L'une des plus grandes préoccupations des utilisateurs finaux qui utilisent des terminaux personnels est la confidentialité du contenu personnel sur leurs terminaux gérés par Workspace ONE UEM. Votre organisation doit garantir aux employés que leurs données personnelles ne sont pas soumises à la supervision de l'entreprise.
Avec Workspace ONE UEM, vous pouvez garantir la confidentialité des données personnelles en créant des stratégies de confidentialité personnalisées qui ne collectent pas de données personnelles en fonction du type de propriété du terminal. En outre, vous pouvez définir des paramètres de confidentialité granulaire pour désactiver la collecte des informations de nature à identifier personnellement et interdire certaines actions distantes sur des terminaux détenus par des employés afin de préserver la vie privée de ces derniers.
Vous devez informer vos employés de la manière dont leurs données sont collectées et stockées lorsqu'ils s'enrôlent dans Workspace ONE UEM.
Pour plus d'informations sur la manière dont VMware traite les données collectées via Workspace ONE UEM, comme les analyses, consultez la Déclaration de confidentialité de VMware à l'adresse https://www.vmware.com/help/privacy.html.
Important : Les divers pays et juridictions présentent des réglementations différentes régissant les données pouvant être collectées auprès des utilisateurs finaux. Votre organisation doit soigneusement étudier les lois applicables avant de configurer vos stratégies d'utilisation de terminaux personnels et de confidentialité.
La confidentialité des utilisateurs finaux est notre première préoccupation pour vous et vos utilisateurs. Workspace ONE UEM offre un contrôle granulaire sur les données collectées des utilisateurs et sur les données visibles par les administrateurs. Configurez les paramètres de confidentialité pour répondre aux besoins de vos utilisateurs et à ceux de votre activité.
Important : chaque territoire a ses propres lois régissant les types de données qui peuvent être recueillies auprès des utilisateurs finaux. Effectuez une recherche détaillée avant de configurer vos politiques de confidentialité.
Sélectionnez les paramètres appropriés pour la collecte des données suivantes : GPS, Télécoms, Applications, Profils et Réseau.
Sélectionnez le paramètre approprié pour les commandes possibles sur les terminaux. Vous pouvez envisager de désactiver toutes les commandes à distance pour les terminaux personnels, en particulier la réinitialisation complète. Ceci empêche l'effacement ou la suppression par inadvertance du contenu personnel d'un utilisateur final. Si vous désactivez la fonction d'effacement pour certains types de propriété des terminaux iOS, les utilisateurs ne voient pas l'autorisation « Effacer tous les contenus et paramètres » lors de l'enrôlement.
Remarque : Si vous modifiez les paramètres de confidentialité de Empêcher () à Autoriser ( ou ) sur le verrouillage à distance, l'arrêt, le redémarrage ou l'effacement du code secret, tout terminal Apple précédemment enrôlé doit être réenrôlé avec le nouveau paramètre de confidentialité avant de pouvoir effectuer ces actions à distance sur ces périphériques Apple.
Si vous autorisez le contrôle à distance, le gestionnaire de fichiers ou l'accès au gestionnaire du registre pour les terminaux durcis Android/Windows, nous vous conseillons d'utiliser l'option Autoriser cette action avec la permission de l'utilisateur. Ce paramètre exige que l'utilisateur final consente à ce que l'administrateur accède à son terminal via une invite avant l'exécution de la commande. Si vous autorisez l'utilisation de toutes les commandes, veillez à le mentionner clairement dans vos conditions d'utilisation.
Les déclarations de confidentialité sont automatiquement configurées en fonction du groupe organisationnel et du type de propriété du terminal se connectant. Vous pouvez afficher une déclaration de confidentialité pour chaque type de propriété : Personnel, Professionnel, Partagé, et Inconnu.
Lorsque vous attribuez un type de propriété pour recevoir les déclarations de confidentialité, tous les utilisateurs du type de propriété sélectionné reçoivent la notification de confidentialité sous forme de raccourci. Si vous avez inséré la valeur de recherche de la déclaration de confidentialité PrivacyNotificationUrl
dans votre modèle de message, ce dernier contient alors une URL qui permet à l'utilisateur de lire la déclaration de confidentialité.
