▼
Scroll to page 2
of
410
Sophos Mobile Manuel d’administration Version du produit : 9.5 Table des matières À propos de cette aide............................................................................................................................ 1 À propos de Sophos Mobile.................................................................................................................... 2 À propos de Sophos Mobile Admin.........................................................................................................3 Tableau de bord............................................................................................................................ 3 Tableaux........................................................................................................................................ 4 Conditions préalables.................................................................................................................... 4 Rôles d’utilisateur.......................................................................................................................... 5 Changement de mot de passe..................................................................................................... 6 Récupération du mot de passe.....................................................................................................6 Étapes principales pour l’administration d’appareils avec Sophos Mobile.............................................. 7 Rapports................................................................................................................................................... 8 Tâches...................................................................................................................................................... 9 Surveillance des tâches................................................................................................................ 9 Alertes.....................................................................................................................................................13 Configuration.......................................................................................................................................... 14 Configuration des paramètres personnels.................................................................................. 14 Configuration des stratégies de mot de passe........................................................................... 15 Configuration des paramètres de l’app SMC..............................................................................15 Configuration de la messagerie.................................................................................................. 16 Configuration du contact du service informatique.......................................................................16 Configuration des paramètres de confidentialité.........................................................................16 Configuration des paramètres iOS..............................................................................................17 Certificats du service Apple Push Notification............................................................................ 18 Configuration des destinations iOS AirPlay................................................................................ 22 Paramètres Android.....................................................................................................................22 Enregistrement de la licence Samsung Knox............................................................................. 25 Configuration de l’intervalle d’interrogation pour les appareils Windows.................................... 25 Vérification de vos licences.........................................................................................................25 Protocole SCEP (Simple Certificate Enrollment Protocol).......................................................... 26 Création des propriétés clients................................................................................................... 27 Configuration des certificats SSL/TLS........................................................................................ 28 Configuration du proxy EAS........................................................................................................28 Configuration du contrôle d’accès réseau...................................................................................28 Configuration de la connexion au serveur de messagerie..........................................................28 Configuration de la connexion au serveur proxy........................................................................ 28 Configuration de l’accès au portail..............................................................................................29 Configuration des limites de téléchargement de fichiers............................................................ 29 Activation de la journalisation des audits....................................................................................29 Création des messages système................................................................................................ 29 Configuration du Portail libre-service..................................................................................................... 30 Création des différentes configurations du Portail libre-service.................................................. 30 Création de textes d’inscription...................................................................................................32 Actions disponibles dans le Portail libre-service.........................................................................33 Stratégies de conformité........................................................................................................................ 36 Création d’une stratégie de conformité....................................................................................... 36 Règles de conformité disponibles............................................................................................... 38 Assignation d’une stratégie de conformité aux groupes d’appareils........................................... 44 Vérification de la conformité des appareils................................................................................. 44 Appareils.................................................................................................................................................45 Ajout d’appareils.......................................................................................................................... 45 Inscription des appareils............................................................................................................. 47 Désinscription des appareils....................................................................................................... 54 (2019/11/05) Gestion des appareils................................................................................................................. 55 Propriétés personnalisées de l’appareil...................................................................................... 71 Inscription par code QR.............................................................................................................. 72 Inscription Zero-touch.................................................................................................................. 74 Inscription Knox Mobile............................................................................................................... 77 Programme d’inscription d’appareils (DEP) Apple...................................................................... 79 Intégration de Duo Security........................................................................................................ 94 Contrôle à distance TeamViewer................................................................................................ 95 Sophos Chrome Security............................................................................................................ 96 Groupes d’appareils............................................................................................................................... 99 Création d’un groupe d’appareils................................................................................................ 99 Suppression des groupes d’appareils......................................................................................... 99 Utilisateurs............................................................................................................................................ 100 Configuration de la gestion des utilisateurs du Portail libre-service..........................................101 Configuration d’une connexion à l’annuaire externe.................................................................102 Authentification fédérée............................................................................................................. 104 Configuration de la connexion LDAP........................................................................................106 Création d’utilisateurs................................................................................................................ 106 Importation des utilisateurs....................................................................................................... 107 Création de groupes d’utilisateurs.............................................................................................108 Stratégies..............................................................................................................................................109 Utilisation des stratégies d’appareil...........................................................................................110 Création d’une stratégie............................................................................................................ 111 Importation des stratégies iOS à partir d’Apple Configurator................................................... 112 Importation du profil d’enregistrement iOS............................................................................... 113 À propos des stratégies macOS............................................................................................... 113 Configuration de la protection antialtération de Chrome.......................................................... 114 Règles de complexité des mots de passe Windows................................................................ 114 Plug-in Knox Service................................................................................................................. 115 Espaces réservés dans les stratégies...................................................................................... 116 Assignation d’une stratégie....................................................................................................... 117 Application des modifications de stratégie aux appareils......................................................... 118 Désinstallation d’une stratégie de vos appareils.......................................................................118 Télécharger les stratégies......................................................................................................... 119 Configuration des stratégies d’appareils Android Enterprise.................................................... 120 Configuration des stratégies de profil professionnel Android Enterprise...................................136 Configuration des stratégies de conteneur Sophos pour Android............................................ 152 Configuration des stratégies Mobile Threat Defense pour Android.......................................... 164 Configuration des stratégies d’appareils Android......................................................................169 Configuration des stratégies de conteneur Knox...................................................................... 191 Configuration des stratégies d’appareils iOS............................................................................196 Configuration des stratégies de conteneur Sophos pour iOS...................................................232 Configuration des stratégies Mobile Threat Defense pour iOS.................................................244 Configuration des stratégies d’appareil macOS........................................................................247 Configuration des stratégies d’utilisateur macOS..................................................................... 267 Configuration des stratégies Windows Mobile.......................................................................... 287 Configuration des stratégies Windows......................................................................................300 Configuration des stratégies Chrome Security......................................................................... 314 Séries de tâches.................................................................................................................................. 317 Création d’une série de tâches................................................................................................. 317 Types de tâche Android disponibles.........................................................................................318 Types de tâche iOS disponibles............................................................................................... 321 Types de tâche macOS disponibles......................................................................................... 324 Types de tâche Windows disponibles.......................................................................................325 Types de tâches Chrome OS disponibles................................................................................ 327 Duplication de séries de tâches................................................................................................328 (2019/11/05) Transférer des séries de tâches............................................................................................... 328 Apps......................................................................................................................................................329 Ajout d’une appli........................................................................................................................329 Installer une appli...................................................................................................................... 331 Désinstallation de l’appli............................................................................................................332 Paramètres de l’appli (Android)................................................................................................ 333 Paramètres de l’appli (iOS).......................................................................................................335 Paramètres de l’app (macOS).................................................................................................. 337 Paramètres de l’app (Windows Mobile).................................................................................... 339 Paramètres de l’app (Windows)................................................................................................ 340 Paramètres des liens Windows MSI......................................................................................... 341 Applis administrées pour iOS....................................................................................................342 Gestion des applis du Programme d’achat en volume d’Apple................................................ 343 Assignation d’une connexion VPN à une app iOS................................................................... 349 Ajout d’une configuration d’appli gérée (iOS)........................................................................... 350 Applis Windows......................................................................................................................... 350 Groupes d’apps.................................................................................................................................... 351 Création d’un groupe d’apps.....................................................................................................351 Importation d’un groupe d’apps................................................................................................ 352 Documents professionnels................................................................................................................... 354 Ajout de Documents professionnels..........................................................................................354 Android Enterprise................................................................................................................................356 Installation d’Android Enterprise - Généralités..........................................................................357 Installation d’Android Enterprise (scénario Compte Google Play d’entreprise).........................358 Installation d’Android Enterprise (scénario Domaine Google d’entreprise)............................... 359 Configuration de l’inscription d’un appareil Android Enterprise.................................................363 Gestion des utilisateurs pour Android Enterprise (scénario Domaine Google d’entreprise)..... 364 Verrouillage du profil professionnel...........................................................................................364 Suppression du profil professionnel de l’appareil..................................................................... 365 Suppression du profil professionnel par l’utilisateur..................................................................366 Protection contre la réinitialisation aux paramètres d’usine Android.........................................366 Applis de la boutique Google Play d’entreprise........................................................................368 Mobile Threat Defense avec Sophos Intercept X for Mobile............................................................... 377 Règles de conformité pour Mobile Threat Defense.................................................................. 378 Utilisation de Sophos Intercept X for Mobile avec un logiciel EMM tiers.................................. 379 Protection d’app Intune........................................................................................................................ 382 Paramétrage de l’intégration de Microsoft Intune..................................................................... 382 Création d’une stratégie de protection de l’app Intune............................................................. 383 Assignation des apps à une stratégie de protection de l’app Intune........................................ 383 Assignation des utilisateurs à une stratégie de protection de l’app Intune............................... 384 Paramètres de la stratégie de protection de l’app Intune (Android)......................................... 385 Paramètres de la stratégie de protection de l’app Intune (iOS)................................................389 Création d’administrateurs................................................................................................................... 396 Envoi d’un message aux appareils......................................................................................................397 Conteneur Sophos............................................................................................................................... 398 Configuration de l’inscription d’un conteneur Sophos...............................................................398 Licence Mobile Advanced......................................................................................................... 398 Gestion des applis du conteneur Sophos................................................................................. 399 Réinitialisation du mot de passe du conteneur Sophos............................................................400 Verrouillage et déverrouillage du conteneur Sophos................................................................ 401 Synchronisation du jeu de clés professionnel...........................................................................401 Glossaire...............................................................................................................................................403 Support technique................................................................................................................................ 405 Mentions légales.................................................................................................................................. 406 (2019/11/05) Sophos Mobile 1 À propos de cette aide Ce manuel vous fournit des informations sur la console d’administration Sophos Mobile Admin et vous explique en détails les procédures à suivre. Les descriptions concernent les installations locales et SaaS de Sophos Mobile. Retrouvez plus de renseignements sur les autres versions de ce manuel sur la page Web de la documentation de Sophos Mobile. Copyright © Sophos Limited 1 Sophos Mobile 2 À propos de Sophos Mobile Sophos Mobile Sophos Mobile est la solution EMM des entreprises qui souhaitent consacrer moins de temps et d’énergie à la gestion et à la protection des appareils mobiles. Gérez les appareils mobiles avec Sophos Central, l’interface administrateur Web unifiée et facile à utiliser, en parallèle des produits de sécurité Sophos pour les terminaux, les réseaux et les serveurs. Les applis de conteneurs sécurisés et la compatibilité avec les conteneurs natifs dans iOS, Android Enterprise et Samsung Knox garantissent la séparation des données professionnelles sensibles et des données personnelles sur l’appareil mobile. Dotée d’une protection solide des données, d’une sécurité complète, d’un bon rapport qualité/prix et d’options flexibles de gestion, Sophos Mobile est la solution idéale d’administration des appareils mobiles en milieu professionnel. En effet, elle permet de maintenir la productivité de vos utilisateurs, assure la sécurité de vos données professionnelles et la confidentialité des données personnelles. Sophos Intercept X for Mobile Sophos Intercept X for Mobile protège vos appareils Android et iOS sans affecter leurs performances ni l’autonomie de la batterie. La technologie antimalware de pointe de Sophos permet à Sophos Intercept X for Mobile d’offrir un niveau de protection antimalware et antivirus reconnu et plébiscité. L’appli offre également la détection des applications potentiellement indésirables (PUA), des conseillers confidentialité et sécurité, la protection contre la perte et le vol des données, la protection du Web, et bien plus encore. Sophos Secure Workspace Sophos Secure Workspace est une appli de gestion du contenu mobile en conteneur pour iOS et Android. Elle permet de protéger, de gérer et de distribuer les documents professionnels et le contenu web en toute sécurité. Modifiez des documents Office dans le conteneur pour garantir la protection du contenu chiffré. La technologie anti-phishing protège les utilisateurs contre les liens malveillants présents dans les documents et tout autre contenu. Lorsqu’elle est gérée par Sophos Mobile, les administrateurs peuvent facilement restreindre l’accès au contenu en fonction des règles de conformité définies pour l’appareil. Lorsqu’elle est utilisée avec Sophos SafeGuard Encryption, l’appli Sophos Secure Workspace permet d’échanger en toute sécurité et en toute transparence des fichiers chiffrés (stockés localement ou sur le Cloud) entre les utilisateurs de systèmes Windows, macOS, iOS et Android. Sophos Secure Email Sophos Secure Email est une appli de conteneur de messagerie complète et sécurisée pour Android et iOS. Elle vous permet d’isoler les emails, les agendas et les contacts professionnels des données privées sur un appareil mobile géré par Sophos Mobile. Toutes les informations de l’entreprise sont protégées par le chiffrement AES-256 et l’accès peut facilement être révoqué à l’aide de règles de conformité définies pour l’appareil. Sophos Secure Email permet également au service informatique de fournir la même messagerie professionnelle sécurisée sur différents appareils et systèmes d’exploitation. 2 Copyright © Sophos Limited Sophos Mobile 3 À propos de Sophos Mobile Admin Sophos Mobile Admin est l’instrument central permettant d’administrer les appareils avec Sophos Mobile. Elle est l’interface Web du serveur utilisée pour l’administration des appareils. Grâce au portail Web, vous pouvez mettre en place une stratégie d’entreprise pour l’utilisation des appareils et l’appliquer à tous les appareils inscrits dans Sophos Mobile. Sophos Mobile Admin vous permet de : • Configurer le système (par exemple, les paramètres personnels ou les paramètres de la plateforme). • Configurer les stratégies de conformité et définir les actions à prendre si les appareils ne sont plus conformes aux règles fixées. Retrouvez plus de renseignements à la section Stratégies de conformité (page 36). • Inscrire les appareils à Sophos Mobile. Retrouvez plus de renseignements à la section Ajout d’appareils (page 45). • Approvisionner les nouveaux appareils. Retrouvez plus de renseignements à la section Inscription des appareils (page 47). • Installer les apps sur les appareils inscrits. Retrouvez plus de renseignements à la section Apps (page 329). • Définir les stratégies de sécurité pour les appareils. Retrouvez plus de renseignements à la section Stratégies (page 109). • Créer des séries de tâches afin de regrouper plusieurs tâches et les transférer aux appareils en une seule transaction. Retrouvez plus de renseignements à la section Séries de tâches (page 317). • Configurer les paramètres du Portail libre-service. Retrouvez plus de renseignements à la section Configuration du Portail libre-service (page 30). • Effectuer les tâches administratives sur les appareils, par exemple, réinitialiser le mot de passe des appareils, verrouiller ou réinitialiser les appareils en cas de vol ou de perte, désinscrire les appareils. Retrouvez plus de renseignements à la section Gestion des appareils (page 55). • Créer et voir des rapports. Retrouvez plus de renseignements à la section Rapports (page 8). 3.1 Tableau de bord Remarque Cette section s’applique à la page Tableau de bord des administrateurs habituels. Pour le super administrateur, la page Tableau de bord sert à pour administrer les clients. Retrouvez plus de renseignements dans le Guide du super administrateur de Sophos Mobile (anglais). Le Tableau de bord personnalisable est la page de démarrage de Sophos Mobile et permet d’accéder aux informations les plus importantes en un clin d’œil. Il est composé de différents widgets fournissant des informations sur : • Les appareils (tous les appareils ou les appareils par groupe). • L’état de conformité par plate-forme ou de tous les appareils. • L’état d’administration par plate-forme ou de tous les appareils. Copyright © Sophos Limited 3 Sophos Mobile • L’état d’enregistrement au PLS. • Les versions des plates-formes administrées Vous pouvez également ajouter des appareils à partir du Tableau de bord. Retrouvez plus de renseignements à la section Utilisation de l’assistant Ajouter un appareil (page 49). Les options de personnalisation du Tableau de bord suivantes sont disponibles : • Pour ajouter un widget à la page, cliquez sur Ajouter un widget. • Pour supprimer un widget de la page, cliquez sur le bouton Fermer dans son en-tête. • Pour réinitialiser la page à l’affichage par défaut, cliquez sur Rétablir la disposition par défaut. • Réorganisez les widgets sur la page en les faisant glisser par leur en-tête. 3.2 Tableaux Dans Sophos Mobile Admin, la majorité des pages affichent les informations sous la forme d’un tableau. Ces tableaux offrent des options de commande que vous pouvez utiliser. Au-dessus du tableau : • Utilisez l’icône Afficher ou masquer des colonnes pour configurer les colonnes du tableau que vous souhaitez voir. • Saisissez du texte dans le champ Rechercher pour afficher uniquement les rangées de données contenant ce texte dans les colonnes. Dans le tableau : • Cliquez sur une en-tête de colonne pour trier les rangées du tableau en fonction de cette propriété. Cliquez de nouveau pour inverser l’ordre de tri. • Cliquez sur un nom d’entrée pour effectuer l’action par défaut sur cette entrée (généralement Modifier). • Cliquez sur le triangle bleu à côté du nom pour effectuer plus d’actions sur cette entrée. En dessous du tableau : • Utilisez les boutons de navigation pour afficher une page spécifique du tableau. • Utilisez l’icône Exporter pour exporter soit le tableau tout entier, sot la page en cours dans un fichier Microsoft Excel ou dans un fichier CSV. Si vous avez configuré un filtre de rangée, seules les rangées affichées seront exportées. 3.3 Conditions préalables Avant d’utiliser Sophos Mobile Admin : 4 • Votre ordinateur doit être connecté à Internet et disposer d’un navigateur Internet. Retrouvez plus de renseignements sur les navigateurs pris en charge et sur les versions correspondantes dans les Notes de publication de Sophos Mobile. • Le super administrateur doit avoir créé un client (un « locataire » dont les appareils sont administrés dans Sophos Mobile). Retrouvez plus de renseignements dans le Guide du super administrateur de Sophos Mobile (anglais). Copyright © Sophos Limited Sophos Mobile Remarque Sur Sophos Mobile (version SaaS), un client est prédéfini. Les super administrateurs ne sont pas compatibles avec Sophos Mobile (version SaaS). • Vous devez disposer d’un compte d’utilisateur Sophos Mobile et des codes d’accès correspondant pour vous connecter à Sophos Mobile Admin. Les codes d’accès nécessitent de remplir les champs Client, Utilisateur et Mot de passe. 3.4 Rôles d’utilisateur Les administrateurs Sophos Mobile remplissent des rôles différents. Le rôle a un effet sur les actions que l’administrateur peut mener. Les rôles disponibles sont : Rôle Description Administrator Ce rôle peut effectuer toutes les opérations disponibles. Limited Administrator Ce rôle peut inscrire et administrer les appareils mais ne peut pas définir de paramètres essentiels et ne peut pas gérer d’autres administrateurs. Reporting Ce rôle peut afficher la liste des appareils et peut créer des rapports. Par exemple, un auditeur ou un employé qui a besoin d’informations sur les paramètres utilisés dans Sophos Mobile. Content admin Ce rôle est confié aux employés responsables du téléchargement, de la mise à jour ou de la suppression de documents. Généralement ce rôle est assigné à une personne ne faisant pas partie du service informatique. Les autorisations sont définies de manière à limiter la visibilité et l’accès exclusivement au contenu du menu Documents. Helpdesk Ce rôle peut effectuer des opérations de support, notamment l’inscription d’appareils et l’installation d’applis. Ce rôle n’a pas accès aux fonctions vitales telles que la définition des paramètres et la création, la suppression ou la modification d’appareils, de groupes d’appareils, de packages et de stratégies. Read-only Ce rôle a un accès en lecture seule à tous les paramètres disponibles au rôle Administrator. App Group Administrator Ce rôle peut administrer les groupes d’applis. Un utilisateur classique sera un administrateur qui accède à l’interface de services Web Sophos Mobile pour créer, mettre à jour ou lire des groupes d’applis. Copyright © Sophos Limited 5 Sophos Mobile Rôle Description Duo API Ce rôle est nécessaire à l’intégration au logiciel d’authentification Duo Security. Les administrateurs remplissant le rôle Duo API ont accès à l’interface du service Web Sophos Mobile pour demander l’état d’administration des appareils. Retrouvez plus de renseignements à la section Intégration de Duo Security (page 94). Conseil La fonction d’éditeur de rôle est livrée avec Sophos Mobile. L’éditeur de rôle vous permet de modifier facilement les rôles d’utilisateur existants ou de créer vos propres rôles personnalisés. Vous pouvez le trouver dans le dossier %MDM_HOME%\tools\Wizard où %MDM_HOME% correspond au dossier d’installation de Sophos Mobile. Tâches connexes Création d’administrateurs (page 396) 3.5 Changement de mot de passe Vous pouvez changer de mot de passe à tout moment de votre choix après vous être connecté à Sophos Mobile Admin : 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Général puis sur l’onglet Changement de mot de passe. 2. Saisissez votre ancien mot de passe, votre nouveau mot de passe et confirmez-le. 3. Sélectionnez Enregistrer. 3.6 Récupération du mot de passe En cas d’oubli de votre mot de passe de connexion à Sophos Mobile Admin, vous avez la possibilité de le réinitialiser. 1. Dans la boîte de dialogue de Connexion de Sophos Mobile Admin, cliquez sur Mot de passe oublié ?. La boîte de dialogue Réinitialiser le mot de passe apparaît. 2. Saisissez les informations de votre compte et cliquez sur Réinitialiser le mot de passe. Vous allez recevoir un email contenant un lien vous permettant de réinitialiser votre mot de passe. 3. Cliquez sur le lien. La boîte de dialogue Changer le mot de passe apparaît. 4. Saisissez un nouveau mot de passe, confirmez-le et cliquez sur Changer de mot de passe. Votre mot de passe a été changé et vous êtes connecté à Sophos Mobile Admin. 6 Copyright © Sophos Limited Sophos Mobile 4 Étapes principales pour l’administration d’appareils avec Sophos Mobile Sophos Mobile offre un large éventail de fonctions d’administration selon le type d’appareils utilisés, les stratégies de sécurité et les exigences spécifiques de votre organisation. Les étapes principales pour l’administration d’appareils avec Sophos Mobile sont : • Configurer les stratégies de conformité pour les appareils. Retrouvez plus de renseignements à la section Stratégies de conformité (page 36). • Créer des groupes d’appareils. Retrouvez plus de renseignements à la section Création d’un groupe d’appareils (page 99). Les groupes d’appareils sont utilisés pour diviser les appareils en catégories. Nous vous conseillons de regrouper les appareils. De cette manière, vous pourrez les gérer de manière plus efficace en effectuant les tâches sur un groupe plutôt que sur chaque appareil individuellement. • Inscrire et approvisionner des appareils. Retrouvez plus de renseignements aux sections Ajout d’appareils (page 45) et Inscription des appareils (page 47). Les appareils peuvent être inscrits et approvisionnés par les administrateurs dans Sophos Mobile Admin ou par les utilisateurs des appareils via le Portail libre-service. • Créer des stratégies pour les appareils. Retrouvez plus de renseignements à la section Stratégies (page 109). • Créer des séries de tâches. Retrouvez plus de renseignements à la section Séries de tâches (page 317). • Configurer les fonctions disponibles du Portail libre-service. Retrouvez plus de renseignements à la section Configuration du Portail libre-service (page 30). • Appliquer de nouvelles stratégies ou des stratégies mises à jour aux appareils inscrits. Copyright © Sophos Limited 7 Sophos Mobile 5 Rapports Vous pouvez créer des rapports sur les éléments gérés par Sophos Mobile. 1. Sur le menu latéral, sous INFORMATION, cliquez sur Rapports et cliquez sur le nom du rapport désiré. 2. Dans la boîte de dialogue Choisir le format, cliquez sur l'une des icônes disponibles pour sélectionner le format de sortie désiré : • • Cliquez sur pour exporter le rapport dans un fichier Microsoft Excel. Cliquez sur pour exporter le rapport dans un fichier CSV. Le rapport est enregistré sur votre ordinateur. 8 Copyright © Sophos Limited Sophos Mobile 6 Tâches La page Vue des tâches vous donne un aperçu de toutes les tâches créées et exécutées et affiche leur état actuel. Vous pouvez surveiller toutes vos tâches et intervenir en cas de problèmes. Par exemple, vous pouvez supprimer une tâche qui est impossible à accomplir et qui bloque l’appareil. Pour supprimer une tâche, cliquez sur l’icône Supprimerapparaissant à côté de son nom. Vous pouvez filtrer les tâches par type et par état et les trier par nom d’appareil, nom de package, nom de la personne les ayant créées et la date à laquelle elles sont planifiées. 6.1 Surveillance des tâches Sophos Mobile Admin vous permet de surveiller toutes les tâches existantes pour les appareils. • La page Tâches vous indique toutes les tâches qui ont échoué, qui ne sont pas encore terminées ainsi que celles qui ont été effectuées récemment. La page Vue des tâches est actualisée automatiquement. Vous pouvez donc suivre l’évolution des états des différentes tâches. • La page Détails de la tâche vous donne des informations générales sur une tâche à partir de la page Tâches ou de la page Archive des tâches. • La page Archive des tâches affiche toutes les tâches. 6.1.1 Affichage des tâches non terminées, en échec et récemment terminées 1. Sur le menu latéral, sous INFORMATION, cliquez sur Tâches. 2. Sur la page Vue des tâches, la colonne État indique l’état d’une tâche, par exemple Échec total. 3. Dans le champ Intervalle de rafraîchissement (en sec.), vous pouvez sélectionner la fréquence à laquelle la page Vue des tâches est rafraîchie : 4. Retrouvez plus de renseignements sur une tâche en cliquant sur l’icône en forme de loupe Afficher correspondant à la tâche désirée. La page Détails de la tâche apparaît. En plus des informations générales sur la tâche (par exemple le nom de l’appareil, le nom du package et le créateur), cette vue affiche les états passés d’une tâche spécifique y compris l’horodatage et les codes d’erreur. Si des commandes doivent être exécutées par l’appareil, un bouton Détails supplémentaire est disponible sur la page Détails de la tâche. 5. S’il est disponible, cliquez sur Détails pour voir les commandes à traiter par l’appareil. S’il n’y a eu aucune erreur, le code d’erreur est 0. En cas d’échec d’une commande, le code d’erreur est affiché. Dans la majorité des cas, une description de la cause de l’échec de la commande est également affichée. 6. Pour retourner sur la page Détails de la tâche, cliquez sur Précédent. Copyright © Sophos Limited 9 Sophos Mobile 6.1.2 Affichage de la vue Archive des tâches 1. Sur le menu latéral, sous INFORMATION, cliquez sur Tâches. 2. Sur la page Vue des tâches, cliquez sur Archive des tâches. La page Archive des tâches apparaît. Elle affiche toutes les tâches terminées ou en échec sur le système. 3. Cette page vous permet de : • Cliquer sur Recharger pour rafraîchir la page Archive des tâches. • Supprimer une tâche de l’archive en cliquant sur l’icône Supprimer correspondant à la tâche. • Sélectionner plusieurs tâches et cliquez sur Supprimer la sélection pour les supprimer de l’archive. Pour retourner sur la page Vue des tâches, cliquez sur Tâches dans le menu latéral. 6.1.3 État des tâches Le tableau suivant vous donne une vue générale de l’état des tâches indiqué sur les pages Vue des tâches et Archive des tâches. Chaque état est associé à un code couleur qui indique la catégorie de l’état. Code couleur 10 État Description Accepté La tâche a été créée. Sera réessayé Une nouvelle tentative d’exécution de la tâche sera effectuée ultérieurement. Démarré La tâche a été démarrée. En cours L’exécution de la tâche est en cours de préparation. Série de tâches en cours L’exécution de la série de tâches est en cours de préparation. Notifié L’app Sophos Mobile Control a été notifiée. Commandes envoyées L’app Sophos Mobile Control a reçu le package et/ou les commandes. Évaluation des résultats démarrée L’app Sophos Mobile Control a répondu et l’évaluation des résultats a démarré. Résultat incomplet L’évaluation des résultats indique que les résultats des commandes n’ont pas encore tous été reçus. Copyright © Sophos Limited Sophos Mobile Code couleur État Description En attente de l’interaction de l’utilisateur Une action de l’utilisateur est en attente sur l’appareil. En attente de fin de la tâche Une tâche d’installation a été envoyée à l’appareil mais peut prendre un certain temps à être effectuée. L’appareil est verrouillé La tâche attend que l’appareil soit déverrouillé (iOS). Succès Le package a été installé ou les commandes ont été exécutées avec succès. Remarque pour l’approvisionnement initial de l’app Sophos Mobile Control, la tâche doit se terminer avec l’état Installé. Installé L’app Sophos Mobile Control a été installée avec succès. L’appareil est maintenant approvisionné. Échec de l’évaluation des résultats L’évaluation des résultats n’a pas pu être exécutée. Échec partiel de la tâche Les commandes de la tâche n’ont pas pu toutes être exécutées avec succès. Retardé La tâche sera redémarrée ultérieurement. Échec (nouvelle mise en file d’attente) La tâche a échoué et une nouvelle tentative d’exécution sera effectuée ultérieurement. Échec de la tâche La tâche a échoué et aucune autre tentative d’exécution est en file d’attente. Échec total La tâche a échoué et il est impossible de réessayer. Non démarré La tâche fait partie d’une série de tâches et n’a pas encore été traitée. Ignoré La tâche est ignorée car elle n’est pas prise en charge par l’appareil. Inconnu(e) Le serveur n’a aucune information sur l’état de la tâche. Copyright © Sophos Limited 11 Sophos Mobile Code couleur Catégorie Ouvrir En cours Succès Échec Autre 12 Copyright © Sophos Limited Sophos Mobile 7 Alertes La page Alertes répertorie toutes les alertes nécessitant une intervention de votre part. Pour chaque alerte, la liste indique l’événement qui a causé l’alerte, lorsqu’il a eu lieu et quel utilisateur et appareil sont concernés. La liste répertorie également la sévérité des alertes : Signe d’informations gris pour les alertes pour information. Signe d’avertissement orange pour les alertes de priorité moyenne. Signe d’avertissement rouge pour les alertes de priorité élevée. Confirmer la réception des alertes Sélectionnez une ou plusieurs alertes et cliquez ensuite sur Marquée comme confirmée pour supprimer les alertes sélectionnées de la liste. Pour afficher les alertes dont la réception a été confirmée, sélectionnez Afficher les alertes confirmées dans la liste déroulante au-dessus du tableau. Remarque La confirmation de réception d’une alerte ne résout pas l’événement qui l’a déclenchée. Attention Les alertes sont automatiquement supprimées de la base de données Sophos Mobile après 90 jours, même si vous avez confirmé leur réception. Créer des rapports par email pour les alertes Sophos Mobile envoie des rapports par email sur toutes les alertes dont la réception n’a pas encore été confirmée. Retrouvez plus de renseignements sur la création d’une liste de destinataires et d’un programme de notification à la section Configuration de la messagerie (page 16). Quels événements déclenchent les alertes ? Les alertes sont créées pour les événements suivants : • Violations de conformité pour lesquelles vous avez activé l’action Créer une alerte. • Modifications du cycle de vie de l’appareil et actions importantes sur l’appareil. • Expirations imminentes des licences et certificats. • Autres événements nécessitant votre attention. Si Sophos Intercept X for Mobile est géré par Sophos Mobile, il crée des alertes pour les problèmes de sécurité et les pages Web bloquées. Copyright © Sophos Limited 13 Sophos Mobile 8 Configuration La section du menu Configuration vous permet de configurer le comportement général de Sophos Mobile, l’interaction avec les appareils et l’interaction avec les composants externes comme les portails de Google ou d’Apple. 8.1 Configuration des paramètres personnels Vous pouvez régler l’apparence de Sophos Mobile Admin selon vos préférences personnelles. Par exemple, vous pouvez définir la langue, le fuseau horaire ou les plates-formes d’appareils visibles. Remarque Ces paramètres affectent uniquement le compte d’administrateur auquel vous êtes actuellement connecté. 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Général puis sur l’onglet Personnel. 2. Configurez les paramètres suivants : Option Description Langue La langue de l’interface d’utilisation. Fuseau horaire Le fuseau horaire dans lequel les dates sont affichées. Système de mesure Le système de mesure pour les unités de longueur (Métrique ou Impériale). Lignes par page dans les tableaux Le nombre maximale d’entrées affichées par page. Mode Expert Ce paramètre active les fonctions supplémentaires : Plates-formes activées • La page Affichage de l’appareil inclut l’onglet Propriétés personnalisées avec vos propriétés personnalisées de l’appareil. • La page Affichage de l’appareil inclut l’onglet Propriétés internes avec les propriétés personnalisées signalées par l’appareil. • Plusieurs pages de configuration de la stratégie incluent la section Paramètres supplémentaires permettant de configurer les paramètres optionnels. Les plates-formes d’appareil que vous voulez voir. Sophos Mobile Admin affiche uniquement les pages et paramètres des plates-formes sélectionnées. 3. Sélectionnez Enregistrer. 14 Copyright © Sophos Limited Sophos Mobile 8.2 Configuration des stratégies de mot de passe Pour appliquer la sécurité des mots de passe, configurez les stratégies de mot de passe pour les utilisateurs de Sophos Mobile Admin et du Portail libre-service. Remarque Les stratégies de mot de passe ne s’appliquent pas aux utilisateurs d’un annuaire LDAP externe. 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Général puis sur l’onglet Stratégies de mot de passe. 2. Sous Règles, vous pouvez indiquer les conditions requises en terme de création d’un mot de passe, notamment le nombre minimum de minuscules, de majuscules ou de chiffres qu’un mot de passe doit contenir pour être validé. 3. Sous Paramètres, configurez les paramètres suivants : a) Intervalle de modification du mot de passe (en jours) : saisissez le nombre de jours de validité du mot de passe (entre 1 et 730) ou laissez le champ vide pour désactiver l’expiration du mot de passe. b) Nombre d’anciens mots de passe ne pouvant pas être réutilisés : sélectionnez une valeur entre 1 et 10 ou sélectionnez --- pour désactiver cette restriction. c) Nombre maximal de tentatives ratées de connexion : sélectionnez le nombre de tentatives ratées de connexion autorisées avant le verrouillage du compte (entre 1 et 10) ou sélectionnez --- pour autoriser un nombre illimité de tentatives ratées de connexion. 4. Sélectionnez Enregistrer. 8.3 Configuration des paramètres de l’app SMC L’onglet App SMC de la page Paramètres généraux vous permet de configurer les paramètres de l’app Sophos Mobile Control sur les appareils Android, iOS et Windows Mobile. 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Général puis sur l’onglet Appli SMC. 2. Configurez les paramètres suivants : Option Description Désactiver la désinscription via Retirez le bouton Désinscrire de l’app Sophos Mobile Control l’app afin d’empêcher les utilisateurs de désinscrire leur appareil à l’aide de l’app. Remarque Pour empêcher totalement la désinscription par l’utilisateur, désactivez également l’option Désinscrire l’appareil dans les paramètres du Portail libre-service. Retrouvez plus de renseignements à la section Création des différentes configurations du Portail libre-service (page 30). 3. Sélectionnez Enregistrer. Copyright © Sophos Limited 15 Sophos Mobile 8.4 Configuration de la messagerie L’onglet Configuration de la messagerie vous permet de configurer les paramètres des emails que Sophos Mobile va envoyer. 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Général puis sur l’onglet Configuration de la messagerie. 2. Dans Langue, sélectionnez la langue de l’email. 3. Dans Nom de l’expéditeur, saisissez le nom de l’expéditeur de l’email qui va s’afficher. 4. Facultatif : Sous Paramètres de messages d’alerte, configurez les rapports d’alerte envoyés aux administrateurs : a) Dans Gravité, sélectionnez les niveaux de sévérité inclus dans le rapport. b) Dans Destinataires de l’email, indiquez les destinataires en saisissant une ou plusieurs adresses électroniques en cours de validité. c) Dans Planification d’envoi d’email, saisissez l’heure du jour à laquelle le rapport sera envoyé et cliquez sur Ajouter. Répétez cette procédure pour envoyer plusieurs rapports par jour. Remarque Les heures sont dans le fuseau horaire du serveur. 5. Cliquez sur Enregistrer. Concepts connexes Alertes (page 13) 8.5 Configuration du contact du service informatique Fournissez les coordonnées du contact du service informatique afin que les utilisateurs obtiennent de l’aide en cas de questions ou de problèmes. Les informations que vous saisissez ici sont affichées dans le Portail libre-service et sur les appareils des utilisateurs. 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Général puis sur l’onglet Contact du service informatique. 2. Saisissez les informations des personnes à contacter. 3. Sélectionnez Enregistrer. 8.6 Configuration des paramètres de confidentialité Vous pouvez empêcher les administrateurs d’accéder aux informations confidentielles sur l’appareil. Vous pouvez désactiver les paramètres de confidentialité suivants : 16 Copyright © Sophos Limited Sophos Mobile • Emplacement de l’appareil Lorsque cette option est désactivée, vous ne pouvez pas voir l’emplacement de l’appareil. Les utilisateurs peuvent toujours voir l’emplacement de leur appareil dans le Portail libre-service. Vous pouvez toujours afficher le rapport Emplacement de l’appareil indiquant le dernier emplacement connu de tous les appareils. • Applis installées Lorsque cette option est désactivée, vous ne pouvez pas voir les applis installées sur un appareil. L’onglet Applis installées dans les informations sur l’appareil n’est pas affiché et le rapport Applis par appareil n’est pas disponible. Vous pouvez toujours voir les rapports sur les apps installées pour tous les appareils. Pour configurer les paramètres de confidentialité : 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Général puis sur l’onglet Confidentialité. 2. Pour désactiver l’affichage de l’emplacement des appareils, cliquez sur Interdire aux admins de géolocaliser les appareils. 3. Pour désactiver l’affichage des apps installées, cliquez sur Masquer les applis installées. Remarque Sophos Mobile enregistre les événements de confidentialité suivants : • Un administrateur demande l’emplacement d’un appareil. • Un utilisateur demande l’emplacement d’un appareil dans le Portail libre-service. • L’affichage des emplacements des appareils est activé ou désactivé dans Sophos Mobile Admin. • L’affichage des apps installées est activé ou désactivé dans Sophos Mobile Admin. 8.7 Configuration des paramètres iOS L'onglet iOS de la page Configuration d’Apple vous permet de configurer les paramètres des appareils iOS. 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration d’Apple puis sur l’onglet iOS. 2. Configurez les paramètres suivants : Option Description Contourner le verrouillage d’activation Sélectionnez Activer afin de pouvoir désactiver le Verrouillage d’activation sur les appareils supervisés. Lorsque cette option est sélectionnée, Sophos Mobile récupère un code de contournement lors de la synchronisation avec un appareil supervisé dont le verrouillage d’activation est opérationnel. Si nécessaire, vous pouvez lancer l’action Contournement du verrouillage d’activation à partir de la page Affichage de l’appareil pour désactiver le verrouillage d’activation lorsque l’appareil doit être supprimé et redéployé. Le verrouillage d’activation est une fonction de sécurité d’iOS permettant d’empêcher la réactivation d’appareils perdus ou Copyright © Sophos Limited 17 Sophos Mobile Option Description volés. Généralement, vous avez besoin de l’identifiant Apple et du mot de passe pour désactiver le verrouillage d’activation. La fonction de verrouillage d’activation vous permet de désactiver le verrouillage d’activation en fournissant uniquement le code de contournement. Synchronisation du nom de l’appareil Sélectionnez Activer pour gérer les appareils iOS sous le nom configuré sur l’appareil. Lorsque cette option est sélectionnée, le nom de l’appareil utilisé par Sophos Mobile est défini à chaque fois que l’appareil se synchronise avec Sophos Mobile. Lorsque cette option n’est pas sélectionnée, vous devez définir le nom de l’appareil au moment de son inscription. 3. Sélectionnez Enregistrer. 8.8 Certificats du service Apple Push Notification Pour utiliser le protocole Mobile Device Management (MDM) intégré aux appareils iOS et macOS, Sophos Mobile doit utiliser le service de notification push d’Apple (APNs) pour permettre la communication avec les appareils. Sophos Mobile gère les certificats APNs par client. Veuillez créer et télécharger les certificats pour chaque client que vous utilisez. Les certificats APNs sont valides pendant un an. 8.8.1 Création d’un certificat APNs Condition préalable : Vous n’avez pas encore téléchargé de certificat du service Apple Push Notification (APNs) dans Sophos Mobile. Retrouvez plus de renseignements sur le renouvellement d’un certificat existant à la section Renouvellement d’un certificat APNs (page 19). Conseil Vous pouvez utiliser le même certificat sur plusieurs clients. Retrouvez plus de renseignements à la section Copie d’un certificat APNs dans un autre client (page 20). 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration d’Apple puis sur l’onglet APNs. 2. Cliquez sur Assistant de certificat APNs. 3. Sur la page Mode, cliquez sur Créer un certificat APNs. 4. Sur la page CSR, cliquez sur Télécharger la demande de signature du certificat. Cette opération enregistre le fichier de demande de signature du certificat apple.csr sur votre ordinateur local. Le fichier de demande de signature est spécifique au client actuel. 5. Vous allez avoir besoin d’un identifiant Apple. Même si vous avez déjà un identifiant, nous vous conseillons d’en créer un nouveau que vous utiliserez avec Sophos Mobile. Sur la page Identifiant Apple, cliquez sur Créer un identifiant Apple sur le portail d’Apple. 18 Copyright © Sophos Limited Sophos Mobile Une page Web d’Apple va s’ouvrir sur laquelle vous pouvez créer un identifiant Apple pour votre entreprise. Remarque Conservez les codes d’accès à un endroit sûr et accessibles par vos collègues de travail. Votre entreprise aura besoin de ces codes d’accès pour renouveler le certificat tous les ans. 6. Dans l’assistant, saisissez votre nouvel identifiant Apple dans le champ Identifiant Apple. 7. Sur la page Certificat, cliquez sur Créer un certificat sur le portail d’Apple. La page « Apple Push Certificates Portal » s’ouvre. 8. Connectez-vous avec votre identifiant Apple et téléchargez le fichier de demande de signature du certificat apple.csr. 9. Téléchargez le fichier de certificat APNs .pem et enregistrez-le sur votre ordinateur. 10. Sur la page Télécharger, cliquez sur Télécharger le certificat et naviguez jusqu’au fichier .pem récupéré sur la page « Apple Push Certificates Portal ». 11. Sélectionnez Enregistrer. Sophos Mobile va lire le certificat et afficher les informations sur le certificat dans l’onglet APNs. 8.8.2 Renouvellement d’un certificat APNs Condition préalable : vous avez déjà téléchargé un certificat pour le service Apple Push Notification (APNs) dans Sophos Mobile, que celui-ci est sur le point d’expirer et qu’il doit être renouvelé. Retrouvez plus de renseignements sur la création d’un nouveau certificat à la section Création d’un certificat APNs (page 18). Attention Sur le portail d’Apple, veuillez impérativement sélectionner le bon certificat APNs à renouveler. Si vous renouvelez le mauvais certificat, vous devrez inscrire de nouveau tous les appareils iOS et macOS. 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration d’Apple puis sur l’onglet APNs. 2. Cliquez sur Assistant de certificat APNs. 3. Sur la page Mode, cliquez sur Renouveler mon certificat APNs. 4. Sur la page CSR, cliquez sur Télécharger la demande de signature du certificat. 5. 6. 7. 8. 9. Cette opération enregistre le fichier de demande de signature du certificat apple.csr sur votre ordinateur local. Le fichier de demande de signature est spécifique au client actuel. Sur la page Identifiant Apple, l’identifiant Apple utilisé pour créer le certificat APNs initial est affiché. Vous avez besoin de cet identifiant pour vous connecter au portail d’Apple. Sur la page Certificat, cliquez sur Renouveler un certificat sur le portail d’Apple. La page « Apple Push Certificates Portal » s’ouvre. Connectez-vous avec l’identifiant Apple affiché dans l’assistant. Sur Apple Push Certificates Portal, cliquez sur Renew à côté du certificat APNs de Sophos Mobile. Téléchargez le fichier de demande de signature du certificat apple.csr que vous aviez préparé auparavant. Copyright © Sophos Limited 19 Sophos Mobile 10. Téléchargez le fichier de certificat APNs .pem et enregistrez-le sur votre ordinateur. 11. Sur la page Télécharger, cliquez sur Télécharger le certificat et naviguez jusqu’au fichier .pem récupéré sur la page « Apple Push Certificates Portal ». 12. Sélectionnez Enregistrer. Attention Si le message suivant apparaît, ceci signifie que vous n’êtes pas en train de renouveler le bon certificat : L’objet du nouveau certificat ne correspond pas à l’ancien. Si les appareils ont été configurés avec l’ancien certificat, veuillez les configurer de nouveau. Voulez-vous vraiment enregistrer vos modifications ? Ce message vous informe que vous êtes sur le point de créer un nouveau certificat APNs avec un identifiant différent. Si vous confirmez le message, tous les appareils iOS et macOS existants ne pourront plus être administrés et vous allez devoir les réinscrire. Retrouvez plus de renseignements sur la sélection du bon certificat à la section Identification du certificat APNs à renouveler (page 21). 8.8.3 Copie d’un certificat APNs dans un autre client Vous pouvez copier un certificat du service Apple Push Notification (APNs) dans un autre client sur la même installation ou sur une installation différente de Sophos Mobile. Attention Si un certificat APNs existe déjà dans l’emplacement de destination, la propriété Sujet du certificat que vous voulez copier doit être identique au Sujet du certificat existant. Si vous copiez le mauvais certificat, vous devrez réinscrire tous les appareils iOS et macOS du client. Téléchargez le certificat : 1. Connectez-vous à Sophos Mobile Admin en tant qu’administrateur du client pour lequel vous voulez copier le certificat APNs. 2. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration d’Apple puis sur l’onglet APNs. 3. Veuillez noter la valeur Sujet affichée sous Certificat APNs. 4. Cliquez sur Télécharger le certificat en tant que fichier PKCS #12. 5. Dans la boîte de dialogue de confirmation, le mot de passe du fichier de certificat s’affiche. Veuillez noter le mot de passe et cliquez sur Télécharger. Le fichier de certificat apple.csr va être enregistré sur votre ordinateur local. Téléchargez le certificat sur un autre client : 6. Connectez-vous à Sophos Mobile Admin en tant qu’administrateur du client pour lequel vous voulez télécharger le certificat. 7. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration d’Apple puis sur l’onglet APNs. 8. Si un certificat APNs existe déjà, assurez-vous que la valeur du Sujet est identique à la valeur du certificat que vous êtes sur le point de copier. 9. Cliquez sur Assistant de certificat APNs. 10. Sur la page Mode, cliquez sur Télécharger un certificat APNs à partir d’un autre client Sophos Mobile. 20 Copyright © Sophos Limited Sophos Mobile 11. Sur la page Identifiant Apple, saisissez l’identifiant Apple utilisé pour créer le certificat APNs que vous allez télécharger. 12. Sur la page Télécharger, cliquez sur Télécharger le certificat et naviguez jusqu’au fichier apns_cert.p12 que vous avez téléchargé à partir de l’autre client. 13. Saisissez le mot de passe et cliquez sur Appliquer. 14. Sélectionnez Enregistrer. 8.8.4 Identification du certificat APNs à renouveler Lorsque vous renouvelez votre certificat du service Apple Push Notification (APNs) pour le serveur Sophos Mobile comme décrit à la section Renouvellement d’un certificat APNs (page 19), veuillez sélectionner le bon certificat APNs à renouveler sur le portail d’Apple. Cette section décrit comment identifier le certificat APNs qui a été téléchargé sur le serveur Sophos Mobile. Pour récupérer l’identifiant du certificat : 1. Connectez-vous à Sophos Mobile Admin à l’aide d’un compte d’administrateur pour le client pour lequel le certificat doit être renouvelé. 2. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration d’Apple puis sur l’onglet APNs. 3. Veuillez noter la valeur Sujet affichée sous Certificat APNs. Pour identifier le certificat : 4. Utilisez votre navigateur pour ouvrir l’URL du portail Apple Push Certificates Portal, https:// identity.apple.com/pushcert/. Si vous rencontrez des problèmes avec certaines fonctions lors de la consultation du portail d’Apple avec Microsoft Internet Explorer, nous vous conseillons d’utiliser la dernière version de Firefox, Opera, Chrome ou Safari à la place. 5. Connectez-vous avec l’Identifiant Apple que vous avez utilisé pour créer le premier certificat APNs. 6. Dans la liste des certificats APNs, cliquez sur l’icône Info sur le certificat correspondant à l’entrée d’un certificat. Les informations sur le certificat apparaissent. 7. Dans le champ Objet DN, recherchez la valeur affichée après UID=. Si elle correspond à l’identifiant que vous avez noté dans Sophos Mobile Admin, vous avez trouvé le bon certificat. 8.8.5 Vérification de la connexion des appareils au service APNs Les utilisateurs de l’app Sophos Mobile Control pour iOS peuvent vérifier si leurs appareils sont en mesure de se connecter au serveur du service APNs (Apple Push Notification service). 1. Dans l’app Sophos Mobile Control, appuyez sur l’icône Informations pour ouvrir la vue À propos de. 2. Appuyez sur Vérifier APNs. L’app essaye de se connecter au serveur APNs d’Apple. Le temps de réponse du serveur doit être de 5 secondes maximum. Vérifiez les paramètres de votre pare-feu si le serveur APNs ne peut pas être joint. Retrouvez une liste des connexions requises dans le Guide de déploiement du serveur Sophos Mobile (anglais). Copyright © Sophos Limited 21 Sophos Mobile 8.9 Configuration des destinations iOS AirPlay Sophos Mobile vous permet de déclencher à distance la recopie vidéo AirPlay entre un appareil iOS et des destinations AirPlay prédéfinies (par exemple AppleTV). Remarque AirPlay fonctionne uniquement sur les appareils du même réseau. Vous pouvez définir les destinations pour la recopie vidéo AirPlay. 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration d’Apple puis sur l’onglet iOS AirPlay. 2. Sous la section Destinations AirPlay, cliquez sur Créer une destination AirPlay. La page Destination AirPlay apparaît. 3. Saisissez le nom de l’appareil et, si vous le voulez, l’adresse MAC de l’appareil de destination AirPlay. Si nécessaire, saisissez le mot de passe de l’appareil. 4. Cliquez sur Appliquer. L’appareil apparaît sous Destinations AirPlay sous l’onglet iOS AirPlay de la page Configuration d’Apple. 5. Sélectionnez Enregistrer. Vous pouvez déclencher la recopie vidéo AirPlay entre un appareil iOS et cette destination en cliquant sur Demander la recopie vidéo AirPlay à partir du menu Actions sur la page Affichage de l’appareil correspondant à l’appareil de votre choix. 8.10 Paramètres Android L'onglet Android de la page Configuration d’Android vous permet de configurer les paramètres des appareils Android : • Mode d’administration Android (page 22) • Hébergement des apps Sophos sur votre serveur Web (page 23). • Configuration de l’intervalle de synchronisation de l’app Sophos Mobile Control (page 24). • Activation du service Baidu Cloud Push (page 24) 8.10.1 Mode d’administration Android Pour les appareils Android, vous pouvez choisir entre les modes d’administration Android Enterprise et Administrateur de l’appareil (ancienne fonction). 22 Android Enterprise Sophos Mobile Control est le propriétaire de l’appareil ou du profil et utilise Android Enterprise pour administrer un appareil ou un emplacement de travail sur l’appareil. Administrateur de l’appareil (ancienne fonction) Sophos Mobile Control est un administrateur d’appareils et utilise la gestion des appareils mobiles (MDM) Android pour administrer un appareil. Copyright © Sophos Limited Sophos Mobile Nous vous conseillons d’utiliser Android Enterprise. 1. Sur le menu latéral, sous PARAMÈTRES, sélectionnez Configuration > Configuration d’Android puis l’onglet Android. 2. Dans Mode de gestion, sélectionnez un mode d’administration pour les appareils Android. 3. Sélectionnez Enregistrer. Ce paramètre affecte les types de stratégie disponibles dans l’interface d’utilisation. Si vous avez sélectionné le mode Android Enterprise, vous devez installer Android Enterprise pour votre organisation avant de pouvoir inscrire des appareils. Concepts connexes Installation d’Android Enterprise - Généralités (page 357) 8.10.2 Hébergement des apps Sophos sur votre serveur Web Vous pouvez héberger les applis Android installées par les utilisateurs lors de l’inscription, (Sophos Mobile Control et Sophos Intercept X for Mobile), sur un serveur Web interne plutôt que sur Google Play. Attention • Cette option introduit un risque de sécurité. Lorsque vous hébergez les applis Sophos sur un serveur Web interne, vous devez généralement autoriser l’installation d’applis hors du cadre de Google Play. • Assurez-vous que la dernière version de l’appli est installée sur les appareils mobiles. Téléchargez régulièrement la nouvelle version depuis la page Web « Téléchargements et mises à jour des produits Sophos » sur votre serveur Web et utilisez une série de tâches pour l’installer sur les appareils. Pour configurer la source d’installation pour Sophos Mobile Control et Sophos Intercept X for Mobile : 1. Connectez-vous à Sophos Mobile Admin avec un compte de super administrateur. 2. Sur le menu latéral, sous PARAMÈTRES, sélectionnez Configuration > Configuration d’Android puis l’onglet Android. 3. Sous Sélectionner la source d’installation, sélectionnez Fichier APK hébergé. 4. Saisissez l’URL de Sophos Mobile Control dans URL du fichier SMC APK. Par exemple, si vous avez copié le fichier APK dans un sous-répertoire smc sous le répertoire de déploiement de votre serveur Web, saisissez cette URL : <adresse_serveur_web>/smc/ smc.apk 5. De même, saisissez l’URL de l’app Intercept X dans URL du fichier APK d’Intercept X for Mobile. Une licence Mobile Advanced est requise. 6. Sélectionnez Enregistrer. Information associée Téléchargement et mise à jour des produits Sophos Copyright © Sophos Limited 23 Sophos Mobile 8.10.3 Configuration de l’intervalle de synchronisation de l’app Sophos Mobile Control La synchronisation de l’app Sophos Mobile Control avec le serveur Sophos Mobile a lieu : • Immédiatement lorsqu’elle doit communiquer les modifications ayant eu lieu sur l’appareil. • À la demande, lorsque le serveur la déclenche avec les services de notification push Google Cloud Messaging (GCM) et, en option, avec Baidu Cloud Push. • Toutes les 24 heures par défaut. Si nécessaire, vous pouvez utiliser un intervalle de temps plus court pour la synchronisation programmée par défaut. Sur Sophos Mobile (version locale), cette option est configurée par le super administrateur. Attention Dans la majorité des cas, vous pouvez utiliser la valeur par défaut de 24 heures. Nous vous conseillons de changer d’utiliser un intervalle de temps plus court uniquement si les services de notification Push ne fonctionnent pas sur votre environnement. L’utilisation d’intervalles de temps plus court à un impact sur l’autonomie de la batterie et sur la consommation de données et impose une plus grande utilisation des ressources du serveur. Pour configurer l’intervalle de synchronisation utilisé par l’app Sophos Mobile Control sur les appareils Android : 1. Sur le menu latéral, sous PARAMÈTRES, sélectionnez Configuration > Configuration d’Android puis l’onglet Android. 2. Sous Intervalle de synchronisation SMC, sélectionnez une valeur comprise entre 15 minutes et 24 heures dans la liste Intervalle de synchronisation. 3. Sélectionnez Enregistrer. 8.10.4 Activation du service Baidu Cloud Push Sophos Mobile utilise le service Google Firebase Cloud Messaging (FCM) pour envoyer des notifications push aux appareils Android afin qu’ils entrent en contact avec le serveur Sophos Mobile. En Chine, il est fort probable que FCM ne fonctionne pas. Par conséquent, Sophos Mobile peut également utiliser le service de notification push chinois Baidu Cloud Push. Si vous gérez des appareils Android situés en Chine, veuillez activer le service Baidu Cloud Push comme suit : 1. Sur le menu latéral, sous PARAMÈTRES, sélectionnez Configuration > Configuration d’Android puis l’onglet Android. 2. Sous la section Service Baidu Cloud Push, sélectionnez Activer le service Baidu Cloud Push. 3. Sélectionnez Enregistrer. Lorsque Baidu Cloud Push est activé, Sophos Mobile envoie toutes les notifications push par le biais de FCM et de Baidu Cloud Push. 24 Copyright © Sophos Limited Sophos Mobile 8.11 Enregistrement de la licence Samsung Knox Si vous avez une licence Samsung Knox Premium, vous pouvez gérer le conteneur Knox sur vos appareils Samsung avec Sophos Mobile. Pour enregistrer une clé de licence Samsung Knox Premium : 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration d’Android puis sur l’onglet Licence Samsung Knox. 2. Saisissez votre clé de licence Samsung Knox Premium. Vous pouvez saisir une clé de licence de type KPE Premium ou KLM Workspace. 3. Sélectionnez Enregistrer. Si vous décidez plus tard de ne pas utiliser votre licence Samsung Knox Premium avec Sophos Mobile, cliquez sur Supprimer pour annuler l’enregistrement de la clé de licence. 8.12 Configuration de l’intervalle d’interrogation pour les appareils Windows Sur les appareils Windows, vous pouvez configurer l’intervalle d’interrogation auquel le client MDM Windows contactera le serveur Sophos Mobile. généralement, le serveur contacte le client à l’aide des notifications push. L’interrogation est utilisée en tant que mesure de sécurité en cas d’indisponibilité du service de notification push. Remarque dans la majorité des cas, vous pouvez utiliser les valeurs par défaut. L’utilisation d’intervalles de courte durée à un impact sur l’autonomie de la batterie et sur la consommation de données et impose une plus grande utilisation des ressources du serveur. 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration de Microsoft puis sur l’onglet Intervalle d’interrogation MDM. 2. Sélectionnez les intervalles d’interrogation pour les différents systèmes d’exploitation Windows. 3. Sélectionnez Enregistrer. 8.13 Vérification de vos licences Sophos Mobile utilise un programme de licence par utilisateur. Une licence d’utilisateur est valide pour tous les appareils assignés à cet utilisateur. Les appareils qui ne sont pas assignés à un utilisateur nécessitent une licence pour chacun d’entre eux. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration de Sophos puis sur l’onglet Licence. Les informations suivantes apparaissent : • Nombre maximal de licences : nombre maximal d’utilisateurs d’appareils (et d’appareils n’étant plus assignés) pouvant être administrés. Copyright © Sophos Limited 25 Sophos Mobile Si le super administrateur n’a pas défini de limites pour le client, le nombre de licences est limitées par le nombre total pour le serveur Sophos Mobile. • Licences utilisées : nombre de licences utilisées. • Valide jusqu’au : date d’expiration de la licence. • Licence Advanced : Le super administrateur a activé une licence Mobile Advanced pour le client. Si vous avez des questions ou des doutes à propos des informations affichées sur la licence, veuillez contacter votre interlocuteur commercial Sophos. 8.14 Protocole SCEP (Simple Certificate Enrollment Protocol) Vous pouvez distribuer des certificats aux appareils Android, iOS et Windows Mobile à l'aide du protocole SCEP (Simple Certificate Enrollment Protocol). 8.14.1 Conditions préalables Pour pouvoir utiliser le protocole SCEP (Simple Certificate Enrollment Protocol), les conditions préalables suivantes doivent être respectées : • Un serveur CA Windows compatible avec SCEP est présent dans l’environnement. • Les codes d’accès de connexion d’un utilisateur pouvant créer un code de challenge sont disponibles. • Le serveur Sophos Mobile dispose de l’accès http ou https aux sites suivants : — https://VOTRE-SERVEUR-SCEP/CertSrv/MSCEP_ADMIN — https://VOTRE-SERVEUR-SCEP/CertSrv/MSCEP 8.14.2 Configuration de SCEP Avant de pouvoir utiliser SCEP sur vos appareils, veuillez configurer la connexion à votre serveur SCEP. Pour configurer SCEP : 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration de Sophos puis sur l’onglet SCEP. 2. Veuillez fournir les informations suivantes : a) Dans le champ URL du serveur SCEP, saisissez https://VOTRE-SERVEUR-SCEP/CertSrv/ MSCEP. b) Dans le champ URL de challenge, saisissez https://VOTRE-SERVEUR-SCEP/CertSrv/ MSCEP_ADMIN. Remarque Si vous utilisez un serveur Windows 2003 en tant que serveur SCEP, saisissez https:// VOTRE-SERVEUR-SCEP/CertSrv/MSCEP. 26 Copyright © Sophos Limited Sophos Mobile c) Dans les champs Utilisateur et Mot de passe, saisissez les codes d’accès de l’utilisateur qui pourra créer un code de challenge. Remarque Dans le champ Utilisateur, saisissez un utilisateur qui dispose des droits nécessaires pour enregistrer des certificats. Utilisez le format de connexion : nomutilisateur@domaine d) Dans le champ Caractères de challenge, sélectionnez les types de caractères utilisés pour le mot de passe de challenge. e) Dans le champ Longueur du challenge, acceptez la longueur par défaut. f) Facultatif : Dessélectionnez l’option Utiliser le proxy HTTP si vous voulez que Sophos Mobile contourne le proxy HTTP lors de la connexion au serveur SCEP. Cette option est uniquement disponible si le proxy HTTP est activé. Sur Sophos Mobile (version locale), le super administrateur peut configurer un proxy HTTP que Sophos Mobile utilise pour les connexions HTTP et SSL/TLS sortantes. Retrouvez plus de renseignements dans le Guide du super administrateur de Sophos Mobile (anglais). Sur Sophos Mobile (version SaaS), le proxy HTTP est toujours activé. 3. Sélectionnez Enregistrer. Sophos Mobile teste la connexion à votre serveur SCEP. Pour déployer un profil avec SCEP, ajoutez une configuration SCEP à une stratégie Android, iOS ou Windows Mobile. Conseil Dans la stratégie, vous pouvez configurer un intervalle au bout duquel l’appareil demande automatiquement le renouvellement du certificat. 8.15 Création des propriétés clients Vous pouvez créer des propriétés pour les clients. Lorsque vous créez une propriété sous le nom ma propriété, vous pouvez faire référence à la valeur de la propriété en utilisant l’espace réservé %_CUSTPROP(ma propriété)_%. Par exemple, vous pouvez utiliser ceci pour faire référence à un domaine spécifique au client. Retrouvez plus de renseignements sur les espaces réservés à la section Espaces réservés dans les stratégies (page 116). Pour créer une propriété pour le client : 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration de Sophos puis sur l’onglet Propriétés client. 2. Cliquez sur Ajouter une propriété client. 3. Saisissez un nom et une valeur pour la propriété client. 4. Cliquez sur Appliquer. 5. Sélectionnez Enregistrer. La propriété client est ajoutée au client Sophos Mobile. Copyright © Sophos Limited 27 Sophos Mobile 8.16 Configuration des certificats SSL/TLS L’onglet SSL/TLS de la page Configuration de Sophos vous permet de configurer les certificats SSL/TLS pour les connexions sécurisées entre le serveur Sophos Mobile et les clients. Retrouvez plus de renseignements dans le Guide du super administrateur de Sophos Mobile (anglais). 8.17 Configuration du proxy EAS L’onglet Proxy EAS de la page Configuration de Sophos vous permet de configurer le serveur proxy EAS utilisé pour filtrer le trafic de messagerie entre les appareils administrés et votre serveur de messagerie. Retrouvez plus de renseignements dans le Guide du super administrateur de Sophos Mobile (anglais). 8.18 Configuration du contrôle d’accès réseau L’onglet Contrôle d’accès réseau de la page Configuration de Sophos vous permet de configurer la connexion à un système de contrôle d’accès réseau (NAC). Retrouvez plus de renseignements dans le Guide du super administrateur de Sophos Mobile (anglais). 8.19 Configuration de la connexion au serveur de messagerie L’onglet SMTP de la page Configuration de Sophos vous permet de configurer la connexion au serveur de messagerie SMTP. Retrouvez plus de renseignements dans le Guide du super administrateur de Sophos Mobile (anglais). 8.20 Configuration de la connexion au serveur proxy L’onglet Proxy HTTP de la page Configuration de Sophos vous permet de configurer la connexion au serveur proxy que Sophos Mobile utilise pour les connexions HTTP et SSL/TLS. Retrouvez plus de renseignements dans le Guide du super administrateur de Sophos Mobile (anglais). 28 Copyright © Sophos Limited Sophos Mobile 8.21 Configuration de l’accès au portail L’onglet Portails Web de la page Configuration de Sophos vous permet de configurer l’accès à a Sophos Mobile Admin et au Portail libre-service. Retrouvez plus de renseignements dans le Guide du super administrateur de Sophos Mobile (anglais). 8.22 Configuration des limites de téléchargement de fichiers L’onglet Téléchargements de fichiers de la page Configuration de Sophos vous permet de configurer les limites de taille de fichier pour le téléchargement d’apps et de documents. Retrouvez plus de renseignements dans le Guide du super administrateur de Sophos Mobile (anglais). 8.23 Activation de la journalisation des audits Sur l’onglet Journalisation d’audit de la page Configuration de Sophos, activez la journalisation de toutes les actions effectuées par les utilisateurs dans Sophos Mobile Admin. Retrouvez plus de renseignements dans le Guide du super administrateur de Sophos Mobile (anglais). 8.24 Création des messages système L’onglet Messages système de la page Configuration de Sophos vous permet de créer des messages système affichés sur les pages de connexion de Sophos Mobile Admin et du Portail libreservice. Retrouvez plus de renseignements dans le Guide du super administrateur de Sophos Mobile (anglais). Copyright © Sophos Limited 29 Sophos Mobile 9 Configuration du Portail libre-service Le Portail libre-service vous permet de réduire la charge de travail de votre service informatique en laissant les utilisateurs inscrire eux-mêmes leurs propres appareils et effectuer les tâches sans avoir à contacter le service d’assistance. La configuration du Portail libre-service vous permet de définir : • Les groupes d’utilisateurs autorisés à se servir du Portail libre-service. • Les types d’appareils que les utilisateurs peuvent inscrire. • Les actions sur les appareils que les utilisateurs peuvent effectuer. Le Portail libre-service est compatible avec les plates-formes suivantes : • Android • iOS • macOS • Windows Mobile • Windows • Chrome OS 9.1 Création des différentes configurations du Portail libre-service Une configuration du Portail libre-service vous permet de configurer les types d’appareils que les utilisateurs peuvent inscrire, les détails d’inscription et les actions qu’ils peuvent effectuer sur le Portail libre-service. Vous pouvez utiliser différentes configurations du Portail libre-service pour différents utilisateurs. Pour ce faire, ajoutez des utilisateurs à un groupe d’utilisateurs et associez le groupe à une configuration. Vous trouverez des détails sur les groupes d’utilisateurs dans les informations connexes. Si un utilisateur appartient à plusieurs groupes qui sont tous associés aux configurations du Portail libre-service, c’est la configuration ayant la priorité la plus élevée qui est appliquée. Attention En raison de la complexité des paramètres de configuration du Portail libre-service, nous vous conseillons de tester l’inscription d’appareils pour différents groupes d’utilisateurs avant de déployer les paramètres à vos utilisateurs. Pour créer une configuration du Portail libre-service : 1. Sur le menu latéral, sous PARAMÈTRES, sélectionnez Configuration > Portail libre-service. 2. Sélectionnez Textes d’inscription et ajoutez le texte des conditions générales d’utilisation et de post-inscription. Lorsque vous assignez ces textes à la configuration de votre Portail libre-service, elles sont affichées respectivement avant et après l’inscription. Retrouvez plus de renseignements à la section Création de textes d’inscription (page 32). 30 Copyright © Sophos Limited Sophos Mobile 3. Sur la page Configurations du Portail libre-service, sélectionnez Ajouter pour créer une configuration. Vous pouvez créer plusieurs configurations et les assigner à différents groupes d’utilisateurs. 4. Configurez les paramètres suivants : Option Description Nom Le nom de la configuration. Dans le Portail libre-service, les utilisateurs sélectionnent une configuration par son nom. Groupes d’utilisateurs Sélectionnez Ajouter et saisissez un groupe d’utilisateurs. La configuration est appliquée à tous les membres de ce groupe. Vous pouvez ajouter plusieurs groupes d’utilisateurs à une configuration, mais vous ne pouvez pas ajouter le même groupe d’utilisateurs à différentes configurations. Nombre maximal d’appareils Le nombre maximal d’appareils qu’un utilisateur peut inscrire sur le Portail libre-service. Actions Sélectionnez Afficher puis sélectionnez les actions de gestion qu’un utilisateur peut effectuer dans le Portail libre-service. Retrouvez plus de renseignements sur les actions compatibles avec une plate-forme d’appareil à la section Actions disponibles dans le Portail libre-service (page 33). 5. Sélectionnez Ajouter puis une plate-forme d’appareils. 6. Dans la boîte de dialogue Configurer les paramètres de la plate-forme, configurez les paramètres suivants : Option Description Nom d’affichage Le nom des paramètres de la plate-forme. Dans le Portail libre-service, les utilisateurs sélectionnent un type d’inscription par son nom. Description Une description des paramètres de la plate-forme. Cette description apparaît dans le Portail libre-service à côté du nom. Propriétaire Le mode propriétaire (professionnel ou personnel) des appareils inscrit à cette configuration. Groupe d’appareils Le groupe d’appareils auquel l’appareil est ajouté. Package d’inscription La série de tâches (Android, iOS et macOS) ou la stratégie (Windows et Windows Mobile) envoyée à l’appareil. Conditions générales d’utilisation Le texte à afficher dans le Portail libre-service avant l’inscription. Ne remplissez pas ce champ afin qu’aucun texte ne soit affiché. Copyright © Sophos Limited 31 Sophos Mobile Option Description Les utilisateurs doivent accepter le texte pour poursuivre l’inscription. Texte de post-inscription Le texte à afficher dans le Portail libre-service après l’inscription. Ne remplissez pas ce champ afin qu’aucun texte ne soit affiché. 7. Sélectionnez Appliquer pour ajouter les paramètres de la plate-forme à la configuration du Portail libre-service. 8. Si nécessaire, configurez les plates-formes supplémentaires. Pour chaque plate-forme, vous pouvez configurer différents paramètres pour les appareils professionnels et personnels. 9. Sur la page Modifier la configuration du Portail libre-service, sélectionnez Enregistrer. Si nécessaire, ajoutez plus de paramètres de configuration du Portail libre-service pour d’autres groupes d’utilisateurs. Sur la page Configurations du Portail libre-service, vous pouvez utiliser les flèches situées à côté d’une configuration pour changer sa priorité. Si les utilisateurs du Portail libre-service correspondent à plus d’une configuration (parce qu’ils appartiennent à plusieurs groupes), la configuration ayant la priorité la plus élevée est utilisée. Il y a toujours une configuration Default. Cette configuration a la priorité la plus basse et elle est uniquement utilisée lorsqu’aucune autre configuration ne correspond à un utilisateur. Tâches connexes Création de groupes d’utilisateurs (page 108) Les groupes d’utilisateurs vous permettent de contrôler l’accès à Portail libre-service et les options d’inscription disponibles. 9.2 Création de textes d’inscription Une configuration du Portail libre-service peut inclure des conditions générales d’utilisation et des informations de post-installation qui seront affichées respectivement avant et après l’inscription. Vous créez ces textes séparément de la configuration du Portail libre-service et les assignez selon votre choix. 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Portail libre-service. 2. Cliquez sur Textes d’inscription puis sur le type de texte à créer : • Conditions générales d’utilisation : une stratégie mobile, un avis de non-responsabilité ou un texte de contrat de licence affiché avant l’inscription. Les utilisateurs doivent accepter le texte pour poursuivre l’inscription. • Texte de post-inscription : texte à afficher suite à l’inscription, par exemple, une description des tâches de post-inscription que l’utilisateur doit effectuer. 3. Sur la page Modifier le texte d’inscription, saisissez un nom pour le texte ainsi que le texte. Vous pouvez utiliser HTML pour formater le texte. 4. Sélectionnez Enregistrer. Lorsque vous configurez un paramètre du Portail libre-service, vous pouvez sélectionner le texte des conditions générales d’utilisation et le texte de post-inscription pour chaque type d’inscription. 32 Copyright © Sophos Limited Sophos Mobile Tâches connexes Création des différentes configurations du Portail libre-service (page 30) Une configuration du Portail libre-service vous permet de configurer les types d’appareils que les utilisateurs peuvent inscrire, les détails d’inscription et les actions qu’ils peuvent effectuer sur le Portail libre-service. 9.3 Actions disponibles dans le Portail libre-service Les actions du Portail libre-service permettent aux utilisateurs de gérer leurs appareils. Vous définissez les actions disponibles dans la configuration du Portail libre-service. Action Description Plates-formes Géolocaliser l’appareil Géolocaliser un appareil en cas de perte ou de vol. Android iOS Windows Mobile Windows Chrome OS Verrouiller l’appareil Verrouiller un appareil en cas de perte ou de vol. Android iOS macOS Windows Mobile Reconfigurer l’appareil Reconfigurer l’appli Sophos Mobile Control, par exemple si l’utilisateur l’a désinstallée par inadvertance. Android iOS macOS Windows Mobile Windows Afficher les violations de conformité Pour les appareils non conformes, afficher les informations sur la violation. Android iOS macOS Windows Mobile Windows Copyright © Sophos Limited 33 Sophos Mobile Action Description Plates-formes Rafraîchir les données Synchroniser un appareil avec le serveur Sophos Mobile. Android Selon votre stratégie de conformité, les appareils pourraient être non conformes s’ils ne sont pas synchronisés régulièrement, par exemple, lorsqu’ils sont éteints pendant une longue période de temps. Dans ce cas, les utilisateurs peuvent effectuer cette action pour remettre l’appareil en conformité. iOS macOS Windows Mobile Windows Chrome OS Cette fonction n’est pas disponible pour les appareils sur lesquels Sophos Mobile administre uniquement le conteneur Sophos. Réinitialiser le mot de passe Réinitialiser le mot de passe de l’écran de verrouillage Pour les appareils Android et iOS, Sophos Mobile définit un mot de passe temporaire. Après avoir déverrouillé l’appareil, l’utilisateur doit créer un nouveau mot de passe. Android iOS Windows Mobile Pour les appareils de profil professionnel Android Enterprise, le mot de passe du profil professionnel est réinitialisé. Pour les appareils iOS, Sophos Mobile supprime le mot de passe. L’utilisateur dispose de 60 minutes pour définir un nouveau mot de passe. Réinitialiser Réinitialiser un appareil à ses paramètres d’usine en cas de perte ou de vol. Toutes les données se trouvant sur l’appareil seront supprimées. Android iOS macOS Windows Mobile Windows Réinitialiser le profil professionnel Android Supprimer le profil professionnel d’un appareil. L’appareil est également désinscrit de Sophos Mobile. Android Désinscrire l’appareil Désinscrire un appareil de Sophos Mobile. Android iOS macOS Windows Mobile Windows Chrome OS 34 Copyright © Sophos Limited Sophos Mobile Action Description Plates-formes Supprimer l’appareil non administré Supprimer un appareil de Sophos Mobile. Android iOS macOS Windows Mobile Windows Chrome OS Réinitialiser le mot de passe de la Protection des applis Réinitialiser le mot de passe de la Protection des applis. Android Réinitialiser le mot de passe du conteneur Sophos Réinitialiser le mot de passe du conteneur Sophos. Reconfigurer l’appli SMC Reconfigurer une appli Sophos Mobile Control déjà installée. iOS Mode Perdu administré Activer ou désactiver le mode Perdu administré. iOS Faire sonner le mode Perdu Faire sonner l’appareil en mode Perdu administré. iOS Les utilisateurs doivent saisir ce mot de passe pour utiliser les applis que vous avez définies comme protégées. Android iOS Les utilisateurs doivent saisir ce mot de passe pour utiliser les applis du conteneur Sophos Sophos (Sophos Secure Email et Sophos Secure Workspace). Windows Mobile Tâches connexes Création des différentes configurations du Portail libre-service (page 30) Une configuration du Portail libre-service vous permet de configurer les types d’appareils que les utilisateurs peuvent inscrire, les détails d’inscription et les actions qu’ils peuvent effectuer sur le Portail libre-service. Copyright © Sophos Limited 35 Sophos Mobile 10 Stratégies de conformité Les stratégies de conformité vous permettent de : • Autoriser, interdire ou appliquer l’utilisation de certaines fonctions d’un appareil. • Définir les actions qui sont exécutées si une règle de conformité est enfreinte. Vous pouvez créer différentes stratégies de conformité et les assigner à des groupes d’appareils. Vous pouvez ainsi appliquer différents niveaux de sécurité à vos appareils administrés. Conseil Si vous prévoyez de gérer des appareils professionnels et privés, nous vous conseillons de définir des stratégies de conformité distinctes au moins pour ces deux types d’appareils. 10.1 Création d’une stratégie de conformité 1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Stratégies de conformité. 2. Sur la page Stratégies de conformité, cliquez sur Créer une stratégie de conformité et sélectionnez le modèle sur lequel la stratégie sera basée : • Modèle par défaut : une sélection de règles de conformité sans aucune action définie. • Modèle PCI, Modèle HIPAA : Les règles de conformité et actions sont respectivement basées sur les normes de sécurité HIPAA et PCI DSS. Votre sélection de modèle ne limite pas les autres options de configuration. 3. Saisissez un nom et éventuellement une description de la stratégie de conformité. Répétez les étapes suivantes pour toutes les plates-formes requises. 4. Assurez-vous que la case Activer la plate-forme est sélectionnée sur chaque onglet. Si cette case n’est pas sélectionnée, la conformité des appareils de cette plate-forme ne sera pas vérifiée. 5. Sous Règle, configurez les règles de conformité pour la plate-forme. Remarque Chaque règle de conformité a un niveau de sévérité défini (élevée, moyenne, faible) représenté par l’icône bleue. Cet indice de sévérité vous aide à évaluer l’importance de chaque règle et à décider des actions à mettre en place si une de ces règles est enfreinte. Remarque Pour les appareils sur lesquels Sophos Mobile administre le conteneur Sophos plutôt que l’appareil, seule un sous-ensemble de règles de conformité est applicable. Dans Sélectionner les règles, sélectionnez un type d’administration pour mettre en évidence les règles concernées. 6. Sous Si la règle est enfreinte, vous pouvez indiquer les actions à prendre si la règle est enfreinte : 36 Copyright © Sophos Limited Sophos Mobile Option Description Refuser l’email Interdire l’accès à la messagerie. Cette action est uniquement possible si le super administrateur a configuré une connexion au proxy EAS interne ou autonome. Retrouvez plus de renseignements dans le Guide du super administrateur de Sophos Mobile (anglais). Cette action est uniquement disponible sur les appareils Android, iOS, Windows et Windows Mobile. Verrouiller le conteneur Désactiver les applis Sophos Secure Workspace et Sophos Secure Email. Ceci s’applique aux documents, à la messagerie et à l’accès Web administrés par ces applis. Cette action peut uniquement être exécutée si vous avez activé une licence Mobile Advanced. Cette action est uniquement disponible sur les appareils Android et iOS. Refuser le réseau Interdire l’accès au réseau. Cette action est uniquement possible si le super administrateur a configuré le contrôle d’accès réseau. Retrouvez plus de renseignements dans le Guide du super administrateur de Sophos Mobile (anglais). Cette action n’est pas disponible pour les appareils sur lesquels Sophos Mobile administre uniquement le conteneur Sophos. Créer une alerte Déclencher une alerte. Les alertes sont affichées sur la page Alertes. Transférer une série de tâches Transférer une série de tâches spécifique à cet appareil. Sélectionner une série de tâches dans la liste ou sélectionner Aucun pour ne transférer aucune série de tâches lorsque la règle est enfreinte. Cette action est uniquement disponible sur les appareils Android, iOS, macOS et Windows. Attention Si elles sont utilisées de manière incorrecte, certaines séries de tâches risquent de configurer les appareils de manière incorrecte ou même de les réinitialiser. Une connaissance approfondie du système est nécessaire pour assigner les bonnes séries de tâches aux règles de conformité. Remarque Lorsqu’un appareil Android Enterprise entièrement géré n’est plus conforme, toutes les applis sont désactivées. Copyright © Sophos Limited 37 Sophos Mobile 7. Lorsque vous avez terminé de configurer les paramètres de toutes les plates-formes requises, cliquez sur Enregistrer pour enregistrer la stratégie de conformité sous le nom que vous avez choisi. 