▼
Scroll to page 2
of
337
Sophos Mobile (version locale) Manuel d’administration Version du produit : 8 Table des matières À propos de cette aide...........................................................................................................................................1 À propos de Sophos Mobile.................................................................................................................................. 2 À propos de Sophos Mobile Admin..................................................................................................................... 3 Interface d’utilisation.......................................................................................................................................... 3 Tableaux...................................................................................................................................................................4 Conditions préalables..........................................................................................................................................4 Rôles d’utilisateur.................................................................................................................................................5 Connexion à Sophos Mobile Admin................................................................................................................ 6 Déconnexion de Sophos Mobile Admin.........................................................................................................6 Changement de mot de passe........................................................................................................................ 6 Récupération du mot de passe........................................................................................................................7 Étapes principales pour l’administration d’appareils avec Sophos Mobile................................................ 8 Tableau de bord....................................................................................................................................................... 9 Rapports..................................................................................................................................................................10 Tâches...................................................................................................................................................................... 11 Surveillance des tâches...................................................................................................................................11 Alertes......................................................................................................................................................................15 Paramètres généraux...........................................................................................................................................17 Configuration des paramètres personnels................................................................................................ 17 Configuration des stratégies de mot de passe........................................................................................ 18 Configuration des paramètres de l’app SMC.............................................................................................19 Activation du service Baidu Cloud Push.................................................................................................... 19 Configuration des paramètres iOS...............................................................................................................20 Configuration de l’intervalle d’interrogation pour les appareils Windows........................................21 Configuration de la messagerie.................................................................................................................... 21 Configuration des coordonnées du contact technique......................................................................... 22 Propriétés pour les clients..............................................................................................................................22 Configuration du Portail libre-service..............................................................................................................23 Création de groupes du Portail libre-service à l’aide de la gestion interne des utilisateurs...... 23 Configuration des paramètres du Portail libre-service......................................................................... 24 Actions disponibles dans le Portail libre-service.....................................................................................26 Gestion des utilisateurs du Portail libre-service......................................................................................29 Configuration du système.................................................................................................................................. 35 Vérification de vos licences............................................................................................................................35 Certificats du service Apple Push Notification........................................................................................ 36 Configuration des destinations iOS AirPlay.............................................................................................. 40 Enregistrement de la licence Samsung Knox.......................................................................................... 41 Protocole SCEP (Simple Certificate Enrollment Protocol)....................................................................41 Configuration de l’utilisateur..........................................................................................................................42 Stratégies de conformité....................................................................................................................................43 Création d’une stratégie de conformité..................................................................................................... 43 Règles de conformité disponibles................................................................................................................45 Assignation d’une stratégie de conformité aux groupes d’appareils................................................ 50 Vérification de la conformité des appareils...............................................................................................51 Appareils................................................................................................................................................................. 52 Ajout d’appareils.................................................................................................................................................52 Inscription des appareils................................................................................................................................. 54 Désinscription des appareils.......................................................................................................................... 61 Gestion des appareils....................................................................................................................................... 62 Programme d’inscription d’appareils (DEP) Apple..................................................................................74 Intégration de Duo Security........................................................................................................................... 82 Groupes d’appareils..............................................................................................................................................84 (2018/01/17) Création d’un groupe d’appareils..................................................................................................................84 Suppression des groupes d’appareils......................................................................................................... 84 Profils et stratégies..............................................................................................................................................86 Création du profil ou de la stratégie............................................................................................................ 86 Importation des profils d’appareil iOS créés avec Apple Configurator..............................................87 Importation des profils d’enregistrement pour les apps iOS............................................................... 88 À propos des stratégies macOS................................................................................................................... 89 Règles de complexité des mots de passe Windows..............................................................................89 Support de Samsung Knox............................................................................................................................ 90 Espaces réservés dans les profils et stratégies...................................................................................... 91 Installation d’un profil sur les appareils......................................................................................................91 Assignation d’une stratégie aux appareils................................................................................................ 92 Désinstaller le profil.......................................................................................................................................... 93 Téléchargement des profils et stratégies.................................................................................................. 93 Configuration des profils d’appareil Android.............................................................................................93 Configuration des stratégies de profil professionnel Android pour les entreprises.................... 115 Configuration des stratégies d’appareil Android pour les entreprises............................................129 Configuration des stratégies de conteneur Sophos pour Android.................................................. 143 Configuration des stratégies de sécurité des mobiles (Sophos Mobile Security)....................... 