Configurer les profils Android

Les profils Android permettent de s'assurer de la bonne utilisation des terminaux et de la protection des données sensibles. Les profils remplissent de nombreuses fonctions : ils permettent notamment de mettre en œuvre les règles et procédures internes, ou de configurer et de préparer des terminaux Android selon l'utilisation souhaitée.

Profils Android ou Android hérité

Lors du déploiement de profils, vous rencontrez deux types de profils Android : Android et Android (hérité). Sélectionnez l'option Profil Android si vous avez terminé l'enregistrement EMM Android. Si vous avez refusé l'inscription EMM, les profils Android (hérité) sont disponibles. Lorsque vous sélectionnez Android mais que vous n'avez pas procédé à l'inscription EMM pour Android, un message d'erreur s'affiche vous demandant d'aller sur la page des paramètres pour effectuer l'inscription EMM ou de procéder au déploiement du profil Android (hérité).

Mode Profil professionnel ou mode Terminaux gérés pour le travail

Un profil professionnel désigne un type d'administrateur spécial, conçu principalement pour un cas d'utilisation BYOD. Lorsque l'utilisateur dispose déjà d'un terminal personnel configuré avec son propre compte Google, l'enrôlement Workspace ONE UEM crée un profil professionnel dans lequel il installe VMware Workspace ONE Intelligent Hub. Workspace ONE UEM contrôle uniquement le profil professionnel. Les applications gérées sont installées dans le profil professionnel et disposent d'un badge de porte-documents orange pour se différencier des applications personnelles.

Le terminal géré pour le travail s'applique aux terminaux enrôlés à partir d'un état non provisionné (réinitialisation aux paramètres d'usine) et est recommandé pour les terminaux professionnels. VMware Workspace ONE Intelligent Hub est installé pendant le processus de configuration et défini comme propriétaire du terminal, ce qui signifie que Workspace ONE UEM aura le contrôle total de l'ensemble du terminal.

Les profils Android afficheront les balises suivantes : Profil professionnel et Terminaux gérés pour le travail.

Les options de profil avec l'étiquette Profil professionnel s'appliquent uniquement aux paramètres du Profil professionnel et aux applications, et n'affectent pas les applications ou paramètres personnels de l'utilisateur. Par exemple, certaines restrictions désactivent l'accès à l'appareil photo ou la capture d'écran. Ces restrictions affectent uniquement les applications avec le badge Android dans le Profil professionnel et n'ont pas d'impact sur les applications personnelles. Les options de profil configurées pour les Terminaux gérés pour le travail s'appliquent à l'intégralité du terminal. Chaque profil expliqué dans cette section indique le type de terminal affecté par le profil.

Comportement des profils

Il arrive, pour diverses raisons, que plusieurs profils doivent être implémentés. Lorsque des profils en double sont déployés, la stratégie la plus restrictive est prioritaire. Par conséquent, si deux profils sont installés, et que l'un indique de bloquer l'appareil photo alors que l'autre indique de l'autoriser, Intelligent Hub pour Android combine les profils et bloque l'appareil photo pour choisir l'option la plus sécurisée.

Configurer un profil

Dans Workspace ONE UEM console, suivez le même chemin de navigation pour chaque profil. La section Aperçu affiche le Nombre total de terminaux attribués avec un affichage en liste. Vous pouvez voir les profils ajoutés dans l'onglet Résumé.

Pour configurer des profils :

  1. Accédez à Terminaux > Profils et ressources > Profils > Ajouter > Ajouter un profil > Android.
  2. Configurez les paramètres :

    Paramètres Description
    Nom Définissez le nom de votre profil et ajoutez une description que vous pourrez facilement reconnaître.
    Étendue du profil Définissez la manière dont le profil est utilisé dans votre environnement sur Production, Préenrôlement ou Les deux.
    Paramètres OEM Activez les paramètres OEM pour configurer des paramètres spécifiques pour les terminaux Samsung ou Zebra. Une fois que vous avez sélectionné l'OEM, vous verrez des profils et des paramètres supplémentaires qui sont uniques à l'un ou l'autre des OEM.
  3. Sélectionnez le bouton Ajouter pour le profil souhaité et configurez les paramètres selon les besoins. Vous pouvez utiliser le menu déroulant et prévisualiser les paramètres du profil avant de sélectionner Ajouter.

  4. Sélectionnez Suivant pour configurer les paramètres de profil Attribution et Déploiement appropriés. Configurez les paramètres suivants :

    Paramètres Description
    Smart Group
    Autoriser les exclusions Lorsque cette option est activée, une nouvelle zone de texte Exclure un groupe s'affiche. Ce champ vous permet de sélectionner les groupes que vous souhaitez exclure de l'attribution du profil du terminal.
    Type d'attribution Détermine la façon dont le profil est déployé sur les terminaux : Automatique – Le profil est déployé sur tous les terminaux. Facultatif – Le profil peut être installé de manière optionnelle par l'utilisateur depuis le portail en libre-service ou déployé vers des terminaux individuels à la discrétion de l'administrateur. Les utilisateurs finaux peuvent également installer des profils représentant des applications Web, à l'aide d'un raccourci Web ou d'une section de configuration de signets. Et si vous configurez la section de configuration à afficher dans le catalogue d'applications, vous pouvez l'installer à partir du catalogue d'applications. Conformité – Le profil est appliqué au terminal par le moteur de conformité lorsque l'utilisateur ne parvient pas à entreprendre les actions correctives permettant de rendre le terminal conforme.
    Géré par Groupe organisationnel disposant des droits d'administration pour le profil.
    Installer uniquement dans les zones sélectionnées Activez cette option pour afficher l'option de géo-barrières : Installer uniquement sur les terminaux à l'intérieur des zones sélectionnées : Entrez une adresse n'importe où dans le monde et un rayon en kilomètres ou en miles pour créer un « périmètre d'installation de profil ».
    Planifier l'heure d'installation Activez cette option pour configurer les paramètres d'heure : Activer la Planification et installer le contenu uniquement pendant les périodes définies : définissez une horaire configurée durant laquelle les terminaux reçoivent le profil.
  5. Cliquez sur Enregistrer et publier.

Code d'accès

Une politique de code d'accès exige de vos utilisateurs finaux qu'ils saisissent un code d'accès, fournissant ainsi un premier niveau de sécurité pour les données sensibles des terminaux.

Les politiques de code secret de profil professionnel s'appliquent uniquement aux applications professionnelles afin que les utilisateurs n'aient pas à saisir de mots de passe complexes chaque fois qu'ils déverrouillent leur terminal lorsqu'il est inscrit avec un profil professionnel. Le profil professionnel conserve les données des applications d'entreprise protégées et permet aux utilisateurs finaux d'accéder aux applications et aux données personnelles comme bon leur semble. Pour les terminaux gérés pour le travail, cette politique de code d'accès s'applique au terminal. Le code d'accès professionnel est disponible sur Android 7.0 (Nougat) et versions ultérieures pour les terminaux enrôlés avec un profil professionnel.

Les politiques de code secret du terminal s'appliquent à l'ensemble du terminal (inscrit avec un profil professionnel ou géré pour le travail). Ce code d'accès doit être saisi chaque fois que le terminal est déverrouillé. Il peut être appliqué en plus du code d'accès professionnel.

Par défaut, lors de la création de nouveaux profils, seul le code secret professionnel est activé (le code secret du terminal est désactivé). L'administrateur doit activer manuellement le code secret du terminal.

Remarque : Lorsque le profil avec code secret est présent sur le terminal et que l'utilisateur ne définit pas le code secret, aucune application ou aucun profil n'est transféré vers le terminal tant que celui-ci n'est pas conforme.

Une fois les paramètres du profil de code secret définis, UEM Console avertit l'utilisateur via une notification permanente, afin qu'il mettre à jour les paramètres de code secret lorsqu'un code secret atteint la durée de vie minimale ou si un changement du code secret est requis. Les utilisateurs ne peuvent pas utiliser Intelligent Hub tant qu'ils n'ont pas configuré le code secret comme requis dans le profil. Sur les terminaux Samsung, l'utilisateur est verrouillé dans l'assistant de configuration de l'écran de verrouillage jusqu'à ce qu'il définisse un code secret répondant aux exigences de la politique de code secret. Pour les terminaux professionnel, les utilisateurs ne peuvent pas utiliser le terminal. Pour le profil professionnel et les terminaux COPE, les utilisateurs ne peuvent pas accéder aux applications professionnelles.

Les paramètres disponibles pour le profil Code secret sont présentés ci-dessous.

Paramètre Description
Activer la stratégie de code secret professionnel Activez cette option pour appliquer les politiques de codes d'accès uniquement aux applications badgées par Android.
longueur min. du code d'accès Assurez-vous que les codes d'accès sont suffisamment complexes en définissant un nombre minimal de caractères.
Contenu du code d'accès Assurez-vous que le contenu du code secret répond à vos exigences en matière de sécurité en sélectionnant l'une des options suivantes dans le menu déroulant : Indifférent, Numérique, Alphanumérique, Alphabétique, Complexe, Numérique complexe ou Biométrique faible.
Utilisez des valeurs simples pour un accès rapide ou des codes d'accès alphanumériques pour une sécurité renforcée. Vous pouvez également exiger un nombre minimum de caractères complexes (@, #, &, ! , ? ) dans le code d'accès.
Un contenu de code d'accès à faible biométrie permet d'utiliser des méthodes de déverrouillage biométrique avec une sécurité réduite, telles que la reconnaissance faciale. Important : Si le nombre minimal de caractères complexes dans le mot de passe est supérieur à 4, au moins un caractère en minuscule et un caractère en majuscule sont nécessaires (terminaux SAFE v5.2 uniquement).
Nombre maximum de tentatives infructueuses Indiquez le nombre de tentatives autorisées avant la réinitialisation du terminal.
Durée de vie maximale du code d'accès (en jours) Indiquez le nombre maximum de jours durant lequel le code d'accès restera actif.
Alerte de modification du code secret Définit la durée restante avant l'expiration du code secret. L'utilisateur recevra une notification l'invitant à le modifier. Cette option est également disponible dans la stratégie de code secret du terminal. L'utilisateur est invité à modifier le code secret via l'invite sur son terminal, mais il n'est pas autorisé à y effectuer d'autres tâches. Vous pouvez configurer une stratégie de conformité ou utiliser les paramètres du Workspace ONE Intelligent Hub pour Android afin de créer et d'appliquer un code secret qui est à nouveau ajouté au terminal.
historique du code d'accès Indiquez le nombre de changements de code d'accès requis avant qu'un ancien code ne puisse être réutilisé.
Plage d'expiration du verrouillage du profil professionnel (en minutes) Définit le délai d'inactivité avant que l'écran du terminal ne se verrouille.
Plage avant le code secret requis (en minutes) Définit la durée après le déverrouillage d'un terminal via une authentification non forte (telle qu'une empreinte digitale ou une reconnaissance faciale) qui s'écoule avant qu'un code secret ne soit requis. Cette option est également disponible dans la stratégie de code secret du terminal.
Autoriser le verrouillage One Désactivez cette option pour forcer l'utilisation d'un code d'accès distinct et plus restrictif comme code d'accès du profil professionnel et comme code d'accès du terminal.
Le verrouillage One est activé en arrière-plan jusqu'à ce qu'un code secret de profil professionnel soit créé. Lorsqu'un utilisateur doit créer un code d'accès de terminal et de profil professionnel, il peut choisir celui qu'il doit créer en premier, mais les exigences les plus complexes sont appliquées en premier.
Remarque : S'applique aux profils professionnels des terminaux Android 9.0+ et aux terminaux COPE uniquement.
Autoriser les options biométriques Activez cette option pour autoriser les méthodes de déverrouillage biométriques, telles que la reconnaissance faciale.
Autoriser le capteur d'empreinte Activez ce paramètre pour permettre aux utilisateurs d'utiliser leurs empreintes digitales pour déverrouiller leurs terminaux. Désactivez cette option pour empêcher l'utilisation de l'empreinte digitale comme méthode d'authentification principale, et demandez à l'utilisateur d'entrer un mot de passe spécifié dans le profil.
Autoriser la reconnaissance faciale Désactivez cette option pour empêcher la configuration ou la sélection de la méthode de déverrouillage facial.Remarque : S'applique aux terminaux professionnels gérés Android 9.0+ uniquement.
Autoriser la reconnaissance d'iris Désactivez cette option pour empêcher la configuration ou la sélection de la méthode de reconnaissance d'iris.Remarque : S'applique aux terminaux professionnels gérés Android 9.0+ uniquement.
Activer la stratégie de code secret du terminal Appliquez les politiques de code d'accès pour le terminal enrôlé avec un profil professionnel. Ce code d'accès doit être saisi pour déverrouiller le terminal. Il peut être appliqué en plus du code d'accès professionnel. Pour les terminaux gérés pour le travail, cette politique de code d'accès est appliquée au terminal.
longueur min. du code d'accès Assurez-vous que les codes d'accès sont suffisamment complexes en définissant un nombre minimal de caractères.
Définir le code secret initial Activez cette option pour définir un code secret initial au niveau du terminal sur tous les terminaux déployés. Après le déploiement, il est possible de réinitialiser le code secret au niveau du terminal. Remarque : S'applique aux terminaux professionnels gérés Android 7.0+ uniquement.
Contenu du code d'accès Pour vous assurer que le contenu du code d'accès respecte vos exigences de sécurité, sélectionnez Indifférent, Numérique, Alphanumérique, Alphabétique,Complexe ou Numérique complexe dans le menu déroulant.
Nombre maximum de tentatives infructueuses Indiquez le nombre de tentatives autorisées avant la réinitialisation du terminal.
Durée de vie maximale du code d'accès (en jours) Indiquez le nombre maximum de jours durant lequel le code d'accès restera actif.
Alerte de modification du code secret Définit la durée restante avant l'expiration du code secret. L'utilisateur recevra une notification l'invitant à le modifier.
historique du code d'accès Indiquez le nombre de changements de code d'accès requis avant qu'un ancien code ne puisse être réutilisé.
Plage d'expiration du verrouillage du profil professionnel (en minutes) Définissez le temps d'inactivité avant le verrouillage automatique de l'écran du terminal.
Autoriser les options biométriques Activez cette option pour autoriser les méthodes de déverrouillage biométriques, telles que la reconnaissance faciale.
Autoriser le déverrouillage par empreintes digitales Autorisez le déverrouillage par empreinte digitale comme deuxième méthode d'authentification uniquement, et demandez à l'utilisateur de saisir un mot de passe spécifié dans le profil.
Autoriser la reconnaissance faciale Désactivez cette option pour empêcher la configuration ou la sélection de la méthode Déverrouillage facial sur le terminal Samsung.Remarque : S'applique aux terminaux professionnels gérés Android 9.0+ uniquement.
Autoriser la reconnaissance d'iris Désactivez cette option pour empêcher la configuration ou la sélection de la méthode Scanner d'iris sur le terminal Samsung.Remarque : S'applique aux terminaux professionnels gérés Android 9.0+ uniquement.
Code secret visible Activez ce paramètre pour afficher le code secret à l'écran, tel qu'il est saisi. Pour les terminaux Samsung. Nécessite que vous activiez les Paramètres OEM dans le profil Général et Samsung à partir de la liste déroulante Sélectionner OEM.
Exiger le chiffrement de la carte SD Indiquez si la carte SD requiert un chiffrement. Pour les terminaux Samsung. Nécessite que vous activiez les Paramètres OEM dans le profil Général et Samsung à partir de la liste déroulante Sélectionner OEM.
Nombre maximum de caractères répétés Pour empêcher vos utilisateurs finaux de saisir des codes d'accès répétitifs facilement piratables comme « 1111 », définissez un nombre maximum de caractères répétés. Pour les terminaux Samsung.