10.2 Règles de conformité disponibles Cette section répertorie les règles de conformité que vous pouvez sélectionner pou chaque plateforme. Règle Description Plates-formes Administration obligatoire Sélectionnez les actions qui seront effectuées lorsque l’appareil ne sera plus administré. Android iOS macOS Windows Mobile Windows Chrome OS La Protection antialtération est désactivée Sélectionnez les actions à exécuter lorsque la stratégie de sécurité Chrome a été falsifiée. Chrome OS Version minimum de SMC La version la plus ancienne autorisée de l’appli Sophos Mobile Control. Android iOS Windows Mobile Version minimale de Sophos Chrome Security La version la plus ancienne autorisée de l’extension Sophos Chrome Security. Android iOS Windows Mobile Accès à la racine autorisé Autorisez ou non les appareils avec les droits root. Android Ceci autorise également les appareils suivants s’ils sont classés comme non sécurisés par le système d’exploitation : Compatibilité avec Google SafetyNet obligatoire 38 • Appareils Sony à partir du niveau 4 de Sony Enterprise API • Appareils Samsung avec Knox Standard SDK 5.5 (API niveau 17) ou antérieur L’appareil doit passer le test Compatibility Test Suite (CTS), un test Google SafetyNet de compatibilité avec Android. Android Copyright © Sophos Limited Sophos Mobile Règle Description Plates-formes Applis de sources inconnues autorisées Indiquez si les applications de externes à Google Play (Android) ou Chrome Web Store (Chrome OS) sont autorisées. Android Chrome OS Pour Android, cette règle affecte uniquement les appareils à partir d’Android 7.x. Correction du pont Android (ADB) autorisée Autorisez ou non la correction du pont ADB (Android Debug Bridge). Android Autoriser le débridage Autorisez ou non les appareils débridés. iOS Verrouillage de l’écran obligatoire Sélectionnez s’il est nécessaire d’utiliser un mot de passe sur l’appareil ou tout autre mécanisme de verrouillage de l’écran (modèle ou code confidentiel). Android iOS Windows Mobile Windows Sur Android, ceci inclut les types de verrouillage d’affichage « Modèle », « Code confidentiel » et « Mot de passe » mais pas « Faire glisser ». Les appareils Windows Mobile sans stratégie de mot de passe assignée sont toujours signalés comme non conformes. Il s’agit d’une limitation de Windows. Version minimum du système d’exploitation La version la plus ancienne autorisée du système d’exploitation. Android iOS macOS Windows Mobile Windows Chrome OS Version maximale du système d’exploitation La dernière version autorisée du système d’exploitation. Android iOS macOS Windows Mobile Windows Chrome OS Copyright © Sophos Limited 39 Sophos Mobile Règle Description Plates-formes Mises à jour du syst. d’exploitation obligatoire Sélectionnez si la plus récente mise à jour ou la plus récente mise à jour obligatoire doit être installée sur les appareils. iOS Certaines mises à jour d’iOS sont classées comme obligatoires par Apple. La plus récente mise à jour disponible pourrait être plus récente que la plus récente mise à jour obligatoire. Intervalle maximum entre les synchronisations L’intervalle maximal auquel l’appareil doit se synchroniser avec Sophos Mobile. Android iOS macOS Windows Mobile Windows Chrome OS 40 Intervalle maximum entre les synchronisations de SMC L’intervalle maximal autorisé auquel Sophos Mobile Control doit se synchroniser avec Sophos Mobile. iOS Intervalle maximum entre les synchronisations d’Intercept X for Mobile L’intervalle maximal autorisé auquel Sophos Intercept X for Mobile doit se synchroniser avec Sophos Mobile. Android Intervalle maximum entre les contrôles d’Intercept X for Mobile L’intervalle maximal autorisé auquel Sophos Intercept X for Mobile doit effectuer des analyses de programmes malveillants. Android Les autorisations pour Intercept X for Mobile peuvent être refusées Sélectionnez si l’appareil devient non conforme si l’utilisateur déchiffre les autorisations d’application pour Sophos Intercept X for Mobile. Android Applis malveillantes autorisées Sélectionnez si les applis malveillantes détectées par Sophos Intercept X for Mobile sont autorisées. Android Applis suspectes autorisées Sélectionnez si les applis suspectes détectées par Sophos Intercept X for Mobile sont autorisées. Android Applis potentiellement indésirables autorisées Sélectionnez si les applis potentiellement indésirables (PUA) détectées par Sophos Intercept X for Mobile sont autorisées. Android Windows Mobile iOS Copyright © Sophos Limited Sophos Mobile Règle Description Plates-formes Chiffrement requis Sélectionnez s’il est obligatoire de disposer du chiffrement sur les appareils. Android Les utilisateurs doivent également activer le paramètre Exiger le code PIN pour démarrer l’appareil ou Exiger le mot de passe pour démarrer l’appareil lors de la configuration du mode de verrouillage de l’écran. Retrouvez plus de renseignements dans l’article 123947 de la base de connaissances de Sophos. macOS Windows Mobile Windows Pour macOS, ce paramètre s’applique au chiffrement intégral du disque FileVault. Pour Windows Mobile, une violation est uniquement signalée si la restriction Interdire les appareils non chiffrés est également définie. Il s’agit d’une limitation de Windows. Cette règle n’est pas disponible pour iOS car les iPhones et iPads sont toujours chiffrés. Profils tiers autorisés Les profils de configuration non administrés par Sophos Mobile sont autorisés. iOS Itinérance des données autorisée L’itinérance des données autorisée. Android iOS Conteneur configuré Un conteneur doit être créé et activé sur l’appareil. Il peut s’agir d’un conteneur Sophos, d’un conteneur Samsung Knox ou d’un profil professionnel Android. Android Autorisation requise pour la géolocalisation Ce paramètre est associé à la fonction Géolocaliser. Choisissez si l’utilisateur doit autoriser l’app Sophos Mobile Control à récupérer les données de position géographique au moment de l’installation afin d’être en conformité. Android Copyright © Sophos Limited 41 Sophos Mobile Règle Description Plates-formes Les autorisations pour SMC peuvent être refusées L’app Sophos Mobile Control doit avoir les droits sur l’appareil pour fonctionner correctement. L’utilisateur doit accorder ces droits lorsque l’app est installée. Android Sélectionnez si le refus des droits entraîne une violation de la conformité ou pas. L’appli peut géolocaliser Les services de géolocalisation doivent être activés et l’app Sophos Mobile Control doit être autorisée pour pouvoir les utiliser. iOS Windows Mobile Pour Windows Mobile, cette règle s’applique uniquement aux appareils Windows Phone 8.1. Pare-feu obligatoire Le pare-feu macOS doit être activé. macOS Protection de l’intégrité du système obligatoire La Protection de l’intégrité du système doit être activée macOS Remarque La Protection de l’intégrité du système est une fonction de sécurité macOS qui limite les actions pouvant être effectuées par l’utilisateur racine. La Protection de l’intégrité du système peut être configurée au démarrage du Mac à partir de la Récupération de macOS. Mises à jour de sécurité obligatoire 42 L’installation automatique des mises à jour de sécurité doit être activée. macOS Copyright © Sophos Limited Sophos Mobile Règle Description Plates-formes Applis autorisées / Applis interdites Vous pouvez indiquer soit Apps autorisées soit Apps interdites. Sélectionnez l’option désirée dans la première liste et sélectionnez le groupe d’apps contenant les apps qui doivent être autorisées ou interdites dans la seconde liste. Retrouvez plus de renseignements sur la création des groupes d’apps à la section Groupes d’apps (page 351). Android iOS macOS Chrome OS Si vous indiquez Apps autorisées, seules les apps répertoriées sont autorisées. Si d’autres apps sont détectées, l’appareil ne sera plus conforme. Remarque Les apps du système Android sont automatiquement autorisées. Si vous indiquez Apps interdites, l’appareil ne sera plus conforme si ces apps sont détectées. Pour Chrome OS, les groupes d’applis peuvent contenir des applis et des extensions. Applis obligatoires Indiquez les apps qui doivent être installées. Sélectionnez le groupe d’apps contenant les apps obligatoires dans la liste. Retrouvez plus de renseignements sur la création des groupes d’apps à la section Groupes d’apps (page 351). Android iOS macOS Windows Chrome OS Pour Chrome OS, les groupes d’applis peuvent contenir des applis et des extensions. Applis non gérées de sources inconnues autorisées Les apps installées manuellement à l’aide d’un fichier IPA sont autorisées. iOS Il s’agit d’apps développées en interne et signées avec un ad hoc provisioning profile. Filtrage Web activé Copyright © Sophos Limited La fonction Filtrage Web de Intercept X doit être activée. iOS 43 Sophos Mobile Règle Description Plates-formes Windows Defender doit être activé Le paramètre protection en temps réel de Windows Defender doit être activé. Windows Windows Defender doit déclarer un état propre L’appareil n’est pas conforme lorsque Windows Defender affichent des alertes. Windows Définitions mises à jour de Windows Defender requises Windows Defender doit utiliser les définitions de spywares les plus récentes. Windows 10.3 Assignation d’une stratégie de conformité aux groupes d’appareils 1. Sur le menu latéral, sous GESTION, cliquez sur Groupes d’appareils. La page Groupes d’appareils apparaît. 2. Cliquez sur le groupe d’appareils auquel vous voulez assigner la stratégie de conformité. Un groupe d’appareil par défaut Default est toujours disponible. Retrouvez plus de renseignements sur la création de vos propres groupes d’appareils à la section Création d’un groupe d’appareils (page 99). 3. Sous Stratégies de conformité, sélectionnez les stratégies de conformité que vous voulez appliquer aux appareils professionnels et personnels. 4. Sélectionnez Enregistrer. Les stratégies de conformité sélectionnées sont affichées sur la page Groupes d’appareils sous Stratégie de conformité (professionnelle) et Stratégie de conformité (personnelle). 10.4 Vérification de la conformité des appareils Après avoir configuré les stratégies de conformité, vous pouvez vérifier si les appareils inscrits sont conformes aux à ces stratégies. 1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Stratégies de conformité. 2. Cliquez sur Vérifier maintenant. La conformité de tous les appareils inscrits est vérifiée. Les actions indiquées sont effectuées. Remarque Lorsqu’un appareil Android Enterprise entièrement géré n’est plus conforme, toutes les applis sont désactivées. 44 Copyright © Sophos Limited Sophos Mobile 11 Appareils 11.1 Ajout d’appareils Vous pouvez ajouter les appareils dans Sophos Mobile de la manière suivante : • Ajouter des appareils manuellement. Retrouvez plus de renseignements à la section Ajout d’un appareil (page 45). • Importer les appareils à partir d’un fichier CSV. Retrouvez plus de renseignements à la section Importation des appareils (page 46). • Vous utilisez l’assistant Ajouter un appareil pour ajouter un appareil à Sophos Mobile, lui assigner un utilisateur, l’inscrire et transférer une série de tâches d’inscription. Retrouvez plus de renseignements à la section Utilisation de l’assistant Ajouter un appareil (page 49). • Vous autorisez les utilisateurs à inscrire eux-mêmes leurs appareils dans le Portail libre-service. Retrouvez plus de renseignements à la section Configuration du Portail libre-service (page 30). Ce portail permet de réduire la charge de travail du service informatique en permettant aux utilisateurs d’effectuer certaines tâches sans assistance. Les appareils sont approvisionnés grâce à l’exécution de séries de tâches définies. Retrouvez plus de renseignements à la section Séries de tâches (page 317). Nous vous conseillons d’utiliser des groupes d’appareils pour faciliter l’administration des appareils. Retrouvez plus de renseignements à la section Groupes d’appareils (page 99). 11.1.1 Ajout d’un appareil Nous vous conseillons de créer un ou plusieurs groupes d’appareils avant d’ajouter votre premier appareil à Sophos Mobile. Vous pourrez ensuite assigner chaque appareil à un groupe d’appareils pour faciliter la gestion des appareils. Retrouvez plus de renseignements à la section Création d’un groupe d’appareils (page 99). Pour ajouter un nouvel appareil à Sophos Mobile : 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils. La page Appareils apparaît. 2. Cliquez sur Ajouter et sélectionnez la plate-forme sous le menu Ajouter un appareil manuellement. La page Modification de l’appareil apparaît. 3. Sur la page Modification de l’appareil, saisissez les informations suivantes sur l’appareil : a) Dans le champ Nom, saisissez un nom exclusif au nouvel appareil. b) Dans le champ Description, saisissez une description pour le nouvel appareil. c) Sous Propriétaire, sélectionnez Professionnel ou Personnel. d) Dans le champ Adresse électronique, saisissez une adresse électronique. e) Dans le champ Numéro de téléphone, saisissez le numéro de téléphone du nouvel appareil. Saisissez le numéro de téléphone au format international, par exemple +33 17 01 23 45 67. f) Sous Groupe d’appareils, sélectionnez le groupe d’appareils auquel l’appareil va être affecté. Copyright © Sophos Limited 45 Sophos Mobile Retrouvez plus de renseignements sur la création de groupes d’appareils à la section Création d’un groupe d’appareils (page 99). 4. Pour assigner un utilisateur à l’appareil, cliquez sur l’icône Modifier l’assignation d’un utilisateur située près du champ Utilisateur puis, cliquez sur Assigner l’utilisateur à l’appareil. Retrouvez plus de renseignements à la section Assignation d’un utilisateur à un appareil (page 60). 5. Pour ajouter des propriétés personnalisées à l’appareil, rendez-vous dans l’onglet Propriétés personnalisées et cliquez sur le bouton Ajouter une propriété personnalisée. Retrouvez plus de renseignements à la section Ajout d’une propriété personnalisées de l’appareil (page 71). 6. Dès que toutes les informations nécessaires sur l’appareil sont saisies, cliquez sur Enregistrer. Le nouvel appareil est ajouté à Sophos Mobile et apparaît sur la page Appareils sous GESTION. Vous pouvez maintenant approvisionner et gérer l’appareil. Remarque Pour les appareils iOS, lorsque vous avez configuré Sophos Mobile pour synchroniser le nom de l’appareil avec l’appareil conformément aux instructions de la section Configuration des paramètres iOS (page 17), le nom que vous avez saisi dans le champ Nom est remplacé par le nom configuré au cours de la synchronisation. 11.1.2 Importation des appareils Vous pouvez ajouter de nouveaux appareils en les important dans un fichier CSV. Vous pouvez importer jusqu’à 500 appareils. Les groupes d’utilisateurs et d’appareils doivent déjà être disponibles dans Sophos Mobile. Le fichier CSV doit avoir la spécification suivante : • La première rangée est traitée en tant qu’en-tête et n’est pas importée. • Les valeurs doivent être séparées par un point-virgule et pas par une virgule. • Toutes les rangées doivent avoir le nombre correct de points-virgule même si vous ne saisissez pas les valeurs en option. • L’extension de fichier doit être .csv. • Pour garantir l’importation correcte des caractères non anglais, le fichier doit être encodé en UTF-8. Conseil Sur la page Importer les appareils, cliquez sur Exemple de CSV pour télécharger un échantillon de fichier. Pour importer les appareils à partir d’un fichier CSV : 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils. 2. Sur la page Appareils, cliquez sur AjouterImporter les appareils. 3. Sur la page Importer les appareils, cliquez sur Télécharger un fichier et naviguez jusqu’au fichier CSV que vous avez préparé. Les entrées sont lues à partir du fichier et sont affichées sur la page. 4. Si le format des données est incorrect ou incohérent, le fichier ne pourra pas être importé. Dans ce cas, veuillez vérifier les messages d’erreur qui sont affichés à côté des entrées, corriger le contenu du fichier CSV et le télécharger de nouveau. 46 Copyright © Sophos Limited Sophos Mobile 5. Cliquez sur Terminer pour créer les appareils. Les appareils répertoriés dans le fichier CSV sont importés et apparaissent sur la page Appareils. Vous pouvez maintenant inscrire et configurer les appareils. 11.2 Inscription des appareils Après avoir ajouté de nouveaux appareils à Sophos Mobile Admin, ceux-ci doivent être inscrits à Sophos Mobile. Types d’inscription Sophos Mobile prend en charge deux types d’inscription : Inscription d’appareil Ce type d’inscription permet de bénéficier des fonctionnalités MDM (Mobile Device Management) complètes. Sophos Mobile administre tout l’appareil. Inscription d’un conteneur Sophos Sophos Mobile administre uniquement le conteneur Sophos sur l’appareil mais pas l’appareil lui-même. Le conteneur Sophos est disponible sur Android et iOS. L’inscription du conteneur Sophos est utile dans les situations suivantes : • Vous voulez administrer les scénarios BYOD (Bring Your Own Device). Avec l’inscription de conteneurs Sophos, votre entreprise ne voit qu’une quantité limitée d’informations sur l’appareil et aucune app ou donnée personnelle. • Vos appareils sont administrés par un logiciel MDM d’une autre marque. Toutefois, vous voulez également utiliser des fonctions offertes par le conteneur Sophos, par exemple, la synchronisation des jeux de clé professionnels avec Sophos SafeGuard Enterprise. • Vos appareils sont administrés par un logiciel MDM d’une autre marque. Toutefois, vous voulez configurer des comptes de messagerie supplémentaires. Par exemple, lorsque vous êtes une société de conseils et que vos employés ont besoin d’accéder aux serveurs Exchange de vos clients. Méthodes d’inscription Les options d’inscription d’appareils suivantes sont disponibles : Copyright © Sophos Limited 47 Sophos Mobile • Vous pouvez inscrire chaque appareil non administré à l’aide de la fonction Appareil. Retrouvez plus de renseignements à la section Inscription d’appareils individuels (page 48). • Vous utilisez l’assistant Ajouter un appareil pour ajouter un appareil à Sophos Mobile, lui assigner un utilisateur, l’inscrire et transférer une série de tâches d’inscription. Retrouvez plus de renseignements à la section Utilisation de l’assistant Ajouter un appareil (page 49). Remarque Si nécessaire, vous pouvez utiliser l’assistant Ajouter un appareil ou la méthode d’inscription automatique pour inscrire les appareils iOS sans identifiant Apple. Ceci peut, par exemple, s’avérer particulièrement utile pour préconfigurer l’appareil avant de le remettre à un utilisateur. Retrouvez plus de renseignements à la section Inscription des appareils iOS sans identifiant Apple (page 52). Conseils d’utilisation Pour inscrire et configurer plusieurs appareils de manière plus efficace, nous vous conseillons d’utiliser les méthodes suivantes : • Vous pouvez regrouper les tâches nécessaires à l’inscription d’appareils, appliquer les stratégies requises et installer les applis requises (par exemple, les applis administrées pour les appareils iOS). Retrouvez plus de renseignements à la section Séries de tâches (page 317). • Vous pouvez autoriser les utilisateurs à inscrire leurs appareils dans le Portail libre-service. Pour ce faire, vous devez inclure une série de tâches pour l’inscription lors de la configuration des paramètres pour l’utilisation du Portail libre-service. Retrouvez plus de renseignements sur la sélection de la série de tâches dans les paramètres du Portail libre-service à la section Création des différentes configurations du Portail libre-service (page 30). 11.2.1 Inscription d’appareils individuels 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils et sélectionnez l’appareil que vous voulez inscrire. 2. Sur la page Affichage de l’appareil, sélectionnez un type d’inscription : • Pour inscrire l’appareil à Sophos Mobile, cliquez sur Actions > Inscrire. • Pour inscrire le conteneur Sophos, cliquez sur Actions > Inscrire le conteneur Sophos. 3. Pour l’inscription du conteneur Sophos, sélectionnez une série de tâches ou une stratégie. La tâche d’inscription commence et s’affiche sur la page Vue des tâches. Un email contenant les instructions d’inscription est envoyé à l’utilisateur. Attention À partir d’iOS 12.2, vous devez ouvrir l’appli Paramètres pour installer le profil de configuration que vous avez téléchargé. Si vous n’installez pas le profil dans un délai de 8 minutes, il sera supprimé et vous devrez recommencer. Cette restriction ne s’applique pas aux appareils que vous assignez à Sophos Mobile avec le Programme d’inscription d’appareils Apple (DEP) ou avec Apple Configurator. 48 Copyright © Sophos Limited Sophos Mobile Remarque Sur les Macs, l’inscription doit être effectuée par l’utilisateur qui sera administré par Sophos Mobile. Pour installer la stratégie d’inscription, l’utilisateur doit saisir un mot de passe d’administrateur. 11.2.2 Utilisation de l’assistant Ajouter un appareil Vous pouvez facilement inscrire de nouveaux appareils grâce à l’assistant Ajouter un appareil. Il vous permet d’effectuer les tâches suivantes : • Ajouter un nouvel appareil à Sophos Mobile. • Facultatif : assigner un utilisateur à un appareil. • Inscrire l’appareil. • Facultatif : transférer une série de tâches sur cet appareil. 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils puis sur Ajouter > Assistant d’ajout d’appareil. Conseil Vous avez également la possibilité de démarrer l’assistant à partir de la page Tableau de bord en cliquant sur le widget Ajouter un appareil. 2. Sur la page Utilisateur, saisissez les critères de recherche pour retrouver un utilisateur à qui l’appareil va être assigné ou sélectionnez Ignorer l’assignation d’un utilisateur pour inscrire un appareil qui ne va pas encore être assigné à un utilisateur. 3. Sur la page Sélection de l’utilisateur, sélectionnez l’utilisateur dans la liste des utilisateurs correspondant à vos critères de recherche. 4. Sur la page Détails de l’appareil, configurez les paramètres suivants : Option Description Plate-forme La plate-forme de l’appareil. Vous pouvez uniquement sélectionner une plate-forme qui est activée pour le client auquel vous êtes connecté. Nom Un nom unique sous lequel l’appareil va être administré par Sophos Mobile. Description Une description de l’appareil (renseignement facultatif). Numéro de téléphone Un numéro de téléphone (renseignement facultatif). Saisissez le numéro de téléphone au format international, par exemple +33 17 01 23 45 67. Adresse email L’adresse électronique à laquelle les instructions d’inscription vont être envoyées. Si la gestion des utilisateurs est configurée pour le client, il s’agit de l’adresse électronique de l’utilisateur assigné à l’appareil. Si la gestion des utilisateurs n’est pas configurée, saisissez l’adresse email ici. Copyright © Sophos Limited 49 Sophos Mobile Option Description Propriétaire Sélectionnez le type de propriétaire de l’appareil : soit Professionnel soit Personnel. Groupe d’appareils Sélectionnez le groupe d’appareils auquel l’appareil va être assigné. Si vous n’avez pas encore créé de groupe d’appareils, vous pouvez sélectionner le groupe d’appareils Default (par défaut) qui est toujours disponible. 5. Sur la page Type d’inscription, vous pouvez choisir d’inscrire l’appareil ou uniquement le conteneur Sophos. Retrouvez plus de renseignements à la section Configuration de l’inscription d’un conteneur Sophos (page 398). 6. Sélectionnez une série de tâches ou une stratégie à transférer sur l’appareil. Ou sélectionnez Inscrire l’appareil uniquement pour inscrire l’appareil sans transférer une série de tâches. 7. Sur la page Inscription, suivez les instructions pour finaliser le processus d’inscription. Attention À partir d’iOS 12.2, vous devez ouvrir l’appli Paramètres pour installer le profil de configuration que vous avez téléchargé. Si vous n’installez pas le profil dans un délai de 8 minutes, il sera supprimé et vous devrez recommencer. Cette restriction ne s’applique pas aux appareils que vous assignez à Sophos Mobile avec le Programme d’inscription d’appareils Apple (DEP) ou avec Apple Configurator. Remarque Sur les Macs, l’inscription doit être effectuée par l’utilisateur qui sera administré par Sophos Mobile. Pour installer la stratégie d’inscription, l’utilisateur doit saisir un mot de passe d’administrateur. 8. Lorsque l’inscription s’est déroulée avec succès, cliquez sur Terminer. Remarque • Lorsque vous avez effectué toutes les sélections, vous pouvez fermer l’assistant sans avoir à attendre que le bouton Terminer apparaisse. Une tâche d’inscription est créée et traitée en tâche de fond. 50 • Si vous avez sélectionné une série de tâches à transférer sur l’appareil après l’inscription, vous pouvez suivre l’état de la tâche sur la page Vue des tâches. Retrouvez plus de renseignements à la section Affichage des tâches non terminées, en échec et récemment terminées (page 9). • Pour les appareils iOS, lorsque vous avez configuré Sophos Mobile pour synchroniser le nom de l’appareil avec l’appareil conformément aux instructions de la section Configuration des paramètres iOS (page 17). Le nom que vous avez saisi dans le champ Nom est ignoré et c’est le nom configuré sur l’appareil qui est utilisé à la place. Copyright © Sophos Limited Sophos Mobile 11.2.3 Inscription automatique des appareils iOS Vous pouvez configurer les appareils iOS pour qu’ils s’inscrivent automatiquement à Sophos Mobile au cours de l’activation de l’appareil. Vous allez devoir utiliser Apple Configurator 2 pour assigner les appareils au serveur MDM de Sophos Mobile. Lorsque les utilisateurs mettent en marche leurs appareils pour la première fois, l’assistant d’installation d’iOS démarre. Au cours de l’installation, les appareils sont inscrits automatiquement à Sophos Mobile. Remarque Retrouvez une description détaillée d’Apple Configurator 2 dans le Guide de l’utilisateur d’Apple Configurator 2 (lien externe). Pour configure l’inscription automatique des appareils iOS à Sophos Mobile : 1. L’étape de préparation à l’inscription automatique consiste à créer un groupe d’appareils qui sera assigné aux appareils pendant la phase d’inscription automatique à Sophos Mobile. Dans les propriétés du groupe d’appareils, sélectionnez l’option Activer l’inscription automatique d’iOS. Retrouvez plus de renseignements à la section Création d’un groupe d’appareils (page 99). 2. Notez l’URL qui s’affiche dans le champ URL d’inscription automatique du groupe d’appareils. Vous allez avoir besoin de cette URL pour configurer les appareils avec Apple Configurator 2. 3. Connectez l’appareil iOS que vous voulez inscrire automatiquement au port USB d’un Mac sur lequel Apple Configurator 2 est installé. 4. Dans Apple Configurator 2, utilisez l’Assistant préparation pour régler la configuration de l’appareil. 5. Sélectionnez Inscription manuelle et saisissez l’URL d’inscription automatique du groupe d’appareils. 6. Suivez les autres étapes de l’Assistant préparation. Vous avez également la possibilité de configurer les aspects suivants de l’activation de l’appareil : • Activer le mode de supervision de l’appareil. • Configurer les ordinateurs hôtes auxquels l’appareil est autorisé à se connecter sans utiliser de ports USB. • Pour les appareils supervisés, veuillez générer ou choisir une « identité de supervision ». • Désactiver les étapes de configuration de l’assistant d’installation d’iOS. Après avoir terminé la configuration, remettez l’appareil à l’utilisateur. Lorsque l’utilisateur démarrera mettra son appareil en marche pour la première fois, la configuration d’iOS et l’inscription à Sophos Mobile seront effectuées conformément à la configuration définie. Conseil Par défaut, Sophos Mobile gère les appareils inscrits automatiquement sous un nom composé de l’identifiant de l’appareil et du type de l’appareil. Autrement, Sophos Mobile peut utiliser le nom configuré sur l’appareil. Retrouvez plus de renseignements sur l’option Synchronisation du nom de l’appareil à la section Configuration des paramètres iOS (page 17). Copyright © Sophos Limited 51 Sophos Mobile 11.2.4 Inscription des appareils iOS sans identifiant Apple Vous pouvez commencer par inscrire un appareil iOS dans Sophos Mobile sans avoir à l’associer à un identifiant Apple. Ceci peut, par exemple, s’avérer particulièrement utile pour préconfigurer l’appareil avant de le remettre à un utilisateur. La méthode d’inscription standard consiste à installer l’app Sophos Mobile Control sur l’appareil. L’app étant installée à partir de la boutique d’apps est uniquement accessible à l’aide d’un identifiant Apple. Vous devez donc associer l’appareil à cet identifiant avant de commencer la procédure d’inscription. Une autre méthode d’inscription consiste à inscrire un appareil iOS sans installer l’app Sophos Mobile Control. Il n’est donc pas nécessaire d’associer l’appareil à un identifiant Apple. Vous pouvez effectuer cette opération avec : • La méthode d’inscription automatique. Retrouvez plus de renseignements à la section Inscription automatique des appareils iOS (page 51). • L’assistant Ajouter un appareil. Retrouvez plus de renseignements à la section Utilisation de l’assistant Ajouter un appareil (page 49). Dans l’assistant, procédez comme suit : 1. Sur la page Inscription, sélectionnez l’onglet Inscription sans identifiant Apple. 2. Utilisez le navigateur Web de l’appareil pour ouvrir l’URL d’inscription. Un formulaire d’inscription à Sophos Mobile s’ouvre. 3. Saisissez le token dans ce formulaire et cliquez sur Inscrire. 4. Suivez les instructions sur l’appareil pour installer la série de tâches d’inscription. Attention À partir d’iOS 12.2, vous devez ouvrir l’appli Paramètres pour installer le profil de configuration que vous avez téléchargé. Si vous n’installez pas le profil dans un délai de 8 minutes, il sera supprimé et vous devrez recommencer. Cette restriction ne s’applique pas aux appareils que vous assignez à Sophos Mobile avec le Programme d’inscription d’appareils Apple (DEP) ou avec Apple Configurator. 11.2.5 Inscription des appareils Android Enterprise Pour Android Enterprise, les appareils sont généralement inscrits dans le Portail libre-service. Remarque Si vous avez installé Android Enterprise dans Sophos Mobile dans le cadre d’un compte Google Play d’entreprise, vous pouvez également inscrire les appareils à l’aide de l’assistant Ajouter un appareil ou un code QR. Conditions préalables : 52 • Vous avez installé Android Enterprise pour le scénario Compte Google Play d’entreprise. Retrouvez plus de renseignements à la section Installation d’Android Enterprise (scénario Compte Google Play d’entreprise) (page 358). • Vous avez créé une série de tâches d’inscription. Copyright © Sophos Limited Sophos Mobile Pour inscrire un appareil Android Enterprise : 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils puis sur Ajouter > Assistant d’ajout d’appareil. 2. Dans l’assistant Ajouter un appareil procédez comme suit : a) Sur la page Utilisateur, sélectionnez Rechercher un utilisateur et saisissez ensuite les critères de recherche de l’utilisateur auquel l’appareil doit être assigné. b) Sur la page Sélection de l’utilisateur, sélectionnez l’utilisateur dans la liste des utilisateurs correspondant à vos critères de recherche. c) Sur la page Détails de l’appareil, dans le champ Plate-forme, sélectionnez Android. d) Sur la page Type d’inscription, sélectionnez votre série de tâches d’inscription pour Android Enterprise. Selon la stratégie assignée par la série de tâches, l’appareil sera un appareil Android Enterprise entièrement géré ou un appareil de profil professionnel. Remarque Sur les appareils entièrement gérés Android Enterprise, seules les applis suivantes sont disponibles : • Paramètres • Téléphone • Play Store • Sophos Mobile Control • Appareil photo (si vous avez activé Autoriser l’appareil photo dans la configuration Restrictions) Tâches connexes Configuration de l’inscription d’un appareil Android Enterprise (page 363) Utilisation de l’assistant Ajouter un appareil (page 49) Inscription d’appareils avec un code QR (page 73) Pour inscrire un appareil Android Enterprise entièrement géré avec un code QR, il vous suffit de lire le code QR lors de sa configuration initiale 11.2.6 Inscription de groupes d’appareils Android Enterprise L’app Sophos NFC Provisioning vous permet d’inscrire des groupes d’appareils Android professionnels à Sophos Mobile. Vous installez l’app Sophos NFC Provisioning sur l’appareil (Appareil principal) et utilisez NFC pour transférer les paramètres d’inscription sur les appareils à inscrire. Les appareils sont configurés en tant qu’appareils Android Enterprise entièrement gérés. Conditions préalables : • Vous avez installé Android Enterprise pour le scénario Compte Google Play d’entreprise. Retrouvez plus de renseignements à la section Installation d’Android Enterprise (scénario Compte Google Play d’entreprise) (page 358). • L’appareil principal dispose de NFC. • Les appareils à inscrire sont neufs ou réinitialisés aux paramètres d’usine et ont NFC. Copyright © Sophos Limited 53 Sophos Mobile 1. Installez l’app Sophos NFC Provisioning sur l’appareil principal à partir de Google Play. 2. Dans l’app Sophos NFC Provisioning, configurez les paramètres suivants : • Détails de connexion de votre réseau Wi-Fi professionnel. • Fuseau horaire et langue des nouveaux appareils. • Facultatif : l’URL du Portail libre-service. • Facultatif : Ignorer le chiffrement d’appareil. • Facultatif : Ignorer la configuration spécifique au fournisseur. • Facultatif : Activer les apps système. Si vous activez cette option, toutes les apps préinstallées par le fabricant sont autorisées. Si vous désactivez cette option, seules ces apps sont autorisées : Boutique Google Play, Contacts, Messages, Téléphone. Google recommande ceci pour les appareils Android Enterprise entièrement gérés. 3. Appuyez sur Prêt à transférer et tenez l’appareil principal et l’appareil à inscrire dos à dos avec les capteurs NFC bien alignés. L’appareil est configuré et inscrit à Sophos Mobile. Pour inscrire d’autres appareils, appuyez de nouveau sur Prêt à transférer. 11.3 Désinscription des appareils Vous pouvez désinscrire les appareils qui ne seront plus utilisés. Par exemple, si un utilisateur se sert d’un nouvel appareil. Ceci peut s’avérer particulièrement utile si le nombre d’appareils que l’utilisateur est autorisé à inscrire dans le Portail libre-service est limité. 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils. 2. Sélectionnez l’appareil de votre choix, cliquez sur Actions puis sur Désinscrire. Un message apparaît vous demandant de confirmer si vous voulez désinscrire l’appareil. Remarque Il est possible de sélectionner plusieurs appareils à désinscrire. 3. Cliquez sur Oui. L’appareil est désinscrit. Cette opération a les effets suivants : • Appareils Android : — L’administrateur d’appareils de Sophos Mobile Control est désactivé. — Les données de connexion du serveur et toutes les autres données reçues sont supprimées. — Les applis de conteneur (Sophos Secure Workspace et Sophos Secure Email) et Sophos Intercept X for Mobile sont réinitialisées. • Appareils iOS : — Toutes les stratégies sont supprimées. — Toutes les apps administrées sont désinstallées. — Tous les certificats reçus via la gestion des appareils mobiles MDM sont supprimés. 54 Copyright © Sophos Limited Sophos Mobile — Les applis de conteneur (Sophos Secure Workspace et Sophos Secure Email) et Sophos Intercept X for Mobile sont réinitialisées. • Macs : — Toutes les stratégies sont supprimées. — Tous les certificats reçus via la gestion des appareils mobiles MDM sont supprimés. Remarque • Lorsque les utilisateurs désactivent les droits administrateur de l’appareil Sophos Mobile Control sur les appareils Android, l’appli Sophos Mobile Control désinscrit l’appareil. • Pour désinscrire un appareil Android Enterprise entièrement géré, vous devez l’effacer. • Si vous avez installé Android Enterprise pour un scénario de Compte Google Play d’entreprise, les utilisateurs peuvent uniquement inscrire un nombre limité d’appareils. Dans certaines situations, le compte Google pourrait toujours être sur l’appareil après la désinscription et l’appareil pourrait toujours être considéré comme inscrit. Dans ce cas de figure, supprimez manuellement le compte Google de l’appareil. 11.4 Gestion des appareils Sur le menu latéral, sous GESTION > Appareils et Groupes d’appareils, vous pouvez suivre l’état de tous les appareils et groupes d’appareils et pouvez effectuer de nombreuses tâches administratives. Après avoir ajouté des appareils à Sophos Mobile, vous pouvez par exemple : • Voir et modifier les détails de l’appareil. • Autoriser ou interdire l’accès à la messagerie aux appareils. • Verrouiller ou déverrouiller des appareils à distance. • Réinitialiser les mots de passe des appareils. • Réinitialiser l’appareil à distance en cas de perte ou de vol. • Retirer du service les appareils (Android et iOS). • Supprimer des appareils. 11.4.1 Affichage des appareils 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils. 2. Rendez-vous sur l’appareil concerné et cliquez sur son nom. La page Affichage de l’appareil s’affiche pour l’appareil sélectionné. Copyright © Sophos Limited 55 Sophos Mobile Conseil Sur la page Appareils, vous pouvez afficher des informations supplémentaires en passant votre curseur au-dessus de certains éléments : • Passez votre curseur sur l’icône « Non administré » d’un appareil pour afficher son état en cours (Désinscrit ou Vérifié). • Passez votre curseur sur l’icône « Non conforme » d’un appareil pour afficher son niveau de sévérité (élevée, moyenne, faible). 11.4.2 Page Affichage de l’appareil La page Affichage de l’appareil vous permet de consulter toutes les informations disponibles sur l’appareil de votre choix. Dans la partie supérieure de la page, vous pouvez consulter rapidement les informations les plus importantes sur les appareils. Dans la partie inférieure de la page, les différents onglets contiennent des informations détaillées sur l’appareil. L’affichage de ces onglets et des informations dépend de la plate-forme de l’appareil. Vous pouvez passer directement de la page Affichage de l’appareil à la page Modification de l’appareil. Pour modifier l’appareil que vous êtes en train d’afficher, cliquez sur Modifier. État Affiche des informations essentielles sur l’appareil, notamment le type d’administration, l’état d’administration et l’état de conformité. Stratégies Affiche les stratégies et les profils d’approvisionnement installés sur l’appareil. L’onglet contient également des commandes permettant d’assigner ou de supprimer des stratégies. Remarque Les stratégies d’appareils iOS contenant uniquement les configurations suivantes n’apparaissent pas sur l’onglet Stratégies : • Itinérance/Borne Wi#Fi • Fond d’écran Ces configurations ne sont pas installées sur l’appareil. Elles définissent les paramètres que l’utilisateur pourra changer ultérieurement. Conseil Le champ de recherche du tableau vous permet de rechercher par identifiants même si l’identifiant n’est pas affiché dans le tableau. 56 Copyright © Sophos Limited Sophos Mobile Propriétés de l’appareil Affiche les propriétés de l’appareil, par exemple les propriétés du modèle, le nom du modèle, la version du système d’exploitation et si l’appareil est débloqué (Android) ou débridé (iOS). Propriétés personnalisées Affiche les propriétés personnalisées de l’appareil. Vous pouvez créer ces propriétés vous-même. Les propriétés personnalisées de l’appareil peuvent, par exemple, être utilisées dans les espaces réservés en cas d’indisponibilité d’une connexion Active Directory. Lorsque vous modifiez un appareil, vous pouvez également ajouter des informations spécifiques à l’utilisateur. Propriétés internes Affiche les propriétés internes de l’appareil, par exemple, trafic ActiveSync autorisé, IMEI. Violations de conformité Cet onglet s’affiche uniquement pour les appareils non conformes. Il affiche les violations de conformité de l’appareil et les actions prises suite à cette violation. Applis installées Affiche les logiciels installés sur l’appareil. Des informations différentes sont affichées en fonction de chaque plate-forme. La colonne Taille indique l’espace disque utilisé par une app. La colonne Données indique l’espace disque supplémentaire qu’utilise une app pour les données de l’utilisateur, les configurations, etc. Vous pouvez également installer ou désinstaller des applis sur cet onglet. Remarque • Pour les appareils sur lesquels Sophos Mobile administre uniquement le conteneur Sophos, les apps hors du conteneur Sophos ne sont pas répertoriées. Ceci inclut les apps que l’utilisateur a installée à partir de l’Enterprise App Store. • Pour iOS, les apps identifiées sous l’état Géré peuvent être désinstallées. • Pour les Macs, les apps de tous les comptes d’utilisateur sont répertoriés. • Pour les ordinateurs Windows, vous pouvez uniquement désinstaller les applis qui ont été installées par Sophos Mobile. Si vous essayez de désinstaller une app installée par l’utilisateur, la tâche échoue. • Vous pouvez désactiver l’onglet Applis installées. Applis système Affiche les apps du système Android sur l’appareil. Copyright © Sophos Limited 57 Sophos Mobile Remarque Les apps système ne peuvent pas être supprimées de l’appareil. Applis Knox Cet onglet affiche les apps installées par l’utilisateur dans le conteneur Samsung Knox. Applis système Knox Cet onglet affiche les apps système installées dans le conteneur Samsung Knox. Résultats du contrôle Cet onglet affiche les résultats du dernier contrôle Sophos Intercept X for Mobile effectué sur l’appareil. Cet onglet est uniquement disponible lorsque Sophos Intercept X for Mobile est administrée par Sophos Mobile. Certificats Affiche les certificats utilisés sur l’appareil. Pour les Macs, les certificats d’appareil sont répertoriés alors que les certificats d’utilisateur ne le sont pas. Pour les ordinateurs Windows, les certificats installés dans le magasin des utilisateurs sont affichés dans la liste au contraire de ceux installés dans le magasin de l’appareil. Conseil Dans ce tableau, passez votre curseur sur la valeur Objet ou Émetteur pour afficher les informations du certificat. Tâches Cet onglet affiche toutes les tâches qui ont échoué et qui ne sont pas encore terminées sur l’appareil ainsi que celles qui ont été effectuées récemment. Vous pouvez également voir ces tâches ainsi que toutes les tâches effectuées sur d’autres appareils sur la page Vue des tâches. Concepts connexes Applis administrées pour iOS (page 342) Les applications iOS peuvent être installées en tant qu’applis gérées ou non gérées. Mobile Threat Defense avec Sophos Intercept X for Mobile (page 377) Sophos Intercept X for Mobile est une solution Mobile Threat Defense (MTD) pour les appareils Android et iOS. Surveillance des tâches (page 9) 58 Copyright © Sophos Limited Sophos Mobile Tâches connexes Création d’une stratégie de conformité (page 36) Configuration des paramètres de confidentialité (page 16) Vous pouvez empêcher les administrateurs d’accéder aux informations confidentielles sur l’appareil. 11.4.3 Utilisation des groupes intelligents Les groupes intelligents son des séries dynamiques d’appareils basées sur les critères de filtrage que vous définissez. Par exemple, vous pourriez définir un groupe intelligent « Tous les appareils Android professionnels créés au cours des 3 derniers mois ». Pour définir un groupe intelligent : 1. 2. 3. 4. Sur la page Appareils, sélectionnez Filtre étendu au-dessus de la liste d’appareils. Définissez les critères de filtrage. Saisissez le nom du groupe intelligent dans Groupe intelligent et sélectionnez Enregistrer. Procédez de l’une des manières suivantes : • Pour appliquer le groupe intelligent à la liste d’appareils, sélectionnez Filtre. • Pour fermer la fenêtre du filtre sans appliquer le groupe intelligent, sélectionnez Fermer. 5. Pour appliquer le groupe intelligent ultérieurement, sélectionnez Groupes intelligents au-dessus de la liste d’appareils et sélectionnez une entrée. Conseil • Lorsqu’un groupe intelligent ou un filtre étendu est activé, l’icône du filtre dans l’en-tête du tableau change de couleur (du bleu au vert). • Pensez à réinitialiser le filtre lorsque vous n’en avez plus besoin. Autrement, les listes ou les rapports n’incluront pas les résultats attendus. Autres actions des groupes intelligents : • Pour annuler un groupe intelligent et afficher de nouveau tous les appareils, sélectionnez Filtre étendu puis Réinitialiser. • Pour supprimer un groupe intelligent, sélectionnez Groupes intelligents et sur l’icône Corbeille correspondant au groupe intelligent à supprimer. • Pour modifier un groupe intelligent, appliquez-le puis sélectionnez Filtre étendu pour faire vos modifications et sélectionnez Enregistrer. • Pour appliquer un filtre ad-hoc sans créer de groupe intelligent, sélectionnez Filtre étendu, définissez les critères de filtrage et sélectionnez Filtre. 11.4.4 Modification des appareils 1. 2. 3. 4. Sur le menu latéral, sous GESTION, cliquez sur Appareils. Cliquez sur le triangle bleu correspondant à l’appareil de votre choix et cliquez sur Modifier. Effectuez les changements nécessaires. Sélectionnez Enregistrer. Copyright © Sophos Limited 59 Sophos Mobile 11.4.5 Assignation d’un utilisateur à un appareil 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils. 2. Sur la page Appareils, cliquez sur le triangle bleu correspondant à l’appareil de votre choix et cliquez sur Modifier. 3. Sur la page Modification de l’appareil, cliquez sur l’icône Modifier l’assignation d’un utilisateur située près du champ Utilisateur et cliquez ensuite sur l’entrée de votre choix dans la liste de sélection : • Pour assigner un utilisateur à un appareil auquel aucun utilisateur n’a encore été assigné, cliquez sur Assigner un utilisateur à l’appareil. • Pour assigner un utilisateur différent à un appareil auquel un utilisateur a déjà été assigné, cliquez sur Réassigner un utilisateur à l’appareil. • Pour recharger la liste d’utilisateurs à partir de l’annuaire LDAP, cliquez sur Rafraîchir les informations sur l’utilisateur. 4. Sur la page Saisir des paramètres de recherche de l’utilisateur de la boîte de dialogue d’assignation, saisissez le terme à rechercher dans un ou plusieurs champs afin de retrouver l’utilisateur à qui l’appareil va être assigné. Par exemple, saisissez le nom d’utilisateur complet ou une partie du nom. 5. Sur la page Sélection d’un utilisateur, sélectionnez l’utilisateur et cliquez sur Appliquer. 6. Sur la page Modification de l’appareil, cliquez sur Enregistrer. 11.4.6 Retrait d’assignation d’un utilisateur à un appareil 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils. 2. Sur la page Appareils, cliquez sur le triangle bleu correspondant à l’appareil de votre choix et cliquez sur Modifier. 3. Sur la page Modification de l’appareil, cliquez sur l’icône Modifier l’assignation d’un utilisateur située près du champ Utilisateur et cliquez ensuite sur Retirer l’utilisateur assigné à l’appareil. 4. Dans la boîte de dialogue de confirmation, cliquez sur Oui. 5. Sélectionnez Enregistrer. 11.4.7 Configuration de l’accès au réseau Avant de pouvoir configurer l’accès au réseau d’un appareil, le contrôle d’accès réseau (NAC) doit être activé dans Sophos Mobile. Sur Sophos Mobile (version locale), le super administrateur active NAC. Retrouvez plus de renseignements dans le Guide du super administrateur de Sophos Mobile (anglais). Sur Sophos Mobile (version SaaS), NAC est toujours activé. Deux options sont disponibles pour configurer l’accès au réseau d’un appareil : 1. Allow or deny network access unconditionally. 60 Copyright © Sophos Limited Sophos Mobile 2. Disable network access when the device violates a compliance rule, enable network access otherwise. Remarque Sophos Mobile ne contrôle pas l’accès au réseau lui-même. Il communique un état Refuser le réseau qui peut être utilisé par un logiciel NAC externe tel que Sophos UTM pour bloquer les communications réseau. Remarque Le contrôle d’accès au réseau est impossible pour les Macs connectés via Ethernet. Sophos Mobile peut uniquement récupérer l’adresse MAC d’un adaptateur réseau Wi-Fi du Mac et pas celle de son adaptateur Ethernet. Les appareils étant identifiés par leur adresse MAC, un Mac connecté au réseau par son port Ethernet est traité comme un appareil inconnu lorsque votre logiciel NAC externe demande à Sophos Mobile quel est l’état réseau de l’appareil. Pour configurer l’accès au réseau d’un appareil : 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils. 2. Sur la page Appareils, sélectionnez les appareils pour lesquels vous souhaitez définir le mode d’accès au réseau. 3. Cliquez sur Actions, puis sur Définir l’accès au réseau. 4. Sélectionnez le mode d’accès au réseau : • Autoriser : l’accès au réseau des appareils sélectionnés est autorisé. • Refuser : l’accès au réseau des appareils sélectionnés est refusé. • Mode Auto : l’accès au réseau des appareils sélectionnés est basé sur l’état de conformité des appareils. 5. Cliquez sur Oui pour enregistrer vos modifications. Remarque Vous ne pouvez pas refuser l’accès au réseau à des appareils sur lesquels Sophos Mobile administre le conteneur Sophos. Retrouvez plus de renseignements sur la configuration de l’accès au réseau dans les règles de conformité à la section Création d’une stratégie de conformité (page 36). 11.4.8 Contrôle de l’appareil Remarque Cette fonction nécessite une licence de type Mobile Advanced. Vous pouvez contrôler les appareils Android sur lesquels Sophos Mobile gère Sophos Intercept X for Mobile. 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils. 2. Cliquez sur l’appareil que vous voulez contrôler. 3. Sur la page Affichage de l’appareil, cliquez sur Actions > Contrôler la présence de malwares. Une tâche permettant de contrôler l’appareil est créée et transférée sur Sophos Intercept X for Mobile. Copyright © Sophos Limited 61 Sophos Mobile Vous pouvez voir les résultats du contrôle sur l’onglet Résultats du contrôle de la page Affichage de l’appareil. Cliquez sur un nom de menace pour afficher des informations supplémentaires fournies par les SophosLabs. Pour contrôler plusieurs appareils, créez une série de tâches avec la tâche Contrôler la présence de malwares et transférez-la aux appareils ou groupes d’appareils requis. 11.4.9 Verrouillage de l’appareil Vous pouvez verrouiller à distance un appareil administré par Sophos Mobile. Cette opération active le verrouillage de l’écran. Restriction Ces instructions ne s’appliquent pas aux appareils Chrome. 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils. 2. Sur la page Appareils, cliquez sur le triangle bleu correspondant à l’appareil que vous souhaitez verrouiller ou déverrouiller et cliquez sur Afficher. 3. Sur la page Affichage de l’appareil, cliquez sur Actions > Verrouiller. 4. Pour macOS : Créer un code confidentiel à 6 chiffres à saisir sur le Mac pour le déverrouiller. 5. Pour certains types d’appareil, vous avez la possibilité de saisir un message qui s’affiche sur l’écran de verrouillage. Une tâche d’activation de l’écran de verrouillage est créée et transférée à l’appareil. • Pour toutes les plates-formes à l’exception de macOS : L’utilisateur doit saisir le mot de passe de l’appareil (ou son code confidentiel ou le modèle, s’il est configuré) pour déverrouiller l’appareil. • Pour macOS : Le Mac redémarre. L’utilisateur doit saisir le code confidentiel que vous avez créé pour déverrouiller l’appareil. Remarque Même pour les appareils sur lesquels Sophos Mobile administre uniquement le profil professionnel Android, l’action Verrouiller verrouille l’appareil et pas uniquement le profil professionnel. Remarque Vous ne pouvez pas verrouiller les appareils sur lesquels Sophos Mobile administre le conteneur Sophos. Remarque Vous ne pouvez pas réinitialiser un Mac qui a été verrouillé à distance. Conseil Dans Sophos Mobile Admin, le code confidentiel de verrouillage du système macOS est affiché sur la page de l’appareil sous Propriétés de l’appareil > Unlock passcode et sur la page Détails de la tâche sous Code confidentiel de verrouillage. 62 Copyright © Sophos Limited Sophos Mobile 11.4.10 Réinitialisation du mot de passe de l’appareil Vous pouvez réinitialiser à distance le mot de passe des appareils suivants : • Appareils Android jusqu’à Android 6.x • Appareils Android Enterprise • Appareils iOS • Appareils Windows Mobile Toutefois, vous ne pouvez pas réinitialiser le mot de passe des appareils suivants : • Les appareils sur lesquels Sophos Mobile administre uniquement le conteneur Sophos. • Les appareils sur lesquels Sophos Intercept X for Mobile est la seule appli inscrite à Sophos Mobile. • Les appareils Android Enterprise à partir d’Android 8.x, si l’utilisateur n’a pas confirmé le mot de passe de l’appareil. Sur certains appareil, l’utilisateur définit le mot de passe lors de la première installation avant que l’app Sophos Mobile Control soit installée. Dans ce cas, l’app Sophos Mobile Control demande à l’utilisateur de confirmer le mot de passe à chaque synchronisation. Tant que l’utilisateur n’a pas confirmé le mot de passe, vous ne pouvez pas réinitialiser le mot de passe à distance. Pour réinitialiser le mot de passe d’un appareil : 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils. 2. Cliquez sur l’appareil pour lequel vous souhaitez réinitialiser le mot de passe. 3. Sur la page Affichage de l’appareil, cliquez sur Actions > Réinitialiser le mot de passe. 4. Si un mot de passe de déverrouillage à usage unique est affiché dans la boîte de dialogue de confirmation, communiquez-le à l’utilisateur. Pour Android et Windows Mobile, l’utilisateur doit déverrouiller l’appareil avec un mot de passe à usage unique et créez un nouveau mot de passe. Pour iOS, le mot de passe est supprimé et l’appareil est déverrouillé. 11.4.11 Rechercher l’appareil Vous pouvez rechercher un appareil Android ou iOS et afficher sa position dans Google Maps. Remarque Pour des raisons de confidentialité, tous les événements associés à l’emplacement de l’appareil sont enregistrés et peuvent être vérifiés ultérieurement. Vous pouvez désactiver l’affichage de la position l’appareil dans les paramètres de sécurité de Sophos Mobile. Pour trouver un appareil, les conditions suivantes doivent être remplies : Android : • L’appli Sophos Mobile Control est installée. • Les services de géolocalisation sont activés. Copyright © Sophos Limited 63 Sophos Mobile • L’appli Sophos Mobile Control dispose du droit de Géolocalisation. iOS : • L’appli Sophos Mobile Control est installée. • Les services de géolocalisation sont activés et sont autorisés pour l’app Sophos Mobile Control. • Vous pouvez toujours voir l’emplacement des appareils en mode Perdu administré. Conseil Utilisez la règle de conformité Autorisation requise pour la géolocalisation pour vous assurer que l’app Sophos Mobile Control peut recevoir l’emplacement de l’appareil. Pour rechercher un appareil : 1. Sur le menu latéral, sous GESTION, sélectionnez Appareils. 2. Sélectionnez l’appareil que vous souhaitez géolocaliser. 3. Sélectionnez Actions > Rechercher. Si Rechercher n’est pas disponible, vérifiez que l’appli Sophos Mobile Control peut obtenir la position de l’appareil. 4. Saisissez une raison pour la demande et sélectionnez Oui. Une tâche de récupération de l’emplacement de l’appareil est créée et transférée sur l’appareil. Si l’appareil est hors connexion, la tâche reste à l’état Notifié jusqu’à ce que l’appareil se connecte au serveur. 5. Lorsque la tâche est terminée, cliquez sur Actions > Rechercher > Afficher la position pour voir la position de l’appareil dans Google Maps. Pour voir la position de plusieurs appareils en même temps, sélectionnez-les sur la page Appareils et sélectionnez Actions > Rechercher. Vous pouvez également utiliser le rapport Emplacement de l’appareil. Vous ne pouvez pas suivre la position de l’appareil dans la durée car Sophos Mobile stocke uniquement la dernière position connue. Tâches connexes Configuration des paramètres de confidentialité (page 16) Vous pouvez empêcher les administrateurs d’accéder aux informations confidentielles sur l’appareil. Référence associée Règles de conformité disponibles (page 38) 64 Copyright © Sophos Limited Sophos Mobile Cette section répertorie les règles de conformité que vous pouvez sélectionner pou chaque plateforme. 11.4.12 Définir le niveau de journalisation du client En définissant le niveau de journalisation, vous configurez la quantité d’informations de journalisation que le client Sophos Mobile collecte sur un appareil. Restriction Ces instructions s’appliquent uniquement aux plates-formes qui ont un client Sophos Mobile : • Android • iOS • Chrome OS Si vous ne définissez pas le niveau de journalisation, l’utilisateur peut le définir dans le client Sophos Mobile. Pour définir le niveau de journalisation : 1. 2. 3. 4. Sur le menu latéral, sous GESTION, sélectionnez Appareils. Sélectionnez le nom de l’appareil pour lequel vous souhaitez définir le niveau de journalisation. Sélectionnez Actions > Définir le niveau de journalisation. Sélectionnez un niveau de journalisation (Erreur, Avertir, Info, Déboguer, Suivre) ou sélectionnez Paramètre par défaut de l’appareil pour permettre à l’utilisateur de définir le niveau de journalisation. La quantité d’informations de journalisation passe de Erreur à Suivre. Une fois que vous avez défini le niveau de journalisation, il est affiché en tant que propriété client.log.level.serverOverride sur l’onglet Propriétés internes. Pour définir le niveau de journalisation sur plusieurs appareils, sélectionnez-les sur la page Appareils et sélectionnez Actions > Définir le niveau de journalisation. Tâches connexes Comment obtenir les journaux client (page 65) Vous pouvez extraire à distance les fichiers journaux du client Sophos Mobile sur un appareil. Pour les appareils Android Enterprise, vous recevrez également un rapport de bugs Android. 11.4.13 Comment obtenir les journaux client Vous pouvez extraire à distance les fichiers journaux du client Sophos Mobile sur un appareil. Pour les appareils Android Enterprise, vous recevrez également un rapport de bugs Android. Restriction Ces instructions s’appliquent uniquement aux plates-formes qui ont un client Sophos Mobile : • Android • iOS • Chrome OS Copyright © Sophos Limited 65 Sophos Mobile Pour obtenir les fichiers journaux d’un appareil : 1. Sur le menu latéral, sous GESTION, sélectionnez Appareils. 2. Sélectionnez le nom de l’appareil pour lequel vous souhaitez obtenir les fichiers journaux. 3. Sélectionnez Actions > Récupérer les fichiers journaux du client. Sophos Mobile envoie les fichiers journaux du client à votre adresse email. Les fichiers ne sont pas stockés sur le serveur Sophos Mobile. Conseil Au lieu de récupérer les fichiers journaux dans Sophos Mobile Admin, vous pouvez demander à l’utilisateur d’exécuter l’action Envoyer les fichiers journaux. 11.4.14 Réinitialisation de l’appareil Vous pouvez réinitialiser à distance un appareil administré par Sophos Mobile. Cette action restaure les paramètres d’usine sur l’appareil. Restriction Vous ne pouvez pas réinitialiser les appareils suivants : • Les appareils sur lesquels Sophos Mobile administre uniquement le conteneur Sophos. • Appareils de profil professionnel Android Enterprise. • Les Macs que vous avez verrouillés à distance. Pour effacer un appareil à distance : 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils. 2. Sur la page Appareils, cliquez sur le triangle bleu correspondant à l’appareil que vous souhaitez réinitialiser et cliquez sur Afficher. 3. Sur la page Affichage de l’appareil, cliquez sur Actions > Réinitialiser. 4. Pour certains types d’appareils, vous devez configurer des paramètres supplémentaires : a) Pour les appareils Android Enterprise entièrement gérés, activez la protection contre la réinitialisation aux paramètres d’usine (FRP) si nécessaire. Attention Si les comptes Google configurés pour la protection contre la réinitialisation aux paramètres d’usine (FRP) ne sont pas valides ou si vous ne connaissez pas leurs codes d’accès, l’appareil sera inutilisable après sa réinitialisation. b) Pour les appareils iOS, configurez ces paramètres dans la boîte de dialogue de confirmation : • Conserver le forfait de données cellulaires : si un forfait de données cellulaires est disponible sur l’appareil, il est conservé après la réinitialisation aux paramètres d’usine. • Interdire le Démarrage rapide : pour le premier démarrage de l’appareil après restauration des paramètres d’usine, ignorez l’étape Démarrage rapide de l’Assistant d’installation permettant à l’utilisateur de transférer le contenu à partir d’un autre iPhone. c) Pour les Macs, créez un code confidentiel à 6 chiffres à saisir sur le Mac pour le déverrouiller. 5. Cliquez sur Oui dans la boîte de dialogue de confirmation. 66 Copyright © Sophos Limited Sophos Mobile Une tâche de réinitialisation de l’appareil est créée et transférée à l’appareil. Conseil Dans Sophos Mobile Admin, le code confidentiel de verrouillage du système macOS est affiché sur la page de l’appareil sous Propriétés de l’appareil > Unlock passcode et sur la page Détails de la tâche sous Code confidentiel de verrouillage. Concepts connexes Protection contre la réinitialisation aux paramètres d’usine Android (page 366) La protection contre la réinitialisation aux paramètres d’usine (FRP) est une fonction de sécurité Android qui empêche l’accès non autorisé à l’appareil après réinitialisation. 11.4.15 Activation ou désactivation de la protection contre la réinitialisation aux paramètres d’usine Android Restriction Ces instructions s’appliquent uniquement aux appareils Android Enterprise entièrement gérés. Lorsque vous configurez la protection contre la réinitialisation aux paramètres d’usine (FRP) pour un appareil Android Enterprise entièrement géré, la fonction est activée par défaut. Si vous êtes sûr(e) qu’un appareil n’est pas perdu ou volé, vous pouvez désactiver la protection contre la réinitialisation aux paramètres d’usine (FRP) afin de simplifier la procédure d’installation. Pour activer ou désactivez FRP : 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils. 2. Cliquez sur l’appareil pour lequel vous souhaitez définir l’état de la protection contre la réinitialisation aux paramètres d’usine (FRP). 3. Sur la page Affichage de l’appareil, cliquez sur Actions > Définir la protection contre la réinitialisation aux paramètres d’usine. 4. Sélectionnez Activer FRP ou Désactiver FRP. Lorsque FRP est activée, l’appareil doit être déverrouillé après la réinitialisation aux paramètres d’usine avec l’un des comptes Google que vous avez configuré pour FRP. Retrouvez plus de renseignements sur la protection contre la réinitialisation aux paramètres d’usine (FRP) à la section Protection contre la réinitialisation aux paramètres d’usine Android (page 366). Attention si vous n’avez pas configuré FRP correctement, l’appareil sera inutilisable lorsqu’il sera réinitialisé avec la FRP activée. Conseil Vous pouvez vérifier l’état FRP d’un appareil sur l’onglet État de la page Affichage de l’appareil. Copyright © Sophos Limited 67 Sophos Mobile 11.4.16 Configurer la gestion des dépenses en télécommunications La gestion des dépenses en télécommunications vous permet de suivre l’utilisation des données cellulaires de chaque appareil. Restriction La gestion des dépenses de télécommunication n’est pas disponible pour : • Appareils jusqu’à Android 5.1.1. • Appareils de profil professionnel Android Enterprise. • Macs. • Appareils Windows et Windows Mobile. • Appareils Chrome. Pour configurer la gestion des dépenses de télécommunication pour des appareils spécifiques : 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils. 2. Sur la page Appareils, sélectionnez les appareils pour lesquels vous souhaitez configurer la gestion des dépenses en télécommunications. Sélectionnez uniquement les appareils avec le même forfait de données cellulaires. 3. Cliquez sur Actions > Configurer la gestion des dépenses en télécommunications. 4. Configurez les paramètres suivants : Option Description Activer la surveillance Lorsque cette option est sélectionnée, le suivi de l’utilisation des données cellulaires est activé pour les appareils sélectionnés. Volume de données du plan Le volume de données en Mo de votre forfait de données cellulaires. Seuil d’alerte Un seuil de volume de données en Mo. Lorsque le volume de données utilisées d’un appareil dépasse cette valeur, une alerte est créée. Date de réinitialisation du cycle d’utilisation Une valeur comprise entre 1 et 31 pour indiquer le jour du mois auquel la valeur d’utilisation des données sera réinitialisée. Remarque Si un mois a moins de jour que la valeur saisie, la valeur d’utilisation des données est réinitialisée le dernier jour du mois. 5. Cliquez sur Enregistrer pour appliquer les paramètres des appareils sélectionnés. 68 Copyright © Sophos Limited Sophos Mobile L’utilisation des données cellulaires est signalée par un appareil à chaque fois qu’il se synchronise avec le serveur Sophos Mobile. Pour voir l’utilisation actuelle des données d’un appareil, ouvrez la page Affichage de l’appareil de l’appareil et cliquez sur Actions > Configurer la gestion des dépenses en télécommunications. Remarque L’utilisation des données signalées peut être différente des valeurs chargées par votre opérateur télécom. Le trafic de données causé par les apps installées est signalée alors que les mises à jour du système, les mises à jour des apps du système ou tout trafic similaire ne l’est pas. Conseil Utilisez le rapport Utilisation des données cellulaires pour voir l’utilisation des données de tous les appareils sur lesquels la gestion des dépenses en télécommunications est activée. Retrouvez plus de renseignements à la section Rapports (page 8). Remarque • La valeur d’utilisation des données est réinitialisée aux périodes suivantes : — Tous les mois à la fin de la journée que vous avez configurée. — Lorsque vous désactivez la gestion des dépenses en télécommunications sur l’appareil. — Lorsque l’appareil est désinscrit de Sophos Mobile. • Pour iOS, l’utilisation des données n’est pas signalée lorsque l’app Sophos Mobile Control est fermée (par exemple ; lorsque l’utilisateur n’a pas démarré l’app après avoir redémarré l’appareil). 11.4.17 Mise à jour du logiciel iOS Vous pouvez mettre à jour le logiciel iOS sur les appareils suivants : • Appareils supervisés • Appareils Apple DEP supervisés Remarque Cette section décrit la mise à jour du logiciel iOS sur un seul appareil. Pour mettre à jour le logiciel iOS d’un groupe d’appareils, veuillez utiliser une série de tâches avec la tâche Installer la dernière mise à jour iOS. Retrouvez plus de renseignements à la section Types de tâche iOS disponibles (page 321). Pour mettre à jour le logiciel iOS d’un appareil : 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils. 2. Sur la page Appareils, cliquez sur le triangle bleu correspondant à l’appareil de votre choix et cliquez sur Afficher. 3. Sur la page Affichage de l’appareil, cliquez sur Actions > Afficher les mises à jour disponibles. Une liste des mises à jour iOS disponibles pour l’appareil apparaît. Les mises à jour Critique sont des mises à jour de sécurité considérées comme critiques par Apple. 4. Pour installer la dernière mise à jour disponible, cliquez sur Installer la dernière mise à jour disponible. Copyright © Sophos Limited 69 Sophos Mobile Une tâche de mise à jour du logiciel iOS est créée et transférée à l’appareil. Conseil • Vérifiez l’état de mise à jour d’un seul appareil iOS sur la page Affichage de l’appareil de l’appareil. Un signe d’avertissement apparaît Système d’exploitation si la dernière version d’iOS n’est pas installée sur l’appareil. • Vérifiez l’état de mise à jour de tous les appareils iOS dans la colonne OsUpdateAvailable du rapport Appareils. 11.4.18 Configuration du mode Perdu administré sur iOS Vous pouvez mettre un appareil iOS supervisé en mode Perdu administré. L’appareil ne peut pas être utilisée tant que le mode Perdu administré n’a pas été désactivé dans Sophos Mobile. Sous le mode Perdu administré, les seules actions disponibles sur l’appareil sont : • Composer un numéro que vous avez configuré. • Passer un appel d’urgence. Remarque • Le mode Perdu administré est un mode de verrouillage différent du mode Perdu qui peut être activer dans iCloud par un utilisateur. Lorsque vous activez le mode Perdu administré dans Sophos Mobile, l’appareil ne peut pas déverrouillé dans iCloud. • La géolocalisation de l’appareil est plus fiable sous le mode Perdu administré que sous le mode de verrouillage standard. La géolocalisation de l’appareil est signalée par la fonctionnalité du système iOS. L’app Sophos Mobile Control n’a pas besoin d’être active. Pour activer le mode Perdu administré : 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils. 2. Sur la page Appareils , cliquez sur le triangle bleu correspondant à l’appareil que vous voulez verrouiller ou déverrouiller et cliquez sur Afficher. 3. Sur la page Affichage de l’appareil, cliquez sur Actions > Activer le mode Perdu administré. 4. Configurez les paramètres suivants : Option Description Message de verrouillage de l’écran Texte affiché sur l’écran de verrouillage. Numéro de téléphone Un numéro de téléphone qui peut être composé à partir de l’écran de verrouillage. Pied de page Texte de remarque affiché en bas de l’écran de verrouillage. Si vous ne configurez pas de remarque, une remarque standard avisant de contacter un administrateur est affichée. Une tâche d’activation du mode Perdu administré est créée et transférée à l’appareil. Le mode Perdu administré est activé immédiatement après que l’appareil ait reçu la tâche. Lorsqu’un appareil est sous le mode Perdu administré, vous pouvez effectuer les actions suivantes sur la page Affichage de l’appareil : 70 Copyright © Sophos Limited Sophos Mobile • Pour géolocaliser l’appareil, utilisez Actions > Géolocaliser. • Pour faire sonner l’appareil, utilisez Actions > Faire sonner le mode Perdu. • Pour désactiver le mode Perdu administré, utilisez Actions > Désactiver le mode Perdu administré. Conseil Pour savoir si le mode Perdu administré est activé, vérifiez la propriété de l’appareil IsMDMLostModeEnabled. 11.5 Propriétés personnalisées de l’appareil En plus des propriétés indiquées par l’appareil, vous pouvez ajouter des propriétés personnalisées à l’appareil. Lorsque vous ajoutez une propriété sous le nom ma propriété, vous pouvez faire référence à la valeur de la propriété en utilisant l’espace réservé %_DEVPROP(ma propriété)_%. Retrouvez plus de renseignements sur les espaces réservés à la section Espaces réservés dans les stratégies (page 116). Vous pouvez ajouter des propriétés personnalisées à un appareil des manières suivantes : • Vous ajoutez des propriétés personnalisées à un seul appareil. Retrouvez plus de renseignements à la section Ajout d’une propriété personnalisées de l’appareil (page 71). • Vous créez des propriétés par défaut qui sont assignées aux appareils en tant que propriétés personnalisées lorsque les appareils sont créés. Retrouvez plus de renseignements à la section Création d’une propriété par défaut de l’appareil (page 72). 11.5.1 Ajout d’une propriété personnalisées de l’appareil En plus des propriétés indiquées par l’appareil, vous pouvez ajouter des propriétés personnalisées à l’appareil. 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils. 2. Cliquez sur le triangle bleu correspondant à l’appareil de votre choix et cliquez sur Modifier. 3. Sur la page Modification de l’appareil, rendez-vous dans l’onglet Propriétés personnalisées et cliquez sur Ajouter une propriété personnalisée. Si l’onglet Propriétés personnalisées n’est pas disponible, vérifiez que le paramètre système Mode Expert est activé (sous Configuration > Général > Personnel). 4. Saisissez un nom et une valeur pour la propriété. 5. Cliquez sur Appliquer. 6. Sélectionnez Enregistrer. La propriété personnalisée est ajoutée à l’appareil. Remarque Vous ne pouvez pas avoir une propriété personnalisée pour l’appareil sous le même nom qu’une propriété de l’appareil. Copyright © Sophos Limited 71 Sophos Mobile 11.5.2 Création d’une propriété par défaut de l’appareil Vous pouvez créer des propriétés par défaut qui sont assignées aux appareils en tant que propriétés personnalisées lorsque les appareils sont créés. 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Général puis sur l’onglet Propriétés par défaut de l’appareil. 2. Cliquez sur Ajouter une propriété personnalisée. 3. Saisissez un nom et une valeur pour la propriété. 4. Cliquez sur Appliquer. 5. Sélectionnez Enregistrer. Remarque Vous ne pouvez pas avoir une propriété personnalisée pour l’appareil sous le même nom qu’une propriété de l’appareil. Remarque Si la même propriété par défaut est définie pour le client et pour le super administrateur, la valeur définie pour le client est utilisée. 11.6 Inscription par code QR L’inscription par code QR vous permet d’inscrire automatiquement les appareils Android Enterprise gérés en lisant un code QR au cours de la configuration initiale de l’appareil. Utilisez cette fonction par exemple pour préparer les appareils avant de les déployer à vos utilisateurs. Conditions requises : • Vous avez installé Android Enterprise dans Sophos Mobile pour le scénario « Compte Google Play d’entreprise ». • Les appareils que vous souhaitez inscrire utilisent Android 7 ou une version supérieure. Tâches connexes Installation d’Android Enterprise (scénario Compte Google Play d’entreprise) (page 358) 11.6.1 Configuration de l’inscription par code QR Veuillez configurer les paramètres requis pour la création du code QR et l’inscription de l’appareil. Condition préalable : Vous avez créé une série de tâches pour l’inscription de l’appareil par code QR. Le groupe de tâches doit avoir une tâche Assigner une stratégie pour une stratégie d’appareil Android Enterprise et ne doit pas avoir une tâche Inscrire. Pour configurer l’inscription par code QR : 1. Sur le menu latéral, sous PARAMÈTRES, sélectionnez Configuration > Configuration d’Android puis l’onglet Inscription par code QR. 2. Sélectionnez Configurer l’inscription par code QR Android Enterprise. 72 Copyright © Sophos Limited Sophos Mobile 3. Sous Configurer le code QR, configurez les paramètres de configuration de l’appareil : • Activer les applis système : Sur les appareils Android Enterprise entièrement gérés, les applications système dotées d’une icône de lancement sont désactivées par défaut. Sélectionnez ce paramètres pour que toutes les apps système restent activées. • Langue : la langue de l’interface utilisateur Android. • Paramètres Wi#Fi : Sélectionnez le type de sécurité de la connexion Wi-Fi ou sélectionnez Ne pas configurer la connexion Wi#Fi afin qu’aucun réseau ne soit configuré dans le code QR. Dans ce cas, les utilisateurs devront se connecter manuellement à un réseau Wi-Fi lors de la configuration de l’appareil. • Wi#Fi SSID : L’identifiant du réseau Wi-Fi. • SSID est masqué : Sélectionnez cette option si le réseau Wi-Fi est masqué. • Mot de passe Wi#Fi : Le mot de passe du réseau Wi-Fi. Les appareils se connecteront automatiquement au réseau Wi-Fi s’ils sont disponibles. 4. Sous Configurer l’inscription, configurez le mode de gestion de l’appareil par Sophos Mobile : • Série de tâches : la série de tâches transférée sur l’appareil. • Groupe d’appareils : Le groupe d’appareils auquel les appareils sont assignés. Le code QR s’affiche dans l’onglet Inscription par code QR. Vous pouvez l’imprimer pour l’utiliser sans accéder à Sophos Mobile Admin. Remarque • Vous pouvez inscrire tous les appareils avec le même code QR. • Vous pouvez révoquer le code de connexion pour bloquer toute future inscription. Le code est également révoqué lorsque vous en créez un nouveau. Tâches connexes Inscription d’appareils avec un code QR (page 73) Pour inscrire un appareil Android Enterprise entièrement géré avec un code QR, il vous suffit de lire le code QR lors de sa configuration initiale 11.6.2 Inscription d’appareils avec un code QR Pour inscrire un appareil Android Enterprise entièrement géré avec un code QR, il vous suffit de lire le code QR lors de sa configuration initiale Restriction L'inscription par code QR est possible à partir d’Android 7. Conditions préalables : • Vous avez un compte d’utilisateur Sophos Mobile. Veuillez saisir les codes d’accès du compte pendant le processus d’inscription. • Vous avez le code QR à portée de main. Pour inscrire un appareil : 1. Allumez un nouvel appareil ou réinitialisez-le à ses paramètres d’usine s’il était déjà utilisé. 2. Sur la page Accueil de l’assistant de configuration Android, appuyez six fois au même endroit. Copyright © Sophos Limited 73 Sophos Mobile Un lecteur de code QR s’ouvre. Sur certains appareils, vous devez vous connecter à un réseau Wi-Fi pour qu’Android puisse télécharger le lecteur de code QR. 3. Lisez le code QR. 4. Si le code QR ne contient pas de configuration Wi-Fi ou si le réseau Wi-Fi n’est pas disponible, connectez-vous manuellement à un réseau. 5. Suivez les instructions d’inscription. L’appareil s’inscrit à Sophos Mobile en tant qu’appareil Android Enterprise entièrement géré. Selon l’appareil, la procédure de configuration peut être plus courte qu’une configuration manuelle. Par exemple, certaines étapes de configuration spécifiques au fournisseur peuvent être ignorées. 11.7 Inscription Zero-touch L’inscription Zero-touch d’Android vous permet d’inscrire des séries d’appareils Android professionnels. Les appareils Zero-touch s’inscrivent automatiquement à votre serveur Sophos Mobile en tant qu’appareils Android Enterprise entièrement gérés lorsque les utilisateurs les activent. Conditions requises • Vous avez un compte d’accès au portail d’inscription Zero-touch de Google. Généralement, le vendeur de l’appareil vous crée un compte lorsque vous achetez vos premiers appareils. • Vous avez installé Android Enterprise dans Sophos Mobile pour le scénario Compte Google Play d’entreprise. Retrouvez plus de renseignements à la section Installation d’Android Enterprise (scénario Compte Google Play d’entreprise) (page 358). Étapes de configuration Pour utiliser l’inscription Zero-touch, procédez aux étapes suivantes : 1. Activez l’inscription Zero-touch dans Sophos Mobile Admin et configurez les détails de l’inscription. Retrouvez plus de renseignements à la section Installation de l’inscription Zerotouch (page 75). 2. Créez une configuration pour Sophos Mobile dans le portail d’inscription Zero-touch de Google. Retrouvez plus de renseignements à la section Création de la configuration Zero-touch (page 75). 3. Achetez des appareils équipés de la fonction Zero-touch auprès d’un revendeur agréé par Google. 4. Assignez la configuration Zero-touch de Sophos Mobile aux appareils. Retrouvez plus de renseignements à la section Déploiement des appareils Zero-touch (page 76). Information associée Site Web de l’inscription Zero-touch de Google (lien externe) Aide de l’inscription Zero-touch de Google (lien externe) 74 Copyright © Sophos Limited Sophos Mobile 11.7.1 Installation de l’inscription Zero-touch Pour installer l’inscription Zero-touch dans Sophos Mobile Admin, configurez les paramètres appliqués aux appareils Android Zero-touch (« appareils Zero-touch ») lorsqu’ils s’inscrivent à votre serveur Sophos Mobile. Condition préalable : Vous avez créé une série de tâches pour l’inscription de l’appareil par code QR. Le groupe de tâches doit avoir une tâche Assigner une stratégie pour une stratégie d’appareil Android Enterprise et ne doit pas avoir une tâche Inscrire. Pour créer une inscription Zero-touch : 1. Sur le menu latéral, sous PARAMÈTRES, sélectionnez Configuration > Configuration d’Android puis l’onglet Zero-touch. 2. Sélectionnez Utiliser l’inscription Zero-touch. 3. Sous Paramètres de configuration Zero-touch, sélectionnez Extras DPC pour configurer les paramètres appliqués à l’appareil : • Langue : la langue de l’interface utilisateur Android. • Fuseau horaire : le fuseau horaire de l’appareil. • Activer les applis système : Sur les appareils Android Enterprise entièrement gérés, les applications système dotées d’une icône de lancement sont désactivées par défaut. Sélectionnez ce paramètres pour que toutes les apps système restent activées. Selon vos paramètres, Sophos Mobile crée un code de configuration que vous devez saisir sur le portail d’inscription Zero-touch de Google. 4. Sous Paramètres d’inscription, configurez l’inscription des appareils Zero-touch à Sophos Mobile : • Groupe d’appareils : Le groupe d’appareils auquel les appareils sont assignés. • Série de tâches : la série de tâches transférée sur l’appareil. 5. Sélectionnez Enregistrer pour enregistrer les paramètres d’inscription. Pour terminer l’installation de l’inscription Zero-touch, créez une configuration pour Sophos Mobile sur le portail d’inscription Zero-touch de Google. 11.7.2 Création de la configuration Zero-touch Une configuration Zero-touch contient toutes les informations utiles pour inscrire les appareils à votre serveur Sophos Mobile. Vous créez cette configuration dans le portail d’inscription Zero-touch de Google. Cette procédure suppose que vous avez installé l’inscription Zero-touch dans Sophos Mobile Admin comme décrit dans Installation de l’inscription Zero-touch (page 75). 1. Sur le menu latéral, sous PARAMÈTRES, sélectionnez Configuration > Configuration d’Android puis l’onglet Zero-touch. 2. Cliquez sur Copier à côté de Extras DPC pour copier le code de configuration dans le bloc-notes. 3. Ouvrez le portail d’inscription Zero-touch de Google dans une nouvelle fenêtre. 4. Créez une configuration pour Sophos Mobile : • Dans EMM DPC, sélectionnez Sophos Mobile Control. Copyright © Sophos Limited 75 Sophos Mobile • Dans Extras DPC, saisissez le code de configuration que vous avez copié sur le bloc-notes. 5. Vous avez également la possibilité de sélectionner la configuration en tant que configuration par défaut pour l’appliquer automatiquement à tous les nouveaux appareils. Information associée Portail d’inscription Zero-touch de Google (lien externe) Aide de l’inscription Zero-touch de Google (lien externe) 11.7.3 Déploiement des appareils Zero-touch Pour qu’un appareil Zero-touch (« appareil Zero-touch ») s’inscrive à votre serveur Sophos Mobile, assignez-le à la configuration Sophos Mobile. 1. Assurez-vous que les appareils que vous voulez déployer sont enregistrés dans le portail d’inscription Zero-touch de Google. Généralement, le revendeur enregistre les appareils. 2. Sur le portail d’inscription Zero-touch de Google, assignez la configuration Sophos Mobile aux appareils. Autrement, sélectionnez la configuration Sophos Mobile en tant que configuration par défaut pour l’assigner automatiquement aux nouveaux appareils. 3. Distribuez les appareils à vos utilisateurs. Les utilisateurs doivent avoir un compte d’utilisateur Sophos Mobile. Lorsqu’un utilisateur met en marche son appareil pour la première fois, l’assistant d’installation Android démarre. Dès que l’appareil est connecté à Internet, il s’inscrit dans Sophos Mobile en tant qu’appareil Android Enterprise entièrement géré. Remarque Si un appareil est déjà configuré lorsque vous l’enregistrez sur le portail d’inscription Zero-touch de Google, il est réinitialisé à ses paramètres d’usine. 11.7.4 Désactivation de l’inscription Zero-touch Pour désactiver l’inscription automatique des appareils Android Zero-touch (« appareils Zerotouch ») à Sophos Mobile : 1. Sur le menu latéral, sous PARAMÈTRES, sélectionnez Configuration > Configuration d’Android puis l’onglet Zero-touch. 2. Cliquez sur Révoquer la configuration Zero-touch. Les appareils Zero-touch se connectent toujours à votre serveur Sophos Mobile pour s’inscrire mais le serveur refuse la demande. Pour déconnecter Sophos Mobile complètement de l’inscription Zero-touch, supprimez la configuration pour Sophos Mobile sur le portail d’inscription Zero-touch de Google. 76 Copyright © Sophos Limited Sophos Mobile 11.8 Inscription Knox Mobile Samsung Knox Mobile Enrollment (KME) vous permet d’inscrire une série d’appareils Samsung professionnels avec Sophos Mobile. Les appareils Knox Mobile Enrollment s’inscrivent automatiquement à votre serveur Sophos Mobile lorsque les utilisateurs les activent. Conditions requises • Vous avez un compte Samsung. • Vous avez un compte d’accès au portail Samsung Knox. • La version 2.4 ou supérieure de Knox est installée sur les appareils à inscrire selon le scénario que vous voulez utiliser. Par exemple, la gestion complète de l’appareil Android Enterprise nécessite Knox à partir de la version 2.8. • Pour l’inscription sous le mode Android Enterprise, vous avez installé Android Enterprise dans Sophos Mobile pour le scénario Compte Google Play d’entreprise. Retrouvez plus de renseignements à la section Installation d’Android Enterprise (scénario Compte Google Play d’entreprise) (page 358). Étapes de configuration Pour utiliser Knox Mobile Enrollment, procédez aux étapes suivantes : 1. Activez Knox Mobile Enrollment dans Sophos Mobile Admin et configurez les détails de l’inscription. Retrouvez plus de renseignements à la section Installation de Knox Mobile Enrollment (page 77). 2. Créez un profil pour Sophos Mobile dans la console Samsung Knox Mobile Enrollment. Retrouvez plus de renseignements à la section Création d’un profil KME (page 78). 3. Achetez des appareils équipés de Knox Mobile Enrollment. 4. Assignez le profil KME pour Sophos Mobile aux appareils. Retrouvez plus de renseignements à la section Déploiement des appareils KME (page 79). Information associée Site Web de Samsung Knox Mobile Enrollment (lien externe) Guide d’utilisation de Samsung Knox Mobile Enrollment (lien externe) 11.8.1 Installation de Knox Mobile Enrollment Pour installer Samsung Knox Mobile Enrollment (KME) dans Sophos Mobile Admin, veuillez configurer les paramètres appliqués aux appareils KME lorsqu’ils s’inscrivent à votre serveur Sophos Mobile. 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration d’Android puis sur l’onglet Samsung KME. 2. Cliquez sur Utiliser Knox Mobile Enrollment. 3. Sous Paramètres d’inscription, configurez l’inscription automatique des appareils KME à Sophos Mobile : • Groupe d’appareils : le groupe d’appareils auquel les appareils KME sont assignés. Copyright © Sophos Limited 77 Sophos Mobile • Série de tâches (Android) : La série de tâches pour les appareils sur lesquels Sophos Mobile sera administrateur de l’appareil Android. • Série de tâches (gestion complète de l’appareil Android Enterprise) : La série de tâches pour les appareils Android Enterprise entièrement gérés. Les listes indiquent les séries de tâches sans la tâche Inscrire. Vous configurez le mode d’inscription dans le profil d’inscription MDM dans la console Samsung Knox Mobile Enrollment. • Authentification de l’utilisateur : lorsque cette option est sélectionnée, l’utilisateur doit saisir ses codes d’accès Sophos Mobile pendant la configuration de l’appareil. L’utilisateur est assigné à l’appareil dans Sophos Mobile. Lorsque cette option n’est pas sélectionnée, l’appareil s’inscrit à Sophos Mobile sans assignation à un utilisateur. 4. Cliquez sur Enregistrer pour enregistrer les paramètres d’inscription. Pour terminer l'installation de Knox Mobile Enrollment, créez un profil MDM pour Sophos Mobile dans la console Samsung Knox Mobile Enrollment. 11.8.2 Création d’un profil KME Un profil Knox Mobile Enrollment (KME) contient toutes les informations utiles pour inscrire les appareils à votre serveur Sophos Mobile. Vous créez ce profil dans la console Samsung Knox Mobile Enrollment. Cette procédure suppose que vous avez installé Samsung Knox Mobile Enrollment dans Sophos Mobile Admin comme décrit dans Installation de Knox Mobile Enrollment (page 77). 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration d’Android puis sur l’onglet Samsung KME. 2. Ouvrez le portail Samsung Knox dans une nouvelle fenêtre et naviguez jusqu’à la console Knox Mobile Enrollment. 3. Dans la console Knox Mobile Enrollment, créez un profil MDM pour Sophos Mobile. Activez l’option propriétaire de l’appareil si vous souhaitez utiliser la gestion complète de l’appareil Android Enterprise. 4. Configurez le profil avec les valeurs affichées dans Sophos Mobile Admin sous Configuration du profil MDM. Cliquez sur Copier à côté du champ dans Sophos Mobile Admin pour copier la valeur dans le bloc-notes. Vous pouvez configurer plus de paramètres de profil. Retrouvez plus de renseignements dans le Guide d’utilisation de Samsung Knox Mobile Enrollment. 5. Enregistrez le profil. Information associée Console Samsung Knox Mobile Enrollment (lien externe) Guide d’utilisation de Samsung Knox Mobile Enrollment (lien externe) 78 Copyright © Sophos Limited Sophos Mobile 11.8.3 Déploiement des appareils KME Pour qu’un appareil Knox Mobile Enrollment (« appareil KME ») s’inscrive à votre serveur Sophos Mobile, assignez-le au profil Sophos Mobile. 1. Dans la console Knox Mobile Enrollment, assignez un profil Sophos Mobile aux appareils. Si les appareils ne sont pas affichés dans la console Knox Mobile Enrollment, veuillez contacter votre revendeur. 2. Distribuez les appareils à vos utilisateurs. Si vous avez sélectionné Authentification de l’utilisateur dans les paramètres d’inscription KME dans Sophos Mobile Admin, les utilisateurs doivent avoir un compte d’utilisateur Sophos Mobile. Lorsqu’un utilisateur active l’appareil pour la première fois, un assistant d’installation de Knox Mobile Enrollment démarre. Une fois que l’appareil s’est connecté à Internet, il s’inscrit à Sophos Mobile. Selon le mode d’inscription que vous avez configuré dans le profil Sophos Mobile de la console Knox Mobile Enrollment. Sophos Mobile utilise soit la gestion complète des appareils Android Enterprise, soit l’autorisation d’administrateur des appareils Android pour gérer l’appareil. 11.8.4 Désactivation de Knox Mobile Enrollment Pour désactiver l’inscription automatique des appareils Knox Mobile Enrollment (« appareil KME ») à Sophos Mobile: 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration d’Android puis sur l’onglet Samsung KME. 2. Cliquez sur Révoquer la configuration KME. Les appareils KME se connectent toujours à votre serveur Sophos Mobile pour s’inscrire mais le serveur refuse la demande. Pour déconnecter Sophos Mobile complètement de Knox Mobile Enrollment, supprimez le profil de Sophos Mobile dans la console Samsung Knox Mobile Enrollment. 11.9 Programme d’inscription d’appareils (DEP) Apple Grâce au Programme d’inscription d’appareils Apple (DEP), vous avez la possibilité d’acheter des iPhones, iPads et des Macs en volume afin de les distribuer dans votre entreprise. Le programme DEP simplifie le déploiement des appareils mobiles en offrant les fonctions suivantes : • Processus d’activation configurable. • Activation sans fil du mode de supervision. • Configuration OTA (over-the-air). • Inscription automatique des appareils dans Sophos Mobile au cours de l’activation de l’appareil. Conseil Retrouvez plus de renseignements sur le programme DEP en vous rendant sur le site Web d’Apple DEP sur http://www.apple.com/fr/business/programs/. Copyright © Sophos Limited 79 Sophos Mobile Étapes de préparation Pour préparer la gestion des appareils DEP par Sophos Mobile, veuillez effectuer les étapes suivantes une seule fois : 1. Sur le portail Web du Programme d’inscription d’appareils Apple, créez un serveur MDM virtuel et créez un lien vers Sophos Mobile. Retrouvez plus de renseignements à la section Installation du Programme d’inscription d’appareils Apple (DEP) (page 80). 2. Dans Sophos Mobile, créez un ou plusieurs profils DEP qui contrôle divers attributs d’appareil spécifiques au Programme d’inscription d’appareils Apple (DEP). Avec le profil DEP, vous pouvez également personnaliser l’assistant d’installation qui démarre lorsque l’appareil est mis en marche pour la première fois. Retrouvez plus de renseignements à la section Création d’un profil du Programme d’inscription d’appareils (DEP) (page 82). Étapes de déploiement Lorsque vous achetez des appareils DEP, le processus de déploiement classique consiste à effectuer les étapes suivantes : 1. Acheter les appareils chez Apple ou auprès d’un revendeur agréé participant au Programme d’inscription d’appareils. 2. Sur le portail du Programme d’inscription d’appareils d’Apple, assigner les appareils au serveur MDM de Sophos Mobile. Retrouvez plus de renseignements à propos de cette étape et de l’étape suivante à la section Déploiement des appareils du Programme d’inscription d’appareils (DEP) (page 82). 3. Assigner un profil DEP aux appareils dans Sophos Mobile Admin. 4. Distribuer les appareils à vos utilisateurs. 5. Lorsque les utilisateurs mettent en marche leurs appareils pour la première fois, l’assistant d’installation personnalisée démarre. Au cours de l’installation, les appareils sont inscrits dans Sophos Mobile et l’utilisateur est assigné à l’appareil. 6. Si nécessaire, vous avez la possibilité de transférer des séries de tâches supplémentaires aux appareils pour compléter leur approvisionnement. 11.9.1 Installation du Programme d’inscription d’appareils Apple (DEP) Pour gérer les appareils du Programme d’inscription d’appareils Apple, vous devez créer un serveur MDM virtuel sur le portail Web d’Apple DEP et le relier au serveur Sophos Mobile. Conditions préalables : 80 • Vous êtes inscrit(e) au Programme d’inscription d’appareils Apple (DEP) et avez créé un compte d’administrateur pour le portail Web d’Apple DEP. Consultez le site Web d’Apple DEP à l'adresse http://www.apple.com/fr/business/programs/ ou la page d’Aide des Programmes de déploiement Apple. • Vous avez téléchargé un certificat du service Apple Push Notification (APNs) dans Sophos Mobile. Retrouvez plus de renseignements à la section Création d’un certificat APNs (page 18). Copyright © Sophos Limited Sophos Mobile Conseil Si vous êtes déjà inscrit au Programme d’achats en volume (VPP) d’Apple, vous pouvez utiliser le même identifiant Apple pour le Programme d’inscription d’appareils. Pour configurer le Programme d’inscription d’appareils (DEP) Apple : 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration d’Apple puis sur l’onglet Apple DEP. 2. Cliquez sur télécharger la clé publique pour téléchargez le fichier de la clé publique de Sophos Mobile pour le Programme d’inscription d’appareils (DEP) Apple. Le fichier est enregistré localement sur votre ordinateur. 3. Ouvrez le portail Web du Programme d’inscription d’appareils Apple https:// deploy.apple.com dans une nouvelle fenêtre de navigation. Vous pouvez effectuer cette opération en cliquant sur le lien Portail Web du Programme d’inscription d’appareils Apple dans Sophos Mobile. 4. Connectez-vous au portail Web du Portail Web du Programme d’inscription d’appareils Apple à l’aide de l’identifiant Apple de votre entreprise. 5. Sur le portail, allez sur Programme d’inscription d’appareilsGérer les serveurs et cliquez ensuite sur Ajouter un serveur MDM. 6. Saisissez un nom pour le serveur MDM, par exemple Sophos Mobile. 7. Téléchargez ensuite le fichier de la clé publique que vous avez téléchargée depuis Sophos Mobile. 8. Téléchargez ensuite le token du serveur. À ce stade, vous pouvez vous déconnecter du portail Web du Programme d’inscription d’appareils Apple. 9. Sur l’onglet Apple DEP de Sophos Mobile, cliquez sur Télécharger un fichier pour sélectionner le token du serveur que vous avez téléchargé à partir du portail Web du Programme d’inscription d’appareils Apple. 10. Sélectionnez Enregistrer. Le token du serveur du Programme d’inscription d’appareils est valide pendant un an. Attention Lorsque vous créez un nouveau token du serveur sur le portail Web du Programme d’inscription d’appareils Apple, veuillez utiliser le même identifiant Apple que celui utilisé lors de la création du premier token. 11.9.2 Réinitialisation du Programme d’inscription d’appareils Apple (DEP) Réinitialisez les informations du Programme d’inscription d’appareils Apple (DEP) stockées dans Sophos Mobile pour supprimer votre token du Programme d’inscription d’appareils Apple (DEP) de Sophos Mobile si, par exemple, vous avez téléchargé le mauvais token. 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration d’Apple puis sur l’onglet Apple DEP. 2. Cliquez sur Réinitialiser DEP. Le token du Programme d’inscription d’appareils Apple (DEP), tous les appareils Apple DEP et tous les profils Apple DEP sont supprimés de Sophos Mobile. Copyright © Sophos Limited 81 Sophos Mobile Pour arrêter l’administration des appareils Apple DEP avec Sophos Mobile, allez sur le portail Web du Programme d’inscription d’appareils Apple (DEP) et supprimez Sophos Mobile en tant que serveur MDM. 11.9.3 Création d’un profil du Programme d’inscription d’appareils (DEP) Vous devez créer un Programme d’inscription d’appareils Apple (DEP) avant de pouvoir créer des profils du Programme d’inscription d’appareils. Retrouvez plus de renseignements à la section Installation du Programme d’inscription d’appareils Apple (DEP) (page 80). Un profil du Programme d’inscription d’appareils est assigné à un appareil du Programme d’inscription d’appareils et fournit des informations au serveur Apple lorsque l’appareil est activé. Ces informations inclut : • Le serveur MDM (c’est-à-dire Sophos Mobile) assigné pour administrer l’appareil. • Les options de configuration pour l’inscription à Sophos Mobile. • Une liste des hôtes pouvant être jumelés à l’appareil. • Les options de personnalisation pour l’assistant d’installation qui démarre lorsque l’appareil est mis en marche pour la première fois. Si nécessaire, vous pouvez créer plusieurs profils du Programme d’inscription d’appareils afin d’utiliser différents paramètres d’installation et d’inscription pour vos appareils du Programme d’inscription d’appareils. Pour créer un profil du Programme d’inscription d’appareils (DEP) : 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration d’Apple puis sur l’onglet Profils Apple DEP. 2. Cliquez sur Ajouter. 