Sujet
Cet article explique comment configurer et gérer les politiques de gestion des appareils mobiles (MDM) pour les appareils Android dans NinjaOne.
Environnement
Gestion des appareils mobiles NinjaOne
Description
La fonctionnalité des politiques Android dépend de la manière dont vous inscrivez l'appareil dans NinjaOne Mobile Device Management (MDM). Les politiques prennent le contrôle total des types réservés au travail ; si l'appareil est personnel, certains paramètres de politique, tels que les restrictions, peuvent être limités.
Vous devez activer l'application Android MDM avant de configurer la politique Android MDM. Pour plus d'informations, consultez la section Activer l'application Android MDM.
- Types d'utilisation des appareils mobiles
- Créer une nouvelle politique
- Configurer la stratégie
- Ressources supplémentaires
Types d'utilisation des appareils mobiles
Après avoir activé MDM et enregistré votre compte Apple ou Android, vous pouvez ajouter des appareils mobiles à NinjaOne en tant qu'« utilisation personnelle » ou « utilisation personnelle non autorisée ». Lorsque vous ajoutez un appareil mobile, vous pouvez classer le type d'utilisation/d'enregistrement comme utilisation personnelle, utilisation personnelle non autorisée ou appareil dédié.
Les types d'utilisation définissent la manière dont un appareil est enregistré. Android MDM propose trois types d'utilisation :
-
Usage personnel (appartenant à l'utilisateur): un appareil appartenant à l'utilisateur est généralement considéré comme un enregistrement BYOD (Bring Your Own Device, apportez votre propre appareil). NinjaOne (ou tout autre MDM) a un accès limité aux informations et aux actions de l'appareil.
NinjaOne inscrit ces appareils à partir de l'application Android Device Policy ou d'un lien sur un appareil déjà configuré et en cours d'utilisation. NinjaOne permet ensuite à une organisation de gérer les applications et les données uniquement dans le profil professionnel, sans visibilité ni gestion du profil personnel (ou parent).
-
Aucune utilisation personnelle autorisée (pour le travail ou appartenant à l'entreprise): ces appareils appartiennent à l'employeur mais sont activés à des fins personnelles (COPE), ce qui permet une séparation au niveau de la plateforme entre les applications et les données professionnelles. NinjaOne fournit des informations plus détaillées sur l'appareil, notamment les numéros de série et les détails relatifs au réseau. Les employeurs contrôlent les données et les politiques de sécurité dans le profil professionnel. En dehors du profil professionnel, l'appareil reste adapté à un usage personnel.
- Les appareils Android doivent être vierges (sortis de leur emballage), sinon vous recevrez un message d'erreur lorsque vous tenterez d'ajouter l'appareil à NinjaOne.
- Lors de la configuration, NinjaOne invite l'utilisateur à ajouter ses propres comptes et informations en plus du profil professionnel configuré. L'organisation dispose d'un certain contrôle sur le profil personnel (parent) pour des éléments tels que les appareils photo, les captures d'écran et d'autres politiques de prévention des pertes de données ; cependant, elle conserve une visibilité limitée sur tout ce qui se trouve en dehors du profil professionnel.
- Appareil dédié (sans utilisateur spécifique): ce type d'utilisation est similaire à « Aucune utilisation personnelle autorisée », mais l'appareil n'est pas associé à un seul utilisateur et ne prévoit pas d'utilisation personnelle ni d'authentification de l'identité de l'entreprise. Pour plus de détails, consultez le guide dédié à l'approvisionnement des appareils de l'API Android (lien externe).
Créer une nouvelle politique
- Dans NinjaOne, accédez à Administration → Politiques, puis sélectionnez Politiques MDM dans le menu déroulant et cliquez sur Créer une nouvelle politique.
- Sélectionnez un rôle d'appareil, saisissez les détails de la politique et activez le bouton Politique activée. Le rôle que vous sélectionnez détermine les politiques que vous pouvez définir comme parent. Pour plus d'informations, consultez la section Détails de la politique héritée de cet article. Une fois terminé, cliquez sur Créer.