Les paramètres suivants s'appliquent si vous sélectionnez Complexe dans la zone de texte Contenu du code d'accès.

Paramètre Description
Nombre minimum de lettres Indiquez le nombre de lettres qui peuvent être incluses dans le code d'accès.
Nombre minimum de minuscules Indiquez le nombre de lettres minuscules requises dans le code secret.
Nombre minimum de majuscules Indiquez le nombre de lettres majuscules requises dans le code secret.
Nombre minimum de caractères non alphabétiques Indiquez le nombre de caractères spéciaux requis dans le code secret.
Nombre minimum de chiffres Indiquez le nombre de chiffres requis dans le code secret.
Nombre minimum de symboles Indiquez le nombre de symboles requis dans le code secret.

Les paramètres suivants s'appliquent pour définir un code secret sur un terminal Samsung.

Ces paramètres s'affichent uniquement lorsque les Paramètres OEM dans les profils Général et Samsung à partir du menu déroulant Sélectionner OEM sont sélectionnés.

Paramètre Description
Code secret visible Activez ce paramètre pour afficher le code secret à l'écran, tel qu'il est saisi.
Autoriser le déverrouillage par empreintes digitales Autorisez le déverrouillage par empreinte digitale comme deuxième méthode d'authentification uniquement, et demandez à l'utilisateur de saisir un mot de passe spécifié dans le profil.
Exiger le chiffrement de la carte SD Indiquez si la carte SD requiert un chiffrement.
Demander le code d'accès Nécessite que l'utilisateur entre le code secret utilisé pour chiffrer la carte SD. Si la case n'est pas cochée, certains terminaux autorisent le chiffrement de la carte SD sans interaction de l'utilisateur.
Nombre maximum de caractères répétés Pour empêcher vos utilisateurs finaux de saisir des codes d'accès répétitifs facilement piratables comme « 1111 », définissez un nombre maximum de caractères répétés.
Longueur maximum des séquences numériques Empêchez vos utilisateurs finaux de saisir un code d'accès sous forme d'une séquence numérique facilement piratable comme « 1234 ». Pour les terminaux Samsung.
Autoriser le scanner d'iris Désactivez cette option pour empêcher la configuration ou la sélection de la méthode Scanner d'iris sur le terminal Samsung.
Déverrouillage par reconnaissance faciale Désactivez cette option pour empêcher la configuration ou la sélection de la méthode Déverrouillage facial sur le terminal Samsung.
Superposition de l'écran de verrouillage Activez ce paramètre pour permettre aux administrateurs d'envoyer des informations qui s'afficheront sur l'écran de verrouillage des terminaux des utilisateurs finaux.
- Superposition d'images – Importez des images à superposer à l'écran de verrouillage. Vous pouvez importer une image principale et une image secondaire, puis déterminer la position et la transparence de chacune.
- Informations sur l'entreprise – Saisissez les informations sur l'entreprise à afficher sur l'écran de verrouillage. Ces informations peuvent servir en cas d'urgence, si le terminal est perdu ou signalé comme volé.
Le paramètre de superposition sur l'écran de verrouillage s'applique uniquement aux terminaux SAFE 5.0 et versions ultérieures. Ce paramètre reste configuré sur le terminal durant son utilisation et ne pourra pas être modifié par l'utilisateur final.

Configurer la superposition de l'écran de verrouillage (Android)

Dans le profil de code d'accès, l'option Superposition de l'écran de verrouillage vous permet de superposer des informations sur l'image de l'écran de verrouillage à l'intention de l'utilisateur final ou de la personne qui trouverait un terminal verrouillé. Superposition de l'écran de verrouillage fait partie du profil Code d'accès.

La superposition de l'écran de verrouillage est une fonctionnalité native pour Android qui est disponible pour plusieurs licences OEM.

Les paramètres de la superposition de l'écran de verrouillage pour les profils Android s'affichent lorsque le champ Paramètres OEM est défini sur Activé et que Samsung est sélectionné dans le champ Sélectionner l'OEM. Le champ Paramètres OEM du profil général s'applique uniquement aux profils Android et non aux configurations Android (héritées).

Configurez les paramètres de Superposition d'images selon les besoins :

Paramètre Description
Type de superposition d'images Sélectionnez Image unique ou Plusieurs images pour déterminer le nombre d'images à superposer.
Image principale Importez un fichier image.
Position au premier plan de l'image principale en pourcentage Déterminez la position de l'image au premier plan en indiquant une valeur comprise entre 0 et 90 %.
Position inférieure de l'image principale en pourcentage Déterminez la position de l'image en arrière-plan en indiquant une valeur comprise entre 0 et 90 %.
Image secondaire Importez une deuxième image si vous le souhaitez. Ce paramètre s'affiche uniquement si vous avez sélectionné l'option Plusieurs images, dans le champ Type de superposition d'images.
Position de l'image secondaire en pourcentage Déterminez la position de l'image au premier plan en indiquant une valeur comprise entre 0 et 90 %. Ce paramètre s'affiche uniquement si vous avez sélectionné l'option Plusieurs images, dans le champ Type de superposition d'images.
Position inférieure de l'image secondaire en pourcentage Déterminez la position de l'image en arrière-plan en indiquant une valeur comprise entre 0 et 90 %. Ce paramètre s'affiche uniquement si vous avez sélectionné l'option Plusieurs images, dans le champ Type de superposition d'images.
Image en filigrane Déterminez la transparence de l'image en sélectionnant Transparent ou Opaque.

Configurez les paramètres des Informations sur l'entreprise.

Paramètre Description
Nom de l'entreprise Saisissez le nom de l'entreprise à afficher.
Logo de l'entreprise Importez le logo de l'entreprise sous forme de fichier image.
Adresse de l'entreprise Indiquez l'adresse de l'entreprise.
Numéro de téléphone de l'entreprise Indiquez le numéro de téléphone de l'entreprise.
Image en filigrane Déterminez la transparence de l'image en sélectionnant Transparent ou Opaque.

Paramètres du navigateur Chrome

Le profil Paramètres du navigateur Chrome vous aide à gérer les paramètres de l'application Work Chrome.

Chrome est le navigateur Web de Google. Chrome offre un certain nombre de fonctionnalités telles que la recherche, l'omnibox (une zone permettant de faire des recherches et de naviguer), le remplissage automatique, l'enregistrement des mots de passe et la connexion au compte Google pour accéder instantanément aux derniers onglets et recherches sur tous vos terminaux. L'application Work Chrome fonctionne de la même manière que la version personnelle de Chrome. La configuration de ce profil n'affectera pas l'application Chrome personnelle de l'utilisateur. Vous pouvez pousser ce profil avec une section de configuration VPN ou Identifiants+Wi-Fi séparée pour garantir que les utilisateurs finaux peuvent s'authentifier et se connecter à vos sites et systèmes internes. Cela permet de s'assurer que les utilisateurs utilisent l'application Work Chrome à des fins professionnelles.

Matrice des paramètres du navigateur Chrome (Android)

Le profil Paramètres du navigateur Chrome vous aide à gérer les paramètres de l'application Work Chrome. La configuration de ce profil n'affectera pas l'application Chrome personnelle de l'utilisateur. Vous pouvez pousser ce profil avec une section de configuration VPN ou Identifiants+Wi-Fi séparée pour garantir que les utilisateurs finaux peuvent s'authentifier et se connecter à vos sites et systèmes internes.