3. Dans la boîte de dialogue Modification du profil du Programme d’inscription d’appareils, saisissez les paramètres requis. 4. Pour assigner le profil à tous les nouveaux appareils du Programme d’inscription d’appareils auxquels aucun profil n’a été assigné manuellement, sélectionnez le dans la liste Le profil DEP par défaut assigné aux nouveaux appareils. Lorsque vous sélectionnez Aucun, vous devez assigner manuellement un profil du Programme d’inscription d’appareils aux nouveaux appareils du Programme d’inscription d’appareils conformément aux instructions de la section Déploiement des appareils du Programme d’inscription d’appareils (DEP) (page 82). Dans le cas contraire, les appareils du Programme d’inscription d’appareils ne seront pas inscrits à Sophos Mobile lors de leur activation. 5. Cliquez sur Enregistrer pour enregistrer vos modifications. Référence associée Paramètres de profil du Programme d’inscription d’appareils (iOS) (page 86) Paramètres de profil du Programme d’inscription d’appareils (macOS) (page 91) 11.9.4 Déploiement des appareils du Programme d’inscription d’appareils (DEP) Effectuez cette procédure pour connecter vos appareils au Programme d’inscription d’appareils Apple (DEP) et les inscrire à Sophos Mobile. 82 Copyright © Sophos Limited Sophos Mobile Vous pouvez gérer les appareils que vous avez acheté chez Apple ou auprès d’un fournisseur du Programme d’inscription d’appareils agréé. Avant de connecter les appareils au Programme d’inscription d’appareils Apple, veuillez configurer le fournisseur de l’appareil sur le portail du Programme d’inscription d’appareils Apple. Remarque Dans un processus classique du Programme d’inscription d’appareils Apple, vous effectuez cette procédure avant de remettre les appareils à vos utilisateurs pour activation et utilisation. Remarque Retrouvez une description détaillée du portail du Programme d’inscription d’appareils Apple dans l’Aide Programmes de déploiement Apple. Pour assigner vos appareils à Sophos Mobile puis leur assigner un profil du Programme d’inscription d’appareils : 1. Ouvrez le portail Web du programme de déploiement Apple https://deploy.apple.com dans votre navigateur Web et connectez-vous à l’aide de l’identifiant Apple de votre entreprise. 2. Sur le portail, allez dans Programme d’inscription d’appareilsGérer les appareils. 3. Sous Choisir les appareils selon, sélectionnez vos nouveaux appareils par numéro de série, numéro de commande ou téléchargez un fichier CSV incluant les numéros de série de vos appareils. Remarque Si vous avez acheté vos appareils auprès d’un revendeur, ceux-ci sont mis à disposition sur le portail du Programme d’inscription d’appareils sous les 24 heures suivant l’envoi de votre commande à Apple par le revendeur. 4. Sous Choisir une action, sélectionnez Assigner au serveur puis sélectionnez le serveur MDM virtuel que vous avez installé pour Sophos Mobile conformément aux instructions de la section Installation du Programme d’inscription d’appareils Apple (DEP) (page 80). 5. Cliquez sur OK pour procéder à l’assignation. À ce stade, vous pouvez vous déconnecter du portail Web du Programme d’inscription d’appareils Apple. Vous pouvez ignorer les étapes restantes si vous avez déjà configuré un profil du Programme d’inscription d’appareils par défaut conformément aux instructions de la section Création d’un profil du Programme d’inscription d’appareils (DEP) (page 82). 6. Connectez-vous à Sophos Mobile Admin à l’aide d’un compte d’administrateur pour le client pour lequel vous voulez gérer les appareils du Programme d’inscription d’appareils. 7. Sur le menu latéral, sous GESTION, cliquez sur Appareils puis sur Apple DEP. La page Appareils du Programme d’inscription d’appareils Apple contient une liste de tous les appareils que vous avez assigné à Sophos Mobile sur le portail Web du Programme d’inscription d’appareils Apple. 8. Si les appareils que vous venez d’assigner à Sophos Mobile ne figure pas dans cette liste, cliquez sur Synchroniser avec le portail du Programme d’inscription d’appareils Apple. Remarque Pour limiter la charge sur le serveur du Programme d’inscription d’appareils Apple, il est uniquement possible de procéder à des opérations répétées de synchronisation lorsque le temps d’attente est court. Copyright © Sophos Limited 83 Sophos Mobile 9. Sélectionnez les nouveaux appareils et cliquez sur ActionsAssigner un profil. 10. Dans la boîte de dialogue de confirmation, sélectionnez le profil du Programme d’inscription d’appareils que vous voulez assigner aux appareils et cliquez sur OK. Lorsque les appareils que vous avez acheté seront livrés à votre entreprise, vous pourrez les remettre à vos utilisateurs. Aucune autre configuration n’est nécessaire. Lorsque les utilisateurs mettront leurs appareils en marche pour la première fois, la configuration d’iOS et l’inscription à Sophos Mobile seront effectuées conformément à la configuration définie dans le profil du Programme d’inscription d’appareils assigné. Si vous avez sélectionné l’option du profil Assigner l’utilisateur à l’appareil comme indiqué à la section Création d’un profil du Programme d’inscription d’appareils (DEP) (page 82), les utilisateurs sont assignés automatiquement à leur appareil. 11.9.5 Gestion des appareils du Programme d’inscription d’appareils Les appareils du Programme d’inscription d’appareils sont administrés dans Sophos Mobile de la même façon que le sont les appareils n’appartenant pas au Programme d’inscription d’appareils. Retrouvez plus de renseignements à la section Gestion des appareils (page 55). En revanche seul le Programme d’inscription d’appareils permet d’assigner un profil du Programme d’inscription d’appareils à un appareil. Le profil du Programme d’inscription d’appareils fournit des informations au serveur Apple lorsque l’appareil est activé. Retrouvez plus de renseignements à la section Création d’un profil du Programme d’inscription d’appareils (DEP) (page 82). Remarque Le profil du Programme d’inscription d’appareils affiché dans Sophos Mobile pourra être différent du profil utilisé sur l’appareil. Si vous modifiez l’assignation après avoir activé l’appareil, celui-ci continuera à utiliser le premier profil assigné jusqu’à ce qu’il soit réinitialisé et activé de nouveau. Pour modifier le profil du Programme d’inscription d’appareils d’un appareil : 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils puis sur Apple DEP. La page Appareils du Programme d’inscription d’appareils Apple contient une liste de tous les appareils que vous avez assigné à Sophos Mobile sur le portail Web du Programme d’inscription d’appareils Apple. 2. Cliquez sur Synchroniser avec le portail du Programme d’inscription d’appareils Apple pour mettre à jour les informations du Programme d’inscription d’appareils. 3. Sélectionnez les appareils auxquels vous voulez assigner un autre profil du Programme d’inscription d’appareils. 4. Cliquez sur Actions, puis sur l’action requise : • Assigner un profil : sélectionnez le profil du Programme d’inscription d’appareils qui sera assigné aux appareils lors de leur prochaine activation. • Retirer le profil assigné : n’assignez aucun profil du Programme d’inscription d’appareils à la prochaine activation des appareils. L’assignation du nouveau profil est affichée sur la page Appareils du Programme d’inscription d’appareils Apple. Les modifications sont appliquées aux appareils après leur réinitialisation et leur réactivation. 84 Copyright © Sophos Limited Sophos Mobile 11.9.6 Ajout manuel d’un appareil DEP iOS Vous pouvez enregistrer manuellement un iPhone ou un iPad dans le Programme d’inscription d’appareils Apple (DEP). Utilisez cette méthode si, par exemple, vous avez acheté l’appareil directement chez Apple ou auprès d’un distributeur agréé du Programme d’inscription d’appareils Apple (DEP). Attention L’appareil est réinitialisé à ses paramètres d’usine. 1. Connectez l’appareil à un port USB d’un Mac sur lequel Apple Configurator 2.5 ou une version supérieure est installée. 2. Dans Apple Configurator, allez dans Fichier > Nouveau profil > Wi-Fi pour créer un profil réseau pour votre connexion Wi-Fi. L’appareil a besoin de ce profil pour se connecter au serveur d’enregistrement du Programme d’inscription d’appareils Apple (DEP). 3. Allez dans Préférences > Organisation et cliquez sur le bouton Plus pour créer une entrée pour l’organisation. Utilisez l’identifiant Apple et le mot de passe de votre compte Apple DEP. Sélectionnez-le également pour créer une nouvelle identité de supervision. 4. Allez dans Préférences > Serveurs et cliquez sur le bouton Plus pour créer une entrée pour le serveur. Remarque Vous pouvez saisir une valeur dans URL d’inscription. Apple Configurator n’utilise pas la valeur lors de l’enregistrement des appareils DEP. 5. Sélectionnez l’appareil puis cliquez sur Préparer. 6. Sélectionnez Configuration manuelle et suivez les pages de l’assistant pour préparer l’appareil. • Sélectionnez le serveur et le profil réseau que vous avez créé auparavant. • Ignorer la configuration de l’assistant d’installation d’iOS. Vous la configurerez dans le profil DEP de Sophos Mobile. 7. Patientez jusqu’à la fin de la procédure de préparation. N’éteignez pas l’appareil à ce stade. Lorsque l’appareil est enregistré, sélectionnez son numéro de série dans le portail Apple DEP. Avant de remettre l’appareil à l’utilisateur, inscrivez-le à Sophos Mobile comme indiqué à la section Déploiement des appareils du Programme d’inscription d’appareils (DEP) (page 82). Information associée Guide de l’utilisateur d’Apple Configurator 2 - Préparer les appareils manuellement (lien externe) 11.9.7 Configuration de la supervision des appareils Vous pouvez configurer des Macs autorisés à surveiller vos appareils DEP iOS. Ces Macs peuvent être jumelés avec un appareil DEP iOS même si vous bloquez généralement le jumelage USB. Pour configurer un Mac pour la supervision d’appareil, téléchargez son certificat d’identité de supervision dans le profil DEP iOS dans Sophos Mobile. Copyright © Sophos Limited 85 Sophos Mobile 1. Sur le Mac, créez une nouvelle organisation dans Apple Configurator ou utilisez une organisation déjà existante. 2. Ouvrez l’app Trousseaux d’accès. 3. Sous Mes certificats, exportez le certificat de l’organisation. Il y a un certificat pour chaque organisation que vous avez configuré dans Apple Configurator. Dans la boîte de dialogue d’exportation, assurez-vous que le certificat est exporté au format CER (extension de fichier .cer). 4. Sur votre profil DEP iOS dans Sophos Mobile, sous l’onglet Jumelage USB, configurez les paramètres suivants : a) Dessélectionnez la case Autoriser le jumelage USB avec tous les hôtes. b) Sélectionnez Télécharger le certificat hôte pour télécharger le fichier de certificat. 5. Facultatif : Pour configurer un autre Mac pour la supervision d’appareil, procédez de la manière suivante : • Téléchargez un autre certificat dans le profil DEP iOS. • Partagez l’organisation entre les Macs de la manière suivante : Exportez l’organisation depuis Apple Configurator sur le premier Mac et importez-la sur le second Mac. • Partagez l’identité de supervision entre les Macs de la manière suivante : Sur le premier Mac, exportez l’identité de supervision depuis Apple Configurator au format PKCS #12 (extension de fichier .p12). Sur le second Mac, ouvrez le fichier .p12 avec l’app Trousseaux d’accès. Tâches connexes Création d’un profil du Programme d’inscription d’appareils (DEP) (page 82) Référence associée Paramètres de profil du Programme d’inscription d’appareils (iOS) (page 86) Information associée Guide de l’utilisateur d’Apple Configurator 2 - Préférences d’entreprise (lien externe) 11.9.8 Paramètres de profil du Programme d’inscription d’appareils (iOS) Paramètres généraux 86 Paramètre/Champ Description Nom Le nom du profil du Programme d’inscription d’appareils. Description Une description facultative du profil du Programme d’inscription d’appareils. Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Groupe d’appareils Un groupe d’appareils qui sera assigné aux appareils lors de leur inscription à Sophos Mobile. Retrouvez plus de renseignements sur les groupes d’appareils à la section Groupes d’appareils (page 99). Pour simplifier la gestion des appareils, nous vous conseillons d’utiliser un groupe d’appareils distinct pour les appareils du Programme d’inscription d’appareils. Série de tâches Une série de tâches qui sera transférée aux appareils lors de leur inscription à Sophos Mobile. Cette liste inclut toutes les séries de tâches ne contenant aucune tâche d’inscription. Retrouvez plus de renseignements sur les séries de tâches à la section Séries de tâches (page 317). Inscription Paramètre/Champ Description Superviser l’appareil Le mode de supervision est activé. L’utilisateur peut supprimer la stratégie MDM L’utilisateur peut supprimer le profil d’inscription de Sophos Mobile à l’aide de l’interface utilisateur iOS. Cette option peut uniquement être dessélectionnée sur les appareils supervisés. Installer l’appli SMC Installer l’app Sophos Mobile Control sur l’appareil. Si vous activez cette option, vous devez également désactiver l’option Identifiant Apple sur l’onglet Installation d’iOS afin de permettre à Sophos Mobile d’installer l’app à partir de la boutique d’apps. Autrement, si vous êtes inscrit au Programme d’achats en volume (VPP) d’Apple, vous pouvez installer l’app Sophos Mobile en tant qu’app du Programme d’achat en volume, même si l’appareil n’est pas associé à un identifiant Apple. Les appareils doivent être à l’état « administré ». Retrouvez plus de renseignements à la section Assignation automatique des apps du Programme d’achat en volume (page 348). L’utilisateur peut ignorer l’assignation de la stratégie MDM Copyright © Sophos Limited L’utilisateur peut ignorer l’étape d’installation qui s’applique au profil d’inscription de Sophos Mobile. 87 Sophos Mobile Paramètre/Champ Description Assigner un utilisateur à l’appareil Au cours du processus d’inscription dans Sophos Mobile, les utilisateurs doivent fournir leurs codes d’accès au Portail libre-service. Ils sont ensuite assignés à l’appareil. Utilisez cette option pour assigner automatiquement un utilisateur à l’appareil. Installation d’iOS Sur l’onglet Installation d’iOS, désactivez les étapes de configuration de l’assistant d’installation qui démarre lorsque l’appareil est mis en marche pour la première fois. Remarque Ces paramètres s’appliquent uniquement à l’installation d’iOS. Si vous désactivez une étape de configuration, l’utilisateur sera toujours en mesure d’activer l’option adéquate ultérieurement. Pour désactiver totalement une fonction, veuillez utiliser la configuration Restrictions. Retrouvez plus de renseignements à la section Configuration des restrictions (stratégie d’appareil iOS) (page 198). 88 Paramètre/Champ Description Identifiant Apple Ignorer la configuration d’un identifiant Apple. L’utilisateur ne peut pas se connecter avec son identifiant Apple pour accéder aux services d’Apple. Apple Pay Ignorer la configuration d’Apple Pay. L’utilisateur ne peut pas ajouter les coordonnées d’une carte de crédit ou de paiement dans les boutiques ou dans les apps utilisant Apple Pay. Services de géolocalisation Ignorer la configuration des services de géolocalisation. Les services de géolocalisation sont désactivés. Conditions générales d’utilisation Ignorer la page Conditions générales d’utilisation. Disposition du clavier Ignorer la configuration de la disposition du clavier. Confidentialité Ignorer la page qui explique l’icône Données et confidentialité. Nouvelles fonctions Ignorer les pages qui expliquent les nouvelles fonctions d’iOS. Restaurer à partir de la sauvegarde Ignorer la restauration des données à partir d’une sauvegarde iCloud ou iTunes ou ignore le transfert de données à partir d’un appareil Android. Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Désactiver « Transférer les données depuis Android » L’option de transfert de données à partir d’un appareil Android n’est pas disponible. Code secret Ignorer la création d’un code confidentiel pour déverrouiller l’appareil. Afficher Zoom de l’écran Ignorer la configuration de Afficher Zoom de l’écran, c’est-à-dire une vue agrandie avec des icônes, du texte et des boutons de plus grande taille. Retour haptique du bouton principal À partir d’iPhone, ignorer la configuration du Retour haptique du bouton principal (c’est-à-dire le niveau de retour tactile lorsque vous cliquez sur le bouton principal). Forfait de données mobiles Ignorer la configuration d’un forfait de données cellulaires. Temps d’écran Ignorer la configuration du temps passé sur l’écran (rapport et limite du temps passé sur l’appareil). Diagnostics Ignorer la configuration des diagnostics. Les données de diagnostics et d’utilisation ne sont pas envoyées à Apple. Touch ID Ignorer la configuration de Touch ID. L’utilisateur ne peut pas utiliser l’empreinte digitale à la place d’un code d’accès pour s’identifier. Siri Ignorer la configuration de Siri. Siri est désactivé. Migration vers la montre Ignorer la restauration des données de l’Apple Watch à partir d’une sauvegarde iCloud ou iTunes. True Tone Ignorer l’activation de True Tone (adaptation automatique des couleurs d’affichage en fonction des conditions d’éclairage ambiant). iMessage et FaceTime Ignorer l’activation d’iMessage et de FaceTime. Information de mise à jour iOS Ignorer la page qui informe les utilisateurs que les mises à jour iOS sont installées automatiquement. Copyright © Sophos Limited 89 Sophos Mobile Informations du support Paramètre/Champ Description Service Le nom du service ou du lieu associé au profil. Ce nom est inclus dans les informations auxquelles l’utilisateur a accès en cliquant sur À propos de la configuration au cours de la configuration de l’appareil. Numéro de téléphone Le numéro de téléphone du support de votre entreprise. Ce champ est pré-rempli avec les coordonnées du contact du support technique. Retrouvez plus de renseignements à la section Configuration du contact du service informatique (page 16). Le numéro de téléphone est conservé en interne dans le profil du Programme d’inscription d’appareils mais n’est pas mis à disposition de l’utilisateur de l’appareil. Email L’adresse électronique du support de votre entreprise. Ce champ est pré-rempli avec l’adresse électronique du contact du support technique. Retrouvez plus de renseignements à la section Configuration du contact du service informatique (page 16). L’adresse électronique est conservée en interne dans le profil du Programme d’inscription d’appareils mais n’est pas mise à disposition de l’utilisateur de l’appareil. Jumelage USB Sur l’onglet Jumelage USB, vous pouvez limiter le jumelage USB des appareils DEP iOS aux Macs sélectionnés. Le jumelage USB est requis pour connecter l’appareil à iTunes ou à Apple Configurator. Paramètre/Champ Description Autoriser le jumelage USB avec tous les hôtes Si vous sélectionnez cette case, vous pouvez jumeler l’appareil avec tous les ordinateurs de votre choix. Si vous dessélectionnez cette case, vous pouvez uniquement jumeler l’appareil avec les Macs que vous avez configurés pour la supervision d’appareil. Vous ne pouvez pas jumeler l’appareil avec des ordinateurs Windows. 90 Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Télécharger le certificat hôte Téléchargez un certificat d’identité de supervision. Tous les Macs contenant le certificat dans leur jeu de clés peuvent surveiller l’appareil. Vous pouvez télécharger plusieurs certificats. Remarque Si vous désselectionnez Autoriser le jumelage USB avec tous les hôtes et ne téléchargez pas un certificat, vous ne pourrez pas connecter l’appareil à iTunes ou à Apple Configurator. Tâches connexes Création d’un profil du Programme d’inscription d’appareils (DEP) (page 82) Configuration de la supervision des appareils (page 85) Vous pouvez configurer des Macs autorisés à surveiller vos appareils DEP iOS. Ces Macs peuvent être jumelés avec un appareil DEP iOS même si vous bloquez généralement le jumelage USB. 11.9.9 Paramètres de profil du Programme d’inscription d’appareils (macOS) Paramètres généraux Paramètre/Champ Description Nom Le nom du profil du Programme d’inscription d’appareils. Description Une description facultative du profil du Programme d’inscription d’appareils. Groupe d’appareils Un groupe d’appareils qui sera assigné aux appareils lors de leur inscription à Sophos Mobile. Retrouvez plus de renseignements sur les groupes d’appareils à la section Groupes d’appareils (page 99). Pour simplifier la gestion des appareils, nous vous conseillons d’utiliser un groupe d’appareils distinct pour les appareils du Programme d’inscription d’appareils. Série de tâches Une série de tâches qui sera transférée aux appareils lors de leur inscription à Sophos Mobile. Cette liste inclut toutes les séries de tâches ne contenant aucune tâche d’inscription. Retrouvez plus de renseignements sur les séries de tâches à la section Séries de tâches (page 317). Copyright © Sophos Limited 91 Sophos Mobile Inscription Paramètre/Champ Description L’utilisateur peut ignorer l’assignation de la stratégie MDM L’utilisateur peut ignorer l’étape d’installation qui s’applique au profil d’inscription de Sophos Mobile. Assigner un utilisateur à l’appareil Au cours du processus d’inscription dans Sophos Mobile, les utilisateurs doivent fournir leurs codes d’accès au Portail libre-service. Ils sont ensuite assignés à l’appareil. Utilisez cette option pour assigner automatiquement un utilisateur à l’appareil. Installation de macOS Sur l’onglet Installation de macOS, désactivez les étapes de configuration de l’assistant d’installation qui démarre lorsque l’appareil est mis en marche pour la première fois. Remarque Ces paramètres s’appliquent uniquement à l’installation macOS. Si vous désactivez une étape de configuration, l’utilisateur sera toujours en mesure d’activer l’option adéquate ultérieurement. Pour désactiver totalement une fonction, veuillez utiliser la configuration Restrictions. Retrouvez plus de renseignements aux sections Configuration des restrictions (stratégie d’appareil macOS) (page 249) et Configuration des restrictions (stratégie d’utilisateur macOS) (page 269). 92 Paramètre/Champ Description Identifiant Apple Ignorer la configuration d’un identifiant Apple. L’utilisateur ne peut pas se connecter avec son identifiant Apple pour accéder aux services d’Apple. Apple Pay Ignorer la configuration d’Apple Pay. L’utilisateur ne peut pas ajouter les coordonnées d’une carte de crédit ou de paiement dans les boutiques ou dans les apps utilisant Apple Pay. Chiffrement de disques FileVault Ignorer la configuration du chiffrement de disques FileVault. FileVault est désactivé. Conditions générales d’utilisation Ignorer la page Conditions générales d’utilisation. Code secret Ignorer la création d’un code confidentiel pour déverrouiller l’appareil. Apparence Ignorer la configuration de l’apparence de l’interface utilisateur (claire ou sombre). Restaurer à partir de la sauvegarde Ignorer la restauration des données à partir d’une sauvegarde iCloud ou iTunes. Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Diagnostics Ignorer la configuration des diagnostics. Les données de diagnostics et d’utilisation ne sont pas envoyées à Apple. Services de géolocalisation Ignorer la configuration des services de géolocalisation. Les services de géolocalisation sont désactivés. Touch ID Ignorer la configuration de Touch ID. L’utilisateur ne peut pas utiliser l’empreinte digitale à la place d’un code d’accès pour s’identifier. Confidentialité Ignorer la page qui explique l’icône Données et confidentialité. iCloud Drive Ignorer l’activation du téléchargement automatique des fichiers depuis les Documents ou le Bureau vers iCloud Drive. Enregistrement Ignorer la création d’un compte sur l’ordinateur. Analyse iCloud Ignorer la configuration de l’Analyse iCloud. Les données de diagnostics et d’utilisation du compte iCloud ne sont pas envoyées à Apple. Siri Ignorer la configuration de Siri. Siri est désactivé. True Tone Ignorer l’activation de True Tone (adaptation automatique des couleurs d’affichage en fonction des conditions d’éclairage ambiant). Afficher Zoom de l’écran Ignorer la configuration de Afficher Zoom de l’écran, c’est-à-dire une vue agrandie avec des icônes, du texte et des boutons de plus grande taille. Informations du support Paramètre/Champ Description Service Le nom du service ou du lieu associé au profil. Ce nom est inclus dans les informations auxquelles l’utilisateur a accès en cliquant sur À propos de la configuration au cours de la configuration de l’appareil. Copyright © Sophos Limited 93 Sophos Mobile Paramètre/Champ Description Numéro de téléphone Le numéro de téléphone du support de votre entreprise. Ce champ est pré-rempli avec les coordonnées du contact du support technique. Retrouvez plus de renseignements à la section Configuration du contact du service informatique (page 16). Le numéro de téléphone est conservé en interne dans le profil du Programme d’inscription d’appareils mais n’est pas mis à disposition de l’utilisateur de l’appareil. Email L’adresse électronique du support de votre entreprise. Ce champ est pré-rempli avec l’adresse électronique du contact du support technique. Retrouvez plus de renseignements à la section Configuration du contact du service informatique (page 16). L’adresse électronique est conservée en interne dans le profil du Programme d’inscription d’appareils mais n’est pas mise à disposition de l’utilisateur de l’appareil. Tâches connexes Création d’un profil du Programme d’inscription d’appareils (DEP) (page 82) 11.10 Intégration de Duo Security Vous pouvez connecter Sophos Mobile au logiciel d’authentification Duo Security. Ceci permet à Duo Security d’identifier les appareils fiables en fonction de leur état d’administration dans Sophos Mobile. Pour déterminer l’état de confiance d’un appareil, Duo Security utilise différentes approches pour Android et iOS : • Pour les appareils Android, Duo Security récupère l’état de confiance via l’interface du service Web de Sophos Mobile. • Pour les appareils iOS, Duo Security détermine l’état de confiance par l’existence d’un certain certificat sur l’appareil. Remarque Retrouvez plus de renseignements sur les appareils fiables dans la documentation Duo Security. 11.10.1 Configuration de l’intégration de Duo Security pour les appareils Android Effectuez les étapes suivantes pour permettre à Duo Security de déterminer l’état de fiabilité de vos appareils Android. 1. Dans Sophos Mobile, créez un administrateur avec le rôle Duo API. 94 Copyright © Sophos Limited Sophos Mobile 2. Dans Duo Admin Panel, saisissez le nom et le mot de passe de cet administrateur. Retrouvez plus de renseignements dans la documentation de Duo Security. Pour déterminer l’état de fiabilité d’un appareil Android, l’app Duo Mobile pour Android communique le numéro d’ID de l’appareil au serveur Duo Security. Le serveur Duo Security récupère ensuite l’état de l’appareil via l’interface du service Web de Sophos Mobile et considère les appareils administrés comme fiables. Concepts connexes Rôles d’utilisateur (page 5) Tâches connexes Création d’administrateurs (page 396) 11.10.2 Configuration de l’intégration de Duo Security pour les appareils iOS Effectuez les étapes suivantes pour permettre à Duo Security de déterminer l’état de fiabilité de vos appareils iOS. 1. Configurez la connexion au serveur de certificat Duo : a) Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration de Sophos puis sur l’onglet Duo Security. b) Saisissez les paramètres fournis par Duo Security. 2. Ajoutez une configuration Certificat d’appareil Duo à la stratégie d’appareil iOS que vous utilisez pour vos appareils iOS. 3. Mettez à jour la stratégie d’appareil iOS sur les appareils. Un certificat d’appareil Duo va être installé sur les appareils. L’appli Duo Mobile pour iOS détecte le certificat et considère les appareils comme fiables. Tâches connexes Assignation d’une stratégie (page 117) Une stratégie est assignée aux appareils pour appliquer les paramètres qu’elle inclut. Référence associée Certificat d’appareil Duo (stratégie d’appareil iOS) (page 231) 11.11 Contrôle à distance TeamViewer TeamViewer est un outil de contrôle à distance tiers. L’intégration de TeamViewer vous permet de lancer une session de contrôle à distance avec un appareil Android ou iOS administré dans Sophos Mobile sans avoir à utiliser d’identifiant de session ou de mot de passe. 11.11.1 Intégration de TeamViewer Pour démarrer des sessions TeamViewer depuis Sophos Mobile, vous devez créer une application TeamViewer et la relier à Sophos Mobile. Pour utiliser TeamViewer avec Sophos Mobile, vous avez besoin des éléments suivants : • Une licence TeamViewer Copyright © Sophos Limited 95 Sophos Mobile • Le complément de licence pour la prise en charge des appareils mobiles Pour créer l’intégration de TeamViewer : 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration de Sophos puis sur l’onglet TeamViewer. 2. Cliquez sur Assistant de configuration de TeamViewer. L’assistant vous guide tout au long du processus d’installation : a) Créez un compte TeamViewer. b) Créez une application dans la console d’administration TeamViewer et reliez-la à Sophos Mobile. 3. Installez le logiciel TeamViewer : a) Rendez-vous sur l’ordinateur connecté à Sophos Mobile. Installez le client TeamViewer Windows depuis le site Web de TeamViewer. b) Sur les appareils que vous voulez contrôler, installez l’app TeamViewer QuickSupport depuis Google Play ou depuis l’App Store. Lorsque vous avez installé l’intégration de TeamViewer, l’action de l’appareil Demander le contrôle à distance est disponible. Information associée Site Internet de TeamViewer (lien externe) Console d’administration TeamViewer (lien externe) 11.11.2 Démarrage d’une session TeamViewer Vous pouvez démarrer une session TeamViewer avec un appareil Android ou iOS depuis Sophos Mobile Admin. En fonction de votre licence TeamViewer, vous ne pourrez démarrer qu’un certain nombre de sessions par heure. Pour démarrer une session TeamViewer : 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils. 2. Cliquez sur l’appareil que vous voulez contrôler. 3. Sur la page Affichage de l’appareil, cliquez sur Actions > Demander le contrôle à distance. Une session TeamViewer va être démarrée sur votre ordinateur et sur l’appareil sélectionné. Dès que l’utilisateur aura validé la connexion, vous pourrez contrôler l’appareil. Pour démarrer une session de suivi avec le même appareil, l’utilisateur doit d’abord fermer le client TeamViewer. 11.12 Sophos Chrome Security Sophos Chrome Security est une extension de sécurité pour les appareils Chrome. Restriction Cette fonctionnalité n’est pas disponible avec la licence Mobile Standard. L’inscription de Sophos Chrome Security à Sophos Mobile permet d’effectuer les tâches suivantes : 96 Copyright © Sophos Limited Sophos Mobile • Rechercher l’appareil. • Envoyer un message à l’appareil. • Configurer les sites Web auxquels les utilisateurs sont autorisés à accéder. Options d’inscription : • Inscription manuelle : Vous pouvez enregistrer un appareil Chrome dans Sophos Mobile à l’aide de l'assistant Ajouter un appareil ou de Portail libre-service. L'utilisateur doit installer Sophos Chrome Security sur son appareil et saisir un token d’inscription. • Inscription automatique : Si vous disposez d’un compte G Suite, vous pouvez configurer l’extension Sophos Chrome Security pour qu’elle s’inscrive automatiquement dans Sophos Mobile lorsqu’un utilisateur G Suite se connecte à un appareil Chrome. Remarque L’adresse email de l’utilisateur que vous configurez dans Sophos Mobile n’a pas besoin de correspondre au nom de compte qu’il utilise pour se connecter à Chrome. Pour obtenir ce nom de compte, vérifiez la propriété system_user_account de l’appareil sur la page Affichage de l’appareil. Concepts connexes Page Affichage de l’appareil (page 56) La page Affichage de l’appareil vous permet de consulter toutes les informations disponibles sur l’appareil de votre choix. Tâches connexes Utilisation de l’assistant Ajouter un appareil (page 49) Configuration de l’inscription automatique à Sophos Chrome Security (page 97) Si vous disposez d’un compte G Suite, vous pouvez configurer l’extension Sophos Chrome Security pour qu’elle s’inscrive automatiquement dans Sophos Mobile lorsqu’un utilisateur G Suite se connecte à un appareil Chrome. 11.12.1 Configuration de l’inscription automatique à Sophos Chrome Security Si vous disposez d’un compte G Suite, vous pouvez configurer l’extension Sophos Chrome Security pour qu’elle s’inscrive automatiquement dans Sophos Mobile lorsqu’un utilisateur G Suite se connecte à un appareil Chrome. Pour configurer l’inscription automatique à Sophos Chrome Security : 1. Sur le menu latéral, sous PARAMÈTRES, sélectionnez Configuration > Configuration de Chrome OS puis l’onglet G Suite. 2. Sélectionnez Générer le code de connexion. 3. Configurez les paramètres suivants : Copyright © Sophos Limited 97 Sophos Mobile Option Description Propriétaire Confirmez si les appareils appartiennent à votre organisation (Professionnel) ou non (Personnel). Groupe d’appareils Le groupe d’appareils Sophos Mobile auquel les appareils sont assignés. Stratégie Chrome Security Facultatif : La stratégie de Chrome Security qui sera assignée à l’extension après son inscription. 4. Sélectionnez Enregistrer. 5. Sélectionnez Copier à côté de Code de connexion pour copier la valeur dans le bloc-notes. 6. Créez un fichier texte contenant le code de connexion. Effectuez les étapes restantes dans la console Google Admin : 7. Connectez-vous à la console Google Admin avec votre compte G Suite. 8. Allez dans Gestion des appareils > Gestion de Chrome > Gestion des applications. 9. Cliquez sur Sophos Chrome Security puis sélectionnez Paramètres utilisateur. 10. Ajoutez une unité organisationnelle. L’inscription automatique Sophos Chrome Security ne sera disponible que pour les utilisateurs de cette unité organisationnelle. 11. Activez Autoriser l’installation, Forcer l’installation et Épingler à la barre des tâches. 12. Sous Configurer, sélectionnez Remplacer. 13. Sélectionnez Télécharger le fichier de configuration et téléchargez le fichier avec le code de connexion que vous avez préparé. 14. Enregistrez vos paramètres. Lorsqu’un utilisateur se connecte à un appareil Chrome avec son compte G Suite, Sophos Chrome Security est automatiquement installé et inscrit à Sophos Mobile. Vous pouvez gérer l’extension depuis la page Appareils dans Sophos Mobile Admin. Si nécessaire, vous pouvez révoquer le code de connexion pour bloquer toute inscription future. Les extensions Sophos Chrome Security déjà inscrites ne sont pas affectées. Information associée Console d’administration Google (lien externe) 98 Copyright © Sophos Limited Sophos Mobile 12 Groupes d’appareils Les groupes d’appareils sont utilisés pour diviser les appareils en catégories. Ils vous permettent de gérer les appareils de manière plus efficace en effectuant les tâches sur un groupe plutôt que sur chaque appareil individuellement. Un appareil appartient toujours et uniquement à un seul groupe d’appareils. Vous assignez un appareil à un groupe d’appareils lorsque vous l’ajoutez dans Sophos Mobile. Conseil Regroupez les appareils par système d’exploitation. En effet, il est plus facile d’utiliser les groupes pour effectuer des tâches d’installation et des tâches spécifiques aux systèmes d’exploitation. 12.1 Création d’un groupe d’appareils 1. Sur le menu latéral, sous GESTION, cliquez sur Groupes d’appareils puis sur Créer un groupe d’appareils. 2. Sur la page Modification du groupe d’appareils, saisissez un nom et une description pour le nouveau groupe d’appareils. 3. Sous Stratégies de conformité, sélectionnez les stratégies de conformité appliquées aux appareils professionnels et personnels. 4. Sélectionnez Enregistrer. Remarque Les paramètres du groupe d’appareils incluent l’option Activer l’inscription automatique d’iOS. Cette option vous permet d’inscrire les appareils iOS dans Apple Configurator. Retrouvez plus de renseignements à la section Inscription automatique des appareils iOS (page 51). Le nouveau groupe d’appareils est créé et apparaît sur la page Groupes d’appareils. 12.2 Suppression des groupes d’appareils 1. Sur le menu latéral, sous GESTION, cliquez sur Groupes d’appareils. 2. Sur la page Groupes d’appareils, cliquez sur le triangle bleu correspondant au groupe que vous souhaitez supprimer et cliquez sur Supprimer. 3. Dans la boîte de dialogue de confirmation, sélectionnez l’un des groupes d’appareils restants auquel les appareils du groupe d’appareils à supprimer seront réassignés. Cette sélection n’est pas disponible lorsqu’il n’ y a aucun appareil assigné au groupe d’appareils. 4. Cliquez sur Oui pour supprimer le groupe d’appareils. Remarque Lorsqu’il n’y a plus qu’un seul groupe d’appareils et que les appareils lui sont assignés, vous ne pouvez pas supprimer ce groupe d’appareils. Copyright © Sophos Limited 99 Sophos Mobile 13 Utilisateurs La page Utilisateurs/groupes vous permet d’administrer vos comptes d’utilisateur Sophos Mobile. Gestion des utilisateurs Lorsque vous créez un client dans Sophos Mobile, vous pouvez choisir entre les types de gestion des utilisateurs suivants : Gestion des utilisateurs internes Vous créez des comptes d’utilisateur dans Sophos Mobile. Gestion des utilisateurs externes vous créez des comptes d’utilisateur dans l’annuaire LDAP (par exemple Active Directory) et connectez l’annuaire LDAP à Sophos Mobile. Retrouvez plus de renseignements à la section Configuration d’une connexion à l’annuaire externe (page 102). Authentification fédérée Vous créez des comptes d’utilisateur dans Azure Active Directory (Azure AD). Lorsque les utilisateurs se connectent au Portail libre-service, ils s’authentifient à Azure AD. Retrouvez plus de renseignements à la section Configuration de l’authentification fédérée (page 104). Détails de l'utilisateur Pour la gestion des utilisateurs internes, la page Utilisateurs/groupes affiche les utilisateurs que vous avez ajouté à Sophos Mobile. Pour la gestion des utilisateurs externes et l’authentification fédérée, la page Utilisateurs/groupes affiche uniquement les utilisateurs de Sophos Mobile : • Les utilisateurs assignés à un appareil administré par Sophos Mobile. • Les utilisateurs assignés à une app du Programme d’achat en volume d’Apple (VPP). Cliquez sur un nom d’utilisateur pour voir les informations le concernant. Importation des utilisateurs Pour la gestion des utilisateurs internes, vous pouvez importer les utilisateurs à partir d’un fichier CSV. Retrouvez plus de renseignements à la section Importation des utilisateurs (page 107). Groupes d’utilisateurs Les groupes d’utilisateurs vous permettent de contrôler l’accès à Portail libre-service et les options d’inscription disponibles. Pour créer une configuration Portail libre-service pour certains utilisateurs uniquement, ajoutez-le à un groupe d’utilisateurs et assignez ce groupe à la configuration Portail 100 Copyright © Sophos Limited Sophos Mobile libre-service. Retrouvez plus de renseignements à la section Configuration du Portail libre-service (page 30). Pour la gestion des utilisateurs internes, ajoutez des utilisateurs aux groupes dans Sophos Mobile Admin. Retrouvez plus de renseignements à la section Création de groupes d’utilisateurs (page 108). Pour la gestion des utilisateurs externes, Sophos Mobile utilise les groupes définis dans votre annuaire LDAP. Pour l’authentification fédérée, Sophos Mobile utilise les groupes définis dans Azure AD. 13.1 Configuration de la gestion des utilisateurs du Portail libre-service Remarque Sur Sophos Mobile (version locale), la gestion des utilisateurs pour le Portail libre-service est configurée par le super administrateur au moment de la création du client. Retrouvez plus de renseignements dans le Guide du super administrateur de Sophos Mobile (anglais). 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration de Sophos puis sur l’onglet Configuration de l’utilisateur. 2. Sous Assignation de l’appareil, sélectionnez l’action à prendre lorsque vous supprimez un utilisateur assigné à un appareil : Option Description Retirer l’utilisateur assigné à l’appareil L’assignation de l’utilisateur est supprimée. L’état de l’appareil est inchangé. Désinscrire et supprimer l’appareil L’appareil est désinscrit de Sophos Mobile et supprimé. Désinscrire l’appareil L’appareil est désinscrit de Sophos Mobile. L’état de l’appareil change sur Désinscrit. Ce paramètre n’est pas disponible lorsque vous utilisez la gestion des utilisateurs externes. 3. Sous Mode de gestion des utilisateurs, sélectionnez la manière dont Sophos Mobile gère les comptes d’utilisateur : Option Description Aucun. PLS, stratégie d’utilisateur ou administrateur LDAP indisponible. La gestion des utilisateurs est désactivée. Vous ne pouvez pas assigner d’utilisateurs aux appareils et vous ne pouvez pas utiliser le Portail libre-service. Annuaire interne Vous créez des comptes d’utilisateur et des groupes d’utilisateurs dans Sophos Mobile. Annuaire LDAP externe Sophos Mobile utilise les comptes d’utilisateur et les groupes d’utilisateurs à partir d’un annuaire LDAP. Authentification fédérée Azure AD Vous créez des comptes d’utilisateur et des groupes d’utilisateurs dans Azure Active Directory (Azure AD). Lorsque les utilisateurs Copyright © Sophos Limited 101 Sophos Mobile Option Description se connectent au Portail libre-service, ils s’authentifient à Azure AD. Retrouvez plus de renseignements à la section Configuration de l’authentification fédérée (page 104). 4. Pour la gestion des utilisateurs externes, cliquez sur Configurer le LDAP externe pour configurer la connexion à votre annuaire LDAP. Retrouvez plus de renseignements à la section Configuration d’une connexion à l’annuaire externe (page 102). 5. Sélectionnez Enregistrer. Après avoir défini le mode de gestion des utilisateurs, vous ne pouvez pas directement passer à un mode différent. Sélectionnez plutôt Aucun. PLS, stratégie d’utilisateur ou administrateur LDAP indisponible. pour que toutes les options soient de nouveau disponibles. Remarque Vous ne pouvez pas changer le mode de gestion des utilisateurs dans les situations suivantes : • Des utilisateurs sont assignés aux appareils. • Des licences du Programme d’achat en volume d’Apple (VPP) sont assignées aux utilisateurs. 13.2 Configuration d’une connexion à l’annuaire externe Pour gérer les comptes d’utilisateur pour Sophos Mobile Admin et le portail libre-service dans un annuaire d’utilisateurs LDAP externe, vous devez configurer la connexion à votre serveur LDAP. Sophos Mobile peut se connecter aux serveurs LDAP suivants : • Active Directory • Google Cloud Directory • IBM Domino • NetIQ eDirectory • Red Hat Directory Server • Zimbra Retrouvez plus de renseignements sur les versions compatibles dans les Notes de publication de Sophos Mobile 9.5 (anglais). Remarque Il n’y a pas de synchronisation entre le répertoire LDAP et Sophos Mobile. Sophos Mobile accède uniquement au répertoire LDAP pour consulter les informations sur l’utilisateur. Les modifications d’un compte d’utilisateur LDAP ne sont pas appliquées sur la base de données Sophos Mobile et vice versa. 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration de Sophos puis sur l’onglet Configuration de l’utilisateur. 102 Copyright © Sophos Limited Sophos Mobile 2. Sélectionnez Annuaire LDAP externe. 3. Cliquez sur Configurer le LDAP externe. La configuration dépend du type de serveur LDAP. Les instructions suivantes s’appliquent à Active Directory. 4. Sur la page Détails du serveur, configurez les paramètres suivants : a) Dans le champ Type de LDAP, sélectionnez le type de serveur LDAP : b) Dans le champ URL principale, saisissez l’adresse IP ou le nom du serveur d’annuaire principal. Sélectionnez SSL/TLS pour sécuriser la connexion au serveur par SSL ou TLS (selon la compatibilité du serveur). c) Facultatif : Dans le champ URL secondaire, saisissez l’adresse IP ou le nom d’un serveur d’annuaire que Sophos Mobile utilisera si le serveur principal ne peut pas être joint. d) Dans les champs Utilisateur et Mot de passe, saisissez les codes d’accès que Sophos Mobile va utiliser pour s’authentifier au serveur LDAP. Veuillez utiliser l’un des formats suivants : • <domaine>\<nom d’utilisateur> • <nom d’utilisateur>@<domaine>.<code du domaine> Remarque Pour des raisons de sécurité, nous vous conseillons de sélectionner un compte sans aucune autorisations en écriture sur l’annuaire. 5. Sur la page Base de recherche, saisissez le nom unique (distinguished name) ou DN de l’objet de la base de recherche. L’objet de la base de recherche définit l’emplacement de l’annuaire à partir duquel la recherche LDAP commence. 6. Sur la page Champs de recherche, configurez les attributs du service d’annuaire qui contient les propriétés de l’utilisateur que Sophos Mobile utilise. Sélectionnez les noms de l’attribut dans la liste ou saisissez-les manuellement. Utilisez les mappages suivants pour Active Directory : Propriété dans Sophos Mobile Attribut dans Active Directory Nom d’utilisateur sAMAccountName Prénom givenName Nom sn Email mail 7. Dans le champ Configuration du PLS, indiquez les utilisateurs autorisés à se connecter au Portail libre-service. Saisissez les informations adéquates dans le champ Groupe de répertoires LDAP à l’aide d’une des options suivantes : • Lorsque vous saisissez le nom d’un groupe défini sur le serveur d’annuaire, tous les membres de ce groupe sont autorisés à se connecter au Portail libre-service. Après avoir saisi le nom du groupe, cliquez sur Tester le groupe pour résoudre le nom du groupe en un nom unique. • Si vous ne renseignez pas ce champ, aucun utilisateur du serveur d’annuaire ne sera autorisé à se connecter au Portail libre-service. Utilisez cette option si vous voulez activer la gestion des utilisateurs externes pour Sophos Mobile Admin et pas pour le Portail libre-service. Copyright © Sophos Limited 103 Sophos Mobile Remarque Le groupe que vous indiquez ici n’a aucun rapport avec le groupe d’utilisateurs que vous définissez sous l’onglet Paramètres de groupe de la page Portail libre-service. Ces paramètres vous permettent de définir des séries de tâches, les membres du groupe Sophos Mobile et la disponibilité des plates-formes d’appareil pour chaque groupe d’utilisateurs. 8. Sélectionnez Appliquer. 9. Dans l’onglet Configuration de l’utilisateur, cliquez sur Enregistrer. Information associée Comment connecter un serveur Sophos Mobile 8.0 avec Azure Active Directory (article 128081 de la base de connaissances Sophos) Connexion de Sophos Mobile à Google Cloud Identity / Google Cloud Directory par Secure LDAP (article 132870 de la base de connaissances de Sophos) 13.3 Authentification fédérée L’authentification fédérée avec Azure Active Directory (Azure AD) est un mode de gestion des utilisateurs alternatif aux modes de gestion des utilisateurs internes et externes (LDAP). Lorsque les utilisateurs se connectent au Portail libre-service, il y a une différence fondamentale entre la gestion des utilisateurs externes et l’authentification fédérée : • Avec la gestion des utilisateurs externes, les utilisateurs s’authentifient dans Sophos Mobile avec leurs codes d’accès LDAP. • Avec l’authentification fédérée, les utilisateurs s’authentifient directement dans Azure AD. Les avantages sont les suivants : • Azure AD est compatible avec les fonctions de connexion comme l’authentification multifacteur, l’authentification par carte à puce ou l’authentification par certificat. • Connexion unique inter-plates-formes : Les utilisateurs se connectent une seule fois pour accéder au Portail libre-service et à d’autres applications et ressources configurées pour l’authentification Azure AD. • Vous n’avez pas besoin d’ouvrir les ports 389 (LDAP) ou 636 (LDAPS) pour la communication entre Sophos Mobile et votre serveur LDAP. 13.3.1 Configuration de l’authentification fédérée Pour utiliser l’authentification fédérée avec Azure Active Directory (Azure AD), veuillez enregistrer Sophos Mobile en tant qu’application Microsoft Azure. 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration de Sophos puis sur l’onglet Microsoft Azure. 2. Cliquez sur Assistant Inscription de Microsoft Azure. L’assistant vous guide tout au long de la procédure d’enregistrement dans le portail Microsoft Azure et dans Sophos Mobile Admin : a) Créez une application pour Sophos Mobile dans le portail Microsoft Azure. b) Saisissez l’ID de l’application dans Sophos Mobile. 104 Copyright © Sophos Limited Sophos Mobile c) Téléchargez le certificat du serveur Sophos Mobile sur votre application. d) Enregistrez une URL de réponse pour Sophos Mobile. Azure transfère les utilisateurs sur cette page Sophos Mobile après qu’ils se soient authentifiés avec Azure AD. e) Accordez les autorisations requises à votre application. 3. Sur la page Configuration de Sophos, cliquez sur l’onglet Configuration de l’utilisateur. 4. Sélectionnez Authentification fédérée Azure AD comme mode de gestion des utilisateurs. En cas d’indisponibilité de l’authentification fédérée, passez d’abord sur Aucun. PLS, stratégie d’utilisateur ou administrateur LDAP indisponible.. Remarque Vous pouvez également utiliser l’application pour Sophos Mobile que vous avez créée dans le portail Azure pour la protection d’app Intune. Veuillez noter que la protection d’app Intune présente d’autres conditions de mise sous licence. Retrouvez plus de renseignements à la section Protection d’app Intune (page 382). 13.3.2 Création d’un client par défaut pour le Portail libre-service En tant que super administrateur, vous pouvez créer un client par défaut qui est automatiquement sélectionnée lorsque les utilisateurs accèdent au Portail libre-service. Dans Sophos Mobile, vous pouvez créer plusieurs clients pour administrer différentes zones de votre organisation individuellement. Lorsque les utilisateurs accèdent au Portail libre-service, ils doivent sélectionner leur client avant de saisir leurs codes d’accès. Vous pouvez simplifier l’expérience de connexion en définissant un client par défaut. Même si cette opération est possible pour tous les modes de gestion des utilisateurs, elle l’est surtout pour l’authentification fédérée : Les utilisateurs ne voient pas une page de connexion s’ils se sont déjà authentifiés à Azure Active Directory (Azure AD). Pour créer un client par défaut pour le Portail libre-service : 1. Connectez-vous à Sophos Mobile Admin avec un compte de super administrateur. 2. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration de Sophos puis sur l’onglet Portails Web. 3. Sous Portail libre-service, sélectionnez Client par défaut puis sélectionnez un client dans la liste. 4. Facultatif : Désactivez Visible et modifiable pour ignorer la page de connexion si l’utilisateur s’est déjà authentifié à Azure AD. Remarque Si vous désactivez cette option, seuls les utilisateurs du client par défaut peut accéder au Portail libre-service. 5. Sélectionnez Enregistrer. Copyright © Sophos Limited 105 Sophos Mobile 13.4 Configuration de la connexion LDAP Si vous avez installé l’authentification fédérée, vous pouvez configurer une connexion LDAP entre Sophos Mobile et Azure Active Directory (Azure AD). Vous devez faire ceci si vous voulez utiliser le Programme d’inscription d’appareils (DEP) d’Apple, le zero-touch de Google ou Samsung KME. Les appareils suivants s’inscrivent automatiquement à Sophos Mobile lorsque les utilisateurs les installent : • iPhones, iPads et Macs enregistrés au programme d’inscription d’appareils (DEP) d’Apple (DEP) • Appareils Android enregistrés pour l’inscription Zero-touch de Google • Appareils Samsung Android enregistrés pour l’inscription Knox Mobile (KME) Pendant l’opération d’inscription, Sophos Mobile se connecte à Azure AD pour s’authentifier à l’utilisateur. Pour configurer une connexion LDAP : 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration de Sophos puis sur l’onglet Connexion LDAP. 2. Cliquez sur Configurer le LDAP externe. 3. Sur la page Détails du serveur, configurez les paramètres suivants : a) Dans le champ URL principale, saisissez l’adresse IP ou le nom du serveur d’annuaire principal. Le serveur doit être compatible avec LDAPS (LDAP sur SSL). b) Facultatif : Dans le champ URL secondaire, saisissez l’adresse IP ou le nom d’un serveur d’annuaire que Sophos Mobile utilisera si le serveur principal ne peut pas être joint. c) Dans les champs Utilisateur et Mot de passe, saisissez les codes d’accès que Sophos Mobile va utiliser pour s’authentifier au serveur LDAP. Veuillez utiliser l’un des formats suivants : • <domaine>\<nom d’utilisateur> • <nom d’utilisateur>@<domaine>.<code du domaine> Remarque Pour des raisons de sécurité, nous vous conseillons de sélectionner un compte sans aucune autorisations en écriture sur l’annuaire. 4. Sur la page Base de recherche, saisissez le nom unique (distinguished name) ou DN de l’objet de la base de recherche. L’objet de la base de recherche définit l’emplacement de l’annuaire à partir duquel la recherche LDAP commence. 5. Sélectionnez Appliquer. 13.5 Création d’utilisateurs 1. Sur le menu latéral, sous GESTION, sélectionnez Utilisateurs/groupes. 2. Cliquez sur Créer un utilisateur. 106 Copyright © Sophos Limited Sophos Mobile 3. Sur la page Modification de l’utilisateur, sélectionnez la case Envoyer l’email d’inscription. 4. Saisissez les détails du compte. 5. Sélectionnez Enregistrer. Un email d’enregistrement est envoyé au nouvel utilisateur. Lorsque vous cliquez sur le triangle bleu correspondant à l’utilisateur choisi, vous pouvez voir les informations lui correspondant (Afficher), Modifier ou Supprimer cet utilisateur. Remarque Lorsque vous cliquez sur un nom d’utilisateur, la page Modification de l’utilisateur apparaît. Cette page contient le bouton Renvoyer l’email d’inscription que vous pouvez utiliser pour renvoyer l’email si l’utilisateur ne l’a pas reçu ou ne retrouve pas le premier email envoyé. 13.6 Importation des utilisateurs Vous pouvez ajouter des utilisateurs en les important dans un fichier CSV. Vous pouvez importer jusqu’à 500 utilisateurs. Si vous indiquez un groupe qui n’existe pas, Sophos Mobile le crée. Le fichier CSV doit avoir la spécification suivante : • La première rangée est traitée en tant qu’en-tête et n’est pas importée. • Les valeurs doivent être séparées par un point-virgule et pas par une virgule. • Toutes les rangées doivent avoir le nombre correct de points-virgule même si vous ne saisissez pas les valeurs en option. • L’extension de fichier doit être .csv. • Pour garantir l’importation correcte des caractères non anglais, le fichier doit être encodé en UTF-8. Conseil Sur la page Importation des utilisateurs, sélectionnez Exemple de CSV pour télécharger un échantillon de fichier. Pour importer les utilisateurs à partir d’un fichier CSV : 1. 2. 3. 4. Sur le menu latéral, sous GESTION, sélectionnez Utilisateurs/groupes. Sélectionnez Importer les utilisateurs. Sur la page Importation des utilisateurs, sélectionnez Envoyer les emails d’inscription. Sélectionnez Télécharger un fichier et naviguez jusqu’au fichier CSV que vous avez préparé. Les entrées sont lues à partir du fichier et sont affichées sur la page. 5. Si le format des données est incorrect ou incohérent, le fichier ne pourra pas être importé. Dans ce cas, veuillez vérifier les messages d’erreur qui sont affichés à côté des entrées, corriger le contenu du fichier CSV et le télécharger de nouveau. 6. Sélectionnez Terminer pour créer les comptes d’utilisateur. Les utilisateurs sont importés et apparaissent sur la page Utilisateurs/groupes. Ils reçoivent un email contenant leurs codes d’accès de connexion au Portail libre-service. Copyright © Sophos Limited 107 Sophos Mobile 13.7 Création de groupes d’utilisateurs Les groupes d’utilisateurs vous permettent de contrôler l’accès à Portail libre-service et les options d’inscription disponibles. Remarque Si vous administrez vos comptes d’utilisateur dans un annuaire LDAP externe, créez-y vos groupes d’utilisateurs. Si vous utilisez l’authentification fédérée, créez vos groupes d’utilisateurs dans Azure Active Directory. Pour créer un groupe d’utilisateurs : 1. Sur le menu latéral, sous GESTION, sélectionnez Utilisateurs/groupes. 2. Cliquez sur Afficher les groupes d’utilisateur. 3. Sur la page Afficher les groupes d’utilisateur, cliquez sur Créer un groupe. 4. Nommez le groupe. 5. Sélectionnez Enregistrer. Après avoir créé un groupe d’utilisateurs, vous pouvez y ajouter des utilisateurs. Lorsque vous assignez le groupe à une configuration Portail libre-service, cette configuration s’applique uniquement aux membres du groupe. Retrouvez plus de renseignements à la section Configuration du Portail libre-service (page 30). 108 Copyright © Sophos Limited Sophos Mobile 14 Stratégies Une stratégie contient les paramètres à appliquer à un appareil ou à un groupe d’appareils. Il existe deux types de stratégies : 1. Les stratégies qui prennent effet immédiatement lorsque vous les assignez à un appareil. Ces stratégies sont synchronisées chaque fois que l’appareil se connecte à Sophos Mobile. Lorsque vous modifiez la stratégie, vous n’avez pas besoin de la mettre à jour sur l’appareil. Pour supprimer les paramètres appliqués par la stratégie, vous devez soit mettre à jour la stratégie, soit assigner une stratégie différente. Il s’agit des stratégies suivantes : • Stratégies Android Enterprise • Stratégies de conteneur Sophos • Stratégies Mobile Threat Defense • Stratégies macOS • Stratégies Windows • Stratégies Windows Mobile • Stratégies Chrome Security 2. Les stratégies que Sophos Mobile installe sur l’appareil lorsque vous les assignez. Lorsque vous modifiez la stratégie, vous devez la mettre à jour sur l’appareil. Pour supprimer les paramètres appliqués par la stratégie, vous pouvez la désinstaller de l’appareil. Il s’agit des stratégies suivantes : • Stratégies d’appareil Android • Stratégies de conteneur Knox • Stratégies d’appareil iOS Concepts connexes Configuration des stratégies d’appareils Android (page 169) Une stratégies d’appareils Android vous permet de configurer les paramètres des appareils Android inscrits à Sophos Mobile en mode de gestion « Administrateur de l’appareil ». Configuration des stratégies de conteneur Knox (page 191) Une stratégie de conteneur Knox vous permet de configurer les paramètres du conteneur Knox sur les appareils Samsung. Configuration des stratégies d’appareils iOS (page 196) Une stratégie d’appareils iOS permet de configurer les paramètres des iPhone et iPad. Configuration des stratégies d’appareils Android Enterprise (page 120) Une stratégie de profil Android Enterprise permet de configurer les paramètres des appareils Android Enterprise entièrement gérés. Configuration des stratégies de profil professionnel Android Enterprise (page 136) Une stratégie de profil professionnel Android Enterprise permet de configurer les paramètres des appareils de profil professionnel Android Enterprise. Configuration des stratégies de conteneur Sophos pour Android (page 152) Copyright © Sophos Limited 109 Sophos Mobile Une stratégie de conteneur Sophos vous permet de configurer les paramètres pour Sophos Secure Email et Sophos Secure Workspace sur les appareils sur lesquels Sophos Mobile gère le conteneur Sophos. Configuration des stratégies Mobile Threat Defense pour Android (page 164) Une stratégie Mobile Threat Defense vous permet de configurer Sophos Intercept X for Mobile lorsqu’elle est inscrite à Sophos Mobile. Configuration des stratégies de conteneur Sophos pour iOS (page 232) Une stratégie de conteneur Sophos vous permet de configurer les paramètres pour Sophos Secure Email et Sophos Secure Workspace sur les appareils sur lesquels Sophos Mobile gère le conteneur Sophos. Configuration des stratégies Mobile Threat Defense pour iOS (page 244) Une stratégie Mobile Threat Defense vous permet de configurer Sophos Intercept X for Mobile lorsqu’elle est inscrite à Sophos Mobile. Configuration des stratégies d’appareil macOS (page 247) Une stratégie d’appareil macOS vous permet de configurer les paramètres des Macs qui s’appliqueront à tous les utilisateurs. Configuration des stratégies d’utilisateur macOS (page 267) Une stratégie d’utilisateur macOS vous permet de configurer les paramètres des Macs qui s’appliqueront à tous les utilisateurs gérés par Sophos Mobile. Configuration des stratégies Windows Mobile (page 287) Une stratégie Windows Mobile vous permet de configurer les paramètres des appareils Windows Mobile. Configuration des stratégies Windows (page 300) Une stratégie Windows vous permet de configurer les paramètres des ordinateurs Windows. Configuration des stratégies Chrome Security (page 314) Une stratégie Chrome Security vous permet de configurer les paramètres de l’extension Sophos Chrome Security lorsqu’elle est inscrite à Sophos Mobile. 14.1 Utilisation des stratégies d’appareil L’assistant Démarrage des stratégies vous permet de créer des stratégies d’appareil de base pour toutes les plates-formes. Vous pouvez optimiser ces stratégies ultérieurement. Restriction Ces instructions ne s’appliquent pas aux appareils Chrome. Pour créer des stratégies avec l’assistant Démarrage des stratégies : 1. Sur le tableau de bord, cliquez sur Assistant de démarrage des stratégies dans le widget Tâches de démarrage. Conseil Si vous ne voyez pas le widget, cliquez sur Ajouter un widget > Démarrage. 2. Sur la page Plates-formes, sélectionnez les plates-formes d’appareil pour lesquels vous souhaitez créer une stratégie. 3. Pour Android, vous pouvez sélectionner un mode d’administration. Ce paramètre affecte les types de stratégie disponibles. Nous vous conseillons d’utiliser le mode Android Enterprise. 110 Copyright © Sophos Limited Sophos Mobile 4. Sur la page Stratégies, configurez les paramètres suivants : a) Saisissez un nom pour la stratégie. Pour chaque plate-forme, une stratégie portant ce nom est créée. b) Sélectionnez les zones gérées par la stratégie. 5. 6. 7. 8. Si vous dessélectionnez une case, la page de l’assistant correspondant est ignorée. Vous pouvez configurer les zones à ignorer ultérieurement. Sur la page Mots de passe, configurez les exigences à respecter pour le mot de passe de l’appareil. Sur la page Restrictions, configurez les restrictions appliquées aux appareils comme la désactivation de l’appareil photo ou d’autres fonctions de l’appareil qui pourraient poser un risque à la sécurité. Sur la page Wi#Fi, configurez la connexion à votre réseau Wi-Fi professionnel. Si votre réseau Wi-Fi utilise un type de sécurité différent de WPA/WPA2 PSK, vous pouvez changer ce paramètre ultérieurement. Sur la page Email, configurez la connexion à votre serveur de messagerie Microsoft Exchange professionnel. Les espaces réservés %_USERNAME_% et %_EMAILADDRESS_% sont remplacées par le nom et l’adresse électronique de l’utilisateur assigné à l’appareil. 9. Cliquez sur Terminer. Pour chaque plate-forme sélectionnée, l’assistant crée une stratégie. Pour voir la stratégie, cliquez sur Stratégies dans le menu latéral et sur la plate-forme de l’appareil. Pour modifier les zones gérées, cliquez sur le nom de la stratégie puis sur Ajouter une configuration. Si vous avez sélectionné le mode Android Enterprise, vous devez installer Android Enterprise pour votre organisation avant de pouvoir inscrire des appareils. Retrouvez plus de renseignements à la section Installation d’Android Enterprise - Généralités (page 357). 14.2 Création d’une stratégie Les stratégies servent à configurer les paramètres des appareils. Il est possible d’en créer plusieurs si vous souhaitez gérer différents types d’appareils. Les stratégies sont constituées de différentes configurations. L’ajout de différentes configurations à une stratégie vous permet de définir les zones que Sophos Mobile gère sur un appareil. Pour créer une stratégie : 1. Sur le menu latéral, sous CONFIGURATION, sélectionnez Stratégies puis une plate-forme d’appareil. 2. Sélectionnez Créer puis sélectionnez un type de stratégie. 3. Saisissez un nom et une description. 4. Pour les stratégies d’appareil iOS et macOS, saisissez le nom de votre organisation. 5. Facultatif : Vérifiez les configurations ajoutées automatiquement à la stratégie par Sophos Mobile et ajustez-les si nécessaire. Sophos Mobile ajoute automatiquement les configurations suivantes : • Pour les stratégies de conteneur Sophos, une configuration Généralités. • Pour les stratégies Android Enterprise, une configuration Restrictions. Copyright © Sophos Limited 111 Sophos Mobile • Pour les stratégies Mobile Threat Defense, une configuration Réseau. 6. Sélectionnez Ajouter une configuration pour ajouter d’autres configurations à la stratégie. 7. Sur la page des paramètres de la configuration, saisissez les paramètres requis. 8. Facultatif : Sélectionnez un intervalle de renouvellement dans Intervalle de renouvellement SCEP. Cette option est disponible si vous avez ajouté une configuration SCEP ou Certificat d’appareil Duo à la stratégie. L’appareil demande automatiquement le renouvellement du certificat après l’intervalle de temps sélectionné. Cet intervalle de temps est calculé à partir du moment où la stratégie est assignée à l’appareil. Ce même intervalle est utilisé pour toutes les configurations SCEP et Certificat d’appareil Duo dans la stratégie. 9. Dès que toutes les configurations ont été ajoutées, cliquez sur Enregistrer. La stratégie est créée. Vous pouvez l’assigner aux appareils. Tâches connexes Assignation d’une stratégie (page 117) Une stratégie est assignée aux appareils pour appliquer les paramètres qu’elle inclut. Application des modifications de stratégie aux appareils (page 118) Lorsque vous modifiez les paramètres de certaines stratégies, vous devez les mettre à jour sur les appareils pour que les modifications prennent effet. 14.3 Importation des stratégies iOS à partir d’Apple Configurator Pour iOS, vous pouvez importer une stratégie créée dans Apple Configurator ou une stratégie exportée à partir d’une autre instance de Sophos Mobile. Condition préalable : Créez un profil dans Apple Configurator, exportez-le (déchiffré et non signé) et enregistrez-le sur votre ordinateur. Remarque Dans Apple Configurator, les stratégies sont appelées profils. Pour importer la stratégie : 1. 2. 3. 4. Sur le menu latéral, sous CONFIGURATION, sélectionnez Stratégies > iOS. Sélectionnez Créer > Importer la stratégie. Saisissez un nom et une description. Sélectionnez Télécharger un fichier puis sélectionnez le fichier exporté à partir d’Apple Configurator. 5. Sur la page Importer la stratégie, sélectionnez Enregistrer. La stratégie est importée. Il vous suffit de l’assigner aux appareils de la même manière que vous assignez les stratégies créées dans Sophos Mobile. Tâches connexes Assignation d’une stratégie (page 117) 112 Copyright © Sophos Limited Sophos Mobile Une stratégie est assignée aux appareils pour appliquer les paramètres qu’elle inclut. 14.4 Importation du profil d’enregistrement iOS Vous pouvez importer un profil d’enregistrement pour les applis iOS auto-développées pour les installer sur vos appareils. Condition préalable : Générez un profil d’enregistrement sur votre environnement de développement iOS et enregistrez-le sur votre ordinateur. Pour importer le profil d’enregistrement : 1. 2. 3. 4. 5. Sur le menu latéral, sous CONFIGURATION, sélectionnez Stratégies > iOS. Sélectionnez Créer > Importer la stratégie. Saisissez un nom et une description. Sélectionnez Télécharger un fichier puis le profil d’enregistrement. Sur la page Importer la stratégie, sélectionnez Enregistrer. Le profil d’enregistrement est importé. Il vous suffit de l’installer sur les appareils de la même manière que vous assignez des stratégies. Tâches connexes Assignation d’une stratégie (page 117) Une stratégie est assignée aux appareils pour appliquer les paramètres qu’elle inclut. 14.5 À propos des stratégies macOS Deux types de stratégies sont disponibles pour Macs : • Stratégie d’appareil: Lorsque vous assignez une stratégie d’appareil à un Mac, les paramètres s’appliquent à tous les utilisateurs administrés qui se connectent au Mac. • Stratégie d’utilisateur: Lorsque vous assignez une stratégie d’utilisateur à un Mac, les paramètres s’appliquent à tous les utilisateurs administrés qui se connectent au Mac. Les utilisateurs administrés sont : • L’utilisateur local qui a inscrit le Mac à Sophos Mobile. • Tous les utilisateurs du réseau connus par Sophos Mobile, c’est-à-dire, les utilisateurs issus de l’annuaire LDAP externe que vous avez configuré pour le Portail libre-service. À propos des stratégies d’appareil et d’utilisateur • En plus de la stratégie d’inscription (qui est une stratégie d’appareil), vous pouvez assigner une stratégie d’appareil et une stratégie d’utilisateur au Mac. • En cas de conflit de configurations dans une stratégie d’appareil et une stratégie d’utilisateur assignées au même Mac, la configuration la plus stricte s’applique. • Sur le Mac, les stratégies assignées figurent sous Préférences système > Profils. • Lorsque vous mettez à jour une stratégie d’appareil, les modifications sont appliquées à la prochaine synchronisation de l’appareil. • Lorsque vous mettez à jour une stratégie d’utilisateur, les modifications sont appliquées à la prochaine connexion de l’utilisateur au Mac. Copyright © Sophos Limited 113 Sophos Mobile • Les utilisateurs peuvent supprimer la stratégie d’utilisateur du Mac. Toutefois, celle-ci sera automatiquement réassignée à la prochaine connexion de l’utilisateur au Mac. • Les utilisateurs ne peuvent pas supprimer la stratégie d’appareil. • Lorsqu’un utilisateur supprime la stratégie d’inscription, le Mac est désinscrit de Sophos Mobile. Les droits d’administrateur sont nécessaires à cette opération. Concepts connexes Configuration des stratégies d’appareil macOS (page 247) Une stratégie d’appareil macOS vous permet de configurer les paramètres des Macs qui s’appliqueront à tous les utilisateurs. Configuration des stratégies d’utilisateur macOS (page 267) Une stratégie d’utilisateur macOS vous permet de configurer les paramètres des Macs qui s’appliqueront à tous les utilisateurs gérés par Sophos Mobile. 14.6 Configuration de la protection antialtération de Chrome La protection antialtération vous permet d’assurer l’intégrité de la stratégie Chrome Security. Des utilisateurs mal intentionnés pourraient modifier la stratégie Chrome Security en utilisant, par exemple, les outils de développement Chrome. Lorsque Sophos Mobile détecte que la stratégie a été modifiée sur un appareil, la stratégie d’origine est réappliquée et les actions que vous avez configurées dans l’une de vos stratégies de conformité sont de nouveau exécutées. Pour configurer la protection antialtération : 1. Créez ou modifiez une stratégie de conformité pour Chrome OS. 2. Dans la stratégie de conformité, configurez les actions de la règle La Protection antialtération est désactivée. Vous pouvez créer une alerte ou transférer une série de tâches en cas de modification de la stratégie par l’utilisateur. 3. Assignez la stratégie de conformité au groupe d’appareils utilisé pour vos appareils Chrome. Remarque La protection antialtération est toujours activée, même si vous ne configurez pas d’actions supplémentaires dans une stratégie de conformité. Tâches connexes Création d’une stratégie de conformité (page 36) 14.7 Règles de complexité des mots de passe Windows Les règles de complexité des mots de passe (par ex. ; la longueur, le nombre de lettres majuscules et minuscules) pour les ordinateurs Windows sont fixées et ne peuvent pas être définies par une stratégie Sophos Mobile. Différentes règles s’appliquent aux comptes locaux et aux comptes Microsoft 114 Copyright © Sophos Limited Sophos Mobile Comptes locaux • Le mot de passe ne doit pas contenir le nom du compte de l’utilisateur ou plus de deux caractères consécutifs du nom complet de l’utilisateur. • Le mot de passe doit être composé d’au moins 6 caractères. • Le mot de passe doit être composé de caractères appartenant au moins à trois des quatre catégories suivantes : — Lettres majuscules A-Z (alphabet romain) — Lettres minuscules A-Z (alphabet romain) — Chiffres de 0 à 9 — Caractères spéciaux (!, $, #, %, etc.) Comptes Microsoft • Le mot de passe doit être composé d’au moins 8 caractères. • Le mot de passe doit être composé de caractères appartenant au moins à deux des quatre catégories suivantes : — Lettres majuscules A-Z (alphabet romain) — Lettres minuscules A-Z (alphabet romain) — Chiffres de 0 à 9 — Caractères spéciaux (!, $, #, %, etc.) 14.8 Plug-in Knox Service Le plug-in Knox Service (KSP) est une application pour les appareils Android Enterprise qui permet d’assigner des stratégies Knox aux appareils compatibles avec la plate-forme Samsung Knox Platform for Enterprise (KPE). Restriction Le plug-in Knox Service est compatible avec les appareils Android Enterprise entièrement gérés à partir de la version Android 8.0 (Knox 3.x) et avec les appareils de profil professionnel Android Enterprise à partir de la version Android 9.0 (Knox 3.2.1). Retrouvez plus de renseignements sur le plug-in Knox Service et la plate-forme Samsung Knox Platform for Enterprise dans la documentation Samsung. Pour utiliser le plug-in Knox Service avec Sophos Mobile, procédez comme suit : 1. Approuvez le plug-in Knox Service dans Google Play d’entreprise pour votre compte Android Enterprise. 2. Configurez les stratégies du plug-in Knox Service. 3. Installez le plug-in Knox Service sur les appareils ou groupes d’appareils de votre choix, ou laissez vos utilisateurs l’installer à partir de Google Play d’entreprise. Copyright © Sophos Limited 115 Sophos Mobile Tâches connexes Validation d’une app Google Play d’entreprise (page 368) Pour mettre une appli à disposition de vos utilisateurs, vous devez l’approuver. Configuration des stratégies dans le plug-in Knox Service (page 116) L’appli du plug-in Knox Service contient les paramètres de stratégie Knox que vous pouvez configurer. Installer l’app Google Play d’entreprise (page 373) Information associée Documentation Samsung sur le plug-in Knox Service Documentation Samsung sur Knox Platform for Enterprise 14.8.1 Configuration des stratégies dans le plug-in Knox Service L’appli du plug-in Knox Service contient les paramètres de stratégie Knox que vous pouvez configurer. Condition préalable : Vous avez approuvé le plug-in Knox Service dans Google Play d’entreprise. Pour configurer les stratégies Knox dans le plug-in Knox Service : 1. Sur le menu latéral, sous CONFIGURATION, sélectionnez Applis > Android. 2. Sur la page Applis approuvées, sélectionnez l’appli Plug-in Knox Service. Vous allez peut-être devoir sélectionner Applis approuvées pour ouvrir la page Applis approuvées. 3. Dans Page et Catégorie d’appli, configurez l’emplacement du plug-in Knox Service dans l’appli Google Play Store des utilisateurs. 4. Sélectionnez Utiliser la configuration gérée. 5. Sous Configuration gérée, configurez les paramètres nécessaires. Les paramètres disponibles sont définis dans le plug-in Knox Service et peuvent changer lorsque Samsung publie de nouvelles versions de l’appli. Dans Clé de licence KPE Premium, saisissez votre clé de licence Knox. Sinon, les stratégies ne seront pas appliquées lors de l’installation de l’appli. 6. Sélectionnez Enregistrer. 7. Sélectionnez Envoyer les paramètres de l’appli à Google pour mettre les changements à la disposition de vos utilisateurs. Les stratégies Knox sont appliquées dès l’installation du plug-in Knox Service sur un appareil. Pour supprimer les stratégies Knox, désinstallez l’appli. Tâches connexes Validation d’une app Google Play d’entreprise (page 368) Pour mettre une appli à disposition de vos utilisateurs, vous devez l’approuver. 14.9 Espaces réservés dans les stratégies Les paramètres de stratégie vous permettent d’utiliser des espaces réservés qui sont remplacés par une propriété d’utilisateur, d’appareil ou de client lorsque la stratégie est assignée. 116 • %_EMAILADDRESS_% est remplacé par la propriété Adresse email de l’utilisateur assigné à l’appareil. • %_USERNAME_% est remplacé par la propriété Nom d’utilisateur de l’utilisateur assigné à l’appareil. Copyright © Sophos Limited Sophos Mobile • %_DEVPROP()_% est remplacé par une propriété d’appareil. Par exemple, l’espace réservé %_DEVPROP(IMEI)_% est remplacé par la valeur IMEI de l’appareil (si disponible). Vous pouvez utiliser l’une des propriétés répertoriées dans les onglets Propriétés de l’appareil et Propriétés personnalisées de la page Affichage de l’appareil de l’appareil. • %_CUSTPROP()_% est remplacé par une propriété de client. Par exemple, si vous avez créé une propriété de client « internal_id », vous pouvez y faire référence avec %_CUSTPROP(Internal_id)_%. Vous pouvez utiliser l’une des propriétés répertoriées dans Configuration > Configuration de Sophos > Propriétés client. Pour macOS, les propriétés de l’utilisateur sont remplacées comme suit : • Pour l’utilisateur Mac local, il s’agit des propriétés de l’utilisateur Sophos Mobile assigné à l’appareil sont utilisées. • Pour les utilisateurs du réseau, il s’agit des propriétés du compte d’utilisateur LDAP qui sont utilisées. 14.10 Assignation d’une stratégie Une stratégie est assignée aux appareils pour appliquer les paramètres qu’elle inclut. Pour assigner une stratégie à un appareil ou à un groupe d’appareils : 1. Sur le menu latéral, sous CONFIGURATION, sélectionnez Stratégies puis une plate-forme d’appareil. 2. Sélectionnez le triangle bleu correspondant à une stratégie et sélectionnez Assigner. 3. Sur la page Sélectionner les appareils effectuez l’une des opérations suivantes : • Sélectionnez chaque appareil individuellement. • Sélectionnez Sélectionner les groupes d’appareils et sélectionnez les groupes d’appareils concernés : 4. Sur la page Définir la date d’exécution , saisissez la date et l’heure à laquelle la tâche doit être exécutée. Cette étape concerne uniquement les stratégies suivantes : • Stratégies d’appareil Android • Stratégies de conteneur Knox • Stratégies d’appareil iOS 5. Cliquez sur Terminer. La stratégie est appliquée aux appareils sélectionnés. Si vous n’avez pas saisi de date pour l’exécution de la tâche, la stratégie prend effet immédiatement. Vous pouvez également appliquer une stratégie en utilisant l’une des options suivantes : • Pour assigner une stratégie à un seul appareil : Sur la page Affichage de l’appareil de l’appareil, sélectionnez l’onglet Stratégies et cliquez sur Assigner une stratégie. • Pour assigner une stratégie à plusieurs appareils : Sur la page Appareils, sélectionnez les appareils concernés et sélectionnez Actions > Assigner une stratégie. Copyright © Sophos Limited 117 Sophos Mobile • Pour assigner une stratégie dans le cadre d’une série de tâches : Ajoutez une tâche Assigner une stratégie à la série de tâches et transférez-la aux appareils ou groupes d’appareils requis. Tâches connexes Application des modifications de stratégie aux appareils (page 118) Lorsque vous modifiez les paramètres de certaines stratégies, vous devez les mettre à jour sur les appareils pour que les modifications prennent effet. 14.11 Application des modifications de stratégie aux appareils Lorsque vous modifiez les paramètres de certaines stratégies, vous devez les mettre à jour sur les appareils pour que les modifications prennent effet. Vous devez uniquement appliquer les modifications des appareils aux stratégies suivantes : • Stratégies d’appareil Android • Stratégies de conteneur Knox • Stratégies d’appareil iOS Les autres stratégies se synchronisent automatiquement chaque fois que l’appareil se connecte à Sophos Mobile. Pour appliquer des modifications de stratégie aux appareils : 1. Sur le menu latéral, sous CONFIGURATION, sélectionnez Stratégies puis une plate-forme d’appareil. 2. Sélectionnez le triangle bleu correspondant à une stratégie et sélectionnez Mettre à jour les appareils. Sophos Mobile crée une tâche pour mettre à jour la stratégie sur tous les appareils auxquels elle est assignée. 14.12 Désinstallation d’une stratégie de vos appareils Vous désinstallez une stratégie d’un appareil afin de supprimer les paramètres appliqués par cette stratégie. Seules les stratégies suivantes peuvent être désinstallées d’un appareil : • Stratégies d’appareil Android • Stratégies de conteneur Knox • Stratégies d’appareil iOS Pour les autres types de stratégies, mettez à jour la stratégie, assignez une stratégie différente ou désinscrivez l’appareil. Utilisez l’une des procédures suivantes pour désinstaller une stratégie des appareils : • Pour désinstaller une stratégie d’un seul appareil : a) Sur le menu latéral, sous GESTION, sélectionnez Appareils. 118 Copyright © Sophos Limited Sophos Mobile b) Sélectionnez le nom de l’appareil. c) Sélectionnez l’onglet Stratégies. d) Sélectionnez Désinstaller. • Pour désinstaller une stratégie d’une sélection d’appareils : a) Créez une série de tâches avec une tâche Désinstaller la stratégie. b) Transférez la série de tâches vers les appareils ou groupes d’appareils. • Pour désinstaller une stratégie de tous les appareils : a) Sur le menu latéral, sous CONFIGURATION, sélectionnez Stratégies puis une plate-forme d’appareil. b) Cliquez sur le triangle bleu correspondant à la stratégie que vous souhaitez désinstaller. c) Sélectionnez Retirer l’assignation. Concepts connexes Page Affichage de l’appareil (page 56) La page Affichage de l’appareil vous permet de consulter toutes les informations disponibles sur l’appareil de votre choix. Tâches connexes Assignation d’une stratégie (page 117) Une stratégie est assignée aux appareils pour appliquer les paramètres qu’elle inclut. Application des modifications de stratégie aux appareils (page 118) Lorsque vous modifiez les paramètres de certaines stratégies, vous devez les mettre à jour sur les appareils pour que les modifications prennent effet. Transférer des séries de tâches (page 328) Vous pouvez transférer des séries de tâches aux appareils ou groupes d’appareils 14.13 Télécharger les stratégies Vous pouvez télécharger des stratégies. Ceci est particulièrement utile si, par exemple, vous devez communiquer les paramètres au support de Sophos. Pour télécharger une stratégie : 1. Sur le menu latéral, allez dans Stratégies et cliquez sur la plate-forme d’un appareil. 2. Cliquez sur le triangle bleu correspondant à une stratégie et cliquez sur Télécharger. La stratégie est enregistrée sur votre ordinateur. Copyright © Sophos Limited 119 Sophos Mobile 14.14 Configuration des stratégies d’appareils Android Enterprise Une stratégie de profil Android Enterprise permet de configurer les paramètres des appareils Android Enterprise entièrement gérés. 14.14.1 Configuration « Stratégies de mot de passe » (stratégie d’appareil Android Enterprise) La configuration Stratégies de mot de passe vous permet de définir les exigences à respecter pour le mot de passe de verrouillage de l’écran. Type de mot de passe La liste Type de mot de passe vous permet de sélectionner le type de mot de passe que les utilisateurs sont autorisés à configurer : 120 Paramètre/Champ Description Modèle, code PIN ou mot de passe Les utilisateurs doivent définir un mode de déverrouillage de l’écran. Ils peuvent choisir un mode de déverrouillage de l’écran de type Modèle, Code PIN ou Mot de passe. Aucune autre restriction n’est imposée. Mot de passe simple Les utilisateurs doivent définir un mode de déverrouillage de l’écran de type Mot de passe. L’utilisation de chiffre est autorisée mais le mot de passe doit contenir au moins une lettre. Vous pouvez définir la longueur minimale. Retrouvez plus de renseignements à ce sujet dans le tableau ci-dessous. Code PIN ou mot de passe Les utilisateurs doivent définir un mode de déverrouillage de l’écran de type Code PIN ou Mot de passe. Vous pouvez définir la longueur minimale. Retrouvez plus de renseignements à ce sujet dans le tableau ci-dessous. Mot de passe alphanumérique Les utilisateurs doivent définir un mode de déverrouillage de l’écran de type Mot de passe. Le mot de passe doit contenir une combinaison de lettres et de chiffres. Vous pouvez définir la longueur minimale. Retrouvez plus de renseignements à ce sujet dans le tableau cidessous. Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Mot de passe complexe Les utilisateurs doivent définir un mode de déverrouillage de l’écran de type Mot de passe. Le mot de passe doit contenir une combinaison de lettres et de chiffres. Vous pouvez définir la longueur minimale ainsi que le nombre minimal de chiffres, de lettres minuscules et majuscules et de caractères spéciaux à utiliser. Retrouvez plus de renseignements à ce sujet dans les deux tableaux ci-dessous. Si vous sélectionnez Mot de passe simple, Code PIN ou mot de passe, Mot de passe alphanumérique ou Mot de passe complexe, les champs suivants apparaissent : Paramètre/Champ Description Longueur minimum du mot de passe Le nombre minimum de caractères qu’un mot de passe doit contenir. Délai d’attente avant demande du mot de passe Le temps au bout duquel l’appareil est verrouillé lorsqu’il n’est pas utilisé. L’appareil peut être déverrouillé en saisissant le mot de passe. Remarque Il se peut que l’appareil impose un période de temps plus courte que celle que vous avez configurée ici. Durée de validité maximale du mot de passe en jours Demande aux utilisateurs de changer leur mot de passe dans l’intervalle indiqué. Plage de valeur : 0 (aucun changement de mot de passe requis) à 730 jours. Nombre maximal de tentatives de connexion L’appareil est réinitialisé après ce nombre de tentatives de connexion incorrectes. Historique du mot de passe Le nombre de mots de passe précédemment utilisés que Sophos Mobile conserve en mémoire. Lorsqu’un utilisateur crée un nouveau mot de passe, celui-ci ne doit pas être le même qu’un mot de passe précédemment utilisé. Si vous sélectionnez Mot de passe complexe, les champs supplémentaires suivants apparaissent : Paramètre/Champ Description Nombre minimum de lettres Le nombre minimum de lettres qu’un mot de passe doit contenir. Copyright © Sophos Limited 121 Sophos Mobile Paramètre/Champ Description Nombre minimum de lettres minuscules Le nombre minimum de lettres minuscules qu’un mot de passe doit contenir. Nombre minimum de lettres majuscules Le nombre minimum de lettres majuscules qu’un mot de passe doit contenir. Nombre minimum de caractères non alphabétiques Le nombre minimum de caractères non alphabétiques (par exemple & ou !) qu’un mot de passe doit contenir. Nombre minimum de chiffres Le nombre minimum de chiffres qu’un mot de passe doit contenir. Nombre minimum de caractères spéciaux Le nombre minimum de caractères spéciaux (par exemple !"§$%&/()=,.-;:_@<>) qu’un mot de passe doit contenir. 14.14.2 Configuration des restrictions (stratégie d’appareil Android Enterprise) La configuration Restrictions vous permet de définir les restrictions pour les appareils Android Enterprise entièrement gérés. Sécurité 122 Paramètre/Champ Description Forcer le chiffrement L’utilisateur doit chiffrer ses appareils. Autoriser le rétablissement des paramètres d’usine Les utilisateurs peuvent restaurer les paramètres d’usine sur l’appareil. Autoriser le mode sécurisé Les utilisateurs peuvent démarrer l’appareil en mode sans échec. Autoriser le débogage L’utilisateur peut activer les fonctions de débogage sous les Options de développement de l’appareil Android. Autoriser la capture d’écran Les utilisateurs peuvent prendre des captures d’écran. Autoriser l’utilisateur à configurer les codes d’accès Les utilisateurs peuvent installer ou supprimer des certificats. Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Autoriser Smart Lock L’utilisateur peut activer la fonction Smart Lock d’Android qui déverrouille automatiquement l’appareil dans certaines situations. Remarque ce paramètre affecte le verrouillage de l’appareil. Il est ignoré si le verrouillage d’un profil professionnel est également configuré. Autoriser le partage d’emplacement Les utilisateurs peuvent activer le partage d’emplacement. Autoriser le déverrouillage de l’appareil par empreinte digitale L’utilisateur peut utiliser le capteur d’empreinte digitale pour déverrouiller l’appareil. Autoriser la modification de la photo du compte Les utilisateurs peuvent changer la photo utilisée pour leur compte d’utilisateur. Masquer les informations sensibles sur l’écran de verrouillage Si les notifications de l’écran de verrouillage sont activées, le contenu sensible de ladite notification est masqué. Stratégie de mise à jour du système Sélectionnez le moment d’installation des mises à jour du système : • Aucune stratégie : l’utilisateur décide quand les mises à jour du système peuvent être installées. • Installation automatique : les mises à jour du système sont installées automatiquement dès qu’elles sont disponibles. • Installer pendant la période de maintenance : les mises à jour du système sont installées automatiquement pendant une période de maintenance quotidienne. Saisissez l’heure de début et de fin de la journée. • Retarder : les mises à jour du système (hormis les mises à jour de sécurité) sont bloquées pendant 30 jours. Comptes Paramètre/Champ Description Autoriser la gestion des comptes L’utilisateur peut ajouter ou supprimer des comptes non Google (par exemple, un compte d’appli) de l’appareil . Autoriser la gestion des comptes Google L’utilisateur peut ajouter ou supprimer des comptes Google de l’appareil. Copyright © Sophos Limited 123 Sophos Mobile Réseau et communication Paramètre/Champ Description Autoriser les SMS Si cette case n’est pas sélectionnée, les utilisateurs ne peuvent pas envoyer de SMS. Autoriser la connexion aux données mobiles pendant l’itinérance Si cette case n’est pas sélectionnée, les connexions aux données mobiles pendant l’itinérance sont désactivées. Autoriser les réseaux privés virtuels (VPN) Si cette case n’est pas sélectionnée, les utilisateurs ne peuvent pas utiliser de connexions VPN. Autoriser Android Beam Les utilisateurs peuvent envoyer des données à partir des applis via Android Beam (transfert de données par NFC). Autoriser Bluetooth Si cette case n’est pas sélectionnée, la connexion Bluetooth est désactivée. Autoriser les appels téléphoniques sortants Les utilisateurs peuvent passer des appels téléphoniques. Autoriser la réinitialisation du réseau Les utilisateurs peuvent restaurer les paramètres par défaut du réseau. Activer les paramètres Wi#Fi Les utilisateurs peuvent changer les paramètres Wi-Fi. Autoriser la configuration des diffusions cellulaires Les utilisateurs peuvent activer ou désactiver les messages de diffusions cellulaires sur leur app de messagerie. Activer les paramètres de réseau cellulaire Les utilisateurs peuvent changer les paramètres du réseau cellulaire. Activer les paramètres de connexion Les utilisateurs peuvent changer les paramètres de connexion et de points d’accès portables. Matériel 124 Paramètre/Champ Description Autoriser l’appareil photo Si cette case n’est pas sélectionnée, l’appareil photo n’est plus disponible. Autoriser le microphone Si cette case n’est pas sélectionnée, le microphone n’est plus disponible. Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Autoriser les supports externes Les utilisateurs peuvent connecter des supports multimédia externes (périphériques de stockage USB) à l’appareil. Activer le stockage USB Les utilisateurs peuvent connecter l’appareil en mode de stockage de masse sur USB (USB MSC) à un ordinateur hôte (par exemple ; un lecteur de disque dur externe). Si vous ne sélectionnez pas la case, les utilisateurs peuvent toujours se connecter à l’appareil sous le mode de transfert multimédia (USB MTP) ou de transfert de photos (USB PTP) pour transférer des fichiers. Autoriser le transfert de fichiers par USB Les utilisateurs peuvent transférer des fichiers entre l’appareil et le stockage USB externe. Applications Paramètre/Champ Description Autoriser la désinstallation d’applis Les utilisateurs peuvent désinstaller les applis. Autoriser l’installation d’applis de sources inconnues Si cette case n’est pas sélectionnée, les utilisateurs peuvent uniquement installer les applis à partir de Google Play et pas à partir de sources inconnues ou par le pont Android (ADB ou Android Debug Bridge). Activer les applis système Si la case à cocher est dessélectionnée, seules ces applis sont activées : Boutique Google Play, Contacts, Messages, Téléphone. Google recommande ceci pour les appareils Android Enterprise entièrement gérés. Si vous sélectionnez cette case, toutes les applis préinstallées par le fabricant sont activées. Autoriser le changement de fond d’écran Copyright © Sophos Limited Si cette case n’est pas sélectionnée, les utilisateurs ne peuvent pas changer le fond d’écran. 125 Sophos Mobile Paramètre/Champ Description Autoriser la gestion des applis Si cette case n’est pas sélectionnée, les utilisateurs ne peuvent pas effectuer les tâches suivantes pour les applis : Autoriser la désactivation des contrôles de sécurité Google • Désinstaller les applis • Désactiver les applis • Arrêter les applis • Effacer le cache des applis • Effacer les données des applis • Effacer le paramètre Ouvrir par défaut L’utilisateur peut désactiver le paramètre de sécurité de Google Analyser appareil pour détecter menaces de sécurité. Le paramètres est disponible dans les Paramètres sous Google > Sécurité > Google Play Protect. Autoriser le réglage de la date et de l’heure Message court Les utilisateurs peuvent changer la date et l’heure. Si cette case n’est pas sélectionnée, la date et l’heure du réseau sont utilisées. Un message de support de l’entreprise que l’utilisateur voit s’afficher lorsqu’une fonctionnalité a été désactivée. Remarque Si vous saisissez plus de 200 caractères, le message risque de ne pas s’afficher complètement. Message long Texte supplémentaire au message court. Ce texte s’affiche lorsque l’utilisateur appuie sur Plus de renseignements sur les vues affichant le message court. Remarque Ce texte est également affiché sur la vue Administrateur de l’appareil d’Android de l’app Sophos Mobile Control. 126 Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Services d’accessibilité autorisés Limiter la liste des applis pouvant fournir des services d’accessibilité : • Si vous sélectionnez Toutes les applis disponibles, les utilisateurs peuvent utiliser tous les services d’accessibilité. • Si vous sélectionnez Applis système uniquement, les utilisateurs peuvent uniquement utiliser les services d’accessibilité des applis du système. • Si vous sélectionnez un groupe d’applis, les utilisateurs peuvent uniquement utiliser les services d’accessibilité des applis de ce groupe et des applis du système. 14.14.3 Configuration du compte Exchange (stratégie d’appareil Android Enterprise) La configuration Compte Exchange vous permet de créer une connexion à un serveur de messagerie Serveur Microsoft Exchange. Paramètre/Champ Description Nom du compte Le nom du compte. Serveur Exchange L’adresse du serveur Exchange. Si vous utilisez le proxy EAS de Sophos Mobile, veuillez saisir l’URL du serveur proxy EAS. Domaine Le domaine de ce compte. Utilisateur L’utilisateur de ce compte. Si vous saisissez la variable %_USERNAME_%, le serveur la remplace par le nom de l’utilisateur en cours. L’utilisateur doit saisir le mot de passe. Adresse email L’adresse électronique du compte. Si vous saisissez la variable %_EMAILADDRESS_ %, le serveur la remplace par l’adresse électronique en cours. Expéditeur Un nom d’expéditeur pour ce compte. Si vous saisissez la variable %_EMAILADDRESS_ %, le serveur la remplace par l’adresse électronique en cours. Copyright © Sophos Limited 127 Sophos Mobile Paramètre/Champ Description Période de synchronisation La date à laquelle les emails sont synchronisés. Seuls les emails compris dans la période indiquée sont synchronisés dans la boîte de réception sur l’appareil. SSL/TLS La connexion au serveur Exchange est sécurisée par SSL ou TLS (selon la compatibilité du serveur). Nous vous conseillons de sélectionner cette option. Autoriser tous les certificats Autoriser tous les certificats lors des processus de transferts à partir du serveur de messagerie. Certificat du client Le certificat du client pour la connexion au serveur Exchange. 