Sujet
Cet article explique comment configurer et gérer les politiques de gestion des appareils mobiles (MDM) pour les appareils Android dans NinjaOne.
Environnement
Gestion des appareils mobiles (MDM) NinjaOne
Description
Les fonctionnalités des politiques Android dépendent de la manière dont vous inscrivez l'appareil dans la gestion des appareils mobiles (MDM) de NinjaOne. Les politiques prennent le contrôle total des appareils à usage professionnel ; si l'appareil est à titre personnel, certains paramètres de politique, tels que les restrictions, peuvent être limités.
Vous devez activer l'application MDM Android avant de configurer la politique MDM Android. Reportez-vous à la section Activer l'application MDM Android pour plus d'informations.
Sélectionnez une rubrique pour continuer :
- Types d'inscription des appareils mobiles
- Créer une nouvelle politique
- Configurer la stratégie
- Ressources supplémentaires
Types d'inscription des appareils mobiles
Après avoir activé MDM et enregistré votre compte Apple ou Android, vous pouvez ajouter un appareil mobile et classer le type d'enregistrement dans l'une des catégories suivantes : Usage personnel, Usage personnel interdit ou Appareil dédié.
Usage personnel (appareil personnel): un appareil personnel est généralement considéré comme une inscription « Bring Your Own Device » (BYOD). NinjaOne dispose d'un accès limité aux informations et aux actions de l'appareil.
NinjaOne inscrit ces appareils à partir de l'application Android Device Policy ou d'un lien sur un appareil déjà en cours d'utilisation. NinjaOne permet alors à une organisation de gérer uniquement les applications et les données du profil professionnel, sans visibilité ni gestion du profil personnel (ou parent).
Vous pouvez également utiliser ce type d'inscription pour les appareils appartenant à l'entreprise et activés à des fins personnelles (COPE). Reportez-vous à NinjaOne MDM : Ajouter un appareil Android appartenant à l'entreprise et activé à des fins personnelles (COPE) à NinjaOne pour plus d'informations. Pour ces appareils, les employeurs contrôlent les données et les politiques de sécurité au sein du profil professionnel. En dehors du profil professionnel, l'appareil reste adapté à un usage personnel.
- Aucune utilisation personnelle autorisée (À usage professionnel ou Appartenant à l'entreprise): ces appareils appartiennent à l'entreprise et sont inscrits exclusivement à des fins professionnelles, sans séparation de profil professionnel.
- L'entreprise dispose d'un contrôle illimité sur les applications, les paramètres et les configurations, et peut effectuer un effacement complet de l'appareil sans craindre la perte de données personnelles.
- NinjaOne bloque les comptes personnels et les installations d'applications non autorisées conformément à la politique.
- Les utilisateurs ne peuvent généralement pas modifier les paramètres de base de l'appareil.
- Appareil dédié (pas d'utilisateur spécifique): ce type d'utilisation est similaire à « Aucune utilisation personnelle autorisée », mais l'appareil n'est pas associé à un utilisateur unique et ne prévoit pas d'utilisation personnelle ni d'authentification d'identité d'entreprise. Pour plus de détails, consultez le guide dédié à la mise en service des appareils de l'API Android (lien externe).
Créer une nouvelle politique
- Dans NinjaOne, accédez à Administration → Politiques, puis sélectionnez Politiques MDM dans le menu déroulant et cliquez sur Ajouter une politique MDM.
- Sélectionnez un rôle d'appareil, saisissez les détails de la politique et activez le bouton bascule « Politique activée ». Le rôle que vous sélectionnez détermine les politiques que vous pouvez définir comme politiques parentes. Reportez-vous à la section « Détails des politiques héritées » de cet article pour plus d'informations. Une fois terminé, cliquez sur Créer.
Détails des politiques héritées
NinjaOne prend en charge l'héritage des politiques pour les politiques MDM. Le rôle que vous sélectionnez détermine quelles politiques peuvent servir de politique parent. Vous devez choisir un rôle spécifique à MDM pour créer une relation de politique parent-enfant spécifique à MDM.