Les utilisateurs reçoivent automatiquement la déclaration de confidentialité si :
Pour savoir comment déployer une déclaration de confidentialité lors de l'activation du terminal, consultez la rubrique Inscrire un terminal individuel.
Informez vos utilisateurs des données collectées sur leurs terminaux enrôlés par votre compagnie à l'aide d'une notification de déclaration de confidentialité. Définissez avec votre service juridique quel message communiquer à vos utilisateurs concernant la collecte des données.
Complétez les paramètres Ajouter/Modifier le modèle de message.
Paramètre | Description |
---|---|
Nom | Saisissez un nom pour le modèle de message. |
Description | Saisissez une description du modèle créé. |
Catégorie | Cliquez sur Enrôlement. |
Type | Sélectionnez Activation du terminal MDM. |
Sélectionner la langue | Sélectionnez la langue par défaut pour votre message. Cliquez sur Ajouter pour ajouter plus de langues par défaut pour une distribution multilingue. |
Par défaut | Attribuez ce modèle comme modèle de message par défaut. |
Type de message | Sélectionnez un ou plusieurs types de messages : E-mail, SMS, ou message Push. |
Créez une notification de contenu. Les types de message sélectionnés dans Type de message décident des messages prêts à être configurés.
Élément | Description |
---|---|
Mise en forme du contenu de l'e-mail | Choisissez entre Texte brut et HTML pour votre notification. |
Objet | Saisissez l'objet de votre notification. |
Corps du message | Rédigez le message de l'e-mail à envoyer à vos utilisateurs. Les outils de modification et de mise en forme qui s'affichent dans la zone de texte dépendent du format sélectionné dans la Mise en forme du contenu de l'e-mail. Si vous avez activé la déclaration de confidentialité visuelle, veuillez inclure la valeur de recherche PrivacyNotificationUrl dans le corps du message. |
SMS | |
Corps du message | Rédigez le message du SMS à envoyer à vos utilisateurs. Si vous avez activé la déclaration de confidentialité visuelle, veuillez inclure la valeur de recherche PrivacyNotificationUrl dans le corps du message. |
Notification Push | |
Corps du message | Rédigez le message de la notification Push à envoyer à vos utilisateurs. Si vous avez activé la déclaration de confidentialité visuelle, veuillez inclure la valeur de recherche PrivacyNotificationUrl dans le corps du message. |
Cliquez sur Enregistrer.
Trouver l'équilibre entre vos besoins professionnels et les problèmes de confidentialité de vos employés pose un défi réel. Il existe des méthodes simples pour gérer les paramètres de confidentialité afin de trouver le meilleur équilibre.
Important : chaque déploiement est différent. Adaptez au mieux les paramètres et politiques à votre organisation en consultant vos propres équipes juridique, RH et de gestion.
En général, vous pouvez afficher les informations sur un utilisateur comme le prénom, le nom de famille, le numéro de téléphone et l'adresse e-mail pour les terminaux personnels et professionnels.
En général, il est approprié de définir la collecte des informations sur les applications sur Ne pas collecter ou Collecter, ne pas afficher pour les terminaux personnels. Ce paramètre est important, car les applications publiques installées sur un terminal peuvent être considérées comme des informations identifiables personnelles si elles sont affichées. Pour les terminaux professionnels, toutes les applications installées sur le terminal seront rapportées à Workspace ONE UEM.
Si l'option « Ne pas collecter » est sélectionnée, seules les informations relatives aux applications personnelles ne seront pas collectées. Workspace ONE UEM collecte toutes les applications gérées, qu'elles soient publiques, internes ou achetées.
Pensez à désactiver toutes les commandes à distance pour les terminaux personnels. Cependant, si vous souhaitez autoriser les actions ou les commandes à distance, nous vous conseillons de mentionner explicitement ces actions et commandes distantes dans vos conditions d'utilisation.