14.14.4 Configuration Wi-Fi (stratégie d’appareil Android Enterprise) La configuration Wi-Fi vous permet d’indiquer les paramètres de connexion aux réseaux Wi-Fi. Paramètre/Champ Description SSID L’identifiant du réseau Wi-Fi. Type de sécurité Le type de sécurité de la connexion Wi-Fi : Autorisation de la phase 2 • Aucun • WEP • WPA/WPA2 PSK • EAP/PEAP • EAP/TLS • EAP/TTLS La méthode d’authentification pour la phase 2 de la négociation EAP : • Aucun • PAP • CHAP • MSCHAP • MSCHAPv2 Ce champ est disponible pour les connexions EAP/PEAP et EAP/TTLS. 128 Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Identité L’identité de l’utilisateur. Ce champ est disponible pour les connexions EAP. Identité anonyme L’identité du pseudonyme envoyée non chiffrée au cours de la phase 1 de la négociation EAP. Ce champ est disponible pour les connexions EAP. Mot de passe Le mot de passe du réseau Wi-Fi. Certificat d’identité Le certificat d’identité pour la connexion au réseau Wi-Fi. La liste contient tous les certificats présents dans la configuration Certificat du client de la stratégie actuelle. Ce champ est disponible pour les connexions EAP. Certificat approuvé L’autorité de certification racine pour le certificat du serveur EAP. La liste contient tous les certificats présents dans la configuration Certificat racine de la stratégie actuelle. Ce champ est disponible pour les connexions EAP. 14.14.5 Configuration de la Protection des applis (stratégie d’appareil Android Enterprise) La configuration Protection des applis vous permet de définir le format de mot de passe à utiliser pour protéger les applis de la boutique Google Play gérée. Si la Protection des applis est utilisée, les utilisateurs doivent créer un mot de passe lorsqu’ils démarrent une app protégée pour la première fois. Suite à une tentative ratée de connexion, un délai de connexion est imposé. Si la Protection des applis est activée sur un appareil, la commande Réinitialiser le mot de passe de la Protection des applis est disponible dans le menu Actions sur la page Affichage de l’appareil. L’utilisateur a également la possibilité de réinitialiser le mot de passe de la Protection des applis dans le Portail libre-service. Paramètre/Champ Description Complexité du mot de passe Le niveau de complexité minimale requis pour le mot de passe qui sera créé par les utilisateurs. Copyright © Sophos Limited 129 Sophos Mobile Paramètre/Champ Description Délai de grâce en minutes À la fin du délai de grâce, les applis protégées peuvent uniquement être déverrouillées par mot de passe. Groupe d’applis Sélectionnez le groupe d’applis contenant les applis protégées par mot de passe. Retrouvez plus de renseignements sur la création des groupes d’applis à la section Groupes d’apps (page 351). Autoriser l’authentification par empreinte digitale L’utilisateur peut utiliser son empreinte digitale pour déverrouiller une app protégée. 14.14.6 Configuration du contrôle des applis (stratégie d’appareil Android Enterprise) La configuration du Contrôle des applis vous permet de définir les applis dont l’utilisation n’est pas autorisée. Vous pouvez, par exemple, utiliser cette fonction pour bloquer les applis préinstallées par le fabricant de l’appareil et qui ne peuvent pas être désinstallées. Paramètre/Champ Description Groupe d’applis Sélectionnez le groupe d’applis contenant les applis bloquées. Retrouvez plus de renseignements sur la création des groupes d’applis à la section Groupes d’apps (page 351). 130 Copyright © Sophos Limited Sophos Mobile 14.14.7 Configuration des autorisations des applis (stratégie d’appareil Android Enterprise) La configuration Autorisations des applis vous permet de configurer la réponse à donner lorsqu’une appli demande une autorisation pendant son exécution. Paramètre/Champ Description Réponse par défaut pour les demandes d’autorisation runtime La réponse par défaut aux demandes d’autorisation pendant l’exécution : • Inviter : Les utilisateurs sont invités à accorder une autorisation. • Accepter automatiquement : toutes les demandes d’autorisation pendant l’exécution sont automatiquement accordées. • Refuser automatiquement : toutes les demandes d’autorisation pendant l’exécution sont automatiquement refusées. Les utilisateurs ne peuvent pas modifier les autorisations ultérieurement si vous sélectionnez Accepter automatiquement ou Refuser automatiquement. Autorisations d’exécution des applis Accorder ou refuser des autorisations d’exécution pour des applis spécifiques. Cliquez sur Ajouter pour sélectionner une appli, puis sélectionnez l’une des options suivantes pour chaque autorisation : Copyright © Sophos Limited • Sélectionnable : Les utilisateurs peuvent modifier l’autorisation. • Accordée : L’autorisation est accordée. • Refusée : L’autorisation est refusée. 131 Sophos Mobile 14.14.8 Configuration du mode kiosque (stratégie d’appareil Android Enterprise) La configuration Mode kiosque permet d’activer la gestion des appareils Android Enterprise. Paramètre/Champ Description Sélectionner la source • Aucun : autoriser toutes les apps. Les restrictions du mode kiosque sont appliquées à l’appareil. Toutefois, l’utilisateur peut démarrer toutes les apps disponibles sur l’appareil. • Personnalisée, Liste des applis : verrouiller une seule app sur l’écran. • Groupe d’applis : autoriser l’affichage de plusieurs apps sur l’écran. Identifiant de l’appli L’app disponible sous le mode kiosque. Selon votre sélection dans Sélectionner la source, veuillez soit identifier l’app par son numéro d’identifiant, soit la sélectionner dans la liste des apps disponibles. Groupe d’applis Les apps disponibles sous le mode kiosque. Sélectionnez l’un des groupes d’apps configurés. Autoriser la modification du volume Si la case n’est pas sélectionnée, les boutons de volume de l’appareil sont désactivés. Désactiver le verrouillage de l’écran L’écran de l’appareil n’est jamais verrouillé. Rester allumé pendant la recharge L’écran de l’appareil reste activé lorsque l’appareil est branché sur le secteur. 14.14.9 Configuration du proxy HTTP global (stratégie d’appareil Android Enterprise) La configuration Proxy HTTP global vous permet de définir un serveur proxy professionnel. Paramètre/Champ Description Proxy Sélectionnez Manuel pour configurer les informations sur la connexion manuellement. Sélectionnez Automatique si vous avez un fichier de configuration automatique de proxy (PAC). 132 Serveur Le nom (ou l’adresse IP) du proxy HTTP. Port Le numéro de port du proxy HTTP. Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description URL PAC L’URL du fichier de configuration automatique de proxy (PAC). 14.14.10 Configuration VPN (stratégie d’appareil Android Enterprise) La configuration VPN vous permet de sélectionner un client VPN pour les appareils Android Enterprise. Paramètre/Champ Description Client VPN L’identifiant de l’appli VPN. Le client VPN doit être une appli Google Play d’entreprise qui est déjà installée sur l’appareil. Vous configurez la connexion VPN dans la configuration gérée de l’appli. Retrouvez plus de renseignements dans la documentation de l’appli. 14.14.11 Configuration du certificat racine (stratégie d’appareil Android Enterprise) La configuration Certificat racine vous permet d’installer un certificat racine sur les appareils. Paramètre Description Fichier Sélectionnez Télécharger un fichier puis sélectionnez un fichier de certificat PKCS #12 (.pfx). Nom du certificat Le nom du certificat. Sophos Mobile lit le nom dans le fichier de certificat. Remarque Le certificat est disponible pour d’autres configurations de la même stratégie. Si vous avez besoin de certificats pour d’autres stratégies, vous allez devoir les télécharger de nouveau. Conseil Il est possible de faire glisser un certificat de l’Explorateur de fichiers vers la zone Fichier pour le télécharger. Copyright © Sophos Limited 133 Sophos Mobile 14.14.12 Configuration du certificat du client (stratégie d’appareil Android Enterprise) La configuration Certificat du client vous permet d’installer un certificat du client sur les appareils. Paramètre Description Fichier Sélectionnez Télécharger un fichier puis sélectionnez un fichier de certificat PKCS #12 (.pfx). Nom du certificat Le nom du certificat. Sophos Mobile lit le nom dans le fichier de certificat. Remarque Le certificat est disponible pour d’autres configurations de la même stratégie. Si vous avez besoin de certificats pour d’autres stratégies, vous allez devoir les télécharger de nouveau. Conseil Il est possible de faire glisser un certificat de l’Explorateur de fichiers vers la zone Fichier pour le télécharger. 14.14.13 Configuration SCEP (stratégie d’appareil Android Enterprise) La configuration SCEP permet d’autoriser les appareils à demander des certificats à une Autorité de certification à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol). Remarque Veuillez commencer par ajouter une configuration du Certificat racine pour charger le certificat de l’Autorité de certification du serveur SCEP avant d’ajouter une configuration du protocole SCEP. Paramètre/Champ Description URL L’adresse Web du serveur de l’Autorité de certification. Utilisez la variable %_SCEPPROXYURL_% pour indiquer l’URL du serveur configurée sur l’onglet SCEP de la page Configuration de Sophos. Nom d’alias Le nom sous lequel le certificat va apparaître dans les boîtes de dialogue de sélection. Il doit s’agir d’un nom facile à mémoriser pour identifier le certificat. Par exemple, utilisez la même valeur que dans le champ Objet mais sans le préfixe CN=. 134 Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Objet Le nom de l’entité (par exemple ; une personne ou un appareil) qui recevra le certificat. Vous pouvez utiliser des espaces réservés pour les données de l’utilisateur ou les propriétés de l’appareil. La valeur que vous saisissez (remplacement des espaces réservés par des données) doit être un nom X.500 valable. Par exemple : • Saisissez CN=%_USERNAME_% pour indiquer un utilisateur. • Saisissez CN=%_DEVPROP(serial_number)_% pour un appareil Android. Retrouvez plus de renseignements sur les espaces réservés disponibles à la section Espaces réservés dans les stratégies (page 116). Type de l’autre nom de l’objet Valeur de l’autre nom de l’objet Pour ajouter un Autre nom de l’objet (SAN) à la configuration SCEP, sélectionnez le type de l’Autre nom de l’objet et saisissez la valeur de l’Autre nom de l’objet. Les types SAN sont : • Nom RFC 822 : une adresse électronique valide. • Nom DNS : le nom DNS du serveur de l’autorité de certification. • Uniform Resource Identifier : l’URL complète du serveur de l’autorité de certification. Nom de connexion d’utilisateur AD La valeur Nom de connexion d’utilisateur définie dans Active Directory, c’est-à-dire le Nom principal de l’utilisateur (UPN). Challenge L’adresse Web permettant de récupérer un mot de passe de challenge à partir du serveur SCEP. Utilisez la variable %_CACHALLENGE_% pour indiquer l’URL de challenge configurée sur l’onglet SCEP de la page Configuration de Sophos. Certificat racine Le certificat de l’Autorité de certification. Sélectionnez le certificat dans la liste. La liste contient tous les certificats que vous avez chargés dans la configuration Certificat racine de la stratégie actuelle. Copyright © Sophos Limited 135 Sophos Mobile Paramètre/Champ Description Taille de la clé La taille de la clé publique dans le certificat émis. Assurez-vous que la valeur indiquée correspond à la taille configurée sur le serveur SCEP. Utilisation de la clé Sélectionnez comment le certificat peut être utilisé. Utiliser en tant que signature numérique : Le certificat peut être utilisé en tant que signature numérique. Utiliser pour le chiffrement : Le certificat peut être utilisé pour le chiffrement des données. 14.15 Configuration des stratégies de profil professionnel Android Enterprise Une stratégie de profil professionnel Android Enterprise permet de configurer les paramètres des appareils de profil professionnel Android Enterprise. 14.15.1 Configuration « Stratégies de mot de passe Appareil » (stratégie de profil professionnel Android Enterprise) La configuration Stratégies de mot de passe - Appareil vous permet de définir les exigences à respecter pour le mot de passe de verrouillage de l’écran. Type de mot de passe La liste Type de mot de passe vous permet de sélectionner le type de mot de passe que les utilisateurs sont autorisés à configurer : 136 Paramètre/Champ Description Modèle, code PIN ou mot de passe Les utilisateurs doivent définir un mode de déverrouillage de l’écran. Ils peuvent choisir un mode de déverrouillage de l’écran de type Modèle, Code PIN ou Mot de passe. Aucune autre restriction n’est imposée. Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Mot de passe simple Les utilisateurs doivent définir un mode de déverrouillage de l’écran de type Mot de passe. L’utilisation de chiffre est autorisée mais le mot de passe doit contenir au moins une lettre. Vous pouvez définir la longueur minimale. Retrouvez plus de renseignements à ce sujet dans le tableau ci-dessous. Code PIN ou mot de passe Les utilisateurs doivent définir un mode de déverrouillage de l’écran de type Code PIN ou Mot de passe. Vous pouvez définir la longueur minimale. Retrouvez plus de renseignements à ce sujet dans le tableau ci-dessous. Mot de passe alphanumérique Les utilisateurs doivent définir un mode de déverrouillage de l’écran de type Mot de passe. Le mot de passe doit contenir une combinaison de lettres et de chiffres. Vous pouvez définir la longueur minimale. Retrouvez plus de renseignements à ce sujet dans le tableau cidessous. Mot de passe complexe Les utilisateurs doivent définir un mode de déverrouillage de l’écran de type Mot de passe. Le mot de passe doit contenir une combinaison de lettres et de chiffres. Vous pouvez définir la longueur minimale ainsi que le nombre minimal de chiffres, de lettres minuscules et majuscules et de caractères spéciaux à utiliser. Retrouvez plus de renseignements à ce sujet dans les deux tableaux ci-dessous. Si vous sélectionnez Mot de passe simple, Code PIN ou mot de passe, Mot de passe alphanumérique ou Mot de passe complexe, les champs suivants apparaissent : Paramètre/Champ Description Longueur minimum du mot de passe Le nombre minimum de caractères qu’un mot de passe doit contenir. Délai d’attente avant demande du mot de passe Le temps au bout duquel l’appareil est verrouillé lorsqu’il n’est pas utilisé. L’appareil peut être déverrouillé en saisissant le mot de passe. Remarque Il se peut que l’appareil impose un période de temps plus courte que celle que vous avez configurée ici. Copyright © Sophos Limited 137 Sophos Mobile Paramètre/Champ Description Durée de validité maximale du mot de passe en jours Demande aux utilisateurs de changer leur mot de passe dans l’intervalle indiqué. Plage de valeur : 0 (aucun changement de mot de passe requis) à 730 jours. Nombre maximal de tentatives de connexion L’appareil est réinitialisé après ce nombre de tentatives de connexion incorrectes. Historique du mot de passe Le nombre de mots de passe précédemment utilisés que Sophos Mobile conserve en mémoire. Lorsqu’un utilisateur crée un nouveau mot de passe, celui-ci ne doit pas être le même qu’un mot de passe précédemment utilisé. Si vous sélectionnez Mot de passe complexe, les champs supplémentaires suivants apparaissent : 138 Paramètre/Champ Description Nombre minimum de lettres Le nombre minimum de lettres qu’un mot de passe doit contenir. Nombre minimum de lettres minuscules Le nombre minimum de lettres minuscules qu’un mot de passe doit contenir. Nombre minimum de lettres majuscules Le nombre minimum de lettres majuscules qu’un mot de passe doit contenir. Nombre minimum de caractères non alphabétiques Le nombre minimum de caractères non alphabétiques (par exemple & ou !) qu’un mot de passe doit contenir. Nombre minimum de chiffres Le nombre minimum de chiffres qu’un mot de passe doit contenir. Nombre minimum de caractères spéciaux Le nombre minimum de caractères spéciaux (par exemple !"§$%&/()=,.-;:_@<>) qu’un mot de passe doit contenir. Copyright © Sophos Limited Sophos Mobile 14.15.2 Configuration « Stratégies de mot de passe - Profil professionnel » (stratégie de profil professionnel Android Enterprise) La configuration Stratégies de mot de passe - Profil professionnel vous permet de définir les exigences à respecter pour le mot de passe du profil professionnel. L’utilisateur doit saisir ce mot de passe pour ouvrir une app lorsque le profil professionnel est verrouillé. Remarque Les paramètres pris en charge varient en fonction de la version du système d’exploitation ou des autres fonctions de l’appareil. Ceci est indiqué par des étiquettes bleues dans Sophos Mobile Admin. Type de mot de passe La liste Type de mot de passe vous permet de sélectionner le type de mot de passe que les utilisateurs sont autorisés à configurer : Paramètre/Champ Description Modèle, code PIN ou mot de passe Les utilisateurs doivent définir un mode de déverrouillage de l’écran. Ils peuvent choisir un mode de déverrouillage de l’écran de type Modèle, Code PIN ou Mot de passe. Aucune autre restriction n’est imposée. Mot de passe simple Les utilisateurs doivent définir un mode de déverrouillage de l’écran de type Mot de passe. L’utilisation de chiffre est autorisée mais le mot de passe doit contenir au moins une lettre. Vous pouvez définir la longueur minimale. Retrouvez plus de renseignements à ce sujet dans le tableau ci-dessous. Code PIN ou mot de passe Les utilisateurs doivent définir un mode de déverrouillage de l’écran de type Code PIN ou Mot de passe. Vous pouvez définir la longueur minimale. Retrouvez plus de renseignements à ce sujet dans le tableau ci-dessous. Mot de passe alphanumérique Les utilisateurs doivent définir un mode de déverrouillage de l’écran de type Mot de passe. Le mot de passe doit contenir une combinaison de lettres et de chiffres. Vous pouvez définir la longueur minimale. Retrouvez plus de renseignements à ce sujet dans le tableau cidessous. Copyright © Sophos Limited 139 Sophos Mobile Paramètre/Champ Description Mot de passe complexe Les utilisateurs doivent définir un mode de déverrouillage de l’écran de type Mot de passe. Le mot de passe doit contenir une combinaison de lettres et de chiffres. Vous pouvez définir la longueur minimale ainsi que le nombre minimal de chiffres, de lettres minuscules et majuscules et de caractères spéciaux à utiliser. Retrouvez plus de renseignements à ce sujet dans les deux tableaux ci-dessous. Reconnaissance biométrique faible Les utilisateurs sont autorisés à utiliser les méthodes de reconnaissance biométrique peu sécurisées, telle que la reconnaissance de visage, pour déverrouiller le profil professionnel. Remarque Les méthodes de reconnaissance biométrique peu sécurisées fournissent le même niveau de sécurité que les codes confidentiels (PIN) à 3 chiffres. Un déverrouillage non autorisé sur 1000 tentatives pourrait donc avoir lieu. Si vous sélectionnez Mot de passe simple, Code PIN ou mot de passe, Mot de passe alphanumérique ou Mot de passe complexe, les champs suivants apparaissent : Paramètre/Champ Description Longueur minimum du mot de passe Le nombre minimum de caractères qu’un mot de passe doit contenir. Délai d’attente avant demande du mot de passe Le temps au bout duquel le profil professionnel est verrouillé lorsqu’il n’est pas utilisé. Le profil peut être déverrouillé en saisissant le mot de passe. Remarque Il se peut que l’appareil impose un période de temps plus courte que celle que vous avez configurée ici. 140 Durée de validité maximale du mot de passe en jours Demande aux utilisateurs de changer leur mot de passe dans l’intervalle indiqué. Plage de valeur : 0 (aucun changement de mot de passe requis) à 730 jours. Nombre maximal de tentatives de connexion Le profil professionnel est supprimé après ce nombre de tentatives de connexion incorrectes. Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Historique du mot de passe Le nombre de mots de passe précédemment utilisés que Sophos Mobile conserve en mémoire. Lorsqu’un utilisateur crée un nouveau mot de passe, celui-ci ne doit pas être le même qu’un mot de passe précédemment utilisé. Si vous sélectionnez Mot de passe complexe, les champs supplémentaires suivants apparaissent : Paramètre/Champ Description Nombre minimum de lettres Le nombre minimum de lettres qu’un mot de passe doit contenir. Nombre minimum de lettres minuscules Le nombre minimum de lettres minuscules qu’un mot de passe doit contenir. Nombre minimum de lettres majuscules Le nombre minimum de lettres majuscules qu’un mot de passe doit contenir. Nombre minimum de caractères non alphabétiques Le nombre minimum de caractères non alphabétiques (par exemple & ou !) qu’un mot de passe doit contenir. Nombre minimum de chiffres Le nombre minimum de chiffres qu’un mot de passe doit contenir. Nombre minimum de caractères spéciaux Le nombre minimum de caractères spéciaux (par exemple !"§$%&/()=,.-;:_@<>) qu’un mot de passe doit contenir. 14.15.3 Configuration des restrictions (stratégie de profil professionnel Android Enterprise) La configuration Restrictions vous permet de définir des restrictions pour les appareils de profil professionnel Android Enterprise. Sécurité Paramètre/Champ Description Autoriser la capture d’écran Les utilisateurs peuvent faire des captures d’écran du contenu des applis installées sur le profil professionnel. Autoriser l’utilisateur à configurer les codes d’accès Les utilisateur peuvent installer ou supprimer des certificats dans le profil professionnel. Copyright © Sophos Limited 141 Sophos Mobile Paramètre/Champ Description Autoriser l’utilisation du pressepapiers dans les applis personnelles Les utilisateurs peuvent copier le texte à partir d’une app du profil professionnel et le coller dans une app personnelle. La copie du texte du presse-papiers à partir d’une app personnelle dans une app du profil professionnel est toujours possible. Autoriser Smart Lock L’utilisateur peut activer la fonction Smart Lock d’Android qui déverrouille automatiquement l’appareil dans certaines situations. Remarque ce paramètre affecte le verrouillage de l’appareil. Il est ignoré si le verrouillage d’un profil professionnel est également configuré. Autoriser le partage d’emplacement Les applis du profil professionnel peuvent accéder aux fonctions de géolocalisation de l’appareil. Si cette case n’est pas sélectionnée, les applis du profil professionnel ne peuvent pas accéder aux fonctions de géolocalisation de l’appareil, même si l’utilisateur a activé le partage de la position géographique. 142 Autoriser l’ouverture des liens Web dans les applis personnelles Les liens Web que l’utilisateur ouvre dans une app du profil professionnel peuvent également être ouverts par une app de navigation personnelle. Autoriser le débogage L’utilisateur peut activer les fonctions de débogage sous les Options de développement de l’appareil Android. Autoriser le déverrouillage de l’appareil par empreinte digitale L’utilisateur peut utiliser le capteur d’empreinte digitale pour déverrouiller l’appareil. Autoriser les coordonnées professionnelles pour les appels personnels L’app du téléphone personnel affiche le nom du correspondant en cas d’appels entrants passés par des contacts professionnels. Autoriser les coordonnées professionnelles pour les appareils Bluetooth Les appareils Bluetooth connectés affichent le nom du correspondant en cas d’appels personnels entrants passés par des contacts professionnels. Autoriser la rechercher de coordonnées professionnelles dans le profil personnel L’app du téléphone personnel inclut les résultats des coordonnées professionnelles lors de la rechercher de noms de correspondant. Copyright © Sophos Limited Sophos Mobile Comptes Paramètre/Champ Description Autoriser la gestion des comptes L’utilisateur peut ajouter ou supprimer des comptes non Google (par exemple, un compte d’appli) du profil professionnel. Réseau et communication Paramètre/Champ Description Autoriser les réseaux privés virtuels (VPN) Les utilisateurs peuvent utiliser des connexions VPN pour les applis du profil professionnel. Autoriser Android Beam Les utilisateurs peuvent envoyer des données à partir des applis du profil professionnel via Android Beam (transfert de données par NFC). Matériel Paramètre/Champ Description Autoriser l’appareil photo Les applis du profil professionnel peuvent accéder à l’appareil photo. Applications Paramètre/Champ Description Autoriser la désinstallation d’applis Les utilisateurs peuvent désinstaller des applis du profil professionnel. Autoriser l’installation d’applis de sources inconnues Si cette case n’est pas sélectionnée, les utilisateurs peuvent uniquement installer les applis dans le profil professionnel à partir de Google Play et pas à partir de sources inconnues ou par le pont Android (ADB ou Android Debug Bridge). Copyright © Sophos Limited 143 Sophos Mobile Paramètre/Champ Description Autoriser la gestion des applis Si cette case n’est pas sélectionnée, les utilisateurs ne peuvent pas effectuer les tâches suivantes dans le profil professionnel : Autoriser la désactivation des contrôles de sécurité Google • Désinstaller les applis • Désactiver les applis • Arrêter les applis • Effacer le cache des applis • Effacer les données des applis • Effacer le paramètre Ouvrir par défaut L’utilisateur peut désactiver le paramètre de sécurité de Google Analyser appareil pour détecter menaces de sécurité. Le paramètres est disponible dans les Paramètres sous Google > Sécurité > Google Play Protect. Message court Un message de support de l’entreprise que l’utilisateur voit s’afficher lorsqu’une fonctionnalité a été désactivée. Remarque Si vous saisissez plus de 200 caractères, le message risque de ne pas s’afficher complètement. Message long Texte supplémentaire au message court. Ce texte s’affiche lorsque l’utilisateur appuie sur Plus de renseignements sur les vues affichant le message court. Remarque Ce texte est également affiché sur la vue Administrateur de l’appareil d’Android de l’app Sophos Mobile Control. 14.15.4 Configuration du compte Exchange (stratégie de profil professionnel Android Enterprise) La configuration Compte Exchange vous permet de créer une connexion à un serveur de messagerie Serveur Microsoft Exchange. Ces paramètres sont appliqués à l’app Gmail dans le profil professionnel. 144 Paramètre/Champ Description Nom du compte Le nom du compte. Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Serveur Exchange L’adresse du serveur Exchange. Si vous utilisez le proxy EAS de Sophos Mobile, veuillez saisir l’URL du serveur proxy EAS. Domaine Le domaine de ce compte. Utilisateur L’utilisateur de ce compte. Si vous saisissez la variable %_USERNAME_%, le serveur la remplace par le nom de l’utilisateur en cours. L’utilisateur doit saisir le mot de passe. Adresse email L’adresse électronique du compte. Si vous saisissez la variable %_EMAILADDRESS_ %, le serveur la remplace par l’adresse électronique en cours. Expéditeur Un nom d’expéditeur pour ce compte. Si vous saisissez la variable %_EMAILADDRESS_ %, le serveur la remplace par l’adresse électronique en cours. Période de synchronisation La date à laquelle les emails sont synchronisés. Seuls les emails compris dans la période indiquée sont synchronisés dans la boîte de réception sur l’appareil. SSL/TLS La connexion au serveur Exchange est sécurisée par SSL ou TLS (selon la compatibilité du serveur). Nous vous conseillons de sélectionner cette option. Autoriser tous les certificats Autoriser tous les certificats lors des processus de transferts à partir du serveur de messagerie. Certificat du client Le certificat du client pour la connexion au serveur Exchange. Copyright © Sophos Limited 145 Sophos Mobile 14.15.5 Configuration Wi-Fi (stratégie de profil professionnel Android Enterprise) La configuration Wi-Fi vous permet d’indiquer les paramètres de connexion aux réseaux Wi-Fi. Paramètre/Champ Description SSID L’identifiant du réseau Wi-Fi. Type de sécurité Le type de sécurité de la connexion Wi-Fi : Autorisation de la phase 2 • Aucun • WEP • WPA/WPA2 PSK • EAP/PEAP • EAP/TLS • EAP/TTLS La méthode d’authentification pour la phase 2 de la négociation EAP : • Aucun • PAP • CHAP • MSCHAP • MSCHAPv2 Ce champ est disponible pour les connexions EAP/PEAP et EAP/TTLS. Identité L’identité de l’utilisateur. Ce champ est disponible pour les connexions EAP. Identité anonyme L’identité du pseudonyme envoyée non chiffrée au cours de la phase 1 de la négociation EAP. Ce champ est disponible pour les connexions EAP. Mot de passe 146 Le mot de passe du réseau Wi-Fi. Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Certificat d’identité Le certificat d’identité pour la connexion au réseau Wi-Fi. La liste contient tous les certificats présents dans la configuration Certificat du client de la stratégie actuelle. Ce champ est disponible pour les connexions EAP. Certificat approuvé L’autorité de certification racine pour le certificat du serveur EAP. La liste contient tous les certificats présents dans la configuration Certificat racine de la stratégie actuelle. Ce champ est disponible pour les connexions EAP. 14.15.6 Configuration de la Protection des applis (stratégie de profil professionnel Android Enterprise) La configuration Protection des applis vous permet de définir le format de mot de passe à utiliser pour protéger les apps de la boutique Google Play gérée (apps installées sur le profil professionnel). Si la Protection des applis est utilisée, les utilisateurs doivent créer un mot de passe lorsqu’ils démarrent une app protégée pour la première fois. Suite à une tentative ratée de connexion, un délai de connexion est imposé. Si la Protection des applis est activée sur un appareil, la commande Réinitialiser le mot de passe de la Protection des applis est disponible dans le menu Actions sur la page Affichage de l’appareil. L’utilisateur a également la possibilité de réinitialiser le mot de passe de la Protection des applis dans le Portail libre-service. Paramètre/Champ Description Complexité du mot de passe Le niveau de complexité minimale requis pour le mot de passe qui sera créé par les utilisateurs. Délai de grâce en minutes À la fin du délai de grâce, les applis protégées peuvent uniquement être déverrouillées par mot de passe. Groupe d’applis Sélectionnez le groupe d’applis contenant les applis protégées par mot de passe. Retrouvez plus de renseignements sur la création des groupes d’applis à la section Groupes d’apps (page 351). Autoriser l’authentification par empreinte digitale Copyright © Sophos Limited L’utilisateur peut utiliser son empreinte digitale pour déverrouiller une app protégée. 147 Sophos Mobile 14.15.7 Configuration du contrôle des applis (stratégie de profil professionnel Android Enterprise) La configuration Contrôle des applis vous permet de définir les applis dont l'utilisation n'est pas autorisée. Paramètre/Champ Description Groupe d’applis Sélectionnez le groupe d’applis contenant les applis bloquées. Retrouvez plus de renseignements sur la création des groupes d’applis à la section Groupes d’apps (page 351). 14.15.8 Configuration des autorisations des applis (stratégie de profil professionnel Android Enterprise) La configuration Autorisations des applis permet de configurer la réponse à donner lorsqu’une appli de Google Play d’entreprise demande des autorisations pendant son exécution. Paramètre/Champ Description Réponse par défaut pour les demandes d’autorisation runtime La réponse par défaut aux demandes d’autorisation pendant l’exécution : • Inviter : Les utilisateurs sont invités à accorder une autorisation. • Accepter automatiquement : toutes les demandes d’autorisation pendant l’exécution sont automatiquement accordées. • Refuser automatiquement : toutes les demandes d’autorisation pendant l’exécution sont automatiquement refusées. Les utilisateurs ne peuvent pas modifier les autorisations ultérieurement si vous sélectionnez Accepter automatiquement ou Refuser automatiquement. Autorisations d’exécution des applis Accorder ou refuser des autorisations d’exécution pour des applis spécifiques. Cliquez sur Ajouter pour sélectionner une appli, puis sélectionnez l’une des options suivantes pour chaque autorisation : 148 • Sélectionnable : Les utilisateurs peuvent modifier l’autorisation. • Accordée : L’autorisation est accordée. • Refusée : L’autorisation est refusée. Copyright © Sophos Limited Sophos Mobile 14.15.9 Configuration VPN (stratégie de profil professionnel Android Enterprise) La configuration VPN vous permet de sélectionner un client VPN pour les appareils Android Enterprise. Paramètre/Champ Description Client VPN L’identifiant de l’appli VPN. Le client VPN doit être une appli Google Play d’entreprise qui est déjà installée sur l’appareil. Vous configurez la connexion VPN dans la configuration gérée de l’appli. Retrouvez plus de renseignements dans la documentation de l’appli. 14.15.10 Configuration du certificat racine (stratégie de profil professionnel Android Enterprise) La configuration Certificat racine vous permet d’installer un certificat racine sur les appareils. Ce certificat est disponible dans les apps de la boutique Google Play gérée (apps installées sur le profil professionnel). Paramètre Description Fichier Sélectionnez Télécharger un fichier puis sélectionnez un fichier de certificat PKCS #12 (.pfx). Nom du certificat Le nom du certificat. Sophos Mobile lit le nom dans le fichier de certificat. Remarque Le certificat est disponible pour d’autres configurations de la même stratégie. Si vous avez besoin de certificats pour d’autres stratégies, vous allez devoir les télécharger de nouveau. Conseil Il est possible de faire glisser un certificat de l’Explorateur de fichiers vers la zone Fichier pour le télécharger. Copyright © Sophos Limited 149 Sophos Mobile 14.15.11 Configuration du certificat du client (stratégie de profil professionnel Android Enterprise) La configuration Certificat du client vous permet d’installer un certificat du client sur les appareils. Ce certificat est disponible dans les apps de la boutique Google Play gérée (apps installées sur le profil professionnel). Paramètre Description Fichier Sélectionnez Télécharger un fichier puis sélectionnez un fichier de certificat PKCS #12 (.pfx). Nom du certificat Le nom du certificat. Sophos Mobile lit le nom dans le fichier de certificat. Remarque Le certificat est disponible pour d’autres configurations de la même stratégie. Si vous avez besoin de certificats pour d’autres stratégies, vous allez devoir les télécharger de nouveau. Conseil Il est possible de faire glisser un certificat de l’Explorateur de fichiers vers la zone Fichier pour le télécharger. 14.15.12 Configuration SCEP (stratégie de profil professionnel Android Enterprise) La configuration SCEP permet d’autoriser les appareils à demander des certificats à une Autorité de certification à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol). Ces certificats sont à disposition des apps installées sur le profil professionnel. Remarque Veuillez commencer par ajouter une configuration du Certificat racine pour charger le certificat de l’Autorité de certification du serveur SCEP avant d’ajouter une configuration du protocole SCEP. Paramètre/Champ Description URL L’adresse Web du serveur de l’Autorité de certification. Utilisez la variable %_SCEPPROXYURL_% pour indiquer l’URL du serveur configurée sur l’onglet SCEP de la page Configuration de Sophos. 150 Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Nom d’alias Le nom sous lequel le certificat va apparaître dans les boîtes de dialogue de sélection. Il doit s’agir d’un nom facile à mémoriser pour identifier le certificat. Par exemple, utilisez la même valeur que dans le champ Objet mais sans le préfixe CN=. Objet Le nom de l’entité (par exemple ; une personne ou un appareil) qui recevra le certificat. Vous pouvez utiliser des espaces réservés pour les données de l’utilisateur ou les propriétés de l’appareil. La valeur que vous saisissez (remplacement des espaces réservés par des données) doit être un nom X.500 valable. Par exemple : • Saisissez CN=%_USERNAME_% pour indiquer un utilisateur. • Saisissez CN=%_DEVPROP(serial_number)_% pour un appareil Android. Retrouvez plus de renseignements sur les espaces réservés disponibles à la section Espaces réservés dans les stratégies (page 116). Type de l’autre nom de l’objet Valeur de l’autre nom de l’objet Pour ajouter un Autre nom de l’objet (SAN) à la configuration SCEP, sélectionnez le type de l’Autre nom de l’objet et saisissez la valeur de l’Autre nom de l’objet. Les types SAN sont : • Nom RFC 822 : une adresse électronique valide. • Nom DNS : le nom DNS du serveur de l’autorité de certification. • Uniform Resource Identifier : l’URL complète du serveur de l’autorité de certification. Nom de connexion d’utilisateur AD La valeur Nom de connexion d’utilisateur définie dans Active Directory, c’est-à-dire le Nom principal de l’utilisateur (UPN). Challenge L’adresse Web permettant de récupérer un mot de passe de challenge à partir du serveur SCEP. Utilisez la variable %_CACHALLENGE_% pour indiquer l’URL de challenge configurée sur l’onglet SCEP de la page Configuration de Sophos. Copyright © Sophos Limited 151 Sophos Mobile Paramètre/Champ Description Certificat racine Le certificat de l’Autorité de certification. Sélectionnez le certificat dans la liste. La liste contient tous les certificats que vous avez chargés dans la configuration Certificat racine de la stratégie actuelle. Taille de la clé La taille de la clé publique dans le certificat émis. Assurez-vous que la valeur indiquée correspond à la taille configurée sur le serveur SCEP. Utilisation de la clé Sélectionnez comment le certificat peut être utilisé. Utiliser en tant que signature numérique : Le certificat peut être utilisé en tant que signature numérique. Utiliser pour le chiffrement : Le certificat peut être utilisé pour le chiffrement des données. 14.16 Configuration des stratégies de conteneur Sophos pour Android Une stratégie de conteneur Sophos vous permet de configurer les paramètres pour Sophos Secure Email et Sophos Secure Workspace sur les appareils sur lesquels Sophos Mobile gère le conteneur Sophos. Remarque Sur les appareils Android Enterprise, cette stratégie installe également Sophos Secure Workspace et Sophos Secure Email, si la stratégie contient une configuration Email professionnel. Approuvez ces applis dans Google Play d’entreprise avant d’assigner la stratégie. 152 Copyright © Sophos Limited Sophos Mobile 14.16.1 Configuration Généralités (stratégie de conteneur Sophos pour Android) La configuration Généralités vous permet de définir les paramètres qui s’appliquent à toutes les apps du conteneur Sophos si applicable. Paramètre/Champ Description Activer le mot de passe du conteneur Sophos Les utilisateurs doivent saisir un mot de passe supplémentaire pour pouvoir démarrer une app du conteneur Sophos. Le mot de passe doit être défini lorsque la première app du conteneur est démarrée suite à l’application de la configuration. Ce mot de passe s’applique à toutes les apps du conteneur. Complexité du mot de passe La complexité minimale requise pour le mot de passe du conteneur Sophos. Les mots de passe très sécurisés sont toujours autorisés. Les mots de passe (une combinaison de caractères numériques et alphanumériques) sont toujours considérés comme étant plus sûrs que les codes PIN (caractères numériques uniquement. • Toutes : les mots de passe du conteneur Sophos n’ont pas de restrictions. • Code PIN à 4 chiffres • Code PIN à 6 chiffres • Mot de passe à 4 caractères • Mot de passe à 6 caractères • Mot de passe à 8 caractères • Mot de passe à 10 caractères Toujours masquer les caractères dans les champs de saisie du mot de passe Les caractères utilisés dans les champs de saisie du mot de passe ne sont pas affichés temporairement lors de la saisie. Durée de validité du mot de passe en jours Le nombre de jours pendant lesquels un mot de passe peut être utilisé avant que les utilisateurs ne soient invités à le changer. Tentatives ratées de connexion avant verrouillage Le nombre de tentatives ratées de connexion autorisées avant verrouillage des apps du conteneur. Une fois qu’elles sont verrouillées, un administrateur devra les déverrouiller ou, s’ils sont autorisés, les utilisateurs pourront utiliser le Portail libre-service pour effectuer cette opération. Copyright © Sophos Limited 153 Sophos Mobile Paramètre/Champ Description Autoriser l’empreinte digitale L’utilisateur peut utiliser son empreinte digitale pour déverrouiller l’app. Délai de grâce en minutes La période de temps pendant laquelle aucun mot de passe du conteneur Sophos ne doit être saisi lorsque l’app du conteneur est de nouveau amenée au premier plan. Ce délai de grâce s’applique à toutes les apps du conteneur. Vous pouvez passer d’une app à une autre pendant le délai de grâce sans avoir à saisir de mot de passe. Verrouiller au verrouillage de l’appareil Lorsque l’appareil est verrouillé, le conteneur Sophos est également verrouillé. Si la case est dessélectionnée, le conteneur est verrouillé uniquement après expiration du délai de grâce. Dernière connexion au serveur La période de temps pendant laquelle les utilisateurs peuvent utiliser une app du conteneur Sophos sans avoir à se connecter au serveur Sophos Mobile. Lorsque une app du conteneur Sophos est activée et n’est pas en contact avec le serveur pendant la période de temps définie, un écran de verrouillage apparaît. Les utilisateurs peuvent uniquement déverrouiller l’app en appuyant sur Réessayer sur l’écran de verrouillage. L’app essaiera de se connecter au serveur. Si la connexion peut être établie, l’app est déverrouillée. En cas contraire, l’accès est refusé. 154 • Sur accès : la connexion au serveur est toujours requise et l’app est verrouillée lorsque le serveur n’est pas joignable. • 1 heure : la connexion au serveur est requise lorsque l’app est active pendant au moins une heure après la dernière connexion réussie au serveur. • 3 heures • 6 heures • 12 heures • 1 jour • 3 jours • 3 jours • Aucune : aucun contact régulier n’est requis. Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Accès hors ligne sans connexion au serveur Ce champ vous permet de définir la fréquence à laquelle les utilisateurs peuvent démarrer l’une des apps du conteneur Sophos sans nécessiter de connexion au serveur. Remarque Ce paramètre nécessite l’activation de la fonction de mot de passe du conteneur Sophos. Un compteur est mis à jour à chaque fois qu’un utilisateur saisit le mot de passe du conteneur Sophos. Si le compteur dépasse le nombre fixé, le même écran de verrouillage que celui utilisé pour le paramètre Dernière connexion au serveur apparaît. Le compteur est réinitialisé si une connexion au serveur Sophos Mobile est établie. Accès à la racine autorisé • Illimité : aucune connexion au serveur n’est requise. • 0 : une connexion au serveur est requise pour démarrer l’app. • 1 : après un démarrage de l’app, la connexion au serveur est nécessaire. • 3 • 5 • 10 • 20 L’exécution des apps de conteneur est autorisée sur les appareils débloqués. Contraintes d’utilisation des apps Vous permet de définir les contraintes d’utilisation des apps du conteneur Sophos. Cliquez sur Ajouter pour saisir les contraintes. Géorepérage Vous permet d’ajouter la latitude et la longitude ainsi qu’un rayon d’utilisation des apps du conteneur Sophos. Limite de temps Vous permet d’indiquer une période de temps à laquelle les apps du conteneur Sophos peuvent être utilisées en précisant une heure de début et une heure de fin. Il est également possible d’indiquer les jours de la semaine auxquels les apps peuvent être utilisées. Copyright © Sophos Limited 155 Sophos Mobile Paramètre/Champ Description Périmètre de connexion Wi#Fi Si vous sélectionnez Connexion Wi#Fi obligatoire, le conteneur Sophos est verrouillé lorsqu’aucune connexion Wi-Fi n’est activée. Si vous ajoutez des réseaux Wi-Fi à la liste, le conteneur Sophos est verrouillé lorsque l’appareil est connecté au réseau Wi-Fi non répertorié. Attention nous vous déconseillons d’utiliser uniquement le périmètre de connexion Wi-Fi pour assurer votre sécurité. En effet, les identités Wi-Fi peuvent très facilement être usurpées. 14.16.2 Configuration de la Messagerie professionnelle (stratégie de conteneur Sophos pour Android) La configuration de la Messagerie professionnelle vous permet de définir les paramètres de l’utilisateur pour votre serveur Microsoft Exchange. Ces paramètres sont appliqués à l’app Sophos Secure Email si elle est installée dans le conteneur Sophos. Paramètre/Champ Description Serveur Exchange L’adresse du serveur Exchange. Si vous utilisez le proxy EAS de Sophos Mobile, veuillez saisir l’URL du serveur proxy EAS. Utilisateur L’utilisateur de ce compte. Si vous saisissez la variable %_USERNAME_%, le serveur la remplace par le nom de l’utilisateur en cours. Adresse email L’adresse électronique du compte. Si vous saisissez la variable %_EMAILADDRESS_%, le serveur la remplace par l’adresse électronique en cours. 156 Domaine Le domaine de ce compte. Email du support L’adresse électronique qui sera utilisée pour contacter le support. Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Exporter les contacts sur l’appareil Les utilisateurs sont autorisés à exporter les contacts Exchange dans les contacts locaux de l’appareil afin de pouvoir identifier les appels de leurs contacts professionnels. Sophos Secure Email synchronise en permanence les coordonnées. Remarque Les coordonnées des contacts locaux sont automatiquement supprimées dans les cas de figure suivants : Exporter les noms d’entreprise • La configuration de la Messagerie professionnelle est supprimée de la stratégie de conteneur Sophos (nécessite le redémarrage de l’app Sophos Secure Email). • Le conteneur Sophos est supprimé de l’appareil. • Lorsque l’appareil est désinscrit de Sophos Mobile. Le nom de l’entreprise est inclus lors de l’exportation des contacts de l’entreprise dans les contacts de l’appareil local. Lorsque la case n’est pas cochée, seuls le nom et le numéro de téléphone sont exportés. Détails de la notification Sélectionnez les informations à afficher dans les notifications par email. Ce paramètre affecte également les rappels d’événements. Si vous sélectionnez Aucune notification, les rappels d’événements sont désactivés. Si vous sélectionnez toute autre valeur, les rappels d’événements sont activés et incluent la date, le lieu et le titre. Refuser la copie dans le presse-papiers Les utilisateurs ne peuvent pas copier ou couper le texte à partir de l’app Sophos Secure Email. Interdire les captures d’écran L’utilisateur ne peut pas faire de captures d’écran montrant l’app Sophos Secure Email. Taille maximale autorisée pour l’email Les messages de taille supérieure à celle que vous sélectionnez (notamment les pièces jointes) ne sont pas récupérés à partir du serveur Exchange. Copyright © Sophos Limited 157 Sophos Mobile Paramètre/Champ Description Autoriser l’affichage/le partage Les utilisateurs sont autorisés à voir ou partager les pièces jointes. Voir les pièces jointes Sélectionnez si les pièces jointes seront visibles dans toutes les apps ou uniquement dans les apps de conteneur Sophos Secure Workspace et Sophos Secure Email. Partager les pièces jointes Avec toutes les applis : les pièces jointes peuvent être partagées avec toutes les apps compatibles avec le format du fichier. Avec les applis du conteneur : Les pièces jointes sont chiffrées avec une clé de l’appareil et peuvent uniquement être ouvertes dans Sophos Secure Workspace. L’action de partage n’est pas bloquée. Paramètres supplémentaires Veuillez uniquement configurer ces paramètres si l’équipe du support Sophos vous le demande. Remarque Si l’app Sophos Secure Email n’est pas installée, les utilisateurs reçoivent un message les invitant à l’installer. Lorsqu’ils démarrent l’app pour la première fois, elle est configurée automatiquement. 14.16.3 Configuration des Documents professionnels (stratégie de conteneur Sophos pour Android) La configuration des Documents professionnels vous permet de définir les paramètres de la fonction Documents professionnels de l’app Sophos Secure Workspace. Configurer les fournisseurs de stockage Chaque fournisseur de stockage vous permet de définir séparément les paramètres suivants : 158 Paramètre/Champ Description Activer Le fournisseur de stockage est disponible dans l’app. Hors ligne Les utilisateurs sont autorisés à ajouter des fichiers provenant du fournisseur de stockage à la liste des Favoris de l’app pour une utilisation hors ligne. Ouvrir avec (chiffré) Les utilisateurs peuvent partager les fichiers chiffrés avec d’autres apps via la fonction Ouvrir avec. Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Ouvrir avec (déchiffré) Les utilisateurs peuvent partager les fichiers déchiffrés avec d’autres apps via la fonction Ouvrir avec. Presse-papiers Les utilisateurs peuvent copier des parties d’un document et les copier dans d’autres apps. Paramètres du fournisseur d’entreprise Pour le fournisseur WebDAV, également appelé le fournisseur d’entreprise, vous pouvez définir les paramètres du serveur et les codes d’accès de connexion de manière centralisée. Ceux-ci ne peuvent pas être changés par les utilisateurs. Les paramètres de codes d’accès que vous ne définissez pas de manière centralisée peuvent être choisis par les utilisateurs sur les écrans de codes d’accès du fournisseur dans l’app. Par exemple, vous pouvez définir le serveur et le compte d’utilisateur à utiliser de manière centralisée. Il n’est pas nécessaire de remplir le champ du mot de passe. Les utilisateurs devront connaître le mot de passe lorsqu’ils se connecteront au fournisseur de stockage. Paramètre/Champ Description Nom Le nom du fournisseur qui s’affiche dans l’app Sophos Secure Workspace. Serveur Dans ce champ, saisissez : • L’URL du dossier racine sur le serveur WebDAV Documents professionnels. • L’URL du dossier racine sur le serveur WebDAV. Veuillez utiliser le format suivant : https:// serveur.entreprise.com Seul le protocole https est pris en charge. Nom d’utilisateur Le nom d’utilisateur pour le serveur. Vous pouvez également utiliser la variable %_USERNAME_%. Mot de passe Le mot de passe du compte. Dossier de téléchargement Le dossier de téléchargement du compte. Copyright © Sophos Limited 159 Sophos Mobile Autres paramètres Paramètre/Champ Description Activer les documents Cette option active la fonction Documents permettant de distribuer en toute sécurité les documents d’entreprise. Complexité de la phrase secrète La complexité minimale requise pour les phrases secrètes des clés de chiffrement. Les phrases secrètes très sécurisées sont toujours autorisées. Vous pouvez sélectionner les paramètres suivants : • Mot de passe à 4 caractères • Mot de passe à 6 caractères • Mot de passe à 8 caractères • Mot de passe à 10 caractères Interdire les captures d’écran L’utilisateur ne peut pas faire de captures d’écran montrant l’app Sophos Secure Workspace. Paramètres supplémentaires Veuillez uniquement configurer ces paramètres si l’équipe du support Sophos vous le demande. 14.16.4 Configuration du Navigateur professionnel (stratégie de conteneur Sophos pour Android) La configuration du Navigateur professionnel vous permet de définir les paramètres de la fonction Navigateur professionnel de l’app Sophos Secure Workspace. Le Navigateur professionnel vous permet d’accéder en toute sécurité aux pages intranet de l’entreprise et à toutes les autres pages autorisées. Vous pouvez définir les domaines et les favoris d’un domaine. Chaque favori appartient à un domaine bien précis. Lorsque vous ajoutez un favori, l’entrée de domaine est créée automatiquement si elle n’existe pas. Paramètres généraux 160 Paramètre/Champ Description Interdire les captures d’écran L’utilisateur ne peut pas faire de captures d’écran montrant le Navigateur professionnel. Copyright © Sophos Limited Sophos Mobile Paramètres du domaine Paramètre/Champ Description URL Le domaine que vous souhaitez autoriser. Autoriser la fonction copier/coller Les utilisateurs peuvent copier/coller du texte à partir du Navigateur professionnel vers d’autres apps. Autoriser Ouvrir avec Les utilisateurs peuvent télécharger des pièces jointes ou les transférer vers d’autres apps. Autoriser l’enregistrement du mot de passe Les utilisateurs peuvent enregistrer leurs mots de passe dans le Navigateur professionnel. Paramètres de favoris Paramètre/Champ Description Nom Le nom du favori. URL L’adresse Web du favori. 14.16.5 Configuration du Certificat racine (stratégie de conteneur Sophos pour Android) La configuration Certificat racine vous permet d’installer un certificat racine sur les appareils. Ce certificat est à disposition des apps Sophos Secure Email et Sophos Secure Workspace si elles sont installées dans le conteneur Sophos. Paramètre Description Fichier Sélectionnez Télécharger un fichier puis sélectionnez un fichier de certificat PKCS #12 (.pfx). Nom du certificat Le nom du certificat. Sophos Mobile lit le nom dans le fichier de certificat. Remarque Le certificat est disponible pour d’autres configurations de la même stratégie. Si vous avez besoin de certificats pour d’autres stratégies, vous allez devoir les télécharger de nouveau. Copyright © Sophos Limited 161 Sophos Mobile Conseil Il est possible de faire glisser un certificat de l’Explorateur de fichiers vers la zone Fichier pour le télécharger. 14.16.6 Configuration du certificat du client (stratégie de conteneur Sophos pour Android) La configuration Certificat du client vous permet d’installer un certificat du client sur les appareils. Ce certificat est à disposition de l’app Sophos Secure Workspace si cette dernière est installée dans le conteneur Sophos. Paramètre Description Fichier Sélectionnez Télécharger un fichier puis sélectionnez un fichier de certificat PKCS #12 (.pfx). Nom du certificat Le nom du certificat. Sophos Mobile lit le nom dans le fichier de certificat. Remarque Le certificat est disponible pour d’autres configurations de la même stratégie. Si vous avez besoin de certificats pour d’autres stratégies, vous allez devoir les télécharger de nouveau. Conseil Il est possible de faire glisser un certificat de l’Explorateur de fichiers vers la zone Fichier pour le télécharger. 14.16.7 Configuration SCEP (stratégie de conteneur Sophos pour Android) La configuration SCEP permet d’autoriser les appareils à demander des certificats à une Autorité de certification à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol). Ces certificats sont disponibles pour la fonction Navigateur professionnel de l’app Sophos Secure Workspace. Remarque Veuillez commencer par ajouter une configuration du Certificat racine pour charger le certificat de l’Autorité de certification du serveur SCEP avant d’ajouter une configuration du protocole SCEP. 162 Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description URL L’adresse Web du serveur de l’Autorité de certification. Utilisez la variable %_SCEPPROXYURL_% pour indiquer l’URL du serveur configurée sur l’onglet SCEP de la page Configuration de Sophos. Nom d’alias Le nom sous lequel le certificat va apparaître dans les boîtes de dialogue de sélection. Il doit s’agir d’un nom facile à mémoriser pour identifier le certificat. Par exemple, utilisez la même valeur que dans le champ Objet mais sans le préfixe CN=. Objet Le nom de l’entité (par exemple ; une personne ou un appareil) qui recevra le certificat. Vous pouvez utiliser des espaces réservés pour les données de l’utilisateur ou les propriétés de l’appareil. La valeur que vous saisissez (remplacement des espaces réservés par des données) doit être un nom X.500 valable. Par exemple : • Saisissez CN=%_USERNAME_% pour indiquer un utilisateur. • Saisissez CN=%_DEVPROP(serial_number)_% pour un appareil Android. Retrouvez plus de renseignements sur les espaces réservés disponibles à la section Espaces réservés dans les stratégies (page 116). Type de l’autre nom de l’objet Valeur de l’autre nom de l’objet Nom de connexion d’utilisateur AD Copyright © Sophos Limited Pour ajouter un Autre nom de l’objet (SAN) à la configuration SCEP, sélectionnez le type de l’Autre nom de l’objet et saisissez la valeur de l’Autre nom de l’objet. Les types SAN sont : • Nom RFC 822 : une adresse électronique valide. • Nom DNS : le nom DNS du serveur de l’autorité de certification. • Uniform Resource Identifier : l’URL complète du serveur de l’autorité de certification. La valeur Nom de connexion d’utilisateur définie dans Active Directory, c’est-à-dire le Nom principal de l’utilisateur (UPN). 163 Sophos Mobile Paramètre/Champ Description Challenge L’adresse Web permettant de récupérer un mot de passe de challenge à partir du serveur SCEP. Utilisez la variable %_CACHALLENGE_% pour indiquer l’URL de challenge configurée sur l’onglet SCEP de la page Configuration de Sophos. Certificat racine Le certificat de l’Autorité de certification. Sélectionnez le certificat dans la liste. La liste contient tous les certificats que vous avez chargés dans la configuration Certificat racine de la stratégie actuelle. Taille de la clé La taille de la clé publique dans le certificat émis. Assurez-vous que la valeur indiquée correspond à la taille configurée sur le serveur SCEP. Utilisation de la clé Sélectionnez comment le certificat peut être utilisé. Utiliser en tant que signature numérique : Le certificat peut être utilisé en tant que signature numérique. Utiliser pour le chiffrement : Le certificat peut être utilisé pour le chiffrement des données. 14.17 Configuration des stratégies Mobile Threat Defense pour Android Une stratégie Mobile Threat Defense vous permet de configurer Sophos Intercept X for Mobile lorsqu’elle est inscrite à Sophos Mobile. Attention Sur les appareils Android Enterprise, cette stratégie installe l’appli Intercept X. Vous devez approuver l’appli dans Google Play d’entreprise avant d’assigner la stratégie. 164 Copyright © Sophos Limited Sophos Mobile 14.17.1 Configuration réseau (stratégie Mobile Threat Defense pour Android) La configuration Réseau vous permet de gérer la fonction de sécurité Wi-Fi de Sophos Intercept X for Mobile. Les utilisateurs sont ainsi protégés contre les menaces réseau. Remarque Lorsque vous assignez cette configuration à un appareil, les paramètres correspondant dans Sophos Intercept X for Mobile sont désactivés. L’utilisateur ne peut pas les modifier. Paramètre/Champ Description Protection contre le « Man-in-themiddle » (intercepteur) Sophos Intercept X for Mobile vérifie la connexion Wi-Fi à la recherche d’attaques (« man-in-the-middle »). Sophos Mobile crée une alerte lorsqu’une attaque d’interception (« man-in-the-middle ») est détectée. Paramètres supplémentaires Veuillez uniquement configurer ces paramètres si l’équipe du support Sophos vous le demande. 14.17.2 Configuration antivirus (stratégie Mobile Threat Defense pour Android) La configuration Antivirus vous permet de gérer les paramètres de protection antimalware de Sophos Intercept X for Mobile. Remarque Lorsque vous assignez cette configuration à un appareil, les paramètres correspondant dans Sophos Intercept X for Mobile sont désactivés. L’utilisateur ne peut pas les modifier. Paramètre/Champ Description Mode de contrôle Cloud Sélectionnez le moment auquel Sophos Intercept X for Mobile charge les dernières informations sur les malwares à partir du serveur Sophos. Intervalle du contrôle planifié Sélectionnez la fréquence de contrôle antimalware. Si vous sélectionnez Quotidiennement pendant la recharge, un contrôle est effectué lorsque l’appareil est branché sur secteur pendant plus de 30 minutes. Contrôler les applis système Contrôler les applis système. Les applis système ne sont pas contrôlées par défaut car elles sont protégées par le système d’exploitation Android et parce que l’utilisateur ne peut pas les supprimer. Copyright © Sophos Limited 165 Sophos Mobile Paramètre/Champ Description Contrôler le stockage Contrôler la présence de menaces dans tous les fichiers sur le stockage partagé en interne, la carte SD et les appareils USB connectés en plus d’appliquer le contrôle par défaut de toutes les applis installées. Détecter les applis potentiellement indésirables Contrôler la présence d’applications potentiellement indésirables (PUA) Les applis potentiellement indésirables sont des applis qui ne sont pas malveillantes mais dont la présence sur les réseaux d’entreprise est généralement considérée comme inappropriée. Les PUA sont classées sous le nom d’adware (logiciel publicitaire), dialer (composeur de numéros), moniteur système, outils d’administration à distance et outils de piratage. Toutefois, il peut arriver que certains utilisateurs considèrent comme nécessaire l’utilisation d’applis classées dans la catégorie PUA. Autoriser l’utilisateur à approuver les PUA Les utilisateurs peuvent autoriser une app classée dans la catégorie PUA. Les applis autorisées sont ignorées par les prochains contrôles. Mode Sélectionnez le mode de traitement des applis de réputation douteuse : Autoriser : Désactiver le contrôle des applis de réputation douteuse. Avertir : Afficher un avertissement sur l’appareil lorsqu’une app de faible réputation est détectée. Les utilisateurs peuvent choisir comment traiter l’app. Ils peuvent l’ajouter à une liste d’applis autorisées afin de ne plus recevoir d’autres avertissements en cas de détection de cette app. Bloquer : L’utilisateur ne peut pas démarrer des applis de réputation douteuse. Notification de contrôle Lorsqu’une app est contrôlée après son installation, Sophos Intercept X for Mobile crée une notification. Si la case n’est pas sélectionnée, aucune notification n’est créée pour les applis saines. 166 Surveiller le stockage Contrôler toute modification dans le stockage partagé en interne, sur la carte SD et sur les périphériques USB connectés Lorsque de nouveaux fichiers sont stockés dans ces emplacements, ils sont contrôlés. Groupe d’applis Sélectionner un groupe d’applis autorisées. Les apps de ce groupe sont exclues des contrôles. Copyright © Sophos Limited Sophos Mobile 14.17.3 Configuration du filtrage Web (stratégie Mobile Threat Defense pour Android) La configuration Filtrage Web vous permet de gérer la fonction Filtrage Web de Sophos Intercept X for Mobile. Les utilisateurs sont ainsi protégés contre toute navigation sur des sites malveillants ou au contenu indésirable ou illégal. Remarque Veuillez également désactiver la règle de conformité Les autorisations pour Intercept X for Mobile peuvent être refusées. En cas contraire, les utilisateurs peuvent arrêter le Filtrage Web en désactivant Sophos Accessibility Service. Conseil Pour tester le filtrage de sites Web, Sophos a créé le site sophostest.com qui contient des exemples de page pour chaque catégorie. Même si certaines de ces pages sont classées comme potentiellement offensantes ou dangereuses, leur contenu est sans danger dans tous les cas. Paramètres Paramètre/Champ Description Filtrer les sites Web malveillants Sélectionnez si les utilisateurs sont autorisés à accéder à des sites Web au contenu malveillant. Créer des alertes Sélectionnez si une alerte va être générée lorsque l’utilisateur tente d’accéder à un site Web filtré. Vous pouvez également choisir de créer des alertes uniquement pour les blocages ou pour les avertissements. Filtrer les sites Web par catégorie Sélectionnez si les utilisateurs peuvent accéder à certains types de sites Web. Les sites Web sont classés par catégorie en fonction des données collectées par les SophosLabs. Ces données sont constamment mises à jour. Exceptions de site Web Configurer les exceptions aux filtres de catégories : Domaines autorisés : Sites Web autorisés même s’ils appartiennent à une catégorie bloquée. Domaines bloqués : Sites Web bloqués même s’ils appartiennent à une catégorie autorisée. Comment indiquer des exceptions de site Web Dans Domaines autorisés et Domaines bloqués, saisissez l’une des entrées suivantes par ligne (sans séparateur) : Copyright © Sophos Limited 167 Sophos Mobile • Adresse IPv4 ou IPv6 203.0.113.0 2001:db8:85a3:0:0:8a2e:370:7334 • Sous-réseau IPv4 ou IPv6 203.0.113.0/24 2001:db8::/32 • Domaine www.example.com • Domaine avec caractère de remplacement. Le caractère de remplacement * doit être le caractère situé le plus à gauche. *.example.com *example.com Dans Domaines bloqués, Vous pouvez utiliser un seul caractère de remplacement * pour bloquer tous les sites Web. Logique de filtrage Lorsque le filtrage Web évalue si un site Web doit être autorisé ou bloqué, la liste Autoriser est prioritaire par rapport à la liste Bloquer, et les listes définies par la stratégie sont prioritaires par rapport aux listes définies par l’utilisateur. Les règles de filtrage sont appliquées dans l’ordre suivant : 1. Si le site Web est inclus dans Domaines autorisés, il est autorisé. 2. Si le site Web est inclus dans Domaines bloqués, il est bloqué. 3. Si l’utilisateur a ajouté le site Web à la liste Autoriser, il est autorisé. 4. Si l’utilisateur a ajouté le site Web à la liste des blocs, il est bloqué. 5. Le site Web est autorisé ou bloqué en fonction de sa catégorie. Navigateurs compatibles Le filtrage Web peut être utilisé sur les navigateurs Web suivants : • Navigateur Web Android • Firefox • Google Chrome • Microsoft Edge Il se peut que d’autres navigateurs soient également compatibles mais ils n’ont pas été testés. 168 Copyright © Sophos Limited Sophos Mobile 14.18 Configuration des stratégies d’appareils Android Une stratégies d’appareils Android vous permet de configurer les paramètres des appareils Android inscrits à Sophos Mobile en mode de gestion « Administrateur de l’appareil ». Il s’agit d’un ancien type de stratégie. Nous vous conseillons d’utiliser le mode de gestion Android Enterprise et les stratégies à la place. Concepts connexes Configuration des stratégies d’appareils Android Enterprise (page 120) Une stratégie de profil Android Enterprise permet de configurer les paramètres des appareils Android Enterprise entièrement gérés. Configuration des stratégies de profil professionnel Android Enterprise (page 136) Une stratégie de profil professionnel Android Enterprise permet de configurer les paramètres des appareils de profil professionnel Android Enterprise. Tâches connexes Mode d’administration Android (page 22) Pour les appareils Android, vous pouvez choisir entre les modes d’administration Android Enterprise et Administrateur de l’appareil (ancienne fonction). 14.18.1 Configuration des stratégies de mot de passe (stratégie d’appareil Android) La configuration Stratégies de mot de passe vous permet de définir les exigences à respecter pour le mot de passe de verrouillage de l’écran. Remarque Les paramètres pris en charge varient en fonction de la version du système d’exploitation ou des autres fonctions de l’appareil. Ceci est indiqué par des étiquettes bleues dans Sophos Mobile Admin. Type de mot de passe La liste Type de mot de passe vous permet de sélectionner le type de mot de passe que les utilisateurs sont autorisés à configurer : Paramètre/Champ Description Modèle, code PIN ou mot de passe Les utilisateurs doivent définir un mode de déverrouillage de l’écran. Ils peuvent choisir un mode de déverrouillage de l’écran de type Modèle, Code PIN ou Mot de passe. Aucune autre restriction n’est imposée. Copyright © Sophos Limited 169 Sophos Mobile Paramètre/Champ Description Mot de passe simple Les utilisateurs doivent définir un mode de déverrouillage de l’écran de type Mot de passe. L’utilisation de chiffre est autorisée mais le mot de passe doit contenir au moins une lettre. Vous pouvez définir la longueur minimale. Retrouvez plus de renseignements à ce sujet dans le tableau ci-dessous. Code PIN ou mot de passe Les utilisateurs doivent définir un mode de déverrouillage de l’écran de type Code PIN ou Mot de passe. Vous pouvez définir la longueur minimale. Retrouvez plus de renseignements à ce sujet dans le tableau ci-dessous. Mot de passe alphanumérique Les utilisateurs doivent définir un mode de déverrouillage de l’écran de type Mot de passe. Le mot de passe doit contenir une combinaison de lettres et de chiffres. Vous pouvez définir la longueur minimale. Retrouvez plus de renseignements à ce sujet dans le tableau cidessous. Mot de passe complexe Les utilisateurs doivent définir un mode de déverrouillage de l’écran de type Mot de passe. Le mot de passe doit contenir une combinaison de lettres et de chiffres. Vous pouvez définir la longueur minimale ainsi que le nombre minimal de chiffres, de lettres minuscules et majuscules et de caractères spéciaux à utiliser. Retrouvez plus de renseignements à ce sujet dans les deux tableaux ci-dessous. Si vous sélectionnez Mot de passe simple, Code PIN ou mot de passe, Mot de passe alphanumérique ou Mot de passe complexe, les champs suivants apparaissent : Paramètre/Champ Description Longueur minimum du mot de passe Le nombre minimum de caractères qu’un mot de passe doit contenir. Délai d’attente avant demande du mot de passe Le temps au bout duquel l’appareil est verrouillé lorsqu’il n’est pas utilisé. L’appareil peut être déverrouillé en saisissant le mot de passe. Remarque Il se peut que l’appareil impose un période de temps plus courte que celle que vous avez configurée ici. 170 Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Durée de validité maximale du mot de passe en jours Demande aux utilisateurs de changer leur mot de passe dans l’intervalle indiqué. Plage de valeur : 0 (aucun changement de mot de passe requis) à 730 jours. Nombre maximal de tentatives de connexion L’appareil est réinitialisé après ce nombre de tentatives de connexion incorrectes. Historique du mot de passe Le nombre de mots de passe précédemment utilisés que Sophos Mobile conserve en mémoire. Lorsqu’un utilisateur crée un nouveau mot de passe, celui-ci ne doit pas être le même qu’un mot de passe précédemment utilisé. Si vous sélectionnez Mot de passe complexe, les champs supplémentaires suivants apparaissent : Paramètre/Champ Description Nombre minimum de lettres Le nombre minimum de lettres qu’un mot de passe doit contenir. Nombre minimum de lettres minuscules Le nombre minimum de lettres minuscules qu’un mot de passe doit contenir. Nombre minimum de lettres majuscules Le nombre minimum de lettres majuscules qu’un mot de passe doit contenir. Nombre minimum de caractères non alphabétiques Le nombre minimum de caractères non alphabétiques (par exemple & ou !) qu’un mot de passe doit contenir. Nombre minimum de chiffres Le nombre minimum de chiffres qu’un mot de passe doit contenir. Nombre minimum de caractères spéciaux Le nombre minimum de caractères spéciaux (par exemple !"§$%&/()=,.-;:_@<>) qu’un mot de passe doit contenir. Authentification biométrique Paramètre/Champ Description Autoriser l’authentification par empreinte digitale Si cette fonction est disponible sur l’appareil, l’utilisateur peut utiliser l’authentification par empreinte digitale pour déverrouiller l’appareil. Copyright © Sophos Limited 171 Sophos Mobile Paramètre/Champ Description Autoriser l’authentification par l’iris Si cette fonction est disponible sur l’appareil, l’utilisateur peut utiliser l’authentification de iris pour déverrouiller l’appareil. 14.18.2 Configuration des restrictions (stratégie d’appareil Android) La configuration Restrictions vous permet de définir les restrictions pour les appareils. Sécurité Paramètre/Champ Description Forcer le chiffrement L’utilisateur doit chiffrer ses appareils. Forcer le chiffrement de la carte SD Lorsque la stratégie est assignée sur un appareil, l’utilisateur doit chiffrer la carte SD. Remarque Sur certains types d’appareils, les utilisateurs peuvent choisir d’annuler le chiffrement. Ils verront un message de rappel la prochaine fois qu’ils connecteront une carte SD. Autoriser le chiffrement rapide Les utilisateurs peuvent changer les options de chiffrement rapide dans les paramètres de l’appareil. Autoriser le rétablissement des paramètres d’usine Les utilisateurs peuvent restaurer les paramètres d’usine sur leurs appareils. Autoriser les Options de développement Les utilisateurs peuvent changer les options de développement. Autoriser le mode sécurisé Les utilisateurs peuvent démarrer l’appareil en mode sans échec. Autoriser le débogage USB Les utilisateurs peuvent activer le débogage USB. Remarque Si la case Autoriser le débogage USB n’est pas sélectionnée sur les appareils Sony à partir du niveau 9 de l’API d’entreprise, toutes les options de développement sont indisponibles. Autoriser la récupération du firmware 172 Tous les types de mises à jour du firmware (OTA, téléchargement, etc.) sont autorisés. Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Autoriser la sauvegarde Les utilisateurs peuvent créer des sauvegardes du système. Si cette case n’est pas sélectionnée, la sauvegarde Google est désactivée mais toutes les autres méthodes de sauvegarde (par exemple, les sauvegardes Sophos Mobile) restent disponibles. Autoriser les modifications de paramètres Les utilisateurs peuvent modifier les paramètres de l’appareil. Remarque Veuillez l’activer pour les appareils Samsung sur lesquels vous voulez configurer un conteneur Knox. Autoriser le Presse-papiers Les utilisateurs peuvent copier le contenu du pressepapiers. Activer le Presse-papiers partagé Permet aux utilisateurs de copier le contenu du presse-papiers entre les applis. Si cette case n’est pas sélectionnée, chaque appli a son propre presse-papiers. Ce paramètre est uniquement disponible si vous sélectionnez Autoriser le Presse-papiers. Autoriser la capture d’écran Les utilisateurs peuvent prendre des captures d’écran. Autoriser les positions GPS factices Les utilisateurs peuvent activer les fonctions de débogage sous les Options de développement de l’appareil Android. Autoriser les mises à jour OTA du firmware Les mises à jour OTA du firmware sont autorisées. Autoriser l’enregistrement audio Les utilisateurs peuvent enregistrer le son. Autoriser l’enregistrement vidéo Les utilisateurs peuvent enregistrer des vidéos. Si cette case n’est pas sélectionnée, les utilisateurs peuvent continuer à prendre des photos et à lire des vidéos en streaming. Autoriser le verrouillage de l’activation Les utilisateurs peuvent changer les options de verrouillage d’activation dans les paramètres de l’appareil. Autoriser S Beam Les utilisateurs peuvent démarrer l’appli Samsung S Beam. Autoriser S Voice Les utilisateurs peuvent démarrer l’appli Samsung S Voice. Copyright © Sophos Limited 173 Sophos Mobile Paramètre/Champ Description Autoriser « Partager par » La fonction Partager par est disponible. Comptes Paramètre/Champ Description Autoriser le mode multi-utilisateurs Si cette case n’est pas sélectionnée, le support multiutilisateurs est désactivé. Les utilisateurs ou les applis ne peuvent pas créer de comptes d’utilisateur supplémentaires. Autoriser l’ajout de comptes de messagerie Si cette case n’est pas sélectionnée, les utilisateurs ne peuvent pas ajouter de comptes de messagerie. La création de compte via une stratégie d’appareil est toujours possible. Autoriser la suppression du compte Google Si cette case n’est pas sélectionnée, les utilisateurs ne peuvent pas supprimer le compte Google de l’appareil. Autoriser la synchronisation automatique des comptes Google Si cette case n’est pas sélectionnée, les comptes Google ne sont pas synchronisés automatiquement. Les utilisateurs sont toujours en mesure de synchroniser ses comptes manuellement à partir de certaines applis comme Gmail. Réseau et communication 174 Paramètre/Champ Description Autoriser le mode Avion Si cette case n’est pas sélectionnée, les utilisateurs ne peuvent pas activer le mode Avion. Autoriser la synchronisation pendant l’itinérance Si cette case n’est pas sélectionnée, la synchronisation pendant l’itinérance est désactivée. Autoriser uniquement les appels d’urgence Seuls les appels d’urgence sont autorisés. Tous les autres appels seront bloqués. Forcer la synchronisation manuelle pendant l’itinérance La synchronisation automatique des données est désactivée lorsque l’appareil est en mode itinérant. Tous les comptes configurés sont affectés (par exemple ; Google ou Exchange). Forcer la connexion aux données mobiles L’utilisateur ne peut pas désactiver les données cellulaires. Autoriser les SMS Si cette case n’est pas sélectionnée, les utilisateurs ne peuvent pas envoyer de SMS. Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Autoriser la connexion aux données mobiles pendant l’itinérance Si cette case n’est pas sélectionnée, les connexions aux données mobiles pendant l’itinérance sont désactivées. Autoriser les appels vocaux pendant l’itinérance Si cette case n’est pas sélectionnée, les appels vocaux pendant l’itinérance sont désactivés. Autoriser la définition de limite des données mobiles Si cette case n’est pas sélectionnée, les utilisateurs ne peuvent pas définir une limite de données mobiles. Autoriser les réseaux privés virtuels (VPN) Si cette case n’est pas sélectionnée, les utilisateurs ne peuvent pas utiliser de connexions VPN. Autoriser la connexion Wi#Fi directe Si cette case n’est pas sélectionnée, le transfert de données via une connexion Wi-Fi directe est désactivé. Autoriser Android Beam Si cette case n’est pas sélectionnée, le transfert de données via Android Beam est désactivé. Ceci inclut également l’appli Samsung S Beam. Autoriser la stratégie Miracast Si cette case n’est pas sélectionnée, le transfert de données via Miracast est désactivé. Autoriser Bluetooth Si cette case n’est pas sélectionnée, la connexion Bluetooth est désactivée. Autoriser le profil de distribution audio avancé Pour autoriser les profils Bluetooth, sélectionnez d’abord la case Autoriser Bluetooth puis les profils à autoriser. Autoriser le profile de contrôle à distance de l’audio/vidéo Autoriser le profil mains libres Si la case Autoriser Bluetooth n’est pas sélectionnée, les paramètres n’ont aucun effet, c’est-àdire que tous les profils sont interdits. Autoriser le profil de casque Autoriser le profil d’accès au répertoire Autoriser le profil de port en série Autoriser NFC Si cette case n’est pas sélectionnée, la communication NFC est désactivée. Autoriser la connexion Wi#Fi Si cette case n’est pas sélectionnée, la connexion WiFi est désactivée. Copyright © Sophos Limited 175 Sophos Mobile Partage de connexion Wi#Fi Paramètre/Champ Description Autoriser le partage de connexion Internet Si cette case n’est pas sélectionnée, le partage de connexion Internet est désactivé. Ceci inclut le partage de connexion Internet via Wi-Fi, USB et Bluetooth. Remarque Si cette case n’est pas sélectionnée, les paramètres Autoriser le partage de connexion Wi-Fi, Autoriser la connexion USB et Autoriser la connexion Bluetooth ne fonctionnent plus. Autoriser le partage de connexion Wi#Fi Si cette case n’est pas sélectionnée, le partage de connexion Wi-Fi (point d’accès Wi-Fi) est désactivé. Autoriser la connexion USB Si cette case n’est pas sélectionnée, le partage de connexion USB est désactivé. Autoriser la connexion Bluetooth Si cette case n’est pas sélectionnée, le partage de connexion Bluetooth est désactivé. Autoriser la configuration de la connexion Wi#Fi L’utilisateur peut configurer les paramètres du point d’accès Wi-Fi. Matériel Paramètre/Champ Description Autoriser l’appareil photo Si cette case n’est pas sélectionnée, l’appareil photo n’est plus disponible. Autoriser l’appareil photo pendant le verrouillage de l’écran Si cette case n’est pas sélectionnée, l’appareil photo n’est plus disponible lorsque l’écran est verrouillé. Pour autoriser l’appareil photo sur l’écran de verrouillage, veuillez sélectionnez l’option Autoriser l’appareil photo. 176 Forcer le GPS pour les demandes de géolocalisation Les informations du GPS sont utilisées pour géolocaliser l’appareil. Autoriser la carte SD Si cette case n’est pas sélectionnée, les cartes SD sont inutilisables sur les appareils. Autoriser le déplacement d’applis sur la carte SD Si cette case n’est pas sélectionnée, les utilisateurs ne peuvent pas déplacer les applis du stockage interne sur la carte SD. Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Autoriser l’écriture sur la carte SD déchiffrée Si cette case n’est pas sélectionnée, il n’est plus possible d’écrire sur les cartes SD déchiffrées. Autoriser le microphone Si cette case n’est pas sélectionnée, le microphone n’est plus disponible. Autoriser les périphériques USB Le mode de stockage de masse sur USB et le mode périphériques multimédia USB (MTP) sont disponibles sur l’appareil. Autoriser le lecteur média USB Si cette case n’est pas sélectionnée, le protocole MTP (Media Transfer Protocol) n’est plus disponible. Android utilise MTP pour le transfert de fichiers par USB. Par conséquent, tout transfert de fichiers par USB sera bloqué. Autoriser le mode d’économie d’énergie Si cette case n’est pas sélectionnée, l’appareil ne peut pas se mettre en mode d’économie d’énergie. Autoriser le stockage d’hôte USB Tous les appareils de stockage externe que l’utilisateur connecte sont montés. Il peut s’agit d’appareil de stockage USB portables, de lecteurs HD externes et de lecteurs de carte SD. Si cette case n’est pas sélectionnée, les appareils de stockage externe ne sont pas montés. Applications Paramètre/Champ Description Autoriser l’installation d’applis Si cette case n’est pas sélectionnée, les utilisateurs ne peuvent pas installer d’applis. Autoriser la désinstallation d’applis Si cette case n’est pas sélectionnée, les utilisateurs ne peuvent pas désinstaller les applis. Autoriser l’installation d’applis non signées Si cette case n’est pas sélectionnée, les utilisateurs ne peuvent pas installer de fichiers APK signés. Autoriser Play Store Si cette case n’est pas sélectionnée, l’appli Google Play n’est plus disponible sur l’appareil. Autoriser les applis provenant de sources inconnues Si cette case n’est pas sélectionnée, les utilisateurs peuvent uniquement installer les applis à partir de l’appli de la boutique Google Play. Autoriser le navigateur natif Si cette case n’est pas sélectionnée, le navigateur natif n’est plus disponible. Les applis des navigateurs tiers ne sont pas affectées. Copyright © Sophos Limited 177 Sophos Mobile Paramètre/Champ Description Autoriser les rapports de pannes des applis Si cette case n’est pas sélectionnée, les applis ne peuvent pas envoyer de rapport de pannes. Autoriser le changement de fond d’écran Si cette case n’est pas sélectionnée, les utilisateurs ne peuvent pas changer le fond d’écran. Afficher les informations du correspondant Si cette case n’est pas sélectionnée, les informations du correspondant ne sont pas affichées lors d’appels entrants. Tous les correspondants sont affichés comme « inconnu ». Autoriser la saisie semi-automatique dans le navigateur L’utilisateur peut activer la saisie semi-automatique dans les paramètres du navigateur Android d’origine. Si cette option est activée, les pages Web peuvent fournir des suggestions lorsque l’utilisateur remplit un formulaire. Si cette case n’est pas sélectionnée, la saisie semiautomatique est désactivée et le paramètre du navigateur est indisponible. Autoriser les cookies dans le navigateur L’utilisateur peut activer les cookies dans les paramètres du navigateur Android d’origine. Si cette option est activée, les pages Web peuvent enregistrer des cookies sur l’appareil. Si cette case n’est pas sélectionnée, les cookies sont désactivés et le paramètre du navigateur est indisponible. Autoriser JavaScript dans le navigateur L’utilisateur peut activer JavaScript dans les paramètres du navigateur Android d’origine. Si cette option est activée, les pages Web peuvent exécuter le code JavaScript sur l’appareil. Si cette case n’est pas sélectionnée, JavaScript est désactivé et le paramètre du navigateur est indisponible. Autoriser les fenêtres intempestives sur le navigateur L’utilisateur peut activer les fenêtres intempestives dans les paramètres du navigateur Android d’origine. Si cette option est activée, les pages Web peuvent ouvrir des nouvelles fenêtres de navigateur. Si cette case n’est pas sélectionnée, les fenêtres intempestives sont désactivées et le paramètre du navigateur est indisponible. Autoriser la modification des paramètres de date et d’heure 178 L’utilisateur peut changer les paramètres de date et d’heure. Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Applis autorisées / Applis interdites Vous pouvez configurer soit les Applis autorisées soit les Applis interdites. Sélectionnez l’option désirée dans la première liste et sélectionnez le groupe d’applis contenant les applis qui doivent être autorisées ou interdites dans la seconde liste. L’installation d’applis déclenchée par le serveur Sophos Mobile n’est pas limitée par ce paramètre. Retrouvez plus de renseignements sur la création des groupes d’applis à la section Groupes d’apps (page 351). 14.18.3 Configuration des Restrictions Knox Premium (stratégie d’appareil Android) La configuration des Restrictions Knox Premium vous permet de définir les restrictions pour les appareils Samsung Knox. Ces restrictions s’appliquent à l’appareil et non pas au conteneur Knox. Remarque Pour appliquer les restrictions Knox Premium, veuillez enregistrer une licence Samsung Knox Premium dans Sophos Mobile. Option Description Autoriser les options de mise à jour automatique du firmware L’appareil vérifie automatiquement la présence de mises à jour du firmware. Les utilisateurs ne peuvent pas modifier ce paramètre dans les paramètres de l’appareil. Activer la vérification ODE Trusted Boot L’appareil déchiffre uniquement la partition de données au démarrage si les binaires et le noyau sont des versions officielles, c’est-à-dire, si l’appareil n’est pas débloqué (rooted). Si cette case n’est pas sélectionnez cette case, l’appareil déchiffre toujours la partition de données au démarrage. Empêcher l’installation d’une autre appli administrateur L’installation d’applis nécessitant les privilèges administrateur sur l’appareil n’est pas autorisée. Les applis installées par Sophos Mobile ne sont pas affectées. Empêcher l’activation d’une autre appli d’administration L’activation des droits administrateur de l’appareil pour les applis n’est pas autorisée. Copyright © Sophos Limited 179 Sophos Mobile Option Description Autoriser le mode « Common Criteria » Le mode Common Criteria de l’appareil est activé. L’appareil satisfait aux conditions de sécurité établies par la norme Mobile Device Fundamentals Protection Profile (Profil de protection des fondamentaux des appareils mobiles). Remarque : le mode Common Criteria est uniquement utilisé si les conditions suivantes sont remplies : • Le chiffrement d’appareils est activé. • Le chiffrement rapide est désactivé. • Le chiffrement du stockage externe est activé. • Le nombre de tentatives ratées avant la réinitialisation de l’appareil est défini. • La révocation de certificat est activée. • L’historique du mot de passe est désactivé. 14.18.4 Configuration du compte Exchange (stratégie d’appareil Android) La configuration Compte Exchange vous permet de créer une connexion à un serveur de messagerie Serveur Microsoft Exchange. Paramètre/Champ Description Nom du compte Le nom du compte. Serveur Exchange L’adresse du serveur Exchange. Si vous utilisez le proxy EAS de Sophos Mobile, veuillez saisir l’URL du serveur proxy EAS. Domaine Le domaine de ce compte. Utilisateur L’utilisateur de ce compte. Si vous saisissez la variable %_USERNAME_%, le serveur la remplace par le nom de l’utilisateur en cours. Adresse email L’adresse électronique du compte. Si vous saisissez la variable %_EMAILADDRESS_ %, le serveur la remplace par l’adresse électronique en cours. 180 Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Expéditeur Un nom d’expéditeur pour ce compte. Si vous saisissez la variable %_EMAILADDRESS_ %, le serveur la remplace par l’adresse électronique en cours. Mot de passe Le mot de passe de ce compte. Si vous ne remplissez pas ce champ, les utilisateurs devront saisir le mot de passe sur leurs appareils. Période de synchronisation La date à laquelle les emails sont synchronisés. Seuls les emails compris dans la période indiquée sont synchronisés dans la boîte de réception sur l’appareil. Intervalle de synchronisation L’intervalle entre les processus de synchronisation de la messagerie. SSL/TLS La connexion au serveur Exchange est sécurisée par SSL ou TLS (selon la compatibilité du serveur). Nous vous conseillons de sélectionner cette option. Compte par défaut Le compte est utilisé en tant que compte de messagerie par défaut. Autoriser tous les certificats Autoriser tous les certificats lors des processus de transferts à partir du serveur de messagerie. Certificat du client Le certificat du client pour la connexion au serveur Exchange. Autoriser le transfert d’emails Autoriser le transfert d’emails. Autoriser l’utilisation du format HTML Autoriser l’utilisation du format HTML dans les emails. Taille maximale des pièces jointes (Mo) La taille maximale d’un email. Synchroniser les types de contenu Les types de contenu à synchroniser. Remarque Sur les appareils avec LG GATE, Samsung Knox ou Sony Enterprise API, l’app de messagerie est configurée automatiquement. Sur les autres appareils Android, les utilisateurs reçoivent un message les invitant à configurer l’app de messagerie. Les détails de la configuration sont disponibles dans l’app Sophos Mobile Control. Copyright © Sophos Limited 181 Sophos Mobile Remarque Pour les appareils Sony à partir du niveau 6 d’Enterprise API, les informations du compte Exchange doivent correspondre à l’utilisateur assigné à l’appareil. Sur ces appareils, l’app Sophos Mobile Control n’est pas en mesure d’envoyer l’identifiant ActiveSync au serveur Sophos Mobile. Lorsque l’appareil contacte le proxy EAS pour la première fois, l’identifiant ActiveSync que le client de messagerie envoie n’est pas connu par Sophos Mobile. Pour vérifier les informations du compte, le proxy EAS recherche un appareil avec un identifiant ActiveSync inconnu et un utilisateur assigné qui correspond aux informations de l’utilisateur fournies par le client de messagerie. Si cet appareil est trouvé, l’identifiant ActiveSync est assigné à cet appareil et la demande d’email est transférée au serveur Exchange. Dans le cas contraire, la demande est rejetée. Retrouvez plus de renseignements dans l’article 121360 de la base de connaissances Sophos. 14.18.5 Configuration Wi-Fi (stratégie d’appareil Android) La configuration Wi-Fi vous permet d’indiquer les paramètres de connexion aux réseaux Wi-Fi. Paramètre/Champ Description SSID L’identifiant du réseau Wi-Fi. Type de sécurité Le type de sécurité de la connexion Wi-Fi : Autorisation de la phase 2 • Aucun • WEP • WPA/WPA2 PSK • EAP/PEAP • EAP/TLS • EAP/TTLS La méthode d’authentification pour la phase 2 de la négociation EAP : • Aucun • PAP • CHAP • MSCHAP • MSCHAPv2 Ce champ est disponible pour les connexions EAP/PEAP et EAP/TTLS. Identité L’identité de l’utilisateur. Ce champ est disponible pour les connexions EAP. 182 Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Identité anonyme L’identité du pseudonyme envoyée non chiffrée au cours de la phase 1 de la négociation EAP. Ce champ est disponible pour les connexions EAP. Mot de passe Le mot de passe du réseau Wi-Fi. Certificat d’identité Le certificat d’identité pour la connexion au réseau Wi-Fi. La liste contient tous les certificats présents dans la configuration Certificat du client de la stratégie actuelle. Ce champ est disponible pour les connexions EAP. Certificat approuvé L’autorité de certification racine pour le certificat du serveur EAP. La liste contient tous les certificats présents dans la configuration Certificat racine de la stratégie actuelle. Ce champ est disponible pour les connexions EAP. Hôte proxy Le nom ou l’adresse IP d’un serveur proxy pour la connexion Wi-Fi. Port du proxy Le numéro de port du serveur proxy. 14.18.6 Configuration de la Protection des applis (stratégie d’appareil Android) La configuration de la Protection des applis vous permet de définir le format de mot de passe à utiliser pour protéger les applis. Si la Protection des applis est utilisée, les utilisateurs doivent créer un mot de passe lorsqu’ils démarrent une app protégée pour la première fois. Suite à une tentative ratée de connexion, un délai de connexion est imposé. Si la Protection des applis est activée sur un appareil, la commande Réinitialiser le mot de passe de la Protection des applis est disponible dans le menu Actions sur la page Affichage de l’appareil. L’utilisateur a également la possibilité de réinitialiser le mot de passe de la Protection des applis dans le Portail libre-service. Paramètre/Champ Description Complexité du mot de passe Le niveau de complexité minimale requis pour le mot de passe qui sera créé par les utilisateurs. Copyright © Sophos Limited 183 Sophos Mobile Paramètre/Champ Description Délai de grâce en minutes À la fin du délai de grâce, les applis protégées peuvent uniquement être déverrouillées par mot de passe. Groupe d’applis Sélectionnez le groupe d’applis contenant les applis protégées par mot de passe. Retrouvez plus de renseignements sur la création des groupes d’applis à la section Groupes d’apps (page 351). Autoriser l’authentification par empreinte digitale L’utilisateur peut utiliser son empreinte digitale pour déverrouiller une app protégée. 14.18.7 Configuration du contrôle des applis (stratégie d’appareil Android) La configuration du Contrôle des applis vous permet de définir les applis dont l’utilisation n’est pas autorisée. Vous pouvez, par exemple, utiliser cette fonction pour bloquer les applis préinstallées par le fabricant de l’appareil et qui ne peuvent pas être désinstallées. Paramètre/Champ Description Groupe d’applis Sélectionnez le groupe d’applis contenant les applis bloquées. Retrouvez plus de renseignements sur la création des groupes d’applis à la section Groupes d’apps (page 351). 14.18.8 Configuration des Autorisations des apps (Android) La configuration Autorisations des applis vous permet de configurer la réponse à donner lorsqu’une appli demande des autorisations pendant son exécution. Paramètre/Champ Description Autorisations d’exécution des applis Accorder ou refuser des autorisations d’exécution pour des applis spécifiques. Cliquez sur Ajouter pour sélectionner une appli, puis sélectionnez l’une des options suivantes pour chaque autorisation : 184 • Sélectionnable : Les utilisateurs peuvent modifier l’autorisation. • Accordée : L’autorisation est accordée. • Refusée : L’autorisation est refusée. Copyright © Sophos Limited Sophos Mobile 14.18.9 Configuration du mode kiosque (stratégie d’appareil Android Enterprise) La configuration du Mode kiosque vous permet de définir les restrictions pour les appareils afin de les mettre en mode kiosque. Cliquez sur Sélectionner la source et procédez de l’une des façons suivantes pour indiquer l’appli qui sera démarrée lors de l’assignation de la stratégie sur un appareil : • Sélectionnez Personnalisée et saisissez l’identifiant d’appli. • Sélectionnez Liste des applis et sélectionnez une appli dans la liste Identifiant d’appli. Cette liste contient toutes les applis que vous avez configurées sur la page Applis. Retrouvez plus de renseignements à la section Ajout d’une appli (page 329). • Sélectionnez Aucune appli pour configurer le mode kiosque sans indiquer d’appli. Les restrictions du mode kiosque sont appliquées à l’appareil mais aucune appli n’est démarrée. Sous Options, dessélectionnez les fonctions matérielles et logicielles que vous souhaitez désactiver dans le mode kiosque. Lorsque la stratégie est assignée à l’appareil, l’appli que vous avez indiquée est démarrée. Toutefois, si vous n’avez désactivé aucune fonction matérielle ou logicielle, l’utilisateur pourra quitter l’appli et utiliser l’appareil normalement. Pour définir l’appareil en mode kiosque, veuillez dessélectionner les cases Autoriser le bouton Accueil et Autoriser le gestionnaire de tâches. Remarque • L’appli que vous indiquez doit être installée sur l’appareil. En cas contraire, les tâches de transfert demeureront à l’état incomplet jusqu’à ce que l’appli soit installée. Pour installer l’appli, créez une série de tâches contenant, par exemple, une tâche Installer l’appli et transférez cette série sur vos appareils. • Pour les appareils Sony à partir du niveau 9 de l’API d’entreprise, si vous dessélectionnez la case Autoriser l’augmentation du volume, Autoriser la baisse du volume ou Autoriser le mode Muet, tous les boutons de volume de l’appareil sont désactivés. 