de l'affichage est activé. Les données de rapport ne sont pas disponibles pour les appareils appartenant à des particuliers avec un profil de travail. (Informations sur l'affichage de l'appareil.)

##### Événements de gestion de l'alimentation

Indique si le rapport des événements de gestion de l'alimentation est activé. Les données de rapport ne sont pas disponibles pour les appareils appartenant à des particuliers avec un profil de travail.

##### État du matériel

Indique si le rapport de l'état du matériel est activé. Les données de rapport ne sont pas disponibles pour les appareils appartenant à des particuliers avec un profil de travail.

##### Propriétés du système

Indique si le rapport des propriétés du système est activé.

##### Mode Critères Communs (Common Criteria)

Indique si le rapport du mode Critères Communs est activé.

# Divers

#### 1. Jeu d'Easter egg désactivé

Détermine si le jeu d'Easter egg dans les Paramètres est désactivé.

#### 2. Ignorer les conseils de première utilisation

Indicateur pour ignorer les conseils lors de la première utilisation. L'administrateur d'entreprise peut activer la recommandation système permettant aux applications de sauter leur tutoriel utilisateur et autres conseils d'introduction lors du premier démarrage.

#### 3. Message d'assistance court

Un message affiché à l'utilisateur sur l'écran des paramètres partout où une fonctionnalité a été désactivée par l'administrateur. Si le message dépasse 200 caractères, il peut être tronqué.

#### 4. Message d'assistance long

Un message affiché à l'utilisateur sur l'écran des paramètres de l'administrateur de l'appareil.

#### 5. Infos écran de verrouillage du propriétaire

Les informations sur le propriétaire de l'appareil à afficher sur l'écran de verrouillage.

#### 6. Actions de configuration

Actions à effectuer pendant le processus de configuration. Lors de l'enrôlement, vous pouvez exiger que l'utilisateur ouvre une ou plusieurs applications nécessaires à la configuration de l'appareil.

Utilisez **Ajouter une action de configuration** pour créer des entrées et supprimez-les avec l'action de suppression.

##### 6.1. Lancer l'application

Nom de package de l'application à lancer

##### 6.2. Titre

Fournit un message destiné à l'utilisateur pour lui expliquer pourquoi le lancement de l'application est requis.

##### 6.3. Description

Fournit un message destiné à l'utilisateur pour lui expliquer pourquoi le lancement de l'application est requis.

#### 7. Visibilité du nom d'affichage de l'entreprise

Contrôle si le nom d'affichage de l'entreprise est visible sur l'appareil (par exemple, sous forme de message sur l'écran de verrouillage des appareils appartenant à l'entreprise).

**Visible (par défaut)** : Le nom d'affichage de l'entreprise est visible sur l'appareil (pris en charge sur les profils professionnels sous Android 7+ et les appareils en gestion complète sous Android 8+).

**Masqué** : Le nom d'affichage de l'entreprise est masqué sur l'appareil.

# Règles d'application des politiques

Si un appareil ou un profil de travail ne respecte pas l'un des paramètres de politique énumérés ci-dessous, la politique d'appareil Android bloque immédiatement l'utilisation de l'appareil ou du profil de travail par défaut :

- **Exigences relatives au mot de passe**
- **Politique de chiffrement**
- **Désactivation de l'écran de verrouillage (Keyguard)**
- **Méthodes de saisie autorisées**
- **Services d'accessibilité autorisés**

Si l'appareil ou le profil de travail reste non conforme après 10 jours, la politique d'appareil Android réinitialisera l'appareil aux paramètres d'usine ou supprimera le profil de travail.

Dans cette section, vous pouvez remplacer les règles d'application de conformité par défaut ou en ajouter de nouvelles.

#### Règles

Liste des règles qui définissent le comportement lorsqu'une politique particulière ne peut pas être appliquée à un appareil.

Utilisez **Ajouter une règle** pour créer une nouvelle règle. Chaque fiche de règle peut être supprimée à l'aide de l'action de suppression.

##### Nom du paramètre

La politique de premier niveau à appliquer. Par exemple, **Applications** ou **Exigences relatives au mot de passe**.

**Requis.** La valeur doit correspondre à un nom de politique de premier niveau pris en charge ; sinon, le champ est marqué comme invalide.

##### Bloquer après X jours

Nombre de jours pendant lesquels la politique est non conforme avant que l'appareil ou le profil de travail ne soit bloqué. Pour bloquer l'accès immédiatement, réglez sur 0. **Bloquer après X jours** doit être inférieur à **Réinitialisation après X jours**. Applicable uniquement aux appareils appartenant à l'entreprise.

Plage autorisée : 0–300.

##### Portée du blocage

Spécifie la portée de l'action de blocage. Applicable uniquement aux appareils appartenant à l'entreprise.

Par défaut (nouvelle règle) : **Profil de travail**.

**Profil de travail** : l'action de blocage s'applique uniquement aux applications du profil de travail. Les applications du profil personnel ne sont pas affectées.

**Appareil complet** : l'action de blocage s'applique à l'appareil complet, y compris les applications du profil personnel.

##### Réinitialisation après X jours

Nombre de jours pendant lesquels la politique est non conforme avant que l'appareil ou le profil de travail ne soit réinitialisé.   
**Réinitialisation après X jours** doit être supérieur à **Bloquer après X jours**. Applicable uniquement aux appareils appartenant à l'entreprise.

**Requis.** Par défaut (nouvelle règle) : **1**.

Plage autorisée : 1–300.

##### Conserver la protection contre la réinitialisation d'usine

Indique si les données de protection contre la réinitialisation d'usine sont conservées sur l'appareil. Ce paramètre ne s'applique pas aux profils de travail.

Par défaut (nouvelle règle) : activé.

# Politiques - Apple

# Politiques Apple

 Les politiques Apple définissent les paramètres de gestion que Cerberus Enterprise applique aux appareils Apple via MDM. Ces paramètres sont configurés depuis le tableau de bord dans l'éditeur de politique Apple.

## Avant de commencer

 La gestion des appareils Apple nécessite la configuration d'Apple Management (APNs). Si nécessaire, consultez la page [Configuration d'Apple Management (APNs)](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/configuration-de-la-gestion-apple-apns "Apple Management setup (APNs)").

## Ouvrir l'éditeur de politique Apple

 Dans le tableau de bord, ouvrez **Politiques** et cliquez sur **Créer une nouvelle politique Apple**. Pour modifier une politique Apple existante, cliquez sur sa ligne dans le tableau des politiques.

## Mise en page de l'éditeur

 L'éditeur de politique Apple est organisé en un ensemble de sections extensibles. En haut de la page, vous pouvez toujours modifier :

- **Nom** (requis)
- **ID** (lecture seule)
- **Description** (optionnel)

## Sections de la politique

 Les sections ci-dessous correspondent aux panneaux actuellement disponibles dans l'éditeur de politique Apple :

- **Gestion des applications** : configurez les restrictions relatives aux applications et les applications gérées.
- **Paramètres du code de déverrouillage** : configurez les exigences relatives au code de déverrouillage et les règles associées.
- **Sécurité** : contrôlez des fonctionnalités telles que le déverrouillage automatique et le déverrouillage biométrique.
- **iCloud** : autorisez ou désactivez des services iCloud spécifiques (sauvegarde, synchronisation du trousseau, relais privé, etc.).
- **Multimédia** : autorisez ou désactivez l'appareil photo et les fonctionnalités associées.
- **Cellulaire** : contrôlez les paramètres relatifs au cellulaire (paramètres de données cellulaires par application, eSIM, changements de forfait).
- **Réseautage** : contrôlez AirDrop/AirPrint/AirPlay et les autres paramètres de connectivité.
- **Comptes** : restreignez la modification des comptes et (facultativement) configurez les comptes Google et de messagerie.

<p class="callout info"> De nombreuses options dans l'éditeur de politique Apple incluent une info-bulle qui documente les exigences et les versions d'OS prises en charge. </p>

## Sauvegarde, suppression et appareils associés

 Utilisez **Enregistrer la politique** pour appliquer vos modifications. Le bouton est désactivé lorsqu'il n'y a pas de modifications en attente ou lorsque la licence est expirée.

 Lors de la modification d'une politique existante, la page affiche également une action **Supprimer la politique**. L'éditeur peut afficher une liste des **Appareils associés** en bas de page, afin que vous puissiez voir combien d'appareils utilisent actuellement la politique.

## Pages suivantes

- Code de déverrouillage : configurez les exigences relatives au code de déverrouillage et les options de sécurité associées.
- Restrictions : définissez les fonctionnalités autorisées et les limitations au niveau de l'OS.
- Applications et profils : configurez les applications installées et les profils de configuration.

# Politique Apple : Code de déverrouillage

 La section **Paramètres du code de déverrouillage** contrôle les exigences relatives au code de déverrouillage de l'appareil et les règles de sécurité associées (par exemple, la longueur minimale et la complexité).

## Options

 Dans l'éditeur de politique Apple, les options de code de déverrouillage sont configurées à l'aide d'un mélange d'interrupteurs et de champs numériques. De nombreux champs incluent des info-bulles indiquant les versions d'OS prises en charge et les exigences de supervision.

### Interrupteurs du code de déverrouillage

- **ChangeAtNextAuth** : force la réinitialisation du mot de passe lors de la prochaine authentification de l'utilisateur.
- **RequireAlphanumericPasscode** : exige au moins un caractère alphabétique et un chiffre.
- **RequireComplexPasscode**: exige un code de déverrouillage « complexe » (pas de motifs répétitifs ou séquentiels et au moins un caractère non alphanumérique).
- **RequirePasscode**: exige un code de déverrouillage sans exigences supplémentaires de longueur ou de qualité. Remarque : le réglage d'autres clés de code de déverrouillage impose implicitement un code de déverrouillage.

### Champs numériques

- **FailedAttemptsResetInMinutes** : nombre de minutes avant la réinitialisation du compteur d'échecs (nécessite MaximumFailedAttempts).
- **MaximumFailedAttempts**: nombre d'échecs autorisés avant que l'appareil ne soit effacé ou verrouillé (plage : 2–11).
- **MaximumGracePeriodInMinutes**: durée pendant laquelle l'appareil peut rester déverrouillé sans exiger le code de déverrouillage (0 = aucun).
- **MaximumInactivityInMinutes**: temps d'inactivité avant le verrouillage de l'appareil (plage : 0–15).
- **MaximumPasscodeAgeInDays**: âge maximal du code de déverrouillage avant un changement forcé (plage : 0–730).
- **MinimumComplexCharacters**: nombre minimum de caractères « complexes » (plage : 0–4).
- **MinimumLength**: longueur minimale du code de déverrouillage (plage : 0–16).
- **PasscodeReuseLimit**: longueur de l'historique du code de déverrouillage pour empêcher la réutilisation d'anciens codes (plage : 1–50).