NinjaOne affichera une balise « Héritée » dans la nouvelle politique, ainsi qu'une option permettant de remplacer des paramètres individuels. Pour revenir aux paramètres hérités, placez votre curseur sur le nom de la politique et cliquez sur « Politiques héritées ».
Considérations importantes
- Les politiques héritées ne peuvent pas supprimer d'applications, de configurations Wi-Fi ou d'applications de politiques Android. Vous devez plutôt désactiver ces éléments dans l'éditeur de configuration.
- La désactivation fait passer la colonne Statut à Inactif, et le libellé Hérité devient Remplacé.
Configurer la politique
Suivez ces étapes pour configurer une nouvelle politique ou modifier les paramètres de configuration d'une politique existante.
- Accédez à Administration → Politiques → Politiques MDM, puis sélectionnez la politique dans la liste.
- Utilisez les liens de configuration pour accéder aux paramètres des catégories suivantes. Cet article décrit les paramètres de chaque catégorie dans les tableaux ci-dessous.
- Code d'accès
- Restrictions
- Applications
- Usage personnel
- Réseau
- Sécurité
- Application des politiques
- Suivi de localisation
Les options de configuration disponibles peuvent varier en fonction du type d'inscription que vous avez sélectionné pour l'appareil. Reportez-vous à la section Types d'inscription des appareils mobiles de cet article pour plus d'informations.
Code d'accès
Les paramètres de code d'accès vous permettent d'exiger et de définir des codes d'accès pour déverrouiller les appareils et les profils.
Explication des options de code d'accès
Utilisez le tableau ci-dessous pour en savoir plus sur chaque option de configuration du code d'accès.
| Paramètre | Description |
|---|---|
| Portée de l'appareil et portée du profil | Définissez le code d'accès sur l'appareil, le profil professionnel ou les deux. |
| Activé | Activez ce bouton pour exiger la saisie d'un code d'accès. |
| Exiger un mot de passe pour déverrouiller | Choisissez si l'appareil doit nécessiter un code d'accès pour être déverrouillé après chaque délai d'inactivité ou tous les jours. |
| Durée de l'historique | Spécifiez le nombre de codes d'accès précédemment utilisés que NinjaOne mémorisera et empêchera de réutiliser. |
| Nombre maximal d'échecs de mot de passe avant effacement | Définissez le nombre de tentatives de mot de passe avant que NinjaOne n'efface l'appareil. Le maximum est de 100. |
| Durée maximale (en jours) | Spécifiez la durée de validité maximale (en jours) d'un mot de passe, au-delà de laquelle NinjaOne exigera la création d'un nouveau mot de passe. |
| Qualité du mot de passe | Sélectionnez les critères de force de mot de passe acceptables. |
Affichage de l'état du code d'accès dans le tableau de bord des appareils
NinjaOne affiche les informations relatives aux paramètres du code d'accès dans letableau de bord des appareils → Détails → Sécurité.
Restrictions
NinjaOne obtient la plupart des restrictions de politique Android directement depuis l'API de gestion Android, qui fournit une représentation JSON et des définitions pertinentes. Dans cette section, vous pouvez activer ou désactiver les fonctionnalités, la sécurité et la connectivité des appareils.
- NinjaOne ne transmettra à un appareil que les valeurs qui ont été modifiées par rapport à leurs paramètres par défaut.
- Si l'appareil a été inscrit avec un profil professionnel, NinjaOne n'applique les restrictions qu'à ce profil.