La collecte des coordonnées GPS a un lien fondamental avec les préoccupations en matière de protection de la vie privée. Bien que la collecte de données GPS pour les terminaux appartenant à l'employé ne soit pas appropriée, les remarques suivantes s'appliquent à tous les terminaux enrôlés dans Workspace ONE UEM.
Il est uniquement approprié de collecter les données de Télécom des terminaux personnels si elles font partie d'une allocation dans le cadre de laquelle vous financez le forfait mobile de l'utilisateur. Dans ce cas, ou pour les terminaux professionnels, les remarques suivantes concernant les données collectées s'appliquent :
L'infrastructure Workspace ONE UEM collecte et stocke de nombreux types de données générées par l'utilisateur. La matrice suivante fait correspondre chaque type de données aux plateformes et aux systèmes d'exploitation à partir desquels les données peuvent être collectées.
Utilisez cette matrice pour déterminer la collecte de données nécessaire à votre déploiement. Workspace ONE UEM définit également des données facultatives que vous pouvez collecter, telles que le MAC Bluetooth. Vous pouvez configurer ces options et attribuer des paramètres de confidentialité par type de propriété : professionnel, partagé et détenu par l'employé.
Pour plus d'informations sur la manière dont VMware traite les données collectées via Workspace ONE UEM, comme les analyses, consultez la Déclaration de confidentialité de VMware à l'adresse https://www.vmware.com/help/privacy.html.
✓ - Peut être collecté.
X - Ne peut pas être collecté.
✓* - Peut être collecté sur des déploiements Workspace ONE Intelligent Hub.
✓** - Peut être collecté sur des déploiements Workspace ONE Intelligent Hub ou iOS 9.3+ mode Supervisé.
Android | Apple iOS | macOS | Windows durcis | Windows Desktop | |
---|---|---|---|---|---|
Suivi d'application | |||||
Afficher les applications internes installées | ✓ | ✓ | ✓ | X | ✓ |
Afficher les versions des applications | ✓ | ✓ | ✓ | X | ✓ |
Capturer l'état de l'application | ✓ | X | ✓ | X | ✓ |
Certificats | |||||
Afficher la liste des certificats installés | ✓ | ✓ | ✓ | X | ✓* |
Suivi des actifs | |||||
Nom du terminal | ✓ | ✓ | ✓ | ✓ | ✓ |
UDID du terminal | ✓ | ✓ | ✓ | ✓ | ✓ |
Numéro de téléphone | ✓ | ✓ | X | ✓ | ✓ |
Numéro IMEI/MEID | ✓ | ✓ | X | ✓ | ✓ |
Numéro de série du terminal | ✓ | ✓ | ✓ | ✓ | ✓ |
Numéro IMSI | ✓ | X | X | ✓ | ✓ |
Modèle du terminal | ✓ | ✓ | ✓ | ✓ | X |
Nom du modèle de terminal (convivial) | X | ✓ | ✓ | ✓ | X |
Fabricant | ✓ | ✓ | ✓ | ✓ | ✓ |
Version du système d'exploitation | ✓ | ✓ | ✓ | ✓ | ✓ |
Build du système d'exploitation | ✓ | X | ✓ | ✓ | ✓ |
Version du microprogramme/noyau | X | X | ✓ | X | X |
Suivi des erreurs du terminal | X | X | ✓ | ✓ | ✓ |
Statut des terminaux | |||||
Batterie disponible | ✓ | ✓ | ✓ | ✓ | ✓ |
Capacité de la batterie | ✓ | ✓ | ✓ | ✓ | X |
Mémoire disponible | ✓ | ✓ | ✓ | ✓ | X |
Capacité de la mémoire | ✓ | ✓ | ✓ | ✓ | X |
Emplacement | |||||
Suivi GPS | ✓ | ✓** | ✓ | ✓ | ✓ |
Données Bluetooth | ✓ | ✓** | ✓ | ✓ | ✓ |
Données USB | X | ✓** | ✓ | ✓ | ✓ |
Réseau | |||||
Adresse IP Wi-Fi | ✓ | ✓ | ✓ | ✓ | ✓ |
MAC Wi-Fi | ✓ | ✓ | ✓ | ✓ | ✓ |
Taille du signal Wi-Fi | X | X | ✓ | ✓ | ✓ |
Version des paramètres de l'opérateur | ✓ | ✓ | X | X | X |