Détails de la politique héritée
NinjaOne prend en charge l'héritage des politiques pour les politiques MDM. Le rôle que vous sélectionnez détermine les politiques qui peuvent servir de politique parent. Vous devez choisir un rôle spécifique à MDM pour créer une relation parent-enfant spécifique à MDM.
NinjaOne affichera une balise Héritée dans la nouvelle politique, ainsi qu'une option permettant de remplacer les paramètres individuels. Vous pouvez revenir aux paramètres hérités en plaçant votre curseur dessus et en cliquant sur les descriptions des politiques héritées sous leurs noms dans la page Politiques MDM.
Considérations importantes
- Les politiques héritées ne peuvent pas supprimer les applications, les configurations Wi-Fi ou les applications de politiques Android. Vous devez plutôt désactiver ces éléments dans l'éditeur de configuration.
- La désactivation modifie la colonne d'état en Inactif et l'étiquette Hérité devient Remplacé.
Configurer la stratégie
Sélectionnez une section pour en savoir plus sur les options de configuration :
Mot de passe
Les paramètres de code d'accès vous permettent d'exiger et de définir des codes d'accès pour déverrouiller les appareils et les profils.
Explication des options du code d'accès
Utilisez le tableau ci-dessous pour en savoir plus sur chaque option de configuration du code d'accès.
| Paramètre | Description |
|---|---|
| Portée de l'appareil et portée du profil | Définissez le code d'accès sur l'appareil, le profil professionnel ou les deux. |
| Activé | Activez cette option pour exiger la saisie d'un code d'accès. |
| Exiger un mot de passe pour déverrouiller | Choisissez si l'appareil nécessitera un code d'accès pour être déverrouillé après chaque délai d'expiration ou chaque jour. |
| Durée de l'historique | Spécifiez le nombre de codes d'accès précédemment utilisés que NinjaOne mémorisera et empêchera de être sélectionnés à nouveau. |
| Nombre maximal d'échecs de mot de passe avant effacement | Définissez le nombre de tentatives de mot de passe avant que NinjaOne n'efface le dispositif. Le maximum est de 100. |
| Durée maximale (jours) | Spécifiez la durée maximale (en jours) après laquelle NinjaOne exigera la création d'un nouveau mot de passe. |
| Qualité du mot de passe | Sélectionnez les critères de force acceptable pour les mots de passe. |
Affichage de l'état du code d'accès dans le tableau de bord des appareils
NinjaOne affiche les informations relatives au paramètre du code d'accès dans letableau de bord des appareils → Détails → Sécurité.
Restrictions
NinjaOne obtient la plupart des restrictions de politique Android directement à partir de l'API de gestion Android, qui fournit une représentation et des définitions JSON pertinentes. Dans cette section, vous pouvez activer ou désactiver les fonctionnalités, la sécurité et la connectivité des appareils.
- NinjaOne ne transmettra à un appareil que les valeurs qui ont été modifiées par rapport à leurs paramètres par défaut.
- Si l'appareil a été enregistré avec un profil professionnel, les restrictions s'appliqueront uniquement à ce profil.
Explication des options de restrictions
Utilisez le tableau ci-dessous pour en savoir plus sur les options de configuration des restrictions.
| Catégorie | Description |
|---|---|
| Fonctionnalité |
Restriction des fonctions de l'appareil, telles que :
|
| Application |
Contrôle des paramètres de l'application, tels que :
|
| Sécurité et confidentialité |
Contrôlez la possibilité d'exécuter des fonctions affectant la sécurité ou la confidentialité de l'appareil, notamment :
|
| Réseau et Internet |
Contrôlez la capacité de l'appareil à utiliser les réseaux, notamment :
|
Applications
La section Applications comporte trois onglets : Applications gérées, Paramètres du kiosque et Avancé.
| Onglet Applications | Description |
|---|---|
| Gestion | Sélectionnez les applications spécifiques à installer ou à bloquer sur les appareils mobiles. |
| Paramètres du kiosque | Activez l'environnement kiosque Android natif et affichez toutes les applications déployées ajoutées à la stratégie attribuée. |
| Avancé | Ajoutez des configurations avancées qui permettent aux applications prises en charge d'effectuer des actions système ou d'accéder à des catégories. Par exemple : définir une application d'accueil ou de lancement par défaut. |
Pour en savoir plus sur l'ajout et la modification de ces applications, consultez
Explication des options d'utilisation personnelle
Utilisez le tableau ci-dessous pour en savoir plus sur les options de configuration de l'utilisation personnelle.