Cette matrice présente en détail les paramètres disponibles dans le profil du navigateur Chrome :

Paramètre Description
**Autoriser les cookies Sélectionnez ce paramètre pour déterminer les paramètres de cookies du navigateur.**
Autoriser les cookies sur ces sites Spécifiez les URL autorisées à définir des cookies.
Bloquer les cookies sur ces sites Spécifiez les URL non autorisés à définir des cookies.
Autoriser uniquement les cookies de session sur ces sites Spécifiez les sites autorisés à définir des cookies uniquement pour la session.
**Autoriser les images Sélectionnez ce paramètre pour déterminer les sites autorisés à afficher des images.
Autoriser les images sur ces sites Spécifiez une liste d'URL autorisées à afficher des images.
Bloquer les images sur ces sites Spécifiez une liste d'URL non autorisées à afficher des images.
Autoriser JavaScript Sélectionnez les paramètres JavaScript du navigateur.
Autoriser Javascript sur ces sites Spécifiez les sites autorisés à exécuter JavaScript.
Bloquer Javascript sur ces sites Spécifiez les sites non autorisés à exécuter JavaScript.
Autoriser les fenêtres pop-up Sélectionnez les paramètres de pop-up du navigateur.
Autoriser les pop-ups sur ces sites Sélectionnez une option pour identifier les sites autorisés à ouvrir des fenêtres contextuelles.
Bloquer les pop-ups sur ces sites Spécifiez les sites non autorisés à ouvrir des fenêtres pop-up.
Autoriser le suivi de la localisation Déterminez si les sites Web sont autorisés à effectuer le suivi de l'emplacement physique des utilisateurs.
Mode proxy Spécifiez le serveur proxy utilisé par Google Chrome et empêchez les utilisateurs de modifier les paramètres de proxy.
URL du serveur proxy Spécifiez l'URL du serveur proxy.
URL du fichier PAC du proxy Indiquez une URL pointant vers un fichier .pac du proxy.
Règles de contournement du proxy Spécifiez les paramètres de proxy à contourner. Cette stratégie n'entre en vigueur que si vous avez sélectionné les paramètres de proxy manuels.
Forcer Google SafeSearch Activez ce paramètre pour forcer les requêtes de recherche dans la recherche Web Google à effectuer avec SafeSearch.
**Forcer le mode sécurisé de YouTube Activez ce paramètre pour donner aux utilisateurs la possibilité de bloquer le contenu pour adulte.
Activer Touch to Search Permet d'utiliser Touch to Search dans l'affichage du contenu de Google Chrome.
Activer le moteur de recherche par défaut Spécifiez le moteur de recherche par défaut.
Nom du moteur de recherche par défaut Spécifiez le nom du moteur de recherche par défaut.
Mot-clé du moteur de recherche par défaut Spécifiez la recherche par mot-clé pour le moteur de recherche par défaut.
URL de recherche du moteur de recherche par défaut Spécifiez l'URL du moteur de recherche utilisé lorsque vous effectuez une recherche par défaut.
URL suggérée du moteur de recherche par défaut Spécifiez l'URL du moteur de recherche utilisé pour fournir des suggestions de recherche.
URL instantanée du moteur de recherche par défaut Spécifiez les moteurs de recherche par défaut lorsque l'utilisateur saisit des demandes de recherche.
Icône du moteur de recherche par défaut Spécifiez l'URL de l'icône des favoris du moteur de recherche par défaut.
Encodages du moteur de recherche par défaut Spécifiez les encodages de caractères pris en charge par le moteur de recherche. Les encodages sont des noms de page de code tels que UTF-8, GB2312 et ISO-8859-1. Si elle n'est pas définie, la valeur par défaut sera utilisé (UTF-8).
Liste d'URL alternatives pour le moteur de recherche par défaut Spécifiez une liste d'URL alternatives qui peuvent être utilisées pour extraire des termes de recherche du moteur de recherche.
Clé de remplacement des termes de recherche Entrez toutes les clés de remplacement des termes de recherche.
URL de l'image du moteur de recherche Spécifiez l'URL du moteur de recherche utilisé pour permettre une recherche d'images.
URL du nouvel onglet Spécifiez l'URL utilisée par un moteur de recherche pour fournir une page Nouvel onglet.
Paramètres de recherche d'URL POST Spécifiez les paramètres utilisés lors de la recherche d'une URL avec POST.
Paramètres de recherche de suggestion POST Spécifiez les paramètres utilisés lors d'une recherche d'images avec POST.
Paramètres de recherche d'image POST Spécifiez les paramètres utilisés lors d'une recherche d'images avec POST.
Activer le gestionnaire de mots de passe Activez l'enregistrement de mots de passe dans le gestionnaire de mots de passe.
Activer les autres pages d'erreur Activez ce paramètre pour utiliser les autres pages d'erreur intégrées dans Google Chrome (tels que « Page non trouvée »).
Activer la saisie automatique Activez ce paramètre pour permettre aux utilisateurs de renseigner automatiquement des formulaires Web en utilisant les informations stockées précédemment tels que les informations d'adresse ou de carte de crédit.
Activer l'impression Activez cette option pour autoriser l'impression dans Google Chrome.
Activer la fonctionnalité proxy de compression des données Spécifiez l'une des options suivantes pour le proxy de compression des données : Toujours activer, toujours désactiver. Le proxy de compression des données peut réduire l'utilisation des données cellulaires et accélérer la navigation Web mobile en utilisant des serveurs proxy hébergés par Google pour optimiser le contenu du site Web.
Activer la navigation sécurisée Activez ce paramètre pour activer la navigation sécurisée de Google Chrome.
Désactiver l'enregistrement de l'historique du navigateur Activez ce paramètre pour désactiver l'enregistrement de l'historique du navigateur Google Chrome.
Empêcher de continuer après une alerte de navigation sécurisée Activez ce paramètre pour empêcher les utilisateurs de continuer au-delà de la page d'avertissement de sites malveillants.
Désactiver le protocole SPDY Désactive l'utilisation du protocole SPDY dans Google Chrome.
Activer la prédiction du réseau Sélectionnez la prédiction du réseau dans Google Chrome.
Activer les fonctionnalités obsolètes de la plateforme Web pour une durée limitée Spécifiez une liste de fonctionnalités de plateforme Web obsolètes pour les réactiver temporairement.
Forcer la recherche sécurisée Activez cette fonction pour activer la recherche sécurisée lors de l'utilisation du navigateur Web.
Disponibilité de la navigation privée Spécifiez si un utilisateur peut ouvrir des pages en mode de navigation privée dand Google Chrome.
Autorise la connexion à Chromium Activez ce paramètre pour forcer les utilisateurs Chrome à se connecter au navigateur s'ils se sont connectés à Gmail sur le Web.
Activer les suggestions de recherche Activez les suggestions de recherche dans l'omnibox de Google Chrome.
Activer la traduction Activez le service Google Traduction intégré à Google Chrome.
Activer ou désactiver la modification des signets Activez ce paramètre pour autoriser l'ajout, la suppression ou la modification de signets.
Signets gérés Spécifiez une liste de signets gérés.
Bloquer l'accès à une liste d'URL Entrez des URL dans la liste noire pour empêcher l'utilisateur de charger des pages Web.
Exceptions à la liste d'URL bloquées Entrez les URL des exceptions de liste de blocage. Vous pouvez séparer la liste par des virgules.
Version SSL minimale activée Sélectionnez la version SSL minimale dans le menu déroulant. 
Version minimale de SSL à rétablir Sélectionnez le version minimale de SSL à rétablir depuis le menu déroulant. 

Restrictions

Les profils de restriction dans la console UEM verrouillent la fonctionnalité native des terminaux Android. Les restrictions et le comportement disponibles varient en fonction de l'enrôlement du terminal.

Le profil Restrictions affiche des étiquettes qui indiquent si la restriction sélectionnée s'applique au mode Profil professionnel, Terminaux gérés pour le travail ou aux deux. Cependant, pour les terminaux avec un Profil professionnel, elles n'affectent que les applications badgées par Android. Par exemple, lorsque vous configurez des restrictions pour le Profil professionnel, vous pouvez désactiver l'accès à l'application Camera professionnelle. Ceci affecte uniquement l'application Camera badgée par Android et non l'application Camera personnelle de l'utilisateur.

Note : quelques applications système sont incluses par défaut dans le profil professionnel : Work Chrome, Google Play, Google Settings, Contacts et Camera, par exemple. Ces applications peuvent être masquées à l'aide d'un profil de restrictions et n'affectent pas l'application Camera personnelle de l'utilisateur.

Restrictions sur l'utilisation de comptes Google non gérés

Il est possible que vous souhaitiez autoriser des personnes à ajouter des comptes Google non gérés ou personnels, par exemple, pour lire des mails personnels, mais que vous vouliez quand même empêcher le compte personnel d'installer des applications sur le terminal. Vous pouvez définir une liste de comptes que les personnes peuvent utiliser dans Google Play dans la Workspace ONE UEM console.

Déployez une section de configuration Restrictions pour renforcer la sécurité sur des terminaux Android. Les sections de configuration Restrictions permettent de désactiver l'accès des utilisateurs aux fonctions du terminal pour veiller à ce que les terminaux ne soient pas altérés.

Sélectionnez le profil Restrictions et configurez les paramètres :

Paramètres Description
Fonctionnalités des terminaux Les restrictions au niveau du terminal peuvent désactiver des fonctionnalités importantes des terminaux comme l'appareil photo, la capture d'écran et la réinitialisation aux paramètres d'usine, pour une productivité et une sécurité optimales. La désactivation de l'appareil photo évite par exemple que des documents sensibles ne soient photographiés et transmis à un tiers extérieur à l'entreprise. Le blocage des captures d'écran aide à préserver la confidentialité du contenu professionnel du terminal.
Win32 Les restrictions au niveau de l'application peuvent désactiver certaines applications comme YouTube et le navigateur natif, ce qui vous permet de garantir le respect des politiques d'utilisation des terminaux de l'entreprise.
Synchronisation et stockage Contrôlez la manière dont les informations sont stockées sur les terminaux afin de maintenir un équilibre optimal entre productivité et sécurité. La désactivation des sauvegardes Google et USB permet par exemple de conserver les données mobiles professionnelles sur les terminaux gérés et hors de portée d'individus malveillants.
Réseau Empêchez les terminaux d'accéder au Wi-Fi et aux connexions données pour vous assurer que les utilisateurs finaux ne consultent pas d'informations sensibles via une connexion non sécurisée.
Professionnel et personnel Permet de définir l'accès et le partage des informations entre un conteneur personnel et un conteneur professionnel. Ces paramètres s'appliquent uniquement au mode Profil professionnel.
services de localisation Configurer les paramètres du service de localisation uniquement pour les terminaux gérés pour le travail. Cette restriction se comporte différemment selon les versions d'Android. Dans Android 8.0 et versions inférieures, le comportement fonctionne conformément au paramètre sélectionné dans UEM Console . Dans Android 9.0 et versions ultérieures, chaque paramètre active ou désactive les services de localisation comme suit :Aucun ne fait rien. Ne pas autoriser l'accès- Désactive les services de localisation, Configurer la localisation GPS uniquement - Active les services de localisation. Configurer la localisation en mode Économie d'énergie uniquement - Désactive les services de localisation. Configurer la localisation de haute précision uniquement - Désactive les services de localisation.
Samsung Knox Configurez les restrictions spécifiquement pour les terminaux Android exécutant Samsung Knox. Cette section est disponible uniquement lorsque l'option Paramètres OEM du profil général est activée et que Samsung est sélectionné dans le champ Sélectionner OEM.

Restrictions spécifiques pour Android

Cette matrice fournit un aperçu des configurations de restrictions proposées par type de propriété du terminal.