# Politique Apple : Restrictions

 Les sections Restrictions contrôlent quelles fonctionnalités de l'OS sont autorisées sur les appareils Apple gérés. Dans l'éditeur de politique Apple, ces options sont présentées sous forme de panneaux groupés comportant plusieurs interrupteurs.

<p class="callout info"> De nombreuses restrictions ne sont prises en charge que sur des versions spécifiques de l'OS et peuvent nécessiter des appareils supervisés. Utilisez les info-bulles dans le tableau de bord pour connaître les exigences officielles. </p>

## Sécurité

- **Autoriser le déverrouillage automatique**
- **Autoriser l'empreinte digitale pour le déverrouillage**
- **Autoriser la modification de l'empreinte digitale**

## iCloud

- **Autoriser le carnet d'adresses iCloud**
- **Autoriser la sauvegarde iCloud**
- **Autoriser les favoris iCloud**
- **Autoriser le calendrier iCloud**
- **Autoriser le bureau et les documents iCloud**
- **Autoriser la synchronisation des documents iCloud**
- **Autoriser iCloud Freeform**
- **Autoriser la synchronisation du trousseau iCloud**
- **Autoriser Mail iCloud**
- **Autoriser Notes iCloud**
- **Autoriser la bibliothèque de photos iCloud**
- **Autoriser le relais privé iCloud**
- **Autoriser Rappels iCloud**

## Multimédia

- **Autoriser l'appareil photo**
- **Autoriser la modification du partage de fichiers**
- **Autoriser l'accès aux clés USB via l'app Fichiers**

## Cellulaire

- **Autoriser la modification des données cellulaires par application**
- **Autoriser la modification du forfait cellulaire**
- **Autoriser la modification de l'eSIM**
- **Autoriser les transferts sortants d'eSIM**

## Réseautage

- **Autoriser AirDrop**
- **Autoriser les requêtes entrantes AirPlay**
- **Autoriser AirPrint**
- **Autoriser le stockage des identifiants AirPrint**
- **Autoriser la découverte iBeacon pour AirPrint**
- **Autoriser la modification du Bluetooth**
- **Autoriser la modification du partage Bluetooth**
- **Autoriser l'accès aux lecteurs réseau via l'app Fichiers**
- **Autoriser la modification du partage Internet**

## Comptes (restriction)

 Le panneau Comptes contient à la fois une restriction et (facultativement) la configuration des comptes. L'interrupteur de restriction permet de contrôler si l'utilisateur peut modifier les comptes système.

- **Autoriser la modification des comptes**

# Politique Apple : Applications et profils

 Cette section documente la configuration des applications gérées et des charges utiles de compte pour les appareils Apple.

## Gestion des applications

 Le panneau **Gestion des applications** contient à la fois des restrictions générales relatives aux applications et une liste d'applications gérées.

### Restrictions générales sur les applications

- **Autoriser les App Clips**
- **Autoriser l'installation d'applications**
- **Autoriser la suppression d'applications**
- **Autoriser le téléchargement automatique d'applications**
- **Autoriser la dissimulation d'applications**
- **Autoriser le verrouillage d'applications**
- **Autoriser les achats intégrés**

### Applications gérées

 Utilisez **Ajouter une application** pour ajouter une application à la politique. Chaque application gérée est affichée sous forme de fiche. Vous pouvez agrandir la fiche pour modifier ses paramètres et supprimer l'application à l'aide de l'action de suppression.

- **ID de l'App Store** : l'identifiant de l'App Store de l'application gérée.
- **ID de bundle** : l'identifiant de bundle de l'application.
- **Comportement d'installation** : contrôle si l'application doit rester installée ou si elle peut être installée/supprimée par l'utilisateur.
- **Assignation** : type d'assignation de licence.
- **Licence VPP** : type de licence VPP utilisé pour l'installation via l'App Store.

## Comptes

 Le panneau **Comptes** vous permet de configurer les comptes qui sont appliqués aux appareils gérés. Il comprend également un interrupteur de restriction pour la modification des comptes.

### Restriction

- **Autoriser la modification des comptes** : lorsqu'elle est désactivée, les utilisateurs ne peuvent pas modifier les comptes tels que les comptes Apple et les comptes Internet.

### Ajouter des comptes

 Utilisez **Ajouter un compte Google** ou **Ajouter un compte de messagerie** pour ajouter des charges utiles de compte à la politique. Chaque compte apparaît sous forme de fiche avec ses champs de configuration.

### Identifiants de compte des utilisateurs

 Les fiches de compte Google et de messagerie proposent toutes deux un interrupteur **Identifiants de compte des utilisateurs**. Lorsqu'il est activé, le système applique les identifiants de compte par utilisateur. Lorsqu'il est désactivé, vous saisissez l'identité du compte dans la politique.

### Champs du compte Google

- **Nom visible** : le nom affiché à l'utilisateur pour le compte.
- **Adresse e-mail Google** : l'adresse e-mail de l'utilisateur.
- **Nom complet** : le nom complet de l'utilisateur.

### Champs du compte de messagerie

 Les comptes de messagerie incluent des champs d'identité ainsi que la configuration des serveurs entrants et sortants. Les noms d'hôte sont requis.

- **Nom visible** : le nom affiché à l'utilisateur pour le compte de messagerie.
- **Adresse e-mail** : l'adresse e-mail de l'utilisateur.
- **Nom complet** : le nom complet de l'utilisateur.

#### Serveur entrant

- **Type de serveur** : protocole de messagerie (par exemple IMAP ou POP).
- **Méthode d'authentification** : méthode d'authentification pour le serveur.
- **Préfixe de chemin IMAP** : affiché uniquement lorsque le type de serveur est IMAP.
- **Nom d'hôte** : requis.
- **Port**: port du serveur (1–65535).

#### Serveur sortant

- **Méthode d'authentification**
- **Nom d'hôte**: requis.
- **Port**: port du serveur (1–65535).

### Options S/MIME

 Pour les comptes de messagerie, vous pouvez également configurer le comportement de chiffrement et de signature S/MIME.

#### Chiffrement

- **Chiffrement S/MIME**
- **Identité modifiable par l'utilisateur**
- **Interrupteur par message activé**
- **Modifiable par l'utilisateur**

#### Signature

- **Signature S/MIME**
- **Identité modifiable par l'utilisateur**
- **Modifiable par l'utilisateur**

<p class="callout info"> Les options de compte et de restriction incluent des info-bulles dans le tableau de bord qui documentent les prérequis et les versions d'OS prises en charge. </p>

# État de l'Appareil

# Aperçu de l'appareil

 Ouvrez un appareil à partir de **Tableau de bord** → **Appareils** en cliquant sur la ligne de l'appareil. Le titre de la page affiche le **modèle** de l'appareil (lorsqu'il est disponible) et son **ID** interne.

## Données historiques vs inscription actuelle

 Lorsqu'un appareil possède plusieurs inscriptions, Cerberus Enterprise peut afficher un historique en lecture seule. Dans ce cas, la page affiche une bannière **Données historiques** et un bouton pour revenir aux données d'inscription actuelles.

## Champs supérieurs

 La section supérieure résume l'identité, l'assignation et l'état de gestion de l'appareil. Certains champs sont spécifiques à la plateforme et n'apparaissent que pour les appareils Android ou Apple.

- **ID** et **Modèle** : identifiants en lecture seule.
- **Utilisateur** : affiche l'utilisateur actuellement assigné (le cas échéant). Depuis le menu utilisateur, vous pouvez **ouvrir l'utilisateur** ou **changer d'utilisateur**, ou assigner un utilisateur lorsqu'aucun n'est défini.
- **Mode de gestion** et **Propriété** : affichés avec des info-bulles dans l'interface utilisateur.
- **État** : état actuel de l'appareil (avec icône et détails dans l'info-bulle).
- **Profil ADE** (Apple uniquement) : affiche le profil d'enrôlement automatique des appareils assigné (le cas échéant) et vous permet de l'ouvrir ou de le modifier.
- **Politique** : affiche la politique assignée et vous permet de l'ouvrir ou de la modifier, ou d'en assigner une lorsqu'aucune n'est définie.
- **État de conformité de la politique** (lorsqu'une politique est assignée) : indique si l'appareil est conforme.
- **Version de la politique** (lorsqu'une politique est assignée) : indique si la dernière version de la politique est appliquée sur l'appareil.
- **Enrôlé le** et **Dernier rapport d'état** : horodatages de l'enrôlement et du dernier rapport d'état.
- **Désenrôlé le** : affiché lorsque l'appareil a été désenrôlé.

<p class="callout info"> Certaines données et certains panneaux ne sont disponibles que lorsque la catégorie correspondante est activée dans la politique de l'appareil. Pour plus d'informations, consultez les pages [**Rapport d'état**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/rapport-detat "Status reporting") et [**Localisation et géofencing**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/localisation-et-georeperage "Location and geofence"). </p>

## Panneaux

 L'éditeur d'appareil est organisé en sections extensibles. Selon la plateforme et l'état, vous pouvez voir un ou plusieurs des panneaux suivants :

- **Carte de localisation** : un panneau à onglets comprenant l'historique de la **localisation** de l'appareil actuel et, sur les appareils Android, un onglet **Géofencing** pour les transitions de périmètre lorsque les données de géofencing sont disponibles.
- **Commandes** : envoyer des commandes à l'appareil et consulter l'historique des commandes (selon la plateforme).
- **Posture de sécurité** (Android uniquement) : posture, verdict Play Integrity et risques de sécurité.
- **Rapports d'applications** (Android uniquement) : applications installées et rapports de commentaires/erreurs.
- **Applications gérées** (Apple uniquement) : état des applications gérées et détails d'installation.
- **Détails de non-conformité** : affiché lorsqu'un appareil n'est pas conforme ; liste les paramètres de la politique qui sont en situation de non-conformité.
- **Rapports d'état** : données supplémentaires rapportées par l'appareil, affichées sous forme d'arborescence de catégories et de valeurs.
- **Historique d'enrôlement** : enrôlements précédents pour ce même appareil physique, affichés sous forme de liste.

## Onglets du panneau de localisation

 Le panneau **Carte de localisation** utilise désormais des onglets afin que l'historique de localisation et les transitions de géofencing restent séparés.

- **Localisation** : affiche les filtres d'historique, une recherche par plage de dates, les marqueurs de localisation, le cercle de précision et les commandes de suivi en direct pour l'appareil actuel.
- **Géofencing** (Android uniquement) : affiche l'historique des transitions de périmètre sur une carte dédiée, avec des filtres de période, un commutateur optionnel pour les périmètres archivés et une liste latérale des transitions.

 Pour connaître le comportement complet de ces onglets, consultez [**Carte de localisation**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/carte-de-localisation "Location map").

