Confidentialité pour les déploiements de terminaux personnels

L'une des plus grandes préoccupations des utilisateurs finaux qui utilisent des terminaux personnels est la confidentialité du contenu personnel sur leurs terminaux gérés par Workspace ONE UEM. Votre organisation doit garantir aux employés que leurs données personnelles ne sont pas soumises à la supervision de l'entreprise.

Avec Workspace ONE UEM, vous pouvez garantir la confidentialité des données personnelles en créant des stratégies de confidentialité personnalisées qui ne collectent pas de données personnelles en fonction du type de propriété du terminal. En outre, vous pouvez définir des paramètres de confidentialité granulaire pour désactiver la collecte des informations de nature à identifier personnellement et interdire certaines actions distantes sur des terminaux détenus par des employés afin de préserver la vie privée de ces derniers.

Vous devez informer vos employés de la manière dont leurs données sont collectées et stockées lorsqu'ils s'enrôlent dans Workspace ONE UEM.

Pour plus d'informations sur la manière dont VMware traite les données collectées via Workspace ONE UEM, comme les analyses, consultez la Déclaration de confidentialité de VMware à l'adresse https://www.vmware.com/help/privacy.html.

Important : Les divers pays et juridictions présentent des réglementations différentes régissant les données pouvant être collectées auprès des utilisateurs finaux. Votre organisation doit soigneusement étudier les lois applicables avant de configurer vos stratégies d'utilisation de terminaux personnels et de confidentialité.

Configurer les paramètres de confidentialité

La confidentialité des utilisateurs finaux est notre première préoccupation pour vous et vos utilisateurs. Workspace ONE UEM offre un contrôle granulaire sur les données collectées des utilisateurs et sur les données visibles par les administrateurs. Configurez les paramètres de confidentialité pour répondre aux besoins de vos utilisateurs et à ceux de votre activité.

Vérifiez et adaptez les politiques de confidentialité en fonction de la propriété du terminal ce qui vous permet de vous conformer aux lois de protection des données en vigueur dans d'autres pays ou aux restrictions légalement définies.
Assurez-vous que la surveillance informatique est en place, empêchant ainsi la surcharge des serveurs et des systèmes.

Important : chaque territoire a ses propres lois régissant les types de données qui peuvent être recueillies auprès des utilisateurs finaux. Effectuez une recherche détaillée avant de configurer vos politiques de confidentialité.

Cette capture d'écran montre le paramètre système Confidentialité dans Terminaux et utilisateurs, Général, qui vous permet de configurer les paramètres de confidentialité.

Naviguez vers Terminaux > Paramètres des terminaux > Terminaux et utilisateurs > Général > Confidentialité.
Sélectionnez les paramètres appropriés pour la collecte des données suivantes : GPS, Télécoms, Applications, Profils et Réseau.
- - Collecter et afficher – Les données utilisateur sont collectées et affichées dans la console UEM.
- - Collecter, ne pas afficher – Les données utilisateur sont collectées pour les rapports, mais ne sont pas affichées dans la console UEM.
- - Ne pas collecter – Les données utilisateur ne sont pas collectées et, par conséquent, ne sont pas affichées.
Sélectionnez le paramètre approprié pour les commandes possibles sur les terminaux. Vous pouvez envisager de désactiver toutes les commandes à distance pour les terminaux personnels, en particulier la réinitialisation complète. Ceci empêche l'effacement ou la suppression par inadvertance du contenu personnel d'un utilisateur final. Si vous désactivez la fonction d'effacement pour certains types de propriété des terminaux iOS, les utilisateurs ne voient pas l'autorisation « Effacer tous les contenus et paramètres » lors de l'enrôlement.