Explication des options de restrictions
Utilisez le tableau ci-dessous pour en savoir plus sur les options de configuration des restrictions.
| Catégorie | Description |
|---|---|
| Fonctionnalité | Restriction des fonctions de l'appareil, telles que :
|
| Application | Contrôle des paramètres de l'application, tels que :
|
| Sécurité et confidentialité | Contrôlez la possibilité d'exécuter des fonctions affectant la sécurité ou la confidentialité de l'appareil, notamment :
|
| Réseau et Internet | Gérer la capacité de l'appareil à utiliser les réseaux, notamment :
|
Applications
La section Applications comporte trois onglets : Applications gérées, Paramètres du kiosque et Avancé.
| Onglet | Description |
|---|---|
| Gestion | Sélectionnez les applications spécifiques à installer ou à bloquer sur les appareils mobiles. |
| Paramètres du kiosque | Activez l'environnement Kiosk natif d'Android et affichez toutes les applications déployées ajoutées à la stratégie attribuée. |
| Avancé | Ajoutez des configurations avancées permettant d'activer des applications prises en charge pour effectuer des actions système ou accéder à des catégories. Par exemple : définir une application d'accueil ou un lanceur par défaut. |
Pour en savoir plus sur l'ajout et la modification de ces applications, consultez MDM : Gestion des applications Android.
Utilisation personnelle
Les options de configuration de la section Utilisation personnelle vous permettent de contrôler les politiques relatives au profil personnel de l'appareil principal.
Explication des options d'utilisation personnelle
Utilisez le tableau ci-dessous pour en savoir plus sur les options de configuration de l'utilisation personnelle.
| Catégorie | Description |
|---|---|
| Règles inter-profils appliquées à l'appareil | Contrôlez les politiques qui s'appliquent à la fois aux profils personnels et aux profils d'entreprise, notamment :
|
| Politiques d'utilisation personnelle (appareils appartenant à l'entreprise uniquement) | Définissez les capacités d'utilisation personnelle suivantes :
|
| Applications personnelles gérées | Ces options vous permettent de limiter le Google Play Store personnel à des applications spécifiques ou d'autoriser un accès complet à la boutique. |
Réseau
Cette section vous permet de gérer les paramètres réseau de l'appareil, notamment la configuration de proxys et la spécification des réseaux Wi-Fi autorisés.
Explication des paramètres réseau
Consultez le tableau ci-dessous pour en savoir plus sur les options de configuration réseau.
| Paramètre | Description |
|---|---|
| Configuration manuelle du proxy | Configurez un serveur proxy pour l'accès à Internet. L'activation du proxy direct désactive tous les réseaux Wi-Fi déjà configurés sur l'appareil. Reportez-vous à la section « Configurer les paramètres SSID Wi-Fi » de NinjaOne MDM : Profils d'inscription Android pour plus d'informations. |
| Liste des réseaux Wi-Fi | Pour ajouter un réseau Wi-Fi, cliquez sur Ajouter un réseau Wi-Fi, puis saisissez le nom de la configuration et le nom du réseau Wi-Fi (SSID), et sélectionnez le type de sécurité approprié. |
Sécurité
La section Sécurité permet aux administrateurs système de chiffrer l'appareil, de gérer les paramètres de développement, de définir la manière dont les données sont transférées à des fins professionnelles, et plus encore.
Les paramètres de sécurité sont répartis dans les catégories suivantes :
- Général
- Règles relatives aux clés privées
- Messagerie personnalisée
Explication des paramètres de sécurité généraux
Consultez le tableau ci-dessous pour en savoir plus sur les paramètres de sécurité généraux.