## Actions

 Au bas de la page, vous pouvez actualiser les données et effectuer des actions en fonction de la plateforme, de l'état de l'appareil et du statut de la licence.

- **Actualiser les données** : recharger la fiche de l'appareil.
- **Désactiver l'appareil** / **Activer l'appareil** (Android uniquement) : disponible dans les états pris en charge.
- **Désenrôler l'appareil** : supprime la gestion de l'appareil. Le comportement exact dépend de la plateforme et de la propriété (par exemple, sur Android, cela peut supprimer un profil professionnel ou effectuer une réinitialisation d'usine).
- **Supprimer l'appareil** : disponible lorsque l'appareil est déjà désenrôlé et que sa fiche peut être supprimée.

# Commandes

 L'éditeur d'appareil propose un panneau **Commandes** pour envoyer des commandes à distance à un appareil géré. Les commandes disponibles dépendent de la plateforme (Android ou Apple) et de l'état de l'appareil.

<p class="callout info"> Si l'appareil n'est pas actuellement en ligne, la commande sera livrée et exécutée dès que l'appareil se connectera à Internet. Pour les commandes Android, vous pouvez définir le paramètre **Durée** pour déterminer la durée de validité d'une commande non livrée. </p>

## Commandes Android (AMAPI)

 Pour les appareils Android, le panneau Commandes comprend un champ **Durée** (valeur + unité) et un sélecteur de **Commande**. Certaines commandes nécessitent des paramètres supplémentaires, qui apparaissent dynamiquement lorsque vous sélectionnez la commande.

### Paramètres communs

- **Durée** : durée de validité de la commande si elle ne peut pas être exécutée immédiatement.
- **Commande** : choisissez l'action à envoyer à l'appareil.

### Commandes avec champs supplémentaires

- **Réinitialiser le mot de passe** : nécessite un **nouveau mot de passe** et une **confirmation du nouveau mot de passe**. Les options facultatives incluent **Verrouiller maintenant**, **Exiger la saisie** et **Ne pas demander d'identifiants au démarrage**.
- **Effacer les données de l'application** : nécessite le **nom du package** cible.
- **Activer le mode perte** : nécessite un **message de perte** et prend en charge des champs de contact optionnels (adresse, organisation, numéro de téléphone, e-mail).
- **Demander des informations sur l'appareil** : nécessite de sélectionner les informations sur l'appareil à demander.
- **Ajouter une eSIM** : nécessite un **code d'activation** et un **état d'activation**.
- **Supprimer l'eSIM** : nécessite l'**ICCID** de l'eSIM.
- **Effacement** : prend en charge un **message de motif d'effacement** (affiché aux utilisateurs sur les appareils personnels) et des options d'effacement facultatives.

### Historique des commandes

 Sous les commandes d'envoi, le tableau de bord affiche un tableau d'historique des commandes. Le tableau est triable et prend en charge la pagination. Certaines lignes peuvent être développées pour afficher des paramètres supplémentaires ou des détails d'exécution.

#### Colonnes de l'historique Android

- **Date de création**
- **Commande**
- **Validité**
- **Statut**
- **Erreur**
- **Date d'exécution**

## Commandes Apple (MDM)

 Pour les appareils Apple, le panneau Commandes propose un sélecteur de **Commande**. Certaines commandes nécessitent des saisies supplémentaires. Comme pour Android, un tableau d'historique des commandes est affiché ci-dessous.

### Commandes avec champs supplémentaires

- **InstallApplication** : nécessite l'**ID de bundle** de l'application.
- **SendNotification** : nécessite un **message de notification** (longueur maximale de 200 caractères).

#### Colonnes de l'historique Apple

- **Date de création**
- **Commande**
- **Statut**
- **Heure du statut**

## Actualiser

 Utilisez l'action d'actualisation dans le panneau Commandes pour recharger l'historique des commandes.

# Carte de localisation

 Cette page documente les outils de localisation spécifiques aux appareils disponibles dans l'[**Aperçu de l'appareil**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/apercu-de-lappareil "Device overview"). Le panneau contient un onglet **Localisation** pour l'historique des positions et, sur les appareils Android, un onglet **Géorepérage** pour les transitions de périmètre.

## Prérequis

 Les données de localisation de l'appareil ne sont affichées que lorsque le signalement de la position est activé dans la politique de l'appareil. Pour l'activer, ouvrez la politique et activez **Localisation et géorepérage** → **Signaler la position**. Pour plus de détails, consultez [**Localisation et géorepérage**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/localisation-et-georeperage "Location and geofence").

<p class="callout info"> Sur les appareils qui ne sont pas entièrement gérés, la transmission des données de localisation peut toujours dépendre du fait que l'application Cerberus Enterprise possède les autorisations de localisation requises et que les services de localisation soient activés sur l'appareil. </p>

<p class="callout info"> Pour la carte multi-appareils globale disponible depuis le tableau de bord, consultez [**Carte de localisation du tableau de bord**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/carte-de-localisation-du-tableau-de-bord "Dashboard location map"). </p>

## Chargement et état sans données

- Pendant le chargement des données de localisation, le panneau affiche une superposition de chargement sur la carte.
- Si l'appareil ne dispose d'aucune donnée de localisation, le panneau affiche un message indiquant **Aucune donnée de localisation disponible**, accompagné d'un rappel pour activer le signalement de la position dans la politique assignée.
- Si un filtre de date est actif et qu'aucun échantillon ne correspond, le panneau affiche **Aucune donnée disponible dans la plage de dates sélectionnée**.

## Onglet Localisation

 Ouvrez l'onglet **Localisation** pour inspecter l'historique d'un seul appareil. Les filtres disponibles incluent la dernière position connue, des plages d'historique récentes, une plage de dates personnalisée et le suivi en direct.

- **Dernière** : affiche la dernière position connue.
- **Aujourd'hui**, **7 derniers jours**, et **30 derniers jours** : affichent les positions enregistrées pour la période sélectionnée.
- **Recherche** : vous permet de choisir une plage de dates personnalisée.
- **En direct** : lance ou arrête le suivi en direct pour l'appareil actuel.

## Détails du marqueur

 Lorsque vous cliquez sur un marqueur de localisation, une fenêtre d'information s'ouvre avec :

- L'horodatage de l'enregistrement de la position.
- La **précision** rapportée (en mètres).
- La **vitesse** rapportée, lorsque l'appareil la fournit.
- Le **cap** ou l'orientation rapportés, lorsque l'appareil les fournit.

## Cercle de précision

 Lorsque la fenêtre d'information est ouverte, un cercle de précision s'affiche autour du marqueur. Le rayon du cercle correspond à la précision rapportée (en mètres). La fermeture de la fenêtre d'information masque le cercle.

## Suivi en direct

 Dans la vue de l'historique de l'appareil, la sélection du filtre **En direct** lance une demande de suivi en temps réel pour cet appareil spécifique. Cerberus Enterprise demande une confirmation avant de lancer la demande.

- Le suivi en direct dure jusqu'à **15 minutes**.
- L'appareil affiche une notification pendant que le suivi en direct est actif.
- Tant que le suivi en direct est actif, le panneau actualise continuellement la dernière position et l'indicateur de suivi en direct reste visible.
- Sélectionner à nouveau le filtre en direct vous permet d'arrêter le suivi en direct avant la fin du délai d'expiration.

## Onglet Géorepérage

 Sur les appareils Android, le second onglet affiche les transitions de périmètre générées à partir des géorepérages définis dans la politique assignée. Cet onglet est disponible lorsque des données de géorepérage existent pour l'appareil.

- La carte affiche les zones de géorepérage actuelles ainsi que les points de transition enregistrés.
- La liste des transitions à droite vous permet d'inspecter les événements d'**entrée** et de **sortie**.
- Les filtres disponibles sont **Aujourd'hui**, **7 derniers jours**, **30 derniers jours** et une recherche par plage de dates personnalisée.
- **Inclure les archives** affiche également les transitions liées aux anciennes définitions de géorepérage qui ne sont plus présentes dans la politique actuelle.

## Détails de la transition de géorepérage

 Sélectionner une transition ouvre ses détails sur la carte et met en évidence l'entrée correspondante dans la liste. Lorsque cela est disponible, Cerberus Enterprise affiche également les coordonnées de l'appareil et la précision rapportée pour cette transition.

# Carte de localisation du tableau de bord

 La carte de localisation du tableau de bord fournit une vue globale de la dernière position connue des appareils qui transmettent des données de localisation. Ouvrez-la depuis le **Tableau de bord** pour examiner plusieurs appareils sur la même carte Google.

## Prérequis

 Un appareil n'apparaît sur cette carte que lorsque le signalement de la position est activé dans sa politique assignée. Pour l'activer, ouvrez la politique et activez **Position et géofencing** → **Signaler la position**. Pour plus de détails, consultez [**Position et géofencing**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/localisation-et-georeperage "Location and geofence").

<p class="callout info"> Sur les appareils qui ne sont pas entièrement gérés, la transmission des données de localisation peut toujours dépendre du fait que l'application Cerberus Enterprise possède les autorisations de localisation requises et que les services de localisation soient activés sur l'appareil. </p>

<p class="callout info"> Pour l'historique par appareil et les transitions de géofencing disponibles dans l'éditeur d'appareil, consultez [**Carte de localisation**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/carte-de-localisation "Location map"). </p>

## État de chargement et absence de données

- Pendant le chargement des données de localisation, la carte affiche une superposition de chargement.
- Si aucun appareil ne dispose actuellement de données de localisation, la page affiche un message **Aucune donnée de localisation disponible**.

## Marqueurs et grappes

 Chaque appareil disposant de données de localisation est affiché sous la forme d'un marqueur. Lorsque de nombreux appareils sont proches les uns des autres, les marqueurs sont regroupés automatiquement pour maintenir la lisibilité de la carte.

 Les appareils faisant actuellement l'objet d'un suivi en direct sont mis en évidence par un marqueur animé afin qu'ils soient plus faciles à repérer sur la carte.

## Commandes de la carte

 Lorsque la carte contient des emplacements d'appareils, Cerberus Enterprise affiche des boutons d'action dans le coin supérieur droit de la carte.

- **Position actuelle** : utilise la position de votre navigateur pour déplacer la carte vers votre position actuelle et ajuster la zone de précision rapportée.
- **Recentrer la carte** : réajuste la carte autour des marqueurs d'appareils actuellement affichés.
- **Suivi en cours** (pastille de suivi en direct) : apparaît lorsqu'un ou plusieurs appareils font l'objet d'un suivi en direct et indique combien sont actuellement actifs.
- **Arrêter tout le suivi en direct** : le bouton d'icône à l'intérieur de la pastille de suivi en direct arrête le suivi en direct pour tous les appareils suivis après confirmation.