Remarque : Si vous modifiez les paramètres de confidentialité de Empêcher () à Autoriser ( ou ) sur le verrouillage à distance, l'arrêt, le redémarrage ou l'effacement du code secret, tout terminal Apple précédemment enrôlé doit être réenrôlé avec le nouveau paramètre de confidentialité avant de pouvoir effectuer ces actions à distance sur ces périphériques Apple.
- - Autoriser – La commande est effectuée depuis des terminaux sans autorisation de l'utilisateur.
- - Autoriser avec la permission de l'utilisateur – La commande est exécutée sur les terminaux uniquement si l'utilisateur le permet.
- - Bloquer – La commande ne s'exécute pas sur les terminaux.
Si vous autorisez le contrôle à distance, le gestionnaire de fichiers ou l'accès au gestionnaire du registre pour les terminaux durcis Android/Windows, nous vous conseillons d'utiliser l'option Autoriser cette action avec la permission de l'utilisateur. Ce paramètre exige que l'utilisateur final consente à ce que l'administrateur accède à son terminal via une invite avant l'exécution de la commande. Si vous autorisez l'utilisation de toutes les commandes, veillez à le mentionner clairement dans vos conditions d'utilisation.
Pour les informations utilisateur, indiquez si vous voulez afficher ou ne pas afficher dans la console les informations relatives au prénom, au nom de famille, au numéro de téléphone, aux comptes de messagerie et au nom d'utilisateur.
Si une option autre que le nom d’utilisateur est définie sur Ne pas afficher, elle indique alors « Privé » quelles que soient les sections de la console dans lesquelles elle apparaît. Vous ne pouvez pas rechercher les options définies sur Ne pas afficher dans la console. Lorsqu'un nom d'utilisateur est défini sur Ne pas afficher, il indique alors « Privé » sur les pages Affichage en liste des terminaux et Détails du terminal seulement. Toutes les autres pages de la console affichent le nom d'utilisateur de l'utilisateur enrôlé.
Si vous le souhaitez, vous pouvez chiffrer les informations d'identification personnelles, notamment le prénom, le nom de famille, l'adresse e-mail et le numéro de téléphone. Accédez à Groupes et paramètres > Tous les paramètres > Système > Sécurité > Sécurité des données depuis le groupe organisationnel client ou global pour lequel vous souhaitez configurer le chiffrement. Activez le chiffrement, sélectionnez les champs de données utilisateur à chiffrer et cliquez sur Enregistrer pour chiffrer les données. En procédant ainsi, vous limiterez certaines fonctionnalités de la console, comme la recherche, le tri et le filtrage.
Sélectionnez si vous souhaitez Activer ou Désactiver le Mode Ne pas déranger sur le terminal. Ce paramètre permet aux utilisateurs d'ignorer les commandes MDM pour une période donnée. Lorsque cette option est activée, vous pouvez sélectionner une période de grâce ou une durée d'activation définie en minutes, heures ou jours à l'issue de laquelle le Mode Ne pas déranger expire.
Sélectionnez Activer ou Désactiver la déclaration de confidentialité conviviale sur le terminal.
Lorsqu'elle est activée, vous pouvez sélectionner Oui (afficher une déclaration de confidentialité) ou Non (ne pas afficher de déclaration de confidentialité) pour chaque niveau de propriété : Personnel, Professionnel, Partagé, et Inconnu.
Cliquez sur Enregistrer. L’accès aux paramètres de confidentialité étant restreint, vous devez entrer votre code PIN de console à quatre chiffres pour pouvoir continuer.

Déploiement de la déclaration de confidentialité

Les déclarations de confidentialité sont automatiquement configurées en fonction du groupe organisationnel et du type de propriété du terminal se connectant. Vous pouvez afficher une déclaration de confidentialité pour chaque type de propriété : Personnel, Professionnel, Partagé, et Inconnu.

Lorsque vous attribuez un type de propriété pour recevoir les déclarations de confidentialité, tous les utilisateurs du type de propriété sélectionné reçoivent la notification de confidentialité sous forme de raccourci. Si vous avez inséré la valeur de recherche de la déclaration de confidentialité PrivacyNotificationUrl dans votre modèle de message, ce dernier contient alors une URL qui permet à l'utilisateur de lire la déclaration de confidentialité.