14.18.10 Configuration du nom du point d’accès (stratégie d’appareil Android) La configuration Nom du point d’accès vous permet d’indiquer le nom du point d’accès (APN) pour les appareils mobiles. Les configurations APN définissent la manière dont les appareils se connectent au réseau mobile. Attention Nous vous conseillons de demander à votre opérateur quels sont les paramètres requis. Si vous sélectionnez Utiliser en tant que Nom du point d’accès par défaut par défaut et que les paramètres sont incorrects, l’appareil ne pourra pas accéder aux données via les réseaux cellulaires. Copyright © Sophos Limited 185 Sophos Mobile Remarque À l’exception du champ Nom du point d’accès, tous les paramètres sont facultatifs et doivent uniquement être remplis si requis par votre opérateur de réseau mobile. Paramètre/Champ Description APN Le Nom du point d’accès que l’appareil mentionne lorsqu’il établit une connexion avec l’opérateur. Il doit correspondre à un Nom du point d’accès accepté par l’opérateur. Dans le cas contraire, la connexion ne pourra pas être établie. Nom convivial Un nom facultatif affiché sur l’appareil en plus du Nom du point d’accès. Serveur L’adresse du serveur HTTP utilisé pour le trafic Web. Port Le port du serveur HTTP utilisé pour le trafic Web. Nom d’utilisateur, Mot de passe de l’utilisateur Un nom d’utilisateur et un mot de passe pour la connexion au Nom du point d’accès. Serveur Le serveur de la passerelle WAP. MMSC Multimedia Messaging Service Center (MMSC). Serveur proxy MMS, Port proxy MMS L’adresse et le port d’un serveur HTTP utilisé pour la établir la communication avec MMSC. MCC (Mobile Country Code), MNC (Mobile Network Code) MCC et MNC pour indiquer l’opérateur. Le Nom du point d’accès est uniquement utilisé pour cet opérateur. Type d’authentification La méthode d’authentification pour les connexions PPP. Type de Nom du point d’accès Les types de connexion de données pour lesquels ce Nom du point d’accès est utilisé. Pour utiliser le Nom du point d’accès pour tous les types de données, saisissez * ou ne remplissez pas ce champ. 186 Support La technologie d’accès radio (ou RAT pour Radio Access Technology) utilisée par l’opérateur. Protocole Le protocole réseau pris en charge par l’opérateur. Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Protocole itinérant Le protocole réseau pris en charge par l’opérateur en mode itinérant. Utiliser en tant que Nom du point d’accès par défaut Si cette option est sélectionnée, les appareils utilisent ce Nom du point d’accès par défaut. Une erreur est signalée lorsque vous essayez de sélectionner cette option dans plusieurs configurations du Nom du point d’accès. 14.18.11 Configuration VPN (stratégie d’appareil Android) La configuration VPN vous permet de définir les paramètres VPN pour les connexions réseau. Paramètre/Champ Description Nom de la connexion Le nom de la connexion affichée sur l’appareil. Serveur Le nom d’hôte ou l’adresse IP du serveur. Type de connexion Le type de connexion VPN : • L2TP/IPsec (PSK) Si vous sélectionnez ce type, les champs Utilisateur, Mot de passe et L2TP/IPsec (PSK) sont affichés. Saisissez le nom d’utilisateur et le mot de passe. Dans le champ L2TP/IPsec (PSK), saisissez la clé prépartagée pour l’authentification. • L2TP/IPsec (certificat) Si vous sélectionnez ce type, les champs Certificat du client, Certificat racine, Utilisateur et Mot de passe sont affichés. Dans les champs Certificat du client et Certificat racine, sélectionnez les certificats adéquats. Saisissez également le nom d’Utilisateur et le Mot de passe adéquat. • Cisco AnyConnect Si vous sélectionnez ce type, vous pouvez télécharger les fichiers XML avec un profil VPN AnyConnect et/ou un profil NVM (Network Visibility Module). Retrouvez plus de renseignements sur ces profils dans le guide d’administration de Cisco AnyConnect. Copyright © Sophos Limited 187 Sophos Mobile 14.18.12 Configuration du certificat racine (stratégie d’appareil Android) La configuration Certificat racine vous permet d’installer un certificat racine sur les appareils. Paramètre Description Fichier Sélectionnez Télécharger un fichier puis sélectionnez un fichier de certificat PKCS #12 (.pfx). Nom du certificat Le nom du certificat. Sophos Mobile lit le nom dans le fichier de certificat. Remarque Le certificat est disponible pour d’autres configurations de la même stratégie. Si vous avez besoin de certificats pour d’autres stratégies, vous allez devoir les télécharger de nouveau. Conseil Il est possible de faire glisser un certificat de l’Explorateur de fichiers vers la zone Fichier pour le télécharger. 14.18.13 Configuration du certificat du client (stratégie d’appareil Android) La configuration Certificat du client vous permet d’installer un certificat du client sur les appareils. Paramètre Description Fichier Sélectionnez Télécharger un fichier puis sélectionnez un fichier de certificat PKCS #12 (.pfx). Nom du certificat Le nom du certificat. Sophos Mobile lit le nom dans le fichier de certificat. Remarque Le certificat est disponible pour d’autres configurations de la même stratégie. Si vous avez besoin de certificats pour d’autres stratégies, vous allez devoir les télécharger de nouveau. Conseil Il est possible de faire glisser un certificat de l’Explorateur de fichiers vers la zone Fichier pour le télécharger. 188 Copyright © Sophos Limited Sophos Mobile 14.18.14 Configuration SCEP (stratégie d’utilisateur Android) La configuration SCEP permet d’autoriser les appareils à demander des certificats à une Autorité de certification à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol). Remarque Veuillez commencer par ajouter une configuration du Certificat racine pour charger le certificat de l’Autorité de certification du serveur SCEP avant d’ajouter une configuration du protocole SCEP. Paramètre/Champ Description URL L’adresse Web du serveur de l’Autorité de certification. Utilisez la variable %_SCEPPROXYURL_% pour indiquer l’URL du serveur configurée sur l’onglet SCEP de la page Configuration de Sophos. Nom d’alias Le nom sous lequel le certificat va apparaître dans les boîtes de dialogue de sélection. Il doit s’agir d’un nom facile à mémoriser pour identifier le certificat. Par exemple, utilisez la même valeur que dans le champ Objet mais sans le préfixe CN=. Objet Le nom de l’entité (par exemple ; une personne ou un appareil) qui recevra le certificat. Vous pouvez utiliser des espaces réservés pour les données de l’utilisateur ou les propriétés de l’appareil. La valeur que vous saisissez (remplacement des espaces réservés par des données) doit être un nom X.500 valable. Par exemple : • Saisissez CN=%_USERNAME_% pour indiquer un utilisateur. • Saisissez CN=%_DEVPROP(serial_number)_% pour un appareil Android. Retrouvez plus de renseignements sur les espaces réservés disponibles à la section Espaces réservés dans les stratégies (page 116). Copyright © Sophos Limited 189 Sophos Mobile Paramètre/Champ Description Type de l’autre nom de l’objet Pour ajouter un Autre nom de l’objet (SAN) à la configuration SCEP, sélectionnez le type de l’Autre nom de l’objet et saisissez la valeur de l’Autre nom de l’objet. Les types SAN sont : Valeur de l’autre nom de l’objet • Nom RFC 822 : une adresse électronique valide. • Nom DNS : le nom DNS du serveur de l’autorité de certification. • Uniform Resource Identifier : l’URL complète du serveur de l’autorité de certification. Nom de connexion d’utilisateur AD La valeur Nom de connexion d’utilisateur définie dans Active Directory, c’est-à-dire le Nom principal de l’utilisateur (UPN). Challenge L’adresse Web permettant de récupérer un mot de passe de challenge à partir du serveur SCEP. Utilisez la variable %_CACHALLENGE_% pour indiquer l’URL de challenge configurée sur l’onglet SCEP de la page Configuration de Sophos. Certificat racine Le certificat de l’Autorité de certification. Sélectionnez le certificat dans la liste. La liste contient tous les certificats que vous avez chargés dans la configuration Certificat racine de la stratégie actuelle. Taille de la clé La taille de la clé publique dans le certificat émis. Assurez-vous que la valeur indiquée correspond à la taille configurée sur le serveur SCEP. Utilisation de la clé Sélectionnez comment le certificat peut être utilisé. Utiliser en tant que signature numérique : Le certificat peut être utilisé en tant que signature numérique. Utiliser pour le chiffrement : Le certificat peut être utilisé pour le chiffrement des données. 190 Copyright © Sophos Limited Sophos Mobile 14.19 Configuration des stratégies de conteneur Knox Une stratégie de conteneur Knox vous permet de configurer les paramètres du conteneur Knox sur les appareils Samsung. 14.19.1 Configuration des stratégies de mot de passe (stratégie de conteneur Knox) La configuration Stratégies de mot de passe vous permet de définir les exigences à respecter pour le mot de passe du conteneur Knox. Remarque Les paramètres pris en charge varient en fonction de la version du système d’exploitation ou des autres fonctions de l’appareil. Ceci est indiqué par des étiquettes bleues dans Sophos Mobile Admin. Type de mot de passe La liste Type de mot de passe vous permet de sélectionner le type de mot de passe que les utilisateurs sont autorisés à configurer : Paramètre/Champ Description Modèle, code PIN ou mot de passe Les utilisateurs doivent définir un mode de déverrouillage de l’écran. Ils peuvent choisir un mode de déverrouillage de l’écran de type Modèle, Code PIN ou Mot de passe. Aucune autre restriction n’est imposée. Mot de passe simple Les utilisateurs doivent définir un mode de déverrouillage de l’écran de type Mot de passe. L’utilisation de chiffre est autorisée mais le mot de passe doit contenir au moins une lettre. Vous pouvez définir la longueur minimale. Retrouvez plus de renseignements à ce sujet dans le tableau ci-dessous. Code PIN ou mot de passe Les utilisateurs doivent définir un mode de déverrouillage de l’écran de type Code PIN ou Mot de passe. Vous pouvez définir la longueur minimale. Retrouvez plus de renseignements à ce sujet dans le tableau ci-dessous. Copyright © Sophos Limited 191 Sophos Mobile Paramètre/Champ Description Mot de passe alphanumérique Les utilisateurs doivent définir un mode de déverrouillage de l’écran de type Mot de passe. Le mot de passe doit contenir une combinaison de lettres et de chiffres. Vous pouvez définir la longueur minimale. Retrouvez plus de renseignements à ce sujet dans le tableau cidessous. Mot de passe complexe Les utilisateurs doivent définir un mode de déverrouillage de l’écran de type Mot de passe. Le mot de passe doit contenir une combinaison de lettres et de chiffres. Vous pouvez définir la longueur minimale ainsi que le nombre minimal de chiffres, de lettres minuscules et majuscules et de caractères spéciaux à utiliser. Retrouvez plus de renseignements à ce sujet dans les deux tableaux ci-dessous. Si vous sélectionnez Mot de passe simple, Code PIN ou mot de passe, Mot de passe alphanumérique ou Mot de passe complexe, les champs suivants apparaissent : Paramètre/Champ Description Longueur minimum du mot de passe Le nombre minimum de caractères qu’un mot de passe doit contenir. Délai d’attente avant demande du mot de passe Le temps au bout duquel le conteneur Knox est verrouillé lorsqu’il n’est pas utilisé. Le conteneur peut être déverrouillé en saisissant le mot de passe. Remarque Il se peut que l’appareil impose un période de temps plus courte que celle que vous avez configurée ici. Durée de validité maximale du mot de passe en jours Demande aux utilisateurs de changer leur mot de passe dans l’intervalle indiqué. Plage de valeur : 0 (aucun changement de mot de passe requis) à 730 jours. Nombre maximal de tentatives de connexion Le conteneur Knox est supprimé après ce nombre de tentatives de connexion incorrectes. Historique du mot de passe Le nombre de mots de passe précédemment utilisés que Sophos Mobile conserve en mémoire. Lorsqu’un utilisateur crée un nouveau mot de passe, celui-ci ne doit pas être le même qu’un mot de passe précédemment utilisé. 192 Copyright © Sophos Limited Sophos Mobile Si vous sélectionnez Mot de passe complexe, les champs supplémentaires suivants apparaissent : Paramètre/Champ Description Nombre minimum de lettres Le nombre minimum de lettres qu’un mot de passe doit contenir. Nombre minimum de lettres minuscules Le nombre minimum de lettres minuscules qu’un mot de passe doit contenir. Nombre minimum de lettres majuscules Le nombre minimum de lettres majuscules qu’un mot de passe doit contenir. Nombre minimum de caractères non alphabétiques Le nombre minimum de caractères non alphabétiques (par exemple & ou !) qu’un mot de passe doit contenir. Nombre minimum de chiffres Le nombre minimum de chiffres qu’un mot de passe doit contenir. Nombre minimum de caractères spéciaux Le nombre minimum de caractères spéciaux (par exemple !"§$%&/()=,.-;:_@<>) qu’un mot de passe doit contenir. Authentification biométrique Paramètre/Champ Description Autoriser l’authentification par empreinte digitale Si cette fonction est disponible sur l’appareil, l’utilisateur peut utiliser l’authentification par empreinte digitale pour déverrouiller le conteneur Knox. Autoriser l’authentification par l’iris Si cette fonction est disponible sur l’appareil, l’utilisateur peut utiliser l’authentification par l’iris pour déverrouiller le conteneur Knox. Autoriser l’authentification du visage Si cette fonction est disponible sur l’appareil, l’utilisateur peut utiliser la reconnaissance faciale pour déverrouiller le conteneur Knox. 14.19.2 Configuration des Restrictions (stratégie de conteneur Knox) La configuration des Restrictions vous permet de configurer les restrictions et paramètres associés du conteneur Knox des appareils Samsung. Paramètre/Champ Description Autoriser la capture d’écran L’utilisateur peut faire des captures d’écran du contenu des apps présentes dans le conteneur Samsung Knox. Copyright © Sophos Limited 193 Sophos Mobile Paramètre/Champ Description Autoriser l’appareil photo Les apps présentes dans le conteneur Samsung Knox ont accès à l’appareil photo. Autoriser le Presse-papiers L’utilisateur peut copier le contenu du presse-papiers. Autoriser « Partager par » La fonction Partager par utilisée par certaines apps est activée. Autoriser le microphone Les apps présentes dans le conteneur Samsung Knox ont accès au microphone. Appliquer l’utilisation du clavier sécurisé L’utilisateur doit se servir du clavier sécurisé. Autoriser l’ajout de nouveaux comptes de messagerie L’utilisateur peut ajouter d’autres comptes de messagerie que les comptes configurés par une stratégie Sophos Mobile. Autoriser l’exportation de données Les apps personnelles ont accès aux données depuis le conteneur Samsung Knox. Autoriser la copie de fichiers dans le conteneur Les fichiers personnels peuvent être copiés ou déplacés dans le conteneur Samsung Knox. Autoriser Bluetooth Les apps présentes dans le conteneur Samsung Knox peuvent utiliser les connexions Bluetooth. Autoriser NFC Les apps se trouvant dans le conteneur Samsung Knox peuvent utiliser les connexions NFC (communication en champ proche). Appliquer l’authentification multifacteur Plusieurs méthodes d’authentification sont requises pour déverrouiller le conteneur Samsung Knox, comme par exemple le mot de passe ou l’empreinte digitale. Applis autorisées / Applis interdites Vous pouvez configurer soit les Applis autorisées soit les Applis interdites. Sélectionnez l’option désirée dans la première liste et sélectionnez le groupe d’applis contenant les applis qui doivent être autorisées ou interdites dans la seconde liste. L’installation d’applis déclenchée par le serveur Sophos Mobile n’est pas limitée par ce paramètre. Retrouvez plus de renseignements sur la création des groupes d’applis à la section Groupes d’apps (page 351). 194 Copyright © Sophos Limited Sophos Mobile 14.19.3 Configuration du compte Exchange (stratégie de conteneur Knox) La configuration Compte Exchange vous permet de créer une connexion à un serveur de messagerie Serveur Microsoft Exchange. Ces paramètres sont appliqués au conteneur Samsung Knox. Paramètre/Champ Description Nom du compte Le nom du compte. Serveur Exchange L’adresse du serveur Exchange. Si vous utilisez le proxy EAS de Sophos Mobile, veuillez saisir l’URL du serveur proxy EAS. Domaine Le domaine de ce compte. Utilisateur L’utilisateur de ce compte. Si vous saisissez la variable %_USERNAME_%, le serveur la remplace par le nom de l’utilisateur en cours. Adresse email L’adresse électronique du compte. Si vous saisissez la variable %_EMAILADDRESS_ %, le serveur la remplace par l’adresse électronique en cours. Expéditeur Un nom d’expéditeur pour ce compte. Si vous saisissez la variable %_EMAILADDRESS_ %, le serveur la remplace par l’adresse électronique en cours. Mot de passe Le mot de passe de ce compte. Si vous ne remplissez pas ce champ, les utilisateurs devront saisir le mot de passe sur leurs appareils. Période de synchronisation La date à laquelle les emails sont synchronisés. Seuls les emails compris dans la période indiquée sont synchronisés dans la boîte de réception sur l’appareil. Intervalle de synchronisation L’intervalle entre les processus de synchronisation de la messagerie. SSL/TLS La connexion au serveur Exchange est sécurisée par SSL ou TLS (selon la compatibilité du serveur). Nous vous conseillons de sélectionner cette option. Copyright © Sophos Limited 195 Sophos Mobile Paramètre/Champ Description Compte par défaut Le compte est utilisé en tant que compte de messagerie par défaut. Autoriser tous les certificats Autoriser tous les certificats lors des processus de transferts à partir du serveur de messagerie. Autoriser le transfert à partir d’autres comptes Ce compte peut être utilisé pour transférer des emails reçu par un autre compte. Si nous prenons l’exemple d’un compte A se trouvant dans le conteneur Knox qui contient également un autre compte (le compte B), un email reçu par le compte B peut être transféré à l’aide du compte A en tant qu’expéditeur. Remarque Ce paramètre est uniquement utilisé par l’app de messagerie Android d’origine. Autoriser l’utilisation du format HTML Autoriser l’utilisation du format HTML dans les emails. Taille maximale des pièces jointes (Mo) La taille maximale d’un email. Synchroniser les types de contenu Les types de contenu à synchroniser. 14.20 Configuration des stratégies d’appareils iOS Une stratégie d’appareils iOS permet de configurer les paramètres des iPhone et iPad. 14.20.1 Configuration des stratégies de mot de passe (stratégie d’appareil iOS) La configuration Stratégies de mot de passe vous permet de définir les exigences à respecter pour le mot de passe de l’appareil. Remarque Lorsque la configuration Stratégies de mot de passe est assignée à un appareil, un délai de grâce de 60 minutes commence. Au cours de cette période, l’utilisateur est invité à changer son mot de passe lorsqu’il revient sur l’écran d’accueil conformément aux stratégie de sécurité en vigueur. Une fois le délai de grâce expiré, l’utilisateur ne peut plus démarrer les applis sur l’appareil, même les applis internes. 196 Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Accepter les valeurs simples Les utilisateurs sont autorisés à utiliser des caractères séquentiels ou répétés dans leur mot de passe (par exemple 1111 ou abcde). Exiger des valeurs alphanumériques Les mots de passe doivent contenir au moins une lettre ou un chiffre. Longueur minimum du mot de passe Indique le nombre minimum de caractères qu’un mot de passe doit contenir. Nombre minimum de caractères complexes Indique le nombre minimum de caractères non alphanumériques (par exemple & ou !) qu’un mot de passe doit contenir. Durée de validité maximale du mot de passe en jours Demande aux utilisateurs de changer leur mot de passe dans l’intervalle indiqué. Plage de valeur : 0 (aucun changement de mot de passe requis) à 730 jours. Verrouillage automatique maximal (en minutes) Ce champ vous permet d’indiquer la valeur maximale que l’utilisateur peut configurer sur l’appareil. Le verrouillage automatique indique au bout de combien de temps (en minutes) l’appareil doit être verrouillé lorsqu’il n’est pas utilisé. Historique du mot de passe Le nombre de mots de passe précédemment utilisés que Sophos Mobile conserve en mémoire. Lorsqu’un utilisateur crée un nouveau mot de passe, celui-ci ne doit pas être le même qu’un mot de passe précédemment utilisé. Délai de grâce maximal avant verrouillage de l’appareil Copyright © Sophos Limited Ce champ vous permet d’indiquer la valeur maximale que l’utilisateur peut configurer sur l’appareil. Le délai de grâce avant le verrouillage de l’appareil vous permet d’indiquer pendant combien de temps l’appareil peut être déverrouillé suite à un verrouillage sans demande de mot de passe. Si vous sélectionnez Aucun, l’utilisateur peut sélectionner l’un des intervalles disponibles. Si vous sélectionnez Immédiatement, les utilisateurs doivent saisir un mot de passe à chaque fois qu’ils déverrouillent leur appareil. 197 Sophos Mobile Paramètre/Champ Description Nombre de tentatives ratées avant réinitialisation de l’appareil Ce champ vous permet d’indiquer le nombre de tentatives ratées de saisie du mot de passe qu’il est possible d’effectuer avant que l’appareil soit réinitialisé. Après six tentatives ratées, l’utilisateur doit attendre pendant un moment avant de pouvoir saisir de nouveau un mot de passe. Le délai d’attente augmente à chaque tentative ratée. Suite à l’échec de la dernière tentative, toutes les données et les paramètres sont supprimés de l’appareil. Le délai d’attente commence à la sixième tentative. Par conséquent, si vous définissez cette valeur sur 6 ou sur une valeur inférieure, il n’y a aucun délai d’attente et l’appareil est réinitialisé lorsque la limite des tentatives autorisées est dépassée. 14.20.2 Configuration des restrictions (stratégie d’appareil iOS) La configuration Restrictions vous permet de définir les restrictions pour les appareils. Remarque Certaines options sont uniquement disponibles sur certaines versions d’iOS ou sur certains appareils supervisés. Ceci est indiqué par des étiquettes bleues dans Sophos Mobile Admin. Appareil 198 Paramètre/Champ Description Autoriser l’installation d’applis Si cette case n’est pas sélectionnée, la boutique App Store n’est plus disponible et l’icône disparaît de l’écran d’Accueil. L’utilisateur ne peut pas installer ou mettre à jour les applis via l’App Store ou via Apple Configurator. Autoriser l’installation d’applis à partir de l’interface de l’appareil Si cette case n’est pas sélectionnée, la boutique App Store n’est plus disponible et l’icône disparaît de l’écran d’Accueil. L’utilisateur peut toujours installer ou mettre à jour les applis depuis Apple Configurator. Autoriser l’utilisation de l’appareil photo Si cette case est dessélectionnée, l’appareil photo n’est plus disponible et l’icône de l’Appareil photo disparaît de l’écran d’Accueil. L’utilisateur ne peut pas prendre de photos, enregistrer de vidéos ou utiliser FaceTime. Autoriser FaceTime L’utilisateur peut passer ou recevoir des appels vidéo FaceTime. Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Autoriser la capture d’écran Les utilisateurs peuvent prendre des captures d’écran. Autoriser la synchronisation automatique pendant l’itinérance Si cette case n’est pas sélectionnée, les appareils itinérants se synchronisent uniquement lorsque l’utilisateur accède au compte. Autoriser Siri Si cette case n’est pas sélectionnée, les utilisateurs ne peuvent pas utiliser Siri, les commandes vocales ou le mode dictée. Autoriser Siri lorsque l’appareil est verrouillé Si cette case n’est pas sélectionnée, les utilisateurs doivent déverrouiller son appareil en saisissant son mot de passe avant d’utiliser Siri. Autoriser Siri à demander du contenu sur Internet Si cette case n’est pas sélectionnée, Siri ne fera aucune demande de contenu sur Internet. Forcer le filtrage du langage explicite de Siri Si cette case n’est pas sélectionnée, le filtrage du langage explicite de Siri n’est pas appliqué sur l’appareil. Autoriser la composition vocale pendant que l’appareil est verrouillé Si cette case n’est pas sélectionnée, l’utilisateur ne peut pas composer de numéros à l’aide des commandes vocales lorsque l’appareil est verrouillé par mot de passe. Si l’utilisateur n’a pas configuré un mot de passe sur l’appareil, la composition vocale est toujours autorisée. Autoriser Passbook pendant que l’appareil est verrouillé Les notifications Passbook sont affichées lorsque l’appareil est verrouillé. Autoriser les achats intégrés L’utilisateur peut effectuer des achats intégrés. Obliger l’utilisateur à saisir le mot de passe iTunes Store pour tous les achats Les utilisateurs doivent saisir leur mot de passe d’identifiant Apple pour effectuer leurs achats. Autoriser les jeux multijoueurs L’utilisateur peut jouer à des jeux en mode multijoueurs dans Game Center. Autoriser l’utilisation de Game Center Si cette case est dessélectionnée, Game Center n’est plus disponible. Autoriser l’ajout d’amis dans Game Center L’utilisateur peut ajouter des amis à Game Center. Autoriser la modification de Localiser mes amis Si cette case n’est pas sélectionnée, les modifications de l’appli de Localiser mes amis ne sont plus possibles. Copyright © Sophos Limited Si cette case n’est pas sélectionnée, un court délai de grâce permet à l’utilisateur d’effectuer d’autres achats sans avoir à saisir de nouveau son mot de passe. 199 Sophos Mobile 200 Paramètre/Champ Description Autoriser le jumelage entre hôtes Si la case n’est pas cochée, vous pouvez uniquement jumeler l’appareil avec les Macs que vous avez configurés pour la supervision d’appareil. Autoriser le jumelage avec Apple Watch Si cette case n’est pas sélectionnée, les utilisateurs ne peuvent pas jumeler l’appareil avec une Apple Watch. Tout jumelage avec une Apple Watch est annulé. Forcer la détection du poignet Une Apple Watch jumelée doit utiliser la détection du poignet. Autoriser AirDrop Le partage de contenu avec AirDrop est activé. Autoriser le Centre de contrôle pendant le verrouillage de l’écran Si cette case n’est pas sélectionnée, le Centre de contrôle n’est plus disponible lorsque l’écran de l’appareil est verrouillé. Autoriser le Centre de notifications pendant le verrouillage de l’écran Si cette case est dessélectionnée, le Centre de notifications n’est plus disponible lorsque l’écran de l’appareil est verrouillé. Autoriser la vue Aujourd’hui pendant le verrouillage de l’écran Si cette case est dessélectionnée, la vue Aujourd’hui n’est plus disponible lorsque l’écran de l’appareil est verrouillé. Autoriser les actualités L’appli Actualités est disponible. Autoriser les mises à jour directes des ICP Les mises à jour directes des ICP sont possibles. Autoriser l’accès à l’iBooks Store L’utilisateur peut acheter des livres dans iBooks. Autoriser l’accès aux livres au contenu érotique dans l’iBooks Store Si cette case est dessélectionnée, l’accès aux livres au contenu érotique par le biais de l’iBooks Store est interdit. Autoriser l’installation des profils de configuration L’utilisateur peut installer des profils de configuration. Autoriser l’utilisation d’iMessage L’utilisateur peut utiliser iMessage pour envoyer ou recevoir des SMS. Autoriser la suppression d’applis L’utilisateur peut désinstaller des applis de l’appareil. Autoriser la suppression des applis système L’utilisateur peut désinstaller des applis système de l’appareil. Autoriser l’effacement du contenu et des réglages Si cette case est dessélectionnée, l’option Effacer contenu et réglages dans le menu Réinitialiser n’est plus disponible. Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Autoriser la recherche sur Internet pour Spotlight Si cette case est dessélectionnée, Spotlight ne fournit plus de résultats de recherche sur Internet. Autoriser l’activation de l’option de restrictions Si cette case est dessélectionnée, l’option Activer les restrictions dans le menu Réinitialiser n’est plus disponible. Autoriser Handoff L’utilisateur peut utiliser la fonctionnalité de Continuité d’Apple nommée Handoff. La fonctionnalité Handoff permet à l’utilisateur de commencer à travailler sur un document, email ou message sur un appareil et de continuer sur un autre appareil. Autoriser la modification du nom de l’appareil L’utilisateur peut changer le nom de l’appareil. Autoriser la modification du fond d’écran L’utilisateur peut changer le fond d’écran. Autoriser la modification des paramètres de notification L’utilisateur peut changer les paramètres de notification. Autoriser les raccourcis clavier L’utilisateur peut utiliser les raccourcis clavier. Autoriser la dictée pour la saisie clavier L’utilisateur peut activer le paramètres du clavier Activer la dictée. Autoriser la saisie prédictive L’utilisateur peut activer le paramètres du clavier Saisie prédictive. Autoriser la correction automatique L’utilisateur peut activer le paramètres du clavier Correction automatique. Autoriser la vérification orthographique L’utilisateur peut activer le paramètres du clavier Vérifier l’orthographe. Autoriser le téléchargement automatique d’applis Si cette case est dessélectionnée, le téléchargement automatique des applis achetées sur d’autres appareils est désactivé. Les mises à jour des applis existantes ne sont pas affectées. Autoriser Apple Music L’utilisateur peut accéder à la bibliothèque Apple Music. Autoriser Apple Music Radio L’utilisateur peut accéder à Apple Music Radio. Autoriser la modification des paramètres Bluetooth L’utilisateur peut modifier les paramètres Bluetooth. Autoriser la création d’un VPN L’utilisateur peut ajouter des configurations VPN. Copyright © Sophos Limited 201 Sophos Mobile Paramètre/Champ Description Forcer la date et l’heure automatiques Dans le paramètre Date et heure d’iOS, l’option Réglage automatique est activée et ne peut pas être désactivée par l’utilisateur. Délai de mise à jour du logiciel iOS Le nombre de jours de délais du logiciel iOS après sa date de sortie. Saisir une valeur entre 0 (aucun délai) et 90. Données de l’entreprise Paramètre/Champ Description Autoriser le partage des documents uniquement dans les applis/comptes administrés Cette option limite l’ouverture des documents aux applis ou comptes administrés par Sophos Mobile, (par exemple ; un compte de messagerie professionnelle). Si Sophos Mobile est utilisé pour administrer le compte de messagerie des utilisateurs et que les applis installées sur leurs appareils mobiles sont administrées par Sophos Mobile, les pièces jointes de ce compte de messagerie administré pourront uniquement être ouvertes à l’aide d’applis administrées. De cette manière, vous pouvez empêcher l’ouverture de documents professionnels par des applis non administrées. Si vous désactivez ce paramètre, les deux paramètres suivants sont également désactivés. Les contacts des comptes administrés peuvent être partagés avec les applis non administrées. Autoriser les applis administrées à écrire les contacts sur des comptes non administrés Les applis administrées ont le droit en écriture des contacts sur des comptes non administrés. Autoriser les applis non administrées à lire les contacts à partir de comptes administrés Les applis non administrées ont le droit en lecture des contacts à partir de comptes administrés. Autoriser le partage des documents uniquement dans les applis/comptes non administrés Cette option limite l’ouverture des documents aux applis ou comptes administrés par Sophos Mobile, (par exemple ; un compte de messagerie privé). Si Sophos Mobile n’est pas utilisé pour administrer le compte de messagerie des utilisateurs et les applis installées sur leurs appareils mobiles, les pièces jointes de ce compte de messagerie non administré pourront uniquement être ouvertes à l’aide d’applis non administrées. De cette manière, vous pouvez empêcher l’ouverture de documents personnels par des applis administrées. 202 Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Forcer l’utilisation non administrée des documents AirDrop AirDrop est considéré comme non administré. Autoriser les applis administrées à se synchroniser avec iCloud Les applis administrées peuvent utiliser la synchronisation avec iCloud. Autoriser la sauvegarde des livres d’entreprise Les livres d’entreprise sont sauvegardés. Autoriser la synchronisation des passages surlignés et des notes pour les livres d’entreprise Les notes et passages surlignés des livres d’entreprise sont synchronisés. Applications Paramètre/Champ Description Autoriser l’utilisation de l’iTunes Store Si cette case est dessélectionnée, la boutique iTunes n’est plus disponible et l’icône disparaît de l’écran d’Accueil. L’utilisateur ne peut pas prévisualiser, acheter ou télécharger de contenu. Autoriser l’utilisation de Safari Si cette case est dessélectionnée, le navigateur Web Safari n’est plus disponible et l’icône disparaît de l’écran d’Accueil. L’utilisateur ne peut pas non plus ouvrir de clips Web. Activer le remplissage automatique Si cette case est dessélectionnée, Safari ne remplit pas automatiquement les formulaires Web avec les informations saisies auparavant. Forcer l’avertissement de fraude Le paramètre de sécurité Safari permettant d’avertir l’utilisateur lorsqu’il se trouve sur un site Web de phishing est toujours activé. Bloquer les fenêtres intempestives Le blocage des fenêtres intempestives de Safari est activé. Autoriser JavaScript dans le navigateur Les pages Web peuvent exécuter le code JavaScript sur l’appareil. Accepter les cookies Ce champ vous permet d’indiquer si Safari accepte les cookies. Lorsque vous autorisez les cookies, vous pouvez indiquer si les cookies du site actuellement ouvert, ceux des sites visités auparavant ou ceux de tous les sites sont acceptés. Copyright © Sophos Limited 203 Sophos Mobile Paramètre/Champ Description Autoriser la modification de l’utilisation des données cellulaires par appli L’utilisateur peut changer l’utilisation des données cellulaires par appli. Applis autorisées / Applis interdites Vous pouvez indiquer soit Applis autorisées soit Applis interdites. Sélectionnez l’option désirée dans la première liste et sélectionnez le groupe d’applis contenant les applis qui doivent être autorisées ou interdites dans la seconde liste. Retrouvez plus de renseignements sur la création des groupes d’applis à la section Groupes d’apps (page 351). iCloud Paramètre/Champ Description Autoriser la sauvegarde Les utilisateurs peuvent sauvegarder leurs appareils dans iCloud. Autoriser la synchronisation des documents Les utilisateurs peuvent conserver les documents et les données de configuration des applis dans iCloud. Autoriser Flux de photos Les utilisateurs peuvent télécharger les photos dans Mon flux de photos. Attention Si la case d’interdiction de Mon flux de photos n’est pas sélectionnée, les photos déjà existantes partagées sur Mon flux de photos sont supprimées de tous les appareils. S’il n’existe aucune autre copie de ces photos, elles seront perdues. Autoriser la bibliothèque de photos iCloud Les utilisateurs peuvent utiliser la Bibliothèque de photos iCloud. Autoriser les flux de photos partagés Les utilisateurs peuvent inviter d’autres utilisateurs à consulter les flux de photos ainsi que les flux de photos partagés par d’autres utilisateurs. Autoriser la synchronisation du trousseau iCloud Les utilisateurs peuvent se servir du Trousseau iCloud pour synchroniser les mots de passe sur leurs iPhones, iPads et Macs. Si la case n’est pas sélectionnée, les données du Trousseau iCloud sont uniquement stockées localement sur l’appareil. 204 Copyright © Sophos Limited Sophos Mobile Sécurité et confidentialité Paramètre/Champ Description Autoriser l’envoi des données de diagnostic à Apple Si cette case n’est pas sélectionnée, les informations de diagnostic iOS ne seront pas transmises à Apple. Autoriser l’utilisateur à accepter des certificats TLS non approuvés Si cette case n’est pas sélectionnée, il ne sera pas demandé aux utilisateurs s’ils acceptent des certificats ne pouvant pas être vérifiés. Ce paramètre s’applique à Safari et aux comptes de contacts de messagerie et de Calendrier. Accepter les applis d’entreprise Les applis d’entreprise sont acceptées. Autoriser la modification du mot de passe L’utilisateur peut ajouter, changer ou supprimer le mot de passe de l’appareil. Autoriser la modification du compte Si cette case est dessélectionnée, l’utilisateur ne peut pas modifier les comptes. Le menu Comptes n’est plus disponible. Autoriser le capteur Touch ID à déverrouiller l’appareil Si cette case n’est pas sélectionnée, l’appareil ne peut pas être déverrouillé par Touch ID. Forcer le suivi publicitaire limité L’utilisation des applis de données d’utilisateurs anonymes ne sont plus disponibles pour effectuer le suivi publicitaire. Forcer les copies de sauvegarde chiffrées Les utilisateurs doivent chiffrer les sauvegardes dans iTunes. Forcer la connexion aux réseaux Wi#Fi configurés Les appareils peuvent uniquement se connecter aux réseaux Wi-Fi qui ont été configurés par une stratégie Sophos Mobile. Autoriser AirPrint Les utilisateurs peuvent envoyer des fichiers sur des imprimantes AirPrint. Autoriser le stockage des codes d’accès AirPrint Le nom d’utilisateur et le mot de passe AirPrint peuvent être stockés sur le jeu de clés du système. Autoriser la recherche iBeacon d’imprimantes AirPrint L’appareil utilise iBeacon pour rechercher les appareils AirPrint. Attention Si vous autorisez ceci, les appareils AirPrint malveillants peuvent lancer des attaques de phishing sur le trafic réseau. Copyright © Sophos Limited 205 Sophos Mobile Paramètre/Champ Description Forcer les certificats approuvés pour AirPrint sur TLS AirPrint sur TLS est rejeté si l’appareil AirPrint utilise un certificat non approuvé. Autoriser le Démarrage rapide pour le transfert vers un autre appareil L’utilisateur peut transférer des données à partir de l’appareil existant vers un nouvel appareil en utilisant la fonction Démarrage rapide de l’assistant d’installation d’iOS. Autoriser le remplissage automatique à la saisie du mot de passe L’utilisateur peut activer le paramètre Remplissage automatique des mots de passe qui lui permet d’utiliser le mot de passe ou les coordonnées de la carte de paiement enregistrés dans Safari ou dans d’autres applis. Si la case n’est pas sélectionnée, la suggestion automatique de mots de passe complexes est également désactivée. Forcer l’authentification avant le remplissage automatique L’utilisateur doit s’authentifier lorsqu’il utilise le remplissage automatique. Ce paramètres est uniquement appliqué sur les appareils compatibles avec Face ID ou Touch ID. Demander les mots de passe Wi#Fi à partir d’appareils à proximité L’appareil demande les mots de passe à partir d’appareils se trouvant à proximité lors de la configuration d’une connexion Wi-Fi. Autoriser le partage de mots de passe AirDrop L’utilisateur peut partager les mots de passe dans le Gestionnaire des mots de passe avec d’autres utilisateurs avec AirDrop. Classement du contenu Paramètre/Champ Description Autoriser la musique et les podcasts explicites Si cette case est dessélectionnée, la musique et les vidéos à contenu explicites seront masquées dans la boutique iTunes. Le contenu explicite est identifié par les fournisseurs de contenu, comme par exemple, les maisons de disques, lorsqu’il est répertorié sur la boutique iTunes. Tâches connexes Configuration de la supervision des appareils (page 85) 206 Copyright © Sophos Limited Sophos Mobile Vous pouvez configurer des Macs autorisés à surveiller vos appareils DEP iOS. Ces Macs peuvent être jumelés avec un appareil DEP iOS même si vous bloquez généralement le jumelage USB. 14.20.3 Configuration du compte Exchange (stratégie d’appareil iOS) La configuration Compte Exchange vous permet de créer une connexion à un serveur de messagerie Serveur Microsoft Exchange. Paramètre/Champ Description Nom du compte Le nom du compte. Serveur Exchange L’adresse du serveur Exchange. Si vous utilisez le proxy EAS de Sophos Mobile, veuillez saisir l’URL du serveur proxy EAS. Domaine Le domaine de ce compte. Utilisateur L’utilisateur de ce compte. Si vous saisissez la variable %_USERNAME_%, le serveur la remplace par le nom de l’utilisateur en cours. Adresse email L’adresse électronique du compte. Si vous saisissez la variable %_EMAILADDRESS_ %, le serveur la remplace par l’adresse électronique en cours. Mot de passe Le mot de passe de ce compte. Si vous ne remplissez pas ce champ, les utilisateurs devront saisir le mot de passe sur leurs appareils. OAuth Le compte utilise OAuth pour l’authentification, c’est-à-dire que les utilisateurs s’authentifient avec leurs codes d’accès Microsoft. Période de synchronisation La date à laquelle les emails sont synchronisés. Seuls les emails compris dans la période indiquée sont synchronisés dans la boîte de réception sur l’appareil. SSL/TLS La connexion au serveur Exchange est sécurisée par SSL ou TLS (selon la compatibilité du serveur). Nous vous conseillons de sélectionner cette option. Copyright © Sophos Limited 207 Sophos Mobile Paramètre/Champ Description Autoriser les déplacements L’utilisateur peut transférer ses emails de ce compte vers un autre compte. Ceci permet également d’empêcher l’utilisation d’un autre compte pour répondre ou transférer un message à partir de ce compte. Autoriser la synchronisation d’adresses récentes Le compte est inclus dans la synchronisation des adresses récemment utilisées avec d’autres appareils à l’aide d’iCloud. Utiliser uniquement dans les messages Le compte peut uniquement être utilisé pour envoyer des messages à partir de l’app de messagerie. Il ne peut pas être sélectionné comme compte pour envoyer des messages créés par d’autres apps comme par exemple Photos ou Safari. Certificat d’identité Sélectionnez le certificat d’identité pour la connexion au serveur Exchange. La liste contient tous les certificats présents dans la configuration du Certificat du client de la stratégie actuelle. Activer S/MIME Compatible avec la norme de chiffrement S/ MIME. Certificat de signature Les certificats utilisés pour la signature et le chiffrement des emails. Certificat de chiffrement Pour sélectionner un certificat, vous devez d’abord le télécharger à partir de l’option de configuration Certificat du client de la stratégie. Autoriser l’utilisateur à envoyer des emails chiffrés L’utilisateur peut choisir de chiffrer ou non les emails qu’il envoie. 14.20.4 Configuration Wi-Fi (stratégie d’appareil iOS) La configuration Wi-Fi vous permet d’indiquer les paramètres de connexion aux réseaux Wi-Fi. 208 Paramètre/Champ Description SSID L’identifiant du réseau Wi-Fi. Connexion automatique Connecter automatiquement au réseau cible. Réseau masqué Le réseau cible n’est pas ouvert ou visible. Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Type de sécurité Le type de sécurité du réseau Wi-Fi : • Aucun • WEP (personnel) • WPA/WPA2 (personnel) • Tous (personnel) • WEP (entreprise) • WPA/WPA2 (entreprise) • Toute (entreprise) Si vous sélectionnez un type de sécurité Personnel, un champ Mot de passe apparaît. Saisissez le mot de passe adéquat. Si vous sélectionnez un type de sécurité Entreprise, les onglets Protocoles, Authentification et Fiabilité apparaissent. Dans l’onglet Protocoles, configurez les paramètres suivants : • Sous Types d’EAP acceptés, sélectionnez les méthodes EAP à utiliser pour l’authentification. Selon les types sélectionnés sur cet onglet, les valeurs du champ Identité interne dans cet onglet peuvent être sélectionnées. • Sous EAP-FAST, configurez les paramètres de codes d’accès protégé EAP-FAST. • Dans Version TLS minimale et Version TLS maximale, sélectionnez une version TLS minimale et maximale à utiliser avec l’authentification EAP. Dans l’onglet Authentification, configurez les paramètres d’authentification du client : • Dans le champ Utilisateur, saisissez le nom d’utilisateur pour la connexion au réseau Wi-Fi. • Sélectionnez Demander le mot de passe à chaque connexion si le mot de passe doit être demandé pour chaque connexion et transféré avec l’authentification. • Dans le champ Mot de passe, saisissez le mot de passe adéquat. • Dans la liste Certificat d’identité, sélectionnez le certificat pour la connexion au réseau Wi-Fi. Remarque Le certificat à utiliser doit être indiqué sous la configuration Certificat du client. • Dans le champ Identité externe, saisissez l’identifiant externe visible (pour TTLS, PEAP et EAP-FAST). Dans l’onglet Fiabilité, configurez les paramètres d’authentification du serveur : Sélectionnez les certificats approuvés dans la liste. Copyright © Sophos Limited 209 Remarque Sophos Mobile Paramètre/Champ Description Proxy Dans cette liste, sélectionnez les paramètres du proxy pour la connexion Wi-Fi : • Aucun proxy • Manuel • Automatique Si vous sélectionnez Manuel, les champs Serveur, Port, Authentification et Mot de passe apparaissent. Saisissez les informations du proxy requises. Si vous sélectionnez Automatique, le champ URL PAC apparait. Saisissez l’URL du serveur proxy. 14.20.5 Configuration du Mode app unique (stratégie d’appareil iOS) La configuration Mode app unique vous permet de définir les paramètres du processus de verrouillage des appareils dans une seule app afin d’empêcher l’utilisation d’autres applis. Paramètre/Champ Description Sélectionner la source Sélectionnez la manière dont l’app doit être spécifiée pour le mode app unique : Identifiant d’app • Liste des applis : Sélectionnez l’app dans la liste des applis iOS disponibles. • Personnalisée : saisissez manuellement l’identifiant du package de l’app. L’app du mode app unique. Sélectionnez une app dans la liste ou saisissez un identifiant du package. 210 Désactiver l’écran tactile Les entrées tactiles ne sont plus disponibles. Désactiver la rotation La rotation de l’écran n’est plus possible. Désactiver les boutons de volume Les boutons de volume ne sont plus disponibles. Désactiver le commutateur de la sonnerie Le commutateur de la sonnerie n’est plus disponible. Désactiver le bouton Marche/Veille Le bouton de mise en veille n’est plus disponible. Désactiver le verrouillage automatique La fonction Verrouillage automatique qui met l’appareil en veille après une période d’activité est désactivée. Activer VoiceOver VoiceOver est disponible. Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Activer Zoom La fonction Zoom est disponible. Activer Inverser les couleurs La fonction Inverser les couleurs est disponible. Activer AssistiveTouch AssistiveTouch est disponible. Activer Énoncer la sélection La fonction Énoncer la sélection est disponible. Activer Audio mono La fonction Audio mono est disponible. VoiceOver Les réglages de VoiceOver sont disponibles. Zoom Le réglage du zoom est disponible. Inverser les couleurs Le réglage des couleurs est disponible. AssistiveTouch Le réglage d’AssistiveTouch est disponible. 14.20.6 Configuration du nom du point d’accès (stratégie d’appareil iOS) La configuration Nom du point d’accès vous permet d’indiquer le nom du point d’accès (APN) pour les appareils iOS. Les configurations APN définissent la manière dont les appareils se connectent au réseau mobile. Remarque La configuration Nom du point d’accès est abandonnée en faveur de la configuration Cellulaire. Retrouvez plus de renseignements à la section Configuration cellulaire (stratégie d’appareil iOS) (page 213). Attention Si ces paramètres sont incorrects, l’appareil ne pourra pas accéder aux données par le biais du réseau de téléphonie mobile. Pour annuler les changements de paramètres, la stratégie doit être supprimée de l’appareil. Paramètre/Champ Description APN Le Nom du point d’accès que l’appareil mentionne lorsqu’il établit une connexion GPRS avec l’opérateur. Il doit correspondre à un Nom du point d’accès accepté par l’opérateur. Dans le cas contraire, la connexion ne pourra pas être établie. Copyright © Sophos Limited 211 Sophos Mobile Paramètre/Champ Description Nom d’utilisateur pour le point d’accès Le nom d’utilisateur pour le point d’accès. Remarque le système iOS prend en charge les noms d’utilisateur APN composés d’un maximum de 64 caractères. Mot de passe pour le point d’accès Le mot de passe du point d’accès. Remarque le système iOS prend en charge les mots de passe APN composés d’un maximum de 64 caractères. Serveur, Port L’adresse et le port du serveur proxy. 14.20.7 Configuration de l’itinérance/Borne Wi-Fi (stratégie d’appareil iOS) La configuration Itinérance/Borne Wi-Fi vous permet de définir les paramètres d’itinérance et des bornes Wi-Fi. Remarque L’utilisateur peut modifier ces paramètres sur son appareil à tout moment. Paramètre/Champ Description Activer Voix à l’étranger La Voix à l’étranger n’est plus disponible. Ce paramètre est ignoré si l’opérateur du réseau de téléphonie mobile ne prend pas en charge la Voix à l’étranger. Activer Données à l’étranger Les Données à l’étranger ne sont plus disponibles. Activer Partage de connexion L’utilisateur peut configurer l’appareil afin de l’utiliser en tant que point d’accès personnel. Ce paramètre est ignoré si l’opérateur du réseau de téléphonie mobile ne prend pas en charge les bornes Wi-Fi. 212 Copyright © Sophos Limited Sophos Mobile 14.20.8 Configuration cellulaire (stratégie d’appareil iOS) La configuration Cellulaire vous permet de définir les paramètres du réseau cellulaire pour les appareils iOS. Remarque Une configuration Cellulaire ne peut pas être installée sur un appareil si la configuration Nom du point d’accès est déjà installée. Paramètre/Champ Description Authentification PAP CHAP APN Le Nom du point d’accès que l’appareil mentionne lorsqu’il établit une connexion GPRS avec l’opérateur. Il doit correspondre à un Nom du point d’accès accepté par l’opérateur. Dans le cas contraire, la connexion ne pourra pas être établie. Nom d’utilisateur pour le point d’accès Le nom d’utilisateur pour le point d’accès. Remarque le système iOS prend en charge les noms d’utilisateur APN composés d’un maximum de 64 caractères. Mot de passe pour le point d’accès Le mot de passe du point d’accès. Remarque le système iOS prend en charge les mots de passe APN composés d’un maximum de 64 caractères. Serveur, Port Copyright © Sophos Limited L’adresse et le port du serveur proxy. 213 Sophos Mobile 14.20.9 Configuration des Règles d’utilisation du réseau (stratégie d’appareil iOS) La configuration des Règles d’utilisation du réseau vous permet d’indiquer la manière dont les applis administrées vont être autorisées à utiliser les réseaux de données cellulaires. Règles générales Sous Règles pour toutes les applis administrées, saisissez les paramètres pour les applis administrées. Paramètre/Champ Description Autoriser les données cellulaires Les applis administrées sont autorisés à utiliser la communication de données sur les réseaux cellulaires. Autoriser les données à l’étranger Les applis administrées sont autorisées à utiliser la communication de données pendant que l’appareil est en mode itinérance sur un réseau cellulaire à l’étranger. Exceptions Les exceptions remplacent les règles générales. Utilisez Ajouter une exception pour définir les règles spécifiques à un groupe d’applis. Paramètre/Champ Description Groupe d’applis Sélectionner un groupe d’applis. L’exception s’applique à toutes les applis gérées dans ce groupe. Autoriser les données cellulaires Les applis administrées du groupe d’applis sélectionné sont autorisées à utiliser la communication de données sur les réseaux cellulaires. Autoriser les données à l’étranger Les applis administrées du groupe d’applis sélectionné sont autorisées à utiliser la communication de données pendant que l’appareil est en mode itinérance sur un réseau cellulaire à l’étranger. Remarque Vous ne pouvez pas définir plusieurs exceptions pour le même groupe d’applis. 214 Copyright © Sophos Limited Sophos Mobile 14.20.10 Configuration VPN (stratégie d’utilisateur iOS) La configuration VPN vous permet de définir les paramètres VPN pour les connexions réseau. Paramètre/Champ Description Nom de la connexion Le nom de la connexion affichée sur l’appareil. Type de connexion Le type de connexion VPN : • Cisco AnyConnect • Cisco Legacy AnyConnect • IPsec (Cisco) • F5 • Check Point • SSL/TLS personnalisé Les différents champs d’entrée sont affichés sur la page VPN en fonction du type de connexion que vous sélectionnez. Identifiant (format de résolution DNS inverse) L’identifiant personnalisé au format DNS inverse. Serveur Le nom d’hôte ou l’adresse IP du serveur. Compte Le compte de l’utilisateur pour l’authentification de la connexion. Paramètres tiers Si votre fournisseur a précisé des propriétés de connexion personnalisées, vous pouvez les saisir dans ce champ. Pour saisir une propriété, cliquez sur Ajouter et saisissez la Clé et la Valeur de la propriété dans la boîte de dialogue. Envoyer tout le trafic par VPN Tout le trafic est envoyé par VPN. Groupe Le groupe qui sera requis pour l’authentification de la connexion. Copyright © Sophos Limited 215 Sophos Mobile Paramètre/Champ Description Authentification de l’utilisateur Le type d’authentification de l’utilisateur pour la connexion : • Mot de passe Si vous sélectionnez cette option, le champ Mot de passe apparaît en dessous du champ Authentification de l’utilisateur. Saisissez le mot de passe pour l’authentification. • Certificat Si vous sélectionnez cette option, le champ Certificat apparaît en dessous du champ Authentification de l’utilisateur. Sélectionnez un certificat. Authentification de l’appareil Le type d’authentification de l’appareil : • Clés (secret partagé)/Nom du groupe Si vous sélectionnez cette option, les champs Nom du groupe, Clés (secret partagé), Utiliser une authentification hybride et Demander le mot de passe sont affichés en dessous du champ Authentification de l’appareil. Saisissez les informations d’authentification requises dans les champs Nom du groupe et Clés (secret partagé). Sélectionnez Utiliser une authentification hybride et Demander le mot de passe si nécessaire. • Certificat Si vous sélectionnez cette option, les champs Certificat et Inclure le code PIN de l’utilisateur sont affichés en dessous du champ Authentification de l’appareil. Sélectionnez le certificat requis dans la liste Certificat. Sélectionnez Inclure le code PIN de l’utilisateur pour inclure le code PIN de l’utilisateur à l’authentification de l’appareil. 216 Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Proxy Les paramètres proxy pour la connexion : • Aucun proxy • Manuel Si vous sélectionnez l’une de ces options, les champs Serveur et port, Authentification et Mot de passe apparaissent. Dans le champ Serveur et port, saisissez l’adresse et le port du serveur proxy. Dans le champ Authentification, saisissez le nom d’utilisateur pour la connexion au serveur proxy. Dans le champ Mot de passe, saisissez le mot de passe pour la connexion au serveur proxy. • Automatique Si vous sélectionnez cette option, le champ URL du serveur proxy apparaît. Saisissez l’URL du serveur avec le paramètre du proxy dans ce champ. Type de fournisseur Le type de connexion VPN. • Proxy de l’appli : le trafic réseau est envoyé par un tunnel VPN au niveau de l’application. • Tunnel de paquets : le trafic réseau est envoyé par un tunnel VPN au niveau du réseau. 14.20.11 Configuration de la connexion VPN via l’app (stratégie d’appareil iOS) La configuration Connexion VPN via l’app vous permet de définir les paramètres VPN pour chaque app. Vous pouvez configurer les applis pour qu’elles se connectent automatiquement à VPN dès qu’elles sont lancées. Vous avez, par exemple, la possibilité de vous assurer que les données transmises par les applis administrées transitent par le biais du VPN. Après avoir créé des configurations VPN via l’app, vous pouvez sélectionner une configuration sur la page Modification du package d’une app. Retrouvez plus de renseignements à la section Assignation d’une connexion VPN à une app iOS (page 349). Paramètre/Champ Description Nom de la connexion Le nom de la connexion affichée sur l’appareil. Copyright © Sophos Limited 217 Sophos Mobile Paramètre/Champ Description Type de connexion Le type de connexion VPN : • Cisco AnyConnect • Cisco Legacy AnyConnect • F5 • Check Point • SSL/TLS personnalisé Les différents champs d’entrée sont affichés sur la page VPN en fonction du type de connexion que vous sélectionnez. Identifiant (format de résolution DNS inverse) L’identifiant personnalisé au format DNS inverse. Serveur Le nom d’hôte ou l’adresse IP du serveur. Compte Le compte de l’utilisateur pour l’authentification de la connexion. Paramètres tiers Si votre fournisseur a précisé des propriétés de connexion personnalisées, vous pouvez les saisir dans ce champ. Pour saisir une propriété, cliquez sur Ajouter et saisissez la Clé et la Valeur de la propriété dans la boîte de dialogue. Envoyer tout le trafic par VPN Tout le trafic est envoyé par VPN. Groupe Le groupe qui sera requis pour l’authentification de la connexion. Authentification de l’utilisateur Le type d’authentification de l’utilisateur pour la connexion : • Mot de passe Si vous sélectionnez cette option, le champ Mot de passe apparaît en dessous du champ Authentification de l’utilisateur. Saisissez le mot de passe pour l’authentification. • Certificat Si vous sélectionnez cette option, le champ Certificat apparaît en dessous du champ Authentification de l’utilisateur. Sélectionnez un certificat. 218 Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Proxy Les paramètres proxy pour la connexion : • Aucun proxy • Manuel Si vous sélectionnez l’une de ces options, les champs Serveur et port, Authentification et Mot de passe apparaissent. Dans le champ Serveur et port, saisissez l’adresse et le port du serveur proxy. Dans le champ Authentification, saisissez le nom d’utilisateur pour la connexion au serveur proxy. Dans le champ Mot de passe, saisissez le mot de passe pour la connexion au serveur proxy. • Automatique Si vous sélectionnez cette option, le champ URL du serveur proxy apparaît. Saisissez l’URL du serveur avec le paramètre du proxy dans ce champ. Type de fournisseur Copyright © Sophos Limited Le type de connexion VPN. • Proxy de l’appli : le trafic réseau est envoyé par un tunnel VPN au niveau de l’application. • Tunnel de paquets : le trafic réseau est envoyé par un tunnel VPN au niveau du réseau. 219 Sophos Mobile Paramètre/Champ Description Domaines Safari Dans ce champ, vous pouvez saisir une liste de chaînes de domaine. Utilisez une nouvelle ligne pour chaque chaîne de domaine. Lorsqu’un domaine correspondant à l’une des chaînes de domaine est ouvert dans Safari ou dans une autre navigateur, la connexion à VPN est déclenchée. La règle correspondant au comportement est la suivante : • Les points au début ou à la fin de la chaîne sont ignorés. Par exemple, la chaîne .exemple.com correspond aux mêmes domaines que la chaîne exemple.com. • Chaque composant de chaîne doit correspondre à un composant de domaine tout entier. Par exemple, la chaîne exemple.com correspond au domaine www.exemple.com mais pas à www.monexemple.com. • Les chaînes avec un seul composant correspondent uniquement à ce domaine spécifique. Par exemple, la chaîne exemple correspond au domaine exemple mais pas à www.exemple.com. 14.20.12 Configuration du Web clip (stratégie d’appareil iOS) La configuration Web clip vous permet de définir les Web clips à ajouter à l’écran d’accueil des appareils des utilisateurs. Les Web clips offrent un accès rapide aux pages Web favorites. Vous pouvez également ajouter un Web clip avec, par exemple, le numéro de téléphone du support afin de fournir un moyen rapide d’appeler le service d’assistance. 220 Paramètre/Champ Description Description Une description du Web clip. URL L’adresse Web du serveur du Web clip. Peut être supprimé Si cette case est dessélectionnée, l’utilisateur ne peut pas supprimer le Web clip. Le seul moyen de le supprimer de l’appareil sera de supprimer la stratégie avec laquelle il a été installé. Plein écran Le Web clip s’ouvre en plein écran sur l’appareil. Un Web clip affiché en plein écran ouvre l’URL en tant qu’app Web. Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Icône Sélectionnez une image à utiliser comme icône du Web Clip sur l’écran d’accueil. L’image doit être au format PNG, GIF ou JPEG et d’une taille maximale de 1 Mo. L’image est coupée à la taille d’un carré et redimensionnée pour correspondre à la résolution de l’écran. Pour des résultats optimaux, nous vous conseillons d’utiliser une taille d’image de 180 px par 180 px. Remarque Lorsqu’une favicon est définie dans le code HTML d’une page Web, l’appareil peut afficher cette favicon en tant qu’icône Web Clip. Ceci se produit uniquement sur certaine pages Web selon la manière dont la favicon a été configurée dans le code de la page Web. 14.20.13 Configuration du fond d’écran (stratégie d’appareil iOS) La configuration Fond d’écran vous permet de définir les images du fond d’écran de l’écran de verrouillage et/ou de l’écran d’accueil des appareils iOS. Paramètre/Champ Description Applicable à Sélectionnez si l’image sera utilisée pour l’écran de verrouillage, pour l’écran d’accueil ou pour les deux. Image Sélectionner une image PNG ou JPEG d’une taille maximale de 5 Mo pour le fond d’écran. iOS rogne et redimensionne l’image si nécessaire. Pour des résultats optimaux, veuillez utiliser les tailles d’image suivantes (en pixels) : • 640 × 1136 (iPhone 5) • 750 × 1334 (iPhone 6/7) • 1242 × 2208 (iPhone 6/7 Plus) • 1536 × 2048 (iPad, iPad mini, iPad Air) • 2048 × 2732 (iPad Pro) Remarque L’utilisateur peut changer le fond d’écran. Copyright © Sophos Limited 221 Sophos Mobile 14.20.14 Configuration du filtre de contenu Web (stratégie d’appareil iOS) La configuration Filtre de contenu Web vous permet de définir les URL bloquées et autorisées à l’aide de favoris. Paramètre/Champ Description URL bloquées Sélectionnez cette option pour configurer les URL auxquelles les utilisateurs ne sont pas autorisés à accéder. Saisissez une URL par ligne. URL autorisées avec favoris Sélectionnez cette option pour configurer les URL autorisées avec des favoris pour le navigateur Safari. Les autres URL seront bloquées. Bloquer le contenu pour adulte Sur la page Filtre de contenu Web, utilisez cette option pour activer le filtre Apple et bloquer le contenu pour adultes. Par exemple, les pages Web contenant du langage vulgaire ou des propos sexuels. 14.20.15 Configuration du proxy HTTP global (stratégie d’appareil iOS) La configuration Proxy HTTP global vous permet de définir un serveur proxy professionnel. Paramètre/Champ Description Proxy Sélectionnez Manuel pour configurer les informations sur la connexion manuellement. Sélectionnez Automatique si vous avez un fichier de configuration automatique de proxy (PAC). 222 Serveur Le nom (ou l’adresse IP) du proxy HTTP. Port Le numéro de port du proxy HTTP. Authentification Le nom d’utilisateur pour la connexion au serveur proxy. Mot de passe Le mot de passe pour la connexion au serveur proxy. URL PAC L’URL du fichier de configuration automatique de proxy (PAC). Copyright © Sophos Limited Sophos Mobile 14.20.16 Configuration des domaines administrés (stratégie d’appareil iOS) La configuration des Domaines administrés vous permet de définir les domaines administrés pour les appareils iOS. Domaines de messagerie Saisissez les domaines de messagerie administrés par votre entreprise. Les emails provenant d’une adresse ne correspondant pas à l’un des domaines configurés sont marquées comme étant extérieure au domaine dans l’app de messagerie. Domaines Web Les fichiers téléchargés à partir d’un des domaines configurés sont traités comme des documents administrés. Si vous activez la restriction Autoriser le partage des documents uniquement dans les applis/comptes administrés, ces documents pourront uniquement être ouverts par des applis administrées. Retrouvez plus de renseignements sur les applis administrées à la section Applis administrées pour iOS (page 342). Remarque Si une entrée de domaine Web administré contient un numéro de port, seules les adresses indiquant ce numéro de port seront considérées comme administrées. Autrement, seuls les ports standard seront considérés administrés (port 80 pour http et 443 pour https). 14.20.17 Configuration de CalDAV (stratégie d’appareil iOS) La configuration de CalDAV vous permet de configurer la synchronisation des données de l’agenda avec un serveur CalDAV. Par exemple, il peut servir à synchroniser l’Agenda Google avec un appareil iOS. Paramètre/Champ Description Nom du compte Le nom d’affichage du compte CalDAV sur l’appareil. Serveur Le nom d’hôte ou l’adresse IP du serveur CalDAV. Port Le numéro de port du serveur CalDAV. Copyright © Sophos Limited 223 Sophos Mobile Paramètre/Champ Description URL principale Si requis par le serveur CalDAV, saisissez l’URL principale des ressources de l’agenda. Par exemple, pour synchroniser un autre agenda que l’agenda principal d’un compte Google, saisissez : https://apidata.googleusercontent.com/ caldav/ v2/calendar_id/user où calendar_id correspond à l’identifiant de l’agenda avec lequel vous voulez vous synchroniser. Dans l’application Web de Google Agenda, l’identifiant de l’agenda est affiché dans les paramètres de l’agenda. Retrouvez plus de renseignements dans l’Aide de Google Agenda. Nom d’utilisateur, Mot de passe Les codes d’accès au compte CalDAV. Par exemple, pour Google Agenda, saisissez les codes d’accès du compte Google. SSL/TLS La connexion au serveur CalDAV est sécurisée par SSL ou TLS (selon la compatibilité du serveur). Nous vous conseillons de sélectionner cette option. 14.20.18 Configuration de CardDAV (stratégie d’appareil iOS) La configuration de CardDAV vous permet de configurer la synchronisation des données de contacts avec un serveur CardDAV. Par exemple, il peut servir à synchroniser Google Contacts avec un appareil iOS. Paramètre/Champ Description Nom du compte Le nom d’affichage du compte CardDAV sur l’appareil. Serveur Le nom d’hôte ou l’adresse IP du serveur CardDAV. Port Le numéro de port du serveur CardDAV. URL principale Si requis par le serveur CardDAV, saisissez l’URL principale des ressources de contacts. Par exemple, l’API CardDAV de Google prend en charge l’URL principale suivante : https://www.googleapis.com/carddav/ v1/ principals/account_name@gmail.com où account_name correspond au nom du compte Google. 224 Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Nom d’utilisateur, Mot de passe Les codes d’accès au compte CardDAV. Par exemple, pour Google Contacts, saisissez les codes d’accès du compte Google. SSL/TLS La connexion au serveur CardDAV est sécurisée par SSL ou TLS (selon la compatibilité du serveur). Nous vous conseillons de sélectionner cette option. 14.20.19 Configuration IMAP/POP (stratégie d’appareil iOS) La configuration IMAP/POP vous permet d’ajouter un compte de messagerie IMAP ou POP à l’appareil iOS. Paramètre/Champ Description Nom du compte Le nom d’affichage du compte de messagerie sur l’appareil. Type de compte Le type de serveur de messagerie pour la messagerie entrante (soit IMAP soit POP). Nom d’utilisateur affiché Le nom d’affichage de l’utilisateur pour la messagerie sortante. Utilisez la variable %_USERNAME_% pour indiquer le nom de l’utilisateur assigné à l’appareil. Adresse électronique L’adresse électronique du compte. Utilisez la variable %_EMAILADDRESS_% pour indiquer l’adresse électronique de l’utilisateur assigné à l’appareil. Autoriser les déplacements L’utilisateur peut transférer ses emails de ce compte vers un autre compte. Ceci permet également d’empêcher l’utilisation d’un autre compte pour répondre ou transférer un message à partir de ce compte. Autoriser la synchronisation d’adresses récentes Le compte est inclus à la synchronisation pour la liste des adresses les plus récentes. Utiliser uniquement dans les messages Le compte peut uniquement être utilisé pour envoyer des messages à partir de l’app de messagerie. Il ne peut pas être sélectionné comme compte pour envoyer des messages créés par d’autres apps comme par exemple Photos ou Safari. Autoriser Mail Drop Autoriser Apple Mail Drop pour ce compte. Activer S/MIME Compatible avec la norme de chiffrement S/MIME. Copyright © Sophos Limited 225 Sophos Mobile Paramètre/Champ Description Certificat de signature Les certificats utilisés pour la signature et le chiffrement des emails. Certificat de chiffrement Pour sélectionner un certificat, vous devez d’abord le télécharger à partir de l’option de configuration Certificat du client de la stratégie. Autoriser l’utilisateur à envoyer des emails chiffrés L’utilisateur peut choisir de chiffrer ou non les emails qu’il envoie. Messagerie entrante Serveur Le nom d’hôte ou l’adresse IP du serveur de messagerie entrante (serveur entrant). Port Le numéro de port du serveur de messagerie pour les messages entrants (serveur entrant). Nom d’utilisateur Le nom d’utilisateur pour la connexion au serveur entrant. Type d’authentification La méthode d’authentification pour la connexion au serveur entrant. Mot de passe Le mot de passe pour la connexion au serveur entrant (si nécessaire). SSL/TLS La connexion au serveur entrant est sécurisée par SSL ou TLS (selon la compatibilité du serveur). Messagerie sortante 226 Serveur Le nom d’hôte ou l’adresse IP du serveur de messagerie sortante (serveur sortant). Port Le numéro de port du serveur de messagerie pour les messages sortants (serveur sortant). Nom d’utilisateur Le nom d’utilisateur pour la connexion au serveur sortant. Type d’authentification La méthode d’authentification pour la connexion au serveur sortant. Mot de passe Le mot de passe pour la connexion au serveur sortant (si nécessaire). Utiliser le même mot de passe que la messagerie entrante Utiliser le mot de passe indiqué pour la messagerie entrante. SSL/TLS La connexion au serveur sortant est sécurisée par SSL ou TLS (selon la compatibilité du serveur). Copyright © Sophos Limited Sophos Mobile 14.20.20 Configuration du compte Google (stratégie d’appareil iOS) La configuration Compte Google vous permet de créer un compte Google. Dès que la configuration est assignée à l’appareil, l’utilisateur est invité à s’authentifier pour accéder au compte Google. Après l’authentification, le compte Google est créé sur l’appareil et l’utilisateur peut activer les services Google. Paramètre/Champ Description Adresse électronique Google L’adresse électronique du compte Google. Description du compte Une description facultative du compte. La valeur est affichée dans les applis Messagerie et Paramètres. Nom d’utilisateur Le nom d’utilisateur. La valeur est utilisée pour les messages électroniques sortants. 14.20.21 Configuration de l’authentification unique (stratégie d’appareil iOS) La configuration Authentification unique vous permet de définir les paramètres d’une app à authentification unique ou d’une app tierce. Paramètre/Champ Description Nom Un nom clair pour le compte. Nom Kerberos principal Le nom Kerberos principal. Si vous ne remplissez pas ce champ, l’utilisateur devra saisir son nom. Royaume Le nom du royaume Kerberos. Veuillez saisir le nom en majuscules. Copyright © Sophos Limited 227 Sophos Mobile Paramètre/Champ Description Adresses URL Une liste des préfixes d’URL qui doivent correspondre pour utiliser le compte pour l’authentification Kerberos sur HTTP. Les valeurs doivent commencer par http:// ou par https:// Si une valeur ne finit pas par /, la barre oblique / est ajoutée par Sophos Mobile. Vous pouvez utiliser l’astérisque (*) pour trouver des correspondances sur toutes les valeurs. Par exemple, https://*.exemple.fr/ correspond à https://www.exemple.fr/ et à https://m.exemple.fr/. Identifiants de l’appli Une liste de numéros d’ID de package d’apps. Les valeurs doivent correspondre exactement (par exemple ; com.sophos.smsec), ou être des préfixes, utilisant des caractères .* à la fin de la chaîne de caractères (par exemple ; com.sophos.*). 14.20.22 Configuration AirPrint (stratégie d’appareil iOS) La configuration AirPrint vous permet d’ajouter des imprimantes AirPrint à la liste d’imprimantes AirPrint de l’utilisateur. Paramètre/Champ Description Adresse IP L’adresse IP de l’imprimante AirPrint. Chemin des ressources Le chemin des ressources associées à l’imprimante. Exemples : 228 • imprimantes/<modèle imprimante> • ipp/print Port Le port d’écoute de l’imprimante AirPrint. Forcer le TLS Les connexions AirPrint sont sécurisées par TLS. Copyright © Sophos Limited Sophos Mobile 14.20.23 Configuration du certificat racine (stratégie d’appareil iOS) La configuration Certificat racine vous permet d’installer un certificat racine sur les appareils. Paramètre Description Fichier Sélectionnez Télécharger un fichier puis sélectionnez un fichier de certificat PKCS #12 (.pfx). Nom du certificat Le nom du certificat. Sophos Mobile lit le nom dans le fichier de certificat. Remarque Le certificat est disponible pour d’autres configurations de la même stratégie. Si vous avez besoin de certificats pour d’autres stratégies, vous allez devoir les télécharger de nouveau. Conseil Il est possible de faire glisser un certificat de l’Explorateur de fichiers vers la zone Fichier pour le télécharger. 14.20.24 Configuration du certificat du client (stratégie d’appareil iOS) La configuration Certificat du client vous permet d’installer un certificat du client sur les appareils. Paramètre Description Fichier Sélectionnez Télécharger un fichier puis sélectionnez un fichier de certificat PKCS #12 (.pfx). Nom du certificat Le nom du certificat. Sophos Mobile lit le nom dans le fichier de certificat. Remarque Le certificat est disponible pour d’autres configurations de la même stratégie. Si vous avez besoin de certificats pour d’autres stratégies, vous allez devoir les télécharger de nouveau. Conseil Il est possible de faire glisser un certificat de l’Explorateur de fichiers vers la zone Fichier pour le télécharger. Copyright © Sophos Limited 229 Sophos Mobile 14.20.25 Configuration SCEP (stratégie d’utilisateur iOS) La configuration SCEP permet d’autoriser les appareils à demander des certificats à une Autorité de certification à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol). Paramètre/Champ Description URL L’adresse Web du serveur de l’Autorité de certification. Utilisez la variable %_SCEPPROXYURL_% pour indiquer l’URL du serveur configurée sur l’onglet SCEP de la page Configuration de Sophos. Nom du serveur CA Un nom intelligible pour l’Autorité de certification. Par exemple, le nom peut servir à faire la distinction entre deux instances. Objet Le nom de l’entité (par exemple ; une personne ou un appareil) qui recevra le certificat. Vous pouvez utiliser des espaces réservés pour les données de l’utilisateur ou les propriétés de l’appareil. La valeur que vous saisissez (remplacement des espaces réservés par des données) doit être un nom X.500 valable. Par exemple : • Saisissez CN=%_USERNAME_% pour indiquer un utilisateur. • Saisissez CN=%_DEVPROP(SerialNumber)_% pour un iPhone ou un iPad. Retrouvez plus de renseignements sur les espaces réservés disponibles à la section Espaces réservés dans les stratégies (page 116). Type de l’autre nom de l’objet Valeur de l’autre nom de l’objet Nom de connexion d’utilisateur AD 230 Pour ajouter un Autre nom de l’objet (SAN) à la configuration SCEP, sélectionnez le type de l’Autre nom de l’objet et saisissez la valeur de l’Autre nom de l’objet. Les types SAN sont : • Nom RFC 822 : une adresse électronique valide. • Nom DNS : le nom DNS du serveur de l’autorité de certification. • Uniform Resource Identifier : l’URL complète du serveur de l’autorité de certification. La valeur Nom de connexion d’utilisateur définie dans Active Directory, c’est-à-dire le Nom principal de l’utilisateur (UPN). Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Challenge L’adresse Web permettant de récupérer un mot de passe de challenge à partir du serveur SCEP. Utilisez la variable %_CACHALLENGE_% pour indiquer l’URL de challenge configurée sur l’onglet SCEP de la page Configuration de Sophos. Nouvelles tentatives Le nombre de nouvelles tentatives si le serveur envoie une réponse en attente. Délai avant la nouvelle tentative Le nombre de secondes écoulées entre les nouvelles tentatives. Taille de la clé La taille de la clé publique dans le certificat émis. Assurez-vous que la valeur indiquée correspond à la taille configurée sur le serveur SCEP. Utilisation de la clé Sélectionnez comment le certificat peut être utilisé. Utiliser en tant que signature numérique : Le certificat peut être utilisé en tant que signature numérique. Utiliser pour le chiffrement : Le certificat peut être utilisé pour le chiffrement des données. 14.20.26 Certificat d’appareil Duo (stratégie d’appareil iOS) La configuration Certificat d’appareil Duo vous permet d’autoriser les appareils à demander un certificat au serveur SCEP Duo Security. Si ce certificat est installé sur un appareil, l’app iOS Duo Mobile considère l’appareil comme fiable. Les paramètres nécessaires sont communs à tous les comptes Duo Security. Veuillez ne pas modifier les valeurs prédéfinies. Copyright © Sophos Limited 231 Sophos Mobile 14.21 Configuration des stratégies de conteneur Sophos pour iOS Une stratégie de conteneur Sophos vous permet de configurer les paramètres pour Sophos Secure Email et Sophos Secure Workspace sur les appareils sur lesquels Sophos Mobile gère le conteneur Sophos. 14.21.1 Configuration Généralités (stratégie de conteneur Sophos pour iOS) La configuration Généralités vous permet de définir les paramètres qui s’appliquent à toutes les apps du conteneur Sophos si applicable. 232 Paramètre/Champ Description Activer le mot de passe du conteneur Sophos Les utilisateurs doivent saisir un mot de passe supplémentaire pour pouvoir démarrer une app du conteneur Sophos. Le mot de passe doit être défini lorsque la première app du conteneur est démarrée suite à l’application de la configuration. Ce mot de passe s’applique à toutes les apps du conteneur. Complexité du mot de passe La complexité minimale requise pour le mot de passe du conteneur Sophos. Les mots de passe très sécurisés sont toujours autorisés. Les mots de passe (une combinaison de caractères numériques et alphanumériques) sont toujours considérés comme étant plus sûrs que les codes PIN (caractères numériques uniquement. • Toutes : les mots de passe du conteneur Sophos n’ont pas de restrictions. • Code PIN à 4 chiffres • Code PIN à 6 chiffres • Mot de passe à 4 caractères • Mot de passe à 6 caractères • Mot de passe à 8 caractères • Mot de passe à 10 caractères Toujours masquer les caractères dans les champs de saisie du mot de passe Les caractères utilisés dans les champs de saisie du mot de passe ne sont pas affichés temporairement lors de la saisie. Durée de validité du mot de passe en jours Le nombre de jours pendant lesquels un mot de passe peut être utilisé avant que les utilisateurs ne soient invités à le changer. Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Tentatives ratées de connexion avant verrouillage Le nombre de tentatives ratées de connexion autorisées avant verrouillage des apps du conteneur. Une fois qu’elles sont verrouillées, un administrateur devra les déverrouiller ou, s’ils sont autorisés, les utilisateurs pourront utiliser le Portail libre-service pour effectuer cette opération. Autoriser l’empreinte digitale L’utilisateur peut utiliser son empreinte digitale pour déverrouiller l’app. Délai de grâce en minutes La période de temps pendant laquelle aucun mot de passe du conteneur Sophos ne doit être saisi lorsque l’app du conteneur est de nouveau amenée au premier plan. Ce délai de grâce s’applique à toutes les apps du conteneur. Vous pouvez passer d’une app à une autre pendant le délai de grâce sans avoir à saisir de mot de passe. Dernière connexion au serveur La période de temps pendant laquelle les utilisateurs peuvent utiliser une app du conteneur Sophos sans avoir à se connecter au serveur Sophos Mobile. Lorsque une app du conteneur Sophos est activée et n’est pas en contact avec le serveur pendant la période de temps définie, un écran de verrouillage apparaît. Les utilisateurs peuvent uniquement déverrouiller l’app en appuyant sur Réessayer sur l’écran de verrouillage. L’app essaiera de se connecter au serveur. Si la connexion peut être établie, l’app est déverrouillée. En cas contraire, l’accès est refusé. Copyright © Sophos Limited • Sur accès : la connexion au serveur est toujours requise et l’app est verrouillée lorsque le serveur n’est pas joignable. • 1 heure : la connexion au serveur est requise lorsque l’app est active pendant au moins une heure après la dernière connexion réussie au serveur. • 3 heures • 6 heures • 12 heures • 1 jour • 3 jours • 3 jours • Aucune : aucun contact régulier n’est requis. 233 Sophos Mobile Paramètre/Champ Description Accès hors ligne sans connexion au serveur Ce champ vous permet de définir la fréquence à laquelle les utilisateurs peuvent démarrer l’une des apps du conteneur Sophos sans nécessiter de connexion au serveur. Remarque Ce paramètre nécessite l’activation de la fonction de mot de passe du conteneur Sophos. Un compteur est mis à jour à chaque fois qu’un utilisateur saisit le mot de passe du conteneur Sophos. Si le compteur dépasse le nombre fixé, le même écran de verrouillage que celui utilisé pour le paramètre Dernière connexion au serveur apparaît. Le compteur est réinitialisé si une connexion au serveur Sophos Mobile est établie. Débridage (jailbreak) autorisé • Illimité : aucune connexion au serveur n’est requise. • 0 : une connexion au serveur est requise pour démarrer l’app. • 1 : après un démarrage de l’app, la connexion au serveur est nécessaire. • 3 • 5 • 10 • 20 L’exécution des apps de conteneur est autorisée sur les appareils débridés. Contraintes d’utilisation des apps Vous permet de définir les contraintes d’utilisation des apps du conteneur Sophos. Cliquez sur Ajouter pour saisir les contraintes. 234 Géorepérage Vous permet d’ajouter la latitude et la longitude ainsi qu’un rayon d’utilisation des apps du conteneur Sophos. Limite de temps Vous permet d’indiquer une période de temps à laquelle les apps du conteneur Sophos peuvent être utilisées en précisant une heure de début et une heure de fin. Il est également possible d’indiquer les jours de la semaine auxquels les apps peuvent être utilisées. Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Périmètre de connexion Wi#Fi Si vous sélectionnez Connexion Wi#Fi obligatoire, le conteneur Sophos est verrouillé lorsqu’aucune connexion Wi-Fi n’est activée. Si vous ajoutez des réseaux Wi-Fi à la liste, le conteneur Sophos est verrouillé lorsque l’appareil est connecté au réseau Wi-Fi non répertorié. Attention nous vous déconseillons d’utiliser uniquement le périmètre de connexion Wi-Fi pour assurer votre sécurité. En effet, les identités Wi-Fi peuvent très facilement être usurpées. 14.21.2 Configuration de la Messagerie professionnelle (stratégie de conteneur Sophos pour iOS) La configuration de la Messagerie professionnelle vous permet de définir les paramètres de l’utilisateur pour votre serveur Microsoft Exchange. Ces paramètres sont appliqués à l’app Sophos Secure Email si elle est installée dans le conteneur Sophos. Paramètre/Champ Description Serveur Exchange L’adresse du serveur Exchange. Si vous utilisez le proxy EAS de Sophos Mobile, veuillez saisir l’URL du serveur proxy EAS. Utilisateur L’utilisateur de ce compte. Si vous saisissez la variable %_USERNAME_%, le serveur la remplace par le nom de l’utilisateur en cours. Adresse email L’adresse électronique du compte. Si vous saisissez la variable %_EMAILADDRESS_%, le serveur la remplace par l’adresse électronique en cours. Domaine Le domaine de ce compte. Email du support L’adresse électronique qui sera utilisée pour contacter le support. Utiliser les champs de texte sécurisés Le contenu des champs d’entrée est sécurisé. Le remplissage et la correction automatiques sont désactivés dans l’app Sophos Secure Email pour empêcher la mémorisation de tous mots à caractère confidentiel sur l’appareil. Copyright © Sophos Limited 235 Sophos Mobile Paramètre/Champ Description Exporter les contacts sur l’appareil Les utilisateurs sont autorisés à exporter les contacts Exchange dans les contacts locaux de l’appareil afin de pouvoir identifier les appels de leurs contacts professionnels. Sophos Secure Email synchronise en permanence les coordonnées. Remarque Les coordonnées des contacts locaux sont automatiquement supprimées dans les cas de figure suivants : Identification d’appel • La configuration de la Messagerie professionnelle est supprimée de la stratégie de conteneur Sophos (nécessite le redémarrage de l’app Sophos Secure Email). • Le conteneur Sophos est supprimé de l’appareil. • Lorsque l’appareil est désinscrit de Sophos Mobile. Les coordonnées des contacts dans Sophos Secure Email peuvent être utilisées pour identifier les appels reçus sans avoir à exporter les contacts Sophos Secure Email dans les contacts de l’appareil. Pour utiliser cette fonction, les utilisateurs doivent activer les paramètres suivants sur leur appareil : 236 • Dans l’app Paramètres : Téléphone > Blocage et identification d’appels > Email • Dans l’app Sophos Secure Email : Paramètres > Contacts > Identification d’appels Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Notifications Le type de notification pour le nouvel email : • Système : les notifications sont administrées par iOS. Elles n’incluent pas d’informations sur l’expéditeur ou sur l’objet. • Appli : les notifications sont administrées par l’app Sophos Secure Email. Vous pouvez sélectionner la quantité d’informations à afficher. Lorsque l’app ne fonctionne pas, aucune notification n’est affichée. • Aucune : aucune notification n’est affichée. Ce paramètre affecte également les rappels d’événements : • Système, Aucune : les rappels d’événements incluent uniquement la date. • Appli : les rappels d’événements incluent la date, l’emplacement et le titre. Refuser la copie dans le presse-papiers Les utilisateurs ne peuvent pas copier ou couper le texte à partir de l’app Sophos Secure Email. Ouvrir les pièces jointes Dans toutes les applis : les pièces jointes peuvent être ouvertes dans toutes les apps compatibles avec le format du fichier. Dans les applis du conteneur : Les pièces jointes sont chiffrées avec une clé de l’appareil et peuvent uniquement être ouvertes dans Sophos Secure Workspace. L’action Ouvrir dans n’est pas bloquée. Taille maximale autorisée pour l’email Les messages de taille supérieure à celle que vous sélectionnez (notamment les pièces jointes) ne sont pas récupérés à partir du serveur Exchange. Paramètres supplémentaires Veuillez uniquement configurer ces paramètres si l’équipe du support Sophos vous le demande. Copyright © Sophos Limited 237 Sophos Mobile 14.21.3 Configuration des Documents professionnels (stratégie de conteneur Sophos pour iOS) La configuration des Documents professionnels vous permet de définir les paramètres de la fonction Documents professionnels de l’app Sophos Secure Workspace. Configurer les fournisseurs de stockage Chaque fournisseur de stockage vous permet de définir séparément les paramètres suivants : Paramètre/Champ Description Activer Le fournisseur de stockage est disponible dans l’app. Hors ligne Les utilisateurs sont autorisés à ajouter des fichiers provenant du fournisseur de stockage à la liste des Favoris de l’app pour une utilisation hors ligne. Ouvrir avec (chiffré) Les utilisateurs peuvent partager les fichiers chiffrés avec d’autres apps via la fonction Ouvrir avec. Ouvrir avec (déchiffré) Les utilisateurs peuvent partager les fichiers déchiffrés avec d’autres apps via la fonction Ouvrir avec. Presse-papiers Les utilisateurs peuvent copier des parties d’un document et les copier dans d’autres apps. Paramètres du fournisseur d’entreprise Pour le fournisseur Egnyte ou WebDAV, également appelé le fournisseur d’entreprise, vous pouvez définir les paramètres du serveur et les codes d’accès de connexion de manière centralisée. Ceux-ci ne peuvent pas être changés par les utilisateurs. Les paramètres de codes d’accès que vous ne définissez pas de manière centralisée peuvent être choisis par les utilisateurs sur les écrans de codes d’accès du fournisseur dans l’app. Par exemple, vous pouvez définir le serveur et le compte d’utilisateur à utiliser de manière centralisée. Il n’est pas nécessaire de remplir le champ du mot de passe. Les utilisateurs devront connaître le mot de passe lorsqu’ils se connecteront au fournisseur de stockage. 238 Paramètre/Champ Description Nom Le nom du fournisseur qui s’affiche dans l’app Sophos Secure Workspace. Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Serveur Dans ce champ, saisissez : • L’URL du dossier racine sur le serveur WebDAV Documents professionnels. • L’URL du dossier racine sur le serveur Egnyte. • L’URL du dossier racine sur le serveur WebDAV. Veuillez utiliser le format suivant : https:// serveur.entreprise.com Nom d’utilisateur Le nom d’utilisateur pour le serveur. Vous pouvez également utiliser la variable %_USERNAME_%. Mot de passe Le mot de passe du compte. Dossier de téléchargement Le dossier de téléchargement du compte. Autres paramètres Paramètre/Champ Description Activer les documents Cette option active la fonction Documents permettant de distribuer en toute sécurité les documents d’entreprise. Complexité de la phrase secrète La complexité minimale requise pour les phrases secrètes des clés de chiffrement. Les phrases secrètes très sécurisées sont toujours autorisées. Vous pouvez sélectionner les paramètres suivants : Paramètres supplémentaires Copyright © Sophos Limited • Mot de passe à 4 caractères • Mot de passe à 6 caractères • Mot de passe à 8 caractères • Mot de passe à 10 caractères Veuillez uniquement configurer ces paramètres si l’équipe du support Sophos vous le demande. 239 Sophos Mobile 14.21.4 Configuration du Navigateur professionnel (stratégie de conteneur Sophos pour iOS) La configuration du Navigateur professionnel vous permet de définir les paramètres de la fonction Navigateur professionnel de l’app Sophos Secure Workspace. Le Navigateur professionnel vous permet d’accéder en toute sécurité aux pages intranet de l’entreprise et à toutes les autres pages autorisées. Vous pouvez définir les domaines et les favoris d’un domaine. Chaque favori appartient à un domaine bien précis. Lorsque vous ajoutez un favori, l’entrée de domaine est créée automatiquement si elle n’existe pas. Paramètres du domaine Paramètre/Champ Description URL Le domaine que vous souhaitez autoriser. Autoriser la fonction copier/coller Les utilisateurs peuvent copier/coller du texte à partir du Navigateur professionnel vers d’autres apps. Autoriser Ouvrir avec Les utilisateurs peuvent télécharger des pièces jointes ou les transférer vers d’autres apps. Autoriser l’enregistrement du mot de passe Les utilisateurs peuvent enregistrer leurs mots de passe dans le Navigateur professionnel. Paramètres de favoris 240 Paramètre/Champ Description Nom Le nom du favori. URL L’adresse Web du favori. Copyright © Sophos Limited Sophos Mobile 14.21.5 Configuration du Certificat racine (stratégie de conteneur Sophos pour iOS) La configuration Certificat racine vous permet d’installer un certificat racine sur les appareils. Ce certificat est à disposition des apps Sophos Secure Email et Sophos Secure Workspace si elles sont installées dans le conteneur Sophos. Paramètre Description Fichier Sélectionnez Télécharger un fichier puis sélectionnez un fichier de certificat PKCS #12 (.pfx). Nom du certificat Le nom du certificat. Sophos Mobile lit le nom dans le fichier de certificat. Remarque Le certificat est disponible pour d’autres configurations de la même stratégie. Si vous avez besoin de certificats pour d’autres stratégies, vous allez devoir les télécharger de nouveau. Conseil Il est possible de faire glisser un certificat de l’Explorateur de fichiers vers la zone Fichier pour le télécharger. 14.21.6 Configuration du certificat du client (stratégie de conteneur Sophos pour iOS) La configuration Certificat du client vous permet d’installer un certificat du client sur les appareils. Ce certificat est à disposition de l’app Sophos Secure Workspace si cette dernière est installée dans le conteneur Sophos. Paramètre Description Fichier Sélectionnez Télécharger un fichier puis sélectionnez un fichier de certificat PKCS #12 (.pfx). Nom du certificat Le nom du certificat. Sophos Mobile lit le nom dans le fichier de certificat. Remarque Le certificat est disponible pour d’autres configurations de la même stratégie. Si vous avez besoin de certificats pour d’autres stratégies, vous allez devoir les télécharger de nouveau. Copyright © Sophos Limited 241 Sophos Mobile Conseil Il est possible de faire glisser un certificat de l’Explorateur de fichiers vers la zone Fichier pour le télécharger. 14.21.7 Configuration SCEP (stratégie de conteneur Sophos pour iOS) La configuration SCEP permet d’autoriser les appareils à demander des certificats à une Autorité de certification à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol). Ces certificats sont disponibles pour la fonction Navigateur professionnel de l’app Sophos Secure Workspace. Remarque Veuillez commencer par ajouter une configuration du Certificat racine pour charger le certificat de l’Autorité de certification du serveur SCEP avant d’ajouter une configuration du protocole SCEP. Paramètre/Champ Description URL L’adresse Web du serveur de l’Autorité de certification. Utilisez la variable %_SCEPPROXYURL_% pour indiquer l’URL du serveur configurée sur l’onglet SCEP de la page Configuration de Sophos. Nom d’alias Le nom sous lequel le certificat va apparaître dans les boîtes de dialogue de sélection. Il doit s’agir d’un nom facile à mémoriser pour identifier le certificat. Par exemple, utilisez la même valeur que dans le champ Objet mais sans le préfixe CN=. 242 Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Objet Le nom de l’entité (par exemple ; une personne ou un appareil) qui recevra le certificat. Vous pouvez utiliser des espaces réservés pour les données de l’utilisateur ou les propriétés de l’appareil. La valeur que vous saisissez (remplacement des espaces réservés par des données) doit être un nom X.500 valable. Par exemple : • Saisissez CN=%_USERNAME_% pour indiquer un utilisateur. • Saisissez CN=%_DEVPROP(SerialNumber)_% pour un iPhone ou un iPad. Retrouvez plus de renseignements sur les espaces réservés disponibles à la section Espaces réservés dans les stratégies (page 116). Type de l’autre nom de l’objet Valeur de l’autre nom de l’objet Pour ajouter un Autre nom de l’objet (SAN) à la configuration SCEP, sélectionnez le type de l’Autre nom de l’objet et saisissez la valeur de l’Autre nom de l’objet. Les types SAN sont : • Nom RFC 822 : une adresse électronique valide. • Nom DNS : le nom DNS du serveur de l’autorité de certification. • Uniform Resource Identifier : l’URL complète du serveur de l’autorité de certification. Nom de connexion d’utilisateur AD La valeur Nom de connexion d’utilisateur définie dans Active Directory, c’est-à-dire le Nom principal de l’utilisateur (UPN). Challenge L’adresse Web permettant de récupérer un mot de passe de challenge à partir du serveur SCEP. Utilisez la variable %_CACHALLENGE_% pour indiquer l’URL de challenge configurée sur l’onglet SCEP de la page Configuration de Sophos. Certificat racine Le certificat de l’Autorité de certification. Sélectionnez le certificat dans la liste. La liste contient tous les certificats que vous avez chargés dans la configuration Certificat racine de la stratégie actuelle. Copyright © Sophos Limited 243 Sophos Mobile Paramètre/Champ Description Taille de la clé La taille de la clé publique dans le certificat émis. Assurez-vous que la valeur indiquée correspond à la taille configurée sur le serveur SCEP. Utilisation de la clé Sélectionnez comment le certificat peut être utilisé. Utiliser en tant que signature numérique : Le certificat peut être utilisé en tant que signature numérique. Utiliser pour le chiffrement : Le certificat peut être utilisé pour le chiffrement des données. 