## Détails du marqueur

 Cliquer sur un marqueur ouvre une fenêtre d'information avec :

- Le **modèle** et l'**ID** interne de l'appareil.
- L'horodatage de la dernière position rapportée.
- La **précision** rapportée en mètres.
- La **vitesse** rapportée, lorsque disponible.
- Le **cap** ou l'orientation rapportés, lorsque disponible.

 L'identifiant de l'appareil dans la fenêtre d'information est un lien qui ouvre la page [**Aperçu de l'appareil**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/apercu-de-lappareil "Device overview").

## Actions de la fenêtre d'information

 Chaque fenêtre d'information comprend également des boutons d'action pour l'appareil sélectionné.

- **Lien de l'appareil** : le nom et l'ID de l'appareil en haut de la fenêtre d'information ouvrent la page d'aperçu correspondante de l'appareil.
- **Zoom avant** : centre la carte sur l'appareil sélectionné et ajuste le cercle de précision rapporté plus étroitement autour de celui-ci.
- **En direct** : lance le suivi en direct pour cet appareil. Si le suivi en direct est déjà actif, ce même bouton l'arrête après confirmation.
- **Suivi en direct actif** : lorsqu'elle est présente, cette ligne de statut indique que l'appareil sélectionné fait déjà l'objet d'un suivi en temps réel.

## Cercle de précision

 Lorsqu'un marqueur est sélectionné, la carte affiche un cercle de précision autour de l'emplacement. Le rayon du cercle correspond à la précision rapportée.

## Comportement du suivi en direct

 Lancer le suivi en direct depuis une fenêtre d'information envoie une demande de suivi en temps réel à cet appareil. Cerberus Enterprise actualise ensuite la carte automatiquement tant que la session est active.

- Chaque session de suivi en direct dure jusqu'à **15 minutes**.
- L'appareil affiche une notification pendant que le suivi en direct est actif.
- Le suivi en direct peut être arrêté soit depuis la fenêtre d'information de l'appareil sélectionné, soit via le bouton global **Arrêter tout le suivi en direct** sur la carte.

# Applications privées

À partir de cette section du tableau de bord, vous pouvez télécharger vos propres applications Android privées ou créer des applications web pour les distribuer sur vos appareils.

Les seuls détails que vous devez fournir sont le titre de l'application et son fichier APK. Les applications privées sont automatiquement approuvées pour votre organisation et sont généralement prêtes pour la distribution en moins de 10 minutes. Vous pouvez télécharger un total de 15 applications privées par jour. Notez que les applications web comptent également dans ce total.

La première fois que vous publiez une application privée, vous devrez fournir une adresse e-mail pour recevoir les notifications de la Play Console concernant vos applications et votre compte développeur Google Play. De plus, le Play géré crée automatiquement un compte développeur Play au nom de votre organisation. Vous n'avez pas besoin de payer de frais d'inscription pour ce compte.

Applications privées publiées depuis l'iframe :

- Elles ne sont pas soumises aux mêmes vérifications que les autres applications. Par conséquent, elles ne peuvent pas être converties en applications publiques.
- Elles ne sont pas transférables. Vous ne pouvez pas transférer la propriété d'une application vers un autre compte développeur Play.

Pour plus de détails, veuillez consulter l'aide de [Managed Google Play](https://support.google.com/googleplay/work/answer/9146439)

# Gestion des certificats

 Le tableau de bord comprend une section **Certificats** pour importer, consulter et supprimer des certificats. Cliquer sur une ligne de certificat ouvre l'éditeur de certificat.

## Liste des certificats

 Les certificats sont affichés dans un tableau paginé et triable. La liste comprend à la fois les certificats clients et les autorités de certification (CA).

### Filtres

 En haut de la page, vous pouvez activer des filtres à l'aide de la liste de puces. Certains filtres sont mutuellement exclusifs.

- **Tous** : affiche tous les certificats.
- **Client** : affiche uniquement les certificats clients.
- **Autorité de certification (CA)** : affiche uniquement les certificats CA.
- **Recherche** : affiche un champ de texte (libellé **Nom ou nom de fichier**) pour effectuer une recherche par nom de certificat ou par nom de fichier importé.
- **Sans utilisateur** : affiche les certificats clients qui ne sont associés à aucun utilisateur.

### Colonnes du tableau

- **Nom**
- **Type**
- **Expiration**
- **Utilisateur** (affiché pour les certificats clients)
- **Nom de fichier importé**
- **Date d'importation**

### Actions

- **Ouvrir le certificat** : cliquez sur une ligne pour ouvrir l'éditeur de certificat.
- **Supprimer le certificat** : disponible uniquement lorsque le certificat n'est associé à aucun utilisateur ou aucune politique et qu'il n'est pas utilisé par des appareils. L'action peut également être désactivée lorsque la licence est expirée.
- **Sélection multiple** : vous pouvez activer la sélection multiple pour supprimer plusieurs certificats à la fois. Seuls les certificats pouvant être supprimés peuvent être sélectionnés.
- **Actualiser** : recharge la liste des certificats.

## Importer des certificats

 Pour importer des certificats, cliquez sur **Importer un certificat** et sélectionnez un ou plusieurs fichiers. Les formats pris en charge sont indiqués dans l'info-bulle du bouton d'importation.

### Clients

Format pris en charge : PKCS#12 encodé en Base64 (.p12 / .pfx).

 Les certificats clients permettent d'identifier un utilisateur ou un appareil sur le réseau de l'entreprise. Les certificats clients peuvent être associés à un utilisateur spécifique.

 Chaque certificat client peut être optionnellement assigné à un utilisateur spécifique : cela permet de déployer la même configuration Wi‑Fi EAP sur de nombreux appareils. Vous pouvez le faire dans la section [configuration réseau](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/reseautage "Networking") de la politique, en utilisant l'option **identifiants EAP des utilisateurs**.

<p class="callout info">Alternativement, vous pouvez attribuer un certificat à un utilisateur depuis la page **Utilisateurs**. </p>

### Autorités de certification (CA)

Formats pris en charge : X.509 encodé en Base64 (.crt / .pem / .cer / .der).

 Les certificats CA identifient une autorité de certification et indiquent à l'appareil que tous les certificats émis par cette CA doivent être dignes de confiance. Le tableau de bord valide qu'un certificat X.509 importé est bien une CA.

## Éditeur de certificat

 Lorsque vous ouvrez un certificat, l'éditeur affiche ses champs principaux et un panneau **Informations sur le certificat** en lecture seule.

### Champs principaux

- **Nom** (requis)
- **ID** (lecture seule)
- **Type** (lecture seule)
- **Expiration** (lecture seule)
- **Date d'importation** (lecture seule)
- **Nom de fichier importé** (lecture seule)

### Association utilisateur (certificats clients)

 Pour les certificats **Client**, l'éditeur affiche un champ **Utilisateur**. Si un utilisateur est assigné, un menu vous permet d' **Ouvrir l'utilisateur**, de **Changer l'utilisateur** ou de **Désassocier l'utilisateur**. Si aucun utilisateur n'est assigné, vous pouvez en assigner un à l'aide du bouton d'action utilisateur.

### Supprimer le certificat

 L'action de suppression est désactivée lorsque le certificat est actuellement associé à un utilisateur ou utilisé dans des politiques. Elle peut également être désactivée lorsque la licence est expirée.

# Règles d'événement

 Les règles d'événement vous permettent d'automatiser les réactions aux événements pris en charge sur les appareils. Ouvrez **Tableau de bord** → **Règles d'événement** pour créer des règles qui surveillent les événements d'enrôlement, de désenrôlement, de non-conformité et de géorepérage Android, puis déclenchent automatiquement une ou plusieurs actions.

## Ce qu'une règle d'événement peut faire

 Chaque règle combine un **sujet**, un **événement** et une ou deux **actions**. Les sujets pris en charge sont **Tous les appareils**, **Appareil spécifique** et **Politique**.

- **Événements** : enrôlement de l'appareil, désenrôlement de l'appareil, l'appareil devient non conforme, entrée dans le géorepérage, sortie du géorepérage.
- **Actions sur l'appareil** : désactiver l'appareil, activer l'appareil, verrouiller l'appareil.
- **Action par e-mail** : envoi d'un e-mail de notification aux administrateurs et, lorsqu'elle est activée, aux gestionnaires délégués.

<p class="callout info"> Une règle peut contenir uniquement une action par e-mail, uniquement une action sur l'appareil, ou une action sur l'appareil plus une action par e-mail. Si les deux actions sont configurées, Cerberus Enterprise exécute d'abord l'action sur l'appareil, puis l'action par e-mail. </p>

## Règles de plateforme et de compatibilité

 Les événements et les actions disponibles dépendent du sujet sélectionné et de la plateforme qui s'applique à ce sujet.

- **Android** prend en charge les événements d'enrôlement, de désenrôlement, de non-conformité et de géorepérage.
- **Apple** prend en charge les événements d'enrôlement, de désenrôlement et de non-conformité.
- **Désactiver l'appareil** et **Activer l'appareil** sont des actions réservées à Android.
- **Verrouiller l'appareil** et **Envoyer un e-mail** sont disponibles sur Android et Apple, lorsque l'événement sélectionné les prend en charge.
- **Désenrôlement de l'appareil** ne prend en charge que les actions par e-mail.

## Liste des règles

 La liste des règles d'événement est la page de gestion principale pour cette fonctionnalité. Elle comprend un tableau avec recherche incluant le nom de la règle, le sujet, l'événement, les actions, la plateforme, l'état d'activation et l'heure de mise à jour.

- Utilisez les puces de filtrage pour basculer entre toutes les règles, les règles activées, les règles désactivées et la recherche textuelle.
- Utilisez le bouton **Actualiser** pour recharger la vue actuelle du tableau.
- Utilisez l'interrupteur d'activation de chaque ligne pour activer ou désactiver temporairement une règle.
- Utilisez le mode de sélection multiple pour supprimer plusieurs règles simultanément.
- Utilisez **Créer une règle d'événement** pour ouvrir l'éditeur d'une nouvelle règle.

## Éditeur de règles

 L'éditeur est divisé en sections **Général**, **Portée**, **Déclencheur** et **Actions**. Au bas de la page, une barre d'actions collante permet de garder les boutons principaux visibles pendant le défilement.

### Général

- **Nom** : obligatoire, jusqu'à 150 caractères.
- **Description** : facultatif, jusqu'à 2000 caractères.
- **Règle activée** : enregistre la règle avec l'état activé ou désactivé.

### Portée

 La portée définit les appareils auxquels la règle peut s'appliquer. L'éditeur affiche également la plateforme résolue et, lorsqu'elle est disponible, le contexte de politique effectif.

- **Tous les appareils** : la règle peut s'appliquer à tous les appareils pris en charge dans l'entreprise.
- **Appareil spécifique** : sélectionnez un appareil géré dans la boîte de dialogue de sélection.
- **Politique** : sélectionnez un modèle de politique dans la boîte de dialogue de sélection.