Les utilisateurs reçoivent automatiquement la déclaration de confidentialité si :

ils enrôlent un nouveau terminal et qu'ils appartiennent à un type de propriété pour lequel la déclaration de confidentialité est activée.
Ils utilisent actuellement un terminal enrôlé et leur type de propriété est modifié après l'enrôlement pour un type qui attribue le raccourci Web.

Pour savoir comment déployer une déclaration de confidentialité lors de l'activation du terminal, consultez la rubrique Inscrire un terminal individuel.

Créer une déclaration de confidentialité pour les utilisateurs BYOD

Informez vos utilisateurs des données collectées sur leurs terminaux enrôlés par votre compagnie à l'aide d'une notification de déclaration de confidentialité. Définissez avec votre service juridique quel message communiquer à vos utilisateurs concernant la collecte des données.

Cette capture d'écran montre le paramètre système Modèle de message dans Terminaux et utilisateurs, Général, qui vous permet de créer une déclaration de confidentialité pour les utilisateurs BYOD.

Naviguez vers Groupes et paramètres > Tous les paramètres > Terminaux et utilisateurs > Général > Modèles de message.
Cliquez sur Ajouter pour créer un modèle. Si vous avez déjà créé un modèle de notification de déclaration de confidentialité, sélectionnez-le dans la liste de modèles disponibles ou modifiez-le.

Complétez les paramètres Ajouter/Modifier le modèle de message.

Paramètre	Description
Nom	Saisissez un nom pour le modèle de message.
Description	Saisissez une description du modèle créé.
Catégorie	Cliquez sur Enrôlement.
Type	Sélectionnez Activation du terminal MDM.
Sélectionner la langue	Sélectionnez la langue par défaut pour votre message. Cliquez sur Ajouter pour ajouter plus de langues par défaut pour une distribution multilingue.
Par défaut	Attribuez ce modèle comme modèle de message par défaut.
Type de message	Sélectionnez un ou plusieurs types de messages : E-mail, SMS, ou message Push.

Créez une notification de contenu. Les types de message sélectionnés dans Type de message décident des messages prêts à être configurés.

Élément	Description
E-mail
Mise en forme du contenu de l'e-mail	Choisissez entre Texte brut et HTML pour votre notification.
Objet	Saisissez l'objet de votre notification.
Corps du message	Rédigez le message de l'e-mail à envoyer à vos utilisateurs. Les outils de modification et de mise en forme qui s'affichent dans la zone de texte dépendent du format sélectionné dans la Mise en forme du contenu de l'e-mail. Si vous avez activé la déclaration de confidentialité visuelle, veuillez inclure la valeur de recherche `PrivacyNotificationUrl` dans le corps du message.
SMS
Corps du message	Rédigez le message du SMS à envoyer à vos utilisateurs. Si vous avez activé la déclaration de confidentialité visuelle, veuillez inclure la valeur de recherche `PrivacyNotificationUrl` dans le corps du message.
Notification Push
Corps du message	Rédigez le message de la notification Push à envoyer à vos utilisateurs. Si vous avez activé la déclaration de confidentialité visuelle, veuillez inclure la valeur de recherche `PrivacyNotificationUrl` dans le corps du message.

Cliquez sur Enregistrer.

Meilleures pratiques relatives à la confidentialité

Trouver l'équilibre entre vos besoins professionnels et les problèmes de confidentialité de vos employés pose un défi réel. Il existe des méthodes simples pour gérer les paramètres de confidentialité afin de trouver le meilleur équilibre.

Important : chaque déploiement est différent. Adaptez au mieux les paramètres et politiques à votre organisation en consultant vos propres équipes juridique, RH et de gestion.

Informations utilisateur pour les meilleures pratiques en matière de confidentialité

En général, vous pouvez afficher les informations sur un utilisateur comme le prénom, le nom de famille, le numéro de téléphone et l'adresse e-mail pour les terminaux personnels et professionnels.