Force du signal mobile | ✓ | X | X | X | X |
Technologie mobile (aucune, GSM, CDMA) | ✓ | ✓ | X | X | X |
MCC actuel | ✓ | ✓ | X | X | X |
MNC actuel | ✓ | ✓ | X | X | X |
Numéro de carte SIM | ✓ | ✓ | X | X | ✓ |
Réseau de l'opérateur de la carte SIM | ✓ | ✓ | X | X | X |
MNC de l'abonné | ✓ | ✓ | X | X | X |
MAC Bluetooth | ✓ | ✓ | ✓ | X | X |
Afficher les adresses IP | ✓ | ✓ | ✓ | X | X |
Afficher les adaptateurs LAN | X | X | ✓ | X | X |
Afficher les adresses MAC | ✓ | ✓ | ✓ | X | X |
Itinérance | |||||
Détecter l'état d'itinérance | ✓ | ✓ | X | X | X |
Désactiver les notifications Push en itinérance | X | ✓ | X | X | X |
Itinérance vocale activée (autorisée) | X | ✓ | X | X | X |
Utilisation des données | |||||
Suivi de l'utilisation des données via le réseau mobile | ✓ | ✓ | X | X | X |
Suivi de l'utilisation des données via un réseau Wi-Fi | X | X | X | X | X |
Appels | |||||
Suivi de l'historique des appels | ✓ | X | X | X | X |
Messages | |||||
Suivi de l'historique des SMS | ✓ | X | X | X | X |
État cellulaire | |||||
Réseau de l'opérateur actuel | ✓ | ✓ | X | X | X |
État actuel du réseau | ✓ | ✓ | X | X | X |
Affichage à distance | |||||
Terminal de contrôle à distance | ✓ | X | ✓ | ✓ | ✓ |
Capture d'écran (enregistrement, e-mail, impression, etc.) | ✓ | X | ✓ | ✓ | ✓ |
Partage d'écran (vue à distance dans les applications) | ✓ | ✓ | X | ✓ | ✓ |
Gestionnaire de fichiers | |||||
Accès au gestionnaire de fichiers du terminal | ✓ | X | ✓ | ✓ | ✓ |
Accès au gestionnaire de registre du terminal | X | X | X | ✓ | ✓ |
Copie des fichiers | ✓ | X | ✓ | ✓ | ✓ |
Création de dossiers | ✓ | X | ✓ | ✓ | ✓ |
Téléchargement de fichiers à partir du terminal | ✓ | X | ✓ | ✓ | ✓ |
Déplacement de fichier | ✓ | X | ✓ | ✓ | ✓ |
Renommer les dossiers et les fichiers | ✓ | X | ✓ | ✓ | ✓ |
Télécharger les fichiers vers le terminal | ✓ | X | ✓ | ✓ | ✓ |
Pour des raisons de responsabilité, vous devez informer les employés des données collectées et des actions autorisées sur les terminaux enrôlés dans Workspace ONE UEM. Pour vous aider à communiquer votre stratégie, créez des accords de Conditions d'utilisation dans Workspace ONE UEM.
Les utilisateurs sont invités à lire et à accepter les conditions d'utilisation que vous configurez avant de pouvoir activer MDM sur leurs terminaux personnels. En attribuant des accords de Conditions d'utilisation en fonction du type de propriété, vous pouvez créer et distribuer des accords différents pour les utilisateurs professionnels et BYOD.
Une fois que votre organisation a écrit son accord de Conditions d'utilisation, envisagez de le communiquer aux utilisateurs finaux dans un livre blanc de une à deux pages n'utilisant pas le jargon juridique. Ce livre blanc ne constitue pas les Conditions d'utilisation officielles acceptées par les utilisateurs finaux, mais sert plutôt à communiquer vos stratégies d'entreprise. Idéalement, les utilisateurs finaux ne voient pas les conditions d'utilisation des terminaux détenus par les employés lorsqu'ils inscrivent leur terminal pour la première fois. Vous devez être transparents concernant les informations de l'utilisateur final que vous collectez et la manière dont vos stratégies relatives à l’utilisation des terminaux personnels les affectent.