### Déclencheur

 La section déclencheur filtre automatiquement les événements disponibles en fonction de la portée et de la plateforme sélectionnées.

#### Déclencheurs de géorepérage

 Les règles d'entrée et de sortie de géorepérage sont prises en charge uniquement pour Android et nécessitent un contexte de politique Android valide. Pour les rapports de localisation et les définitions de géorepérage, consultez [**Localisation et géorepérage**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/localisation-et-georeperage "Location and geofence").

- Si le sujet est **Tous les appareils**, la règle s'applique toujours à **N'importe quel géorepérage**.
- Si le sujet est un appareil ou une politique, vous pouvez choisir **N'importe quel géorepérage** ou un **Géorepérage spécifique**.
- La liste des géorepérages spécifiques est chargée à partir du contexte de politique effectif de l'appareil ou de la politique sélectionnée.

### Actions

 La section des actions vous permet de choisir une action sur l'appareil et une notification par e-mail, toutes deux facultatives. L'interface utilisateur masque automatiquement les combinaisons non prises en charge.

- Si aucune action sur l'appareil n'est disponible pour l'événement et la portée sélectionnés, vous pouvez tout de même enregistrer une règle uniquement par e-mail.
- Si l'envoi d'e-mails est désactivé pour l'événement et la plateforme sélectionnés, l'option d'envoi d'e-mail n'est pas disponible.
- Une règle sans aucune action est invalide et ne peut pas être enregistrée.

## Destinataires de l'e-mail

 Les actions par e-mail incluent toujours les utilisateurs de l'entreprise ayant le rôle **ADMIN**. Si l'entreprise est gérée via le multi-tenant, vous pouvez étendre les destinataires pour inclure les gestionnaires MT.

- **Gestionnaires principaux uniquement** : inclut les administrateurs de l'entreprise et les contacts principaux des gestionnaires MT.
- **Gestionnaires principaux et gestionnaires de sous-comptes** : ajoute également les gestionnaires de sous-comptes assignés.
- La liste de prévisualisation affiche les adresses e-mail réelles qui seront utilisées lors de l'exécution de la règle.
- Seuls les gestionnaires délégués ayant un accès accordé à l'entreprise sont inclus dans la liste finale des destinataires.

## Comportement d'exécution

 Les règles d'événement s'exécutent immédiatement lorsque Cerberus Enterprise reçoit un événement pris en charge via les intégrations backend. Les règles désactivées sont automatiquement ignorées.

 Les exécutions réussies et échouées sont enregistrées dans le journal système avec des messages lisibles par l'utilisateur.

# Appareils

# Appareils

 La section **Appareils** du tableau de bord (*Tableau de bord* → *Appareils*) répertorie tous les appareils enrôlés dans votre compte. À partir de cette page, vous pouvez filtrer la liste, ouvrir la fiche d'un appareil et effectuer des actions telles que la désactivation ou le désenrôlement.

## Filtres

 En haut de la page, vous pouvez activer un ou plusieurs filtres à l'aide de la liste de puces. Les puces sélectionnées représentent les filtres actuellement actifs.

### Filtres disponibles

- **Tous** : affiche tous les appareils.
- **Android** : affiche uniquement les appareils Android.
- **Apple** : affiche uniquement les appareils Apple.
- **Appartenant à l'entreprise** : affiche uniquement les appareils appartenant à l'entreprise.
- **Personnels** : affiche uniquement les appareils personnels.
- **Propriétaire du profil** : affiche uniquement les appareils avec profil professionnel Android.
- **Propriétaire de l'appareil** : affiche uniquement les appareils Android entièrement gérés.
- **Actif** : affiche les appareils à l'état actif.
- **Conforme** : affiche les appareils conformes aux politiques.
- **Non conforme** : affiche les appareils qui ne sont pas conformes aux politiques.
- **Sécurisé** : affiche les appareils ayant une posture de sécurité établie.
- **Non sécurisé** : affiche les appareils ayant une posture de sécurité non établie.
- **Politique non mise à jour** : affiche les appareils ayant des changements de politique en attente.
- **Statut non mis à jour** : affiche les appareils qui n'ont pas transmis de statut au cours des dernières 72 heures.
- **Erreur d'application** : affiche les appareils dont les applications ont envoyé des rapports d'erreur.
- **Recherche** : active un champ de recherche textuelle.

### Recherche

 Lorsque vous activez le filtre **Recherche**, un champ de texte apparaît avec l'étiquette **ID, Modèle ou Utilisateur**. La liste est mise à jour automatiquement une fois la saisie terminée.

## Tableau des appareils

 Les appareils sont affichés dans un tableau paginé et triable. Cliquer sur une ligne ouvre l'éditeur d'appareil.

### Colonnes

- **ID** : identifiant interne de l'appareil.
- **MDM** : plateforme (Android ou Apple).
- **Modèle** : modèle de l'appareil.
- **Propriété** : appartient à l'entreprise ou personnel (avec détails dans l'infobulle).
- **Mode de gestion** : mode de gestion (avec détails dans l'infobulle).
- **Politique** : politique actuellement assignée.
- **Utilisateur** : utilisateur associé (nom, e-mail ou ID selon la disponibilité).
- **Dernier rapport de statut** : horodatage du rapport de statut le plus récent (si disponible).
- **État** : état de l'appareil (avec détails dans l'infobulle).
- **Conformité** : indicateur de l'état de conformité.
- **Sécurité** : posture de sécurité (avec détails dans l'infobulle).
- **Erreur d'application** : indicateur d'erreur d'application.

### Actualisation et pagination

- Utilisez l'action d'actualisation pour recharger la liste.
- Le tableau est paginé (10/25/50 éléments par page).

## Actions sur les appareils

 Chaque ligne d'appareil peut proposer des actions, selon la plateforme et l'état de l'appareil. Certaines actions sont désactivées lorsque votre licence est expirée ou résiliée.

### Actions par appareil

- **Désactiver l'appareil** / **Activer l'appareil** : disponible pour les appareils Android dans les états pris en charge.
- **Désenrôler l'appareil** : supprime la gestion. Sur Android, cela peut effacer le profil professionnel ou réinitialiser l'appareil aux paramètres d'usine (selon la propriété) ; sur Apple, cela supprime les paramètres de stratégie.
- **Supprimer l'appareil**: disponible pour les appareils qui ont déjà été désenrôlés (supprime l'enregistrement du système).

### Sélection multiple de lignes

 Vous pouvez activer la sélection multiple de lignes à partir de la barre d'actions située sous le tableau. Une fois activée, vous pouvez sélectionner plusieurs lignes et appliquer des actions groupées (désactiver, activer, désenrôler ou supprimer), selon les appareils sélectionnés.

## Synchronisation avec Apple Business Manager

 Si la gestion Apple est configurée et qu'un jeton d'enrôlement automatique des appareils est présent, la page peut afficher l'action **Synchroniser depuis ABM** pour importer des appareils depuis Apple Business Manager.

## Enrôler un appareil

 Utilisez **Enrôler un appareil** pour ouvrir la section des jetons d'enrôlement et commencer l'enrôlement d'un nouvel appareil.

# Utilisateurs

# Utilisateurs

 La section **Utilisateurs** du tableau de bord (*Tableau de bord* → *Utilisateurs*) répertorie tous les utilisateurs configurés dans votre compte. À partir de cette page, vous pouvez rechercher des utilisateurs, ouvrir l'éditeur d'utilisateurs, créer de nouveaux utilisateurs et supprimer les utilisateurs qui ne sont pas actuellement associés à des appareils.

## Recherche

 En haut de la page se trouve un champ de recherche avec l'étiquette **Recherche** et le texte de remplacement **Nom, nom d'utilisateur ou e-mail**. La liste se met à jour automatiquement une fois la saisie terminée.

## Tableau des utilisateurs

 Les utilisateurs sont affichés dans un tableau paginé et triable. Cliquer sur une ligne ouvre l'éditeur d'utilisateurs.

### Colonnes

- **Id** : identifiant interne de l'utilisateur.
- **Prénom** : prénom de l'utilisateur.
- **Nom** : nom de l'utilisateur.
- **Nom d'utilisateur** : nom d'utilisateur (souvent un nom d'utilisateur de répertoire).
- **E-mail** : adresse e-mail de l'utilisateur.
- **Appareils** : nombre d'appareils actuellement associés à l'utilisateur.
- **Certificat Wi-Fi** : indicateur montrant si un certificat Wi-Fi est assigné à l'utilisateur.

### Actualisation et pagination

- L'action d'actualisation recharge la liste.
- Le tableau est paginé (10/25/50 éléments par page).

## Actions utilisateur

### Créer un nouvel utilisateur

 Utilisez **Créer un nouvel utilisateur** pour ouvrir la boîte de dialogue de création d'utilisateur. Cette action est désactivée lorsque votre licence est expirée.

### Synchronisation depuis Google Workspace

 Si la synchronisation du répertoire Google Workspace est disponible pour votre compte, la page affiche **Synchronisation depuis Google Workspace**. Lorsque vous lancez une synchronisation, un indicateur de progression s'affiche pendant l'exécution de la requête.

### Supprimer un utilisateur

 Vous ne pouvez supprimer un utilisateur que lorsqu'il n'est associé à aucun appareil (la colonne **Appareils** doit être à 0). L'action de suppression est désactivée lorsque votre licence est expirée ou résiliée.

### Sélection multiple et suppression en masse

 À partir de la barre d'actions située sous le tableau, vous pouvez activer la sélection multiple. Dans ce mode, vous pouvez sélectionner plusieurs utilisateurs et les supprimer en masse.

- **Éligibilité** : seuls les utilisateurs avec **Appareils** = 0 peuvent être sélectionnés pour la suppression.
- **Tout sélectionner** : la case à cocher **Tout** sélectionne toutes les lignes éligibles sur la page actuelle.
- **Suppression en masse** : **Supprimer les utilisateurs sélectionnés** est désactivé lorsqu'aucune ligne n'est sélectionnée, ou lorsque votre licence est expirée ou résiliée.

## Certificats Wi-Fi et EAP

 La colonne **Certificat Wi-Fi** indique si un certificat est actuellement assigné à un utilisateur. Les certificats utilisateur sont généralement utilisés pour les configurations Wi-Fi EAP (par exemple, EAP-TLS). Pour l'assignation et la gestion des certificats, consultez [**la gestion des certificats**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/gestion-des-certificats "Certificate management").

# Éditeur d'utilisateurs

 L'éditeur d'utilisateurs est disponible depuis *Tableau de bord* → *Utilisateurs* en cliquant sur une ligne d'utilisateur. Il vous permet de modifier les détails de l'utilisateur, de configurer les identifiants Wi-Fi EAP par utilisateur et de consulter les appareils associés à l'utilisateur.