Informations sur l'application pour les meilleures pratiques en matière de confidentialité

En général, il est approprié de définir la collecte des informations sur les applications sur Ne pas collecter ou Collecter, ne pas afficher pour les terminaux personnels. Ce paramètre est important, car les applications publiques installées sur un terminal peuvent être considérées comme des informations identifiables personnelles si elles sont affichées. Pour les terminaux professionnels, toutes les applications installées sur le terminal seront rapportées à Workspace ONE UEM.

Si l'option « Ne pas collecter » est sélectionnée, seules les informations relatives aux applications personnelles ne seront pas collectées. Workspace ONE UEM collecte toutes les applications gérées, qu'elles soient publiques, internes ou achetées.

Commandes à distance pour les meilleures pratiques en matière de confidentialité

Pensez à désactiver toutes les commandes à distance pour les terminaux personnels. Cependant, si vous souhaitez autoriser les actions ou les commandes à distance, nous vous conseillons de mentionner explicitement ces actions et commandes distantes dans vos conditions d'utilisation.

Collecte de coordonnées GPS pour les meilleures pratiques en matière de confidentialité

La collecte des coordonnées GPS a un lien fondamental avec les préoccupations en matière de protection de la vie privée. Bien que la collecte de données GPS pour les terminaux appartenant à l'employé ne soit pas appropriée, les remarques suivantes s'appliquent à tous les terminaux enrôlés dans Workspace ONE UEM.

Seul Workspace ONE Intelligent Hub renvoie les données de localisation GPS du terminal à la console.
- Les autres applications qui utilisent le SDK Workspace ONE comme VMware Browser, Content, Boxer, etc. n'envoient pas les données GPS à la console.
- Le GPS est généralement utilisé pour les terminaux perdus ou volés. Il est également utilisé lorsque l'emplacement d'un terminal fait partie intégrante d'une fonction de Workspace ONE UEM Console, comme les géo-barrières.
- Lorsque les données GPS sont rapportées, Workspace ONE UEM définit une région de 1 km autour de cet emplacement. Elle rapporte ensuite les informations de localisation lorsque le terminal se situe en dehors de la région.

Données de télécommunications pour les meilleures pratiques

Il est uniquement approprié de collecter les données de Télécom des terminaux personnels si elles font partie d'une allocation dans le cadre de laquelle vous financez le forfait mobile de l'utilisateur. Dans ce cas, ou pour les terminaux professionnels, les remarques suivantes concernant les données collectées s'appliquent :

Opérateur téléphonique/Code pays - Le code pays et l'opérateur téléphonique sont enregistrés et peuvent être utilisés à des fins de suivi de Télécom. Les forfaits sont établis et attribués de manière appropriée aux terminaux en fonction de l’opérateur téléphonique et du pays. Vous pouvez utiliser ces informations pour suivre les terminaux par opérateur téléphonique et pays d'origine ou par opérateur téléphonique et pays actuels.
Statut de l'itinérance – Ce statut peut être utilisé pour suivre les terminaux dont le statut est « En itinérance » ou « Pas en itinérance ». Des stratégies de conformité peuvent être définies pour désactiver les appels et les données mobiles en itinérance ou pour effectuer d'autres actions de conformité. En outre, si un forfait Télécom est attribué à un terminal, Workspace ONE UEM peut suivre l'utilisation des données mobiles en itinérance. La collecte et la surveillance du statut d'itinérance peuvent être utiles pour éviter les surcoûts élevés des opérateurs téléphoniques, lors de l'itinérance.
Utilisation des données mobiles – L'utilisation des données mobiles désigne l'utilisation des données en nombre total d'octets envoyés et reçus. Ces données peuvent être collectées pour chaque terminal mobile. Si un forfait Télécom est attribué au terminal, vous pouvez surveiller l'utilisation des données d'après le pourcentage du nombre total de données par cycle de facturation. Cette fonctionnalité vous permet de créer des politiques de conformité basées sur le pourcentage de données utilisées et vous permet d'éviter les surcoûts élevés facturés par les opérateurs téléphoniques.
Utilisation des appels – L'utilisation des appels désigne le nombre de minutes d'appel qui peut être collecté pour chaque terminal mobile. Comme pour l'utilisation des données, si un forfait Télécom est attribué au terminal, vous pouvez surveiller l'utilisation d'après le pourcentage de minutes consommées par cycle de facturation. Cette méthode vous permet de créer des politiques de conformité basées sur le pourcentage de minutes utilisées et peut s'avérer utile pour éviter les surcoûts élevés des opérateurs téléphoniques.
Utilisation des SMS – L'utilisation des SMS désigne le nombre de SMS qui peut être collecté pour chaque terminal mobile. Comme pour l'utilisation des données, si un forfait Télécom est attribué au terminal, vous pouvez surveiller l'utilisation des SMS d'après le pourcentage du nombre total de messages par cycle de facturation. Cette méthode vous permet de créer des politiques de conformité basées sur le pourcentage de messages utilisés. La surveillance de l'utilisation des SMS permet d'éviter les surcoûts élevés facturés par les opérateurs téléphoniques.