Fonctionnalité Mode Terminaux gérés pour le travail Mode Profil professionnel
Fonctionnalités des terminaux
Autoriser le rétablissement des paramètres d'origine
Autoriser la capture d'écran
Autoriser l'ajout de comptes Google
Autoriser la suppression du compte professionnel Android  
Autoriser les appels téléphoniques sortants  
Autoriser l'envoi/la réception de SMS  
Autoriser les modifications d'identifiants  
Autoriser toutes les fonctionnalités Keyguard  
Autoriser l'appareil photo Keyguard  
Autoriser les notifications Keyguard  
Autoriser le capteur d'empreinte digitale Keyguard
Autoriser le statut Keyguard Trust Hub
Autoriser les notifications non rédigées Keyguard
Forcer l'activation de l'écran lorsque le terminal est branché sur un chargeur CA (Android 6.0 et versions ultérieures)  
Forcer l'activation de l'écran lorsque le terminal est branché sur un chargeur USB (Android 6.0 et versions ultérieures)  
Forcer l'activation de l'écran lorsque le terminal est branché sur un chargeur sans fil (Android 6.0 et versions ultérieures)  
Autoriser la modification du papier peint (Android 7.0 et versions ultérieures)  
Barre d'état autorisée  
Autoriser Keyguard (Android 6.0 et versions ultérieures)  
Autoriser l'ajout d'utilisateurs    
Autoriser la suppression des utilisateurs    
Autoriser le démarrage sécurisé (Android 6.0 et versions ultérieures)  
Autoriser la modification du papier peint (Android 7.0 et versions ultérieures)    
Autoriser le changement de l'icône utilisateur (Android 7.0 et versions ultérieures)
Autoriser l'ajout/la suppression de comptes
Limiter l'interface utilisateur du système (toasts, activités, alertes, erreurs, superpositions)  
Définir le nombre maximal de jours de désactivation du profil professionnel
Win32
Autoriser la caméra
Autoriser Google Play
Autoriser le navigateur Chrome  
Autoriser l'installation d'applications non disponibles dans les magasins publics
Autoriser la modification d'applications dans les paramètres  
Autoriser l'installation d'applications
Autoriser la désinstallation d'applications
Autoriser la désactivation de la vérification d'application
Ignorer le tutoriel d'utilisation et les conseils d'introduction
Autoriser la mise sur liste blanche des services d'accessibilité  
Restreindre les méthodes d'entrée
Synchronisation et stockage
Autoriser le débogage USB  
Autoriser le stockage USB en masse✓  
Autoriser l'ajout de support de stockage physique  
Autoriser le transfert de fichier par port USB  
Autoriser le service de sauvegarde (Android 8.0 et versions ultérieures)   
Réseau
Autoriser les changements de Wi-Fi  
Autoriser la connexion Bluetooth  
Autoriser Bluetooth (Android 8.0 et versions ultérieures)  
Autoriser le partage des contacts par Bluetooth (Android 8.0 et versions ultérieures)*  
Autoriser les connexions Bluetooth sortantes*
Autoriser le partage de toutes les connexions  
Autoriser les modifications de VPN  
Autoriser les modifications de réseau mobile  
Autoriser le NFC  
Autoriser les modifications de profils Wi-Fi gérés (Android 6.0 et versions ultérieures)  
Professionnel et personnel
Autoriser la copie du presse-papiers entre les applications professionnelles et personnelles  
Autoriser les applications professionnelles à accéder aux documents depuis les applications personnelles  
Autoriser les applications personnelles à accéder aux documents depuis les applications professionnelles  
Autoriser les applications personnelles à partager des documents avec les applications professionnelles  
Autoriser les applications professionnelles à partager des documents avec les applications personnelles    
Autoriser l'affichage des coordonnées professionnelles de l'ID sur le cadran du téléphone  
Autoriser l'ajout de widgets professionnels sur l'écran d'accueil personnel  
Autoriser l'ajout des contacts professionnels à l'application de contacts personnels (Android 7.0 et versions ultérieures)    
Accès au calendrier entre profils (permet aux développeurs d'applications de calendrier Android d’accéder aux informations du calendrier du profil professionnel à l'aide des API Android 10. Nous ne pouvons pas garantir que chaque application de calendrier prend en charge ces méthodes spécifiques à Android 10.)  
Autoriser la communication entre profils d’application
services de localisation
Autoriser la configuration du service de localisation
Autoriser l'utilisateur à modifier les paramètres de localisation
Samsung Knox
Fonctionnalités des terminaux
Autoriser le mode avion  
Autoriser le microphone  
Autoriser les positions fictives  
Autoriser le presse-papiers  
Autoriser la fonction « Éteindre »  
Clé d'origine autorisée  
Autoriser l'enregistrement audio lorsque le microphone est autorisé  
Autoriser à filmer lorsque la caméra est autorisée  
Autoriser la suppression de comptes e-mail  
Autoriser l'arrêt de l'activité lorsque la session est inactive  
Autoriser les utilisateurs à établir une limite du processus d'arrière-plan  
Autoriser les écouteurs  
Synchronisation et stockage
Autoriser le déplacement de la carte SD  
Autoriser une mise à niveau à distance (OTA)  
Autoriser la synchronisation automatique des comptes Google  
Autoriser la protection en écriture de la carte SD  
Autoriser le stockage du contrôleur hôte USB  
Autoriser la saisie automatique (Android 8.0 ou versions ultérieures)
Win32
Autoriser les modifications de paramètres  
Autoriser les options du développeur  
Autoriser les données en arrière-plan  
Reconnaissance vocale autorisée  
Autoriser les rapports d'incidents Google  
Autoriser S Beam  
Autoriser les demandes d'identifiants  
Autoriser S Voice  
Autoriser les utilisateurs à interrompre les applications signées du système  
Bluetooth
Autoriser la connexion du bureau via Bluetooth  
Autoriser le transfert de données Bluetooth  
Autoriser les appels sortants via Bluetooth  
Autoriser la détection du Bluetooth  
Activer le mode sécurisé Bluetooth  
Réseau
Autoriser le Wi-Fi  
Autoriser les profils Wi-Fi  
Wi-Fi non sécurisé autorisé  
"Autoriser uniquement les connexions VPN  
Autoriser le VPN  
Autoriser la connexion automatique au Wi-Fi  
Données mobiles autorisées  
Autoriser le Wi-Fi direct  
Itinérance
Autoriser la synchronisation automatique en itinérance  
Autoriser la synchronisation automatique lorsque l'itinérance est désactivée  
Autoriser les appels en itinérance  
Utilisation des données lors de l'itinérance  
Autoriser l'envoi de messages en itinérance  
Téléphone et données
Autoriser les appels non urgents  
Autoriser les utilisateurs à établir une limite des données mobiles  
Autoriser les messages Push WAP  
Restrictions matérielles
Touche Menu autorisée  
Touche Retour autorisée  
Autoriser la touche Recherche  
Autoriser le gestionnaire de tâches  
Autoriser la barre système  
Autoriser la touche de volume  
Sécurité
Autoriser les paramètres de l'écran de verrouillage  
Autoriser la récupération du micrologiciel  
Partage de connexion
Autoriser le partage de connexion USB  
Restrictions sur les MMS
Autoriser les MMS entrants  
Autoriser les MMS sortants  
Divers
Configurer la police de caractères du terminal  
Configurer la taille de la police du terminal  
Autoriser les utilisateurs à interrompre les applications signées du système  
"Autoriser uniquement les connexions VPN  

Exchange Active Sync

Workspace ONE UEM utilise le profil EAS (Exchange ActiveSync) sur les terminaux Android pour garantir une connexion sécurisée aux données internes (e-mails, calendriers et contacts) avec des clients de messagerie. Par exemple, les paramètres de messagerie EAS configurés pour le profil professionnel affectent toutes les applications de messagerie téléchargées à partir du catalogue Workspace ONE UEM avec l'icône badgée, mais ils n'affectent pas la messagerie personnelle de l'utilisateur.

Une fois que chaque utilisateur dispose d'une adresse e-mail et d'un nom d'utilisateur, vous pouvez créer un profil Exchange Active Sync.

Remarque : Le profil Exchange Active Sync s'applique aux types de modes Profil professionnel et Terminaux gérés pour le travail.

Sélectionnez le profil Exchange Active Sync et configurez les paramètres suivants.

Paramètres Description
Type de client de messagerie Utilisez le menu déroulant pour sélectionner un client de messagerie qui est poussé vers les terminaux utilisateur.
Hôte Indiquez l'URL externe du serveur ActiveSync de votre entreprise.
Type de serveur Choisissez entre Exchange et Lotus.
Utiliser le SSL Activez cette option pour chiffrer les données EAS.
Désactiver les contrôles de validation sur les certificats SSL Permet d'activer les certifications SSL (Secure Socket Layer).
S/MIME Activez cette option pour sélectionner un certificat S/MIME que vous associez en tant que certificat utilisateur dans la section de configuration Identifiants.
Certificat de connexion S/MIME Sélectionnez le certificat pour permettre la distribution de certificats S/MIME au client pour la signature des messages.
Certificat S/MIME de chiffrement Sélectionnez le certificat pour permettre la distribution de certificats S/MIME au client pour le chiffrement des messages.
Domaine Utilisez les valeurs de recherche pour sélectionner la valeur spécifique au terminal.
Nom d'utilisateur Utilisez les valeurs de recherche pour sélectionner la valeur spécifique au terminal.
Adresse e-mail Utilisez les valeurs de recherche pour sélectionner la valeur spécifique au terminal.
Mot de passe Ne remplissez pas ce champ pour permettre aux utilisateurs finaux de définir leur propre mot de passe.
Certificat de connexion Sélectionnez le certificat disponible dans le menu déroulant.
Signature par défaut Indiquez une signature d'e-mail par défaut à afficher sur les nouveaux messages.
Taille maximale des pièces jointes (Mo) Entrez la taille maximale des pièces jointes que l'utilisateur est autorisé à envoyer.
Autoriser la synchronisation du calendrier et des contacts Permet d'autoriser la synchronisation des contacts et du calendrier avec les terminaux.

Mise à jour automatique d'applications publiques

Le profil de mise à jour automatique d'applications publiques vous permet de configurer des mises à jour automatiques et de planifier des fenêtres de maintenance pour les applications Android publiques.

Le profil de mise à jour automatique d'application publique utilise les API Google pour envoyer des données de profil directement aux terminaux. Ce profil ne sera pas affiché dans Workspace ONE Intelligent Hub.

Pour configurer le profil de mise à jour automatique d'applications publiques :

Remarque : Si un profil contient une charge utile de mise à jour d'application publique, il ne peut pas contenir d'autres charges utiles.

Sélectionnez Mise à jour automatique d'applications publiques dans la liste de charges utiles et configurez les paramètres de mise à jour :

  • Stratégie de mise à jour automatique des applications publiques : Spécifiez le moment où Google Play autorise la mise à jour automatique. Sélectionnez Autoriser l'utilisateur à configurer, Toujours mettre à jour automatiquement, Mettre à jour sur Wi-Fi uniquement ou Jamais de mise à jour automatique.

La sélection par défaut est Autoriser l'utilisateur à configurer.

  • Heure de début : Définissez ce que les applications à l'heure locale au premier plan sont autorisées à mettre à jour automatiquement chaque jour. Sélectionnez une heure comprise entre 0h30 et 23h30.

Remarque : S'applique uniquement si les options Procéder à la mise à jour en Wi-Fi uniquement ou Toujours procéder à la mise à jour automatique sont sélectionnées.

  • Heure de fin : Définissez ce que les applications à l'heure locale au premier plan sont autorisées à mettre à jour automatiquement chaque jour. Sélectionnez une durée comprise entre 30 minutes et 24 heures.

Remarque : S'applique uniquement si les options Mettre à jour en Wi-Fi uniquement et Toujours procéder à la mise à jour automatique sont sélectionnées.

En fonction de la durée configurée, les applications ne se mettent à jour automatiquement qu'entre les heures de début et de fin indiquées. Par exemple, vous pouvez configurer des terminaux kiosque pour qu'ils se mettent à jour uniquement en dehors des heures ouvrables pour ne pas interrompre leur utilisation.

Identifiants

Pour une sécurité renforcée, vous pouvez mettre en place des certificats numériques qui protégeront vos actifs professionnels. Pour ce faire, vous devez d'abord définir une autorité de certification, puis configurer une section de configuration Identifiants avec votre section de configuration EAS (Exchange ActiveSync), Wi-Fi ou VPN.

Chacune section de configuration dispose de paramètres pour l'association d'une autorité de certification définie dans la section de configuration Identifiants. Les profils des identifiants déploient des certificats d'entreprise pour que les utilisateurs s'authentifient aux terminaux gérés. Les paramètres de ce profil varient en fonction du type de propriété du terminal. Le profil Identifiants s'applique aux types de mode Profil professionnel et Terminaux gérés pour le travail.

Les terminaux doivent disposer d'un code PIN de terminal configuré avant que Workspace ONE UEM puisse installer des certificats d'identité avec une clé privée.

Les profils des identifiants déploient des certificats d'entreprise pour que les utilisateurs s'authentifient aux terminaux gérés. Les paramètres de ce profil varient en fonction du type de propriété du terminal. Le profil Identifiants s'appliquera aux types de mode Profil professionnel et Terminaux gérés pour le travail.

Sélectionnez le profil Identifiants et sélectionnez Configurer.

Dans le menu déroulant, sélectionnez Importer ou Autorité de certification définie pour la Source du certificat. Les options de profil restantes dépendent de la source. Si vous choisissez Importer, vous devez saisir un nom d'identifiant et importer un nouveau certificat. Si vous sélectionnez Autorité de certification définie, vous devez choisir une autorité de certification prédéfinie, ainsi qu'un modèle de certificat.