| Paramètre | Description |
|---|---|
| Version Android minimale prise en charge (niveau API) | Définissez le niveau d'API Android minimum autorisé. |
| Durée maximale avant le verrouillage (en secondes) | Sélectionnez le nombre de secondes qui s'écoulent avant que l'appareil ne soit verrouillé et que l'utilisateur ne soit invité à saisir son mot de passe. |
| Configuration des identifiants utilisateur désactivée | Empêche les utilisateurs de gérer la manière dont les noms d'utilisateur et les mots de passe sont enregistrés ou utilisés pour l'authentification. |
| Politique de chiffrement | Activez la politique pour exiger un mot de passe. |
| Personnalisations du verrouillage de l'écran désactivées | Verrouiller les éléments de l'écran, tels que les widgets, les notifications, l'accès à l'appareil photo et d'autres outils lorsque l'appareil est verrouillé. |
| Mode batterie branchée | Forcez un appareil à garder son écran actif dans des conditions spécifiques (par exemple, lorsqu'il est branché sur le secteur, en charge sans fil ou connecté via USB). Lorsque vous utilisez ce paramètre, nous vous recommandons de désactiver le « Délai maximal avant verrouillage » afin que l'appareil ne se verrouille pas tout en restant allumé. |
| Paramètres développeur | Activer les options pour les développeurs, telles que les comportements du système, les réglages rapides et le démarrage sécurisé. Pour plus d'informations sur les paramètres de développement Android, consultez Configurer les options pour les développeurs sur l'appareil (lien externe). |
| Méthodes de saisie autorisées | Configurez une liste de noms de paquets pour les méthodes de saisie ou les applications de clavier. |
| Services d'accessibilité autorisés | Déterminez les services d'accessibilité autorisés sur un appareil, en bloquant tous les autres. Notez que cela peut nuire à l'accessibilité pour les utilisateurs de l'appareil qui dépendent de services spécifiques. |
| Extension de marquage de la mémoire | Ce paramètre contrôle l'extension de marquage de la mémoire (MTE), une implémentation matérielle de la mémoire marquée, et est pris en charge sur Android 14 et versions ultérieures. |
| Envoyer du contenu aux applications d'assistance | Autorisez le partage de contenu contextuel concernant l'application ou l'état de l'écran actuel avec des applications d'assistance telles que Gemini, prises en charge sur Android 15 et versions ultérieures. Désactivez ce paramètre pour empêcher le partage de contenu. |
| Comptes autorisés pour la protection contre la réinitialisation d'usine | Définissez les comptes Google autorisés à déverrouiller un appareil si la protection contre la réinitialisation d'usine est déclenchée. |
| Règles relatives aux clés privées | Les paramètres des règles de clé privée vous permettent de créer et de gérer des clés privées pour l'authentification dans NinjaOne MDM.
|
Explication des paramètres de messagerie personnalisés
Utilisez le tableau ci-dessous pour en savoir plus sur les paramètres de messagerie personnalisés.
| Paramètre | Description |
|---|---|
| Messages personnalisés | Créez des messages personnalisés à l'intention des utilisateurs depuis l'administration de la sécurité lorsqu'ils tentent d'effectuer des actions sur l'appareil. Cliquez sur Ajouter une langue pour ajouter le message dans une langue prise en charge par NinjaOne.
|
| Configuration de la mise à jour du système | Spécifiez un type de configuration de mise à jour :
|
| Périodes de gel | Définissez une période se répétant chaque année pendant laquelle les mises à jour système OTA (Over-the-Air) sont reportées afin de « geler » ou d'arrêter la version du système d'exploitation en cours d'exécution sur un appareil.
|
Application des politiques
L'application des politiques vous permet de définir des règles qui déterminent le comportement à adopter lorsqu'une politique ne peut pas être appliquée à un appareil. Par exemple, vous pouvez bloquer l'accès à un paramètre spécifique sur un profil professionnel ou sur l'ensemble de l'appareil pendant un nombre de jours spécifié. Si certains aspects de la politique ne sont pas appliqués avec succès, une option supplémentaire permet d'effacer l'appareil.
Application de l'application des politiques
Suivez ces étapes pour configurer une nouvelle application de la politique :
- Dans Application de la politique, cliquez sur Ajouter.
- La fenêtre Ajouter une nouvelle application de la politique s'ouvre. Remplissez les informations suivantes :
| Paramètre | Description |
|---|---|
| Nom du paramètre | Sélectionnez la fonctionnalité que vous souhaitez bloquer. Reportez-vous au tableau « Explication des noms de paramètres » dans cet article pour obtenir une explication de chaque nom de paramètre. |
| Portée du blocage | Bloquez l'accès aux applications et aux données sur un appareil appartenant à l'entreprise ou dans un profil professionnel. Cette action déclenche également une notification destinée à l'utilisateur qui, si possible, inclut des informations sur la manière de corriger le problème de conformité. |
| Bloquer après X jours | Vous pouvez également définir une date spécifique à laquelle le paramètre sera bloqué un certain nombre de jours après l'enregistrement des modifications de la stratégie. |
| Effacer après X jours | Réinitialisez un appareil appartenant à l'entreprise ou supprimez un profil professionnel après un nombre de jours spécifié. |
| Conserver la protection FRP | Conserver la protection contre la réinitialisation d'usine pour les profils personnels (facultatif). |
Explication des noms de paramètres
Reportez-vous au tableau ci-dessous pour obtenir un aperçu de chaque nom de paramètre.