14.22 Configuration des stratégies Mobile Threat Defense pour iOS Une stratégie Mobile Threat Defense vous permet de configurer Sophos Intercept X for Mobile lorsqu’elle est inscrite à Sophos Mobile. 14.22.1 Configuration réseau (stratégie Mobile Threat Defense pour iOS) La configuration Réseau vous permet de gérer la fonction de sécurité Wi-Fi de Sophos Intercept X for Mobile. Les utilisateurs sont ainsi protégés contre les menaces réseau. Remarque Lorsque vous assignez cette configuration à un appareil, les paramètres correspondant dans Sophos Intercept X for Mobile sont désactivés. L’utilisateur ne peut pas les modifier. Paramètre/Champ Description Protection contre le « Man-in-themiddle » (intercepteur) Sophos Intercept X for Mobile vérifie la connexion Wi-Fi à la recherche d’attaques (« man-in-the-middle »). Sophos Mobile crée une alerte lorsqu’une attaque d’interception (« man-in-the-middle ») est détectée. Paramètres supplémentaires 244 Veuillez uniquement configurer ces paramètres si l’équipe du support Sophos vous le demande. Copyright © Sophos Limited Sophos Mobile 14.22.2 Configuration du filtrage Web (stratégie Mobile Threat Defense pour iOS) La configuration Filtrage Web vous permet de gérer la fonction Filtrage Web de Sophos Intercept X for Mobile. Les utilisateurs sont ainsi protégés contre toute navigation sur des sites malveillants ou au contenu indésirable ou illégal. Cette configuration affecte uniquement les appareils supervisés. Paramètres Paramètre/Champ Description Filtrer les sites Web malveillants Sélectionnez si les utilisateurs sont autorisés à accéder à des sites Web au contenu malveillant. Créer des alertes Sélectionnez si une alerte va être générée lorsque l’utilisateur tente d’accéder à un site Web filtré. Vous pouvez également choisir de créer des alertes uniquement pour les blocages ou pour les avertissements. Filtrer les sites Web par catégorie Sélectionnez si les utilisateurs peuvent accéder à certains types de sites Web. Les sites Web sont classés par catégorie en fonction des données collectées par les SophosLabs. Ces données sont constamment mises à jour. Exceptions de site Web Configurer les exceptions aux filtres de catégories : Domaines autorisés : Sites Web autorisés même s’ils appartiennent à une catégorie bloquée. Domaines bloqués : Sites Web bloqués même s’ils appartiennent à une catégorie autorisée. Comment indiquer des exceptions de site Web Dans Domaines autorisés et Domaines bloqués, saisissez l’une des entrées suivantes par ligne (sans séparateur) : • Adresse IPv4 ou IPv6 203.0.113.0 2001:db8:85a3:0:0:8a2e:370:7334 • Sous-réseau IPv4 ou IPv6 203.0.113.0/24 2001:db8::/32 • Domaine www.example.com Copyright © Sophos Limited 245 Sophos Mobile • Domaine avec caractère de remplacement. Le caractère de remplacement * doit être le caractère situé le plus à gauche. *.example.com *example.com Dans Domaines bloqués, Vous pouvez utiliser un seul caractère de remplacement * pour bloquer tous les sites Web. Logique de filtrage Lorsque le filtrage Web évalue si un site Web doit être autorisé ou bloqué, la liste Autoriser est prioritaire par rapport à la liste Bloquer, et les listes définies par la stratégie sont prioritaires par rapport aux listes définies par l’utilisateur. Les règles de filtrage sont appliquées dans l’ordre suivant : 1. Si le site Web est inclus dans Domaines autorisés, il est autorisé. 2. Si le site Web est inclus dans Domaines bloqués, il est bloqué. 3. Si l’utilisateur a ajouté le site Web à la liste Autoriser, il est autorisé. 4. Si l’utilisateur a ajouté le site Web à la liste des blocs, il est bloqué. 5. Le site Web est autorisé ou bloqué en fonction de sa catégorie. 14.22.3 Configuration Filtrage SMS (stratégie Mobile Threat Defense pour iOS) La configuration Filtrage SMS vous permet de définir les noms de domaine pour la fonction de Filtrage des SMS de Sophos Intercept X for Mobile. Le Filtrage SMS protège les utilisateurs contre les attaques par SMS et MMS. Il déplace tous les messages, à l’exception de ceux provenant d’expéditeurs se trouvant dans les Contacts, contenant un faux nom de domaine dans le dossier SMS indésirable. Un faux domaine ressemble à votre domaine mais avec de légères différences : • Des caractères peuvent être remplacés, insérés ou transposés. • Le nom de domaine est modifié par l’ajout d’un préfixe ou d’un suffixe. • Le domaine de premier niveau est différent. Par exemple, si votre domaine réel est sophos.com, les domaines suivants sont des faux : • s0phos.com (remplacement) • soophos.com (insertion) • sohpos.com (transposition) • mysophos.com (préfixe) • sophos.net (domaine de premier niveau différent) Les sous-domaines comme hr.sophos.com ne sont pas filtrés. Si un message SMS est filtré, tous les autres messages du même expéditeur sont également filtrés. 246 Copyright © Sophos Limited Sophos Mobile 14.23 Configuration des stratégies d’appareil macOS Une stratégie d’appareil macOS vous permet de configurer les paramètres des Macs qui s’appliqueront à tous les utilisateurs. Concepts connexes À propos des stratégies macOS (page 113) Configuration des stratégies d’utilisateur macOS (page 267) Une stratégie d’utilisateur macOS vous permet de configurer les paramètres des Macs qui s’appliqueront à tous les utilisateurs gérés par Sophos Mobile. 14.23.1 Configuration des stratégies de mot de passe (stratégie d’appareil macOS) La configuration Stratégies de mot de passe vous permet de définir les exigences à respecter pour les mots de passe des comptes d’utilisateur Mac. Remarque Lorsque la configuration Stratégies de mot de passe est assignée à un appareil, un délai de grâce de 60 minutes commence. Au cours de cette période, l’utilisateur est invité à changer son mot de passe lorsqu’il revient sur l’écran d’accueil conformément aux stratégie de sécurité en vigueur. Une fois le délai de grâce expiré, l’utilisateur ne peut plus démarrer les applis sur l’appareil, même les applis internes. Paramètre/Champ Description Accepter les valeurs simples Les utilisateurs sont autorisés à utiliser des caractères séquentiels ou répétés dans leur mot de passe (par exemple 1111 ou abcde). Exiger des valeurs alphanumériques Les mots de passe doivent contenir au moins une lettre ou un chiffre. Longueur minimum du mot de passe Indique le nombre minimum de caractères qu’un mot de passe doit contenir. Nombre minimum de caractères complexes Indique le nombre minimum de caractères non alphanumériques (par exemple & ou !) qu’un mot de passe doit contenir. Durée de validité maximale du mot de passe en jours Demande aux utilisateurs de changer leur mot de passe dans l’intervalle indiqué. Plage de valeur : 0 (aucun changement de mot de passe requis) à 730 jours. Copyright © Sophos Limited 247 Sophos Mobile Paramètre/Champ Description Verrouillage automatique maximal (en minutes) Ce champ vous permet d’indiquer la valeur maximale que l’utilisateur peut configurer sur l’appareil. Le verrouillage automatique indique au bout de combien de temps (en minutes) l’appareil doit être verrouillé lorsqu’il n’est pas utilisé. Historique du mot de passe Le nombre de mots de passe précédemment utilisés que Sophos Mobile conserve en mémoire. Lorsqu’un utilisateur crée un nouveau mot de passe, celui-ci ne doit pas être le même qu’un mot de passe précédemment utilisé. 248 Délai de grâce maximal avant verrouillage de l’appareil Ce champ vous permet d’indiquer la valeur maximale que l’utilisateur peut configurer sur l’appareil. Le délai de grâce avant le verrouillage de l’appareil vous permet d’indiquer pendant combien de temps l’appareil peut être déverrouillé suite à un verrouillage sans demande de mot de passe. Si vous sélectionnez Aucun, l’utilisateur peut sélectionner l’un des intervalles disponibles. Si vous sélectionnez Immédiatement, les utilisateurs doivent saisir un mot de passe à chaque fois qu’ils déverrouillent leur appareil. Nombre de tentatives ratées avant réinitialisation de l’appareil Ce champ vous permet d’indiquer le nombre de tentatives ratées de saisie du mot de passe qu’il est possible d’effectuer avant que l’appareil soit réinitialisé. Après six tentatives ratées, l’utilisateur doit attendre pendant un moment avant de pouvoir saisir de nouveau un mot de passe. Le délai d’attente augmente à chaque tentative ratée. Suite à l’échec de la dernière tentative, toutes les données et les paramètres sont supprimés de l’appareil. Le délai d’attente commence à la sixième tentative. Par conséquent, si vous définissez cette valeur sur 6 ou sur une valeur inférieure, il n’y a aucun délai d’attente et l’appareil est réinitialisé lorsque la limite des tentatives autorisées est dépassée. Copyright © Sophos Limited Sophos Mobile 14.23.2 Configuration des restrictions (stratégie d’appareil macOS) La configuration Restrictions vous permet de définir les restrictions pour les Macs. Remarque Certaines options sont uniquement disponibles sur certaines versions de macOS. Ceci est indiqué par des étiquettes bleues dans Sophos Mobile Admin. Appareil Paramètre/Champ Description Autoriser l’utilisation de l’appareil photo Si cette case est dessélectionnée, l’appareil photo n’est plus disponible et l’icône de l’Appareil photo disparaît de l’écran d’Accueil. L’utilisateur ne peut pas prendre de photos, enregistrer de vidéos ou utiliser FaceTime. Autoriser la recherche sur Internet pour Spotlight Si cette case est dessélectionnée, Spotlight ne fournit plus de résultats de recherche sur Internet. Autoriser Apple Music L’utilisateur peut accéder à la bibliothèque Apple Music. Délai de mise à jour du logiciel macOS Le nombre de jours de délais du logiciel macOS après sa date de sortie. Saisir une valeur entre 0 (aucun délai) et 90. iCloud Paramètre/Champ Description Autoriser la sauvegarde Les utilisateurs peuvent sauvegarder leurs appareils dans iCloud. Autoriser la bibliothèque de photos iCloud Les utilisateurs peuvent utiliser la Bibliothèque de photos iCloud. Autoriser la synchronisation du trousseau iCloud Les utilisateurs peuvent se servir du Trousseau iCloud pour synchroniser les mots de passe sur leurs iPhones, iPads et Macs. Si la case n’est pas sélectionnée, les données du Trousseau iCloud sont uniquement stockées localement sur l’appareil. Copyright © Sophos Limited 249 Sophos Mobile Paramètre/Champ Description Autoriser la synchronisation des documents Les utilisateurs peuvent conserver les documents et les données de configuration des applis dans iCloud. Autoriser Accès à mon Mac Les utilisateurs peuvent utiliser Accès à mon Mac iCloud, c’est-à-dire le partage de fichiers et d’écran entre un Mac distant et local. Autoriser Localiser mon Mac Les utilisateurs peuvent utiliser Localiser mon Mac iCloud pour rechercher, verrouiller ou réinitialiser leur Mac à distance. Autoriser les favoris iCloud Les utilisateurs peuvent utiliser les Favoris iCloud pour synchroniser les favoris Web entre les navigateurs et les plates-formes. Autoriser la messagerie iCloud Les utilisateurs peuvent créer un compte Messagerie iCloud sur leur Mac. Autoriser le calendrier iCloud Les utilisateurs peuvent se servir du Calendrier iCloud pour partager leurs calendriers avec tous leurs appareils et avec d’autres utilisateurs d’iCloud. Autoriser les rappels iCloud Les utilisateurs peuvent se servir des Rappels iCloud pour partager leurs listes de rappels avec tous leurs appareils et avec d’autres utilisateurs d’iCloud. Autoriser le carnet d’adresses iCloud Les utilisateurs peuvent se servir du Carnet d’adresses iCloud pour partager leurs contacts avec tous leurs appareils et avec d’autres utilisateurs d’iCloud. Autoriser les notes iCloud Les utilisateurs peuvent se servir des Notes iCloud pour partager leurs notes avec tous leurs appareils et avec d’autres utilisateurs. Autoriser iCloud Drive pour le Bureau et les documents Les utilisateurs peuvent stocker leur poste de travail Mac et leur dossier Documents dans iCloud Drive et y accéder à partir d’autres appareils. Sécurité et confidentialité 250 Paramètre/Champ Description Autoriser le capteur Touch ID à déverrouiller l’appareil Si cette case n’est pas sélectionnée, l’appareil ne peut pas être déverrouillé par Touch ID. Autoriser la recherche de définition Les utilisateurs peuvent rechercher les définitions des mots surlignés. Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Autoriser le déverrouillage automatique Les utilisateurs peuvent se servir du Déverrouillage automatique pour déverrouiller automatiquement leur Mac à l’aide de leur Apple Watch. Autoriser le partage de fichiers iTunes Les utilisateurs peuvent se servir du Partage de fichiers dans iTunes pour copier les fichiers sur leur Mac et sur leur iPhone ou iPad. Autoriser AirPrint Les utilisateurs peuvent envoyer des fichiers sur des imprimantes AirPrint. Autoriser la recherche iBeacon d’imprimantes AirPrint L’appareil utilise iBeacon pour rechercher les appareils AirPrint. Attention Si vous autorisez ceci, les appareils AirPrint malveillants peuvent lancer des attaques de phishing sur le trafic réseau. Forcer les certificats approuvés pour AirPrint sur TLS AirPrint sur TLS est rejeté si l’appareil AirPrint utilise un certificat non approuvé. Autoriser le remplissage automatique à la saisie du mot de passe L’utilisateur peut activer le paramètre Remplissage automatique des mots de passe qui lui permet d’utiliser le mot de passe ou les coordonnées de la carte de paiement enregistrés dans Safari ou dans d’autres applis. Si la case n’est pas sélectionnée, la suggestion automatique de mots de passe complexes est également désactivée. Demander les mots de passe Wi#Fi à partir d’appareils à proximité L’appareil demande les mots de passe à partir d’appareils se trouvant à proximité lors de la configuration d’une connexion Wi-Fi. Autoriser le partage de mots de passe AirDrop L’utilisateur peut partager les mots de passe dans le Gestionnaire des mots de passe avec d’autres utilisateurs avec AirDrop. 14.23.3 Configuration Wi-Fi (stratégie d’appareil macOS) La configuration Wi-Fi vous permet d’indiquer les paramètres de connexion aux réseaux Wi-Fi. Paramètre/Champ Description SSID L’identifiant du réseau Wi-Fi. Connexion automatique Connecter automatiquement au réseau cible. Copyright © Sophos Limited 251 Sophos Mobile 252 Paramètre/Champ Description Réseau masqué Le réseau cible n’est pas ouvert ou visible. Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Type de sécurité Le type de sécurité du réseau Wi-Fi : • Aucun • WEP (personnel) • WPA/WPA2 (personnel) • Tous (personnel) • WEP (entreprise) • WPA/WPA2 (entreprise) • Toute (entreprise) Si vous sélectionnez un type de sécurité Personnel, un champ Mot de passe apparaît. Saisissez le mot de passe adéquat. Si vous sélectionnez un type de sécurité Entreprise, les onglets Protocoles, Authentification et Fiabilité apparaissent. Dans l’onglet Protocoles, configurez les paramètres suivants : • Sous Types d’EAP acceptés, sélectionnez les méthodes EAP à utiliser pour l’authentification. Selon les types sélectionnés sur cet onglet, les valeurs du champ Identité interne dans cet onglet peuvent être sélectionnées. • Sous EAP-FAST, configurez les paramètres de codes d’accès protégé EAP-FAST. • Dans Version TLS minimale et Version TLS maximale, sélectionnez une version TLS minimale et maximale à utiliser avec l’authentification EAP. Dans l’onglet Authentification, configurez les paramètres d’authentification du client : • Dans le champ Utilisateur, saisissez le nom d’utilisateur pour la connexion au réseau Wi-Fi. • Sélectionnez Demander le mot de passe à chaque connexion si le mot de passe doit être demandé pour chaque connexion et transféré avec l’authentification. • Dans le champ Mot de passe, saisissez le mot de passe adéquat. • Dans la liste Certificat d’identité, sélectionnez le certificat pour la connexion au réseau Wi-Fi. Remarque Le certificat à utiliser doit être indiqué sous la configuration Certificat du client. • Dans le champ Identité externe, saisissez l’identifiant externe visible (pour TTLS, PEAP et EAP-FAST). Dans l’onglet Fiabilité, configurez les paramètres d’authentification du serveur : Sélectionnez les certificats approuvés dans la liste. Copyright © Sophos Limited 253 Remarque Sophos Mobile Paramètre/Champ Description Proxy Dans cette liste, sélectionnez les paramètres du proxy pour la connexion Wi-Fi : • Aucun proxy • Manuel • Automatique Si vous sélectionnez Manuel, les champs Serveur, Port, Authentification et Mot de passe apparaissent. Saisissez les informations du proxy requises. Si vous sélectionnez Automatique, le champ URL PAC apparait. Saisissez l’URL du serveur proxy. 14.23.4 Configuration du contrôleur d’accès (stratégie d’appareil macOS) La configuration Contrôleur d’accès vous permet de configurer le contrôleur d’accès macOS qui bloque les apps installées à partir de sources interdites. 254 Paramètre/Champ Description Autoriser les applis téléchargées depuis Sélectionnez le paramètre requis : • Tous les emplacements : les utilisateurs peuvent ouvrir toutes les apps, quel que soit leur emplacement d’installation. • Mac App Store : les utilisateurs peuvent uniquement ouvrir les apps à partir de l’App Store de Mac. • Mac App Store et les développeurs identifiés : les utilisateurs peuvent uniquement ouvrir les apps à partir de l’App Store de Mac ou à partir de développeurs authentifiés, c’est-à-dire des développeurs certifiés par Apple. Copyright © Sophos Limited Sophos Mobile 14.23.5 Configuration Stratégie d’extension du noyau (stratégie d’appareil macOS) La configuration Stratégie d’extension du noyau vous permet d’approuver ou de bloquer certaines extensions de noyau tierces (KEXTs). Sans cette configuration, macOS demande l’autorisation de l’utilisateur lorsqu’une app veut installer une extension de noyau. Paramètre/Champ Description Autoriser les extensions approuvés par l’utilisateur Lorsqu’une app veut installer une extension de noyau qui n’a pas été approuvée par cette configuration, macOS demande à l’utilisateur de l’approuver. Si la case à cocher est dessélectionnée, les extensions qui ne sont pas approuvées par cette configuration sont bloquées. Approuver les extensions Sophos Les extensions de noyau Sophos sont approuvées. Team IDs approuvés Une liste des valeurs Team ID. Les extensions de noyau signées par un de ces identifiants sont approuvées. Pour retrouver le Team ID d’une extension de noyau, installez-le sur un Mac dans votre environnement de test. Puis, saisissez les deux commandes suivantes dans Terminal : sqlite3 /var/db/SystemPolicyConfiguration/KextPolicy SELECT * FROM kext_policy; Utilisez Control-D pour quitter la session sqlite3. Vous obtenez une ligne de sortie pour chaque extension de noyau installée. Sur chaque ligne, la première valeur est Team ID. 14.23.6 Configuration VPN (stratégie d’utilisateur macOS) La configuration VPN vous permet de définir les paramètres VPN pour les connexions réseau. Paramètre/Champ Description Nom de la connexion Le nom de la connexion affichée sur l’appareil. Copyright © Sophos Limited 255 Sophos Mobile Paramètre/Champ Description Type de connexion Le type de connexion VPN : • Cisco AnyConnect • Cisco Legacy AnyConnect • IPsec (Cisco) • F5 • Check Point • SSL/TLS personnalisé Les différents champs d’entrée sont affichés sur la page VPN en fonction du type de connexion que vous sélectionnez. Identifiant (format de résolution DNS inverse) L’identifiant personnalisé au format DNS inverse. Serveur Le nom d’hôte ou l’adresse IP du serveur. Compte Le compte de l’utilisateur pour l’authentification de la connexion. Paramètres tiers Si votre fournisseur a précisé des propriétés de connexion personnalisées, vous pouvez les saisir dans ce champ. Pour saisir une propriété, cliquez sur Ajouter et saisissez la Clé et la Valeur de la propriété dans la boîte de dialogue. Envoyer tout le trafic par VPN Tout le trafic est envoyé par VPN. Groupe Le groupe qui sera requis pour l’authentification de la connexion. Authentification de l’utilisateur Le type d’authentification de l’utilisateur pour la connexion : • Mot de passe Si vous sélectionnez cette option, le champ Mot de passe apparaît en dessous du champ Authentification de l’utilisateur. Saisissez le mot de passe pour l’authentification. • Certificat Si vous sélectionnez cette option, le champ Certificat apparaît en dessous du champ Authentification de l’utilisateur. Sélectionnez un certificat. 256 Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Authentification de l’appareil Le type d’authentification de l’appareil : • Clés (secret partagé)/Nom du groupe Si vous sélectionnez cette option, les champs Nom du groupe, Clés (secret partagé), Utiliser une authentification hybride et Demander le mot de passe sont affichés en dessous du champ Authentification de l’appareil. Saisissez les informations d’authentification requises dans les champs Nom du groupe et Clés (secret partagé). Sélectionnez Utiliser une authentification hybride et Demander le mot de passe si nécessaire. • Certificat Si vous sélectionnez cette option, les champs Certificat et Inclure le code PIN de l’utilisateur sont affichés en dessous du champ Authentification de l’appareil. Sélectionnez le certificat requis dans la liste Certificat. Sélectionnez Inclure le code PIN de l’utilisateur pour inclure le code PIN de l’utilisateur à l’authentification de l’appareil. Proxy Les paramètres proxy pour la connexion : • Aucun proxy • Manuel Si vous sélectionnez l’une de ces options, les champs Serveur et port, Authentification et Mot de passe apparaissent. Dans le champ Serveur et port, saisissez l’adresse et le port du serveur proxy. Dans le champ Authentification, saisissez le nom d’utilisateur pour la connexion au serveur proxy. Dans le champ Mot de passe, saisissez le mot de passe pour la connexion au serveur proxy. • Automatique Si vous sélectionnez cette option, le champ URL du serveur proxy apparaît. Saisissez l’URL du serveur avec le paramètre du proxy dans ce champ. Copyright © Sophos Limited 257 Sophos Mobile Paramètre/Champ Description Type de fournisseur Le type de connexion VPN. • Proxy de l’appli : le trafic réseau est envoyé par un tunnel VPN au niveau de l’application. • Tunnel de paquets : le trafic réseau est envoyé par un tunnel VPN au niveau du réseau. 14.23.7 Configuration Pare-feu (stratégie d’appareil macOS) La configuration Pare-feu vous permet de définir les paramètres du pare-feu d’application inclus dans macOS. Paramètre/Champ Description Activer le pare-feu d’application Le pare-feu d’application est activé. Bloquer toutes les connexions entrantes Le partage des services, comme Partage de fichiers ou le Partage de l’écran ne sont pas autorisées à recevoir des connexions entrantes. Ceci n’affecte pas les services système suivants : • configd (DHCP et autres services de configuration du réseau) • mDNSResponder (Bonjour) • racoon (IPSec) Utiliser le mode furtif L’ordinateur ignore les demandes inattendues comme les requêtes « ping ». Autoriser automatiquement les applis intégrées Les apps intégrées, comme iTunes, sont ajoutées à la liste des apps autorisées à recevoir des connexions. Vous ne pouvez pas désactiver ce paramètre. Autoriser automatiquement les applis téléchargées signées Les apps signées par une autorité de certification valide sont ajoutées à la liste des apps autorisées à recevoir des connexions. Vous ne pouvez pas désactiver ce paramètre. Connexions autorisées Un groupe d’apps contenant des apps autorisées à recevoir des connexions. Pour les autres apps, les utilisateurs peuvent choisir d’autoriser ou de refuser une connexion. 258 Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Connexions refusées Un groupe d’apps contenant des apps non autorisées à recevoir des connexions. Pour les autres apps, les utilisateurs peuvent choisir d’autoriser ou de refuser une connexion. 14.23.8 Configuration du filtre de contenu Web (stratégie d’appareil macOS) La configuration Filtre de contenu Web vous permet de définir les paramètres d’une app tierce pour le filtrage du contenu Internet. Paramètre/Champ Description Nom du filtre Un nom personnalisé pour la configuration du filtre. N°ID du filtre L’identifiant du package de l’app tierce. Serveur Le serveur hébergeant le service de filtrage (nom d’hôte, adresse IP ou URL). Entreprise Le nom de votre entreprise. La valeur est transmise au service de filtrage. Nom d’utilisateur Mot de passe Les codes d’accès requis pour la connexion au service de filtrage. Certificat Un certificat d’authentification du service de filtrage. Plage de filtre Le trafic à filtrer par l’app tierce : Paramètres tiers Copyright © Sophos Limited • Filtrer le trafic du navigateur : le trafic du navigateur WebKit est filtré. • Filtrer le trafic des sockets : le trafic des sockets est filtré. • Filtrer le trafic du navigateur et des sockets : le trafic WebKit et des sockets est filtré. Les paramètres de configuration supplémentaires requis par l’app tierce, si nécessaire. 259 Sophos Mobile 14.23.9 Configuration du proxy HTTP global (stratégie d’appareil iOS) La configuration Proxy HTTP global vous permet de définir un serveur proxy professionnel. Paramètre/Champ Description Proxy Sélectionnez Manuel pour configurer les informations sur la connexion manuellement. Sélectionnez Automatique si vous avez un fichier de configuration automatique de proxy (PAC). Serveur Le nom (ou l’adresse IP) du proxy HTTP. Port Le numéro de port du proxy HTTP. Authentification Le nom d’utilisateur pour la connexion au serveur proxy. Mot de passe Le mot de passe pour la connexion au serveur proxy. URL PAC L’URL du fichier de configuration automatique de proxy (PAC). 14.23.10 Configuration des domaines administrés (stratégie d’appareil macOS) La configuration Domaines administrés vous permet de définir les domaines administrés pour les Macs. Domaines de messagerie Saisissez les domaines de messagerie administrés par votre entreprise. Les emails provenant d’une adresse ne correspondant pas à l’un des domaines configurés sont marquées comme étant extérieure au domaine dans l’app de messagerie. 14.23.11 Configuration de l’authentification unique (stratégie d’appareil macOS) La configuration Authentification unique vous permet de définir les paramètres d’une app à authentification unique ou d’une app tierce. 260 Paramètre/Champ Description Nom Un nom clair pour le compte. Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Nom Kerberos principal Le nom Kerberos principal. Si vous ne remplissez pas ce champ, l’utilisateur devra saisir son nom. Royaume Le nom du royaume Kerberos. Veuillez saisir le nom en majuscules. Adresses URL Une liste des préfixes d’URL qui doivent correspondre pour utiliser le compte pour l’authentification Kerberos sur HTTP. Les valeurs doivent commencer par http:// ou par https:// Si une valeur ne finit pas par /, la barre oblique / est ajoutée par Sophos Mobile. Identifiants de l’appli Une liste de numéros d’ID de package d’apps. Les valeurs doivent correspondre exactement (par exemple ; com.sophos.smsec), ou être des préfixes, utilisant des caractères .* à la fin de la chaîne de caractères (par exemple ; com.sophos.*). 14.23.12 Configuration AirPrint (stratégie d’utilisateur macOS) La configuration AirPrint vous permet d’ajouter des imprimantes AirPrint à la liste d’imprimantes AirPrint de l’utilisateur. Paramètre/Champ Description Adresse IP L’adresse IP de l’imprimante AirPrint. Chemin des ressources Le chemin des ressources associées à l’imprimante. Exemples : Copyright © Sophos Limited • imprimantes/<modèle imprimante> • ipp/print 261 Sophos Mobile 14.23.13 Configuration du service d’annuaire (stratégie d’appareil macOS) La configuration Service d’annuaire vous permet d’indiquer un domaine Active Directory que le Mac va rejoindre lorsque la stratégie lui est assignée. Remarque Si le domaine Active Directory que vous configurez ici est le même domaine que vous utilisez pour Portail libre-service, la stratégie d’utilisateur macOS assignée au Mac est appliquée à tous les utilisateurs Active Directory se connectant au Mac. Paramètres généraux Paramètre/Champ Description Nom de l’hôte du domaine Le nom d’hôte DNS du domaine Active Directory à rejoindre. Nom de l’administrateur AD Les codes d’accès du compte d’utilisateur utilisé pour la connexion au serveur Active Directory. Mot de passe Unité organisationnelle Cet utilisateur doit avoir les autorisations d’ajouter les appareils à la base de données Active Directory. L’unité organisationnelle (OU) dans la base de données Active Directory à laquelle est ajouté l’ordinateur. Expérience de l’utilisateur Paramètre/Champ Description Créer un compte mobile macOS crée un compte mobile lorsqu’un utilisateur du réseau se connecte pour la première fois. Le compte mobile permet aux utilisateur de se connecter au Mac à l’aide de leurs codes d’accès Active Directory même si le Mac n’est pas connecté au serveur Active Directory. Demander la confirmation avant de créer un compte mobile 262 L’utilisateur décide de créer un compte mobile ou pas. Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Forcer le dossier d’accueil local Sélectionnez cette case pour forcer la création de profils d’utilisateur sur le disque de démarrage. Cette opération est obligatoire pour les comptes mobiles. Si vous déssélectionnez la case, les annuaires réseau de départ sont utilisés. Utiliser le chemin UNC à partir d’Active Directory macOS monte le dossier de départ dans le compte d’utilisateur Active Directory. Protocole réseau Le protocole de montage du dossier de départ. Shell de l’utilisateur par défaut Le shell de ligne de commande pour l’utilisateur. Si le champ n’est pas rempli, /bin/bash est utilisé. Mappage Paramètre/Champ Description Attribut de l’UID L’attribut Active Directory mappé à l’identifiant d’utilisateur unique (UID) dans macOS. Attribut GID de l’utilisateur L’attribut Active Directory mappé à l’identifiant de groupe principal dans les comptes d’utilisateur macOS. Attribut GID du groupe L’attribut Active Directory mappé à l’identifiant de groupe dans les comptes de groupe macOS. Attention Si vous changez ces paramètres ultérieurement, les utilisateurs risquent de perdre l’accès aux fichiers créés auparavant. Administrative Paramètre/Champ Description Serveur DC préféré Le contrôleur de domaine Active Directory consulté en premier. Si le champ n’est pas rempli, macOS sélectionne le contrôleur de domaine en fonction des informations sur le site et du temps de réponse du contrôleur. Copyright © Sophos Limited 263 Sophos Mobile Paramètre/Champ Description Intervalle de fiabilité du mot de passe en jours Indiquez la fréquence à laquelle macOS doit changer le mot de passe de son compte d’ordinateur Active Directory. Si le champ n’est pas rempli, macOS change son mot de passe tous les 14 jours. Si vous définissez la valeur sur 0, macOS ne change pas le mot de passe automatiquement. Espace de noms • Forêt La compatibilité aux espaces de nom est activée. Plusieurs utilisateurs avec le même nom de connexion pour différents domaines de la forêt Active Directory peuvent se connecter. Les utilisateurs doivent saisir leur nom de connexion au format DOMAINE\nom. • Domaine La compatibilité aux espaces de nom est désactivée. Les utilisateurs ont un nom de connexion unique. Signature de paquet Chiffrement de paquet macOS peut signer et chiffrer les connexions LDAP utilisées pour la communication Active Directory. • Autoriser : macOS décide de signer et/ou de chiffrer les connexions LDAP. • Désactiver : macOS ne signe ni ne chiffre les connexions LDAP. • Demander: macOS signe et chiffre systématiquement les connexions LDAP. • SSL/TLS: macOS utilise toujours LDAP sur SSL/ TLS. Authentification multi-domaine Les utilisateurs de tous les domaines de la forêt Active Directory peuvent se connecter. Groupes d’administrateurs de domaine Une liste des groupes Active Directory. Les membres de ces groupes disposent des droits administratifs sur le Mac. Pour ajouter un groupe, saisissez le nom de domaine Active Directory, une barre oblique inverse et le nom du compte de groupe. Par exemple ADS\Domain Admins. Les entrées sont sensibles aux majuscules. 264 Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Restreindre le DDNS Une liste des interfaces réseau. Par défaut, macOS utilise DDNS (Dynamic DNS) pour toutes les interfaces réseau. Pour limiter DDNS à certaines interfaces, saisissez leurs noms BSD. Par exemple, pour limiter DDNS au port Ethernet intégré, saisissez en0. Pour saisir plus d’une interface, appuyez sur Entrée après chaque entrée. 14.23.14 Configuration du certificat racine (stratégie d’appareil macOS) La configuration Certificat racine vous permet d’installer un certificat racine sur les Macs. Paramètre Description Fichier Sélectionnez Télécharger un fichier puis sélectionnez un fichier de certificat PKCS #12 (.pfx). Nom du certificat Le nom du certificat. Sophos Mobile lit le nom dans le fichier de certificat. Remarque Le certificat est disponible pour d’autres configurations de la même stratégie. Si vous avez besoin de certificats pour d’autres stratégies, vous allez devoir les télécharger de nouveau. Conseil Il est possible de faire glisser un certificat de l’Explorateur de fichiers vers la zone Fichier pour le télécharger. 14.23.15 Configuration du certificat du client (stratégie d’appareil macOS) La configuration Certificat du client vous permet d’installer un certificat du client sur les Macs. Paramètre Description Fichier Sélectionnez Télécharger un fichier puis sélectionnez un fichier de certificat PKCS #12 (.pfx). Nom du certificat Le nom du certificat. Sophos Mobile lit le nom dans le fichier de certificat. Copyright © Sophos Limited 265 Sophos Mobile Remarque Le certificat est disponible pour d’autres configurations de la même stratégie. Si vous avez besoin de certificats pour d’autres stratégies, vous allez devoir les télécharger de nouveau. Conseil Il est possible de faire glisser un certificat de l’Explorateur de fichiers vers la zone Fichier pour le télécharger. 14.23.16 Configuration SCEP (stratégie d’utilisateur macOS) La configuration SCEP permet d’autoriser les appareils à demander des certificats à une Autorité de certification à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol). Paramètre/Champ Description URL L’adresse Web du serveur de l’Autorité de certification. Utilisez la variable %_SCEPPROXYURL_% pour indiquer l’URL du serveur configurée sur l’onglet SCEP de la page Configuration de Sophos. Nom du serveur CA Un nom intelligible pour l’Autorité de certification. Par exemple, le nom peut servir à faire la distinction entre deux instances. Objet Le nom de l’entité (par exemple ; une personne ou un appareil) qui recevra le certificat. Vous pouvez utiliser des espaces réservés pour les données de l’utilisateur ou les propriétés de l’appareil. La valeur que vous saisissez (remplacement des espaces réservés par des données) doit être un nom X.500 valable. Par exemple : • Saisissez CN=%_USERNAME_% pour indiquer un utilisateur. • Saisissez CN=%_DEVPROP(SerialNumber)_% pour un Mac. Retrouvez plus de renseignements sur les espaces réservés disponibles à la section Espaces réservés dans les stratégies (page 116). 266 Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Type de l’autre nom de l’objet Pour ajouter un Autre nom de l’objet (SAN) à la configuration SCEP, sélectionnez le type de l’Autre nom de l’objet et saisissez la valeur de l’Autre nom de l’objet. Les types SAN sont : Valeur de l’autre nom de l’objet • Nom RFC 822 : une adresse électronique valide. • Nom DNS : le nom DNS du serveur de l’autorité de certification. • Uniform Resource Identifier : l’URL complète du serveur de l’autorité de certification. Nom de connexion d’utilisateur AD La valeur Nom de connexion d’utilisateur définie dans Active Directory, c’est-à-dire le Nom principal de l’utilisateur (UPN). Challenge L’adresse Web permettant de récupérer un mot de passe de challenge à partir du serveur SCEP. Utilisez la variable %_CACHALLENGE_% pour indiquer l’URL de challenge configurée sur l’onglet SCEP de la page Configuration de Sophos. Nouvelles tentatives Le nombre de nouvelles tentatives si le serveur envoie une réponse en attente. Délai avant la nouvelle tentative Le nombre de secondes écoulées entre les nouvelles tentatives. Taille de la clé La taille de la clé publique dans le certificat émis. Assurez-vous que la valeur indiquée correspond à la taille configurée sur le serveur SCEP. 14.24 Configuration des stratégies d’utilisateur macOS Une stratégie d’utilisateur macOS vous permet de configurer les paramètres des Macs qui s’appliqueront à tous les utilisateurs gérés par Sophos Mobile. Concepts connexes À propos des stratégies macOS (page 113) Configuration des stratégies d’appareil macOS (page 247) Copyright © Sophos Limited 267 Sophos Mobile Une stratégie d’appareil macOS vous permet de configurer les paramètres des Macs qui s’appliqueront à tous les utilisateurs. 14.24.1 Configuration des stratégies de mot de passe (stratégie d’utilisateur macOS) La configuration Stratégies de mot de passe vous permet de définir les exigences à respecter pour les mots de passe des comptes d’utilisateur Mac. Remarque Lorsque la configuration Stratégies de mot de passe est assignée à un appareil, un délai de grâce de 60 minutes commence. Au cours de cette période, l’utilisateur est invité à changer son mot de passe lorsqu’il revient sur l’écran d’accueil conformément aux stratégie de sécurité en vigueur. Une fois le délai de grâce expiré, l’utilisateur ne peut plus démarrer les applis sur l’appareil, même les applis internes. Paramètre/Champ Description Accepter les valeurs simples Les utilisateurs sont autorisés à utiliser des caractères séquentiels ou répétés dans leur mot de passe (par exemple 1111 ou abcde). Exiger des valeurs alphanumériques Les mots de passe doivent contenir au moins une lettre ou un chiffre. Longueur minimum du mot de passe Indique le nombre minimum de caractères qu’un mot de passe doit contenir. Nombre minimum de caractères complexes Indique le nombre minimum de caractères non alphanumériques (par exemple & ou !) qu’un mot de passe doit contenir. Durée de validité maximale du mot de passe en jours Demande aux utilisateurs de changer leur mot de passe dans l’intervalle indiqué. Plage de valeur : 0 (aucun changement de mot de passe requis) à 730 jours. Verrouillage automatique maximal (en minutes) Ce champ vous permet d’indiquer la valeur maximale que l’utilisateur peut configurer sur l’appareil. Le verrouillage automatique indique au bout de combien de temps (en minutes) l’appareil doit être verrouillé lorsqu’il n’est pas utilisé. Historique du mot de passe Le nombre de mots de passe précédemment utilisés que Sophos Mobile conserve en mémoire. Lorsqu’un utilisateur crée un nouveau mot de passe, celui-ci ne doit pas être le même qu’un mot de passe précédemment utilisé. 268 Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Délai de grâce maximal avant verrouillage de l’appareil Ce champ vous permet d’indiquer la valeur maximale que l’utilisateur peut configurer sur l’appareil. Le délai de grâce avant le verrouillage de l’appareil vous permet d’indiquer pendant combien de temps l’appareil peut être déverrouillé suite à un verrouillage sans demande de mot de passe. Si vous sélectionnez Aucun, l’utilisateur peut sélectionner l’un des intervalles disponibles. Si vous sélectionnez Immédiatement, les utilisateurs doivent saisir un mot de passe à chaque fois qu’ils déverrouillent leur appareil. Nombre de tentatives ratées avant réinitialisation de l’appareil Ce champ vous permet d’indiquer le nombre de tentatives ratées de saisie du mot de passe qu’il est possible d’effectuer avant que l’appareil soit réinitialisé. Après six tentatives ratées, l’utilisateur doit attendre pendant un moment avant de pouvoir saisir de nouveau un mot de passe. Le délai d’attente augmente à chaque tentative ratée. Suite à l’échec de la dernière tentative, toutes les données et les paramètres sont supprimés de l’appareil. Le délai d’attente commence à la sixième tentative. Par conséquent, si vous définissez cette valeur sur 6 ou sur une valeur inférieure, il n’y a aucun délai d’attente et l’appareil est réinitialisé lorsque la limite des tentatives autorisées est dépassée. 14.24.2 Configuration des restrictions (stratégie d’utilisateur macOS) La configuration Restrictions vous permet de définir les restrictions pour les Macs. Remarque Certaines options sont uniquement disponibles sur certaines versions de macOS. Ceci est indiqué par des étiquettes bleues dans Sophos Mobile Admin. Appareil Paramètre/Champ Description Autoriser l’utilisation de l’appareil photo Si cette case est dessélectionnée, l’appareil photo n’est plus disponible et l’icône de l’Appareil photo disparaît de l’écran d’Accueil. L’utilisateur ne peut pas prendre de photos, enregistrer de vidéos ou utiliser FaceTime. Copyright © Sophos Limited 269 Sophos Mobile Paramètre/Champ Description Autoriser la recherche sur Internet pour Spotlight Si cette case est dessélectionnée, Spotlight ne fournit plus de résultats de recherche sur Internet. Autoriser Apple Music L’utilisateur peut accéder à la bibliothèque Apple Music. Délai de mise à jour du logiciel macOS Le nombre de jours de délais du logiciel macOS après sa date de sortie. Saisir une valeur entre 0 (aucun délai) et 90. iCloud Paramètre/Champ Description Autoriser la sauvegarde Les utilisateurs peuvent sauvegarder leurs appareils dans iCloud. Autoriser la bibliothèque de photos iCloud Les utilisateurs peuvent utiliser la Bibliothèque de photos iCloud. Autoriser la synchronisation du trousseau iCloud Les utilisateurs peuvent se servir du Trousseau iCloud pour synchroniser les mots de passe sur leurs iPhones, iPads et Macs. Si la case n’est pas sélectionnée, les données du Trousseau iCloud sont uniquement stockées localement sur l’appareil. 270 Autoriser la synchronisation des documents Les utilisateurs peuvent conserver les documents et les données de configuration des applis dans iCloud. Autoriser Accès à mon Mac Les utilisateurs peuvent utiliser Accès à mon Mac iCloud, c’est-à-dire le partage de fichiers et d’écran entre un Mac distant et local. Autoriser Localiser mon Mac Les utilisateurs peuvent utiliser Localiser mon Mac iCloud pour rechercher, verrouiller ou réinitialiser leur Mac à distance. Autoriser les favoris iCloud Les utilisateurs peuvent utiliser les Favoris iCloud pour synchroniser les favoris Web entre les navigateurs et les plates-formes. Autoriser la messagerie iCloud Les utilisateurs peuvent créer un compte Messagerie iCloud sur leur Mac. Autoriser le calendrier iCloud Les utilisateurs peuvent se servir du Calendrier iCloud pour partager leurs calendriers avec tous leurs appareils et avec d’autres utilisateurs d’iCloud. Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Autoriser les rappels iCloud Les utilisateurs peuvent se servir des Rappels iCloud pour partager leurs listes de rappels avec tous leurs appareils et avec d’autres utilisateurs d’iCloud. Autoriser le carnet d’adresses iCloud Les utilisateurs peuvent se servir du Carnet d’adresses iCloud pour partager leurs contacts avec tous leurs appareils et avec d’autres utilisateurs d’iCloud. Autoriser les notes iCloud Les utilisateurs peuvent se servir des Notes iCloud pour partager leurs notes avec tous leurs appareils et avec d’autres utilisateurs. Autoriser iCloud Drive pour le Bureau et les documents Les utilisateurs peuvent stocker leur poste de travail Mac et leur dossier Documents dans iCloud Drive et y accéder à partir d’autres appareils. Sécurité et confidentialité Paramètre/Champ Description Autoriser le capteur Touch ID à déverrouiller l’appareil Si cette case n’est pas sélectionnée, l’appareil ne peut pas être déverrouillé par Touch ID. Autoriser la recherche de définition Les utilisateurs peuvent rechercher les définitions des mots surlignés. Autoriser le déverrouillage automatique Les utilisateurs peuvent se servir du Déverrouillage automatique pour déverrouiller automatiquement leur Mac à l’aide de leur Apple Watch. Autoriser le partage de fichiers iTunes Les utilisateurs peuvent se servir du Partage de fichiers dans iTunes pour copier les fichiers sur leur Mac et sur leur iPhone ou iPad. Autoriser AirPrint Les utilisateurs peuvent envoyer des fichiers sur des imprimantes AirPrint. Autoriser la recherche iBeacon d’imprimantes AirPrint L’appareil utilise iBeacon pour rechercher les appareils AirPrint. Attention Si vous autorisez ceci, les appareils AirPrint malveillants peuvent lancer des attaques de phishing sur le trafic réseau. Forcer les certificats approuvés pour AirPrint sur TLS Copyright © Sophos Limited AirPrint sur TLS est rejeté si l’appareil AirPrint utilise un certificat non approuvé. 271 Sophos Mobile Paramètre/Champ Description Autoriser le remplissage automatique à la saisie du mot de passe L’utilisateur peut activer le paramètre Remplissage automatique des mots de passe qui lui permet d’utiliser le mot de passe ou les coordonnées de la carte de paiement enregistrés dans Safari ou dans d’autres applis. Si la case n’est pas sélectionnée, la suggestion automatique de mots de passe complexes est également désactivée. Demander les mots de passe Wi#Fi à partir d’appareils à proximité L’appareil demande les mots de passe à partir d’appareils se trouvant à proximité lors de la configuration d’une connexion Wi-Fi. Autoriser le partage de mots de passe AirDrop L’utilisateur peut partager les mots de passe dans le Gestionnaire des mots de passe avec d’autres utilisateurs avec AirDrop. 14.24.3 Configuration du compte Exchange (stratégie d’utilisateur macOS) La configuration Compte Exchange vous permet de créer un compte Exchange Web Services (EWS) pour les Contacts, la Messagerie, les Rappels et l’Agenda. Paramètre/Champ Description Nom du compte Le nom du compte. Serveur Exchange L’adresse du serveur Exchange. Si vous utilisez le proxy EAS de Sophos Mobile, veuillez saisir l’URL du serveur proxy EAS. Domaine Le domaine de ce compte. Utilisateur L’utilisateur de ce compte. Si vous saisissez la variable %_USERNAME_%, le serveur la remplace par le nom de l’utilisateur en cours. Adresse email L’adresse électronique du compte. Si vous saisissez la variable %_EMAILADDRESS_ %, le serveur la remplace par l’adresse électronique en cours. Mot de passe Le mot de passe de ce compte. Si vous ne remplissez pas ce champ, les utilisateurs devront saisir le mot de passe sur leurs appareils. 272 Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description OAuth Le compte utilise OAuth pour l’authentification, c’est-à-dire que les utilisateurs s’authentifient avec leurs codes d’accès Microsoft. URL de connexion à OAuth L’URL de la page de connexion pour l’authentification OAuth. Utiliser ce paramètres si le service de recherche automatique d’Exchange est désactivé. SSL/TLS La connexion au serveur Exchange est sécurisée par SSL ou TLS (selon la compatibilité du serveur). Nous vous conseillons de sélectionner cette option. 14.24.4 Configuration Wi-Fi (stratégie d’utilisateur macOS) La configuration Wi-Fi vous permet d’indiquer les paramètres de connexion aux réseaux Wi-Fi. Paramètre/Champ Description SSID L’identifiant du réseau Wi-Fi. Connexion automatique Connecter automatiquement au réseau cible. Réseau masqué Le réseau cible n’est pas ouvert ou visible. Copyright © Sophos Limited 273 Sophos Mobile Paramètre/Champ Description Type de sécurité Le type de sécurité du réseau Wi-Fi : • Aucun • WEP (personnel) • WPA/WPA2 (personnel) • Tous (personnel) • WEP (entreprise) • WPA/WPA2 (entreprise) • Toute (entreprise) Si vous sélectionnez un type de sécurité Personnel, un champ Mot de passe apparaît. Saisissez le mot de passe adéquat. Si vous sélectionnez un type de sécurité Entreprise, les onglets Protocoles, Authentification et Fiabilité apparaissent. Dans l’onglet Protocoles, configurez les paramètres suivants : • Sous Types d’EAP acceptés, sélectionnez les méthodes EAP à utiliser pour l’authentification. Selon les types sélectionnés sur cet onglet, les valeurs du champ Identité interne dans cet onglet peuvent être sélectionnées. • Sous EAP-FAST, configurez les paramètres de codes d’accès protégé EAP-FAST. • Dans Version TLS minimale et Version TLS maximale, sélectionnez une version TLS minimale et maximale à utiliser avec l’authentification EAP. Dans l’onglet Authentification, configurez les paramètres d’authentification du client : • Dans le champ Utilisateur, saisissez le nom d’utilisateur pour la connexion au réseau Wi-Fi. • Sélectionnez Demander le mot de passe à chaque connexion si le mot de passe doit être demandé pour chaque connexion et transféré avec l’authentification. • Dans le champ Mot de passe, saisissez le mot de passe adéquat. • Dans la liste Certificat d’identité, sélectionnez le certificat pour la connexion au réseau Wi-Fi. Remarque Le certificat à utiliser doit être indiqué sous la configuration Certificat du client. • Dans le champ Identité externe, saisissez l’identifiant externe visible (pour TTLS, PEAP et EAP-FAST). Dans l’onglet Fiabilité, configurez les paramètres d’authentification du serveur : 274 Sélectionnez les certificats approuvés dans la liste. Copyright © Sophos Limited Remarque Sophos Mobile Paramètre/Champ Description Proxy Dans cette liste, sélectionnez les paramètres du proxy pour la connexion Wi-Fi : • Aucun proxy • Manuel • Automatique Si vous sélectionnez Manuel, les champs Serveur, Port, Authentification et Mot de passe apparaissent. Saisissez les informations du proxy requises. Si vous sélectionnez Automatique, le champ URL PAC apparait. Saisissez l’URL du serveur proxy. 14.24.5 Configuration SCEP (stratégie d’appareil macOS) La configuration VPN vous permet de définir les paramètres VPN pour les connexions réseau. Paramètre/Champ Description Nom de la connexion Le nom de la connexion affichée sur l’appareil. Type de connexion Le type de connexion VPN : • Cisco AnyConnect • Cisco Legacy AnyConnect • IPsec (Cisco) • F5 • Check Point • SSL/TLS personnalisé Les différents champs d’entrée sont affichés sur la page VPN en fonction du type de connexion que vous sélectionnez. Identifiant (format de résolution DNS inverse) L’identifiant personnalisé au format DNS inverse. Serveur Le nom d’hôte ou l’adresse IP du serveur. Compte Le compte de l’utilisateur pour l’authentification de la connexion. Paramètres tiers Si votre fournisseur a précisé des propriétés de connexion personnalisées, vous pouvez les saisir dans ce champ. Pour saisir une propriété, cliquez sur Ajouter et saisissez la Clé et la Valeur de la propriété dans la boîte de dialogue. Copyright © Sophos Limited 275 Sophos Mobile Paramètre/Champ Description Envoyer tout le trafic par VPN Tout le trafic est envoyé par VPN. Groupe Le groupe qui sera requis pour l’authentification de la connexion. Authentification de l’utilisateur Le type d’authentification de l’utilisateur pour la connexion : • Mot de passe Si vous sélectionnez cette option, le champ Mot de passe apparaît en dessous du champ Authentification de l’utilisateur. Saisissez le mot de passe pour l’authentification. • Certificat Si vous sélectionnez cette option, le champ Certificat apparaît en dessous du champ Authentification de l’utilisateur. Sélectionnez un certificat. Authentification de l’appareil Le type d’authentification de l’appareil : • Clés (secret partagé)/Nom du groupe Si vous sélectionnez cette option, les champs Nom du groupe, Clés (secret partagé), Utiliser une authentification hybride et Demander le mot de passe sont affichés en dessous du champ Authentification de l’appareil. Saisissez les informations d’authentification requises dans les champs Nom du groupe et Clés (secret partagé). Sélectionnez Utiliser une authentification hybride et Demander le mot de passe si nécessaire. • Certificat Si vous sélectionnez cette option, les champs Certificat et Inclure le code PIN de l’utilisateur sont affichés en dessous du champ Authentification de l’appareil. Sélectionnez le certificat requis dans la liste Certificat. Sélectionnez Inclure le code PIN de l’utilisateur pour inclure le code PIN de l’utilisateur à l’authentification de l’appareil. 276 Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Proxy Les paramètres proxy pour la connexion : • Aucun proxy • Manuel Si vous sélectionnez l’une de ces options, les champs Serveur et port, Authentification et Mot de passe apparaissent. Dans le champ Serveur et port, saisissez l’adresse et le port du serveur proxy. Dans le champ Authentification, saisissez le nom d’utilisateur pour la connexion au serveur proxy. Dans le champ Mot de passe, saisissez le mot de passe pour la connexion au serveur proxy. • Automatique Si vous sélectionnez cette option, le champ URL du serveur proxy apparaît. Saisissez l’URL du serveur avec le paramètre du proxy dans ce champ. Type de fournisseur Le type de connexion VPN. • Proxy de l’appli : le trafic réseau est envoyé par un tunnel VPN au niveau de l’application. • Tunnel de paquets : le trafic réseau est envoyé par un tunnel VPN au niveau du réseau. 14.24.6 Configuration du Web Clip (stratégie d’utilisateur macOS) La configuration Web clip vous permet de définir les Web clips à ajouter sur le bureau macOS. Les Web clips offrent un accès rapide aux pages Web favorites. Vous pouvez également ajouter un Web clip avec, par exemple, le numéro de téléphone du support afin de fournir un moyen rapide d’appeler le service d’assistance. Paramètre/Champ Description Description Une description du Web clip. URL L’adresse Web du serveur du Web clip. Peut être supprimé Si cette case est dessélectionnée, l’utilisateur ne peut pas supprimer le Web clip. Le seul moyen de le supprimer de l’appareil sera de supprimer la stratégie avec laquelle il a été installé. Copyright © Sophos Limited 277 Sophos Mobile Paramètre/Champ Description Plein écran Le Web clip s’ouvre en plein écran sur l’appareil. Un Web clip affiché en plein écran ouvre l’URL en tant qu’app Web. Icône Sélectionnez une image à utiliser comme icône du Web Clip sur l’écran d’accueil. L’image doit être au format PNG, GIF ou JPEG et d’une taille maximale de 1 Mo. L’image est coupée à la taille d’un carré et redimensionnée pour correspondre à la résolution de l’écran. Pour des résultats optimaux, nous vous conseillons d’utiliser une taille d’image de 180 px par 180 px. Remarque Lorsqu’une favicon est définie dans le code HTML d’une page Web, l’appareil peut afficher cette favicon en tant qu’icône Web Clip. Ceci se produit uniquement sur certaine pages Web selon la manière dont la favicon a été configurée dans le code de la page Web. 14.24.7 Configuration du filtre de contenu Web (stratégie d’utilisateur macOS) La configuration Filtre de contenu Web vous permet de définir les paramètres d’une app tierce pour le filtrage du contenu Internet. Paramètre/Champ Description Nom du filtre Un nom personnalisé pour la configuration du filtre. N°ID du filtre L’identifiant du package de l’app tierce. Serveur Le serveur hébergeant le service de filtrage (nom d’hôte, adresse IP ou URL). Entreprise Le nom de votre entreprise. La valeur est transmise au service de filtrage. Nom d’utilisateur Mot de passe Certificat 278 Les codes d’accès requis pour la connexion au service de filtrage. Un certificat d’authentification du service de filtrage. Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Plage de filtre Le trafic à filtrer par l’app tierce : Paramètres tiers • Filtrer le trafic du navigateur : le trafic du navigateur WebKit est filtré. • Filtrer le trafic des sockets : le trafic des sockets est filtré. • Filtrer le trafic du navigateur et des sockets : le trafic WebKit et des sockets est filtré. Les paramètres de configuration supplémentaires requis par l’app tierce, si nécessaire. 14.24.8 Configuration du proxy HTTP global (stratégie d’utilisateur iOS) La configuration Proxy HTTP global vous permet de définir un serveur proxy professionnel. Paramètre/Champ Description Proxy Sélectionnez Manuel pour configurer les informations sur la connexion manuellement. Sélectionnez Automatique si vous avez un fichier de configuration automatique de proxy (PAC). Serveur Le nom (ou l’adresse IP) du proxy HTTP. Port Le numéro de port du proxy HTTP. Authentification Le nom d’utilisateur pour la connexion au serveur proxy. Mot de passe Le mot de passe pour la connexion au serveur proxy. URL PAC L’URL du fichier de configuration automatique de proxy (PAC). 14.24.9 Configuration des domaines administrés (stratégie d’utilisateur macOS) La configuration Domaines administrés vous permet de définir les domaines administrés pour les Macs. Domaines de messagerie Saisissez les domaines de messagerie administrés par votre entreprise. Les emails provenant d’une adresse ne correspondant pas à l’un des domaines configurés sont marquées comme étant extérieure au domaine dans l’app de messagerie. Copyright © Sophos Limited 279 Sophos Mobile 14.24.10 Configuration de CalDAV (stratégie d’utilisateur macOS) La configuration de CalDAV vous permet de configurer la synchronisation des données de l’agenda avec un serveur CalDAV. Par exemple, elle peut servir à synchroniser l’Agenda Google avec un Mac. Paramètre/Champ Description Nom du compte Le nom d’affichage du compte CalDAV sur l’appareil. Serveur Le nom d’hôte ou l’adresse IP du serveur CalDAV. Port Le numéro de port du serveur CalDAV. URL principale Si requis par le serveur CalDAV, saisissez l’URL principale des ressources de l’agenda. Par exemple, pour synchroniser un autre agenda que l’agenda principal d’un compte Google, saisissez : https://apidata.googleusercontent.com/ caldav/ v2/calendar_id/user où calendar_id correspond à l’identifiant de l’agenda avec lequel vous voulez vous synchroniser. Dans l’application Web de Google Agenda, l’identifiant de l’agenda est affiché dans les paramètres de l’agenda. Retrouvez plus de renseignements dans l’Aide de Google Agenda. Nom d’utilisateur, Mot de passe Les codes d’accès au compte CalDAV. Par exemple, pour Google Agenda, saisissez les codes d’accès du compte Google. SSL/TLS La connexion au serveur CalDAV est sécurisée par SSL ou TLS (selon la compatibilité du serveur). Nous vous conseillons de sélectionner cette option. 14.24.11 Configuration CardDAV (stratégie d’utilisateur macOS) La configuration de CardDAV vous permet de configurer la synchronisation des données de contacts avec un serveur CardDAV. Par exemple, elle peut servir à synchroniser les Contacts Google avec un Mac. 280 Paramètre/Champ Description Nom du compte Le nom d’affichage du compte CardDAV sur l’appareil. Serveur Le nom d’hôte ou l’adresse IP du serveur CardDAV. Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Port Le numéro de port du serveur CardDAV. URL principale Si requis par le serveur CardDAV, saisissez l’URL principale des ressources de contacts. Par exemple, l’API CardDAV de Google prend en charge l’URL principale suivante : https://www.googleapis.com/carddav/ v1/ principals/account_name@gmail.com où account_name correspond au nom du compte Google. Nom d’utilisateur, Mot de passe Les codes d’accès au compte CardDAV. Par exemple, pour Google Contacts, saisissez les codes d’accès du compte Google. SSL/TLS La connexion au serveur CardDAV est sécurisée par SSL ou TLS (selon la compatibilité du serveur). Nous vous conseillons de sélectionner cette option. 14.24.12 Configuration IMAP/POP (stratégie d’utilisateur macOS) La configuration IMAP/POP vous permet d’ajouter un compte de messagerie IMAP ou POP aux Macs. Paramètre/Champ Description Nom du compte Le nom d’affichage du compte de messagerie sur l’appareil. Type de compte Le type de serveur de messagerie pour la messagerie entrante (soit IMAP soit POP). Nom d’utilisateur affiché Le nom d’affichage de l’utilisateur pour la messagerie sortante. Utilisez la variable %_USERNAME_% pour indiquer le nom de l’utilisateur assigné à l’appareil. Adresse électronique L’adresse électronique du compte. Utilisez la variable %_EMAILADDRESS_% pour indiquer l’adresse électronique de l’utilisateur assigné à l’appareil. Messagerie entrante Serveur Copyright © Sophos Limited Le nom d’hôte ou l’adresse IP du serveur de messagerie entrante (serveur entrant). 281 Sophos Mobile Paramètre/Champ Description Port Le numéro de port du serveur de messagerie pour les messages entrants (serveur entrant). Nom d’utilisateur Le nom d’utilisateur pour la connexion au serveur entrant. Type d’authentification La méthode d’authentification pour la connexion au serveur entrant. Mot de passe Le mot de passe pour la connexion au serveur entrant (si nécessaire). SSL/TLS La connexion au serveur entrant est sécurisée par SSL ou TLS (selon la compatibilité du serveur). Messagerie sortante Serveur Le nom d’hôte ou l’adresse IP du serveur de messagerie sortante (serveur sortant). Port Le numéro de port du serveur de messagerie pour les messages sortants (serveur sortant). Nom d’utilisateur Le nom d’utilisateur pour la connexion au serveur sortant. Type d’authentification La méthode d’authentification pour la connexion au serveur sortant. Mot de passe Le mot de passe pour la connexion au serveur sortant (si nécessaire). Utiliser le même mot de passe que la messagerie entrante Utiliser le mot de passe indiqué pour la messagerie entrante. SSL/TLS La connexion au serveur sortant est sécurisée par SSL ou TLS (selon la compatibilité du serveur). 14.24.13 Configuration de l’Authentification unique (stratégie d’utilisateur macOS) La configuration Authentification unique vous permet de définir les paramètres d’une app à authentification unique ou d’une app tierce. Paramètre/Champ Description Nom Un nom clair pour le compte. Nom Kerberos principal Le nom Kerberos principal. Si vous ne remplissez pas ce champ, l’utilisateur devra saisir son nom. 282 Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Royaume Le nom du royaume Kerberos. Veuillez saisir le nom en majuscules. Adresses URL Une liste des préfixes d’URL qui doivent correspondre pour utiliser le compte pour l’authentification Kerberos sur HTTP. Les valeurs doivent commencer par http:// ou par https:// Si une valeur ne finit pas par /, la barre oblique / est ajoutée par Sophos Mobile. Identifiants de l’appli Une liste de numéros d’ID de package d’apps. Les valeurs doivent correspondre exactement (par exemple ; com.sophos.smsec), ou être des préfixes, utilisant des caractères .* à la fin de la chaîne de caractères (par exemple ; com.sophos.*). 14.24.14 Configuration LDAP (stratégie d’appareil macOS) La configuration LDAP vous permet d’ajouter les informations de l’utilisateur à partir d’un annuaire LDAP dans l’app Carnet d’adresses de macOS. Remarque Pour configurer un Mac afin qu’il rejoigne un domaine Active Directory, veuillez utiliser la configuration Service d’annuaire. Retrouvez plus de renseignements à la section Configuration du service d’annuaire (stratégie d’appareil macOS) (page 262). Paramètre/Champ Description Description du compte Une description de la connexion LDAP. Nom d’hôte Le nom d’hôte ou l’adresse IP du serveur LDAP. Nom d’utilisateur Les codes d’accès de connexion que Sophos Mobile utilise pour se connecter au serveur LDAP. Mot de passe Utiliser SSL/TLS La connexion au serveur LDAP est sécurisée par SSL ou TLS (selon la compatibilité du serveur). Rechercher les paramètres Les nœuds de l’arborescence LDAP à partir desquels la recherche doit être effectuée et le champ d’application de la recherche. Copyright © Sophos Limited 283 Sophos Mobile Paramètre/Champ Description Base Le chemin du nœud de démarrage pour la recherche. Par exemple : ou=users,o=my company Portée Description Le champ d’application des sous-nœuds à inclure dans la recherche : • Nœud de base uniquement : uniquement le nœud de base. • Nœud de base et nœuds enfant directs : le nœud de base et ses nœuds enfant (les sousnœuds de premier niveau). • Nœud de base et tous les sous-nœuds : le nœud de base et tous les sous-nœuds Une description du paramètre de recherche. 14.24.15 Configuration App Store (stratégie d’utilisateur macOS) La configuration App Store vous permet de limiter l’utilisation de l’App Store. Paramètre/Champ Description Demander le mot de passe de l’administrateur Les utilisateurs doivent avoir un mot de passe administrateur pour installer ou mettre à jour les apps. Limiter aux mises à jour Les utilisateurs peuvent mettre à jour les apps mais ne peuvent pas en installer de nouvelles. Interdire l’adoption d’appli L’adoption d’app permet aux utilisateurs d’assigner des apps à leur identifiant Apple qui n’a pas été installé par le biais de l’App Store. Si vous interdisez l’adoption d’app, les utilisateurs ne peuvent pas mettre à jour ces apps. Par exemple, les apps iLife ou iWork incluses à Mac sont affectées. Désactiver les notifications de mise à jour 284 Les utilisateurs ne reçoivent pas de notifications de mise à jour. Copyright © Sophos Limited Sophos Mobile 14.24.16 Configuration du certificat racine (stratégie d’utilisateur macOS) La configuration Certificat racine vous permet d’installer un certificat racine sur les Macs. Paramètre Description Fichier Sélectionnez Télécharger un fichier puis sélectionnez un fichier de certificat PKCS #12 (.pfx). Nom du certificat Le nom du certificat. Sophos Mobile lit le nom dans le fichier de certificat. Remarque Le certificat est disponible pour d’autres configurations de la même stratégie. Si vous avez besoin de certificats pour d’autres stratégies, vous allez devoir les télécharger de nouveau. Conseil Il est possible de faire glisser un certificat de l’Explorateur de fichiers vers la zone Fichier pour le télécharger. 14.24.17 Configuration du certificat du client (stratégie d’utilisateur macOS) La configuration Certificat du client vous permet d’installer un certificat du client sur les Macs. Paramètre Description Fichier Sélectionnez Télécharger un fichier puis sélectionnez un fichier de certificat PKCS #12 (.pfx). Nom du certificat Le nom du certificat. Sophos Mobile lit le nom dans le fichier de certificat. Remarque Le certificat est disponible pour d’autres configurations de la même stratégie. Si vous avez besoin de certificats pour d’autres stratégies, vous allez devoir les télécharger de nouveau. Conseil Il est possible de faire glisser un certificat de l’Explorateur de fichiers vers la zone Fichier pour le télécharger. Copyright © Sophos Limited 285 Sophos Mobile 14.24.18 Configuration SCEP (stratégie d’utilisateur macOS) La configuration SCEP permet d’autoriser les appareils à demander des certificats à une Autorité de certification à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol). Paramètre/Champ Description URL L’adresse Web du serveur de l’Autorité de certification. Utilisez la variable %_SCEPPROXYURL_% pour indiquer l’URL du serveur configurée sur l’onglet SCEP de la page Configuration de Sophos. Nom du serveur CA Un nom intelligible pour l’Autorité de certification. Par exemple, le nom peut servir à faire la distinction entre deux instances. Objet Le nom de l’entité (par exemple ; une personne ou un appareil) qui recevra le certificat. Vous pouvez utiliser des espaces réservés pour les données de l’utilisateur ou les propriétés de l’appareil. La valeur que vous saisissez (remplacement des espaces réservés par des données) doit être un nom X.500 valable. Par exemple : • Saisissez CN=%_USERNAME_% pour indiquer un utilisateur. • Saisissez CN=%_DEVPROP(SerialNumber)_% pour un Mac. Retrouvez plus de renseignements sur les espaces réservés disponibles à la section Espaces réservés dans les stratégies (page 116). Type de l’autre nom de l’objet Valeur de l’autre nom de l’objet Nom de connexion d’utilisateur AD 286 Pour ajouter un Autre nom de l’objet (SAN) à la configuration SCEP, sélectionnez le type de l’Autre nom de l’objet et saisissez la valeur de l’Autre nom de l’objet. Les types SAN sont : • Nom RFC 822 : une adresse électronique valide. • Nom DNS : le nom DNS du serveur de l’autorité de certification. • Uniform Resource Identifier : l’URL complète du serveur de l’autorité de certification. La valeur Nom de connexion d’utilisateur définie dans Active Directory, c’est-à-dire le Nom principal de l’utilisateur (UPN). Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Challenge L’adresse Web permettant de récupérer un mot de passe de challenge à partir du serveur SCEP. Utilisez la variable %_CACHALLENGE_% pour indiquer l’URL de challenge configurée sur l’onglet SCEP de la page Configuration de Sophos. Nouvelles tentatives Le nombre de nouvelles tentatives si le serveur envoie une réponse en attente. Délai avant la nouvelle tentative Le nombre de secondes écoulées entre les nouvelles tentatives. Taille de la clé La taille de la clé publique dans le certificat émis. Assurez-vous que la valeur indiquée correspond à la taille configurée sur le serveur SCEP. 14.25 Configuration des stratégies Windows Mobile Une stratégie Windows Mobile vous permet de configurer les paramètres des appareils Windows Mobile. 14.25.1 Configuration des Stratégies de mot de passe (stratégie Windows Mobile) La configuration Stratégies de mot de passe vous permet de définir les exigences à respecter pour le mot de passe de l’appareil. Paramètre/Champ Description Type de mot de passe Le type de mot de passe que les utilisateurs doivent définir : • Alphanumériques: le mot de passe doit contenir à la fois des chiffres et des lettres. • Numériques: le mot de passe contient uniquement des chiffres. Sur Windows Phone 8.1, Alphanumériques inclut les mots de passe contenant des chiffres et/ou des lettres. Copyright © Sophos Limited 287 Sophos Mobile Paramètre/Champ Description Complexité minimale des mots de passe alphanumériques Ceci définit les classes de caractères à utiliser dans un mot de passe alphanumérique. Sur Windows 10 Mobile : • 1 : Non applicable (si sélectionné, 2 est utilisé) • 2 : Chiffres et lettres minuscules obligatoires • 3 : Chiffres, lettres minuscules et majuscules obligatoires • 4 : Chiffres, lettres minuscules et majuscules et caractères spéciaux obligatoires Sur Windows Phone 8.1, la valeur que vous sélectionnez correspond au nombre de différentes classes de caractères devant être utilisées dans un mot de passe. Les classes de caractères sont : • Chiffres • Lettres minuscules • Lettres majuscules • Caractères spéciaux Accepter les mots de passe simples Les mots de passe peuvent être composé de caractères séquentiels ou répétés, par exemple abcde ou 1111. Longueur minimum du mot de passe Le nombre minimum de caractères qu’un mot de passe doit contenir. Nombre maximal de tentatives Le nombre de tentatives ratées de saisie du mot de passe de connexion qu’il est possible d’effectuer avant que l’appareil soit réinitialisé. Saisissez une valeur entre 1 et 999 ou sélectionnez 0 si vous ne voulez pas de restriction. Durée en minutes avant le verrouillage de l’appareil Le temps (en minutes) au bout duquel l’appareil doit être verrouillé lorsqu’il n’est pas utilisé. L’utilisateur peut déverrouiller l’appareil. Saisissez une valeur entre 1 et 999 ou sélectionnez 0 si vous ne voulez pas de restriction. Historique du mot de passe Le nombre de mots de passe précédemment utilisés que Sophos Mobile conserve en mémoire. Lorsqu’un utilisateur crée un nouveau mot de passe, celui-ci ne doit pas être le même qu’un mot de passe précédemment utilisé. 288 Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Durée de validité maximale du mot de passe en jours Le nombre de jours après lesquels les utilisateurs doivent changer de mot de passe. Saisissez une valeur entre 1 et 730 ou sélectionnez 0 si vous ne voulez pas de restriction. Autoriser un délai de grâce pour le mot de passe d’appli Les utilisateurs sont autorisés à définir le délai de grâce du mot de passe. 14.25.2 Configuration des Restrictions (stratégie Windows Mobile) La configuration des Restrictions vous permet de définir les restrictions pour les appareils. Appareil Paramètre/Champ Description Interdire la carte SD L’utilisateur ne peut plus accéder à la carte de stockage. Ceci n’empêche pas les apps d’accéder à la carte de stockage. Interdire les appareils non chiffrés Le chiffrement du stockage interne est activé. Attention Une fois que le chiffrement du stockage interne est activé, vous ne pouvez plus le désactiver par le biais d’une stratégie. Remarque Veuillez activer BitLocker sur l’appareil avant d’appliquer la stratégie. Interdire les notifications dans le centre de notifications lorsque l’écran du téléphone est verrouillé Aucune notification du centre de notifications n’est affichée sur l’écran de verrouillage de l’appareil. Interdire l’ajout manuel de comptes de messagerie non Microsoft Cette option empêche l’ajout de tous les types de compte de messagerie ainsi que des comptes Exchange, Office 365 et Outlook.com. Copyright © Sophos Limited 289 Sophos Mobile Paramètre/Champ Description Interdire la connexion de compte Microsoft La connexion aux services Microsoft comme la synchronisation, la sauvegarde, Skype ou la Boutique Microsoft n’est pas possible. Remarque Ce paramètre affecte uniquement les comptes Microsoft installés sur l’appareil après que la stratégie a été assignée. 290 Interdire le mode de développement Le mode de développement de Windows est désactivé. Interdire la Boutique Microsoft La boutique d’apps n’est pas accessible. Interdire le navigateur natif Le navigateur Microsoft Edge n’est plus disponible. Interdire la caméra Le paramètre de confidentialité Autoriser les applications à utiliser ma caméra est désactivé. Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Niveau de télémétrie La quantité de diagnostics Windows et de données d’utilisation que les appareils sont autorisés à envoyer. Windows 10 : • Complet : toutes les données nécessaires à l’identification et à l’analyse des problèmes. • Amélioré : les données sur l’utilisation et les performances de Windows et des apps. • Basique : une série limitée de données essentielles à la compréhension du fonctionnement et de la configuration de l’appareil. • Désactivé (Windows Phone 8.1 uniquement) : non compatible avec les appareils Windows 10. Si vous sélectionnez cette option, le niveau Basique est utilisé. Remarque Les niveaux sont cumulatifs en partant du niveau inférieur au niveau supérieur. Par exemple ; le niveau Amélioré inclut toutes les données du niveau Basique. Conseil Retrouvez plus de renseignements sur les niveaux télémétriques dans l’article de Microsoft Configurer la télémétrie Windows dans votre organisation (lien externe). Windows Phone 8.1 n’est pas compatible avec les différents niveaux de télémétrie : • Complet, Amélioré, Basique : les utilisateurs peuvent activer ou désactiver la télémétrie. • Désactivé (Windows Phone 8.1 uniquement) : aucune donnée télémétrique n’est envoyée. Divers Paramètre/Champ Description Interdire la fonction copier/coller Le bloc-notes n’est plus disponible. Interdire Cortana Cortana est désactivée. Interdire « Enregistrer sous » pour les fichiers Office L’utilisateur ne peut pas enregistrer un fichier en tant que fichier Office sur l’appareil. Interdire la capture d’écran Les captures d’écran sont désactivées. Copyright © Sophos Limited 291 Sophos Mobile Paramètre/Champ Description Interdire le partage des fichiers Office L’utilisateur ne peut pas partager les fichiers Office. Interdire « Synchroniser les paramètres » Les paramètres de l’appareil ne peuvent pas être synchronisés vers et à partir d’autres appareils Windows. Interdire l’enregistrement vocal L’enregistrement vocal est désactivé. Wi-Fi Paramètre/Champ Description Interdire la connexion Wi#Fi Les connexions Wi-Fi sont désactivées. Interdire le partage sur Internet Le partage de connexion Internet est désactivé. Interdire l’Assistant Wi#Fi (connexion automatique aux points d’accès) L’appareil ne se connectera pas automatiquement aux points d’accès Wi-Fi. Interdire le signalement de points d’accès L’appareil n’enverra pas d’informations sur les connexions Wi-Fi. Interdire la configuration manuelle L’utilisateur ne peut pas configurer d’autres connexions Wi-Fi que celles configurées par Sophos Mobile. Les profils Wi-Fi d’utilisateurs et les profils Wi-Fi Sense déjà configurés sont supprimés. Connectivité 292 Paramètre/Champ Description Interdire NFC NFC (communication en champ proche) est désactivée. Interdire Bluetooth Bluetooth est désactivée. Interdire la connexion USB La connexion USB entre l’appareil et un ordinateur pour synchroniser les fichiers ou utiliser les outils de développement à des fins de déploiement ou de débogage d’apps est refusée. Ceci n’affecte pas le chargement USB. Copyright © Sophos Limited Sophos Mobile Itinérance et coûts Paramètre/Champ Description Interdire la connexion de données en itinérance Les connexions de données sur les réseaux cellulaires étrangers sont désactivées. Interdire VPN sur les données cellulaires Les connexions VPN sur les réseaux cellulaires sont désactivées. Interdire VPN lors de l’itinérance sur les données cellulaires Les connexions VPN sur les réseaux cellulaires étrangers sont désactivées. Sécurité et confidentialité Paramètre/Champ Description Interdire Bing visuel pour archiver des images provenant de la recherche visuelle Bing Bing visuel ne conservera pas le contenu des images capturées lors d’une recherche dans Bing visuel. Interdire l’utilisation de la géolocalisation lors de la recherche La recherche ne peut pas utiliser les informations de géolocalisation. Interdire l’installation manuelle de certificats racine L’utilisateur ne peut pas installer manuellement les certificats racines et intermédiaires de l’autorité de certification. Interdire la géolocalisation Tous les paramètres privés de géolocalisation sur l’appareil sont désactivés. Aucune app ne peut utiliser le service de géolocalisation. Cette option empêche également Sophos Mobile de géolocaliser l’appareil. Autorisation d’utilisation du Filtre adulte Le niveau de filtrage des résultats de la recherche appliqué sur l’appareil : Copyright © Sophos Limited • Modéré : filtrage modéré du contenu pour adulte. Les résultats valides de la recherche ne seront pas filtrés. • Strict : filtrage strict du contenu pour adulte. 293 Sophos Mobile Désinscription Paramètre/Champ Description Interdire la réinitialisation du téléphone par l’utilisateur L’utilisateur ne peut pas rétablir les paramètres d’usine de l’appareil via le panneau de configuration ou par combinaison de touches. Interdire la désinscription manuelle de MDM L’utilisateur ne peut pas supprimer le compte professionnel. 14.25.3 Configuration du compte Exchange (stratégie Windows Mobile) La configuration Compte Exchange vous permet de créer une connexion à un serveur de messagerie Serveur Microsoft Exchange. Paramètre/Champ Description Nom du compte Le nom du compte. Serveur Exchange L’adresse du serveur Exchange. Si vous utilisez le proxy EAS de Sophos Mobile, veuillez saisir l’URL du serveur proxy EAS. Domaine Le domaine de ce compte. Utilisateur L’utilisateur de ce compte. Si vous saisissez la variable %_USERNAME_%, le serveur la remplace par le nom de l’utilisateur en cours. Adresse email L’adresse électronique du compte. Si vous saisissez la variable %_EMAILADDRESS_ %, le serveur la remplace par l’adresse électronique en cours. Mot de passe Le mot de passe de ce compte. Si vous ne remplissez pas ce champ, les utilisateurs devront saisir le mot de passe sur leurs appareils. Période de synchronisation La date à laquelle les emails sont synchronisés. Seuls les emails compris dans la période indiquée sont synchronisés dans la boîte de réception sur l’appareil. 294 Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Intervalle de synchronisation L’intervalle entre les processus de synchronisation de la messagerie. SSL/TLS La connexion au serveur Exchange est sécurisée par SSL ou TLS (selon la compatibilité du serveur). Nous vous conseillons de sélectionner cette option. Synchroniser les types de contenu Les types de contenu à synchroniser. 14.25.4 Configuration Wi-Fi (stratégie Windows Mobile) La configuration Wi-Fi vous permet d’indiquer les paramètres de connexion aux réseaux Wi-Fi. Paramètre/Champ Description SSID Dans ce champ, saisissez l’identifiant du réseau Wi-Fi. Connexion automatique La connexion sera établie automatiquement. Réseau masqué Le réseau cible n’est pas ouvert ou visible. Type de sécurité Sélectionnez le type de sécurité dans la liste. Si vous sélectionnez WPA (personnel) ou WPA2 (personnel), vous devez indiquer un mot de passe. Proxy Si vous sélectionnez Manuel dans la liste déroulante, vous devez indiquer un serveur et un port. Copyright © Sophos Limited 295 Sophos Mobile 14.25.5 Configuration des Restrictions d’apps (stratégie Windows Mobile) La configuration des Restrictions d’apps vous permet d’autoriser ou de bloquer des apps spécifiques sur les appareils. Paramètre/Champ Description Apps autorisées Comprend une série d’apps individuelles que les utilisateurs sont autorisés à installer et à utiliser sur leur appareil. Les utilisateurs ne pourront pas installer ou utiliser les apps qui ne figurent pas dans cette liste. Utilisez Apps autorisées lorsque vous savez quelle liste d’apps vous voulez autoriser et que vous voulez bloquer toutes les autres apps. Apps interdites Comprend une série d’apps individuelles que les utilisateurs ne sont pas autorisés à installer sur leur appareil. Les utilisateurs pourront installer les apps qui ne figurent pas dans cette liste. Utilisez Apps interdites lorsque vous savez quelle liste d’apps vous voulez bloquer et que vous voulez autoriser toutes les autres apps. Groupe d’apps Sélectionnez le groupe d’apps qui contient la liste des apps que vous voulez autoriser ou bloquer. Remarque Le groupe d’apps doit d’abord être créé. Retrouvez plus de renseignements à la section Groupes d’apps (page 351). 14.25.6 Configuration IMAP/POP (stratégie Windows Mobile) La configuration IMAP/POP vous permet d’ajouter un compte de messagerie IMAP ou POP. 296 Paramètre/Champ Description Type de compte Le type de serveur de messagerie pour la messagerie entrante (soit IMAP soit POP). Nom du compte Le nom d’affichage du compte de messagerie sur l’appareil. Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Adresse électronique L’adresse électronique du compte. Utilisez la variable %_EMAILADDRESS_% pour indiquer l’adresse électronique de l’utilisateur assigné à l’appareil. Nom d’utilisateur affiché Le nom d’affichage de l’utilisateur pour la messagerie sortante. Utilisez la variable %_USERNAME_% pour indiquer le nom de l’utilisateur assigné à l’appareil. Nom d’utilisateur Le nom d’utilisateur pour la connexion au serveur entrant. Domaine La partie domaine des codes d’accès pour le serveur entrant (si nécessaire). Mot de passe Le mot de passe pour la connexion au serveur entrant (si nécessaire). Serveur de messagerie entrante Le nom d’hôte (ou l’adresse IP) et le numéro du port du serveur de messagerie entrante (serveur entrant). Format : nom du serveur:numéro du port Vous n’avez pas besoin d’indiquer le numéro du port si le port par défaut est utilisé : • 143 (IMAP) • 993 (IMAP avec SSL) • 110 (POP3) • 995 (POP3 avec SSL) Utiliser SSL/TLS pour la messagerie entrante Utiliser SSL (Secure Sockets Layer ) pour le transfert de la messagerie entrante. Serveur de messagerie sortante Le nom d’hôte (ou l’adresse IP) et le numéro du port du serveur de messagerie sortante (serveur entrant). Format : nom du serveur:numéro du port Utiliser SSL/TLS pour la messagerie sortante Utiliser SSL (Secure Sockets Layer ) pour le transfert de la messagerie sortante. Authentification obligatoire pour la connexion sortante Le serveur sortant exige l’authentification. Période de synchronisation Les mêmes codes d’accès que ceux du serveur entrant sont utilisés comme indiqué dans les champs Nom d’utilisateur, Domaine et Mot de passe. La date à laquelle les emails sont synchronisés. Seuls les emails compris dans la période indiquée sont synchronisés dans la boîte de réception sur l’appareil. Synchronisation automatique Copyright © Sophos Limited L’intervalle de synchronisation automatique de la messagerie. 297 Sophos Mobile 14.25.7 Configuration du Certificat racine (stratégie Windows Mobile) La configuration Certificat racine vous permet d’installer un certificat racine sur les appareils. Paramètre Description Fichier Sélectionnez Télécharger un fichier puis sélectionnez un fichier de certificat PKCS #12 (.pfx). Nom du certificat Le nom du certificat. Sophos Mobile lit le nom dans le fichier de certificat. Remarque Le certificat est disponible pour d’autres configurations de la même stratégie. Si vous avez besoin de certificats pour d’autres stratégies, vous allez devoir les télécharger de nouveau. Conseil Il est possible de faire glisser un certificat de l’Explorateur de fichiers vers la zone Fichier pour le télécharger. 14.25.8 Configuration SCEP (stratégie Windows Mobile) La configuration SCEP permet d’autoriser les appareils à demander des certificats à une Autorité de certification à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol). Paramètre/Champ Description Description Une description de la configuration. URL L’adresse Web du serveur de l’Autorité de certification. Utilisez la variable %_SCEPPROXYURL_% pour indiquer l’URL du serveur configurée sur l’onglet SCEP de la page Configuration de Sophos. 298 Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Objet Le nom de l’entité (par exemple ; une personne ou un appareil) qui recevra le certificat. Vous pouvez utiliser des espaces réservés pour les données de l’utilisateur ou les propriétés de l’appareil. La valeur que vous saisissez (remplacement des espaces réservés par des données) doit être un nom X.500 valable. Par exemple : • Saisissez CN=%_USERNAME_% pour indiquer un utilisateur. • Saisissez CN=%_DEVPROP(serial_number)_% pour un appareil Android. Retrouvez plus de renseignements sur les espaces réservés disponibles à la section Espaces réservés dans les stratégies (page 116). Autre nom de l’objet Cette option vous permet de configurer une ou plusieurs valeurs Autre nom de l’objet. Cliquez sur Ajouter et saisissez un type et une valeur pour l’Autre nom de l’objet. Challenge L’adresse Web permettant de récupérer un mot de passe de challenge à partir du serveur SCEP. Utilisez la variable %_CACHALLENGE_% pour indiquer l’URL de challenge configurée sur l’onglet SCEP de la page Configuration de Sophos. Certificat racine Le certificat de l’Autorité de certification. Sélectionnez le certificat dans la liste. La liste contient tous les certificats que vous avez chargés dans la configuration Certificat racine de la stratégie actuelle. Nouvelles tentatives Le nombre de nouvelles tentatives si le serveur envoie une réponse en attente. Délai avant la nouvelle tentative Le nombre de secondes écoulées entre les nouvelles tentatives. Taille de la clé La taille de la clé publique dans le certificat émis. Assurez-vous que la valeur indiquée correspond à la taille configurée sur le serveur SCEP. Copyright © Sophos Limited 299 Sophos Mobile Paramètre/Champ Description Utilisation de la clé Sélectionnez comment le certificat peut être utilisé. Utiliser en tant que signature numérique : Le certificat peut être utilisé en tant que signature numérique. Utiliser pour le chiffrement : Le certificat peut être utilisé pour le chiffrement des données. 14.26 Configuration des stratégies Windows Une stratégie Windows vous permet de configurer les paramètres des ordinateurs Windows. 14.26.1 Configuration des stratégies de mot de passe (stratégie Windows) La configuration Stratégies de mot de passe vous permet de définir les exigences à respecter pour les mots de passe des comptes d’utilisateur Windows. Remarque Les règles de complexité des mots de passe (par ex. ; la longueur, le nombre de lettres majuscules et minuscules) pour les ordinateurs Windows sont fixées et ne peuvent pas être définies par une stratégie Sophos Mobile. Retrouvez plus de renseignements à la section Règles de complexité des mots de passe Windows (page 114). Remarque Les stratégies de mot de passe ne peuvent pas être assignées aux ordinateurs Windows dans les deux situations suivantes : • Des utilisateurs locaux sont configurés sur l’appareil en plus de l’utilisateur inscrit à Sophos Mobile. • Un ou plusieurs utilisateurs ne sont pas autorisés à modifier leur mot de passe. Paramètre/Champ Description Nombre maximal de tentatives Le nombre de tentatives ratées de saisie du mot de passe de connexion qu’il est possible d’effectuer avant que l’appareil soit réinitialisé. Saisissez une valeur entre 1 et 999 ou sélectionnez 0 si vous ne voulez pas de restriction. 300 Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Durée en minutes avant le verrouillage de l’appareil Le temps (en minutes) au bout duquel l’appareil doit être verrouillé lorsqu’il n’est pas utilisé. L’utilisateur peut déverrouiller l’appareil. Saisissez une valeur entre 1 et 999 ou sélectionnez 0 si vous ne voulez pas de restriction. Historique du mot de passe Le nombre de mots de passe précédemment utilisés que Sophos Mobile conserve en mémoire. Lorsqu’un utilisateur crée un nouveau mot de passe, celui-ci ne doit pas être le même qu’un mot de passe précédemment utilisé. Durée de validité maximale du mot de passe en jours Le nombre de jours après lesquels les utilisateurs doivent changer de mot de passe. Saisissez une valeur entre 1 et 730 ou sélectionnez 0 si vous ne voulez pas de restriction. 14.26.2 Configuration des restrictions (stratégie Windows) La configuration Restrictions vous permet de définir les restrictions pour les appareils. Appareil Paramètre/Champ Description Interdire la carte SD L’utilisateur ne peut plus accéder à la carte de stockage. Ceci n’empêche pas les apps d’accéder à la carte de stockage. Interdire l’ajout manuel de comptes de messagerie non Microsoft Cette option empêche l’ajout de tous les types de compte de messagerie ainsi que des comptes Exchange, Office 365 et Outlook.com. Interdire le mode de développement Le mode de développement de Windows est désactivé. Interdire la caméra Le paramètre de confidentialité Autoriser les applications à utiliser ma caméra est désactivé. Copyright © Sophos Limited 301 Sophos Mobile Paramètre/Champ Description Désactiver la saisie semi-automatique sur Edge Le paramètre Enregistrer les entrées de formulaire du navigateur Web Edge est désactivé et ne peut pas être activé par l’utilisateur. Si cette case n’est pas sélectionnée, le paramètre est activé et ne peut pas être désactivé par l’utilisateur. Désactiver les Outils de développement F12 sur Edge Les Outils de développement F12 du navigateur Web Edge ne sont plus disponibles. Désactiver le bloqueur de fenêtres publicitaires sur Edge Le paramètre Bloquer les fenêtres contextuelles du navigateur Web Edge est désactivé et ne peut pas être activé par l’utilisateur. Si cette case est n’est pas sélectionnée, le paramètre est activé et ne peut pas être désactivé par l’utilisateur. Désactiver les Paramètres de lecture automatique Désactiver les Paramètres de date et d’heure Désactiver le Paramètre de langue Désactiver les Paramètres d’alimentation et de mise en veille Désactiver les Options régionales Les sections concernées du Panneau de configuration Windows ne sont plus disponibles. L’utilisateur ne peut pas modifier ces paramètres une fois que la stratégie a été assignée à l’appareil. Remarque La fonction Désactiver les Paramètres de lecture automatique ne s’applique pas aux appareils connectés (par exemple, les téléphones mobiles). Désactiver les Paramètres de connexion Désactiver les Paramètres VPN Désactiver les Paramètres du lieu de travail Désactiver les Paramètres de compte 302 Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Niveau de télémétrie La quantité de diagnostics Windows et de données d’utilisation que les appareils sont autorisés à envoyer. • Complet : toutes les données nécessaires à l’identification et à l’analyse des problèmes. • Amélioré : les données sur l’utilisation et les performances de Windows et des apps. • Basique : une série limitée de données essentielles à la compréhension du fonctionnement et de la configuration de l’appareil. • Sécurité : informations requises pour assurer la protection de l’appareil avec les plus récentes mises à jour de sécurité. Remarque Les niveaux sont cumulatifs en partant du niveau inférieur au niveau supérieur. Par exemple ; le niveau Amélioré inclut toutes les données des niveaux Basique et Sécurité. Conseil Retrouvez plus de renseignements sur les niveaux télémétriques dans l’article de Microsoft Configurer la télémétrie Windows dans votre organisation (lien externe). Divers Paramètre/Champ Description Interdire Cortana Cortana est désactivée. Interdire « Synchroniser les paramètres » Les paramètres de l’appareil ne peuvent pas être synchronisés vers et à partir d’autres appareils Windows. Désactiver les conseils Windows Le paramètre de notification de Windows Afficher des conseils sur Windows est désactivé et n’est plus disponible. Wi-Fi Paramètre/Champ Description Interdire le partage sur Internet Le partage de connexion Internet est désactivé. Copyright © Sophos Limited 303 Sophos Mobile Paramètre/Champ Description Interdire l’Assistant Wi#Fi (connexion automatique aux points d’accès) L’appareil ne se connectera pas automatiquement aux points d’accès Wi-Fi. Interdire la configuration manuelle L’utilisateur ne peut pas configurer d’autres connexions Wi-Fi que celles configurées par Sophos Mobile. Les profils Wi-Fi d’utilisateurs et les profils Wi-Fi Sense déjà configurés sont supprimés. Connectivité Paramètre/Champ Description Interdire Bluetooth Bluetooth est désactivée. Sécurité et confidentialité Paramètre/Champ Description Interdire l’utilisation de la géolocalisation lors de la recherche La recherche ne peut pas utiliser les informations de géolocalisation. Désinscription Paramètre/Champ Description Interdire la désinscription manuelle de MDM L’utilisateur ne peut pas supprimer le compte professionnel. 14.26.3 Configuration du compte Exchange (stratégie Windows) La configuration Compte Exchange vous permet de créer une connexion à un serveur de messagerie Serveur Microsoft Exchange. Attention Si vous utiliser plusieurs configurations pour créer des comptes Exchange, les appareils risquent uniquement de pouvoir récupérer les messages à partir d’un seul compte. Ceci arrive généralement lorsque les comptes sont sur des serveurs Exchange différents et que différentes stratégies de boîtes de réception sont définies sur ces serveurs. Les ordinateurs Windows ne pouvant appliquer qu’une seule stratégie de boîte de réception, ils ne parviendront pas à se connecter aux comptes utilisant une stratégie différente. 304 Copyright © Sophos Limited Sophos Mobile Remarque Windows autorise l’utilisateur à refuser toutes les modifications que vous apportez à la configuration d’Exchange. Paramètre/Champ Description Nom du compte Le nom du compte. Serveur Exchange L’adresse du serveur Exchange. Si vous utilisez le proxy EAS de Sophos Mobile, veuillez saisir l’URL du serveur proxy EAS. Domaine Le domaine de ce compte. Utilisateur L’utilisateur de ce compte. Si vous saisissez la variable %_USERNAME_%, le serveur la remplace par le nom de l’utilisateur en cours. Adresse email L’adresse électronique du compte. Si vous saisissez la variable %_EMAILADDRESS_ %, le serveur la remplace par l’adresse électronique en cours. Mot de passe Le mot de passe de ce compte. Si vous ne remplissez pas ce champ, les utilisateurs devront saisir le mot de passe sur leurs appareils. Période de synchronisation La date à laquelle les emails sont synchronisés. Seuls les emails compris dans la période indiquée sont synchronisés dans la boîte de réception sur l’appareil. Intervalle de synchronisation L’intervalle entre les processus de synchronisation de la messagerie. SSL/TLS La connexion au serveur Exchange est sécurisée par SSL ou TLS (selon la compatibilité du serveur). Nous vous conseillons de sélectionner cette option. Synchroniser les types de contenu Copyright © Sophos Limited Les types de contenu à synchroniser. 