Gérer les certificats avec XML personnalisé

Les certificats peuvent être gérés via VMware Workspace ONE Intelligent Hub pour Android et à l'aide de XML personnalisés dans UEM Console. Vous pouvez spécifier des noms de modules qui vous permettent de gérer vos certificats sur des terminaux Android. Vous pouvez ajouter les noms des modules via des paramètres personnalisés.

Pour transférer ces modules :

  1. Accédez à Groupes et paramètres > Tous les paramètres > Applications > Paramètres et politiques > Paramètres > Paramètres personnalisés.
  2. Configurez les profils XML personnalisés en conséquence :

    Paramètre Description
    Paramètres personnalisés Collez le XML personnalisé suivant : { “AuthorizedCertInstaller” : “packagename” } et remplacez l'espace réservé pour le nom du module par le nom du module réel de l'application (généralement au format : com.company.appname).
    1. Enregistrez le code XML personnalisé.

Messages personnalisés

Le profil de messages personnalisés vous permet de configurer des messages qui s'affichent sur l'écran d'accueil du terminal lorsque des informations importantes doivent être relayées à l'utilisateur.

Le profil de messages personnalisés vous permet de définir un message de verrouillage de l'écran, un message pour les paramètres bloqués ou un message que les utilisateurs peuvent afficher dans les paramètres de leur terminal.

Sélectionnez le profil de messages personnalisés et configurez les paramètres des messages :

|Définir un message pour l'écran de verrouillage|Entrez un message à afficher sur l'écran d'accueil du terminal lorsque le terminal est verrouillé. Cette option est prévue pour qu'un terminal perdu ou volé affiche les coordonnées de l'utilisateur.| |Définir un message court pour les paramètres bloqués|Entrez un message à afficher lorsqu'un utilisateur tente d'effectuer des actions sur un terminal bloqué. Utilisez le message personnalisé pour expliquer la raison du blocage de la fonctionnalité.| |Définir un message long pour les utilisateurs à afficher dans les paramètres|Les utilisateurs peuvent voir ce message sur leur terminal dans Paramètres > Sécurité > Administrateurs des terminaux > Intelligent Hub.|

Contrôle d'applications

Le profil de contrôle des applications vous permet de contrôler les applications approuvées et d'éviter de désinstaller des applications importantes. Alors que le moteur de conformité peut envoyer des alertes et effectue des actions administratives lorsqu'un utilisateur installe ou désinstalle certaines applications, le contrôle des applications empêche les utilisateurs de procéder à ces changements.

Lorsque le profil de contrôle des applications est configuré, seules les applications approuvées par l'administrateur s'affichent dans le Play Store. Par exemple, vous pouvez envoyer automatiquement le navigateur de votre choix au terminal en tant qu'application gérée et l'ajouter aux applications requises du groupe d'applications. Cette configuration combinée avec l'activation de l'option Empêcher la désinstallation des applications requises dans le profil de contrôle des applications empêche la désinstallation du navigateur et d'autres applications requises configurées dans le groupe d'applications.

Warning: Enabling/ disabling critical system apps results in devices becoming unusable.

Pour plus d'informations sur les Groupes d'applications, consultez la documentation relative à la gestion des applications mobiles.

Pour contrôler l'accès à l'application sur vos terminaux Android, créez un profil afin d'autoriser, d'interdire, de désinstaller ou d'activer les applications système avec le profil Contrôle des applications.

Contrôle des applications pour les terminaux COPE

Si vous utilisez des terminaux enrôlés dans sous la méthode Terminaux professionnels et personnels, vous pouvez créer des listes d'autorisation ou de blocage pour les applications afin d'empêcher l'installation d'applications non approuvées dans le profil personnel.

Paramètre Description
Désactiver l'accès aux applications bloquées Sélectionnez cette option pour désactiver l'accès aux applications qui se trouvent sur la liste bloquée définie dans les groupes d'applications. Si cette option est activée, l'application n'est pas désinstallée du terminal.
Empêcher la désinstallation des applications requises Activez cette option pour empêcher la désinstallation par l'utilisateur ou l'administrateur des applications requises définies dans les Groupes d'applications.
Activer les applications système Activez cette option pour afficher les applications pré-installées telles qu'elles sont définies dans les applications placées sur liste blanche dans les Groupes d'applications. Pour les terminaux à accès privé d'entreprise, la case à cocher « Terminaux gérés pour le travail » s'applique au côté personnel et « Profil professionnel » s'applique au côté entreprise. Pour les terminaux COPE sur Android 10 et versions antérieures.
Restrictions concernant le Play Store personnel Sélectionnez Non, Liste autorisée ou Liste bloquée pour contrôler quelles applications peuvent être installées via le Play Store sur les terminaux professionnels et personnels. Les applications sur liste bloquée et liste autorisée sont définies dans les groupes d'applications.

Paramètres du proxy

Les paramètres de proxy sont configurés de sorte que tout le trafic réseau HTTP et HTTPS passe uniquement par ce proxy. Toutes les données personnelles et professionnelles sont alors filtrées via le profil de paramètres de proxy, ce qui renforce la sécurité des données.

Configurez les paramètres du proxy de la manière suivante :

Paramètre Description
Mode proxy Sélectionnez le type de proxy de votre choix.
URL de proxy PAC Indiquez une URL pointant vers un fichier .pac du proxy.
Serveur proxy Saisissez le nom d'hôte de l'adresse IP du serveur proxy.
Liste d'exclusions Ajoutez des noms d'hôte pour les empêcher de passer par le proxy.

Mises à jour système

Utilisez ce profil pour gérer la manière dont les mises à jour de terminaux Android sont gérées lorsque le terminal est inscrit dans Workspace ONE UEM.

Sélectionnez le profil Mises à jour système.

Utilisez le menu déroulant du champ Mises à jour automatiques pour sélectionner la politique de mise à jour.

Paramètre Description
Mises à jour automatiques (Terminaux gérés pour le travail et terminaux COPE Android 6.0 et versions ultérieures) Installer les mises à jour automatiquement : Permet d'installer automatiquement les mises à jour dès qu'elles sont disponibles.
Différer les notifications de mise à jour : Permet de différer toutes les mises à jour. Vous pouvez envoyer une politique qui bloque les mises à jour de l'OS pour une période maximale de 30 jours.
Définir le créneau horaire de mise à jour : Permet de définir un créneau horaire quotidien pour la mise à jour du terminal.
Périodes de blocage des mises à jour système annuelles (Terminaux gérés pour le travail et terminaux COPE Android 9.0 et versions ultérieures) Les propriétaires de terminaux peuvent reporter les mises à jour système à distance (OTA) sur des terminaux pendant 90 jours maximum pour figer la version du système d'exploitation exécutée sur ces terminaux sur des périodes critiques (telles que les vacances). Le système applique une mémoire tampon de 60 jours après une période de blocage définie afin d'éviter de figer le terminal indéfiniment.
Pendant une période de blocage :
Les terminaux ne reçoivent aucune notification sur les mises à jour à distance en attente.
Les terminaux n'installent pas de mises à jour à distance sur le système d'exploitation.
Les utilisateurs de terminaux ne peuvent pas vérifier manuellement les mises à jour à distance.
Période de gel Utilisez ce champ pour définir des périodes de gel, en mois et en jours, lorsque les mises à jour ne peuvent pas être installées. Lorsque l'heure du terminal atteint l'une des périodes de gel, toutes les mises à jour système entrantes, y compris les correctifs de sécurité, sont bloquées et ne peuvent pas être installées. Chaque période de gel individuelle est autorisée à être d'au moins 90 jours et les périodes de gel adjacentes doivent être espacées d'au moins 60 jours.

Wi-Fi

La configuration d'un profil Wi-Fi permet aux terminaux de se connecter aux réseaux d'entreprise même s'ils sont masqués, chiffrés ou protégés.

Ce profil Wi-Fi peut s'avérer utile pour les utilisateurs finaux en déplacement dans des bureaux disposant de leur propre réseau sans fil ou pour configurer les terminaux automatiquement de sorte qu'ils se connectent au réseau sans fil approprié d'un site.

Lors du déploiement d'un profil Wi-Fi sur des terminaux sous Android 6.0 ou version ultérieure, si un utilisateur a déjà connecté son terminal à un réseau Wi-Fi manuellement, Workspace ONE UEM ne peut modifier la configuration Wi-Fi. Par exemple, si vous déployez le profil mis à jour sur les terminaux inscrits alors que le mot de passe Wi-Fi a été modifié, certains utilisateurs devront saisir le nouveau mot de passe manuellement sur leur terminal.

Pour configurer le profil :

Configurez les paramètres du Wi-Fi :

Paramètre> Description
Identifiant SSID Indiquez le nom du réseau auquel le terminal se connecte.
Réseau masqué Indiquez si le réseau Wi-Fi est masqué.
Définir comme réseau actif Indiquez si le terminal se connecte au réseau sans intervention de l'utilisateur final.
Type de sécurité Spécifiez le protocole d'accès utilisé et si des certificats sont requis. Les champs requis dépendent du type de sécurité sélectionné. Si None, WEP, WPA/WPA 2 ou Any (personnel) sont sélectionnés : le champ Mot de passe s'affiche. Si l'option WPA/WPA 2 Enterprise est sélectionnée, les champs Protocoles et Authentification s'affichent.
Protocoles
- Utiliser l'authentification à deux facteurs - lorsqu'elle est activée, le champ TFA s'affiche.
- Type de SFA - Choisissez un protocole d'authentification. Les options disponibles sont EAP-TLS, PEAP ou EAP-TTLS.
- Type TFA - Choisissez une méthode d'authentification interne. Les options disponibles sont GTC, MSCHAP, MSCHAPv2 et PAP.
Authentification
- Identité - Définissez l'identité et les informations d'identification que le terminal utilisera pour se connecter au réseau.
- Certificat d'identité - Sélectionnez le certificat d'identité pour spécifier une clé privée et une chaîne de certificats client pour l'autorisation du client. Ce certificat doit être ajouté au profil dans le cadre de la charge utile Identifiants.
- Certificat racine - Sélectionnez un certificat racine que le terminal utilisera pour la validation du certificat de serveur. Le certificat racine doit être le certificat racine de votre autorité de certification de serveur. Il est utilisé pour la validation du certificat de serveur. Si Aucun certificat n'est spécifié, la validation du certificat de serveur est ignorée. Ce certificat doit être ajouté au profil dans le cadre de la charge utile Identifiants.
- Domaine - Définissez une contrainte pour le nom de domaine du serveur qui sera utilisée pour valider le serveur réseau. Si le nom de domaine complet est défini, il est utilisé comme condition de correspondance de suffixe pour le certificat du serveur AAA dans un ou plusieurs éléments SubjectAltName dNSName. Si un dNSName correspondant est trouvé, cette contrainte est satisfaite. Si aucune valeur dNSName n'est présente, cette contrainte est comparée à SubjectName CN en utilisant la même comparaison de correspondance de suffixe.
La correspondance de suffixe ici signifie que le nom d'hôte/domaine est comparé une étiquette à la fois à partir du domaine de niveau supérieur. Par exemple, si le domaine est défini sur example.com, il correspond à test.example.com mais ne correspond pas à test-example.com.
Mot de passe Saisissez les identifiants requis pour que le terminal puisse se connecter au réseau. Le champ de mot de passe s'affiche lorsque l'option WEP, WPA/WPA2, Tous (personnels) ou WPA/WPA2 Enterprise est sélectionnée dans le champ Type de sécurité.
Inclure les paramètres de Fusion Activez ce paramètre pour étendre les options Fusion aux adaptateurs Fusion pour terminaux Motorola. Les paramètres Fusion s’appliquent uniquement aux terminaux Motorola durcis. Pour plus d'informations sur le support VMware pour les terminaux Android durcis, consultez le Guide des terminaux durcis Android.
Activer Fusion 802.11d Activez ce paramètre pour utiliser Fusion 802.11d pour définir les paramètres Fusion 802.11d.
Activer 802.11d Activez ce paramètre pour utiliser la spécification réseau sans fil 802.11d dans des domaines réglementaires supplémentaires.
Configurer le code du pays Activez ce paramètre pour définir le code du pays à utiliser dans les spécifications 802.11d.
Configurer la bande RF Activez ce paramètre pour choisir la bande 2.4 GHz, 5 GHz ou les deux, avec les masques de canal applicables.
Type de proxy Activez ce paramètre pour configurer les paramètres du proxy Wi-Fi.Remarque : Le VPN par application ne prend pas en charge la configuration automatique du proxy Wi-Fi.
Serveur proxy Saisissez le nom d'hôte ou l'adresse IP du serveur proxy.
Port du serveur proxy Indiquez le port du serveur proxy.
Liste d'exclusions Saisissez les noms d'hôte à exclure du proxy. Les noms d'hôte entrés ici ne seront pas acheminés via le proxy. Utilisez le caractère générique * pour le domaine, Par exemple : *.air-watch.com ou *air-watch.com.