| Catégorie | Description |
|---|---|
| Politiques interprofils appliquées à l'appareil |
Politiques de contrôle qui s'appliquent à la fois aux profils personnels et professionnels, notamment :
|
| Politiques d'utilisation personnelle (appareils appartenant à l'entreprise uniquement) |
Définissez les capacités d'utilisation personnelle suivantes :
|
| Applications personnelles gérées | Ces options vous permettent de limiter l'accès à la boutique Google Play Store à certaines applications spécifiques ou d'autoriser un accès complet à la boutique. |
Réseau
Cette section vous permet de gérer les paramètres réseau de l'appareil, notamment de configurer des proxys et de spécifier les réseaux Wi-Fi autorisés.
Explication des paramètres réseau
Utilisez le tableau ci-dessous pour en savoir plus sur les options de configuration réseau.
| Paramètre | Description |
|---|---|
| Configuration manuelle du proxy | Configurez un serveur proxy pour accéder à Internet. L'activation du proxy direct désactive tous les réseaux Wi-Fi établis sur l'appareil. Pour plus d'informations, consultez la section Configurer les paramètres SSID Wi-Fi des profils d'inscription Android. |
| Liste des réseaux Wi-Fi | Pour ajouter un réseau Wi-Fi, cliquez sur Ajouter un réseau Wi-Fi, puis entrez le nom de la configuration et le nom du réseau Wi-Fi (SSID) et sélectionnez le type de sécurité approprié. |
Sécurité
La section Sécurité permet aux administrateurs système de crypter l'appareil, de gérer les paramètres de développement, de définir la manière dont les données sont transférées pour le travail, etc.
Les paramètres de sécurité sont répartis dans les catégories suivantes :
- Général
- Règles relatives aux clés privées
- Messagerie personnalisée
Explication des paramètres de sécurité généraux
Consultez le tableau ci-dessous pour en savoir plus sur les paramètres de sécurité généraux.
| Paramètre | Description |
|---|---|
| Version Android minimale prise en charge (niveau API) | Niveau API Android minimum autorisé. |
| Durée maximale avant le verrouillage (en secondes) | Sélectionnez le nombre de secondes qui s'écoulent avant que l'appareil ne soit verrouillé et que l'utilisateur soit invité à saisir son mot de passe. |
| Configuration des identifiants utilisateur désactivée | Interdit aux utilisateurs de gérer la manière dont les noms d'utilisateur et les mots de passe sont enregistrés ou utilisés pour l'authentification. |
| Politique de chiffrement | Activez la politique pour exiger un mot de passe. |
| Personnalisation du verrouillage du clavier désactivée | Verrouillez les éléments de l'écran, tels que les widgets, les notifications, l'accès à l'appareil photo et d'autres outils lorsque l'appareil est verrouillé. |
| Mode batterie branchée | Forcez un appareil à garder son écran actif dans des conditions spécifiques (par exemple, lorsqu'il est branché sur une alimentation secteur, en charge sans fil ou connecté à un port USB). Lorsque vous utilisez ce paramètre, nous vous recommandons d'effacer le champ « Durée maximale avant verrouillage » afin que l'appareil ne se verrouille pas tant qu'il reste allumé. |
| Paramètres développeur | Autorisez les options pour les développeurs, telles que les comportements du système, les paramètres rapides et le démarrage sécurisé. Pour plus d'informations sur les paramètres pour les développeurs Android, consultez Configurer les options pour les développeurs sur l'appareil (lien externe). |
| Méthodes de saisie autorisées | Configurez une liste de noms de paquets pour les méthodes de saisie ou les applications de clavier. |
| Services d'accessibilité autorisés | Déterminez les services d'accessibilité autorisés sur un appareil et bloquez tous les autres. Notez que cela peut nuire à l'accessibilité pour les utilisateurs d'appareils qui dépendent de services spécifiques. |
| Extension de marquage de la mémoire | Ce paramètre contrôle l'extension de marquage de mémoire (MTE), une implémentation matérielle de la mémoire marquée, et est pris en charge sur Android 14 et les versions ultérieures. |
| Envoyer du contenu pour aider les applications | Autorisez le contenu contextuel sur l'application ou l'état actuel de l'écran pour aider les applications telles que Gemini, prises en charge sur Android 15 et versions ultérieures. Désactivez ce paramètre pour empêcher le partage de contenu. |
| Comptes autorisés pour la protection contre la réinitialisation d'usine | Définissez les comptes Google qui peuvent déverrouiller un appareil si la protection contre la réinitialisation d'usine est déclenchée. |
Explication des paramètres de messagerie personnalisés
Utilisez le tableau ci-dessous pour en savoir plus sur les paramètres de messagerie personnalisés.