## Détails de l'utilisateur

 La section supérieure contient les champs principaux de l'utilisateur. Certains champs sont obligatoires et l'éditeur affiche des erreurs de validation lorsqu'ils sont manquants ou invalides.

- **Id** : identifiant en lecture seule.
- **Prénom** : obligatoire.
- **Nom** : obligatoire.
- **Nom d'utilisateur** : obligatoire.
- **E-mail** : obligatoire et doit être une adresse e-mail valide.
- **Numéro de téléphone** : facultatif.
- **Compte Google** : facultatif et doit être une adresse e-mail valide si fourni.

## Politique par défaut d'authentification Google

 Dans les environnements Google Workspace avec l'authentification Google activée, l'éditeur peut afficher la **Politique par défaut d'authentification Google**. Il s'agit de la politique appliquée aux appareils enrôlés via l'authentification Google par cet utilisateur.

- **Modifier la politique** : ouvre la boîte de dialogue de sélection de la politique.
- **Ouvrir la politique** : ouvre la politique sélectionnée dans l'éditeur de politiques (lorsqu'une politique est définie).
- Après avoir sélectionné une nouvelle politique par défaut, vous devez enregistrer l'utilisateur pour appliquer le changement. L'éditeur affiche une notification pour vous rappeler d'enregistrer.

## Identifiants Wi-Fi EAP

 La section **Identifiants Wi-Fi EAP** est utilisée pour configurer des identifiants par utilisateur qui sont automatiquement installés sur les appareils de l'utilisateur lorsque sa politique assignée contient une configuration Wi-Fi EAP qui les nécessite. La configuration Wi-Fi EAP fait partie de la [configuration réseau](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/reseautage "Networking") de la politique Android.

### Certificat client

 Vous pouvez facultativement attribuer un certificat client à un utilisateur. Lorsqu'un certificat est attribué, il apparaît dans le champ **Certificat client** et un menu propose des actions. Lorsqu'aucun certificat n'est attribué, le champ affiche **Aucun certificat attribué** et vous pouvez en attribuer un.

- **Attribuer un certificat** : ouvre la boîte de dialogue de sélection du certificat.
- **Ouvrir le certificat** : ouvre l'éditeur de certificat.
- **Modifier le certificat** : permet de sélectionner un autre certificat client.
- **Dissocier le certificat** : supprime le certificat de l'utilisateur. Le système supprime également le certificat de tous les appareils associés à cet utilisateur.

 Pour l'importation et la gestion des certificats, consultez [**la gestion des certificats**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/gestion-des-certificats "Certificate management").

### Identité, identité anonyme et mot de passe

- **Identité** : identité de l'utilisateur. Pour les protocoles de tunnelisation (PEAP, EAP-TTLS), celle-ci est utilisée à l'intérieur du tunnel.
- **Identité anonyme** : utilisée pour les protocoles de tunnelisation comme identité présentée à l'extérieur du tunnel. Si elle n'est pas spécifiée, la valeur par défaut est une chaîne vide.
- **Mot de passe** : le mot de passe de l'utilisateur pour les méthodes EAP qui le requièrent. S'il n'est pas spécifié, l'appareil peut inviter l'utilisateur à le saisir. Une action d'affichage/masquage permet de basculer la visibilité du mot de passe.

## Appareils associés

 La section **Appareils associés** affiche la liste des appareils actuellement liés à l'utilisateur. Si l'utilisateur possède un ou plusieurs appareils associés, il ne peut pas être supprimé.

## Enregistrer et supprimer

- **Enregistrer l'utilisateur** : activé uniquement lorsque le formulaire est valide, qu'il y a des modifications en attente et que la licence est active. Un indicateur de progression s'affiche pendant l'enregistrement.
- **Supprimer l'utilisateur** : désactivé lorsque l'utilisateur est associé à des appareils ou lorsque la licence est expirée/résiliée. Lorsque la suppression est autorisée, une boîte de dialogue de confirmation s'affiche. Si l'utilisateur est assigné à des jetons d'enrôlement, la boîte de dialogue avertit que les appareils enrôlés avec ces jetons ne seront plus assignés à un utilisateur.

## Avertissement sur les modifications non enregistrées

 Si vous avez des modifications non enregistrées et que vous tentez de quitter la page, le tableau de bord vous demandera si vous souhaitez abandonner les modifications.

# Compte

# Paramètres

 La page **Paramètres** (*Tableau de bord* → *Paramètres*) résume les informations relatives au compte et aux licences, et propose des actions pour gérer la facturation, la configuration de la plateforme (Android Management et Apple Management), ainsi que les intégrations optionnelles d'annuaire ou de jeton.

## Bannière de licence (expiration imminente / expirée)

 Lorsque votre licence est **en cours d'expiration**, **expirée**, ou **résiliée**, une bannière bien visible s'affiche en haut de la page. Selon l'état de votre abonnement, elle propose soit une action **Gérer la facturation** (portail client Stripe), soit une action **Acheter une licence**.

<p class="callout warning"> Lorsque la licence est expirée, le compte est limité à la seule possibilité de désenregistrer des appareils. Après la période de grâce, le compte peut être résilié et les appareils peuvent être automatiquement désenregistrés. </p>

## Informations sur le compte

La fiche **Informations sur le compte** affiche des champs en lecture seule :

- **Nom d'utilisateur**
- **Nom de l'entreprise**
- **ID de l'entreprise**

### Changer le mot de passe

 Si vous ne vous êtes pas connecté avec Google ou Apple, la fiche affiche également une action **Changer le mot de passe**. Cela ouvre une boîte de dialogue pour poursuivre le processus de changement de mot de passe.

## Informations sur la licence

 La fiche **Informations sur la licence** affiche l'état actuel de la licence et votre limite d'appareils. Elle propose également des actions pour contacter le service commercial, gérer la facturation ou acheter une licence.

- **État de la licence** : affiché comme **Active** ou **Expirée** (avec un badge d'icône et une info-bulle).
- **Essai gratuit** : affiché lorsque le compte est actuellement en mode d'essai.
- **Appareils sous licence** : nombre maximal d'appareils autorisés par la licence. Le lien *besoin de plus d'appareils ?* ouvre un message pour contacter l'assistance.
- **Prochain renouvellement prévu** : affiché pour les abonnements actifs qui se renouvellent automatiquement. Sinon, la fiche affiche la **date d'expiration**.

## Gestion Android

 La fiche **Gestion Android** affiche l'état de la gestion Android pour votre entreprise. Si la gestion Android n'est pas encore configurée, la fiche propose une action **Configurer la gestion Android** qui ouvre le processus de configuration.

### État configuré

Lorsque la gestion Android est configurée, la fiche peut afficher :

- **ID de gestion**
- **Synchronisé avec Google Workspace** (badge affiché lorsque la synchronisation de l'annuaire est active)
- **Paramètres du compte Managed Google Play** (lien vers les paramètres d'administration Google Play, le cas échéant)
- **Console d'administration Google** (lien, le cas échéant)
- **Synchroniser avec Google Workspace** (affiché lorsque la synchronisation de l'annuaire n'est pas configurée ; ouvre le panneau d'instructions en bas de la page)

## Gestion des appareils Apple

 La fiche **Gestion des appareils Apple** affiche l'état de la gestion des appareils Apple (MDM) pour votre entreprise. Si la gestion Apple n'est pas encore configurée, la fiche propose une action **Configurer la gestion Apple** qui ouvre le processus de configuration.

### État configuré

Lorsque la gestion Apple est configurée, la fiche peut afficher :

- **ID Apple**
- **Expiration du certificat Apple Push** : affiche la date d'expiration et un badge d'icône. Si le certificat est en cours d'expiration ou expiré, le badge est cliquable et ouvre les instructions de renouvellement.
- **Expiration du jeton ABM** : affiche l'expiration du jeton Apple Business Manager (avec un badge cliquable lorsqu'une action est requise).
- **Jeton VPP** : affiche le nom de l'organisation et la date d'expiration du jeton Apple Volume Purchase Program (avec un badge cliquable lorsqu'une action est requise).
- **Portail Apple Business Manager** : lien affiché lorsqu'un jeton ABM est présent.
- **Synchroniser avec Apple Business Manager** et **Synchroniser avec Apple Volume Purchase Program** : affiché lorsque des jetons sont manquants.

<p class="callout info"> La gestion Apple nécessite la configuration du certificat APNs. Si nécessaire, consultez [**Configuration de la gestion Apple (APNs)**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/configuration-de-la-gestion-apple-apns "Apple Management setup (APNs)"). </p>

## Préférences et confidentialité

 La fiche **Préférences et confidentialité** contient un commutateur de préférences marketing et des liens vers les Conditions d'utilisation et la Politique de confidentialité. Utilisez **Enregistrer les préférences** pour appliquer les modifications (un indicateur de progression s'affiche pendant l'enregistrement).

## Envoyer des commentaires

 Lorsque les abonnements sont activés pour le compte, la page peut afficher une fiche **Envoyer des commentaires** avec des liens vers : **Faire une demande de fonctionnalité** et des plateformes d'avis externes.

## Instructions de configuration et de renouvellement intégrées

 Au bas de la page, le tableau de bord peut afficher des panneaux d'instructions extensibles selon l'état actuel (par exemple, lorsqu'un certificat ou un jeton est manquant ou en cours d'expiration).

### Renouveler le certificat Apple Push (APNs)

 Lorsque le certificat APNs est en cours d'expiration ou expiré, la page affiche un panneau présentant les étapes pour télécharger un CSR, renouveler le certificat sur le portail d'Apple et télécharger le nouveau certificat dans Cerberus Enterprise.

### Synchroniser avec Apple Business Manager (ABM)

 Lorsque le jeton ABM est manquant, expiré ou en cours d'expiration, la page affiche un panneau présentant les étapes pour télécharger un jeton depuis Apple Business Manager et le charger dans Cerberus Enterprise.

### Synchroniser avec Apple Volume Purchase Program (VPP)

 Lorsque le jeton VPP est manquant, expiré ou en cours d'expiration, la page affiche un panneau présentant les étapes pour télécharger un jeton de contenu depuis Apple Business Manager et le charger dans Cerberus Enterprise.

### Synchroniser avec Google Workspace

 Lorsque la synchronisation de l'annuaire Google Workspace n'est pas configurée, la page affiche un panneau qui explique l'intégration et fournit un bouton d'autorisation. Elle liste également le scope Google OAuth requis : **https://www.googleapis.com/auth/admin.directory.user.readonly**.