VPN

Les réseaux privés virtuels (VPN) fournissent aux terminaux un tunnel sécurisé et chiffré pour accéder aux ressources internes, telles que la messagerie, les fichiers et le contenu professionnels. Les profils VPN permettent à chaque terminal de fonctionner comme s'il était connecté sur le réseau local.

Selon le type de connexion et la méthode d'authentification, utilisez des valeurs de recherche qui permettront de renseigner automatiquement le nom d'utilisateur, afin de rationaliser le processus de connexion.

Remarque : Le profil VPN s'applique aux deux types de mode Profil professionnel et Terminaux gérés pour le travail.

Configurez les paramètres de VPN. Le tableau ci-dessous contient tous les paramètres que vous pouvez configurer selon le client VPN.

Paramètre Description
Type de connexion Choisissez le protocole utilisé pour faciliter les sessions VPN. Chaque type de connexion nécessite que le client VPN respectif soit installé sur le terminal pour déployer le profil VPN. Ces applications doivent être attribuées à des utilisateurs et publiées en tant qu'applications publiques.
Nom de la connexion Saisissez le nom de la connexion attribuée créée par le profil.
Serveur Saisissez le nom ou l'adresse du serveur utilisé pour les connexions VPN.
Compte Entrez le compte utilisateur pour l'authentification de la connexion.
VPN toujours actif Activez cette option pour forcer tout le trafic provenant des applications professionnelles à passer par le VPN.
Verrouillage Force les applications à se connecter uniquement via le VPN. Si le VPN est déconnecté ou indisponible, les applications n'auront pas accès à Internet.
Autoriser les applications à contourner le verrouillage Activez cette option pour spécifier les applications pouvant toujours accéder à Internet même lorsque le VPN est déconnecté ou indisponible.
Liste autorisée à contourner le verrouillage Si l'option Liste autorisée à contourner le verrouillage est activée avec les modules ajoutés, les applications répertoriées pourront se connecter directement à Internet si le VPN a été déconnecté.
Activer Permet d'activer le VPN après l'application du profil sur le terminal.
Règles du VPN par application Activez le VPN par application qui vous permet de configurer des règles de trafic VPN pour certaines applications spécifiques. Cette zone de texte s'affiche uniquement pour les fournisseurs de VPN pris en charge. Remarque : Le VPN par application ne prend pas en charge la configuration automatique du proxy Wi-Fi.
Protocole Sélectionnez le protocole d'authentification à utiliser avec le VPN. Disponible lorsque Cisco AnyConnect est sélectionné dans Type de connexion.
Nom d'utilisateur Entrez le nom d'utilisateur. Disponible lorsque Cisco AnyConnect est sélectionné dans Type de connexion.
Authentification utilisateur Choisissez la méthode requise pour authentifier la session VPN.
Mot de passe Indiquez les identifiants requis pour l'accès de l'utilisateur final au VPN.
Certificat client Utilisez le menu déroulant pour sélectionner le certificat client. Ceux-ci sont configurés dans les profils Identifiants.
Révocation des certificats Activez cette fonction pour activer la révocation des certificats.
Profil AnyConnect Entrez le nom du profil AnyConnect.
Mode FIPS Activez cette fonction pour activer le mode FIPS.
Mode restreint Activez cette fonction pour activer le mode strict.
Clés du fournisseur Permet de créer des clés personnalisées à ajouter au dictionnaire de configuration du fournisseur.
Clé Saisissez la clé spécifique fournie par le fournisseur.
Valeur Saisissez la valeur VPN pour chaque clé.
Certificat d'identité Sélectionnez le certificat d'identité à utiliser pour la connexion VPN. Disponible lorsque Workspace ONE Tunnel est sélectionné dans Type de connexion.

Configurer les règles du VPN par application

Vous pouvez obliger certaines applications à se connecter via votre VPN d'entreprise. Votre fournisseur VPN doit prendre en charge cette fonctionnalité et vous devez publier les applications en tant qu'applications gérées.

Remarque : Le VPN par application ne prend pas en charge la configuration automatique du proxy Wi-Fi.

  1. Sélectionnez la section de configuration VPN dans la liste.

  2. Sélectionnez votre fournisseur VPN dans le champ Type de connexion.

  3. Configurez votre profil VPN.

  4. Sélectionnez Règles de VPN par application pour pouvoir associer le profil VPN aux applications souhaitées. Pour les clients Workspace ONE Tunnel, cette option est activée par défaut. Une fois la case cochée, ce profil peut être sélectionné dans la liste déroulante des profils de tunnel par application sur la page d'attribution de l'application.

  5. Cliquez sur Enregistrer et publier.

    Si les règles de VPN par application sont activées en tant que mise à jour d'un profil VPN existant, les terminaux/applications qui utilisaient auparavant la connexion VPN sont affectés. La connexion VPN qui acheminait précédemment tout le trafic d'applications est déconnectée et le VPN ne s'applique qu'aux applications associées au profil mis à jour.

Pour configurer des applications publiques afin d'utiliser le profil VPN par application, reportez-vous à la section Ajout d'applications publiques pour Android dans la Gestion des applications pour la publication Android.

Autorisations

Workspace ONE UEM Console permet à l'administrateur d'afficher une liste de toutes les autorisations qu'une application utilise et de définir l'action par défaut au moment de l'exécution de l'application. Le profil Autorisations est disponible sur les terminaux Android 6.0 et versions ultérieures utilisant les modes Terminaux gérés pour le travail et Profil professionnel.

Vous pouvez définir des politiques d'autorisation pour chaque application Android. Les dernières autorisations sont récupérées lors de la configuration de chaque application au niveau individuel.

Remarque : toutes les autorisations utilisées par une application sont énumérées lorsque vous sélectionnez l'application dans la liste Exceptions. Toutefois, les politiques d'autorisation de Workspace ONE UEM Console ne s'appliquent qu'aux autorisations considérées comme dangereuses par Google. Les autorisations dangereuses concernent les opérations où l'application demande des données qui incluent les informations personnelles de l'utilisateur ou qui pourraient potentiellement affecter les données stockées par l'utilisateur. Pour plus d'informations, veuillez consulter le site Web Android Developer.

Configurez les paramètres Autorisations, notamment :

Paramètres Description
Politique d'autorisation Choisissez si vous souhaitez demander l'autorisation à l'utilisateur, accorder toutes les autorisations ou refuser toutes les autorisations pour toutes les applications professionnelles.
Exceptions Recherchez les applications qui ont déjà été ajoutées dans AirWatch (applications Android approuvées uniquement) et faites une exception à la politique d'autorisation pour l'application.

Mode Verrouillage des tâches

Le mode Verrouillage des tâches permet à une application de s'épingler au premier plan, ce qui permet un usage unique tel que le mode Kiosque. L’application prend en charge le mode Verrouillage des tâches et est ajoutée via le paramètre Applications et livres pour s’afficher dans la liste blanche des applications. Le développeur d'application configure le paramètre Verrouillage des tâches lors du développement de l'application. Les paramètres du profil Verrouillage des tâches vous permettent de configurer les autorisations et les paramètres.

Remarque : Pour plus d'informations sur les applications prises en charge, consultez le lien dans le profil du mode Verrouillage des tâches dans Workspace ONE UEM Console qui vous renvoie vers le site Google Code pour des spécificités.

Configurer les paramètres du mode Verrouillage des tâches :

Paramètres Description
Applications sur liste blanche Sélectionnez les applications de votre choix pour verrouiller le terminal en mode Verrouillage des tâches.
Bouton Accueil Permet d'afficher le bouton Accueil sur l'écran pour que l'utilisateur puisse y accéder.
Bouton Applications récentes Permet d'afficher un aperçu des applications récemment utilisées.
Actions globales Permet aux utilisateurs d'appuyer longuement sur le bouton d'alimentation pour voir les actions globales, telles que le bouton d'alimentation ou d'autres actions courantes utilisées sur le terminal.
Notifications de l'application Permet d'afficher les icônes de notification dans la barre d'état.
Informations système dans la Barre d'état Permet d'afficher la barre d'informations du terminal avec des informations telles que l'autonomie de la batterie, la connectivité et le volume.
Verrouiller l'écran Active l'écran de verrouillage.

Meilleures pratiques pour le mode Verrouillage des tâches

Pensez à appliquer ces politiques et restrictions afin d'assurer la meilleure expérience et la meilleure maintenance pour votre application à finalité unique en utilisant les politiques du mode Verrouillage des tâches. Ces recommandations sont utiles si vous déployez un profil du mode Verrouillage des tâches pour les terminaux dans des cas d'utilisation de type kiosque et affichage numérique pour lesquels un utilisateur final n'est pas associé au terminal.

Créez un profil « Restrictions » et configurez les éléments suivants dans le profil :

  • Désactivez les options suivantes sous Fonctionnalités du terminal :
    • Autoriser barre d'état – Permet une expérience immersive lorsque le terminal est verrouillé en mode Verrouillage des tâches.
    • Autoriser Keyguard – Permet d'empêcher le verrouillage du terminal.
  • Désactivez les options suivantes sous Fonctionnalités du terminal :

    • Forcer l'activation de l'écran lorsque le terminal est branché sur un chargeur CA.
    • Forcer l'activation de l'écran lorsque le terminal est branché sur un chargeur USB.
    • Forcer l'activation de l'écran lorsque le terminal est branché sur un chargeur sans fil. Ces options permettent de s'assurer que l'écran du terminal est toujours activé pour l'interaction.

Déployez le profil Politique de mise à jour système pour vous assurer que le terminal reçoit les dernières corrections avec un minimum d'intervention manuelle.

Date/heure des terminaux Android

Configurez les paramètres de synchronisation de la date et de l'heure pour vous assurer que les terminaux ont toujours l'heure correcte dans différentes régions. Pris en charge sur les terminaux Android 9.0 ou version ultérieure.

Configurez les paramètres de date/heure :

Paramètre Description
Date/heure Définissez la source de données que vos terminaux consultent pour les paramètres de date et d'heure. Sélectionnez Automatique, URL HTTP ou Serveur SNTP.
Automatique : Définit la date et l'heure à partir des paramètres natifs des terminaux.
URL HTTP : Définit l'heure à partir d'une URL. Vous pouvez utiliser n'importe quelle URL, par exemple www.google.com.
Serveur SNTP : Saisissez l'adresse du serveur. par exemple time.nist.gov.
Pour l'URL HTTP et le serveur SNTP, configurez les paramètres supplémentaires : Activer la synchronisation périodique – Permet au terminal de synchroniser la date et l'heure à intervalles réguliers (en jours). Définir le fuseau – Précisez le fuseau horaire à partir des options disponibles.
Permettre à l'utilisateur de modifier la date et l'heure Activez ce mode pour permettre aux utilisateurs de modifier manuellement la date et l'heure à partir du terminal.

Date et heure des terminaux Samsung

Configurez les paramètres de synchronisation de la date et de l'heure pour vous assurer que les terminaux ont toujours l'heure correcte dans différentes régions.

Ce profil est disponible lorsque l'option Paramètres OEM est activée et que le champ Sélectionner OEM est défini sur Samsung dans les paramètres du profil général.

Remarque : Le profil Date/Heure s'affiche uniquement lorsque le champ Paramètres OEM est défini sur Activé.