| Paramètre | Description |
|---|---|
| Messagerie personnalisée |
Créez des messages personnalisés à l'intention des utilisateurs à partir de l'administration de la sécurité lorsqu'ils tentent d'effectuer des actions sur l'appareil. Cliquez sur Ajouter une langue pour ajouter le message dans une langue prise en charge par NinjaOne.
|
| Configuration de la mise à jour du système |
Spécifiez un type de configuration de mise à jour :
|
| Périodes de gel |
Définissez une période répétitive chaque année pendant laquelle les mises à jour système OTA (Over-The-Air) sont reportées afin de « geler » ou d'arrêter la version du système d'exploitation exécutée sur un appareil.
|
Règles relatives aux clés privées
Les paramètres de règle de clé privée vous permettent de créer et de gérer des clés privées pour l'authentification dans NinjaOne MDM.
Ajout d'une clé privée
- Sur la page de configuration de la politique, accédez à Sécurité → Règles relatives aux clés privées et cliquez sur Ajouter une clé.
- Dans la fenêtre Ajouter une clé, saisissez les informations suivantes :
| Paramètre | Description |
|---|---|
| Nom de la clé | Donnez à la clé un nom descriptif (obligatoire). |
| Alias | Entrez un alias que le système peut utiliser pour trouver la clé (obligatoire). |
| Modèle d'URL | Entrez toutes les hiérarchies d'URL auxquelles la clé sera spécifique (facultatif). |
| Noms de paquets | Entrez un nom de package ou utilisez le menu déroulant pour sélectionner le nom du package de l'application auquel la clé sera spécifique. Si vous entrez un nom de package non valide, une alerte s'affichera dans le menu déroulant. |
Modification ou suppression d'une règle de clé privée
NinjaOne affiche une liste des clés privées créées dans Sécurité → Règles de clé privée. Pour modifier les paramètres d'une clé ou pour supprimer une clé, placez votre curseur dessus et cliquez sur le menu ellipsis (trois points) lorsqu'il apparaît, puis sélectionnez Modifier ou Supprimer.
Application des politiques
L'application des politiques vous permet de définir des règles qui déterminent le comportement à adopter lorsqu'une politique ne peut pas être appliquée à un appareil. Par exemple, vous pouvez bloquer l'accès à un paramètre spécifique sur un profil professionnel ou sur l'ensemble de l'appareil pendant un nombre de jours déterminé. Si certains aspects de la politique ne sont pas appliqués correctement, une option supplémentaire permet d'effacer le contenu de l'appareil.
Application de la politique
Suivez ces étapes pour configurer une nouvelle application de politique :
- Dans Application des politiques, cliquez sur Ajouter.