<p class="callout info"> Pour la configuration initiale d'Android, consultez [**Configuration de la gestion Android**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/configuration-dandroid-management "Android Management setup"). </p>

# Multitenance

# Aperçu du multi-tenant

 La section **Multi-tenant** est disponible pour les comptes MSP et de gestionnaire d'entreprise qui gèrent plusieurs entreprises clientes à partir d'une seule connexion. Ce chapitre explique le modèle de portée de l'entreprise, le changement d'entreprise, l'administration des entreprises gérées et les sous-comptes.

<p class="callout info"> Pour demander un compte multi-tenant, contactez [**enterprise@cerberusapp.com**](mailto:enterprise@cerberusapp.com). </p>

## Concepts fondamentaux

- **Compte multi-tenant principal** : le compte gestionnaire principal qui peut accéder à l'espace de travail multi-tenant global.
- **Sous-compte** : un compte gestionnaire délégué créé par le compte principal, avec des assignations d'entreprises sélectionnables.
- **Contexte de l'entreprise sélectionnée** : l'entreprise active actuellement ouverte dans le tableau de bord pour les opérations quotidiennes.
- **Délégation** : permission accordée par un propriétaire d'entreprise permettant à un compte gestionnaire d'accéder à cette entreprise et de la gérer.

## Modèle de navigation

 Lorsqu'aucun contexte d'entreprise n'est sélectionné, la navigation latérale affiche les zones multi-tenant telles que **Entreprises** et, pour les comptes principaux, **Sous-comptes**. Après être entré dans une entreprise, le tableau de bord passe à la navigation standard pour une entreprise unique (Accueil, Utilisateurs, Appareils, Enrôlement, Politiques, et plus encore).

## Propriété et délégation

 Chaque entreprise gérée possède un propriétaire. Le propriétaire peut toujours accéder à cette entreprise. Les comptes gestionnaires non-propriétaires ne peuvent accéder à une entreprise que lorsque la délégation est accordée.

<p class="callout info"> L'état de la propriété et de la délégation est affiché directement sur les fiches d'entreprise afin de rendre explicite le périmètre d'accès avant d'entrer dans une entreprise. </p>

## Actions de licence et de facturation

 Les vues multi-tenant exposent le statut des licences, les limites d'appareils et les actions de facturation de l'entreprise. Selon l'état de l'abonnement de l'entreprise et vos permissions, la fiche peut afficher **Gérer la facturation** ou **Acheter une licence**.

 Pour les entreprises créées par un compte multi-tenant, la gestion des licences est assurée par les utilisateurs du compte multi-tenant. Le compte principal peut toujours gérer les licences, tandis que les sous-comptes ne peuvent gérer les licences que lorsque le compte principal active l'**Peut gérer les licences** pour ce sous-compte.

## Pages de ce chapitre

- [**Entreprises gérées**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/entreprises-gerees "Managed enterprises") : recherche, filtres, détails des fiches et création d'entreprises.
- [**Changement d'entreprise**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/changement-dentreprise "Enterprise switching") : comportement du sélecteur en haut de page et transitions de périmètre.
- [**Sous-comptes**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/sous-comptes "Sub-accounts") : opérateurs délégués, assignations et gestion des identifiants.

# Entreprises gérées

 La page **Entreprises** (*Tableau de bord* → *Entreprises*) est le centre de contrôle pour l'accès aux entreprises gérées. Elle répertorie toutes les entreprises visibles pour votre compte multi-tenant et vous permet de filtrer, d'inspecter la propriété/délégation, d'entrer dans un contexte d'entreprise et de créer de nouvelles entreprises gérées (comptes principaux uniquement).

## Recherche et filtres

- **Rechercher une entreprise** : filtre par nom d'entreprise ou par ID d'entreprise.
- **Délégation** : **Tous**, **Déléguée**, ou **Non déléguée**.
- **État de la licence** : **Tous**, **Valide**, **Expire bientôt**, **Expirée**, ou **Résiliée**.

## Cartes d'entreprise

Chaque carte d'entreprise affiche les métadonnées de gestion clés :

- **État de la licence** avec badge d'icône et infobulle contextuelle.
- **Appareils sous licence** (limite d'appareils de l'entreprise).
- **Prochain renouvellement prévu** ou **Date d'expiration**, selon l'état de l'abonnement.
- État de la **délégation** (**Propriétaire**, **Accordée**, ou **Non accordée**).
- Nom d'affichage et nom d'utilisateur du **propriétaire**.

### Entreprises récemment sélectionnées

Les entreprises auxquelles vous avez accédé récemment sont épinglées dans une section **Récemment sélectionnées** pour accélérer les changements de contexte répétés.

## Actions sur l'entreprise

- **Entrer dans l'entreprise** : ouvre le contexte de l'entreprise sélectionnée lorsque la délégation ou la propriété permet l'accès.
- **Gérer la facturation** : ouvre la gestion de la facturation de l'entreprise lorsque celle-ci est disponible et autorisée.
- **Acheter une licence** : ouvre le flux d'achat de l'entreprise lorsque la facturation n'est pas active.

### Qui peut gérer les licences

 Pour les entreprises créées par un compte multi-tenant, la gestion des licences est contrôlée par les utilisateurs du multi-tenant. Le compte principal peut toujours gérer la facturation et les actions relatives aux licences pour ces entreprises.

 Les sous-comptes peuvent gérer la facturation et les actions relatives aux licences uniquement si le compte principal accorde la permission **Peut gérer les licences** sur la page [**Sous-comptes**](https://enterprise.cerberusapp.com/docs/books/manuel-utilisateur/page/sous-comptes "Sub-accounts").

## Créer une entreprise gérée

 Les comptes multi-tenants principaux peuvent étendre **Créer une entreprise gérée** depuis la zone d'action en bas de page.

- **Le nom de l'entreprise** est requis.
- **Créer un utilisateur administrateur par entreprise** contrôle le mode de propriété.
- Lorsqu'elle est activée, l'**identifiant administrateur** (au format e-mail) et le **nom de l'administrateur** sont requis.
- Avant la création, une boîte de dialogue de confirmation résume l'opération et, le cas échéant, avertit que des identifiants temporaires sont envoyés par e-mail au nouvel utilisateur administrateur.

### Mode de propriété

- **Administrateur par entreprise activé** : le nouvel utilisateur administrateur est propriétaire de l'entreprise et peut déléguer la gestion à votre compte multi-tenant.
- **Administrateur par entreprise désactivé** : l'entreprise est détenue directement par votre compte multi-tenant.

### Quota d'entreprise

 Si le compte atteint le quota d'entreprise configuré, la création est bloquée et le formulaire affiche un message de contact pour l'assistance avec le nombre actuel et maximal d'entreprises.

<p class="callout warning"> Lorsque le quota d'entreprise est atteint, vous ne pouvez plus créer d'entreprises gérées supplémentaires tant que votre limite n'a pas été augmentée. </p>

# Changement d'entreprise

 Le sélecteur d'entreprise dans la barre d'outils supérieure permet aux utilisateurs en mode multi-tenant de passer d'une entreprise déléguée à l'autre sans se déconnecter. Il est disponible lorsqu'au moins un contexte d'entreprise peut être sélectionné.

## Comportement du sélecteur

- Le déclencheur affiche le nom de l'entreprise actuelle (ou l'ID de l'entreprise si aucun nom n'est disponible).
- Le menu répertorie les entreprises déléguées/accessibles et marque l'entreprise actuelle comme étant déjà sélectionnée.
- Pendant le changement, les actions du sélecteur sont temporairement désactivées pour éviter des changements de portée simultanés.

## Quitter l'entreprise

 Le menu du sélecteur inclut l'option **Quitter l'entreprise**, qui efface le contexte de l'entreprise actuelle et vous ramène à l'espace de travail multi-tenant global.

## Règles de réinitialisation du contexte

 Le changement d'entreprise ou le fait de quitter l'entreprise réinitialise la portée du tableau de bord. Les pages spécifiques à l'entreprise et les données sont actualisées pour le nouveau contexte sélectionné, et la visibilité du menu s'adapte selon qu'une entreprise est actuellement sélectionnée ou non.

<p class="callout info"> Utilisez le sélecteur pour des changements de contexte opérationnels rapides, mais vérifiez le nom de l'entreprise sélectionnée avant d'exécuter des actions sensibles telles que les mises à jour de politiques ou les commandes sur les appareils. </p>

# Sous-comptes

 La page **Sous-comptes** (*Tableau de bord* → *Sous-comptes*) est accessible aux comptes multi-tenants principaux. Elle vous permet de créer des utilisateurs gestionnaires délégués, d'assigner des entreprises gérées, de contrôler les permissions de facturation et de gérer les identifiants des sous-comptes.

## Liste des sous-comptes

Chaque fiche de sous-compte affiche les contrôles d'identité et de gestion :

- **Nom** et **identifiant/e-mail**.
- Assignation par sélection multiple des **entreprises gérées**.
- Interrupteur de la permission **Peut gérer les licences**.
- Actions de **Réinitialisation du mot de passe** et de **Suppression**.

## Assignation des entreprises gérées

 Les assignations d'entreprises sont modifiées via le champ de sélection multiple **Entreprises gérées**. Lorsque vous fermez le sélecteur après avoir effectué des modifications, le tableau de bord demande une confirmation avant d'enregistrer les mises à jour.

## Permission de gestion des licences

 L'interrupteur **Peut gérer les licences** permet de contrôler si un sous-compte peut accéder aux actions de facturation et de gestion des licences de l'entreprise.

 Pour les entreprises créées par le compte multi-tenant, le compte principal dispose toujours des droits de gestion des licences. Les sous-comptes ne reçoivent les droits de gestion des licences que lorsque cet interrupteur est activé par le compte principal.

## Réinitialisation du mot de passe

**Réinitialiser le mot de passe** génère un nouveau mot de passe temporaire et l'envoie au sous-compte par e-mail après confirmation.

## Supprimer le sous-compte

 La suppression d'un sous-compte nécessite une confirmation et supprime définitivement l'accès délégué pour ce compte.

## Créer un sous-compte

 Utilisez le panneau d'action en bas **Créer un sous-compte** pour ajouter un nouveau gestionnaire délégué.

- **E-mail** : requis et validé au format e-mail.
- **Nom** : nom d'affichage requis.
- **Peut gérer les licences** : permission de facturation initiale optionnelle.
- Avant la création, une boîte de dialogue de confirmation avertit qu'un e-mail contenant un mot de passe temporaire est envoyé à l'adresse fournie.

# Aperçus

Voici quelques articles qui explorent comment la gestion des appareils mobiles (MDM) peut aider votre entreprise :

## [Qu'est-ce que le mode kiosque ? Un guide pour verrouiller les appareils Android et Apple en entreprise](https://enterprise.cerberusapp.com/fr/insights/what-is-kiosk-mode-lock-down-android-apple-business)

Le mode kiosque transforme les téléphones et tablettes standards en outils professionnels dédiés. Cerberus Enterprise aide les organisations à verrouiller les appareils sur une seule application ou sur un petit ensemble d'applications approuvées pour des cas d'utilisation tels que les points de vente (POS), l'enregistrement des clients ou la navigation de flotte, tout en facilitant la sécurisation, le support et la gestion à grande échelle de ces appareils spécialisés.