Collecte de données utilisateur auprès des utilisateurs finaux BYOD

L'infrastructure Workspace ONE UEM collecte et stocke de nombreux types de données générées par l'utilisateur. La matrice suivante fait correspondre chaque type de données aux plateformes et aux systèmes d'exploitation à partir desquels les données peuvent être collectées.

Utilisez cette matrice pour déterminer la collecte de données nécessaire à votre déploiement. Workspace ONE UEM définit également des données facultatives que vous pouvez collecter, telles que le MAC Bluetooth. Vous pouvez configurer ces options et attribuer des paramètres de confidentialité par type de propriété : professionnel, partagé et détenu par l'employé.

✓ - Peut être collecté.

X - Ne peut pas être collecté.

✓* - Peut être collecté sur des déploiements Workspace ONE Intelligent Hub.

✓** - Peut être collecté sur des déploiements Workspace ONE Intelligent Hub ou iOS 9.3+ mode Supervisé.

	Android	Apple iOS	macOS	Windows durcis	Windows Desktop
Suivi d'application
Afficher les applications internes installées	✓	✓	✓	X	✓
Afficher les versions des applications	✓	✓	✓	X	✓
Capturer l'état de l'application	✓	X	✓	X	✓
Certificats
Afficher la liste des certificats installés	✓	✓	✓	X	✓*
Suivi des actifs
Nom du terminal	✓	✓	✓	✓	✓
UDID du terminal	✓	✓	✓	✓	✓
Numéro de téléphone	✓	✓	X	✓	✓
Numéro IMEI/MEID	✓	✓	X	✓	✓
Numéro de série du terminal	✓	✓	✓	✓	✓
Numéro IMSI	✓	X	X	✓	✓
Modèle du terminal	✓	✓	✓	✓	X
Nom du modèle de terminal (convivial)	X	✓	✓	✓	X
Fabricant	✓	✓	✓	✓	✓
Version du système d'exploitation	✓	✓	✓	✓	✓
Build du système d'exploitation	✓	X	✓	✓	✓
Version du microprogramme/noyau	X	X	✓	X	X
Suivi des erreurs du terminal	X	X	✓	✓	✓
Statut des terminaux
Batterie disponible	✓	✓	✓	✓	✓
Capacité de la batterie	✓	✓	✓	✓	X
Mémoire disponible	✓	✓	✓	✓	X
Capacité de la mémoire	✓	✓	✓	✓	X
Emplacement
Suivi GPS	✓	✓**	✓	✓	✓
Données Bluetooth	✓	✓**	✓	✓	✓
Données USB	X	✓**	✓	✓	✓
Réseau
Adresse IP Wi-Fi	✓	✓	✓	✓	✓
MAC Wi-Fi	✓	✓	✓	✓	✓
Taille du signal Wi-Fi	X	X	✓	✓	✓
Version des paramètres de l'opérateur	✓	✓	X	X	X
Force du signal mobile	✓	X	X	X	X
Technologie mobile (aucune, GSM, CDMA)	✓	✓	X	X	X
MCC actuel	✓	✓	X	X	X
MNC actuel	✓	✓	X	X	X
Numéro de carte SIM	✓	✓	X	X	✓
Réseau de l'opérateur de la carte SIM	✓	✓	X	X	X
MNC de l'abonné	✓	✓	X	X	X
MAC Bluetooth	✓	✓	✓	X	X
Afficher les adresses IP	✓	✓	✓	X	X
Afficher les adaptateurs LAN	X	X	✓	X	X
Afficher les adresses MAC	✓	✓	✓	X	X
Itinérance
Détecter l'état d'itinérance	✓	✓	X	X	X
Désactiver les notifications Push en itinérance	X	✓	X	X	X
Itinérance vocale activée (autorisée)	X	✓	X	X	X
Utilisation des données
Suivi de l'utilisation des données via le réseau mobile	✓	✓	X	X	X
Suivi de l'utilisation des données via un réseau Wi-Fi	X	X	X	X	X
Appels
Suivi de l'historique des appels	✓	X	X	X	X
Messages
Suivi de l'historique des SMS	✓	X	X	X	X
État cellulaire
Réseau de l'opérateur actuel	✓	✓	X	X	X
État actuel du réseau	✓	✓	X	X	X
Affichage à distance
Terminal de contrôle à distance	✓	X	✓	✓	✓
Capture d'écran (enregistrement, e-mail, impression, etc.)	✓	X	✓	✓	✓
Partage d'écran (vue à distance dans les applications)	✓	✓	X	✓	✓
Gestionnaire de fichiers
Accès au gestionnaire de fichiers du terminal	✓	X	✓	✓	✓
Accès au gestionnaire de registre du terminal	X	X	X	✓	✓
Copie des fichiers	✓	X	✓	✓	✓
Création de dossiers	✓	X	✓	✓	✓
Téléchargement de fichiers à partir du terminal	✓	X	✓	✓	✓
Déplacement de fichier	✓	X	✓	✓	✓
Renommer les dossiers et les fichiers	✓	X	✓	✓	✓
Télécharger les fichiers vers le terminal	✓	X	✓	✓	✓