305 Sophos Mobile 14.26.4 Configuration Wi-Fi (stratégie Windows) La configuration Wi-Fi vous permet d’indiquer les paramètres de connexion aux réseaux Wi-Fi. Configurer manuellement Sélectionnez Configurer manuellement pour configurer manuellement une connexion Wi-Fi. Cette option prend uniquement en charge les connexions avec un type de sécurité WPA (personnel) ou WPA2 (personnel). Paramètre/Champ Description SSID Dans ce champ, saisissez l’identifiant du réseau Wi-Fi. Connexion automatique La connexion sera établie automatiquement. Réseau masqué Le réseau cible n’est pas ouvert ou visible. Type de sécurité Sélectionnez le type de sécurité dans la liste. Si vous sélectionnez WPA (personnel) ou WPA2 (personnel), vous devez indiquer un mot de passe. Créer à partir d’une connexion existante Sélectionnez Créer à partir d’une connexion existante pour créer une configuration Wi-Fi à partir d’une connexion Wi-Fi existante sur un ordinateur Windows. Paramètre/Champ Description Profil Wi#Fi Téléchargez le fichier de profil d’une connexion Wi-Fi Windows. Retrouvez plus de renseignements sur la création du fichier à la section Export d’un profil Wi-Fi Windows (page 306). 14.26.5 Export d’un profil Wi-Fi Windows Pour créer une configuration Wi-Fi à partir d’une connexion existante, vous devez tout d’abord exporter un profil Wi-Fi Sophos Mobile à partir d’un ordinateur Windows. Effectuez cette procédure sur un ordinateur Windows 10 sur lequel la connexion Wi-Fi est répertoriée sous Réseaux connus. 1. Ouvrez une fenêtre d’invite de commande en tant qu’administrateur. 2. Vérifiez que le profil requis est disponible : 306 Copyright © Sophos Limited Sophos Mobile netsh wlan show profiles 3. Exportez le profil : netsh wlan export profile "<SSID>" key=clear folder=<Destination> Remplacez <SSID> par le nom du profil et <Destination> par le dossier de destination du fichier de profil (par exemple c:\temp). Le profil est exporté dans un fichier XML. Vous pouvez utiliser le fichier dans une configuration Wi-Fi Sophos Mobile. Attention Le fichier XML contient le mot de passe Wi-Fi non chiffré. Pour des raisons de sécurité, nous vous conseillons vivement de supprimer le fichier après l’avoir téléchargé dans Sophos Mobile. Tâches connexes Création d’une stratégie (page 111) Les stratégies servent à configurer les paramètres des appareils. Il est possible d’en créer plusieurs si vous souhaitez gérer différents types d’appareils. Référence associée Configuration Wi-Fi (stratégie Windows) (page 306) La configuration Wi-Fi vous permet d’indiquer les paramètres de connexion aux réseaux Wi-Fi. 14.26.6 Configuration du mode kiosque (stratégie Windows) La configuration Mode kiosque vous permet d’utiliser un ordinateur Windows en mode kiosque. Sous le mode kiosque, il est uniquement possible d’exécuter une seule app (l’app du kiosque). Le mode kiosque est activé lorsque l’utilisateur associé au mode kiosque (l’utilisateur du kiosque) se connecte. Remarque Par défaut, l’ordinateur reste en mode kiosque après son redémarrage. Pour changer ce comportement, connectez-vous à l’ordinateur avec le compte d’utilisateur du kiosque puis dans Paramètres > Comptes > Options de connexion, désactivez Utiliser mes infos de connexion pour terminer automatiquement la configuration de mon appareil après une mise à jour ou un redémarrage. Paramètre/Champ Description Compte d’utilisateur L’utilisateur associé au mode kiosque (l’utilisateur du kiosque). Format : <Nom ordinateur>\<nom utilisateur> (compte local) <Domaine>\<nom utilisateur> (compte de domaine) Vous pouvez ignorer le <domaine> si le nom d’utilisateur est unique sur tous les domaines. Copyright © Sophos Limited 307 Sophos Mobile Paramètre/Champ Description ID de modèle utilisateur de l’application L’ID de modèle utilisateur de l’application (AUMID) de l’app qui est lancé lorsque le mode kiosque est activé (l’app du kiosque). Retrouvez plus de renseignements sur la manière d’obtenir la valeur AUMID dans le document Microsoft Comment retrouver l’’ID de modèle utilisateur de l’application d’une app installée. 14.26.7 Configuration IMAP/POP (stratégie Windows) La configuration IMAP/POP vous permet d’ajouter un compte de messagerie IMAP ou POP aux ordinateurs Windows. Paramètre/Champ Description Type de compte Le type de serveur de messagerie pour la messagerie entrante (soit IMAP soit POP). Nom du compte Le nom d’affichage du compte de messagerie sur l’appareil. Adresse électronique L’adresse électronique du compte. Utilisez la variable %_EMAILADDRESS_% pour indiquer l’adresse électronique de l’utilisateur assigné à l’appareil. Nom d’utilisateur affiché Le nom d’affichage de l’utilisateur pour la messagerie sortante. Utilisez la variable %_USERNAME_% pour indiquer le nom de l’utilisateur assigné à l’appareil. Nom d’utilisateur Le nom d’utilisateur pour la connexion au serveur entrant. Domaine La partie domaine des codes d’accès pour le serveur entrant (si nécessaire). Mot de passe Le mot de passe pour la connexion au serveur entrant (si nécessaire). Serveur de messagerie entrante Le nom d’hôte (ou l’adresse IP) et le numéro du port du serveur de messagerie entrante (serveur entrant). Format : nom du serveur:numéro du port Vous n’avez pas besoin d’indiquer le numéro du port si le port par défaut est utilisé : 308 • 143 (IMAP) • 993 (IMAP avec SSL) • 110 (POP3) • 995 (POP3 avec SSL) Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Utiliser SSL/TLS pour la messagerie entrante Utiliser SSL (Secure Sockets Layer ) pour le transfert de la messagerie entrante. Serveur de messagerie sortante Le nom d’hôte (ou l’adresse IP) et le numéro du port du serveur de messagerie sortante (serveur entrant). Format : nom du serveur:numéro du port Utiliser SSL/TLS pour la messagerie sortante Utiliser SSL (Secure Sockets Layer ) pour le transfert de la messagerie sortante. Authentification obligatoire pour la connexion sortante Le serveur sortant exige l’authentification. Période de synchronisation Les mêmes codes d’accès que ceux du serveur entrant sont utilisés comme indiqué dans les champs Nom d’utilisateur, Domaine et Mot de passe. La date à laquelle les emails sont synchronisés. Seuls les emails compris dans la période indiquée sont synchronisés dans la boîte de réception sur l’appareil. Synchronisation automatique L’intervalle de synchronisation automatique de la messagerie. 14.26.8 Configuration de Device Guard (stratégie Windows) La configuration Device Guard vous permet de configurer la sécurité basée sur la virtualisation (VBS) sur les ordinateurs Windows. Remarque Tous les paramètres sont appliqués lorsque l’ordinateur est redémarré suite à l’assignation de la stratégie. Paramètre/Champ Description Activer la sécurité basée sur la virtualisation La sécurité basée sur la virtualisation (VBS) est activé. Copyright © Sophos Limited 309 Sophos Mobile Paramètre/Champ Description Configuration de Credential Guard • Désactiver : désactiver Credential Guard. Cette opération ne fonctionne pas si Credential Guard a été activé à l’aide de l’option Activer avec le verrouillage UEFI. • Activer avec le verrouillage UEFI : activez Credential Guard et assurez-vous qu’il est impossible de le désactiver à distance. Credential Guard peut uniquement être désactivé dans les paramètres BIOS. Ceci nécessite l’accès physique à l’ordinateur. • Activer sans le verrouillage : activer Credential Guard. Credential Guard peut être désactivé à l’aide de l’option Désactiver ou d’une stratégie de groupe Windows. Niveau de sécurité de la plate-forme • Démarrage sécurisé : la sécurité basée sur la virtualisation est activée et offre toutes les options de protection compatibles avec le matériel informatique. Si l’ordinateur n’est pas équipé d’unités de gestion de la mémoire entrante/ sortante (IOMMU), la sécurité basée sur la virtualisation utilise la fonction UEFI de démarrage sécurisé. Si l’ordinateur est équipé d’IOMMU, la sécurité basée sur la virtualisation utilise le Démarrage sécurisé avec la protection de l’accès direct à la mémoire (DMA). • Démarrage sécurisé et protection DMA : la sécurité basée sur la virtualisation utilise le Démarrage sécurisé avec la protection de l’accès direct à la mémoire (DMA). La sécurité basée sur la virtualisation n’est pas activée si l’ordinateur n’est pas compatible avec DMA. 14.26.9 Configuration du certificat racine (stratégie Windows) La configuration Certificat racine vous permet d’installer un certificat racine sur les appareils. 310 Paramètre Description Fichier Sélectionnez Télécharger un fichier puis sélectionnez un fichier de certificat PKCS #12 (.pfx). Copyright © Sophos Limited Sophos Mobile Paramètre Description Nom du certificat Le nom du certificat. Sophos Mobile lit le nom dans le fichier de certificat. Remarque Le certificat est disponible pour d’autres configurations de la même stratégie. Si vous avez besoin de certificats pour d’autres stratégies, vous allez devoir les télécharger de nouveau. Conseil Il est possible de faire glisser un certificat de l’Explorateur de fichiers vers la zone Fichier pour le télécharger. 14.26.10 Configuration du certificat client (stratégie Windows) La configuration Certificat du client vous permet d’installer un certificat du client sur les ordinateurs Windows. Paramètre/Champ Description Fichier Le certificat que vous voulez installer. Vous pouvez télécharger les certificats PEM et PKCS #12. Cliquez sur Télécharger un fichier et naviguez jusqu’au fichier contenant le certificat. Conseil Autrement, faites glisser le fichier de l’Explorateur de fichiers dans la zone Télécharger un fichier. Nom du certificat Suite au téléchargement du fichier de certificat, ce champ affiche la valeur objet du certificat. Magasin cible Le magasin de certificat dans lequel est installé le certificat : Utilisateur : le certificat est disponible pour l’utilisateur inscrit à Sophos Mobile. Appareil : le certificat est disponible à tous les utilisateurs de l’ordinateur. Copyright © Sophos Limited 311 Sophos Mobile Paramètre/Champ Description Emplacement de la clé L’emplacement de stockage de la clé privée du certificat : Logiciel : la clé est stockée dans un magasin de clés logiciel. TPM ou logiciel : la clé est stockée dans le TPM s’il est disponible. Autrement, la clé est stockée dans un magasin de clés logiciel. TPM : la clé est stockée dans la puce matérielle du module de plate-forme sécurisée (TPM). Si l’ordinateur n’est pas équipé d’une puce TPM ou si le TPM est désactivé sur le BIOS, le certificat n’est pas installé. Windows Hello Entreprise : la clé est stockée dans un conteneur Windows Hello Entreprise. Clé exportable Les utilisateurs peuvent également exporter la clé privée lorsqu’ils exportent le certificat. Nom du conteneur Le nom du conteneur Windows Hello Entreprise dans lequel la clé privée du certificat est stockée. 14.26.11 Configuration SCEP (stratégie Windows) La configuration SCEP permet d’autoriser les appareils à demander des certificats à une Autorité de certification à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol). Paramètre/Champ Description Description Une description de la configuration. URL L’adresse Web du serveur de l’Autorité de certification. Utilisez la variable %_SCEPPROXYURL_% pour indiquer l’URL du serveur configurée sur l’onglet SCEP de la page Configuration de Sophos. 312 Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Objet Le nom de l’entité (par exemple ; une personne ou un appareil) qui recevra le certificat. Vous pouvez utiliser des espaces réservés pour les données de l’utilisateur ou les propriétés de l’appareil. La valeur que vous saisissez (remplacement des espaces réservés par des données) doit être un nom X.500 valable. Par exemple : • Saisissez CN=%_USERNAME_% pour indiquer un utilisateur. • Saisissez CN=%_DEVPROP(serial_number)_% pour un appareil Android. Retrouvez plus de renseignements sur les espaces réservés disponibles à la section Espaces réservés dans les stratégies (page 116). Autre nom de l’objet Cette option vous permet de configurer une ou plusieurs valeurs Autre nom de l’objet. Cliquez sur Ajouter et saisissez un type et une valeur pour l’Autre nom de l’objet. Challenge L’adresse Web permettant de récupérer un mot de passe de challenge à partir du serveur SCEP. Utilisez la variable %_CACHALLENGE_% pour indiquer l’URL de challenge configurée sur l’onglet SCEP de la page Configuration de Sophos. Certificat racine Le certificat de l’Autorité de certification. Sélectionnez le certificat dans la liste. La liste contient tous les certificats que vous avez chargés dans la configuration Certificat racine de la stratégie actuelle. Nouvelles tentatives Le nombre de nouvelles tentatives si le serveur envoie une réponse en attente. Délai avant la nouvelle tentative Le nombre de secondes écoulées entre les nouvelles tentatives. Taille de la clé La taille de la clé publique dans le certificat émis. Assurez-vous que la valeur indiquée correspond à la taille configurée sur le serveur SCEP. Copyright © Sophos Limited 313 Sophos Mobile Paramètre/Champ Description Utilisation de la clé Sélectionnez comment le certificat peut être utilisé. Utiliser en tant que signature numérique : Le certificat peut être utilisé en tant que signature numérique. Utiliser pour le chiffrement : Le certificat peut être utilisé pour le chiffrement des données. 14.27 Configuration des stratégies Chrome Security Une stratégie Chrome Security vous permet de configurer les paramètres de l’extension Sophos Chrome Security lorsqu’elle est inscrite à Sophos Mobile. 14.27.1 Configuration du filtrage Web (stratégie Chrome Security) La configuration Filtrage Web vous permet de gérer la fonction Filtrage Web de l’extension Sophos Chrome Security . Les utilisateurs sont ainsi protégés contre toute navigation sur des sites malveillants ou au contenu indésirable ou illégal. Conseil Pour tester le filtrage de sites Web, Sophos a créé le site sophostest.com qui contient des exemples de page pour chaque catégorie. Même si certaines de ces pages sont classées comme potentiellement offensantes ou dangereuses, leur contenu est sans danger dans tous les cas. Paramètres Paramètre/Champ Description Filtrer les sites Web malveillants Sélectionnez si les utilisateurs sont autorisés à accéder à des sites Web au contenu malveillant. Créer des alertes Sélectionnez si une alerte va être générée lorsque l’utilisateur tente d’accéder à un site Web filtré. Vous pouvez également choisir de créer des alertes uniquement pour les blocages ou pour les avertissements. 314 Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Vérification du contenu imbriqué Les pages Web sont filtrées selon leur propre contenu et selon le contenu imbriqué (encarts publicitaires, etc.) Par exemple, si vous décidez de Bloquer la catégorie Jeux d’argent, tous les sites de ce genre ainsi que les publicités les concernant seront bloqués. Si vous désactivez cette option, le filtrage Web ne tiendra compte du contenu imbriqué que s’il est malveillant. Filtrer les sites Web par catégorie Sélectionnez si les utilisateurs peuvent accéder à certains types de sites Web. Les sites Web sont classés par catégorie en fonction des données collectées par les SophosLabs. Ces données sont constamment mises à jour. Exceptions de site Web Configurer les exceptions aux filtres de catégories : Domaines autorisés : Sites Web autorisés même s’ils appartiennent à une catégorie bloquée. Domaines bloqués : Sites Web bloqués même s’ils appartiennent à une catégorie autorisée. Comment indiquer des exceptions de site Web Dans Domaines autorisés et Domaines bloqués, saisissez l’une des entrées suivantes par ligne (sans séparateur) : • Adresse IPv4 ou IPv6 203.0.113.0 2001:db8:85a3:0:0:8a2e:370:7334 • Sous-réseau IPv4 ou IPv6 203.0.113.0/24 2001:db8::/32 • Domaine www.example.com • Domaine avec caractère de remplacement. Le caractère de remplacement * doit être le caractère situé le plus à gauche. *.example.com *example.com Dans Domaines bloqués, Vous pouvez utiliser un seul caractère de remplacement * pour bloquer tous les sites Web. Les adresses IP et les sous-réseaux sont ignorés si l’utilisateur indique un site Web par son nom de domaine. Copyright © Sophos Limited 315 Sophos Mobile Logique de filtrage Lorsque le filtrage Web évalue si un site Web doit être autorisé ou bloqué, la liste Autoriser est prioritaire par rapport à la liste Bloquer, et les listes définies par la stratégie sont prioritaires par rapport aux listes définies par l’utilisateur. Les règles de filtrage sont appliquées dans l’ordre suivant : 1. Si le site Web est inclus dans Domaines autorisés, il est autorisé. 2. Si le site Web est inclus dans Domaines bloqués, il est bloqué. 3. Si l’utilisateur a ajouté le site Web à la liste Autoriser, il est autorisé. 4. Si l’utilisateur a ajouté le site Web à la liste des blocs, il est bloqué. 5. Le site Web est autorisé ou bloqué en fonction de sa catégorie. 316 Copyright © Sophos Limited Sophos Mobile 15 Séries de tâches L’utilisation des séries de tâches vous permet de regrouper plusieurs tâches en une seule transaction. Par exemple, vous pouvez regrouper toutes les tâches pour inscrire et configurer un appareil : • Inscrire l’appareil. • Assigner les stratégies requises. • Installer les applis requises (par exemple, les applis administrées pour les appareils iOS) Vous pouvez également inclure les commandes de réinitialisation dans les séries de tâches afin de réinitialiser automatiquement les appareils non conformes (par exemple, les appareils débridés ou disposant des droits root). Retrouvez plus de renseignements à la section Stratégies de conformité (page 36). Les séries de tâches sont disponibles pour les plates-formes suivantes : • Android • iOS • macOS • Windows • Chrome OS 15.1 Création d’une série de tâches Créez des séries de tâches distinctes pour Android, iOS et les autres plates-formes d’appareils que vous souhaitez gérer. Pour créer une série de tâches : 1. Sur le menu latéral, sous CONFIGURATION, sélectionnez Séries de tâches puis, sélectionnez la plate-forme pour laquelle vous souhaitez créer la série de tâches. 2. Sur la page Séries de tâches, sélectionnez Créer une série de tâches. 3. Sur la page Modification de la série de tâches, saisissez le nom et la description (facultatif) de la série de tâches. La version est automatiquement mise à jour à chaque fois que vous enregistrez la série de tâches. 4. Facultatif : Si vous sélectionnez Sélectionnable pour les actions de conformité, vous pouvez transférer la série de tâches sur les appareils lorsqu’ils ne sont plus conformes. Vous le configurer dans une stratégie de conformité. 5. Facultatif : Pour les séries de tâches, sélectionnez Ignorer les échecs d’installation d’applis pour continuer à traiter la série de tâches même en cas d’échec de l’installation de l’app. Cette option est uniquement disponible si la série de tâches inclut une tâche Installer l’appli. 6. Sélectionnez Ajouter une tâche puis sélectionnez un type de tâche. 7. Saisissez les informations requises et sélectionnez Appliquer pour créer la tâche. Le nom de la tâche s’affiche dans Portail libre-service lorsque la série de tâches est appliquée. 8. Facultatif : Ajoutez d’autres tâches à la série de tâches, par exemple pour installer des applis ou pour afficher un message sur l’appareil. Copyright © Sophos Limited 317 Sophos Mobile Remarque Vous ne pouvez pas combiner les tâches Android et Android Enterprise. 9. Facultatif : Modifiez l’ordre des tâches à l’aide des icônes en forme de flèches à droite de la liste des tâches. Concepts connexes Types de tâche Android disponibles (page 318) Types de tâche iOS disponibles (page 321) Types de tâche macOS disponibles (page 324) Types de tâche Windows disponibles (page 325) Types de tâches Chrome OS disponibles (page 327) 15.2 Types de tâche Android disponibles Les types de tâche suivants sont disponibles pour les séries de tâches Android : Inscrire Lorsque cette tâche est transférée sur les appareils, un email d’inscription est envoyé à l’adresse email associée à chaque appareil. L’utilisateur doit effectuer les étapes décrites dans l’email pour inscrire son appareil. Lorsque cette tâche est transférée sur un appareil déjà inscrit, la tâche est ignorée. Inscrire le conteneur Sophos Lorsque cette tâche est transférée sur les appareils, un email d’inscription est envoyé à l’adresse email associée à chaque appareil. L’utilisateur doit effectuer les étapes décrites dans l’email pour inscrire son appareil. Lorsque cette tâche est transférée sur un appareil déjà inscrit, la tâche est ignorée. Assigner une stratégie Sélectionner une stratégie. Retrouvez plus de renseignements sur l’ajout de stratégies à la liste à la section Stratégies (page 109). Lorsque cette tâche est transférée sur les appareils, la stratégie est assignée de manière transparente. Désinstaller la stratégie Sous Sélectionner la source, sélectionnez Stratégies puis sélectionnez une stratégie dans la liste. En plus des stratégies créées dans Sophos Mobile, la liste inclut toutes les stratégies installées sur un appareil géré. 318 Copyright © Sophos Limited Sophos Mobile Il est également possible de désinstaller une stratégie qui n’est pas répertoriée à condition d’en connaitre l’identifiant. Vous pouvez uniquement désinstaller que les stratégies d’appareils Android et les stratégies de conteneur Knox. Pour les autres types de stratégie, mettez à jour la stratégie, attribuez une stratégie différente ou désinscrivez l’appareil. Installer l’appli Sélectionnez une app dans la liste des apps disponibles. Retrouvez plus de renseignements sur l’ajout d’apps à la liste à la section Ajout d’une appli (page 329). Lorsque cette tâche est transférée sur les appareils, l’utilisateur reçoit une notification sur son appareil lui indiquant que Sophos Mobile veut installer l’app. L’utilisateur peut appuyer sur OK pour démarrer l’opération ou sur Pas maintenant pour être informé de nouveau après une courte période de temps. Si l’utilisateur appuie sur OK et appuie sur Annuler dans la boîte de dialogue Android, la tâche échoue. Si l’app est déjà installée sur un appareil qui reçoit la tâche, elle est mise à jour. Installer l’appli Google Play d’entreprise Ce type de tâche est disponible si vous avez configuré Android Enterprise pour le client. Sélectionnez une app dans la liste des apps de la boutique Google Play gérée que vous avez approuvées pour votre entreprise. Retrouvez plus de renseignements sur l’ajout d’apps à la liste à la section Modification de l’appli de la boutique Google Play d’entreprise (page 369). La tâche d’installation est transmise au service Google. Google gère ensuite l’installation de l’app sur l’appareil. Sur la page Vue des tâches, l’état de la tâche indique Succès lorsqu’elle a bien été transmise à Google. Vous avez également la possibilité d’installer des apps à partir de la page Applis approuvées. Retrouvez plus de renseignements à la section Installer l’app Google Play d’entreprise (page 373). Retrouvez plus de renseignements sur la désinstallation d’une app des appareils à la section Désinstallation d’une app de la boutique Google Play gérée (page 374). Désinstaller l’appli Dans Sélectionner la source, sélectionnez Apps pour sélectionner dans la liste des apps disponibles. En plus des apps disponibles sur le serveur Sophos Mobile, la liste inclut des apps utilisées sur les appareils administrés à l’exception des apps du système Android et des apps préinstallées par le fabricant de l’appareil. Vous pouvez également désinstaller une app ne figurant pas dans la liste. Sélectionnez Identifiant et saisissez le nom du package de l’app que vous voulez désinstaller des appareils. Si vous sélectionnez App du conteneur Knox, l’app sera désinstallée du conteneur Samsung Knox. Lorsque cette tâche est transférée sur les appareils, l’utilisateur reçoit une notification sur son appareil lui indiquant que Sophos Mobile veut désinstaller l’app. L’utilisateur peut appuyer sur OK pour démarrer l’opération ou sur Pas maintenant pour être informé de nouveau après une courte période de temps. Copyright © Sophos Limited 319 Sophos Mobile Si l’utilisateur appuie sur OK et appuie sur Annuler dans la boîte de dialogue Android, la tâche échoue. Si l’app n’est pas installée sur un appareil qui reçoit la tâche, aucune notification n’apparaît. Envoyer un message Saisissez le texte à afficher en clair sur les appareils. Lorsque cette tâche est transférée sur les appareils, le texte du message est affiché dans la fenêtre de notification. Les utilisateurs peuvent afficher les anciens messages dans l’app Sophos Mobile Control. Désinscrire Lorsque cette tâche est transférée sur les appareils, ces derniers sont désinscrits de Sophos Mobile. Retrouvez plus de renseignements à la section Désinscription des appareils (page 54). L’utilisateur de l’appareil n’a pas besoin de confirmer l’opération. Vous ne pouvez pas ajouter une tâche Désinscrire et une tâche Réinitialiser dans la même série de tâches. Réinitialiser Lorsque cette tâche est transférée sur les appareils, ces derniers sont réinitialisés sur leurs paramètres d’usine. L’utilisateur de l’appareil n’a pas besoin de confirmer l’opération. Attention Il est conseillé d’utiliser ce type de tâche avec précaution. Toutes les données sur les appareils recevant cette tâches sont supprimées sans qu’il soit demandé à l’utilisateur de confirmer l’opération. Remarque Lorsqu’une tâche Réinitialiser est transférée sur un appareil de profil professionnel Android Enterprise, seul le profil professionnel et toutes les apps de la boutique Google Play d’entreprise sont supprimées. Vous ne pouvez pas ajouter une tâche Désinscrire et une tâche Réinitialiser dans la même série de tâches. Conteneur Knox : verrouiller Lorsque cette tâche est transférée sur un appareil Samsung compatible avec Samsung Knox, le conteneur Knox est verrouillé. Conteneur Knox : déverrouiller Lorsque cette tâche est transférée sur un appareil Samsung compatible avec Samsung Knox, le conteneur Knox est déverrouillé. 320 Copyright © Sophos Limited Sophos Mobile Conteneur Knox : réinitialiser le mot de passe Lorsque cette tâche est transférée sur un appareil Samsung compatible avec Samsung Knox, le mot de passe du conteneur Knox est réinitialisé. L’utilisateur doit créer un nouveau mot de passe pour déverrouiller le conteneur Knox. Conteneur Knox : supprimer Lorsque cette tâche est transférée sur un appareil Samsung compatible avec Samsung Knox, le conteneur Knox (notamment la configuration du conteneur) est supprimé. Contrôler la présence de malwares Lorsque la tâche est transférée sur un appareil, Sophos Intercept X for Mobile le contrôle à la recherche de malwares et d’applis potentiellement indésirables (PUA). Cette tâche nécessite que Sophos Intercept X for Mobile soit gérée par Sophos Mobile. 15.3 Types de tâche iOS disponibles Les types de tâche suivants sont disponibles pour les séries de tâches iOS : Inscrire Lorsque cette tâche est transférée sur les appareils, un email d’inscription est envoyé à l’adresse email associée à chaque appareil. L’utilisateur doit effectuer les étapes décrites dans l’email pour inscrire son appareil. Lorsque cette tâche est transférée sur un appareil déjà inscrit, la tâche est ignorée. Inscrire le conteneur Sophos Lorsque cette tâche est transférée sur les appareils, un email d’inscription est envoyé à l’adresse email associée à chaque appareil. L’utilisateur doit effectuer les étapes décrites dans l’email pour inscrire son appareil. Lorsque cette tâche est transférée sur un appareil déjà inscrit, la tâche est ignorée. Assigner une stratégie Sélectionner une stratégie. Retrouvez plus de renseignements sur l’ajout de stratégies à la liste à la section Stratégies (page 109). Lorsque cette tâche est transférée sur les appareils, la stratégie est assignée de manière transparente. Copyright © Sophos Limited 321 Sophos Mobile Désinstaller la stratégie Sous Sélectionner la source, sélectionnez Stratégies puis sélectionnez une stratégie dans la liste. En plus des stratégies créées dans Sophos Mobile, la liste inclut toutes les stratégies installées sur un appareil géré. Il est également possible de désinstaller une stratégie qui n’est pas répertoriée à condition d’en connaitre l’identifiant. Vous pouvez uniquement désinstaller les stratégies d’appareil iOS. Pour les autres types de stratégie, mettez à jour la stratégie, attribuez une stratégie différente ou désinscrivez l’appareil. Installer le profil d’approvisionnement Sélectionnez un profil d’enregistrement de l’appli dans la liste des profils disponibles. Retrouvez plus de renseignements sur l’ajout de profils à la liste à la section Importation du profil d’enregistrement iOS (page 113). Lorsque cette tâche est transférée sur les appareils, le profil d’enregistrement est installé de manière transparente pour l’utilisateur. Désinstaller le profil d’approvisionnement Dans Sélectionner la source, sélectionnez les Profils puis sélectionnez un profil d’enregistrement dans la liste. En plus des profils disponibles sur le serveur Sophos Mobile, la liste inclut des profils utilisés sur les appareils administrés. Vous pouvez également supprimer un profil d’enregistrement ne figurant pas dans la liste. Sélectionnez Identifiant et saisissez l’identifiant du profil que vous voulez supprimer des appareils. Lorsque cette tâche est transférée sur les appareils, le profil d’enregistrement est supprimé de manière transparente pour l’utilisateur. Reconfigurer l’appli SMC Lorsque la tâche est transférée à l’appareil, l’utilisateur est invité à lire le code QR ou à saisir les informations de configuration manuellement. Cette opération reconnecte une appli Sophos Mobile Control déjà installée au serveur. Remarque Cette tâche doit être précédée par une tâche Installer l’appli pour l’appli Sophos Mobile Control. Installer l’appli Sélectionnez une appli dans la liste des applis disponibles. Retrouvez plus de renseignements sur l’ajout d’applis à la liste à la section Ajout d’une appli (page 329). 322 Copyright © Sophos Limited Sophos Mobile Lorsque cette tâche est transférée sur les appareils, l’utilisateur reçoit une notification sur son appareil lui indiquant que Sophos Mobile veut installer l’appli. L’utilisateur peut appuyer sur Installer pour démarrer l’opération ou sur Annuler pour refuser l’installation. Si l’utilisateur refuse l’installation, la tâche échoue. Si l’appli est déjà installée sur un appareil qui reçoit la tâche, elle est mise à jour. Désinstaller l’appli Dans Sélectionner la source, sélectionnez applis pour sélectionner dans la liste des applis disponibles. En plus des applis disponibles sur le serveur Sophos Mobile, la liste inclut des applis utilisées sur les appareils administrés à l’exception des applis du système iOS. Vous pouvez également désinstaller une appli ne figurant pas dans la liste. Sélectionnez Identifiant et saisissez l’identifiant du package de l’appli que vous voulez désinstaller des appareils. Lorsque cette tâche est transférée sur les appareils, l’appli est désinstallée de manière transparente pour l’utilisateur. Installer la dernière mise à jour iOS Lorsque la tâche est transférée aux appareils, la dernière mise à jour disponible du logiciel iOS est installée. Selon le modèle d’appareil iOS, différentes mises à jour pourraient être installées. Vous pouvez mettre à jour le logiciel iOS sur les appareils suivants : • Appareils supervisés • Appareils Apple DEP supervisés Pour les autres appareils, la tâche échouera. Envoyer un message Saisissez le texte à afficher en clair sur les appareils. Lorsque cette tâche est transférée sur les appareils, le texte du message est affiché dans la fenêtre de notification. Les utilisateurs peuvent afficher les anciens messages dans l’app Sophos Mobile Control. Désinscrire Lorsque cette tâche est transférée sur les appareils, ces derniers sont désinscrits de Sophos Mobile. Retrouvez plus de renseignements à la section Désinscription des appareils (page 54). L’utilisateur de l’appareil n’a pas besoin de confirmer l’opération. Vous ne pouvez pas ajouter une tâche Désinscrire et une tâche Réinitialiser dans la même série de tâches. Réinitialiser Lorsque cette tâche est transférée sur les appareils, ces derniers sont réinitialisés sur leurs paramètres d’usine. L’utilisateur de l’appareil n’a pas besoin de confirmer l’opération. Copyright © Sophos Limited 323 Sophos Mobile Attention Il est conseillé d’utiliser ce type de tâche avec précaution. Toutes les données sur les appareils recevant cette tâches sont supprimées sans qu’il soit demandé à l’utilisateur de confirmer l’opération. Vous ne pouvez pas ajouter une tâche Désinscrire et une tâche Réinitialiser dans la même série de tâches. 15.4 Types de tâche macOS disponibles Les types de tâche suivants sont disponibles pour les séries de tâches macOS : Inscrire Lorsque cette tâche est transférée sur les appareils, un email d’inscription est envoyé à l’adresse email associée à chaque appareil. L’utilisateur doit effectuer les étapes décrites dans l’email pour inscrire son appareil. Lorsque cette tâche est transférée sur un appareil déjà inscrit, la tâche est ignorée. Assigner une stratégie d’appareil Sélectionnez une stratégie dans la liste des stratégies d’appareil macOS disponibles. Retrouvez plus de renseignements sur l’ajout de stratégies à la liste à la section Stratégies (page 109). Lorsque cette tâche est transférée sur les appareils, la stratégie est assignée silencieusement à l’appareil. Si une stratégie d’appareil a déjà été assignée, elle est remplacée. Assigner une stratégie d’utilisateur Sélectionnez une stratégie dans la liste des stratégies d’utilisateur macOS disponibles. Retrouvez plus de renseignements sur l’ajout de stratégies à la liste à la section Stratégies (page 109). Lorsque cette tâche est transférée sur les appareils, la stratégie est assignée silencieusement à l’appareil. Si une stratégie d’utilisateur a déjà été assignée, elle est remplacée. Les stratégies d’utilisateur seront appliquées aux utilisateurs à leur prochaine connexion au Mac. Installer l’appli Sélectionnez une app dans la liste des apps disponibles. Retrouvez plus de renseignements sur l’ajout d’apps à la liste à la section Ajout d’une appli (page 329). Lorsque cette tâche est transférée sur les appareils, l’app est installée de manière transparente. Les fichiers de package PKG peuvent contenir plusieurs apps. Dans ce cas, toutes les apps sont installées. 324 Copyright © Sophos Limited Sophos Mobile Remarque Un état des tâches Succès signifie que l’appareil a commencé à télécharger l’app. Pour vous assurer que l’app a bien été installée, synchronisez l’appareil et vérifiez la liste des apps installées sur la page des informations sur l’appareil. Retirer l’assignation de l’appli VPP Sélectionnez une app dans la liste des apps du Programme d’achat en volume macOS disponibles. Lorsque la tâche est transférée aux appareils, la licence du Programme d’achat en volume est supprimée des appareils auxquels elle était assignée. Les utilisateurs peuvent continuer à utiliser l’app pendant 30 jours. Désinscrire Lorsque cette tâche est transférée sur les appareils, ces derniers sont désinscrits de Sophos Mobile. Retrouvez plus de renseignements à la section Désinscription des appareils (page 54). L’utilisateur de l’appareil n’a pas besoin de confirmer l’opération. Vous ne pouvez pas ajouter une tâche Désinscrire et une tâche Réinitialiser dans la même série de tâches. Réinitialiser Créez un code confidentiel de verrouillage du système à 6 chiffres. Lorsque la tâche est transférée au Mac, il redémarre et commence à réinitialiser le disque. L’utilisateur doit saisir le code confidentiel de verrouillage du système sur le Mac pour le déverrouiller. Vous ne pouvez pas ajouter une tâche Désinscrire et une tâche Réinitialiser dans la même série de tâches. Attention Il est conseillé d’utiliser ce type de tâche avec précaution. Toutes les données sur les appareils recevant cette tâches sont supprimées sans qu’il soit demandé à l’utilisateur de confirmer l’opération. Conseil Dans Sophos Mobile Admin, le code confidentiel de verrouillage du système macOS est affiché sur la page de l’appareil sous Propriétés de l’appareil > Unlock passcode et sur la page Détails de la tâche sous Code confidentiel de verrouillage. 15.5 Types de tâche Windows disponibles Les types de tâche suivants sont disponibles pour les séries de tâches Windows : Copyright © Sophos Limited 325 Sophos Mobile Inscrire Lorsque cette tâche est transférée sur les appareils, un email d’inscription est envoyé à l’adresse email associée à chaque appareil. L’utilisateur doit effectuer les étapes décrites dans l’email pour inscrire son appareil. Lorsque cette tâche est transférée sur un appareil déjà inscrit, la tâche est ignorée. Assigner une stratégie Sélectionnez une stratégie dans la liste des stratégies d’appareil disponibles. Retrouvez plus de renseignements sur l’ajout de stratégies à la liste à la section Stratégies (page 109). Lorsque cette tâche est transférée sur les appareils, la stratégie est assignée silencieusement à l’appareil. Si une stratégie d’appareil a déjà été assignée, elle est remplacée. Installer une app Sélectionnez une app dans la liste des apps disponibles. Retrouvez plus de renseignements sur l’ajout d’apps à la liste à la section Ajout d’une appli (page 329). Lorsque cette tâche est transférée sur les appareils, l’app est installée de manière transparente pour l’utilisateur. Si l’app est déjà installée sur un appareil qui reçoit la tâche, elle est mise à jour. Désinstaller l’app Sélectionnez une app dans la liste des apps disponibles. La liste inclut les apps que vous avez configurées sur le serveur Sophos Mobile et les apps installées sur tous les ordinateurs Windows administrés à l’exception des apps du système Windows. Lorsque cette tâche est transférée sur les appareils, l’app sélectionnée est désinstallée de manière transparente pour l’utilisateur. Remarque Vous pouvez uniquement désinstaller les apps qui ont été installées par Sophos Mobile. Si vous essayez de désinstaller une app installée par l’utilisateur, la tâche échoue. Désinscrire Lorsque cette tâche est transférée sur les appareils, ces derniers sont désinscrits de Sophos Mobile. Retrouvez plus de renseignements à la section Désinscription des appareils (page 54). L’utilisateur de l’appareil n’a pas besoin de confirmer l’opération. Vous ne pouvez pas ajouter une tâche Désinscrire et une tâche Réinitialiser dans la même série de tâches. 326 Copyright © Sophos Limited Sophos Mobile Réinitialiser Lorsque cette tâche est transférée sur les appareils, ces derniers sont réinitialisés sur leurs paramètres d’usine. L’utilisateur de l’appareil n’a pas besoin de confirmer l’opération. Attention Il est conseillé d’utiliser ce type de tâche avec précaution. Toutes les données sur les appareils recevant cette tâches sont supprimées sans qu’il soit demandé à l’utilisateur de confirmer l’opération. Vous ne pouvez pas ajouter une tâche Désinscrire et une tâche Réinitialiser dans la même série de tâches. 15.6 Types de tâches Chrome OS disponibles Les types de tâche suivants sont disponibles pour les séries de tâches Chrome OS : Inscrire Lorsque cette tâche est transférée sur les appareils, un email d’inscription est envoyé à l’adresse email associée à chaque appareil. L’utilisateur doit effectuer les étapes décrites dans l’email pour inscrire son appareil. Lorsque cette tâche est transférée sur un appareil déjà inscrit, la tâche est ignorée. Assigner une stratégie Sélectionner une stratégie. Retrouvez plus de renseignements sur l’ajout de stratégies à la liste à la section Stratégies (page 109). Lorsque cette tâche est transférée sur les appareils, la stratégie est assignée de manière transparente. Envoyer un message Saisissez le texte à afficher en clair sur les appareils. Lorsque cette tâche est transférée sur les appareils, le texte du message est affiché dans la fenêtre de notification. Les utilisateurs peuvent afficher les anciens messages dans l’extension Sophos Chrome Security. Désinscrire Lorsque cette tâche est transférée sur les appareils, ces derniers sont désinscrits de Sophos Mobile. Retrouvez plus de renseignements à la section Désinscription des appareils (page 54). L’utilisateur de l’appareil n’a pas besoin de confirmer l’opération. Copyright © Sophos Limited 327 Sophos Mobile 15.7 Duplication de séries de tâches Vous pouvez dupliquer une série de tâches pour l’utiliser comme point de départ à d’autres série de tâches. Lorsque vous devez créer des séries de tâches similaires, il est plus facile de dupliquer une série de tâches déjà existante et de modifier le doublon. Pour dupliquer une série de tâches : 1. Sur le menu latéral, sous CONFIGURATION, sélectionnez Séries de tâches puis une plate-forme d’appareil. 2. Sur la page Séries de tâches, sélectionnez le triangle bleu correspondant à la série de tâches que vous souhaitez dupliquer et cliquez sur Dupliquer. La série de tâches est dupliquée. 15.8 Transférer des séries de tâches Vous pouvez transférer des séries de tâches aux appareils ou groupes d’appareils 1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Séries de tâches puis sur Android ou iOS. La page Séries de tâches apparaît. 2. Cliquez sur le triangle bleu correspondant à la tâche de votre choix et cliquez sur Transférer. La page Sélection des appareils apparaît. 3. Cette page vous permet de : • Sélectionner les appareils individuels sur lesquels vous voulez transférer la série de tâches. • Cliquez sur Sélectionner les groupes d’appareils pour ouvrir la page Sélectionner les groupes d’appareils et sélectionnez un ou plusieurs groupes d’appareils sur lesquels transférer la série de tâches. 4. Après avoir fait votre sélection, cliquez sur Suivant. La page Définir la date d’exécution apparaît. 5. Sous Date planifiée, sélectionnez Maintenant ou indiquez une date et une heure d’exécution de cette tâche. 6. Cliquez sur Terminer. La page Vue des tâches apparaît. La série de tâches est transférée aux appareils sélectionnés à l’heure et à la date indiquées. 328 Copyright © Sophos Limited Sophos Mobile 16 Apps Vous configurez les applis pour qu’elles soient disponibles à l’installation à partir de Sophos Mobile Admin (effectuée par l’administrateur) ou dans l’app Sophos Mobile Control (effectuée par l’utilisateur). La gestion des applis est disponible pour les plates-formes suivantes : • Android • iOS • macOS • Windows • Windows Mobile Vous pouvez mettre une app à disposition dans Sophos Mobile d’une des manières suivantes : • Téléchargez le package de l’app sur le serveur Sophos Mobile. Cette option n’est pas disponible sur les applis Windows Mobile ou sur les appareils sur lesquels Sophos Mobile administre uniquement le conteneur Sophos. • Fournissez un lien vers l’app dans la boutique d’applis adéquate. Retrouvez plus de renseignements sur les deux options à la section Ajout d’une appli (page 329). Pour installer une app sur un appareil, créez une série de tâches contenant la tâche Installer l’app. Pour les appareils Android et iOS, vous pouvez créer ces séries de tâches directement à partir de la page Apps. Retrouvez plus de renseignements à la section Installer une appli (page 331). Remarque Pour pouvoir installer les packages de l’app stockés sur le serveur Sophos Mobile (à la différence de l’installation à partir de la boutique d’applis), les conditions suivantes doivent être respectées : • Sur Android, le paramètre de sécurité Sources inconnues doit être activé sur les appareils. Si vous essayez d’installer un fichier APK lorsque le paramètre Sources inconnues est désactivé, l’app Sophos Mobile Control redirige l’utilisateur sur la page depuis laquelle il pourra activer le paramètre. Cette restriction ne s’applique pas aux appareils avec LG GATE, Samsung Knox ou Sony Enterprise API. • Sur iOS, l’installation des applis à partir des fichiers IPA est uniquement possible pour les applis développées en interne. Lorsque l’app est prête à être distribuée, veuillez créer un profil d’enregistrement pour l’app et la mettre à disposition sur les appareils soit en l’ayant installée séparément auparavant soir en l’ayant incluse au fichier IPA de l’app. Vous pouvez utiliser Sophos Mobile pour distribuer les profils d’enregistrement sur vos appareils iOS. Retrouvez plus de renseignements à la section Importation du profil d’enregistrement iOS (page 113). Retrouvez plus de renseignements sur les profils d’enregistrement sur iOS Developer Library. 16.1 Ajout d’une appli Vous pouvez rendre une appli disponible à l’installation soit en téléchargeant le package de cette appli soit en mettant à disposition un lien vers cette appli dans la boutique d’applis adéquate. Retrouvez plus de renseignements sur les applis sur les appareils Android Enterprise à la section Validation d’une app Google Play d’entreprise (page 368). Copyright © Sophos Limited 329 Sophos Mobile Pour ajouter une appli à Sophos Mobile : 1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Applis et sélectionnez la plate-forme sur laquelle vous souhaitez ajouter l’appli. 2. Cliquez sur Ajouter une appli et sélectionnez l’option requise : • Lien Android : ajoutez une appli Android grâce à un lien vers Google Play. • Package Android : ajoutez une appli Android en téléchargeant le fichier APK dans Sophos Mobile. • Lien iOS : ajoutez une appli iOS grâce à un lien vers l’App Store. • Package iOS : ajoutez une appli d’entreprise iOS en téléchargeant le fichier IPA dans Sophos Mobile. • Package macOS : ajoutez une appli d’entreprise macOS en téléchargeant le fichier PKG dans Sophos Mobile. • Lien Windows Mobile : ajoutez une appli Windows Mobile grâce à un lien vers la boutique Microsoft. • Lien Windows MSI : ajoutez une appli Windows grâce à un lien vers son fichier d’installation MSI. • Lien de la boutique Microsoft : ajoutez une appli Windows grâce à un lien vers la boutique Microsoft. 3. Pour les applis iOS et macOS du Programme d’achat en volume (VPP), cliquez sur Importation d’applis du Programme d’achat en volume pour charger la liste des applis que vous avez achetées via le Programme d’achat en volume d’Apple. Retrouvez plus de renseignements à la section Gestion des applis du Programme d’achat en volume d’Apple (page 343). 4. Configurez les paramètres de l’appli de manière adéquate. 5. Cliquez sur Enregistrer pour enregistrer les paramètres de l’appli et revenir sur la page Applis. L’appli est prête à être installée. Elle apparaît sur la page Applis. Si vous avez configuré la champ Disponible pour les groupes d’appareils, l’appli apparaît également dans l’App Store pour entreprise de l’appli Sophos Mobile Control à partir de laquelle les utilisateurs peuvent l’installer. Le processus d’installation nécessite peu ou pas d’intervention de la part de l’utilisateur. Remarque Sur les appareils sur lesquels Sophos Mobile administre uniquement le conteneur Sophos, les applis que vous ajoutez en téléchargeant le fichier APK (pour les applis Android) ou le fichier IPA (pour les applis iOS) ne sont pas disponibles. Référence associée Paramètres de l’appli (Android) (page 333) Paramètres de l’appli (iOS) (page 335) Paramètres de l’app (macOS) (page 337) Paramètres de l’app (Windows Mobile) (page 339) Paramètres de l’app (Windows) (page 340) 330 Copyright © Sophos Limited Sophos Mobile 16.2 Installer une appli Après avoir ajouté une appli dans Sophos Mobile, vous pouvez l’installer sur les appareils ou groupes d’appareils sélectionnés. Ces instructions ne s’appliquent pas aux appareils suivants : • Appareils Android Enterprise. Retrouvez plus de renseignements sur l’installation des applis sur ces appareils à la section Installer l’app Google Play d’entreprise (page 373). • Les appareils sur lesquels Sophos Mobile administre uniquement le conteneur Sophos. Vous pouvez uniquement installer Sophos Secure Workspace et Sophos Secure Email sur ces appareils. Retrouvez plus de renseignements à la section Gestion des applis du conteneur Sophos (page 399). Pour installer une appli : 1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Applis et sélectionnez la plate-forme sur laquelle vous souhaitez installer une app. 2. Sur la page Apps, cliquez sur le triangle bleu correspondant à l’app de votre choix et cliquez sur Installer. 3. Sélectionnez les appareils sur lesquels vous voulez installer l’appli. Procédez de l’une des manières suivantes : • Sélectionnez chaque appareil individuellement. • Cliquez sur Sélectionner les groupes d’appareils et sélectionnez un ou plusieurs groupes d’appareils. 4. Sur la page Définir la date d’exécution, indiquez la date à laquelle l’app sera installée : • Sélectionnez Maintenant pour une exécution immédiate. • Sélectionnez Date et saisissez une date et une heure pour l’exécution planifiée. 5. Cliquez sur Terminer. L’app sélectionnée est installée sur les appareils sélectionnés à l’heure indiquée. Remarque Sur les appareils suivants, les apps administrées sont installées silencieusement, c’est-à-dire sans qu’aucune intervention de l’utilisateur ne soit requise. • Appareils iOS supervisés • Appareils Android Enterprise • Appareils Android avec Samsung Knox • Appareils Android avec LG GATE • Appareils Android à partir du niveau 8 de Sony Enterprise API • Macs • Ordinateurs Windows si vous avez configuré l’option d’installation /quiet pour l’app. Pour les appareils Samsung, LG et Sony mentionnés dans la liste ci-dessus, les fichiers APK sont installés silencieusement mais les apps installées depuis Google Play ne le sont pas. Copyright © Sophos Limited 331 Sophos Mobile Conseil Vous pouvez voir l’état de la tâche d’installation sur la page Vue des tâches. Conseil Vous pouvez également installer une app en utilisant l’une des options suivantes : • Pour installer une app sur un seul appareil : Sur la page Affichage de l’appareil de l’appareil, sélectionnez l’onglet Applis installées et cliquez sur Installer l’appli. • Pour installer une app sur plusieurs appareils : Sur la page Appareils, sélectionnez les appareils et cliquez sur Actions > Installer l’appli. • Pour installer une app sur un ou plusieurs appareils dans le cadre d’une série de tâches : Ajoutez une tâche Installer l’appli à la série de tâches et transférez-la aux appareils ou groupes d’appareils requis. 16.3 Désinstallation de l’appli Vous pouvez désinstaller une appli des appareils ou groupes d’appareils sélectionnés. Ces instructions ne s’appliquent pas aux appareils suivants : • Appareils Android Enterprise. Retrouvez plus de renseignements sur la désinstallation des applis de ces appareils à la section Désinstallation d’une app de la boutique Google Play gérée (page 374). • Les appareils sur lesquels Sophos Mobile administre uniquement le conteneur Sophos. Pour désinstaller une app : 1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Applis et sélectionnez la plate-forme sur laquelle vous souhaitez désinstaller une app. 2. Sur la page Apps, cliquez sur Désinstaller. 3. Sélectionnez les appareils desquels vous voulez désinstaller l’app. Procédez de l’une des manières suivantes : • Sélectionnez chaque appareil individuellement. • Cliquez sur Sélectionner les groupes d’appareils et sélectionnez un ou plusieurs groupes d’appareils. 4. Sur la page Sélectionner une app, sélectionnez l’app requise. 5. Sur la page Définir la date d’exécution, indiquez la date à laquelle l’app sera désinstallée : • Sélectionnez Maintenant pour une exécution immédiate. • Sélectionnez Date et saisissez une date et une heure pour l’exécution planifiée. 6. Cliquez sur Terminer. L’app sélectionnée est désinstallée des appareils sélectionnés à l’heure indiquée. 332 Copyright © Sophos Limited Sophos Mobile Remarque Sur les appareils suivants, les apps administrées sont désinstallées silencieusement, c’est-à-dire sans qu’aucune intervention de l’utilisateur ne soit requise. • Apps administrées sur les appareils iOS supervisés • Ordinateurs Windows si vous avez configuré l’option d’installation /quiet pour l’app. Conseil Vous pouvez également choisir de suivre la procédure de désinstallation de l’app d’un seul appareil décrite ci-dessous : Ouvrez la page Affichage de l’appareil et dans l’onglet Apps installées, cliquez sur la corbeille correspondant au nom de l’app. 16.4 Paramètres de l’appli (Android) Retrouvez plus de renseignements sur les applis sur les appareils Android Enterprise à la section Paramètres des apps de la boutique Google Play gérée (page 370). Paramètres généraux Paramètre/Champ Description Nom Le nom de l’appli. Version La version affichée dans l’App Store pour entreprise. Pour les liens vers les applis, Sophos Mobile utilise la version de Google Play. Identifiant de l’appli L’identifiant interne de l’appli. Pour les liens vers les applis, cliquez sur Récupérer les données pour obtenir la valeur de Google Play. Pour les packages d’applis, Sophos Mobile récupère la valeur dans le fichier APK. Catégorie d’appli Un nom de catégorie, par exemple Productivité. Lorsque vous mettez une appli à disposition dans l’App Store pour entreprise, l’appli apparaîtra sous ce nom dans une section. Disponible pour les groupes d’appareils Copyright © Sophos Limited Vous pouvez mettre l’appli à disposition dans l’App Store pour entreprise afin que l’utilisateur puisse l’installer. Cliquez sur Afficher et sélectionnez un ou plusieurs groupes d’appareils pour lesquels l’appli figurera dans l’App Store pour entreprise. 333 Sophos Mobile Paramètre/Champ Description Description La description de l’appli est affichée dans l’App Store pour entreprise. Vous pouvez utiliser l’espace réservé %_appstoretext_% partout où vous le souhaitez dans la description. Dans l’App Store pour entreprise, il sera remplacé par la description actuelle de l’appli issue de Google Play. Installer dans le conteneur Knox Pour les appareils Samsung Knox, l’appli sera installée dans le conteneur Knox. Ce paramètre est uniquement disponible si vous avez configuré une licence Samsung Knox. Paramètres pour les liens des applis Paramètre/Champ Description Lien L’URL de l’appli dans Google Play. Pour déterminer l’URL, cliquez sur Aller sur Google Play pour ouvrir Google Play dans un nouvel onglet de votre explorateur et rendezvous sur la page de l’appli. Copiez ensuite l’URL à partir de la barre d’adresse de l’onglet du navigateur et copiez la dans le champ Lien. Après avoir saisi l’URL, cliquez sur Récupérer les données pour remplir le champ Identifiant de l’appli automatiquement. Paramètres pour les packages d’applis Paramètre/Champ Description Télécharger un fichier Cliquez sur Télécharger un fichier pour télécharger l’appli sur le serveur Sophos Mobile. Naviguez jusqu’au fichier APK et cliquez sur Ouvrir. Conseil Autrement, faites glisser le fichier de l’Explorateur de fichiers dans la zone Télécharger un fichier. 334 Copyright © Sophos Limited Sophos Mobile Tâches connexes Ajout d’une appli (page 329) Vous pouvez rendre une appli disponible à l’installation soit en téléchargeant le package de cette appli soit en mettant à disposition un lien vers cette appli dans la boutique d’applis adéquate. 16.5 Paramètres de l’appli (iOS) Paramètres généraux Paramètre/Champ Description Nom Le nom de l’appli. Pour les apps du programme d’achat en volume d’Apple (VPP), ce champ est en lecture seule. Version La version affichée dans l’App Store pour entreprise. Pour les liens vers les apps, Sophos Mobile utilise la version de l’App Store. Pour les apps du programme d’achat en volume d’Apple (VPP), ce champ est en lecture seule. Identifiant de l’appli L’identifiant interne de l’app. Sophos Mobile le récupère depuis l’App Store ou dans le fichier IPA. Pour les apps du programme d’achat en volume d’Apple (VPP), ce champ est en lecture seule. Catégorie d’appli Un nom de catégorie, par exemple Productivité. Lorsque vous mettez une appli à disposition dans l’App Store pour entreprise, l’appli apparaîtra sous ce nom dans une section. Disponible pour les groupes d’appareils Copyright © Sophos Limited Vous pouvez mettre l’appli à disposition dans l’App Store pour entreprise afin que l’utilisateur puisse l’installer. Cliquez sur Afficher et sélectionnez un ou plusieurs groupes d’appareils pour lesquels l’appli figurera dans l’App Store pour entreprise. 335 Sophos Mobile Paramètre/Champ Description Description La description de l’app est affichée dans l’App Store pour entreprise. Vous pouvez utiliser l’espace réservé %_appstoretext_% partout où vous le souhaitez dans la description. Dans l’App Store pour entreprise, il sera remplacé par la description actuelle de l’app issue de l’App Store. Paramètres pour les liens des apps Paramètre/Champ Description Rechercher dans l’App Store Cliquez sur Rechercher dans l’App Store pour rechercher l’app dans la base de données App Store. Lorsque vous sélectionnez une app dans la liste des résultats de la recherche, les champs suivants sont remplis automatiquement : Lien • Identifiant de l’appli • Catégorie d’appli • Lien L’URL de l’app dans l’App Store. Pour déterminer l’URL, cliquez sur Obtenir le lien pour ouvrir iTunes Link Maker dans une nouvelle fenêtre de navigation. Naviguez jusqu’à l’app dans Link Maker et copiez l’URL affichée sous Lien direct du champ Lien dans Sophos Mobile Admin. Pour les apps du programme d’achat en volume d’Apple (VPP), ce champ est en lecture seule. Installation administrée par Sophos Mobile L’app est installée en tant qu’app administrée. Ce paramètre affecte uniquement les applis que l’utilisateur installe à partir de l’App Store pour entreprise. Les applis que vous installez à partir de Sophos Mobile Admin sont toujours administrées. Notez que les applis gérées ne peuvent pas être installées à partir de l’App Store d’entreprise sur les appareils sur lesquels Sophos Mobile gère uniquement le conteneur Sophos. 336 Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Paramètres et VPN Cliquez sur Afficher pour configurer une connexion VPN utilisée lorsque l’app est démarrée ou pour configurer les paramètres de l’app personnalisés. Licences du Programme d’achat en volume Cliquez sur Afficher pour assigner manuellement l’app aux utilisateurs ou aux appareils. Retrouvez plus de renseignements à la section Assignation manuelle des applis du Programme d’achat en volume (page 347). Paramètres pour les packages d’apps Paramètre/Champ Description Télécharger un fichier Cliquez sur Télécharger un fichier pour télécharger l’app sur le serveur Sophos Mobile. Naviguez jusqu’au fichier IPA et cliquez sur Ouvrir. Conseil Autrement, faites glisser le fichier de l’Explorateur de fichiers dans la zone Télécharger un fichier. Concepts connexes Applis administrées pour iOS (page 342) Les applications iOS peuvent être installées en tant qu’applis gérées ou non gérées. Tâches connexes Ajout d’une appli (page 329) Vous pouvez rendre une appli disponible à l’installation soit en téléchargeant le package de cette appli soit en mettant à disposition un lien vers cette appli dans la boutique d’applis adéquate. 16.6 Paramètres de l’app (macOS) Paramètres généraux Paramètre/Champ Description Nom Le nom de l’app. Pour les packages d’apps, Sophos Mobile récupère ceci dans le fichier PKG. Pour les apps du programme d’achat en volume d’Apple (VPP), ce champ est en lecture seule. Copyright © Sophos Limited 337 Sophos Mobile Paramètre/Champ Description Version La version de l’app dans l’App Store. Pour les packages d’apps, Sophos Mobile récupère ceci dans le fichier PKG. Pour les apps du programme d’achat en volume d’Apple (VPP), ce champ est en lecture seule. Identifiant de l’appli L’identifiant interne de l’app. Pour les packages d’apps, Sophos Mobile récupère ceci dans le fichier PKG. Pour les apps du programme d’achat en volume d’Apple (VPP), ce champ est en lecture seule. Catégorie d’appli Un nom de catégorie, par exemple Productivité. La valeur n’est pas utilisée actuellement. Description Une description de l’app. La valeur n’est pas utilisée actuellement. Paramètres pour les liens de l’app du Programme d’achat en volume Paramètre/Champ Description Lien L’URL de l’app dans l’App Store. Pour les apps du programme d’achat en volume d’Apple (VPP), ce champ est en lecture seule. Licences du Programme d’achat en volume Cliquez sur Afficher pour assigner manuellement l’app aux utilisateurs ou aux appareils. Retrouvez plus de renseignements à la section Assignation manuelle des applis du Programme d’achat en volume (page 347). Paramètres pour les packages d’apps 338 Paramètre/Champ Description Télécharger un fichier Cliquez sur Télécharger un fichier pour télécharger l’app sur le serveur Sophos Mobile. Naviguez jusqu’au fichier PKG et cliquez sur Ouvrir. Copyright © Sophos Limited Sophos Mobile Remarque Les fichiers de package PKG peuvent contenir plusieurs apps. Dans ce cas, le nom, la version et l’identifiant d’une app sont affichés. 16.7 Paramètres de l’app (Windows Mobile) Paramètre/Champ Description Nom Le nom de l’appli. Version La version de l’app. Sophos Mobile utilise la version de la boutique Microsoft. Catégorie d’appli Un nom de catégorie, par exemple Productivité. Lorsque vous mettez une appli à disposition dans l’App Store pour entreprise, l’appli apparaîtra sous ce nom dans une section. Description La description de l’app est affichée dans l’App Store pour entreprise. Vous pouvez utiliser l’espace réservé %_appstoretext_% partout où vous le souhaitez dans la description. Dans l’App Store pour entreprise, il sera remplacé par la description actuelle de l’app issue de la boutique Microsoft. Disponible pour les groupes d’appareils Vous pouvez mettre l’appli à disposition dans l’App Store pour entreprise afin que l’utilisateur puisse l’installer. Cliquez sur Afficher et sélectionnez un ou plusieurs groupes d’appareils pour lesquels l’appli figurera dans l’App Store pour entreprise. Lien L’URL de l’app dans la boutique Microsoft. Pour déterminer l’URL, cliquez sur Allez sur la boutique Microsoft pour ouvrir la boutique Microsoft des apps Windows Phone dans un nouvel onglet de votre explorateur et rendezvous sur la page de l’app. Copiez ensuite l’URL à partir de la barre d’adresse de l’onglet du navigateur et copiez la dans le champ Lien. Tâches connexes Ajout d’une appli (page 329) Copyright © Sophos Limited 339 Sophos Mobile Vous pouvez rendre une appli disponible à l’installation soit en téléchargeant le package de cette appli soit en mettant à disposition un lien vers cette appli dans la boutique d’applis adéquate. 16.8 Paramètres de l’app (Windows) Paramètres généraux Paramètre/Champ Description Nom Le nom de l’appli. Version La version de l’app. Pour les liens vers les apps, Sophos Mobile utilise la version de Microsoft Store. Catégorie d’appli Un nom de catégorie, par exemple Productivité. Description Une description de l’app. Paramètres pour les liens MSI Paramètre/Champ Description GUID CodeProduit Le GUID ProductCode du fichier MSI. Remarque Si vous saisissez une valeur GUID incorrecte, l’app ne peut pas être désinstallée. Lien L’URL du fichier MSI. Hachage de fichier SHA-256 La valeur de hachage SHA-256 du fichier MSI. Remarque Si vous saisissez une valeur de hachage incorrecte, l’app ne peut pas être désinstallée. Options d’installation Les options de la ligne de commande pour le fichier exécutable du programme d’installation, msiexec.exe. L’option par défaut /quiet installe l’app sans intervention de l’utilisateur. Retrouvez plus de renseignements sur ces paramètres à la section Paramètres des liens Windows MSI (page 341). 340 Copyright © Sophos Limited Sophos Mobile Paramètres pour les liens de la boutique Microsoft Paramètre/Champ Description N°ID de la boutique L’identifiant de la boutique de l’app dans la boutique Microsoft. La valeur est saisie automatiquement lorsque vous cliquez sur Récupérer les données. N°ID de SKU Le n°ID de SKU (unité de gestion des stocks) de l’app dans le catalogue de la boutique Microsoft. Les apps pourraient avoir différents numéros d’ID de SKU pour les versions complètes et d’essai ou pour différents marchés. Si vous ne connaissez par le n°ID de SKU ID d’une app, utilisez la valeur par défaut 0010. Nom de la famille du package Le Nom de la famille du package (PFN) de l’app. La valeur est saisie automatiquement lorsque vous cliquez sur Récupérer les données. Lien L’URL de l’app dans la boutique Microsoft. Pour déterminer l’URL, cliquez sur Allez sur la boutique Microsoft pour ouvrir la boutique Microsoft des apps Windows dans un nouvel onglet de votre explorateur et rendez-vous sur la page de l’app. Copiez ensuite l’URL à partir de la barre d’adresse de l’onglet du navigateur et copiez la dans le champ Lien. Après avoir saisi l’URL, cliquez sur Récupérer les données pour remplir les champs suivants automatiquement : • Identifiant produit • Nom de la famille du package Tâches connexes Ajout d’une appli (page 329) Vous pouvez rendre une appli disponible à l’installation soit en téléchargeant le package de cette appli soit en mettant à disposition un lien vers cette appli dans la boutique d’applis adéquate. 16.9 Paramètres des liens Windows MSI Cette section vous indique comment déterminer les paramètres de l’app pour les liens Windows MSI. Copyright © Sophos Limited 341 Sophos Mobile • GUID CodeProduit — Si Microsoft Windows SDK est déjà installé, utilisez le programme Orca pour récupérer la valeur ProductCode d’un fichier MSI. Retrouvez un exemple sur la page Web Use Orca to find MSI file GUID product code. Vous avez également la possibilité d’utiliser un script PowerShell. Ces scripts sont disponibles sur Internet comme par exemple sur la page Web How to get MSI file information with PowerShell. Remarque La valeur que vous saisissez dans le champ GUID CodeProduit ne doit pas inclure de parenthèses. • Hachage de fichier SHA-256 — Utilisez la commande PowerShell Get-FileHash pour récupérer la valeur de hachage SHA-256 d’un fichier MSI : PS> Get-FileHash <chemin-du-fichier-MSI> Retrouvez plus de renseignements sur la commande Get-FileHash sur la page Web GetFileHash de Microsoft. • Options d’installation — Retrouvez plus de renseignements sur les options de lignes de commande disponibles pour l’installation de fichiers MSI sur la page Web Options de lignes de commande standard du programme d’installation de Microsoft. Référence associée Paramètres de l’app (Windows) (page 340) 16.10 Applis administrées pour iOS Les applications iOS peuvent être installées en tant qu’applis gérées ou non gérées. Vous pouvez vérifier l’état de gestion d’un appareil dans l’onglet Applis installées de la page Affichage de l’appareil. Différences entre les applis gérées et non gérées 342 • Lorsqu’un utilisateur installe une appli depuis l’App Store d’entreprise, une tâche d’installation est créée et traitée dans Sophos Mobile. Pour les applis non gérées, l’utilisateur est redirigé vers l’App Store d’Apple. • Vous pouvez désinstaller les apps administrées dans Sophos Mobile Admin. En revanche, ceci n’est pas possible pour les apps non administrées. • Sur les appareils iOS supervisés, les apps administrées sont installées et désinstallées sans qu’aucune intervention de l’utilisateur ne soit requise. • Certains paramètres des stratégies d’appareil iOS sont uniquement disponibles pour les applis administrées. • Les applis gérées sont automatiquement désinstallées lorsque l’appareil est désinscrit de Sophos Mobile. Les applis non gérées restent installées. Copyright © Sophos Limited Sophos Mobile Installation d’une appli gérée Vous disposez des options suivantes pour installer une appli gérée : • Installez l’appli dans Sophos Mobile Admin. • Activez Installation administrée par Sophos Mobile dans les paramètres de l’appli et laissez l’utilisateur installer l’appli à partir de l’App Store d’entreprise. La deuxième option n’est pas disponible pour les applis auxquelles vous avez ajouté Sophos Mobile en téléchargeant le fichier IPA ou pour les appareils sur lesquels Sophos Mobile gère uniquement le conteneur Sophos. Modification d’une appli non gérée en appli gérée Pour modifier l’état d’une appli déjà installée de « non gérée » à « gérée », activez Installation administrée par Sophos Mobile dans les paramètres de l’appli et créez une tâche d’installation. Cette opération n’installera pas à nouveau l’appli, mais en fera une appli gérée. 16.11 Gestion des applis du Programme d’achat en volume d’Apple Vous pouvez utiliser le Programme d’achat en volume d’Apple (VPP) pour acheter des licences d’app iOS et macOS. Vous pouvez ensuite les distribuer dans votre organisation. Une fois la commande passée, téléchargez un token de service (sToken). Il contient les licences des applis achetées. Assignation des applis du Programme d’achat en volume aux utilisateurs ou aux appareils Pour iOS, vous pouvez choisir d’assigner une app du Programme d’achat en volume à un utilisateur ou à un appareil. Pour macOS, vous assignez les applis du Programme d’achat en volume aux appareils : • Lorsque vous assignez une app du Programme d’achat en volume iOS aux utilisateurs, ils peuvent l’installer sur tous les iPhones et iPads inscrits à Sophos Mobile qui sont connectés à leur identifiant Apple. • Lorsque vous assignez une app du Programme d’achat en volume iOS à un appareil, vous n’avez pas besoin de l’associer à un identifiant Apple. • Lorsque vous assignez une app du Programme d’achat en volume iOS à un Mac, elle est disponible à tous les utilisateurs qui se connectent à ce Mac. Retrouvez plus de renseignements aux sections Assignation manuelle des applis du Programme d’achat en volume (page 347) et Assignation automatique des apps du Programme d’achat en volume (page 348). Copyright © Sophos Limited 343 Sophos Mobile Invitation d’utilisateurs au Programme d’achat en volume d’Apple Avant d’assigner une app du Programme d’achat en volume à un utilisateur, veuillez l’inviter au Programme d’achat en volume. Retrouvez plus de renseignements à la section Invitation d’utilisateurs au Programme d’achat en volume d’Apple (page 345). Vous n’avez pas besoin d’inviter les appareils au Programme d’achat en volume. Installation des applis du Programme d’achat en volume Vous installez les applis du Programme d’achat en volume dans Sophos Mobile Admin, de la même manière que vous installer d’autres applis. Retrouvez plus de renseignements à la section Installer une appli (page 331). Les utilisateurs peuvent installer des applis du Programme d’achat en volume iOS à partir de la liste d’applis achetées dans leur App Store. En revanche, ceci n’est pas possible pour les applis du Programme d’achat en volume macOS. Retrait d’assignation de l’app du Programme d’achat en volume Vous retirez l’assignation d’une app du Programme d’achat en volume des manières suivantes : • Dessélectionnez les utilisateurs ou appareils requis sur la page des informations sur l’app. • Apps iOS : Dessélectionnez l’app sur la page des informations sur l’app. • Apps macOS : Transférez une série de tâches à l’aide d’une tâche Retirer l’assignation de l’appli VPP sur l’appareil. Les licences du Programme d’achat en volume sont automatiquement libérées dans les situations suivantes : • L’app est désinstallée de l’appareil. • L’appareil est désinscrit de Sophos Mobile. Conseil Lorsque vous assignez une app du Programme d’achat en volume, les utilisateurs peuvent continuer à l’utiliser pendant 30 jours. 16.11.1 Installation du Programme d’inscription d’appareils Apple Pour installer le Programme d’achat en volume d’Apple., téléchargez le sToken (token de service) de votre compte du Programme d’achat en volume d’Apple. sur Sophos Mobile et configurez les paramètres d’assignation de l’app. 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration d’Apple puis sur l’onglet Apple VPP. 2. Cliquez sur le lien du Portail du Programme d’achat en volume iTunes. Le portail Web du Programme d’achat en volume va s’ouvrir dans une nouvelle fenêtre de navigation. 344 Copyright © Sophos Limited Sophos Mobile 3. Sur cette page, sélectionnez Entreprise. 4. Sur la page Connexion au Store Entreprises, saisissez votre identifiant Apple et votre mot de passe. 5. Allez sur la page Résumé de votre compte et cliquez sur Télécharger un jeton. Le sToken est généré et enregistré sur votre ordinateur local dans un fichier texte avec l’extension .vpptoken en utilisant les paramètres de téléchargement de votre navigateur Web. 6. Facultatif : Déplacez le fichier sToken à un emplacement accessible à partir de Sophos Mobile Admin. 7. Dans Sophos Mobile Admin, retournez dans l’onglet Apple VPP et cliquez sur Télécharger un fichier, sélectionnez le fichier sToken et cliquez ensuite sur Ouvrir. Sophos Mobile lit le fichier et remplit les champs Entreprise et Expire le à partir des informations du sToken. 8. Dans Assigner automatiquement les applis VPP à l’installation, configurez l’assignation automatique des apps du Programme d’achat en volume (VPP). Retrouvez plus de renseignements à la section Assignation automatique des apps du Programme d’achat en volume (page 348). 9. Facultatif : Sélectionnez Mettre à jour automatiquement les applis du Programme d’achat en volume iOS assignés aux appareils pour informer l’utilisateur qu’une mise à jour est disponible pour une app du programme d’inscription d’appareils. Ceci s’applique aux apps du programme d’inscription d’appareils assignées à un iPhone ou à un iPad. Pour les apps du programme d’inscription d’appareils assignées à un utilisateur, ce dernier doit vérifier si des mises à jour sont disponibles dans l’App Store. 10. Facultatif : Remplissez les champs restants sur l’onglet Apple VPP. Dans le champ Pays, saisissez votre code pays à deux lettres, par exemple US pour les ÉtatsUnis. 11. Sélectionnez Enregistrer. 16.11.2 Invitation d’utilisateurs au Programme d’achat en volume d’Apple Veuillez créer un sToken avant d’inviter des utilisateurs au Programme d’achat en volume d’Apple. Retrouvez plus de renseignements à la section Installation du Programme d’inscription d’appareils Apple (page 344). 1. Sur le menu latéral, sous GESTION, sélectionnez Utilisateurs/groupes. 2. Sur la page Utilisateurs/groupes, vous pouvez inviter les utilisateurs individuellement ou tous les utilisateurs au Programme d’achat en volume d’Apple. • Pour inviter tous les utilisateurs : a) Cliquez sur Inviter des utilisateurs au Programme d’achat en volume d’Apple en haut de la page Utilisateurs/groupes. b) Cliquez sur Oui dans la boîte de dialogue de confirmation. • Pour inviter un seul utilisateur : a) Cliquez sur l’utilisateur de votre choix. b) Sur la page suivante, cliquez sur Inviter un utilisateur au Programme d’achat en volume. c) Cliquez sur Oui dans la boîte de dialogue de confirmation. • Pour inviter un seul utilisateur lorsque vous utilisez la gestion des utilisateurs externes et que l’utilisateur n’a pas encore inscrit d’appareils : Copyright © Sophos Limited 345 Sophos Mobile a) Cliquez sur Rechercher et inviter un utilisateur au Programme d’achat en volume d’Apple en haut de la page Utilisateurs/groupes. b) Dans la boîte de dialogue Rechercher un utilisateur, recherchez l’utilisateur soit par nom soit par adresse électronique. c) Dans la liste de résultats de la recherche, sélectionnez l’utilisateur que vous voulez inviter au Programme d’achat en volume d’Apple. d) Cliquez sur Appliquer. Sophos Mobile envoie un email d’invitation à tous les utilisateurs concernés. Les utilisateurs doivent cliquer sur le lien dans leur email d’invitation pour connecter leur compte Apple iTunes au Programme d’achat en volume d’Apple. Ils pourront ensuite installer et utiliser les apps dont les licences ont été fournies par votre entreprise. Remarque Lorsque vous utilisez la gestion des utilisateurs externes et que vous invitez tous les utilisateurs au Programme d’achat en volume d’Apple, les utilisateurs n’ayant pas d’adresse électronique assignée sont enregistrés au Programme d’achat en volume d’Apple mais ne reçoivent pas de lien pour connecter leur compte Apple iTunes au Programme d’achat en volume d’Apple. Retrouvez plus de renseignements sur la manière de procéder au processus d’enregistrement au Programme d’achat en volume dans ce cas de figure à la section Invitation des utilisateurs sans adresse électronique au Programme d’achat en volume d’Apple (page 346). 16.11.3 Invitation des utilisateurs sans adresse électronique au Programme d’achat en volume d’Apple cette procédure nécessite l’utilisation d’un compte super administrateur et donc ne s’applique pas à Sophos Mobile (version SaaS). Lorsque vous invitez des utilisateurs à partir d’un annuaire d’utilisateurs externes au Programme d’achat en volume d’Apple conformément aux instructions de la section Invitation d’utilisateurs au Programme d’achat en volume d’Apple (page 345), les utilisateurs n’ayant pas d’adresse électronique assignée seront enregistrés au Programme d’achat en volume d’Apple mais ne recevront pas de lien pour connecter leur compte Apple iTunes au Programme d’achat en volume d’Apple. Dans ce cas, effectuez les étapes suivantes pour terminer le processus d’enregistrement au Programme d’achat en volume d’Apple. 1. En tant que super administrateur de Sophos Mobile, téléchargez les fichiers journaux du serveur. Retrouvez plus de renseignements dans le Guide du super administrateur de Sophos Mobile (anglais). 2. Identifiez les comptes d’utilisateur affectés dans les fichiers journaux. 3. Sur le menu latéral de Sophos Mobile Admin, sous GESTION, cliquez sur Utilisateurs/groupes. 4. Cliquez sur l’un des utilisateurs affectés. 5. Sur la page suivante, cliquez sur Afficher le lien d’invitation. Pour les utilisateurs externes sans adresse électronique, cette fonction n’envoie pas d’email d’invitation mais affiche le lien d’invitation dans une boîte de dialogue. 6. Copiez le lien figurant dans cette boîte de dialogue et communiquez le à l’utilisateur. 7. Répétez cette procédure pour tous les utilisateurs affectés. 346 Copyright © Sophos Limited Sophos Mobile Les utilisateurs doivent cliquer sur ce lien pour connecter leur compte Apple iTunes au Programme d’achat en volume d’Apple. 16.11.4 Gestion des utilisateurs du Programme d’achat en volume d’Apple Si vous installez le programme d’achat en volume d’Apple (VPP), la page Affichage de l’utilisateur inclut une section Programme d’achat en volume d’Apple. Vous pouvez voir ou modifier l’état du programme d’achat en volume d’Apple (VPP) de chaque utilisateur. • Afficher l’état de l’utilisateur du Programme d’achat en volume d’Apple. — Enregistré : l’utilisateur a été invité au Programme d’achat en volume d’Apple mais n’a pas encore connecté son compte Apple iTunes au Programme d’achat en volume d’Apple. — Associé : l’utilisateur a connecté son compte Apple iTunes au Programme d’achat en volume d’Apple et peut installer les apps du Programme d’achat en volume. • Afficher les apps du Programme d’achat en volume d’Apple que l’utilisateur a installé. • Inviter l’utilisateur au programme. Un email avec un lien d’invitation est envoyé à l’utilisateur. Si le compte de l’utilisateur ne contient pas d’adresse électronique, le lien d’invitation est affiché dans une boîte de dialogue. • Si nécessaire, renvoyez l’email d’invitation. • Désinscrivez l’utilisateur du Programme d’achat en volume d’Apple. 16.11.5 Assignation manuelle des applis du Programme d’achat en volume Vous pouvez assigner des applis du Programme d’achat en volume individuellement aux utilisateurs ou aux appareils. Conseil Vous pouvez automatiquement assigner une appli lorsqu’elle est installée. Retrouvez plus de renseignements à la section Assignation automatique des apps du Programme d’achat en volume (page 348). 1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Applis > iOS ou sur Applis > macOS. 2. Cliquez sur Importation d’applis du Programme d’achat en volume. Cette opération va récupérer les informations sur l’appli à partir du serveur du Programme d’achat en volume d’Apple et va créer des entrées d’appli dans Sophos Mobile si nécessaire. 3. Cliquez sur l’appli du Programme d’achat en volume à assigner aux utilisateurs ou aux appareils. Conseil Les applis du Programme d’achat en volume sont identifiées par une encoche dans la colonne Programme d’achat en volume. 4. Cliquez sur Afficher à côté de Licences du Programme d’achat en volume. 5. Sélectionnez les utilisateurs ou appareils auxquels vous voulez assigner l’appli. Copyright © Sophos Limited 347 Sophos Mobile Vous pouvez choisir parmi tous les utilisateurs inscrits ou associés au Programme d’achat en volume d’Apple (VPP) et parmi tous les appareils affichant l’état Administré. Vous pouvez uniquement assigner les applis macOS aux appareils. 6. Vous pouvez également assigner l’appli aux appareils en sélectionnant les groupes d’appareils : a) Cliquez sur Afficher à côté de Disponible pour les groupes d’appareils. b) Sélectionnez les groupes d’appareils. 7. Par défaut, les applis iOS du Programme d’achat en volume sont installées sous l’état administré sur les appareils des utilisateurs. Pour installer une appli qui ne sera pas administrée, dessélectionnez la case Installation administrée par Sophos Mobile. 8. Cliquez sur Save. L’assignation de l’appli est également synchronisée avec le serveur du Programme d’achat en volume d’Apple (VPP). Remarque L’état des applis du Programme d’achat en volume étant administré par le serveur du Programme d’achat en volume d’Apple, vous allez devoir patienter quelque temps avant de voir les modifications que vous avez apportées dans Sophos Mobile sur les appareils. 16.11.6 Assignation automatique des apps du Programme d’achat en volume Vous pouvez assigner les apps du Programme d’achat en volume (VPP) automatiquement lorsqu’elles sont installées. Vous pouvez décider d’assigner les apps du Programme d’achat en volume iOS à l’appareil ou à l’utilisateur assigné à l’appareil. 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration d’Apple puis sur l’onglet Apple VPP. 2. Dans Assigner automatiquement les applis VPP à l’installation, sélectionnez l’une des options suivantes : • Définir la priorité d’assignation de l’appareil : les apps du Programme d’achat en volume (VPP) iOS sont assignées à l’appareil. Si l’appareil n’est pas compatible avec l’assignation au Programme d’achat en volume (VPP), les apps sont assignées à l’utilisateur de l’appareil. • Définir la priorité d’assignation de l’utilisateur : les apps du Programme d’achat en volume (VPP) iOS sont assignées à l’utilisateur de l’appareil. S’il n’y a pas d’utilisateur de l’appareil, les apps sont assignées à l’appareil. • Désactivé : veuillez assigner les apps du Programme d’achat en volume (VPP) manuellement. Remarque Vous ne pouvez pas assigner les apps du Programme d’achat en volume (VPP) macOS aux utilisateurs. Les options Définir la priorité d’assignation de l’appareil et Définir la priorité d’assignation de l’utilisateur activent l’assignation automatique. 348 Copyright © Sophos Limited Sophos Mobile 16.11.7 Synchronisation des informations sur la licence du Programme d’achat en volume Pour des raisons de performances, Sophos Mobile conserve une copie locale des informations sur la licence du Programme d’achat en volume. Vous pouvez forcer Sophos Mobile à synchroniser ses données du Programme d’achat en volume avec le serveur du Programme d’achat en volume d’Apple. Remarque Vous avez uniquement besoin de synchroniser les données du Programme d’achat en volume si les informations sur la licence d’une app affichées sont incorrectes. 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration d’Apple puis sur l’onglet Apple VPP. 2. Cliquez sur Effacer le cache du VPP. Sophos Mobile rejette les informations du Programme d’achat en volume local et synchronise les données avec le serveur du Programme d’achat en volume d’Apple. Remarque Retrouvez plus de renseignements sur l’affichage des informations sur la licence d’une app du Programme d’achat en volume à la section Assignation manuelle des applis du Programme d’achat en volume (page 347). 16.12 Assignation d’une connexion VPN à une app iOS Lorsque vous assignez une connexion VPN à une app iOS, l’app utilise cette connexion pour toute sa communication réseau. Condition préalable : Vous avez créé une ou plusieurs stratégies d’appareil iOS avec une configuration Connexion VPN via l’appli. Retrouvez plus de renseignements à la section Configuration de la connexion VPN via l’app (stratégie d’appareil iOS) (page 217). Pour assigner une connexion VPN à une app : 1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Applis > iOS. 2. Sur la page Applis, cliquez sur l’appli requise. 3. Cliquez sur Afficher à côté de Paramètres et VPN. 4. Dans Connexion VPN utilisée par l’appli, sélectionnez une configuration VPN. La liste contient les configurations Connexion VPN via l’appli de toutes les stratégies d’appareil iOS. 5. Sur la page Modification des paramètres et de VPN, cliquez sur Appliquer. 6. Sélectionnez Enregistrer. Copyright © Sophos Limited 349 Sophos Mobile 16.13 Ajout d’une configuration d’appli gérée (iOS) La configuration d’appli gérée est une fonction des applis iOS qui vous permet de configurer une appli à distance sans nécessiter d’accès physique à l’appareil sur lequel l’appli est installée. Conditions requises : • Le développeur de l’app a mis en place la configuration d’app gérée. • L’app a été installée en tant qu’app gérée. Retrouvez plus de renseignements à la section Applis administrées pour iOS (page 342). Pour ajouter une configuration d’app gérée : 1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Applis > iOS. 2. Sur la page Applis, cliquez sur l’appli requise. 3. Cliquez sur Afficher à côté de Paramètres et VPN. 4. Sous Configuration gérée, cliquez sur Ajouter un paramètre. 5. Saisissez les informations requises. 6. Sur la page Modification des paramètres et de VPN, cliquez sur Appliquer. 7. Sélectionnez Enregistrer. 16.14 Applis Windows Pour les ordinateurs Windows, Sophos Mobile répertorie les applications suivantes sur la page Affichage de l’appareil : 350 Type Description Boutique Microsoft Applis Universal Windows Platform (UWP) installées depuis la Boutique Microsoft ou la Boutique Microsoft pour Entreprises et Éducation. Non officielle Applis UWP installées depuis une autre appli que la Boutique Microsoft. Système Applis UWP faisant partie du système d’exploitation Windows. Win32 Applis Win32 (applis installées à partir d’un fichier MSI). Copyright © Sophos Limited Sophos Mobile 17 Groupes d’apps Des groupes d’applis peuvent être créés dans Sophos Mobile afin de définir des listes pour les stratégies. Les groupes d’apps sont utilisés dans les paramètres suivants : • La configuration de la Protection des applis des stratégies d’appareils Android. • La configuration du Contrôle des applis des stratégies d’appareils Android. • La configuration des Restrictions des stratégies d’appareils Android, iOS et des conteneurs Knox. • La configuration des Restrictions d’app des stratégies Windows Mobile. • Les stratégies de conformité pour définir des listes d’apps autorisés, interdites et obligatoires. Pour Chrome OS, les groupes d’applis peuvent contenir des applis et des extensions. 17.1 Création d’un groupe d’apps 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Groupes d’applis et sélectionnez la plateforme sur laquelle vous souhaitez créer le groupe d’apps. 2. Cliquez sur Créer un groupe d’applis. 3. Sur la page Modification du groupe d’applis, saisissez un nom pour le nouveau groupe d’apps et cliquez sur Ajouter une appli. 4. Sélectionnez l’app que vous souhaitez ajouter au groupe : • Pour sélectionner une app dans la liste de toutes les apps actuellement installées sur vos appareils gérés, cliquez sur Liste des applis et sélectionnez une app. • Pour ajouter une app manuellement, cliquez sur Personnalisée et configurez les informations sur l’app. Paramètres des apps Android : Nom de l’appli un nom unique pour identifier l’app. Identifiant le nom du package de l’app. Vous pouvez récupérer le nom du package à partir de l’URL de l’app dans Google Play. Par exemple, l’URL de l’app Sophos Mobile Control est play.google.com/store/apps/details? id=com.sophos.mobilecontrol.client.android et le nom du package est com.sophos.mobilecontrol.client.android. Pour les apps à partir de Google Play d’entreprise (applis pour les appareil Android Enterprise), ajoutez app: au début du nom du package. Lien L’URL de l’app dans Google Play. Paramètres des apps iOS et macOS : Copyright © Sophos Limited 351 Sophos Mobile Nom de l’appli un nom unique pour identifier l’app. Identifiant l’identifiant du package de l’app. Lien L’URL de l’app dans l’App Store. Paramètres des apps Windows Mobile : Nom de l’appli un nom unique pour identifier l’app. Identifiant Le GUID de l’app. Si vous ne connaissez pas le GUID, remplissez le champ Lien à la place. Lien L’URL de l’app dans la boutique Microsoft. Par exemple, l’URL de l’app Sophos Mobile Control est https://www.microsoft.com/fr-fr/store/p/ mobile-control-2017/9nblggh51qsj. Paramètres des apps Windows : Nom de l’appli un nom unique pour identifier l’app. Identifiant Le numéro d’ID de l’app indiqué par Windows. Pour les apps MSI, il s’agit du GUID ProductCode du fichier MSI. Pour les apps de la boutique Microsoft, il s’agit du Nom de la famille du package (PFN) de l’app. Lien L’URL de l’app dans la boutique Microsoft. Paramètres des applis et extensions Chrome OS : Nom de l’appli un nom unique pour identifier l’app. Identifiant le nom du package de l’appli. Vous pouvez récupérer le nom du package à partir de l’URL de l’appli dans Chrome Web Store. 5. Cliquez sur Ajouter. 6. Facultatif : Répétez les étapes précédentes pour ajouter plus d’apps. 7. Cliquez sur Enregistrer pour enregistrer le groupe d’apps. 17.2 Importation d’un groupe d’apps Vous pouvez créer un groupe d’apps en important une liste d’apps à partir d’un fichier CSV. Vous pouvez importer jusqu'à 10 000 apps. 352 Copyright © Sophos Limited Sophos Mobile Le fichier CSV doit avoir la spécification suivante : • La première rangée est traitée en tant qu’en-tête et n’est pas importée. • Les valeurs doivent être séparées par un point-virgule et pas par une virgule. • Toutes les rangées doivent avoir le nombre correct de points-virgule même si vous ne saisissez pas les valeurs en option. • L’extension de fichier doit être .csv. • Pour garantir l’importation correcte des caractères non anglais, le fichier doit être encodé en UTF-8. Conseil Sur la page Importer les applis, cliquez sur Exemple de CSV pour télécharger un échantillon de fichier. Pour importer les apps à partir d’un fichier CSV et les ajouter à un groupe d’apps : 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Groupes d’applis et sélectionnez la plateforme sur laquelle vous souhaitez créer le groupe d’apps. 2. Sur la page Groupes d’apps, cliquez sur Créer un groupe d’apps. 3. Sur la page Modification du groupe d’apps, saisissez un Nom pour le nouveau groupe d’apps et cliquez sur Importer les apps. 4. Sur la page Importer les apps, cliquez sur Télécharger un fichier et naviguez jusqu’au fichier CSV que vous avez préparé. Les entrées sont lues à partir du fichier et sont affichées sur la page. 5. Si le format des données est incorrect ou incohérent, le fichier ne pourra pas être importé. Dans ce cas, veuillez vérifier les messages d’erreur qui sont affichés à côté des entrées, corriger le contenu du fichier CSV et le télécharger de nouveau. 6. Cliquez sur Terminer pour ajouter les apps au groupe d’apps. 7. Sur la page Modification du groupe d’apps, cliquez sur Enregistrer. Copyright © Sophos Limited 353 Sophos Mobile 18 Documents professionnels Remarque Cette fonction nécessite une licence de type Mobile Advanced. Dans Sophos Mobilel, vous pouvez télécharger les fichiers que vous souhaitez distribuer sur les appareils de vos utilisateurs. • Les documents gérés dans Sophos Mobile sont automatiquement ajoutés dans l’emplacement de stockage Documents professionnels dans Sophos Secure Workspace. • Vous pouvez assigner une catégorie à chaque document à partir des Documents professionnels. • Les documents se trouvant dans Documents professionnels sont en lecture seule. • Si Sophos Secure Workspace n’est pas administrée par Sophos Mobile, l’emplacement de stockage Documents professionnels n’est pas disponible. Pour distribuer les documents professionnels 1. Installez l’app Sophos Secure Workspace sur les appareils. Retrouvez plus de renseignements à la section Apps (page 329). 2. Assignez une stratégie de conteneur Sophos avec une configuration Documents professionnels. 3. Téléchargez les documents dans Sophos Mobile. 18.1 Ajout de Documents professionnels Remarque Cette fonction nécessite une licence de type Mobile Advanced. Pour distribuer des documents sur les appareils : 1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Documents. La page Documents apparaît. 2. Cliquez sur Ajouter un document. La page Modifier un document apparaît. 3. Dans la champ Catégorie, saisissez la catégorie sous laquelle le document est affiché chez le fournisseur de stockage Documents professionnels sur l’appareil. Si vous ne remplissez pas ce champ, le fichier sera affiché dans le dossier racine du fournisseur de stockage Documents professionnels. 4. Pour définir les paramètres du document : • Sélectionnez l’option Copier dans le Presse-papiers pour autoriser les utilisateurs à copier le document dans le Presse-papiers. • Sélectionnez l’option Partager un document pour autoriser les utilisateurs à partager le document. • Sélectionnez Utiliser le document hors ligne pour permettre aux utilisateurs d’ajouter le document à la liste des Favoris. Lorsqu’un document non chiffré dans les Documents professionnels est ajouté à la liste des Favoris, la copie locale est conservée sous forme chiffrée. Lorsque le partage du 354 Copyright © Sophos Limited Sophos Mobile 5. 6. 7. 8. document est autorisé, le fichier est automatiquement déchiffré avant d’être transféré vers d’autres apps. Si vous dessélectionnez la case Utiliser le document hors ligne, les copies locales seront automatiquement supprimées à la prochaine synchronisation. Cliquez sur le bouton Afficher situé à côté de Groupes assignés et sélectionnez le groupe autorisé à accéder au document. Saisissez une Description pour le document. Cliquez sur Télécharger un fichier et naviguez jusqu’au document. Sélectionnez-le et cliquez sur Ouvrir. Répétez cette étape pour chaque document que vous voulez distribuer. Le document est ajouté à la liste des documents. Il est distribué aux utilisateurs qui peuvent le consulter dans l’app Sophos Secure Workspace. Copyright © Sophos Limited 355 Sophos Mobile 19 Android Enterprise Android Enterprise simplifie la gestion des appareils Android dans un environnement professionnel. Restriction Android Enterprise n’est pas disponible sur les versions d’Android 5.1.1 ou antérieures. Les appareils Android Enterprise inscrits à Sophos Mobile peuvent avoir l’un des modes de gestion suivants : Gestion complète des appareils Sur un appareil Android Enterprise entièrement géré, Sophos Mobile peut surveiller et gérer tous les paramètres, applications et données. La gestion complète des appareils Android Enterprise se distingue de l’autorisation d’administrateur de l’appareil Android comme suit : • La procédure d’inscription est plus simple pour les utilisateurs. • Les utilisateurs n’ont pas besoin de créer un compte Google personnel sur l’appareil. • Les utilisateurs peuvent uniquement installer des apps à partir de Google Play administré et vous pouvez configurer l’agencement de la boutique d’applis. • Seul une nombre minimum d’apps est activée par défaut : Boutique Google Play, Contacts, Messages, Téléphone. • Vous pouvez installer, désinstaller ou mettre à jour les applis sans intervention de l’utilisateur. • Vous pouvez configurer les autorisations d’appli afin que les utilisateurs ne soient pas invités à accorder les autorisations pendant l’utilisation. • Lorsque possible sur les apps, vous pouvez configurer les paramètres personnalisés des apps. • Vous pouvez réinitialiser le mot de passe de verrouillage de l’écran. • Vous pouvez configurer un mode kiosque qui limitera l’utilisation à une sélection d’app et pas à une seule app. • Vous pouvez inscrire les appareils qui n’ont pas encore été configurés ou sur lesquels les paramètres d’usine ont été restaurés. • Il n’existe pas d’action de désinscription dédiée. Pour désinscrire un appareil, vous devez le réinitialiser. Gestion du profil de travail Sur un appareil de profil de travail Android Enterprise, Sophos Mobile peut uniquement surveiller et gérer les paramètres, applis et données de l’appareil lui-même. La gestion du profil de travail est idéale pour le BYOD (bring your own device). 