## [Comment choisir la bonne solution MDM : une liste de contrôle en 7 points pour les petites entreprises](https://enterprise.cerberusapp.com/fr/insights/choose-right-mdm-solution-small-business-checklist)

Choisir une solution MDM tardivement dans le processus d'achat est plus facile lorsque la comparaison reste pratique. Cette liste de contrôle aide les petites entreprises à évaluer les fournisseurs selon les sept critères qui comptent généralement le plus lors des déploiements réels : la sécurité, le support Android et Apple, la facilité d'utilisation pour les équipes restreintes, l'évolutivité, les limites de confidentialité, le coût total de possession et la capacité de support au quotidien.

## [Créer une classe numérique sûre et concentrée : un guide sur le MDM pour les écoles K-12](https://enterprise.cerberusapp.com/fr/insights/k12-schools-mdm-safe-focused-digital-classroom)

Les appareils gérés par l'école fonctionnent mieux lorsqu'ils restent centrés sur l'apprentissage. Cerberus Enterprise aide les organisations de niveau K-12 à maintenir la concentration des appareils des élèves grâce aux applications gérées, aux restrictions de type kiosque, à la configuration standardisée des appareils partagés ou prêtés, ainsi qu'aux actions de récupération à distance qui réduisent les pertes, l'usage détourné et les interruptions en classe.

## [Équiper vos techniciens de terrain : comment le MDM booste l'efficacité et la sécurité sur site](https://enterprise.cerberusapp.com/fr/insights/field-technicians-mdm-onsite-efficiency-security)

Les techniciens de terrain dépendent des appareils mobiles pour leurs horaires, notes d'intervention, références techniques, historique client et mises à jour de tâches lors de leurs interventions sur site. Cerberus Enterprise aide à maintenir ces appareils opérationnels grâce aux applications gérées, des modèles d'appareils standardisés, des commandes de support à distance et une visibilité basée sur la localisation qui peut améliorer la coordination des interventions tout en renforçant la sécurité sur le terrain.

## [Au-delà de la carte : utiliser le MDM pour une gestion de flotte et une sécurité des conducteurs plus intelligentes](https://enterprise.cerberusapp.com/fr/insights/mdm-smarter-fleet-management-driver-safety)

Les opérations de flotte reposent sur les appareils mobiles pour la navigation, l'envoi d'ordres de mission, la messagerie, le journalisation et l'exécution sur le terrain. Cerberus Enterprise aide à maintenir ces appareils concentrés sur les flux de travail approuvés grâce aux applications gérées, aux contrôles de type kiosque et appareils dédiés, aux politiques de communication sécurisées, au dépannage à distance et à une supervision basée sur la localisation qui peut réduire les temps d'arrêt et favoriser des opérations de conduite plus sûres.

## [Comment les géorepérages, le suivi en direct et les cartes de localisation améliorent les opérations en entreprise](https://enterprise.cerberusapp.com/fr/insights/geofences-live-tracking-location-maps)

Les fonctionnalités de géolocalisation dans Cerberus Enterprise aident les organisations à passer d'une simple visibilité des appareils à un contrôle opérationnel plus concret. Les rapports de localisation périodiques, le suivi en direct, les transitions de géorepérage et les cartes interactives peuvent soutenir la logistique, le service sur le terrain, la santé, le commerce de détail, la construction et d'autres équipes distribuées qui ont besoin d'une meilleure visibilité sur l'endroit où le travail s'effectue et sur les moments où les appareils entrent ou sortent de zones importantes.

## [Comment le multi-tenant aide les MSP à développer leurs services MDM et à créer de nouvelles sources de revenus](https://enterprise.cerberusapp.com/fr/insights/multi-tenancy-mdm-msp-growth)

Le multi-tenant permet aux MSP, aux revendeurs et aux organisations multi-sociétés de gérer plusieurs entreprises à partir d'un seul compte Cerberus Enterprise tout en maintenant chaque environnement séparé. Ce modèle réduit les frictions opérationnelles, améliore l'évolutivité des services et prend en charge l'accès délégué via des sous-comptes et une administration explicite contrôlée par le client. Il crée également des opportunités commerciales plus solides pour les prestataires qui souhaitent combiner l'octroi de licences logicielles avec l'enrôlement, le support, la conformité et les services de mobilité gérée.

## [Améliorer l'opérativité de l'entreprise grâce aux solutions MDM](https://enterprise.cerberusapp.com/fr/insights/mdm-operativity)

La gestion des appareils mobiles (MDM) centralise le contrôle des appareils de l'entreprise, simplifiant ainsi l'enrôlement, la configuration et la maintenance. Le provisionnement automatisé et les opérations groupées réduisent le travail informatique manuel et garantissent des politiques cohérentes sur tous les appareils. Les fonctionnalités de sécurité, telles que le chiffrement, la surveillance de la conformité et l'effacement à distance, protègent les données de l'entreprise. Dans l'ensemble, le MDM améliore la productivité tout en réduisant les coûts de support et la complexité opérationnelle.

## [Sécurité avancée dans la gestion Android Enterprise](https://enterprise.cerberusapp.com/fr/insights/android-enterprise-security)

Android Enterprise utilise un profil professionnel pour isoler les applications et les données de l'entreprise du contenu personnel sur le même appareil. Cette conteneurisation crée des environnements chiffrés distincts, gérés indépendamment par les administrateurs informatiques. Les politiques de sécurité peuvent contrôler le partage des données professionnelles sans affecter les applications personnelles. L'architecture protège les données de l'entreprise même si des applications personnelles sont compromises.

## [MDM pour iPhone Apple et enrôlement automatisé](https://enterprise.cerberusapp.com/fr/insights/apple-iphone-mdm)

Le cadre MDM d'Apple permet une gestion centralisée des iPhones dans les environnements d'entreprise. Combiné à Apple Business Manager, les appareils peuvent s'enrôler et se configurer automatiquement lors de leur première activation. Les administrateurs peuvent déployer et configurer silencieusement les applications d'entreprise, appliquer des paramètres de sécurité et surveiller la conformité. Cette automatisation garantit une configuration cohérente des appareils et réduit les erreurs de paramétrage.

## [Comprendre la gestion des appareils mobiles (MDM)](https://enterprise.cerberusapp.com/fr/insights/understanding-mdm)

La gestion des appareils mobiles (MDM) fournit une plateforme centralisée pour surveiller, sécuriser et contrôler les appareils mobiles accédant aux systèmes de l'entreprise. Les capacités de base incluent l'application de politiques de sécurité, la gestion des applications et le verrouillage ou l'effacement à distance des appareils perdus. Le MDM aide à protéger les données de l'entreprise tout en maintenant la conformité des appareils. Il permet aux organisations de toutes tailles de gérer en toute sécurité une main-d'œuvre mobile croissante.

## [Modèles de déploiement des appareils en entreprise](https://enterprise.cerberusapp.com/fr/insights/device-deployment-models)

Les organisations peuvent adopter plusieurs modèles de propriété d'appareils tels que le BYOD, le CYOD, le COPE, le COBO et le COSU. Chaque modèle équilibre différemment les coûts, la flexibilité de l'utilisateur et le contrôle de la sécurité. Le BYOD privilégie le confort de l'utilisateur, tandis que le COBO et le COSU maximisent le contrôle et la sécurité de l'entreprise. Le choix du bon modèle dépend des exigences réglementaires, des besoins de la main-d'œuvre et de la capacité de gestion informatique.

## [MDM vs EMM vs UEM](https://enterprise.cerberusapp.com/fr/insights/mdm-emm-uem-difference)

Le MDM se concentre sur la gestion et la sécurisation des appareils mobiles via l'application de politiques, le contrôle de la configuration et la gestion à distance. L'EMM élargit ce périmètre pour inclure la gestion des applications et du contenu, tandis que l'UEM tente de gérer tous les points de terminaison, y compris les ordinateurs portables et de bureau. Pour de nombreuses PME, des suites EMM ou UEM complètes ajoutent une complexité inutile. En pratique, des capacités MDM robustes répondent souvent à la plupart des besoins de gestion mobile.

## [Le MDM sur les téléphones personnels et la vie privée des employés](https://enterprise.cerberusapp.com/fr/insights/mdm-personal-phone-privacy)

Les systèmes MDM modernes utilisent la conteneurisation pour séparer les données professionnelles et personnelles sur les appareils appartenant aux employés. Les employeurs peuvent uniquement gérer et surveiller l'environnement de travail, y compris les applications d'entreprise et les informations de conformité des appareils. Les données personnelles telles que les photos, les messages et l'historique de navigation restent inaccessibles à l'entreprise. Cette séparation technique permet des programmes BYOD sécurisés tout en préservant la vie privée des employés.

## [ROI du MDM et valeur commerciale](https://enterprise.cerberusapp.com/fr/insights/mdm-roi-business-value)

Le MDM doit être évalué comme un investissement stratégique plutôt que comme une simple dépense de sécurité. Il génère des retours financiers grâce à la réduction des pertes d'appareils, à la diminution des coûts de support informatique et à l'amélioration de l'efficacité opérationnelle. La gestion automatisée augmente également la productivité des employés et réduit les temps d'arrêt. De plus, une sécurité renforcée réduit le risque et l'impact financier des violations de données.

## [Gestion des appareils conforme à la loi HIPAA](https://enterprise.cerberusapp.com/fr/insights/hipaa-compliant-device-management)

Les organisations de santé doivent protéger les données électroniques des patients conformément aux exigences de sécurité de la loi HIPAA. Le MDM aide à appliquer le chiffrement, les contrôles d'authentification, la transmission sécurisée des données et les journaux d'audit détaillés. Il permet également l'effacement à distance et l'application centralisée des politiques pour les appareils accédant aux systèmes médicaux. Ces contrôles réduisent les risques de non-conformité tout en permettant des flux de travail mobiles dans les environnements de santé.

## [Le MDM pour les opérations et la sécurité dans le commerce de détail](https://enterprise.cerberusapp.com/fr/insights/retail-operations-mdm-security)

Les organisations de vente au détail s'appuient sur les appareils mobiles pour les systèmes de point de vente (POS), la gestion des stocks et les opérations en magasin. Le MDM garantit que ces appareils restent sécurisés, à jour et conformes aux normes telles que PCI-DSS. Une gestion centralisée réduit les temps d'arrêt et simplifie le déploiement des appareils sur plusieurs sites. Le résultat est une efficacité opérationnelle accrue et un risque réduit d'incidents de sécurité liés aux paiements.