Conditions d'utilisation pour les utilisateurs finaux de terminaux personnels

Pour des raisons de responsabilité, vous devez informer les employés des données collectées et des actions autorisées sur les terminaux enrôlés dans Workspace ONE UEM. Pour vous aider à communiquer votre stratégie, créez des accords de Conditions d'utilisation dans Workspace ONE UEM.

Les utilisateurs sont invités à lire et à accepter les conditions d'utilisation que vous configurez avant de pouvoir activer MDM sur leurs terminaux personnels. En attribuant des accords de Conditions d'utilisation en fonction du type de propriété, vous pouvez créer et distribuer des accords différents pour les utilisateurs professionnels et BYOD.

Une fois que votre organisation a écrit son accord de Conditions d'utilisation, envisagez de le communiquer aux utilisateurs finaux dans un livre blanc de une à deux pages n'utilisant pas le jargon juridique. Ce livre blanc ne constitue pas les Conditions d'utilisation officielles acceptées par les utilisateurs finaux, mais sert plutôt à communiquer vos stratégies d'entreprise. Idéalement, les utilisateurs finaux ne voient pas les conditions d'utilisation des terminaux détenus par les employés lorsqu'ils inscrivent leur terminal pour la première fois. Vous devez être transparents concernant les informations de l'utilisateur final que vous collectez et la manière dont vos stratégies relatives à l’utilisation des terminaux personnels les affectent.

Restrictions pour les terminaux personnels

Workspace ONE UEM vous permet de déployer des stratégies de sécurité et des restrictions différentes pour les terminaux détenus par un employé et les terminaux professionnels.

À l'aide de profils de restriction, vous pouvez définir des restrictions strictes pour les terminaux professionnels et des restrictions plus souples pour les terminaux détenus par un employé. Par exemple, les restrictions à des applications comme YouTube ou les App Store natifs ne sont généralement pas déployées sur des terminaux détenus par des employés. Au lieu de cela, vous pouvez créer des profils de sécurité et des restrictions qui augmentent le niveau de sécurité des terminaux sans avoir un impact négatif sur la fonctionnalité.