Configurez les paramètres de date/heure pour Samsung, y compris :

Paramètre Description
Format de la date Modifiez l'ordre d'affichage du Mois, du Jour et de l'Année.
Format de l'heure Choisissez le format 12 ou 24 heures.
Date/heure Définissez la source de données que vos terminaux consultent pour les paramètres de date et d'heure :
Automatique : Définit la date et l'heure à partir des paramètres natifs des terminaux.
Heure du serveur : Définit l'heure en fonction de l'heure du serveur dans la Workspace ONE UEM Console au moment de la création du profil. Notez que cela peut entraîner un retard dans l'heure du terminal en raison de la latence de l'envoi des profils. Un champ supplémentaire s'affiche, Définir le fuseau horaire, ce qui vous permet de sélectionner le fuseau horaire.
URL HTTP : Définit l'heure à partir d'une URL. Vous pouvez utiliser n'importe quelle URL, par exemple www.google.com.
Serveur SNTP : Entrez le serveur.
Pour l'URL HTTP et le serveur SNTP, configurez les paramètres supplémentaires : Activer la synchronisation périodique – Permet au terminal de synchroniser la date et l'heure à intervalles réguliers (en jours). Définir le fuseau – Précisez le fuseau horaire à partir des options disponibles.

Workspace ONE Launcher

Workspace ONE Launcher est un lanceur d'applications qui vous permet de verrouiller les terminaux Android pour certains cas d'utilisation et de personnaliser l'apparence et le comportement des terminaux Android gérés. Workspace ONE Launcher remplace l'interface de votre terminal par une interface personnalisée, adaptée aux besoins de votre entreprise.

Vous pouvez configurer les terminaux Android 6.0 Marshmallow (et versions ultérieures) en mode Propriété de l'entreprise, utilisation unique (COSU, Corporate-Owned, Single-Use). Le mode COSU vous permet de configurer des terminaux avec une seule finalité telle que le mode kiosque en ajoutant sur la liste blanche les applications internes et publiques prises en charge. Le mode COSU est pris en charge pour les modes Application unique, Applications multiples et Modèle. Pour plus d'informations sur le déploiement du profil Workspace ONE Launcher en mode COSU, reportez-vous à la publication Workspace ONE Launcher.

Pour obtenir un guide plus complet sur la configuration de Workspace ONE Launcher, consultez la Publication sur Workspace ONE Launcher.

Firewall

La section de configuration Pare-feu permet aux administrateurs de configurer des règles de pare-feu pour les terminaux Android. Chaque type de règle de pare-feu vous permet d'ajouter plusieurs règles.

Ce profil est disponible lorsque l'option Paramètres OEM est activée et que le champ Sélectionner OEM est défini sur Samsung dans les paramètres du profil général.

Remarque : La section de configuration de pare-feu s'applique uniquement aux terminaux SAFE 2.0 et versions ultérieures.

  1. Accédez à Ressources > Profils et lignes de base > Profils > Ajouter > Ajouter un profil > Android.

    Le profil Pare-feu s'affiche uniquement pour les profils Android lorsque le champ Paramètres OEM est activé et que Samsung est sélectionné dans le champ Sélectionner OEM. Le champ Paramètres OEM du profil général s'applique uniquement aux profils Android et non aux configurations Android (héritées).

  2. Cliquez sur Terminal pour déployer votre profil.

  3. Configurez les paramètres du profil dans l'onglet Général.

    Les paramètres généraux déterminent la façon dont le profil est déployé et les utilisateurs qui le reçoivent.

  4. Sélectionnez le profil Pare-feu.

  5. Cliquez sur le bouton Ajouter sous la règle souhaitée et configurez les paramètres suivants :

    Paramètre Description
    Règles d'autorisation Permettent au terminal d'envoyer et de recevoir des données à partir d'un emplacement réseau spécifique.
    Règles de refus Empêchent le terminal d'envoyer et de recevoir des données à partir d'un emplacement réseau spécifique.
    Règles de redirection Redirigent le trafic provenant d'un emplacement réseau spécifique vers un autre réseau. Si un site Web autorisé redirige vers une autre URL, veuillez ajouter toutes les URL de redirection à la section Règles d'autorisation pour qu'il soit accessible.
    Règles d'exception de redirection Évite la redirection du trafic.
  6. Cliquez sur Enregistrer et publier.

APN

Configurez les paramètres du nom du point d'accès (APN) des terminaux Android pour unifier les paramètres d'opérateur de la flotte de terminaux et corriger les erreurs de configuration.

  1. Accédez à Ressources > Profils et lignes de base > Profils > Ajouter > Ajouter un profil > Android.

  2. Cliquez sur Terminal pour déployer votre profil sur un terminal.

  3. Configurez les paramètres du profil de l'onglet Général. Le profil APN s'affiche uniquement lorsque le champ Paramètres OEM est défini sur Activé et que Samsung est sélectionné dans le champ Sélectionner OEM.

    Les paramètres du profil général déterminent la façon dont le profil est déployé et les utilisateurs qui le reçoivent.

  4. Sélectionnez la section de configuration APN.

  5. Configurez les paramètres APN, y compris :

    Paramètre Description
    Nom d'affichage Indiquez un nom convivial pour le nom de l'accès.
    Nom du point d'accès (APN) Saisissez l'APN fourni par votre opérateur (par exemple, come.moto.cellular).
    Type de point d’accès Spécifie les types de communication de données qui doivent utiliser cette configuration APN.
    Code pays du réseau mobile (MCC) Saisissez les 3 chiffres de l'indicatif du pays. Cette valeur permet de vérifier si les terminaux itinérants utilisent un opérateur différent de celui indiqué ici. Elle est utilisée conjointement avec un code d'opérateur de réseau (MNC) pour identifier de manière unique un opérateur de réseau mobile (opérateur) via les réseaux mobiles GSM (y compris GSM-R), UMTS et LTE.
    Code du réseau mobile (MNC) Saisissez les 3 chiffres du code d'opérateur de réseau. Cette valeur permet de vérifier si les terminaux itinérants utilisent un opérateur différent de celui indiqué ici. Elle est utilisée conjointement avec un indicatif de pays (MCC) pour identifier de manière unique un opérateur de réseau mobile via les réseaux mobiles GSM (y compris GSM-R), UMTS et LTE.
    Serveur MMS (MMSC) Indiquez l'adresse du serveur.
    Numéro du serveur MMS proxy Saisissez le numéro du port MMS.
    Port du serveur proxy MMS Indiquez le port cible du serveur proxy.
    Serveur Saisissez le nom ou l'adresse utilisé(e) pour la connexion.
    Serveur proxy Saisissez les détails du serveur proxy.
    Port du serveur proxy Indiquez le port du serveur proxy pour tout le trafic.
    Nom d'utilisateur du point d'accès Indiquez le nom d'utilisateur utilisé pour la connexion au point d'accès.
    Mot de passe du point d'accès APN Indiquez le mot de passe utilisé pour l'authentification du point d'accès.
    Type d'authentification Sélectionnez le protocole d'authentification.
    Définir comme nom de point d'accès préféré Activez cette option pour vous assurer que les terminaux des utilisateurs finaux présentent tous les mêmes paramètres APN et empêcher que des modifications ne soient effectuées depuis les terminaux ou par l'opérateur.
  6. Cliquez sur Enregistrer et publier.

Protection contre la réinitialisation d'usine

La protection contre la réinitialisation d'usine (FRP, Factory Reset Protection) est une méthode de sécurité Android qui empêche l'utilisation d'un terminal après une réinitialisation aux paramètres d'usine non autorisée.

Lorsque ce paramètre est activé, le terminal protégé ne peut pas être utilisé après une réinitialisation d'usine jusqu'à ce que vous vous connectiez à l'aide du même compte Google précédemment configuré.

Si un utilisateur a activé FRP, lorsque le terminal est rendu à l'organisation (par exemple, lorsque l'utilisateur quitte la société), il se peut que vous ne puissiez pas configurer à nouveau le terminal en raison de cette fonctionnalité.

Le profil de protection contre la réinitialisation d'usine utilise un ID utilisateur Google qui vous permet de remplacer le compte Google après une réinitialisation d'usine pour attribuer le terminal à un autre utilisateur. Pour obtenir l'ID utilisateur Google, rendez-vous sur People:get.

Générer un ID d'utilisateur Google pour le profil de protection contre la réinitialisation d'usine pour les terminaux Android

Cet ID d'utilisateur Google vous permet de réinitialiser le terminal sans le compte Google d'origine. Obtenez votre ID d'utilisateur Google à l'aide de l'API People:get pour configurer le profil. Avant de commencer, vous devez obtenir votre ID utilisateur Google sur le site Web People:get.

  1. Accédez à People:get.

  2. Dans la fenêtre Essayer cette API, configurez les paramètres suivants.

    Paramètre Description
    resourceName Entrez people/me.
    personFields Entrez metadata,emailAddresses
    requestMask.includefield Laissez ce champ vide.
    Identifiants Activez les champs Google OAuth 2.0 et Clé API.
  3. Sélectionnez Exécuter.

  4. Connectez-vous à votre compte Google, si vous y êtes invité. Il s'agit du compte utilisé pour déverrouiller des terminaux lorsque FRP est activé.

  5. Sélectionnez Autoriser pour accorder des autorisations.

  6. Recherchez le nombre à 21 chiffres dans l'onglet application/json dans le champ id.

  7. Revenez dans Workspace ONE UEM console et configurez le profil de protection contre la réinitialisation d'usine d'entreprise.

Configurez le profil de protection contre la réinitialisation d’usine d'entreprise pour Android

Entrez l'ID d'utilisateur Google dans le profil de protection contre la réinitialisation d'usine d'entreprise.

  1. Accédez à Ressources > Profils et lignes de base > Profils > Ajouter > Ajouter un profil > Android.

  2. Configurez les paramètres de profil appropriés dans l'onglet Général.

  3. Sélectionnez la section de configuration Protection de la réinitialisation aux paramètres d'usine.

  4. Pour définir le niveau de contrôle de vos déploiements d'applications, configurez les paramètres suivants :

    Paramètre Description
    ID d'utilisateur Google Entrez l'ID d'utilisateur Google obtenu à partir de l'API People:get de Google.
  5. Cliquez sur Enregistrer et publier.

Zebra MX

Le profil Zebra MX vous permet de profiter des fonctionnalités supplémentaires offertes par l'application de service Zebra MX sur les terminaux Android. L'application de service Zebra MX peut être envoyée à partir de Google Play et distribuée depuis My Workspace ONE en tant qu'application interne dans Workspace ONE UEM Console avec ce profil.

  1. Accédez à Ressources > Profils et lignes de base > Profils > Ajouter > Ajouter un profil > Android.

  2. Configurez les paramètres de profil appropriés dans l'onglet Général. Activez le champ Paramètres OEM et sélectionnez Zebra dans le champ Sélectionner OEM pour activer le profil de service Zebra MX.