Workspace ONE UEM vous permet de déployer des stratégies de sécurité et des restrictions différentes pour les terminaux détenus par un employé et les terminaux professionnels.
À l'aide de profils de restriction, vous pouvez définir des restrictions strictes pour les terminaux professionnels et des restrictions plus souples pour les terminaux détenus par un employé. Par exemple, les restrictions à des applications comme YouTube ou les App Store natifs ne sont généralement pas déployées sur des terminaux détenus par des employés. Au lieu de cela, vous pouvez créer des profils de sécurité et des restrictions qui augmentent le niveau de sécurité des terminaux sans avoir un impact négatif sur la fonctionnalité.
Workspace ONE UEM rend les restrictions suivantes disponibles pour chaque terminal et plate-forme :
Chaque plate-forme a son propre ensemble de restrictions exécutoires. Évaluez ces restrictions individuellement pour déterminer leur valeur pour votre déploiement. Certaines, comme les restrictions iOS limitées aux terminaux surveillés, ne s'appliquent pas, car les terminaux détenus par un employé ne peuvent pas être inscrits avec Apple Configurator.
Pour plus d'informations sur la création de profils de sécurité et de restrictions, reportez-vous à la section Ajouter une stratégie de conformité.
Un aspect essentiel de votre déploiement BYOD consiste à supprimer le contenu d'entreprise lorsqu'un employé quitte celle-ci ou lorsqu'un terminal est perdu ou volé. Workspace ONE UEM vous permet d'effectuer un effacement des données professionnelles sur les terminaux pour supprimer tout le contenu d'entreprise et l'accès, tout en conservant les paramètres et les fichiers personnels.
Alors qu'une réinitialisation de terminal rétablit l'état d'usine d'origine d'un terminal, Workspace ONE UEM vous permet de décider du degré d'effacement des données d'entreprise lorsque ce dernier s'applique aux applications VPP publiques et achetées qui se trouvent dans une zone grise entre les terminaux de l'entreprise et les terminaux détenus par l'employé. L'effacement des données professionnelles désenrôle également le terminal de Workspace ONE UEM et supprime tout le contenu activé via MDM qui se trouve sur celui-ci. Cela inclut les comptes de messagerie, les paramètres VPN, les profils Wi-Fi, le contenu sécurisé et les applications d'entreprise.
Si vous avez utilisé des codes d'échange dans le cadre du programme d'achats en grande quantité (VPP) d'Apple pour les terminaux sous iOS 6 et versions antérieures, vous ne pouvez pas récupérer les licences rachetées pour cette application. Une fois installée, l'application est associée au compte App Store de l'utilisateur. Cette association est irréversible. Cependant, vous pouvez échanger des codes de licences utilisés pour iOS 7 et versions ultérieures.
Réinitialisation du terminal – Envoyez une commande MDM pour effacer toutes les données et le système d'exploitation d'un terminal. Cette action est irréversible.
Effacement des données professionnelles – Effacez les données professionnelles du terminal pour le désenrôler et supprimer toutes ses ressources professionnelles gérées, y compris les applications et les profils. Cette action ne peut pas être annulée. De plus, le réenrôlement est nécessaire pour que Workspace ONE UEM gère de nouveau ce terminal. Cette action comprend différentes options pour empêcher un futur réenrôlement et une zone de texte Description de la note vous permettant d'ajouter des informations sur l'action.
Un effacement des données professionnelles désenrôle le terminal de Workspace ONE UEM et supprime de tous ses contenus professionnels, y compris les comptes de messagerie, les paramètres de VPN, les profils et les applications.
Pour des raisons de sécurité et de confidentialité, vous pouvez désactiver la possibilité d'effectuer un effacement complet sur un terminal BYOD.
Si vous désactivez l'effacement complet pour certains types de propriété des terminaux iOS, les utilisateurs procédant à l'enrôlement sous ce type de propriété ne verront pas les autorisations « Effacer tout le contenu et les paramètres » pendant l'installation du profil.