Restrictions du terminal agnostique

Workspace ONE UEM rend les restrictions suivantes disponibles pour chaque terminal et plate-forme :

Sauvegardes chiffrées : protégez toutes les sauvegardes avec le chiffrement des données pour les terminaux BYOD ayant accès au contenu de l'entreprise.
Forcer l'avertissement de fraude dans les navigateurs pris en charge : demandez aux utilisateurs d'accuser réception de tous les avertissements émis par le navigateur lorsqu'il détecte un site suspect.
Désactiver le déplacement des e-mails : interdisez l'exposition des données d'entreprise sensibles en désactivant la possibilité de transférer un e-mail d'entreprise vers un compte personnel ou de l'ouvrir dans des applications tierces.

Restrictions spécifiques à la plate-forme

Chaque plate-forme a son propre ensemble de restrictions exécutoires. Évaluez ces restrictions individuellement pour déterminer leur valeur pour votre déploiement. Certaines, comme les restrictions iOS limitées aux terminaux surveillés, ne s'appliquent pas, car les terminaux détenus par un employé ne peuvent pas être inscrits avec Apple Configurator.

Vous pouvez créer des profils de sécurité et des restrictions en accédant à Ressources > Profils et lignes de base > Profils et en sélectionnant Ajouter, puis en sélectionnant la plateforme appropriée.
Si vous créez des profils spécifiquement pour des terminaux détenus par un employé, attribuez-les uniquement à des Smart Group en fonction du type de propriété : Propriété de l'employé. Pour plus d'informations, consultez la rubrique Smart Groups.

Pour plus d'informations sur la création de profils de sécurité et de restrictions, reportez-vous à la section Ajouter une stratégie de conformité.

Effacement des données professionnelles pour les terminaux BYOD

Un aspect essentiel de votre déploiement BYOD consiste à supprimer le contenu d'entreprise lorsqu'un employé quitte celle-ci ou lorsqu'un terminal est perdu ou volé. Workspace ONE UEM vous permet d'effectuer un effacement des données professionnelles sur les terminaux pour supprimer tout le contenu d'entreprise et l'accès, tout en conservant les paramètres et les fichiers personnels.

Alors qu'une réinitialisation de terminal rétablit l'état d'usine d'origine d'un terminal, Workspace ONE UEM vous permet de décider du degré d'effacement des données d'entreprise lorsque ce dernier s'applique aux applications VPP publiques et achetées qui se trouvent dans une zone grise entre les terminaux de l'entreprise et les terminaux détenus par l'employé. L'effacement des données professionnelles désenrôle également le terminal de Workspace ONE UEM et supprime tout le contenu activé via MDM qui se trouve sur celui-ci. Cela inclut les comptes de messagerie, les paramètres VPN, les profils Wi-Fi, le contenu sécurisé et les applications d'entreprise.

Si vous avez utilisé des codes d'échange dans le cadre du programme d'achats en grande quantité (VPP) d'Apple pour les terminaux sous iOS 6 et versions antérieures, vous ne pouvez pas récupérer les licences rachetées pour cette application. Une fois installée, l'application est associée au compte App Store de l'utilisateur. Cette association est irréversible. Cependant, vous pouvez échanger des codes de licences utilisés pour iOS 7 et versions ultérieures.