  3. Configurez les paramètres de profil Zebra MX :

    Paramètre Description
    Inclure les paramètres de Fusion Activez ce paramètre pour étendre les options Fusion aux adaptateurs Fusion pour terminaux Motorola.
    Activer Fusion 802.11d Activez ce paramètre pour utiliser Fusion 802.11d pour définir les paramètres Fusion 802.11d.
    Activer 802.11d Activez ce paramètre pour utiliser la spécification réseau sans fil 802.11d dans des domaines réglementaires supplémentaires.
    Configurer le code du pays Activez ce paramètre pour définir le code du pays à utiliser dans les spécifications 802.11d.
    Configurer la bande RF Activez ce paramètre pour choisir la bande 2.4 GHz, 5 GHz ou les deux, avec les masques de canal applicables.
    Autoriser le mode avion Activez cette option pour autoriser l'accès à l'écran des paramètres du mode Avion.
    Autoriser les positions fictives Activez ou désactivez les positions fictives (dans Paramètres > Options du développeur).
    Autoriser les données en arrière-plan Activez ou désactivez les données en arrière-plan.
    Conserver le Wi-Fi activé en mode veille Toujours activé – Le Wi-Fi reste activé lorsque le terminal passe en mode veille. Uniquement en cas de connexion – Le Wi-Fi reste activé lorsque le terminal passe en mode veille à la condition que ce dernier soit en cours de charge. Jamais activé – Le Wi-Fi est désactivé lorsque le terminal passe en mode veille.
    Utilisation des données en itinérance Activez cette option pour autoriser une connexion données en itinérance.
    Forcer l'activation du Wi-Fi Activez cette option pour forcer l'activation du Wi-Fi de sorte que l'utilisateur ne puisse pas le désactiver.
    Autoriser Bluetooth Activez cette option pour autoriser l'utilisation du Bluetooth.
    Autoriser le presse-papiers Activez cette option pour autoriser le copier/coller.
    Autoriser une notification de surveillance du réseau Activez cette option pour autoriser la notification Avertissement du module de surveillance du réseau, qui s'affiche normalement après l'installation des certificats.
    Activer les paramètres de date/heure Activez ce paramètre pour définir les paramètres de date/heure
    Format de la date : Définissez l'ordre d'affichage du mois, du jour et de l'année.
    Format de l'heure : Sélectionnez 12 ou 24 heures.
    Date/Heure : Définissez la source de données que vos terminaux consulteront pour les paramètres de date et d'heure :
    Automatique – Définit la date et l'heure à partir des paramètres natifs des terminaux.
    Heure du serveur – Définit l'heure à partir de l'heure du serveur de Workspace ONE UEM Console.
    Définir le fuseau horaire – Précisez le fuseau horaire.
    URL HTTP : Workspace ONE UEM Intelligent Hub atteint l'URL et récupère l'horodatage à partir de l'en-tête HTTP. Il applique ensuite celui-ci au terminal. Il ne gère pas les sites de redirection
    URL – Indiquez le site web utilisé pour la date et l'heure, Doit inclure « http:// ». Exemple : http://www.google.com (HTTPS n'est pas pris en charge).
    Activer la synchronisation périodique – Permet au terminal de vérifier la date et l'heure à intervalles réguliers (en jours).
    Définir le fuseau horaire – Précisez le fuseau horaire.
    Serveur SNTP : - Les paramètres NTP sont appliqués directement au terminal.
    URL : saisissez l'adresse Web du serveur NTP/SNTP. par exemple time.nist.gov.
    Activer la synchronisation périodique – Permet au terminal de vérifier la date et l'heure à intervalles réguliers (en jours).
    Activer les paramètres du son Activez les paramètres du son pour configurer les paramètres audio sur le terminal. - Musique, vidéos, jeux et autres médias : Positionnez le curseur selon le volume sonore que vous souhaitez définir sur le terminal.
    Sonneries et notifications : Positionnez le curseur selon le volume sonore que vous souhaitez définir sur le terminal.
    Appels vocaux : Positionnez le curseur selon le volume sonore que vous souhaitez définir sur le terminal.
    Activer les notifications par défaut : Permet aux notifications par défaut du terminal d'émettre un son.
    Activer la tonalité des touches du pavé de numérotation : Permet aux touches du pavé de numérotation d'émettre un son.
    Activer la tonalité des touches : Permet aux touches d'émettre un son.
    Activer les sons du verrouillage de l'écran : Permet au terminal d'émettre un son au verrouillage.
    Activer la fonction Vibrer au toucher** : Permet d'activer l'option de vibration.
    Activer les paramètres d’affichage Activez cette option pour définir les paramètres d’affichage : - Luminosité de l'écran : Positionnez le curseur selon le niveau de luminosité que vous souhaitez définir sur le terminal.
    Activer la rotation automatique de l'écran : Positionnez le curseur selon le niveau de luminosité que vous souhaitez définir sur le terminal.
    Configurer le mode veille : Indiquez le délai avant que l'écran ne passe en mode veille.
  4. Cliquez sur Enregistrer et publier.

Paramètres personnalisés

La section de configuration Paramètres personnalisés peut être utilisée en cas de mise à disposition d'une nouvelle version d'Android ou de nouvelles fonctions non prises en charge par les sections de configuration natives de Workspace ONE UEM Console. Utilisez la charge utile Paramètres personnalisés et le code XML pour activer ou désactiver manuellement certains paramètres.

  1. Accédez à Ressources > Profils et lignes de base > Profils > Ajouter > Ajouter un profil > Android.

  2. Configurez les paramètres du profil de l'onglet Général.

  3. Configurez les sections de configuration applicables (Restrictions ou Code d'accès, par exemple).

    Afin d'éviter tout impact sur les autres utilisateurs avant l'enregistrement et la publication de la configuration, vous pouvez travailler sur une copie de votre profil, enregistrée dans un groupe organisationnel « test ».

  4. Enregistrez votre profil, mais ne le publiez pas.

  5. Cliquez sur le bouton radio dans l'affichage en liste des profils pour la ligne du profil que vous souhaitez personnaliser.

  6. Cliquez sur le bouton XML en haut pour afficher le profil XML.

  7. Pour la charge utile de profil que vous avez configurée précédemment, copiez la section de code XML délimitée par les et balises (y compris ces balises). Si le profil comporte plusieurs charges utiles, identifiez les balises pour la charge utile pour laquelle vous souhaitez copier le code XML. Par exemple, un profil de code secret aura une balise avec la valeur « type » égale à com.airwatch.android.androidwork.apppasswordpolicy.

  8. Copiez cette portion de texte et fermez la vue XML. Ouvrez votre profil.

  9. Sélectionnez la section de configuration Paramètres personnalisés puis cliquez sur Configurer. Collez le code XML que vous venez de copier dans la zone de texte. Le code XML doit contenir un bloc de code complet, de  à .

    • Ce fichier XML doit contenir le bloc complet de code tel qu'il est répertorié pour chaque XML personnalisé.
    • Les administrateurs doivent configurer chaque paramètre de à comme vous le souhaitez.
    • Si des certificats sont requis, configurez une charge utile de certificat dans le profil et référencez le PayloadUUID dans la charge utile des paramètres personnalisés.
  10. Supprimez la section de configuration que vous aviez configurée à l'origine en sélectionnant la section de configuration de base et en cliquant sur le bouton moins (-). Vous pouvez maintenant améliorer le profil en ajoutant du code XML personnalisé pour les nouvelles fonctionnalités.

    • Lors de l'application de paramètres personnalisés pour le profil Launcher, assurez-vous d'utiliser le type de caractéristique approprié pour votre type de profil :

      • Pour les profils Android, utilisez le type de caractéristique = « com.airwatch.android.androidwork.launcher ».
      • Pour les profils Android (hérités), utilisez le type de caractéristique = « com.airwatch.android.kiosk.settings ».

    les améliorations apportées ne s'appliquent pas aux terminaux qui n'ont pas été mis à niveau vers la dernière version. Une fois le code personnalisé, il est recommandé de tester les terminaux du profil avec des versions précédentes afin de vérifier leur comportement.

  11. Cliquez sur Enregistrer et publier.

Transférer la configuration de l’application pour les applications

Vous pouvez transférer des paires clé-valeur de configuration de l'application via le profil Paramètres personnalisés Android. Pour ce faire, suivez le modèle ci-dessous et fournissez : - L’ID de package d’application - Pour chaque paire clé-valeur de configuration d'application, le nom de clé, la valeur et le type de données de valeur

    <characteristic uuid="a0a4acc3-9de1-493b-b611-eb824ffed00f" type="com.airwatch.android.androidwork.app:packageID" target="1">
    <parm name="key1" value="string" type="string" />
    <parm name="key2" value="1" type="integer" />
    <parm name="key3" value="False" type="boolean" />
        </characteristic>

Exemple

<characteristic uuid="a0a4acc3-9de1-493b-b611-eb824ffed00f" type="com.airwatch.android.androidwork.app:com.airwatch.testapp" target="1">
    <parm name="server_hostname" value="test.com" type="string" />
    <parm name="connection_timeout" value="60" type="integer" />
    <parm name="feature_flag" value="True" type="boolean" />
</characteristic>

Remarque : La configuration de l'application peut être ajoutée lors de l'attribution d'applications Android. Pour plus d'informations, reportez-vous à la section Ajouter des attributions et des exclusions à vos applications.

Application de VPN sur liste autorisée pour le VPN Always On

Pour mettre sur liste autorisée un client VPN pour le VPN Always On, transférez une charge utile de profil Paramètres personnalisés à l'aide de ce modèle et fournissez le PackageID de l'application

<characteristic uuid="a0a4acc3-9de1-493b-b611-eb824ffed00f" type="com.airwatch.android.androidwork.app:packageID" target="1">
    <parm name="EnableAlwaysOnVPN" value="True" type="boolean" />
</characteristic>

Remarque : Pour transférer la configuration d'application et activer le VPN Always On pour une application, combinez cette paire clé-valeur avec les paires clé-valeur de configuration de l'application et déployez en tant que charge utile unique Paramètres personnalisés.

XML personnalisé pour les terminaux Android

Dans Android 11, les clients qui utilisent des attributs personnalisés tiers doivent utiliser le profil Paramètres personnalisés pour spécifier un autre emplacement pour stocker les fichiers d'attributs personnalisés. Les applications des clients devront également cibler ce même emplacement de dossier, ce qui peut nécessiter des modifications dans leur application.

Exemple de XML personnalisé (la valeur peut différer en fonction de la préférence client) :

<characteristic type="com.android.agent.miscellaneousSettingsGroup" uuid="2c787565-1c4a-4eaa-8cd4-3bca39b8e98b">
<parm name="attributes_file_path" value="/storage/emulated/0/Documents/Attributes"/></characteristic>

Fonctionnalités des profils spécifiques pour Android

Les matrices des fonctionnalités donnent un aperçu des fonctions clés spécifiques des OS disponibles et mettent en avant les plus importantes d'entre elles pour l'administration des terminaux pour Android.

Fonctionnalité Profil professionnel Terminaux gérés pour le travail
Contrôle d'applications
Désactiver l'accès aux applications sur liste noire
Empêcher la désinstallation des applications obligatoires
Activer la stratégie de mise à jour système  
Gestion des autorisations au moment de l'exécution
Navigateur
Autoriser les cookies
Autoriser les images
Activer JavaScript
Autoriser les fenêtres pop-up
Autoriser le suivi de la localisation
Configurer les paramètres proxy
Forcer Google SafeSearch
Forcer le mode sécurisé de Youtube
Activer Touch to Search
Activer le moteur de recherche par défaut
Activer le gestionnaire de mots de passe
Activer les autres pages d'erreur
Activer la saisie automatique
Activer l'impression
Activer la fonctionnalité proxy de compression des données
Activer la navigation sécurisée
Désactiver la sauvegarde de l'historique du navigateur
Empêcher de continuer après une alerte de navigation sécurisée
Désactiver le protocole SPDY
Activer la prédiction du réseau
Activer les fonctionnalités obsolètes de la plateforme Web pour une durée limitée
Forcer la recherche sécurisée
Disponibilité de la navigation privée
Autorise la connexion à Chromium
Activer la suggestion de recherche
Activer la traduction
Autoriser les signets
Autoriser l'accès à certaines URL
Bloquer l'accès à certaines URL
Définir la version SSL minimale
Politique de mot de passe
Demander à l'utilisateur de définir un nouveau code d'accès
Nombre maximum de tentatives de mot de passe ayant échoué
Autoriser les codes d'accès simples
Mot de passe alphanumérique autorisé
Définir le délai de verrouillage du terminal (min)
Définir la durée de vie maximale du code d'accès
Longueur de l'historique du mot de passe
Longueur de l'historique du mot de passe
Définir la longueur minimale du code d'accès
Définir le nombre minimum de chiffres
Définir le nombre minimum de minuscules
Définir le nombre minimum de majuscules
Définir le nombre minimum de majuscules
Définir le nombre minimum de caractères spéciaux
Définir le nombre minimum de symboles
Commandes
Autoriser l'effacement des données professionnelles
Autoriser la réinitialisation du terminal  
Autoriser l'effacement du conteneur ou du profil  
Autoriser l'effacement de la carte SD  
Verrouillage du terminal
Autoriser le verrouillage du conteneur ou du profil    
E-mail
Configuration de la messagerie native
Autoriser la synchronisation du calendrier et des contacts
Réseau
Configurer les types VPN
Activer le VPN par application (disponible uniquement pour les clients VPN spécifiques)
Utiliser l'ouverture de session Web pour l'authentification (disponible uniquement pour les clients VPN spécifiques)
Définir le proxy global HTTP
Autoriser la connexion données au Wi-Fi
VPN toujours actif
Chiffrement
Exiger le chiffrement complet du terminal
Signaler le statut de chiffrement    
check-circle-line exclamation-circle-line close-line
Scroll to top icon