- La fenêtre Ajouter une nouvelle application de politique s'ouvre. Remplissez les informations suivantes :
| Paramètre | Descriptions |
|---|---|
| Nom du paramètre | Sélectionnez la fonctionnalité que vous souhaitez bloquer. Reportez-vous au tableau Explication des noms des paramètres dans cet article pour obtenir une explication de chaque nom de paramètre. |
| Portée du blocage | Bloquez l'accès aux applications et aux données sur un appareil appartenant à l'entreprise ou dans un profil professionnel. Cette action déclenche également une notification destinée à l'utilisateur qui, si possible, comprend des informations sur la manière de corriger le problème de conformité. |
| Bloquer après X jours | Vous pouvez également définir une date spécifique à laquelle le paramètre sera bloqué, un certain nombre de jours après l'enregistrement des modifications apportées à la politique. |
| Effacer après X jours | Réinitialisez un appareil appartenant à l'entreprise ou supprimez un profil professionnel après un nombre de jours spécifié. |
| Conserver Frp | Conservez la protection contre la réinitialisation d'usine pour les profils personnels (facultatif). |
Explication des noms des paramètres
Reportez-vous au tableau ci-dessous pour obtenir un aperçu de chaque nom de paramètre.
| Paramètre | Description |
|---|---|
| Applications | Paramètres de stratégie de contrôle appliqués aux applications. |
| Verrouillage du clavier désactivé | Désactivez le verrouillage de l'écran sur l'affichage principal ou secondaire. |
| Services d'accessibilité autorisés | Si le champ n'est pas défini, tous les services d'accessibilité peuvent être utilisés. Si le champ est défini, seuls les services d'accessibilité de cette liste et le service d'accessibilité intégré au système peuvent être utilisés. En particulier, si le champ est défini sur vide, seuls les services d'accessibilité intégrés au système peuvent être utilisés. Vous pouvez définir ce champ sur les appareils entièrement gérés et sur les profils professionnels. Lorsqu'elle est appliquée à un profil professionnel, cette option affecte à la fois le profil personnel et le profil professionnel. |
| Méthodes de saisie autorisées | Si ce champ est présent, seules les méthodes de saisie fournies par les packages de cette liste sont autorisées. Si ce champ est présent, mais que la liste est vide, seules les méthodes de saisie du système sont autorisées. |
| Niveau API minimum | Définissez le niveau API Android minimum autorisé. |
| Proxy global recommandé | Ce paramètre contrôle le proxy HTTP global indépendant du réseau. En règle générale, vous devez configurer les proxys par réseau, à l'aide des options de configuration réseau. Cependant, pour les configurations inhabituelles telles que le filtrage interne général, un proxy HTTP global peut s'avérer utile. Si le proxy n'est pas disponible, l'accès au réseau peut être perturbé. Le proxy global n'est qu'une recommandation, et certaines applications peuvent l'ignorer. |
| Mode de localisation | Définissez le degré de détection de localisation activé. |
| Toujours activé sur le package VPN | Spécifiez si l'application est autorisée à se connecter au réseau lorsque le VPN n'est pas connecté et activé. Ce paramètre n'est pris en charge que sur les appareils fonctionnant sous Android 10 et versions ultérieures. |
| Configuration Bluetooth désactivée | Désactivez les connexions Bluetooth vers et depuis l'appareil mobile. |
| Politique de chiffrement | Déterminez la configuration du chiffrement. |
| Autorisations | Accordez ou refusez explicitement les autorisations pour l'application. |
| Politiques relatives aux mots de passe | Politiques relatives aux exigences en matière de mot de passe. Le champ Portée du mot de passe dans la politique peut être défini sur différentes politiques pour les profils professionnels ou les appareils entièrement gérés. |
| Remplacements de sécurité avancés | Les politiques de sécurité sont définies par défaut sur des valeurs sécurisées. NinjaOne ne recommande pas de remplacer les valeurs par défaut afin de maintenir la sécurité des appareils. |
| Politiques d'utilisation personnelle | Politiques gérant l'utilisation personnelle sur un appareil appartenant à l'entreprise. |
| Politiques inter-profils | Déterminez si les données d'un profil (personnel ou professionnel) peuvent être partagées avec les applications de l'autre profil. |
Après avoir défini les politiques, vous pouvez les modifier ou les supprimer en plaçant votre curseur sur la ligne de la politique et en cliquant sur le bouton ellipsis.
Suivi de localisation
Pour plus d'informations, reportez-vous à la section
Ressources supplémentaires
Pour plus d'informations sur la gestion des appareils Android catalogue de ressources NinjaOne MDM.