Réinitialisation du terminal – Envoyez une commande MDM pour effacer toutes les données et le système d'exploitation d'un terminal. Cette action est irréversible.
- Considérations relatives à la réinitialisation de terminal iOS
  - Pour les terminaux iOS 11 et versions antérieures, la commande d'effacement du contenu du terminal efface également les données de la carte SIM Apple associées aux terminaux.
  - Pour les terminaux iOS 11 et versions ultérieures, vous pouvez conserver le forfait de données de la carte SIM Apple (si disponible sur les terminaux). Cochez la case Conserver le forfait de données sur la page Effacement du contenu du terminal avant d'envoyer la commande d'effacement du contenu du terminal.
  - Pour les terminaux iOS 11.3 et versions ultérieures, vous disposez d'une option supplémentaire pour ignorer l'écran Configuration de la proximité lors de l'envoi de la commande d'effacement du contenu du terminal. Lorsque l'option est activée, l'écran Configuration de la proximité est ignoré dans l'Assistant de configuration, empêchant ainsi l'utilisateur du terminal de voir l'option Configuration de la proximité.
- Pour les terminaux Windows Desktop, vous pouvez sélectionner le type d'effacement du contenu du terminal.
  - Effacer : cette option efface tout le contenu du terminal.
  - Effacement protégé : cette option est identique à celle d'effacement normal du contenu du terminal, mais elle ne peut pas être contournée par l'utilisateur final du terminal. La commande d'effacement protégé continue d'essayer de réinitialiser le terminal jusqu'à ce qu'elle réussisse. Dans certaines configurations de terminal, cette commande peut empêcher le terminal de démarrer.
  - Effacer et conserver les données de provisionnement : cette option efface le contenu du terminal, mais indique que les données de provisionnement doivent être sauvegardées dans un emplacement permanent. Une fois l'effacement effectué, les données de provisionnement sont restaurées et appliquées au terminal. Le dossier de provisionnement est enregistré. Vous pouvez accéder au dossier en naviguant sur le terminal jusqu'à %ProgramData%\Microsoft\Provisioning.
Effacement des données professionnelles – Effacez les données professionnelles du terminal pour le désenrôler et supprimer toutes ses ressources professionnelles gérées, y compris les applications et les profils. Cette action ne peut pas être annulée. De plus, le réenrôlement est nécessaire pour que Workspace ONE UEM gère de nouveau ce terminal. Cette action comprend différentes options pour empêcher un futur réenrôlement et une zone de texte Description de la note vous permettant d'ajouter des informations sur l'action.
- L'effacement des données professionnelles n'est pas pris en charge sur les terminaux joints au domaine Cloud.

Effectuer un effacement des données professionnelles pour un terminal personnel

Un effacement des données professionnelles désenrôle le terminal de Workspace ONE UEM et supprime de tous ses contenus professionnels, y compris les comptes de messagerie, les paramètres de VPN, les profils et les applications.

Cette capture d'écran montre l'Affichage en liste des terminaux avec un terminal sélectionné et le bouton Plus d'actions sélectionné, ce qui révèle l'option Effacement des données d'entreprise.

Dans Workspace ONE UEM Console, sélectionnez le groupe organisationnel approprié.
Naviguez vers Terminaux > Affichage en liste et sélectionnez un ou plusieurs terminaux dans la liste.
La vue Détails du terminal affiche une liste d'actions que vous pouvez effectuer sous le menu action déroulant Plus d'actions en haut à droite. Sélectionnez Effacement des données professionnelles.
Dans la boîte de dialogue de confirmation, sélectionnez Empêcher la réinscription pour empêcher ce terminal de s'inscrire de nouveau.
Entrez un code PIN de sécurité, le cas échéant, puis sélectionnez Effacement des données professionnelles pour terminer l'action.

Désactiver l'effacement du terminal pour les terminaux BYOD

Pour des raisons de sécurité et de confidentialité, vous pouvez désactiver la possibilité d'effectuer un effacement du terminal sur un terminal BYOD.

Si vous désactivez l'effacement du terminal pour certains types de propriété des terminaux iOS, les utilisateurs procédant à l'enrôlement sous ce type de propriété ne verront pas les autorisations « Effacer tout le contenu et les paramètres » pendant l'installation du profil.

Cette capture d'écran montre les paramètres système de Confidentialité dans Terminaux et utilisateurs, Général, qui vous permettent d'éviter les réinitialisations des terminaux BYOD.

Naviguez vers Terminaux > Paramètres des terminaux > Terminaux et utilisateurs > Général > Confidentialité.
Faites défiler jusqu'à la section Commandes et recherchez la colonne Propriété de l'employé.
Définissez l'option Effacement du terminal sur Empêcher et sélectionnez Enregistrer.