| Paramètre | Description |
|---|---|
| Applications | Paramètres de stratégie de contrôle appliqués aux applications. |
| Verrouillage du clavier désactivé | Désactivez l'écran de verrouillage sur l'écran principal ou secondaire. |
| Services d'accessibilité autorisés | Si le champ n'est pas défini, n'importe quel service d'accessibilité peut être utilisé. Si le champ est défini, seuls les services d'accessibilité de cette liste et le service d'accessibilité intégré au système peuvent être utilisés. En particulier, si le champ est laissé vide, seuls les services d'accessibilité intégrés au système peuvent être utilisés. Vous pouvez définir ce champ sur les appareils entièrement gérés et sur les profils professionnels. Lorsqu'elle est appliquée à un profil professionnel, cette option affecte à la fois le profil personnel et le profil professionnel. |
| Méthodes de saisie autorisées | Si ce champ est présent, seules les méthodes de saisie fournies par les paquets de cette liste sont autorisées. Si ce champ est présent mais que la liste est vide, seules les méthodes de saisie du système sont autorisées. |
| Niveau d'API minimum | Définissez le niveau d'API Android minimum autorisé. |
| Proxy global recommandé | Ce paramètre contrôle le proxy HTTP global indépendant du réseau. En règle générale, vous devez configurer les proxys par réseau, à l'aide des options de configuration réseau. Cependant, pour des configurations inhabituelles telles que le filtrage interne général, un proxy HTTP global peut s'avérer utile. Si le proxy n'est pas disponible, l'accès au réseau peut être perturbé. Le proxy global n'est qu'une recommandation, et certaines applications peuvent l'ignorer. |
| Mode de localisation | Définissez le niveau de détection de localisation activé. |
| VPN toujours activé | Indiquez si l'application est autorisée à se connecter au réseau lorsque le VPN n'est pas connecté et activé. Ce paramètre n'est pris en charge que sur les appareils fonctionnant sous Android 10 et versions ultérieures. |
| Configuration Bluetooth désactivée | Désactivez les connexions Bluetooth vers et depuis l'appareil mobile. |
| Politique de chiffrement | Définissez la configuration du chiffrement. |
| Octroi d'autorisations | Accorder ou refuser explicitement des autorisations pour l'application. |
| Politiques de mot de passe | Politiques relatives aux exigences en matière de mot de passe. Le champ Portée du mot de passe dans la politique peut être défini selon différentes politiques pour les profils professionnels ou les appareils entièrement gérés. |
| Remplacements de sécurité avancés | Les politiques de sécurité sont définies sur des valeurs sécurisées par défaut. NinjaOne ne recommande pas de remplacer les valeurs par défaut afin de préserver la posture de sécurité d'un appareil. |
| Politiques d'utilisation personnelle | Politiques gérant l'utilisation personnelle sur un appareil appartenant à l'entreprise. |
| Politiques inter-profils | Déterminez si les données d'un profil (personnel ou professionnel) peuvent être partagées avec les applications de l'autre profil. |
Après avoir défini les politiques, placez votre curseur sur la politique et cliquez sur l'icône d'actions pour les modifier.
Suivi de localisation
Pour plus d'informations, consultez NinjaOne Mobile Device Management (MDM) : Suivi de localisation.
Ressources supplémentaires
Consultez le catalogue de ressources NinjaOne MDM pour plus d'informations sur la gestion des appareils Android.