356 Copyright © Sophos Limited Sophos Mobile Gestion des appareils dédiés Un appareil Android Enterprise dédié, anciennement appelé appareil COSU (à usage unique appartenant à l’entreprise) est verrouillé sur une seule appli ou sur un ensemble d’applis. Utilisez cette fonctionnalité pour les appareils destinés à un usage spécifique, par exemple une application de kiosque. Pour configurer un appareil dédié, assignez une configuration Mode kiosque à un appareil entièrement géré. Référence associée Configuration du mode kiosque (stratégie d’appareil Android Enterprise) (page 132) La configuration Mode kiosque permet d’activer la gestion des appareils Android Enterprise. Information associée Aide d’Android Enterprise (lien externe) Comment configurer Sophos Mobile pour paramétrer l’appareil en mode « privé, à usage unique » (article 133409 de la base de connaissances Sophos) 19.1 Installation d’Android Enterprise - Généralités Pour installer Android Enterprise dans votre organisation, vous avez le choix entre deux scénarios différents : Scénario « Compte Google Play d’entreprise » Il s’agit de la méthode la plus simple pour installer Android Enterprise pour votre organisation. • Sophos Mobile vous guide tout au long du processus d’installation d’Android Enterprise. • Il est possible de créer plusieurs comptes Android Enterprise dans une seule entreprise. • Sophos Mobile Gère le cycle de vie complet du compte d’utilisateur. • Les appareils peuvent être inscrits dans le Portail libre-service ou dans Sophos Mobile Admin. Scénario « Domaine Google d’entreprise » Cette méthode convient à ceux qui possèdent déjà un domaine Google d’entreprise ou qui souhaitent gérer des comptes Android Enterprise sans utiliser Sophos Mobile. • Vous enregistrez un domaine Google géré auprès de Google et prouvez qu’il vous appartient. • Vous reliez Sophos Mobile à votre domaine Google d’entreprise en tant que logiciel EMM (Enterprise Mobility Management) tiers. • Sophos Mobile crée les comptes d’utilisateur nécessaires. Sophos Mobile ne gère pas le cycle de vie du compte. • Les appareils peuvent uniquement être inscrits dans le Portail libre-service et pas dans Sophos Mobile Admin. Copyright © Sophos Limited 357 Sophos Mobile Remarque Il est impossible de changer le mode de gestion des utilisateurs une fois Android Enterprise installé. Par exemple, vous ne pouvez pas passer de la gestion des utilisateurs internes à un annuaire LDAP externe. Conseil Après avoir installé Android Enterprise, vous pouvez vérifier le scénario utilisé sous Configuration > Configuration d’Android > Android Enterprise > Mode Android Enterprise. 19.2 Installation d’Android Enterprise (scénario Compte Google Play d’entreprise) Sophos Mobile vous guide tout au long de la procédure d’installation d’Android Enterprise pour votre organisation. 1. Sur le menu latéral, sous PARAMÈTRES, sélectionnez Configuration > Configuration d’Android puis l’onglet Android Enterprise. 2. Sélectionnez Configurer. 3. Sélectionnez Scénario « Compte Google Play d’entreprise » puis Suivant. 4. Sélectionnez Enregistrer un compte. Vous allez être redirigé vers un site Web de Google à partir duquel vous pourrez enregistrer votre organisation à Android Enterprise. 5. Connectez-vous au site Web de Google avec votre compte Google. Remarque Nous vous conseillons de créer un nouveau compte Google. 6. Sur le site Web de Google, suivez les étapes d’enregistrement de votre entreprise. Conseil Lorsque vous précisez le nom de votre organisation, nous vous conseillons d’inclure le terme Sophos Mobile et le nom de votre client Sophos Mobile. Par exemple : Nom de l’organisation (Sophos Mobile/Nom du client) Après avoir effectué les étapes d’enregistrement, le site Web de Google vous redirige vers Sophos Mobile. 7. Dans Sophos Mobile, sélectionnez Finaliser l’installation pour terminer la procédure d’enregistrement. Cette opération termine la procédure d’installation d’Android Enterprise pour votre organisation. Remarque Après avoir installé Android Enterprise, vous ne pouvez plus changer le mode de gestion des utilisateurs, par exemple, de la gestion des utilisateurs internes à un annuaire LDAP externe. 358 Copyright © Sophos Limited Sophos Mobile 19.3 Installation d’Android Enterprise (scénario Domaine Google d’entreprise) Pour installer Android Enterprise dans le cadre du scénario Domaine Google d’entreprise, vous : 1. Enregistrez un Domaine Google géré auprès de Google. 2. Créez un compte de service d’entreprise et configurez les API nécessaires pour communiquer avec les services Google. 3. Reliez Sophos Mobile en tant que logiciel EMM (Enterprise Mobility Management) tiers à votre domaine Google géré. Remarque Après avoir installé Android Enterprise, vous ne pouvez plus changer le mode de gestion des utilisateurs, par exemple, de la gestion des utilisateurs internes à un annuaire LDAP externe. 19.3.1 Enregistrement d’un domaine auprès de Google La première phase de la procédure d’installation d’Android Enterprise consiste à enregistrer votre domaine auprès de Google (domaine Google d’entreprise), de créer un administrateur de domaine (compte Google d’entreprise) et de vérifier que vous être propriétaire du domaine. Remarque Si vous avez déjà un domaine Google géré, par exemple, si vous êtes inscrit à G Suite (anciennement Google Apps), vous pouvez ignorer cette section. 1. Cliquez sur le lien suivant https://www.google.com/a/signup/? enterprise_product=ANDROID_WORK pour vous inscrire à un domaine Google géré. 2. Remplissez le formulaire avec les informations demandées. • Sous À propos de votre entreprise, saisissez le domaine qui sera utilisé en tant que domaine Google géré dans le champ Adresse du domaine professionnel. Par exemple, vous pouvez utiliser le domaine de votre serveur Sophos Mobile. Remarque Si vous voulez configurer Android Enterprise pour plusieurs clients dans Sophos Mobile, vous devez utiliser un domaine individuel pour chaque client. • Sous Votre compte administrateur Google, saisissez les codes d’accès d’un nouveau domaine administrateur. Remarque Notez les codes d’accès car vous en aurez besoin ultérieurement lors de la procédure d’installation. 3. Cliquez sur le bouton pour créer le compte d’administrateur de domaine. La console Google Admin s’ouvre. Copyright © Sophos Limited 359 Sophos Mobile 4. Dans la console d’administration Google, démarrez la procédure pour vérifier que vous êtes le propriétaire de ce domaine. Suivez les instructions de Google pour vérifier votre domaine. Une fois qu’il a été vérifié que vous êtes le propriétaire du domaine, vous allez recevoir un token de connexion de votre domaine Google géré à votre fournisseur EMM tiers, c’est-à-dire Sophos Mobile. Veuillez ensuite créer un compte de service Google et configurer les API Google correspondantes. Retrouvez plus de renseignements à la section Configuration du compte de service Google (page 360). 19.3.2 Configuration du compte de service Google La seconde phase de la procédure d’installation d’Android Enterprise consiste à créer et à configurer un compte de service Google. Condition préalable : vous avez un compte d’administrateur de domaine pour votre domaine Google géré. Un compte de service Google est un type spécial de compte Google pour une application. Ce compte est utilisé par Sophos Mobile pour communiquer avec les API Google. Créez un projet : 1. Cliquez sur le lien suivant https://console.developers.google.com/apis/library pour ouvrir la console Google API. Connectez-vous à l’aide des codes d’accès de votre compte d’administrateur de domaine. 2. Dans la barre d’en-tête de la console Google API, cliquez sur ProjectCréer un projet. Si vous avez déjà un projet, la barre d’en-tête affiche le nom du projet à la place de Project. 3. Dans la boîte de dialogue Nouveau projet, saisissez un nom de projet, par exemple Android Enterprise et cliquez sur Créer. Activez les API nécessaires : 4. Sur le menu latéral, cliquez sur Bibliothèque et saisissez admin sdk dans le champ de recherche. 5. Dans la liste des résultats, cliquez sur Admin SDK. 6. En haut de la page Admin SDK, cliquez sur Activer. 7. Répétez les trois étapes précédentes pour Google Play EMM API : a) Sur le menu latéral, cliquez sur Bibliothèque et saisissez emm dans le champ de recherche. b) Dans liste des résultats de la recherche, cliquez sur Google Play EMM API. c) En haut de la page Google Play EMM API, cliquez sur Activer. Créez un compte de service : 8. Sur la page Google Play EMM API, cliquez sur Créer des identifiants. 9. Sur la page Ajouter des identifiants au projet, cliquez sur le lien compte de service sous la première étape. 10. Sur la page Comptes de service, cliquez sur Créer un compte de service. 11. Sur la boîte de dialogue Créer un compte de service, saisissez les paramètres suivants : a) Dans le champ Nom de compte de service, saisissez un nom pour le compte de service, par exemple, Android Enterprise. b) Sélectionnez Indiquer une nouvelle clé privée puis, sélectionnez JSON. c) Sélectionnez Activer la délégation G Suite au niveau du domaine. 360 Copyright © Sophos Limited Sophos Mobile d) Dans Nom du produit pour l’écran d’autorisation, saisissez par exemple Android Enterprise. Lorsque vous cliquez sur Créer, la clé privée de compte de service est générée et enregistrée sur votre ordinateur dans un fichier JSON. Remarque Placez le fichier JSON dans un emplacement sécurisé. Vous devez associer Sophos Mobile à votre domaine Google géré. Configurer l’accès à l’API : 12. Cliquez sur le lien suivant https://admin.google.com pour ouvrir la console d’administration Google et connectez-vous à l’aide des codes d’accès de votre compte d’administrateur de domaine. 13. Cliquez sur Sécurité, puis sur Paramètres avancés. Conseil Vous allez peut être devoir cliquer sur Plus d’éléments pour afficher Paramètres avancés. 14. Cliquez sur Gérer l’accès au client API. 15. Ouvrez le fichier JSON dans un éditeur de texte et copiez la valeur client_id dans le champ Nom du client. Par exemple, si votre fichier JSON contient un ligne "client_id": "123456789" , saisissez 123456789 dans le champ Nom du client. 16. Dans le champ Un ou plusieurs champs d’application d’API, saisissez les deux URL suivantes séparées par des virgules : https://www.googleapis.com/auth/admin.directory.user, https://www.googleapis.com/auth/androidenterprise 17. Cliquez sur Autoriser. Vous pouvez associer Sophos Mobile à votre domaine Google géré. Retrouvez plus de renseignements à la section Association de Sophos Mobile à votre domaine (page 361). 19.3.3 Association de Sophos Mobile à votre domaine La troisième phase de la procédure d’installation d’Android Enterprise consiste à associer Sophos Mobile à votre domaine Google d’entreprise. Conditions préalables : • vous avez un compte d’administrateur de domaine pour votre domaine Google géré. • Vous avez fait vérifié que vous êtes bien propriétaire du domaine. • Vous avez activé les API Google. • Vous avez créé un compte de service Google. 1. Sur le menu latéral, sous PARAMÈTRES, sélectionnez Configuration > Configuration d’Android puis l’onglet Android Enterprise. 2. Cliquez sur Configurer. Copyright © Sophos Limited 361 Sophos Mobile 3. Sélectionnez Scénario « Domaine Google d’entreprise » et cliquez sur Suivant. 4. Dans la boîte de dialogue qui s’ouvre, configurez les paramètres suivants : Option Description Domaine professionnel Votre domaine Google géré a été vérifié par Google. Administrateur du domaine Le nom de votre compte d’administrateur de domaine. Il s’agit de l’administrateur que vous avez créé lorsque vous avez enregistré votre domaine auprès de Google. Token EMM Le token que vous avez reçu de Google après avoir fait vérifié que vous êtes bien propriétaire du domaine. Vous pouvez voir le token lorsque vous vous connectez à la console d’administration Google (https://admin.google.com) à l’aide de vos codes d’accès d’administrateur de domaine et naviguez jusqu’à SécuritéGérer le fournisseur EMM pour Android. 5. Cliquez sur Télécharger un fichier et naviguez jusqu’au fichier JSON que vous avez téléchargé sur Google lors de la création du compte de service. Le fichier JSON sélectionné doit avoir l’extension .json. 6. Cliquez sur Lier. Sophos Mobile contacte le service Web de Google pour se lier en tant que fournisseur EMM à votre domaine Google géré. La dernière phase de la procédure d’installation d’Android Enterprise consiste à configurer les paramètres EMM de Google. Retrouvez plus de renseignements à la section Configuration des paramètres EMM (page 362). 19.3.4 Configuration des paramètres EMM La dernière phase de la procédure d’installation d’Android Enterprise consiste à configurer les paramètres EMM de Google. Condition préalable : Vous avez associé Sophos Mobile à votre domaine Google géré. 1. Cliquez sur le lien suivant https://admin.google.com pour ouvrir la console d’administration Google et connectez-vous à l’aide des codes d’accès de votre compte d’administrateur de domaine. 2. Cliquez sur Sécurité puis sur Gérer le fournisseur EMM pour Android. Conseil Vous allez peut être devoir cliquer sur Plus d’éléments pour afficher Gérer le fournisseur EMM pour Android. 3. Sous Paramètres généraux, sélectionnez Appliquer les règles EMM sur les appareils Android. Cette opération termine la procédure d’installation d’Android Enterprise pour votre organisation. 362 Copyright © Sophos Limited Sophos Mobile Remarque Après avoir installé Android Enterprise, vous ne pouvez plus changer le mode de gestion des utilisateurs, par exemple, de la gestion des utilisateurs internes à un annuaire LDAP externe. 19.4 Configuration de l’inscription d’un appareil Android Enterprise Conditions préalables : • Vous avez configuré Android Enterprise pour le client. Veuillez suivre les étapes ci-dessous pour configurer l’inscription d’un appareil Android Enterprise. 1. Créez une stratégie pour chaque type d’appareil Android Enterprise que vous voulez utiliser. • Pour les appareils entièrement gérés Android Enterprise, créez une stratégie de type Stratégie d’appareil Android Enterprise. • Pour les appareils de profil professionnel Android Enterprise, créez une stratégie de type Stratégie de profil professionnel Android Enterprise. 2. Créez une série de tâches pour chaque type d’appareil Android Enterprise que vous voulez utiliser. La série de tâches doit au moins contenir une tâche Inscrire et une tâche Assigner une stratégie pour la stratégie que vous avez créée auparavant. 3. Dans les paramètres du groupe du Portail libre-service, sélectionnez la série de tâches que vous avez créée en tant que package initial. Vous pouvez configurer différents packages pour les appareils professionnels et personnels. Par exemple, choisissez la gestion complète de l’appareil pour les appareils professionnels et la gestion du profil professionnel des appareils personnels. 4. Approuvez l’appli Sophos Mobile Control dans Google Play d’entreprise. Autrement, l’appli ne se mettra pas à jour correctement. Après avoir configuré l’inscription de l’appareil, les utilisateurs de Portail libre-service peuvent inscrire leurs appareils Android à Sophos Mobile. Si vous avez installé Android Enterprise dans le cadre d’un compte Google Play d’entreprise, vous pouvez également inscrire les appareils à l’aide de l’assistant Ajouter un appareil. Pour le scénario de Compte Google Play géré, un utilisateur peut uniquement inscrire 10 appareils à la fois. Cette limite est définie par Google et pourrait changer à l’avenir. Tâches connexes Création d’une stratégie (page 111) Les stratégies servent à configurer les paramètres des appareils. Il est possible d’en créer plusieurs si vous souhaitez gérer différents types d’appareils. Création d’une série de tâches (page 317) Créez des séries de tâches distinctes pour Android, iOS et les autres plates-formes d’appareils que vous souhaitez gérer. Création des différentes configurations du Portail libre-service (page 30) Copyright © Sophos Limited 363 Sophos Mobile Une configuration du Portail libre-service vous permet de configurer les types d’appareils que les utilisateurs peuvent inscrire, les détails d’inscription et les actions qu’ils peuvent effectuer sur le Portail libre-service. Validation d’une app Google Play d’entreprise (page 368) Pour mettre une appli à disposition de vos utilisateurs, vous devez l’approuver. Inscription des appareils Android Enterprise (page 52) Pour Android Enterprise, les appareils sont généralement inscrits dans le Portail libre-service. 19.5 Gestion des utilisateurs pour Android Enterprise (scénario Domaine Google d’entreprise) Remarque Cette section décrit la gestion des comptes d’utilisateur Google si vous avez créé un compte Android Enterprise à l’aide d’un scénario Domaine Google d’entreprise. Pour le scénario Compte Google Play géré, Sophos Mobile gère les comptes Google de vos utilisateurs de manière transparente. Un utilisateur doit avoir un Compte Google géré pour inscrire un appareil Android Enterprise. Ce compte est connecté au domaine que vous avez enregistré dans Google. Les noms de compte ont un format semblable à une adresse email, par exemple utilisateur@votre_domaine_Google_géré. Lorsqu’un utilisateur inscrit un appareil dans le Portail libre-service, Sophos Mobile vérifie qu’un compte Google géré existe déjà sur le serveur Google pour l’utilisateur. Pour cette opération, la partie gauche de l’adresse électronique de l’utilisateur indiquée dans Sophos Mobile est combinée au nom de votre domaine Google géré. Si aucun compte de ce nom existe, Sophos Mobile le crée. Exemple : si l’adresse électronique de l’utilisateur dans Sophos Mobile est utilisateur@votre_entreprise.fr et que votre domaine Google géré est votre_domaine_Google_géré, Sophos Mobile recherche un compte nommé utilisateur@votre_domaine_Google_géré sur le serveur Google. Hormis la création d’un compte Google géré pour l’utilisateur au cours de la procédure d’inscription, Sophos Mobile ne gère pas le cycle de vie du compte. Si vous supprimez le compte d’utilisateur dans Sophos Mobile, le compte Google géré de l’utilisateur n’est pas supprimé. Vous pouvez gérer les comptes pour votre Domaine Google géré à partir de la console d’administration Google. Si nécessaire, vous pouvez créer des comptes à partir de votre répertoire LDAP à l’aide de Google Apps Directory Sync (GADS). Information associée Console d’administration Google (lien externe) À propos de Google Apps Directory Sync (lien externe) 19.6 Verrouillage du profil professionnel Vous pouvez verrouiller ou déverrouiller le profil professionnel dans Sophos Mobile Admin. Lorsque le profil professionnel est verrouillé, toutes les apps du profil professionnel ne sont plus disponibles et aucune notification ne s’affiche pour ces apps. 364 Copyright © Sophos Limited Sophos Mobile Restriction Ces instructions ne s’appliquent pas aux appareils Android Enterprise entièrement gérés. 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils. 2. Cliquez sur le triangle bleu correspondant à l’appareil sur lequel vous voulez verrouiller ou déverrouiller le profil professionnel et cliquez sur Afficher. 3. Cliquez sur ActionsDéfinir l’accès au conteneur Sophos. 4. Sélectionnez les autorisations d’accès. • Refuser : le profil professionnel est verrouillé. Les utilisateurs ne peuvent plus accéder aux apps ou données depuis le profil professionnel. • Autoriser : le profil professionnel est déverrouillé. • Mode Auto : le profil professionnel est verrouillé si l’appareil enfreint une règle de conformité contenant l’action Verrouiller le conteneur. Il s’agit du comportement par défaut si vous n’avez pas défini d’autorisation d’accès. 5. Cliquez sur Oui. L’appareil est synchronisé avec le serveur Sophos Mobile. Une fois l’opération terminée, le paramètre est appliqué à l’appareil. Conseil Pour verrouiller tout l’appareil et non pas le profil professionnel uniquement, veuillez utiliser Actions > Verrouiller. Conseil Les utilisateurs peuvent verrouiller le profil professionnel à partir du panneau Paramètres rapides de l’appareil (par exemple ; lorsqu’ils sont en congés). 19.7 Suppression du profil professionnel de l’appareil Restriction Ces instructions ne s’appliquent pas aux appareils Android Enterprise entièrement gérés. Vous pouvez supprimer le profil professionnel dans Sophos Mobile Admin pour supprimer les données professionnelles de l’appareil en cas de perte ou de vol. Lorsque vous supprimez le profil professionnel de l’appareil, toutes les apps installées dans le profil professionnel, notamment l’app Sophos Mobile Control, sont également supprimées. Dans Sophos Mobile Admin, l’appareil apparaît sous l’état Désinscrit. 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils. 2. Cliquez sur le triangle bleu correspondant à l’appareil sur lequel vous voulez supprimer le profil professionnel et cliquez sur Afficher. 3. Cliquez sur Actions > Réinitialiser le profil professionnel Android. Une tâche de suppression du profil professionnel est créée et transférée à l’appareil. Copyright © Sophos Limited 365 Sophos Mobile Remarque Si l’utilisateur a déjà supprimé le profil professionnel manuellement, la tâche échoue car l’appareil ne peut plus la recevoir. Pour recréer le profil professionnel, l’utilisateur doit recommencer la procédure d’inscription dans le Portail libre-service. 19.8 Suppression du profil professionnel par l’utilisateur Il se peut que l’utilisateur supprime le profil professionnel de son appareil soit accidentellement soit intentionnellement. Sophos Mobile n’est pas en mesure de détecter si la suppression est accidentelle ou intentionnelle. L’appareil continue d’apparaître sous l’état Gestion du profil professionnel Android Enterprise. Une fois que l’utilisateur a supprimé le profil professionnel, l’appareil ne peut plus se synchroniser avec le serveur Sophos Mobile. Conseil Vous pouvez utiliser le rapport Appareils non synchronisés au cours des 7 derniers jours pour identifier les appareils potentiellement affectés. Si le profil professionnel a été supprimé accidentellement, il peut être réinscrit de la manière suivante : 1. Vous supprimez l’appareil de Sophos Mobile. 2. L’utilisateur recommence l’inscription de l’appareil dans le Portail libre-service. 19.9 Protection contre la réinitialisation aux paramètres d’usine Android La protection contre la réinitialisation aux paramètres d’usine (FRP) est une fonction de sécurité Android qui empêche l’accès non autorisé à l’appareil après réinitialisation. Restriction Ces instructions s’appliquent uniquement aux appareils Android Enterprise entièrement gérés. Lorsqu’un compte Google est créé sur un appareil, les codes d’accès du compte sont nécessaires pour déverrouiller l’appareil après la réinitialisation à ses paramètres d’usine. Les appareils Android Enterprise entièrement gérés ne sont pas protégés par défaut par la fonction FRP car il n’y a pas de compte Google sur l’appareil. Pour utiliser FRP sur ces appareils, configurez un ou plusieurs comptes Google à assigner à tous vos appareils. Lorsqu’un appareil est réinitialisé et que la fonction FRP est activée, il pourra uniquement être déverrouillé par l’un de ces comptes. Lorsque vous avez configuré FRP, les appareils sont protégés comme suit : • 366 Réinitialisation locale : Copyright © Sophos Limited Sophos Mobile Lorsque l’appareil est réinitialisé dans l’appli Paramètres ou en appuyant sur les boutons de l’appareil, la fonction FRP est activée par défaut. Pour changer ce comportement sur chaque appareil, utilisez l’action de l’appareil Définir la protection contre la réinitialisation aux paramètres d’usine. • Réinitialisation à distance : Lorsque l’appareil est réinitialisé à distance dans Sophos Mobile Admin, la fonction FRP est désactivée par défaut. Pour procéder à la réinitialisation à distance avec la fonction FRP activée, sélectionnez Activer la protection contre la réinitialisation aux paramètres d’usine dans la boîte de dialogue de confirmation de réinitialisation. 19.9.1 Configuration de la protection contre la réinitialisation aux paramètres d’usine Android Restriction Ces instructions s’appliquent uniquement aux appareils Android Enterprise entièrement gérés. La Protection contre la réinitialisation aux paramètres d’usine ou FRP (Factory Reset Protection) est une fonction de sécurité d’Android qui permet à un appareil d’être réinitialisé à ses paramètres d’usine uniquement lorsque les codes d’accès du compte Google sont connus. Il est possible de configurer les comptes Google pour leur permettre de déverrouiller tout appareil Android Enterprise entièrement géré réinitialisé avec la fonction FRP activée. Préparez vos comptes Google : 1. Créez un ou plusieurs comptes Google que vous voulez utiliser pour la protection contre la réinitialisation aux paramètres d’usine ou utilisez des comptes existants. Attention Assurez-vous de partager les codes d’accès du compte avec votre organisation. Ils sont nécessaires pour déverrouiller un appareil réinitialisé à ses paramètres d’usine lorsque la fonction de protection contre la réinitialisation aux paramètres d’usine était activée. 2. Récupérez les identifiants Google internes de vos comptes. a) Rendez-vous sur https://accounts.google.com/Login b) Connectez-vous au compte Google à utiliser pour la protection contre la réinitialisation aux paramètres d’usine (FRP). Si vous êtes déjà connecté à Google avec un autre compte, veuillez d’abord vous déconnecter. c) Rendez-vous sur https://developers.google.com/people/api/rest/v1/people/get d) Dans la section Try this API, saisissez people/me dans le champ resourceName et names dans le champ personFields. e) Sélectionnez Execute. Ceci permet d’appeller l'API Google. Dans la réponse, l’identifiant Google interne est le nombre à 21 chiffres apparaissant sur une ligne comme suit : "resourceName": "people/123456789012345678901" Configurez vos comptes Google dans Sophos Mobile Admin: Copyright © Sophos Limited 367 Sophos Mobile 3. Sur le menu latéral, sous PARAMÈTRES, sélectionnez Configuration > Configuration d’Android puis l’onglet Android Enterprise. 4. Sous Protection contre la réinitialisation aux paramètres d’usine, sélectionnez Utiliser FRP. 5. Dans Identifiants Google+, saisissez les identifiants Google internes des comptes à utiliser pour la protection contre la réinitialisation aux paramètres d’usine. 6. Sélectionnez Enregistrer. La fonction FRP est activée pour tous vos appareils entièrement gérés Android Enterprise. Voici ce qui se produire à la prochaine synchronisation d’un appareil avec le serveur Sophos Mobile. Attention Si les identifiants Google internes saisis dans Sophos Mobile Admin sont incorrects ou en cas d’oubli des codes d’accès des comptes Google, les appareils deviennent inutilisables lorsque vous restaurez leurs paramètres d’usine si la protection contre la réinitialisation aux paramètres d’usine est activée. 19.10 Applis de la boutique Google Play d’entreprise Google Play d’entreprise est la boutique d’applis des appareils Android Enterprise. Les applis suivantes peuvent être installées à partir de Google Play d’entreprise : • Applis publiques que vous avez approuvées pour votre organisation • Raccourcis du site Web (applis Web) que vous avez créés • Applis privées Tâches connexes Validation d’une app Google Play d’entreprise (page 368) Pour mettre une appli à disposition de vos utilisateurs, vous devez l’approuver. Ajout d’une appli Web (page 372) Vous pouvez ajouter des raccourcis de sites Web à Google Play d’entreprise en tant qu’applis Web. Ajout d’une appli privée (page 373) Vous pouvez ajouter des applis privées à Google Play d’entreprise. 19.10.1 Validation d’une app Google Play d’entreprise Pour mettre une appli à disposition de vos utilisateurs, vous devez l’approuver. Pour approuver une appli : 1. Sur le menu latéral, sous CONFIGURATION, sélectionnez Applis > Android. 2. Sur la page Applis approuvées, sélectionnez Ouvrir Google Play. Vous allez peut-être devoir sélectionner Applis approuvées pour ouvrir la page Applis approuvées. 3. Dans la fenêtre Google Play d’entreprise, recherchez l’appli et sélectionnez Approuver. 4. Si l’appli requiert des autorisations, acceptez-les au nom de votre organisation. 5. Fermez la fenêtre Google Play d’entreprise. 368 Copyright © Sophos Limited Sophos Mobile 6. Cliquez sur Récupérer la liste d’applis à partir de Google pour synchroniser les modifications que vous avez effectuées dans Google Play d’entreprise. 7. Patientez quelques secondes, puis rouvrez la page. Une fois la synchronisation terminée, l’appli apparaît dans la liste. 8. Sélectionnez l’appli. 9. Configurez les paramètres de l’app de manière adéquate. Vous pouvez configurer jusqu’à 30 catégories par page et jusqu’à 100 applis par catégorie. 10. Sélectionnez Enregistrer. 11. Sélectionnez Envoyer les paramètres de l’appli à Google pour mettre les changements à la disposition de vos utilisateurs. Suite à la synchronisation des données sur le serveur Google, l’app est disponible dans la boutique Google Play gérée. Rendez-vous sur le site Web de Google Play d’entreprise pour effectuer les tâches suivantes : • Accepter les autorisations supplémentaires exigées par la mise à jour d’une appli. • Acheter les licences des applis payantes. Référence associée Paramètres des apps de la boutique Google Play gérée (page 370) Cette section affiche les paramètres des apps de la boutique Google Play gérée que vous avez approuvée pour votre entreprise. Information associée Site Web de Google Play d’entreprise (lien externe) Aide de Google Play géré (lien externe) 19.10.2 Annulation de la validation d’une app Google Play d’entreprise Condition préalable : Vous supprimez l’app de toutes les séries de tâches Android. 1. Sur le menu latéral, sous CONFIGURATION, sélectionnez Applis > Android. 2. Sur la page Applis approuvées, cliquez sur le triangle bleu correspondant à l’appli dont vous souhaitez annuler la validation et cliquez sur Afficher. Vous allez peut-être devoir sélectionner Applis approuvées pour ouvrir la page Applis approuvées. 3. Cliquez sur Désapprouver. Conseil Vous pouvez également annuler la validation des apps dans Google Play d’entreprise. 19.10.3 Modification de l’appli de la boutique Google Play d’entreprise Il est possible de modifier l’emplacement d’une appli et de la configurer. Vous pouvez également définir la page et la catégorie d’une appli dans Google Play d’entreprise. Certaines applis permettent de configurer d’autres paramètres. Copyright © Sophos Limited 369 Sophos Mobile Condition préalable : Vous avez approuvé l’appli dans Google Play d’entreprise. Pour modifier l’appli : 1. Sur le menu latéral, sous CONFIGURATION, sélectionnez Applis > Android. 2. Sur la page Applis approuvées, sélectionnez l’appli à modifier. Vous allez peut-être devoir sélectionner Applis approuvées pour ouvrir la page Applis approuvées. 3. Configurez les paramètres de l’app de manière adéquate. Vous pouvez configurer jusqu’à 30 catégories par page et jusqu’à 100 applis par catégorie. 4. Sélectionnez Enregistrer. 5. Sélectionnez Envoyer les paramètres de l’appli à Google pour mettre les changements à la disposition de vos utilisateurs. Concepts connexes Agencement de Google Play gérée (page 375) Tâches connexes Validation d’une app Google Play d’entreprise (page 368) Pour mettre une appli à disposition de vos utilisateurs, vous devez l’approuver. Référence associée Paramètres des apps de la boutique Google Play gérée (page 370) Cette section affiche les paramètres des apps de la boutique Google Play gérée que vous avez approuvée pour votre entreprise. 19.10.4 Paramètres des apps de la boutique Google Play gérée Cette section affiche les paramètres des apps de la boutique Google Play gérée que vous avez approuvée pour votre entreprise. 370 Paramètre/Champ Description Titre Le nom de l’app externe affiché dans Google Play géré. Identifiant produit Le nom interne de l’app. Tarifs Le type de tarif : • Gratuit • Gratuit avec les achats intégrés • Payé Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Type de distribution • Public (hébergé par Google) : app est disponible au grand public dans Google Play géré. • Privé (hébergé par Google) : app que vous avez développée et qui est uniquement accessible aux utilisateurs appartenant à votre domaine Google géré. Le fichier APK a été téléchargé dans Google Play géré. • Privé (auto-hébergé) : semblable à Privé (hébergé par Google) sauf que le fichier APK est installé à partir de votre serveur local. Google Play géré est uniquement utilisé pour gérer la distribution. URL de Google Play d’entreprise, URL de Google Play L’adresse Web de l’app dans Google Play géré et dans Google Play. Cliquez sur le lien pour ouvrir cette page dans une nouvelle fenêtre de navigation. Page La page sur laquelle l’app apparaîtra dans l’app Google Play de l’utilisateur. Les valeurs sont préconfigurées par Sophos Mobile et ne peuvent pas être modifiées. Catégorie d’appli Le nom d’une catégorie sous laquelle l’app apparaîtra dans l’app Google Play Store de l’utilisateur. Lors de la saisie, une liste de catégories correspondantes s’affiche. Si vous saisissez une catégorie qui n’existe pas, celle-ci est créée. Vous pouvez configurer jusqu’à 30 catégories par page et jusqu’à 100 applis par catégorie. Licences Cliquez sur Afficher à côte des Licences pour voir ou modifier le nombre de licences utilisées ou restantes pour l’appli ainsi que les utilisateurs auxquels est assignée une licence. Ce paramètre est uniquement disponible pour les apps payantes. Utiliser la configuration gérée Sélectionnez cette option pour mettre la configuration gérée à disposition de vos utilisateurs. Ceci sera appliqué le prochaine fois que vous enverrez les paramètres de l’appli à Google. Copyright © Sophos Limited 371 Sophos Mobile Paramètre/Champ Description Configuration gérée Sélectionnez Configuration gérée pour voir ou modifier les paramètres spécifiques à l’appli. Retrouvez plus de renseignements sur les paramètres disponibles dans la documentation fournie par le développeur de l’app. Ce paramètre est uniquement disponible si l’app offre la configuration gérée. Conseil Vous pouvez utiliser les espaces réservés %_USERNAME_% et %_EMAILADDRESS_% et les remplacer par le nom et l’adresse électronique de l’utilisateur. 19.10.5 Ajout d’une appli Web Vous pouvez ajouter des raccourcis de sites Web à Google Play d’entreprise en tant qu’applis Web. Une appli Web est une appli Android que vous créez à l’aide d’une URL de démarrage, d’une icône et d’un titre. Lorsqu’un utilisateur ouvre une appli Web, l’URL de démarrage s’ouvre dans Chrome. L’utilisateur peut ensuite accéder à d’autres URL. Il est possible de configurer si la barre d’adresse Chrome et les boutons de navigation de l’appareil sont visibles. Pour ajouter une appli Web 1. Sur le menu latéral, sous CONFIGURATION, sélectionnez Applis > Android. 2. Sur la page Applis approuvées, sélectionnez Ouvrir Google Play. Vous allez peut-être devoir sélectionner Applis approuvées pour ouvrir la page Applis approuvées. 3. Dans la fenêtre Google Play d’entreprise, sélectionnez Applis Web dans la barre latérale. 4. Sélectionnez l’icône Plus, puis configurez les paramètres de l’appli. 5. Sélectionnez Créer. L’appli peut prendre jusqu’à 10 minutes avant d’être disponible dans Google Play d’entreprise. 6. Fermez la fenêtre Google Play d’entreprise. 7. Cliquez sur Récupérer la liste d’applis à partir de Google pour synchroniser les modifications que vous avez effectuées dans Google Play d’entreprise. 8. Patientez quelques secondes, puis rouvrez la page. Une fois la synchronisation terminée, l’appli apparaît dans la liste. 9. Sélectionnez l’appli. 10. Sur la page Modifier l’appli approuvée, configurez la page et l’emplacement de l’appli dans le Google Play Store de vos utilisateurs. Vous pouvez configurer jusqu’à 30 catégories par page et jusqu’à 100 applis par catégorie. 11. Sélectionnez Enregistrer. 12. Sélectionnez Envoyer les paramètres de l’appli à Google pour mettre les changements à la disposition de vos utilisateurs. 372 Copyright © Sophos Limited Sophos Mobile 19.10.6 Ajout d’une appli privée Vous pouvez ajouter des applis privées à Google Play d’entreprise. Une appli privée est une appli Android développée par votre organisation. Lorsque vous ajoutez une appli privée à Google Play d’entreprise, elle n’est disponible que pour les utilisateurs de votre organisation. Attention Lorsque vous ajoutez une appli privée, vous ne pouvez pas l’ajouter à un autre compte Google Play. Vous ne pouvez pas la publier en tant qu’appli publique, même si vous supprimez l’appli privée ultérieurement. Pour ajouter une appli privée : 1. Sur le menu latéral, sous CONFIGURATION, sélectionnez Applis > Android. 2. Sur la page Applis approuvées, sélectionnez Ouvrir Google Play. Vous allez peut-être devoir sélectionner Applis approuvées pour ouvrir la page Applis approuvées. 3. Dans la fenêtre Google Play d’entreprise, sélectionnez Applis privées dans la barre latérale. 4. Sélectionnez l’icône Plus, puis configurez les paramètres de l’appli. 5. Sélectionnez Créer. L’appli peut prendre jusqu’à 10 minutes avant d’être disponible dans Google Play d’entreprise. 6. Fermez la fenêtre Google Play d’entreprise. 7. Cliquez sur Récupérer la liste d’applis à partir de Google pour synchroniser les modifications que vous avez effectuées dans Google Play d’entreprise. 8. Patientez quelques secondes, puis rouvrez la page. Une fois la synchronisation terminée, l’appli apparaît dans la liste. 9. Sélectionnez l’appli. 10. Sur la page Modifier l’appli approuvée, configurez la page et l’emplacement de l’appli dans le Google Play Store de vos utilisateurs. Vous pouvez configurer jusqu’à 30 catégories par page et jusqu’à 100 applis par catégorie. 11. Sélectionnez Enregistrer. 12. Sélectionnez Envoyer les paramètres de l’appli à Google pour mettre les changements à la disposition de vos utilisateurs. Retrouvez plus de renseignements sur les applis privées dans l’aide de Google. Information associée Aide pour Google Play d’entreprise : Publier et gérer des applis privées 19.10.7 Installer l’app Google Play d’entreprise Après avoir approuvé une app de la boutique Google Play gérée et avoir assigné les licences de l’app à vos utilisateurs, vous pouvez installer l’app sur les appareils ou groupes d’appareils sélectionnés. Copyright © Sophos Limited 373 Sophos Mobile Remarque Les utilisateurs peuvent installer les apps à l’aide de l’app de la boutique Google Play gérée. 1. Sur le menu latéral, sous CONFIGURATION, sélectionnez Applis > Android. 2. Sur la page Applis approuvées, cliquez sur le triangle bleu correspondant à l’appli de votre choix et cliquez sur Installer. Vous allez peut-être devoir sélectionner Applis approuvées pour ouvrir la page Applis approuvées. 3. Sélectionnez les appareils sur lesquels vous voulez installer l’appli. Procédez de l’une des manières suivantes : • Sélectionnez chaque appareil individuellement. • Cliquez sur Sélectionner les groupes d’appareils et sélectionnez un ou plusieurs groupes d’appareils. 4. Sur la page Définir la date d’exécution, indiquez la date à laquelle l’app sera installée : • Sélectionnez Maintenant pour une exécution immédiate. • Sélectionnez Date et saisissez une date et une heure pour l’exécution planifiée. 5. Cliquez sur Terminer. La tâche d’installation est transmise au service Google. Google gère ensuite l’installation de l’app sur l’appareil. Sur la page Vue des tâches, l’état de la tâche indique Succès lorsqu’elle a bien été transmise à Google. 19.10.8 Désinstallation d’une app de la boutique Google Play gérée Vous pouvez désinstaller une app de la boutique Google Play gérée des appareils ou groupes d’appareils sélectionnés. 1. Sur le menu latéral, sous CONFIGURATION, sélectionnez Applis > Android. 2. Sur la page Applis approuvées, cliquez sur Désinstaller. Vous allez peut-être devoir sélectionner Applis approuvées pour ouvrir la page Applis approuvées. 3. Sélectionnez les appareils desquels vous voulez désinstaller l’app. Procédez de l’une des manières suivantes : • Sélectionnez chaque appareil individuellement. • Cliquez sur Sélectionner les groupes d’appareils et sélectionnez un ou plusieurs groupes d’appareils. 4. Sur la page Sélectionner une app, sélectionnez l’app requise. 5. Sur la page Définir la date d’exécution, indiquez la date à laquelle l’app sera désinstallée : • Sélectionnez Maintenant pour une exécution immédiate. • Sélectionnez Date et saisissez une date et une heure pour l’exécution planifiée. 6. Cliquez sur Terminer. Une tâche de désinstallation de l’app es transmise au service Google. Google gère ensuite la désinstallation de l’app de l’appareil. Sur la page Vue des tâches, l’état de la tâche indique Succès lorsqu’elle a bien été transmise à Google. 374 Copyright © Sophos Limited Sophos Mobile Conseil Vous pouvez également choisir de suivre la procédure de désinstallation de l’app d’un seul appareil décrite ci-dessous : Ouvrez la page Affichage de l’appareil et dans l’onglet Apps installées, cliquez sur la corbeille correspondant au nom de l’app. 19.10.9 Licences pour les applis de la boutique Google Play gérée Pour les applis payantes que vous avez approuvées dans la boutique Google Play gérée, veuillez assigner une licence d’app à un utilisateur afin que cette app soit disponible à l’utilisateur. Configurez l’assignation de la licence sur la page Modifier l’appli approuvée. Retrouvez plus de renseignements à la section Modification de l’appli de la boutique Google Play d’entreprise (page 369). Remarque • Vous n’avez pas besoin d’assigner une licence en cas d’installation d’une app lancée par l’administrateur. Lorsque vous installez une app conformément aux instructions de la section Installer l’app Google Play d’entreprise (page 373), une licence issue du groupe de licences que vous avez achetées est automatiquement assignée aux utilisateurs. • Vous n’avez pas besoin d’assigner une licence pour les applis gratuites que vous avez approuvées dans la boutique Google Play gérée. Les applis gratuites sont automatiquement mises à disposition de tous vos utilisateurs suite à la synchronisation de la liste des applis entre Google et Sophos Mobile. 19.10.10 Agencement de Google Play gérée Vous pouvez définir l’emplacement des applis de la boutique Google Play gérée dans l’app Play Store des utilisateurs. Les éléments d’agencement configurables sont les Pages et les Catégories. • Les Pages sont des vues nommées défilant verticalement. Les pages et leurs noms sont prédéfinis par Sophos Mobile. • Les Catégories sont des sous-sections nommées d’une page défilant horizontalement que vous définissez. Les catégories sont également appelées clusters dans la documentation Google. • Chaque catégorie est spécifique à une certaine page et chaque app apparaît sous une certaine catégorie. • Les pages ne contenant aucune app ne sont pas affichées. • Vous pouvez configurer jusqu’à 30 catégories par page et jusqu’à 100 applis par catégorie. Vous définissez la page et, facultativement, la catégorie pour chaque app affichée dans l’app Google Play Store pour les entreprises sur l’appareil de l’utilisateur. Par défaut, les applis sont placées sur une page nommée Autre. Vous configurez l’agencement de la page de la boutique sur la page Modifier l’appli approuvée. Retrouvez plus de renseignements à la section Modification de l’appli de la boutique Google Play d’entreprise (page 369). Copyright © Sophos Limited 375 Sophos Mobile 19.10.11 Apps configurables Une app de la boutique Google Play gérée peut offrir une configuration gérée. Cette fonction est incluse par le développeur d’applis et vous permet de configurer les paramètres personnalisés de l’app. Si une app prend en charge la configuration gérée, une note Cette application propose la configuration gérée est affichée sur la page de l’app dans Google Play géré. Vous configurez les paramètres de l’app sur la page Modifier l’appli approuvée. Retrouvez plus de renseignements à la section Modification de l’appli de la boutique Google Play d’entreprise (page 369). 376 Copyright © Sophos Limited Sophos Mobile 20 Mobile Threat Defense avec Sophos Intercept X for Mobile Sophos Intercept X for Mobile est une solution Mobile Threat Defense (MTD) pour les appareils Android et iOS. Remarque Cette fonction nécessite une licence de type Mobile Advanced. La gestion de Sophos Intercept X for Mobile avec Sophos Mobile vous permet d’effectuer les tâches suivantes : • Assigner une stratégie Mobile Threat Defense à l’appareil pour configurer Sophos Intercept X for Mobile. • Assigner une stratégie de conformité à l’appareil pour surveiller son état de conformité. • Effectuer un contrôle antimalware sur les appareils Android. Conseil Vous pouvez également gérer Sophos Intercept X for Mobile sur les appareils inscrits à un logiciel EMM (Enterprise Mobility Management) tiers. Le logiciel EMM tiers doit être compatible avec les paramètres de l’app. Concepts connexes Configuration des stratégies Mobile Threat Defense pour Android (page 164) Une stratégie Mobile Threat Defense vous permet de configurer Sophos Intercept X for Mobile lorsqu’elle est inscrite à Sophos Mobile. Configuration des stratégies Mobile Threat Defense pour iOS (page 244) Une stratégie Mobile Threat Defense vous permet de configurer Sophos Intercept X for Mobile lorsqu’elle est inscrite à Sophos Mobile. Tâches connexes Contrôle de l’appareil (page 61) Utilisation de Sophos Intercept X for Mobile avec un logiciel EMM tiers (page 379) Vous pouvez gérer Sophos Intercept X for Mobile sur les appareils inscrits à un programme EMM (Enterprise Mobility Management) tiers. Référence associée Règles de conformité pour Mobile Threat Defense (page 378) Copyright © Sophos Limited 377 Sophos Mobile Vous pouvez configurer des règles de conformité pour les appareils sur lesquels Sophos Intercept X for Mobile est géré par Sophos Mobile. 20.1 Règles de conformité pour Mobile Threat Defense Vous pouvez configurer des règles de conformité pour les appareils sur lesquels Sophos Intercept X for Mobile est géré par Sophos Mobile. 378 Règle Description Plates-formes Administration obligatoire Définit l’action qui sera effectuée lorsque l’appareil ne sera plus administré. Android Accès à la racine autorisé Autorisez ou non les appareils avec les droits root. Android Autoriser le débridage Autorisez ou non les appareils débridés. iOS Version minimum du système d’exploitation Sélectionnez la version la plus ancienne du système d’exploitation autorisée. Android Version maximale du système d’exploitation Sélectionnez la version la plus récente du système d’exploitation autorisée. Android Intervalle maximum entre les synchronisations d’Intercept X for Mobile L’intervalle maximal autorisé auquel Sophos Intercept X for Mobile doit se synchroniser avec Sophos Mobile. Android Intervalle maximum entre les contrôles d’Intercept X for Mobile Intervalle maximal autorisé pour les contrôles antimalware. Android Les autorisations pour Intercept X for Mobile peuvent être refusées Sélectionnez si l’appareil devient non conforme si l’utilisateur déchiffre les autorisations d’application pour Sophos Intercept X for Mobile. Android Applis malveillantes autorisées Sélectionnez si les applis malveillantes détectées par Sophos Intercept X for Mobile sont autorisées. Android Applis suspectes autorisées Sélectionnez si les applis suspectes détectées par Sophos Intercept X for Mobile sont autorisées. Android iOS iOS iOS iOS Copyright © Sophos Limited Sophos Mobile Règle Description Plates-formes Applis potentiellement indésirables autorisées Sélectionnez si les applis potentiellement indésirables (PUA) détectées par Sophos Intercept X for Mobile sont autorisées. Android 20.2 Utilisation de Sophos Intercept X for Mobile avec un logiciel EMM tiers Vous pouvez gérer Sophos Intercept X for Mobile sur les appareils inscrits à un programme EMM (Enterprise Mobility Management) tiers. Dans Sophos Mobile, vous générez un code de connexion contenant les détails de l’inscription. Dans le programme EMM tiers, saisissez ce code de connexion et d’autres options dans la configuration gérée de Sophos Intercept X for Mobile. Lorsque le programme EMM tiers installe l’appli, il l’inscrit automatiquement à Sophos Mobile. Remarque Pour Android, l’appareil doit être inscrit sous le mode Android Enterprise. 1. Sur le menu latéral, sous PARAMÈTRES, sélectionnez Configuration > Configuration de Sophos puis l’onglet EMM tiers. 2. Sélectionnez Générer le code de connexion. Le code contient toutes les informations utiles requises par Sophos Intercept X for Mobile pour s’inscrire à Sophos Mobile. 3. Configurez les paramètres suivants : Paramètre Description Propriétaire Confirmez si les appareils appartiennent à votre organisation (Professionnel) ou non (Personnel). Groupe d’appareils Le groupe d’appareils Sophos Mobile auquel les appareils sont assignés. Stratégie Mobile Threat Defense (Android) Facultatif : La stratégie Sophos Mobile pour Sophos Intercept X for Mobile sur les appareils Android. Stratégie Mobile Threat Defense (iOS) Facultatif : La stratégie Sophos Mobile pour Sophos Intercept X for Mobile sur les iPhones et iPads. 4. Sélectionnez Enregistrer. 5. Sélectionnez Copier à côté de Code de connexion pour copier la valeur dans le bloc-notes. Vous avez besoin du code de connexion pour configurer le programme EMM tiers. 6. Ajoutez Sophos Intercept X for Mobile au programme EMM tiers. 7. Dans le programme EMM tiers, modifiez la configuration gérée de l’appli. Copyright © Sophos Limited 379 Sophos Mobile Pour l’appli Android, les paramètres sont donnés et il vous suffit juste de saisir les valeurs. Pour l’appli iOS, saisissez le nom, le type (chaîne ou booléen) et la valeur de chaque paramètre. Tableau 1 : Paramètres de l’appli Android Sophos Intercept X for Mobile Paramètre Description Email Facultatif : l’adresse email que vous voulez assigner à l’appareil dans Sophos Mobile. Code de connexion Le code de connexion copié depuis Sophos Mobile. ID de l’appareil L’identifiant unique de l’appareil utilisé par l’application EMM tierce. La valeur est utilisée pour relier l’appareil créé dans Sophos Mobile à l’appareil dans le programme EMM tiers. Device name Facultatif : Le nom de l’appareil utilisé par le programme EMM tiers. CLUF désactivé Facultatif : Le Contrat de licence de l’utilisateur final (CLUF) n’est pas affiché au démarrage de l’appli. Connecter à Intune Facultatif : L’appli démarre automatiquement l’assistant de connexion à Intune. Tableau 2 : Paramètres de l’appli iOS Sophos Intercept X for Mobile Paramètre Description email Facultatif : l’adresse email que vous voulez assigner à l’appareil dans Sophos Mobile. (Chaîne) smcData Le code de connexion copié depuis Sophos Mobile. (Chaîne) deviceId (Chaîne) deviceName (Chaîne) macAddress (Chaîne) L’identifiant unique de l’appareil utilisé par l’application EMM tierce. La valeur est utilisée pour relier l’appareil créé dans Sophos Mobile à l’appareil dans le programme EMM tiers. Facultatif : Le nom de l’appareil utilisé par le programme EMM tiers. Facultatif : l’adresse MAC de l’appareil. La valeur est utilisée pour identifier l’appareil lorsqu’il se connecte à un point d’accès Wi-Fi Sophos. Obligatoire pour Synchronized Security. eulaDisabled (Booléen) 380 Facultatif : Le Contrat de licence de l’utilisateur final (CLUF) n’est pas affiché au démarrage de l’appli. Copyright © Sophos Limited Sophos Mobile Paramètre Description startIntuneConnection Facultatif : L’appli démarre automatiquement l’assistant de connexion à Intune. (Booléen) Retrouvez plus de renseignements sur la modification de la configuration gérée dans la documentation du programme EMM tiers. Conseil S’ils sont compatibles avec votre programme EMM tiers, nous vous conseillons d’utiliser des espaces réservés pour indiquer les propriétés de l’appareil et de l’utilisateur. 8. Installez Sophos Intercept X for Mobile via le programme EMM tiers. Au premier démarrage après l’installation, Sophos Intercept X for Mobile s’inscrit à Sophos Mobile. Vous pouvez gérer l’appli depuis la page Appareils dans Sophos Mobile Admin. Si nécessaire, vous pouvez révoquer le code de connexion pour bloquer de futures inscriptions d’appli. Copyright © Sophos Limited 381 Sophos Mobile 21 Protection d’app Intune Intune est un service de Microsoft permettant de gérer les appareils mobiles et les apps. La protection de l’app Intune vous permet de définir les limites d’utilisation par apps et de les assigner à vos utilisateurs. La protection de l’app Intune est basée sur l’identité de l’utilisateur et ne nécessite aucune gestion des appareils pour sécuriser vos données professionnelles. Elle est parfaitement adaptée aux programmes BYOD (Bring Your Own Device). Vous pouvez gérer vos stratégies de protection de l’app Intune dans Sophos Mobile Admin. Fonctions et conditions requises • Les appareils n’ont pas besoin d’être inscrits à Sophos Mobile. • Les stratégies de protection de l’app Intune peuvent être appliquées aux apps Office 365 et aux autres apps qui ont été intégrées à Intune App SDK. • Les stratégies sont uniquement appliquées lorsque les utilisateurs se connectent à une app avec leur compte professionnel. Aucune limite d’utilisation ne s’applique lorsqu’ils se connectent avec leur compte personnel. • Vous devez avoir un abonnement « Premium » à Azure Active Directory (AD). • Les utilisateurs doivent avoir une licence Intune assignée à leur compte Azure AD. • Pour l’app Microsoft Outlook, les utilisateurs doivent avoir une boîte de réception et une licence Office 365 Exchange Online associée à leur compte Azure AD. • Pour les apps Microsoft Word, Excel et PowerPoint, les utilisateurs doivent avoir une licence Office 365 Business ou Enterprise associée à leur compte Azure AD. Information associée Documentation Microsoft Intune (lien externe) Apps Microsoft Intune (lien externe) 21.1 Paramétrage de l’intégration de Microsoft Intune Pour gérer les stratégies de protection de l’app Intune dans Sophos Mobile Admin, vous devez inscrire Sophos Mobile en tant qu’application Microsoft Azure. Nous vous conseillons d’utiliser l’Inscription à Microsoft Azure. 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration de Sophos puis sur l’onglet Microsoft Azure. 2. Cliquez sur Assistant Inscription de Microsoft Azure. L’assistant vous guide tout au long de la procédure d’enregistrement dans le portail Microsoft Azure et dans Sophos Mobile Admin : a) Créez une application pour Sophos Mobile dans le portail Microsoft Azure. b) Saisissez l’ID de l’application dans Sophos Mobile. 382 Copyright © Sophos Limited Sophos Mobile c) Téléchargez le certificat du serveur Sophos Mobile sur votre application. d) Accordez les autorisations requises à votre application. L’assistant contient également une page pour configurer l’authentification fédérée. Suivez uniquement les étapes sur cette page si vous voulez utiliser l’authentification fédérée avec Azure Active Directory plutôt qu’avec la gestion des utilisateurs internes ou externes. Retrouvez plus de renseignements à la section Authentification fédérée (page 104). Lorsque vous avez terminé la procédure de création; une nouvelle entrée Stratégies > Protection d’appli Intune est créée dans le menu latéral de Sophos Mobile Admin. 21.2 Création d’une stratégie de protection de l’app Intune Une stratégie de protection de l’app Intune vous permet de limiter l’utilisation de données en fonction de l’identité de l’utilisateur. Ces limites s’appliquent uniquement lorsque l’app est utilisée dans un contexte professionnel, c’est-à-dire, qu’un utilisateur assigné a recours à un compte professionnel pour ouvrir une app. Veuillez créer des stratégies différentes pour les applis Android et iOS. 1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Stratégies > Protection d’appli Intune. 2. Confirmez le message de la boîte de dialogue afin d’être dirigé vers une page Microsoft et connectez-vous à votre compte d’administrateur de Microsoft Azure. Cette étape n’est pas nécessaire si vous vous êtes déjà connecté à Microsoft Azure au cours de la session Sophos Mobile Admin en cours. 3. Sur la page Stratégies - Protection d’appli Intune de Sophos Mobile Admin, cliquez sur Ajouter puis sur Stratégie Android ou Stratégie iOS. 4. Sur la page Modification de la stratégie, saisissez les paramètres requis. Retrouvez plus de renseignements aux sections Paramètres de la stratégie de protection de l’app Intune (Android) (page 385) et Paramètres de la stratégie de protection de l’app Intune (iOS) (page 389). 5. Sélectionnez Enregistrer. Vous pouvez voir la stratégie dans le portail Microsoft Azure. Vous devrez peut-être vous reconnecter au portail pour actualiser les informations affichées. Après avoir créé la stratégie de protection de l’app Intune, assignez-la aux applis et aux utilisateurs. Retrouvez plus de renseignements aux sections Assignation des apps à une stratégie de protection de l’app Intune (page 383) et Assignation des utilisateurs à une stratégie de protection de l’app Intune (page 384). 21.3 Assignation des apps à une stratégie de protection de l’app Intune Une stratégie de protection de l’app Intune s’applique uniquement aux apps auxquelles vous l’assignez. 1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Stratégies > Protection d’appli Intune. 2. Confirmez le message de la boîte de dialogue afin d’être dirigé vers une page Microsoft et connectez-vous à votre compte d’administrateur de Microsoft Azure. Copyright © Sophos Limited 383 Sophos Mobile Cette étape n’est pas nécessaire si vous vous êtes déjà connecté à Microsoft Azure au cours de la session Sophos Mobile Admin en cours. 3. Sur la page Stratégies - Protection d’appli Intune de Sophos Mobile Admin, cliquez sur le triangle bleu correspondant à la stratégie à laquelle vous souhaitez assigner les apps et cliquez sur Assigner les applis. 4. Sélectionnez les apps auxquelles vous voulez assigner la stratégie. Cette liste inclut toutes les apps Android ou iOS que vous avez ajoutées à votre compte Microsoft Intune dans le portail Microsoft Azure. 5. Sélectionnez Enregistrer. Vous pouvez voir l’assignation d’une app dans le portail Microsoft Azure. Vous devrez peut-être vous reconnecter au portail pour actualiser les informations affichées. 21.4 Assignation des utilisateurs à une stratégie de protection de l’app Intune Une stratégie de protection de l’app Intune s’applique uniquement à une app utilisée par un utilisateur assigné. Vous assignez les utilisateurs par groupes de sécurité Azure Active Directory (AD). 1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Stratégies > Protection d’appli Intune. 2. Confirmez le message de la boîte de dialogue afin d’être dirigé vers une page Microsoft et connectez-vous à votre compte d’administrateur de Microsoft Azure. Cette étape n’est pas nécessaire si vous vous êtes déjà connecté à Microsoft Azure au cours de la session Sophos Mobile Admin en cours. 3. Sur la page Stratégies - Protection d’appli Intune de Sophos Mobile Admin, cliquez sur le triangle bleu correspondant à la stratégie à laquelle vous souhaitez assigner les utilisateurs et cliquez sur Assigner les groupes d’utilisateurs. 4. Dans la liste des groupes de sécurité Azure AD disponibles, sélectionnez les groupes que vous voulez inclure ou exclure : • Inclure : La stratégie s’applique aux membres de ce groupe. • Exclure : La stratégie ne s’applique pas aux membres de ce groupe, même s’ils sont également membres d’un groupe Inclure. • Non assigné : La stratégie ne s’applique pas aux membres de ce groupe, sauf s’ils sont également membres d’un groupe Inclure. 5. Sélectionnez Enregistrer. Vous pouvez voir l’assignation d’un utilisateur dans le portail Microsoft Azure. Vous devrez peut-être vous reconnecter au portail pour actualiser les informations affichées. Remarque La stratégie s’applique uniquement aux utilisateurs avec une licence Intune assignée à leur compte Azure AD. Les autres utilisateurs des groupes de sécurité sélectionnés ne sont pas affectés. 384 Copyright © Sophos Limited Sophos Mobile 21.5 Paramètres de la stratégie de protection de l’app Intune (Android) Une stratégie Protection d’appli Intune vous permet de définir les limites d’utilisation des apps administrées par Intune. Cette section décrit les paramètres disponibles pour les apps Android. Paramètres généraux Paramètre/Champ Description Nom Le nom de la stratégie. Description Une brève description de la stratégie. Réadressage des données Sous Réadressage des données, vous pouvez configurer la manière dont les données sont autorisées à entrer ou à quitter l’app. Remarque Tous les paramètres s’appliquent à l’accès des utilisateurs aux données lorsqu’ils se connectent avec leur compte professionnel. Paramètre/Champ Description Interdire les sauvegardes Android L’app n’utilise pas le service de sauvegarde d’Android. Autoriser l’application à transférer les données vers d’autres applications Les apps vers lesquelles cette app peut transférer des données : Applis gérées par la stratégie : Autoriser uniquement le transfert vers d’autres apps gérées par une stratégie Intune. Toutes les applis : Autoriser le transfert vers les apps. Aucune appli : Ne pas autoriser le transfert vers les apps. Remarque • Il peut y avoir des apps et services vers lesquels le transfert de données est toujours autorisé. Retrouvez plus de renseignements sur l’exemption de transfert de données dans la documentation Microsoft Intune. • Copyright © Sophos Limited Le transfert de données vers une app instantanée Android est toujours bloqué. 385 Sophos Mobile Paramètre/Champ Description Autoriser l’application à recevoir des données d’autres applications Les apps à partir desquelles cette app peut recevoir des données : Applis gérées par la stratégie : Autoriser uniquement le transfert à partir d’autres apps gérées par une stratégie Intune. Toutes les applis : Autoriser le transfert à partir des apps. Aucune appli : Ne pas autoriser le transfert à partir des apps. Remarque • Il peut y avoir des apps et services à partir desquels le transfert de données est toujours autorisé. Retrouvez plus de renseignements sur l’exemption de transfert de données dans la documentation Microsoft Intune. • Le transfert de données à partir d’une app instantanée Android est toujours bloqué. Interdire « Enregistrer sous » L’option Enregistrer sous de l’app est désactivée. Emplacements de stockage Si Interdire « Enregistrer sous » est sélectionné, veuillez sélectionner les emplacements de stockage des données professionnelles. Les utilisateurs peuvent enregistrer sous les emplacements sélectionnés. Les autres emplacements sont bloqués. Restreindre les opérations couper, copier et coller avec d’autres applications Sélectionnez la manière dont les actions couper, copier et coller peuvent être utilisées avec l’app. Bloquées : Ne pas autoriser les opérations couper, copier et coller entre cette app et d’autres apps. Applis gérées par la stratégie : Autoriser les opérations couper, copier et coller entre cette app et d’autres apps gérées par la stratégie Intune. Gérées par stratégie avec collage : Autoriser les opérations couper ou copier entre cette app et d’autres apps gérées par la stratégie Intune. Autoriser le collage de données dans cette app à partir d’autres apps. Toutes les applis : Aucune restriction pour les opérations couper, copier et coller dans et à partir de cette app. 386 Afficher le contenu web uniquement dans Managed Browser Appliquer l’ouverture des liens vers le Web dans l’app Intune Managed Browser. Chiffrer les données de l’appli Les données sont chiffrées selon un programme de chiffrement défini par Intune. Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Désactiver la synchronisation des contacts L’app n’enregistre pas les données dans l’app Contacts. Désactiver l’impression L’impression est désactivée dans l’app. Accès Sous Accès, vous pouvez configurer la façon dont les utilisateurs vont accéder à l’app lorsqu’ils se connectent avec leur compte professionnel. Paramètre/Champ Description Demander le code confidentiel pour l’accès Un code confidentiel est nécessaire pour démarrer l’app. Les utilisateurs sont invités à créer un code confidentiel à leur première connexion à leur compte professionnel. Remarque Toutes les apps Android administrées par Intune partagent le même code confidentiel. Nombre de tentatives avant réinitialisation du code confidentiel Le nombre de tentatives ratées de connexion avant la réinitialisation du code confidentiel. Interdire l’utilisation de code confidentiel simple Les utilisateurs ne sont pas autorisés à utiliser des séquences simples telles que 1234 ou 1111 pour créer leur code confidentiel. Longueur du code confidentiel Le nombre minimum de chiffres dans une séquence de caractères du code confidentiel. Interdire l’empreinte digitale Les utilisateurs ne peuvent pas utiliser l’authentification par empreinte digitale à la place du code confidentiel pour l’authentification. Exiger des informations d’identification d’entreprise pour l’accès Les utilisateurs doivent saisir leur mot de passe professionnel plutôt qu’un code confidentiel. Empêcher l’exécution d’applis gérées sur des appareils débloqués (« rooted ») Sur les appareils débloqués (« rooted »), les utilisateurs ne peuvent pas utiliser l’app avec leur compte professionnel. Copyright © Sophos Limited Ce paramètre remplace toutes les autres conditions requises à l’utilisation d’un code confidentiel. 387 Sophos Mobile Paramètre/Champ Description Délai d’attente dépassé des conditions d’accès Le temps d’attente en minutes avant la nouvelle vérification des conditions d’accès (définies dans la stratégie) lorsque l’app est lancée. Remarque Une fois que les utilisateurs ont saisi leur code confidentiel, ils peuvent utiliser d’autres apps administrées par Intune sans avoir à saisir de nouveau leur code confidentiel pendant la période de temps paramétrée. Période de grâce hors connexion Le temps en minutes pendant lequel un appareil peut être hors connexion avant la nouvelle vérification des conditions d’accès de l’app. Dès que cette période a expiré, l’app demande à l’utilisateur de se connecter au réseau et de s’identifier à nouveau. Intervalle hors connexion avant que les données de l’appli soient effacées Le nombre de jours pendant lesquels un appareil peut être hors ligne avant que l’utilisateur ne soit obligé de se reconnecter au réseau et d’effectuer de nouveau la procédure d’authentification. En cas d’échec de l’authentification, les données de l’app professionnelle sont effacées. Remarque Pour l’app Microsoft Outlook, l’effacement des données de l’app entraîne également la suppression des données enregistrées sur l’app Contacts. Bloquer la capture d’écran et l’Assistant Android Les utilisateurs ne peuvent pas faire des captures d’écran ni utiliser l’Assistant Google. L’image de l’app est également voilé dans la liste des apps les plus récentes. Version Android minimale requise La version minimale d’Android requise pour utiliser l’app. Ne remplissez pas ce champ pour ignorer ce paramètre. Version minimale d’Android conseillée La version minimale d’Android conseillée pour utiliser l’app. Si l’appareil ne satisfait pas aux conditions requises, l’utilisateur reçoit une notification qu’il peut ignorer. Ne remplissez pas ce champ pour ignorer ce paramètre. 388 Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Version minimale de l’appli requise La version minimale de l’app requise pour utiliser l’app. Ne remplissez pas ce champ pour ignorer ce paramètre. Version minimale de l’appli conseillée La version minimale de l’app conseillée pour utiliser l’app. Si l’app installée sur l’appareil ne satisfait pas aux conditions requises, l’utilisateur reçoit une notification qu’il peut ignorer. Ne remplissez pas ce champ pour ignorer ce paramètre. Version minimale du correctif Android requise La version minimale du correctif de sécurité d’Android requise pour utiliser l’app. Saisissez la date du correctif au format JJ-MM-AAAA. Ne remplissez pas ce champ pour ignorer ce paramètre. Version minimale du correctif Android conseillée La version minimale du correctif de sécurité d’Android conseillée pour utiliser l’app. Saisissez la date du correctif au format JJ-MM-AAAA. Si l’appareil ne satisfait pas aux conditions requises, l’utilisateur reçoit une notification qu’il peut ignorer. Ne remplissez pas ce champ pour ignorer ce paramètre. 21.6 Paramètres de la stratégie de protection de l’app Intune (iOS) Une stratégie Protection d’appli Intune vous permet de définir les limites d’utilisation des apps administrées par Intune. Cette section décrit les paramètres disponibles pour les apps iOS. Paramètres généraux Paramètre/Champ Description Nom Le nom de la stratégie. Description Une brève description de la stratégie. Copyright © Sophos Limited 389 Sophos Mobile Réadressage des données Sous Réadressage des données, vous pouvez configurer la manière dont les données sont autorisées à entrer ou à quitter l’app. Remarque Tous les paramètres s’appliquent à l’accès des utilisateurs aux données lorsqu’ils se connectent avec leur compte professionnel. Paramètre/Champ Description Interdire les sauvegardes iTunes et iCloud L’app ne sauvegarde pas les données dans iTunes ou dans iCloud. Autoriser l’application à transférer les données vers d’autres applications Les apps vers lesquelles cette app peut transférer des données : Applis gérées par la stratégie : Autoriser uniquement le transfert vers d’autres apps gérées par une stratégie Intune. Toutes les applis : Autoriser le transfert vers les apps. Aucune appli : Ne pas autoriser le transfert vers les apps. Remarque • Il peut y avoir des apps et services vers lesquels le transfert de données est toujours autorisé. Retrouvez plus de renseignements sur l’exemption de transfert de données dans la documentation Microsoft Intune. • 390 Applis gérées par la stratégie et Aucune appli empêchent également Siri de rechercher des données dans l’app. Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Autoriser l’application à recevoir des données d’autres applications Les apps à partir desquelles cette app peut recevoir des données : Applis gérées par la stratégie : Autoriser uniquement le transfert à partir d’autres apps gérées par une stratégie Intune. Toutes les applis : Autoriser le transfert à partir des apps. Aucune appli : Ne pas autoriser le transfert à partir des apps. Remarque • Il peut y avoir des apps et services à partir desquels le transfert de données est toujours autorisé. Retrouvez plus de renseignements sur l’exemption de transfert de données dans la documentation Microsoft Intune. • Certaines apps ignorent ce paramètre et autorisent toutes les données entrantes. Interdire « Enregistrer sous » L’option Enregistrer sous de l’app est désactivée. Emplacements de stockage Si Interdire « Enregistrer sous » est sélectionné, veuillez sélectionner les emplacements de stockage des données professionnelles. Les utilisateurs peuvent enregistrer sous les emplacements sélectionnés. Les autres emplacements sont bloqués. Restreindre les opérations couper, copier et coller avec d’autres applications Sélectionnez la manière dont les actions couper, copier et coller peuvent être utilisées avec l’app. Bloquées : Ne pas autoriser les opérations couper, copier et coller entre cette app et d’autres apps. Applis gérées par la stratégie : Autoriser les opérations couper, copier et coller entre cette app et d’autres apps gérées par la stratégie Intune. Gérées par stratégie avec collage : Autoriser les opérations couper ou copier entre cette app et d’autres apps gérées par la stratégie Intune. Autoriser le collage de données dans cette app à partir d’autres apps. Toutes les applis : Aucune restriction pour les opérations couper, copier et coller dans et à partir de cette app. Afficher le contenu web uniquement dans Managed Browser Copyright © Sophos Limited Appliquer l’ouverture des liens vers le Web dans l’app Intune Managed Browser. 391 Sophos Mobile Paramètre/Champ Description Chiffrer les données de l’appli Sélectionner les données à chiffrer. Les données sont chiffrées à l’aide d’un programme de chiffrement des appareils fourni par iOS. Lorsque l’appareil est verrouillé : Les données d’app sont chiffrées lorsque l’appareil est verrouillé. Lorsque l’appareil est verrouillé et que des fichiers sont ouverts : Les données d’app sont chiffrées lorsque l’appareil est verrouillé à l’exception des données de fichiers ouverts. Au redémarrage de l’appareil : Les données d’app sont chiffrées lorsque l’appareil est redémarré et jusqu’à ce que l’appareil soit déverrouillé pour la première fois. Utiliser les paramètres de l’appareil : Les données d’app sont chiffrées en fonction des paramètres de l’appareil. Désactiver la synchronisation des contacts L’app n’enregistre pas les données dans l’app Contacts. Désactiver l’impression L’impression est désactivée dans l’app. Accès Sous Accès, vous pouvez configurer la façon dont les utilisateurs vont accéder à l’app lorsqu’ils se connectent avec leur compte professionnel. Paramètre/Champ Description Demander le code confidentiel pour l’accès Un code confidentiel est nécessaire pour démarrer l’app. Les utilisateurs sont invités à créer un code confidentiel à leur première connexion à leur compte professionnel. Remarque Toutes les apps iOS administrées par Intune issues du même éditeur partagent le même code confidentiel. 392 Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Type de mot de passe Le type de code confidentiel que les utilisateurs doivent définir : Numérique : Le code confidentiel contient uniquement des chiffres. Code secret : Le code confidentiel doit être composé d’au moins une lettre, un caractère spécial ou un symbole (disponible sur le clavier iOS en anglais). Remarque Certaines apps ne sont pas compatibles avec le type Code secret. Nombre de tentatives avant réinitialisation du code confidentiel Le nombre de tentatives ratées de connexion avant la réinitialisation du code confidentiel. Interdire l’utilisation de code confidentiel simple Les utilisateurs ne sont pas autorisés à utiliser des séquences simples telles que 1234 ou 1111 pour créer leur code confidentiel. Si Type de mot de passe est défini sur Code secret, le code confidentiel doit être composé d’au moins un chiffre, une lettre et un caractère spécial ou symbole. Longueur du code confidentiel Le nombre minimum de caractères dans une séquence de caractères du code confidentiel. Interdire l’empreinte digitale Les utilisateurs ne peuvent pas utiliser Touch ID à la place du code confidentiel pour l’authentification. Interdire la reconnaissance des visages Les utilisateurs ne peuvent pas utiliser Face ID à la place du code confidentiel pour l’authentification. Exiger des informations d’identification d’entreprise pour l’accès Les utilisateurs doivent saisir leur mot de passe professionnel plutôt qu’un code confidentiel. Empêcher l’exécution d’applis gérées sur des appareils débridés (« jailbroken ») Sur les appareils débridés (« jailbroken »), les utilisateurs ne peuvent pas utiliser l’app avec leur compte professionnel. Copyright © Sophos Limited Ce paramètre remplace toutes les autres conditions requises à l’utilisation d’un code confidentiel. 393 Sophos Mobile Paramètre/Champ Description Délai d’attente dépassé des conditions d’accès Le temps d’attente en minutes avant la nouvelle vérification des conditions d’accès (définies dans la stratégie) lorsque l’app est lancée. Remarque Une fois que les utilisateurs ont saisi leur code confidentiel, ils peuvent utiliser d’autres apps administrées par Intune issues du même éditeur sans avoir à saisir de nouveau leur code confidentiel pendant la période de temps paramétrée. Période de grâce hors connexion Le temps en minutes pendant lequel un appareil peut être hors connexion avant la nouvelle vérification des conditions d’accès de l’app. Dès que cette période a expiré, l’app demande à l’utilisateur de se connecter au réseau et de s’identifier à nouveau. Intervalle hors connexion avant que les données de l’appli soient effacées Le nombre de jours pendant lesquels un appareil peut être hors ligne avant que l’utilisateur ne soit obligé de se reconnecter au réseau et d’effectuer de nouveau la procédure d’authentification. En cas d’échec de l’authentification, les données de l’app professionnelle sont effacées. Remarque Pour l’app Microsoft Outlook, l’effacement des données de l’app entraîne également la suppression des données enregistrées sur l’app Contacts. Version minimale d’iOS requise La version minimale d’iOS requise pour utiliser l’app. Ne remplissez pas ce champ pour ignorer ce paramètre. Version minimale d’iOS conseillée La version minimale d’iOS conseillée pour utiliser l’app. Si l’appareil ne satisfait pas aux conditions requises, l’utilisateur reçoit une notification qu’il peut ignorer. Ne remplissez pas ce champ pour ignorer ce paramètre. Version minimale de l’appli requise La version minimale de l’app requise pour utiliser l’app. Ne remplissez pas ce champ pour ignorer ce paramètre. 394 Copyright © Sophos Limited Sophos Mobile Paramètre/Champ Description Version minimale de l’appli conseillée La version minimale de l’app conseillée pour utiliser l’app. Si l’app installée sur l’appareil ne satisfait pas aux conditions requises, l’utilisateur reçoit une notification qu’il peut ignorer. Ne remplissez pas ce champ pour ignorer ce paramètre. Version minimale requise de la version SDK de la stratégie de protection d’appli Intune Copyright © Sophos Limited La version minimale de la version SDK de la stratégie de protection d’app Intune requise sur l’app. Ne remplissez pas ce champ pour ignorer ce paramètre. 395 Sophos Mobile 22 Création d’administrateurs 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Administrateurs pour ouvrir la page Affichage des administrateurs et cliquez sur Créer un administrateur. 2. Sur la page Modification de l’administrateur, configurez les informations du compte pour l’administrateur. • Lorsque l’Annuaire LDAP externe est sélectionné en tant qu’annuaire d’utilisateurs pour le client, vous pouvez cliquer sur Rechercher un utilisateur avec LDAP pour sélectionner un compte LDAP déjà existant. • Si vous n’utilisez pas d’annuaire d’utilisateurs externes, saisissez les données adéquates dans les champs Nom de connexion, Prénom, Nom, Adresse électronique et Mot de passe. Le mot de passe que vous indiquez est un mot de passe à usage unique. Lorsque l’administrateur se connecte pour la première fois, il est invité à le changer. Remarque Le champ Nom de connexion doit uniquement contenir des lettres (alphabet Latin), des chiffres, des espaces et les caractères \!._-#. 3. Dans le champ Rôle, saisissez l’un des rôles disponibles. Le rôle définit le type de droits d’accès à Sophos Mobile dont disposera le nouvel administrateur. Retrouvez plus de renseignements à la section Rôles d’utilisateur (page 5). 4. Cliquez sur Enregistrer pour créer le compte d’administrateur. Le nouvel administrateur est créé et apparaît sur la page Affichage des administrateurs. Envoyez les codes d’accès de l’utilisateur (utilisateur, client et mot de passe à usage unique) au nouvel utilisateur. Le nouvel utilisateur va pouvoir se connecter à Sophos Mobile Admin et va être invité à changer son mot de passe. 396 Copyright © Sophos Limited Sophos Mobile 23 Envoi d’un message aux appareils Remarque Ces instructions ne s’appliquent pas aux ordinateur Windows : Vous pouvez envoyer un message personnalisé aux appareils administrés. 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils. La page Appareils apparaît. 2. Sélectionnez un ou plusieurs appareils, cliquez sur Actions puis sur Envoyer un message. 3. Dans la boîte de dialogue Saisir un message, saisissez le message que vous voulez envoyer. Le message ne doit pas dépasser 500 caractères. 4. Cliquez sur Terminer. Copyright © Sophos Limited 397 Sophos Mobile 24 Conteneur Sophos Remarque Cette fonction nécessite une licence de type Mobile Advanced. Le conteneur Sophos est un emplacement logique d’un appareil contenant les apps Sophos Secure Workspace et Sophos Secure Email lorsqu’elles sont administrées par Sophos Mobile. Le conteneur Sophos est compatible avec les plates-formes suivantes : • Android • iOS 24.1 Configuration de l’inscription d’un conteneur Sophos Remarque Cette fonction nécessite une licence de type Mobile Advanced. Pour inscrire des appareils à Sophos Mobile à l’aide d’un type d’inscription Conteneur Sophos, vous devez effectuer les étapes de configuration suivantes. Vous devez effectuer cette opération pour chaque plate-forme (Android, iOS) sur laquelle vous souhaitez utiliser l’inscription d’un conteneur Sophos. 1. Créez une stratégie de conteneur. Retrouvez plus de renseignements aux sections Configuration des stratégies de conteneur Sophos pour Android (page 152) et Configuration des stratégies de conteneur Sophos pour iOS (page 232). 2. Utilisez cette stratégie de conteneur dans une série de tâches. La série de tâches doit au moins contenir une tâche Inscrire le conteneur Sophos et une tâche Assigner une stratégie. Retrouvez plus de renseignements à la section Création d’une série de tâches (page 317). 3. Utilisez cette série de tâches en tant que package initial pour les inscriptions dans le Portail libreservice : Dans les paramètres du Portail libre-service, dans l’onglet Paramètres de groupe, sélectionnez la série de tâches dans le champ Package initial - appareils professionnels ou Package initial - appareils personnels. Retrouvez plus de renseignements à la section Création des différentes configurations du Portail libre-service (page 30). 24.2 Licence Mobile Advanced Lorsque vous activez une licence Mobile Advanced, vous pouvez utiliser les fonctions supplémentaires suivantes : • 398 Gérer les applis Sophos Secure Workspace et Sophos Secure Email. Retrouvez plus de renseignements à la section Gestion des applis du conteneur Sophos (page 399). Copyright © Sophos Limited Sophos Mobile • Pour les appareils Android et iOS, gérez Sophos Intercept X for Mobile. Retrouvez plus de renseignements à la section Mobile Threat Defense avec Sophos Intercept X for Mobile (page 377). Après avoir reçu votre clé de licence, vous allez devoir activer la licence. Activer une licence Mobile Advanced pour Sophos Mobile (version locale) Dans Sophos Mobile (version locale), les licences sont gérées par le super administrateur dans la gestion des clients. Retrouvez plus de renseignements dans le Guide du super administrateur de Sophos Mobile (anglais). Activer une licence Mobile Advanced pour Sophos Mobile (version SaaS) Dans Sophos Mobile Admin, allez dans Configuration > Configuration de Sophos > Licence et saisissez votre clé de licence dans le champ Clé de licence Advanced. 24.3 Gestion des applis du conteneur Sophos Remarque Cette fonction nécessite une licence de type Mobile Advanced. Pour une meilleure séparation des données sur les appareils administrés, Sophos Mobile met à disposition les applis du conteneur Sophos dans Sophos Secure Email et Sophos Secure Workspace : • Sophos Secure Email est une app pour appareils Android et iOS qui met à votre disposition un conteneur sécurisé vous permettant d’administrer vos emails, votre agenda et vos contacts. • Sophos Secure Workspace est une app pour appareils Android et iOS qui permet aux utilisateurs d’accéder aux fichiers chiffrés stockés dans le Cloud. Les fichiers sont déchiffrés et peuvent être consultés en toute simplicité. Les fichiers chiffrés peuvent être fournis par d’autres applis et téléchargés dans l’un des emplacements de stockage Cloud pris en charge. Vous pouvez également choisir d’archiver les documents localement sur l’app. Grâce à Sophos Secure Workspace, vous pouvez lire les fichiers chiffrés par SafeGuard Cloud Storage ou par SafeGuard Data Exchange. Tous deux sont des modules de SafeGuard Enterprise ou une de ses éditions. Ils vous permettent de chiffrer les fichiers à l’aide de la clé locale. Ces clés locales sont issues d’une phrase secrète saisie par un utilisateur. Vous pouvez uniquement déchiffrer un fichier lorsque vous savez quelle phrase secrète a été utilisée pour chiffrer le fichier. Le conteneur Sophos fournit : • Des règles de mot de passe définies de manière centralisée • Des règles de mot de passe pour toutes les applis du conteneur • L’authentification unique pour toutes les applis du conteneur • Les paramètres documentaire de Sophos Secure Workspace • Les paramètres de navigateur de Sophos Secure Workspace • Les paramètres Sophos Secure Email Vous pouvez administrer les applis Sophos avec Sophos Mobile de la manière suivante : Copyright © Sophos Limited 399 Sophos Mobile • Vous pouvez configurer à distance et de manière centralisée les paramètres des applis du conteneur Sophos sur tous les appareils administrés dans Sophos Mobile. Retrouvez plus de renseignements aux sections Configuration des stratégies de conteneur Sophos pour Android (page 152) et Configuration des stratégies de conteneur Sophos pour iOS (page 232). • Les stratégies de conformité vous permettent de vous assurer que les applis du conteneur Sophos sont installées sur les appareils. • Vous pouvez activer la distribution sécurisée des documents en utilisant le fournisseur de stockage Documents professionnels. Retrouvez plus de renseignements à la section Documents professionnels (page 354). • Vous pouvez activer la synchronisation du jeu de clés professionnel entre l’app Sophos Secure Workspace et Sophos SafeGuard Enterprise. Cette opération permet d’avoir les clés disponibles dans le jeu de clés SafeGuard de l’utilisateur à disposition dans le jeu de clés Sophos Secure Workspace. Retrouvez plus de renseignements à la section Activation de la synchronisation du jeu de clés professionnel (page 402). Remarque Pour administrer les applis du conteneur Sophos, celles-ci doivent être distribuées par Sophos Mobile. Si les utilisateurs disposent déjà d’une version non administrée de Sophos Secure Workspace sur leurs appareils, ils doivent d’abord la désinstaller et installer la version administrée. Retrouvez plus de renseignements sur Sophos Secure Workspace dans l’Aide de Sophos Secure Workspace. 24.4 Réinitialisation du mot de passe du conteneur Sophos Remarque Cette fonction nécessite une licence de type Mobile Advanced. Remarque Ces instructions s’appliquent uniquement aux appareils avec une stratégie de conteneur Sophos. Vous pouvez réinitialiser le mot de passe du conteneur Sophos. Ceci s’avère par exemple utile lorsque les utilisateurs oublient leur mot de passe. Si vous réinitialisez un mot de passe du conteneur Sophos, l’utilisateur sera invité à créer un nouveau mot de passe de conteneur. 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils. La page Appareils apparaît. 2. Cliquez sur l’appareil pour lequel vous souhaitez réinitialiser le mot de passe du conteneur Sophos. La page Affichage de l’appareil apparaît. 3. Cliquez sur Actions. Le menu Actions apparaît. 4. Cliquez sur Réinitialiser le mot de passe du conteneur Sophos. 5. Dans la boîte de dialogue, cliquez sur Oui pour confirmer l’opération. Le mot de passe du conteneur Sophos est réinitialisé. L’utilisateur doit saisir un nouveau mot de passe du conteneur Sophos. 400 Copyright © Sophos Limited Sophos Mobile 24.5 Verrouillage et déverrouillage du conteneur Sophos Remarque Cette fonction nécessite une licence de type Mobile Advanced. Remarque Ces instructions s’appliquent uniquement aux appareils avec une stratégie de conteneur Sophos. Vous pouvez verrouiller ou déverrouiller le conteneur Sophos, c’est-à-dire, que vous pouvez définir les autorisations d’accès aux apps du conteneur Sophos et aux données du conteneur Sophos. 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils. 2. Sur la page Appareils, cliquez sur le triangle bleu correspondant à l’appareil sur lequel vous voulez verrouiller ou déverrouiller le conteneur Sophos et cliquez sur Afficher. 3. Sur la page Affichage de l’appareil, cliquez sur ActionsDéfinir l’accès au conteneur Sophos. 4. Dans la boîte de dialogue de définition des autorisations d’accès, sélectionnez l’une des options suivantes : • Refuser : le conteneur Sophos est verrouillé. Les utilisateurs ne pourront plus l’utiliser. • Autoriser : le conteneur Sophos est déverrouillé. • Mode Auto : Le conteneur Sophos est verrouillé tant que l’appareil enfreint une règle de conformité pour laquelle Verrouiller le conteneur est activé. Il s’agit du comportement par défaut si vous n’avez pas défini d’autorisation d’accès. 5. Cliquez sur Oui. L’appareil est déclenché pour se synchroniser avec le serveur Sophos Mobile. Lors de l’opération de synchronisation, le paramètre est appliqué à l’appareil. 24.6 Synchronisation du jeu de clés professionnel La synchronisation du jeu de clés professionnel ajoute les fonctions suivantes à l’app Sophos Secure Workspace : • Les clés disponibles dans le jeu de clés SafeGuard Enterprise de l’utilisateur sont disponibles dans le jeu de clés de Sophos Secure Workspace (jeu de clés SSW). • Les utilisateurs de l’app peuvent alors utiliser les clés pour déchiffrer et voir les documents ou pour chiffrer des documents. • Les utilisateurs peuvent continuer à utiliser les clés locales qui étaient disponibles dans leur jeu de clés SSW même lorsque vous avez activé la synchronisation du jeu de clés. • Les utilisateurs ne peuvent pas créer de nouvelles clés locales. • Pour des raisons de sécurité, les clés dans le jeu de clés SafeGuard sont supprimées d’un appareil lorsque le conteneur Sophos est verrouillé. Copyright © Sophos Limited 401 Sophos Mobile 24.6.1 Activation de la synchronisation du jeu de clés professionnel Conditions préalables : • Vous devez utiliser Sophos SafeGuard Enterprise à partir de la version 8.0. • Vous avez configuré la gestion des utilisateurs externes pour le Portail libre-service en utilisant la même base de données d’utilisateurs Active Directory que celle configurée dans SafeGuard Enterprise. • Sophos Secure Workspace est administrée par Sophos Mobile. Une licence Mobile Advanced est requise. • Votre serveur Sophos Mobile peut se connecterà votre serveur SafeGuard Enterprise par HTTPS. Pour activer la synchronisation du jeu de clés professionnel, vous devez établir la connexion entre Sophos Mobile et Sophos SafeGuard Enterprise comme suit : 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration de Sophos puis sur l’onglet SGN. 2. Cliquez sur le lien du Certificat pour télécharger le certificat du serveur Sophos Mobile. 3. Ouvrez SafeGuard Management Center et allez dans OutilsOutil de package de configuration. 4. Dans l’onglet Serveurs, cliquez sur Ajouter, naviguez jusqu’au fichier de certificat et cliquez sur OK. Ne modifiez pas le champ Nom du serveur. 5. Facultatif : Sélectionnez Récupération par mobile pour activer la synchronisation des clés de récupération BitLocker et FileVault avec l’app Sophos Secure Workspace. 6. Dans l’onglet Packages du client administré, configurez les paramètres suivants : • Dans le champ Nom du package de configuration, sélectionnez Client administré (par défaut). • Dans le champ Serveur principal, sélectionnez votre serveur SGN. • Dans le champ Chiffrement du transport, sélectionnez SSL. 7. Cliquez sur Créer un package de configuration. 8. Sur l’onglet SGN de Sophos Mobile Admin, cliquez sur Télécharger un fichier pour télécharger sur Sophos Mobile le package de configuration que vous avez créé dans SafeGuard Management Center. 9. Cliquez sur Enregistrer pour enregistrer les paramètres d’intégration de SafeGuard. 402 Copyright © Sophos Limited Sophos Mobile 25 Glossaire Profil d’enregistrement ad hoc Un profil d’enregistrement de distribution que vous ajoutez à une appli iOS développée en interne. Ceci vous permet d’installer l’appli sur les appareils désignés sans avoir à la publier sur l’App Store. client Un client représente une zone d’administration séparée dans Sophos Mobile. Vous pouvez créer plusieurs clients et administrer les appareils de chacun de vos clients séparément. Cette méthode est appelée méthode mutualisée (multitenancy). Inscription L’enregistrement d’un appareil dans Sophos Mobile. App Store pour entreprise Un répertoire d’applis hébergé sur le serveur Sophos Mobile. L’administrateur peut utiliser Sophos Mobile Admin pour ajouter des applis dans l’App Store pour entreprise. Les utilisateurs peuvent utiliser l’appli Sophos Mobile Control pour installer ces applis sur leurs appareils. Licence Mobile Advanced Avec une licence de type Mobile Advanced, vous pouvez gérer Sophos Intercept X for Mobile, Sophos Secure Workspace et Sophos Secure Email. Approvisionnement Le processus d’installation de l’appli Sophos Mobile Control sur un appareil. Portail libre-service L’interface Web qui permet aux utilisateurs d’inscrire leurs propres appareils et d’effectuer les tâches sans avoir à contacter le service d’assistance. Client Sophos Mobile L’appli Sophos Mobile Control installée sur les appareils administrés par Sophos Mobile. Console Sophos Mobile L’interface Web utilisée pour administrer les appareils. Sophos Intercept X for Mobile Une appli de sécurité pour les appareils Android et iOS. Pour administrer cette appli avec Sophos Mobile, une licence Mobile Advanced doit être activée. Sophos Secure Email Une appli pour appareils Android et iOS qui vous fait bénéficier d’un conteneur sécurisé vous permettant d’administrer vos emails, votre agenda et vos contacts. Pour administrer cette appli avec Sophos Mobile, une licence Mobile Advanced doit être activée. Sophos Secure Workspace Une appli pour appareils Android et iOS qui vous permet de bénéficier d’un espace de travail sécurisé à partir duquel vous pouvez naviguer, Copyright © Sophos Limited 403 Sophos Mobile gérer, modifier, partager, chiffrer et déchiffrer des documents se trouvant chez différents fournisseurs de stockage ou distribués par votre entreprise. Pour administrer cette appli avec Sophos Mobile, une licence Mobile Advanced doit être activée. 404 Série de tâches Vous créez un package pour regrouper plusieurs tâches sous la même transaction. Vous pouvez regrouper toutes les tâches nécessaires afin de disposer d’un appareil inscrit et opérationnel. Team ID Chaque appli iOS et macOS est signée par un Team ID. Le Team ID est fourni par Apple et il est exclusif à une équipe de développement spécifique. Copyright © Sophos Limited Sophos Mobile 26 Support technique Vous bénéficiez du support technique des produits Sophos de l’une des manières suivantes : • Rendez-vous sur le forum Sophos Community en anglais sur community.sophos.com/ et recherchez d’autres utilisateurs rencontrant le même problème que le vôtre. • Rendez-vous sur la base de connaissances du support de Sophos sur www.sophos.com/fr-fr/ support.aspx. • Téléchargez la documentation des produits sur www.sophos.com/fr-fr/support/documentation.aspx. • Ouvrez un incident support sur https://secure2.sophos.com/fr-fr/support/contact-support/supportquery.aspx. Copyright © Sophos Limited 405 Sophos Mobile 27 Mentions légales Copyright © 2019 Sophos Limited. Tous droits réservés. Aucune partie de cette publication ne peut être reproduite, stockée dans un système de recherche documentaire ou transmise, sous quelque forme ou par quelque moyen que ce soit, électronique, mécanique, photocopie, enregistrement ou autre sauf si vous possédez une licence valide, auquel cas vous pouvez reproduire la documentation conformément aux termes de cette licence ou si vous avez le consentement préalable écrit du propriétaire du copyright. Sophos, Sophos Anti-Virus et SafeGuard sont des marques déposées de Sophos Limited, Sophos Group et de Utimaco Safeware AG, partout où ceci est applicable. Tous les autres noms de produits et d’entreprises mentionnés dans ce document sont des marques ou des marques déposées de leurs propriétaires respectifs. 406 Copyright © Sophos Limited