154 Configuration des profils de conteneur Knox.........................................................................................155 Configuration des stratégies Android Things.........................................................................................160 Configuration des profils d’appareil iOS................................................................................................... 161 Configuration des stratégies de conteneur Sophos pour iOS........................................................... 193 Configuration des stratégies d’appareil macOS....................................................................................205 Configuration des stratégies d’utilisateur macOS................................................................................222 Configuration des stratégies Windows Mobile...................................................................................... 241 Configuration des stratégies Windows.................................................................................................... 252 Configuration des stratégies Windows IoT............................................................................................. 260 Séries de tâches.................................................................................................................................................263 Création d’une série de tâches...................................................................................................................263 Types de tâche Android disponibles......................................................................................................... 264 Types de tâche iOS disponibles..................................................................................................................268 Types de tâche macOS disponibles...........................................................................................................271 Types de tâche Windows disponibles.......................................................................................................272 Duplication de séries de tâches................................................................................................................. 273 Transfert de séries de tâches aux appareils ou groupes d’appareils.............................................. 274 Apps....................................................................................................................................................................... 275 Ajout d’une app................................................................................................................................................ 275 Installer une app.............................................................................................................................................. 276 Désinstallation de l’app................................................................................................................................. 278 Paramètres de l’app (Android).................................................................................................................... 279 Paramètres de l’app (iOS)............................................................................................................................ 280 Paramètres de l’app (Windows Mobile)................................................................................................... 282 Paramètres de l’app (Windows)................................................................................................................. 283 Paramètres des liens Windows MSI..........................................................................................................285 Apps administrées pour iOS........................................................................................................................ 286 Gestion des apps du Programme d’achat en volume d’Apple.......................................................... 287 Configuration de la connexion VPN via l’app et des paramètres pour les apps iOS................... 293 Groupes d’apps................................................................................................................................................... 295 Création d’un groupe d’apps........................................................................................................................295 Importation d’un groupe d’apps................................................................................................................. 296 Documents professionnels.............................................................................................................................. 298 Ajout de Documents professionnels.........................................................................................................298 Android pour les entreprises........................................................................................................................... 300 Installation d’Android pour les entreprises - Généralités....................................................................301 Installation d’Android pour les entreprises (scénario Compte Google Play géré)........................301 (2018/01/17) Installation d’Android pour les entreprises (scénario Domaine Google géré)...............................302 Configuration de l’inscription d’un appareil Android pour les entreprises.................................... 306 Gestion des utilisateurs pour Android pour les entreprises (scénario Domaine Google géré).. 307 Création d’un profil professionnel..............................................................................................................308 Verrouillage du profil professionnel...........................................................................................................308 Suppression du profil professionnel de l’appareil.................................................................................309 Suppression du profil professionnel par l’utilisateur........................................................................... 309 Apps professionnelles....................................................................................................................................310 Création d’administrateurs...............................................................................................................................317 Envoi d’un message aux appareils.................................................................................................................318 Gestion de Sophos Mobile Security............................................................................................................... 319 Configuration des paramètres antivirus pour Sophos Mobile Security..........................................319 Configuration des paramètres du filtrage Web pour Sophos Mobile Security..............................321 Définition des règles de conformité de Sophos Mobile Security..................................................... 322 Affichage des résultats du contrôle Sophos Mobile Security........................................................... 322 Conteneur Sophos............................................................................................................................................. 324 Configuration de l’inscription d’un conteneur Sophos........................................................................324 Licence Mobile Advanced............................................................................................................................. 324 Gestion des apps du conteneur Sophos..................................................................................................325 Réinitialisation du mot de passe du conteneur Sophos.....................................................................326 Verrouillage et déverrouillage du conteneur Sophos........................................................................... 327 Synchronisation du jeu de clés professionnel....................................................................................... 327 Transfert de données de Sophos Mobile vers Sophos Mobile (version Central).................................. 329 Glossaire............................................................................................................................................................... 330 Support technique............................................................................................................................................. 332 Mentions légales.................................................................................................................................................333 (2018/01/17) Sophos Mobile (version locale) 1 À propos de cette aide Cette aide vous explique comment utiliser Sophos Mobile Admin. Retrouvez plus de renseignements dans les documents ci-dessous : • • • • Retrouvez plus de renseignements sur l’installation de Sophos Mobile dans le Guide d’installation de Sophos Mobile. Ce guide ne s’applique pas à Sophos Mobile (version SaaS. Retrouvez plus de renseignements sur l’utilisation de Sophos Mobile Admin en tant que super administrateur pour la gestion des clients dans le Guide du super administrateur de Sophos Mobile (anglais). Ce guide ne s’applique pas à Sophos Mobile (version SaaS. Retrouvez une description des étapes principales de la configuration initiale dans le Guide de démarrage de Sophos Mobile et le Guide de démarrage de Sophos Mobile as a Service. Retrouvez plus de renseignements sur le Portail libre-service dans le Manuel d’utilisation de Sophos Mobile. Conventions respectées par le présent document Les conventions suivantes sont utilisées dans cette aide : • • • • Sauf mention contraire, Windows Mobile correspond aux éditions Windows 10 Mobile et Mobile Entreprise et à Windows Phone 8.1. Sauf mention contraire, Windows ou Windows 10 correspond aux éditions Professionnel, Entreprise, Éducation, Famille et S de Windows 10. Sauf mention contraire, Windows IoT correspond à l’édition IoT Core de Windows 10. Sauf mention contraire, toutes les procédures supposent que vous êtes connecté à Sophos Mobile Admin à l’aide d’un compte d’administrateur. Copyright © 2018 Sophos Limited 1 Sophos Mobile (version locale) 2 À propos de Sophos Mobile Sophos Mobile Sophos Mobile est la solution EMM des entreprises qui souhaitent consacrer moins de temps et d’énergie à la gestion et à la protection des appareils mobiles. Gérez les appareils mobiles avec Sophos Central, l’interface administrateur Web unifiée et facile à utiliser, en parallèle des produits de sécurité Sophos pour les terminaux, les réseaux et les serveurs. Les apps de conteneurs sécurisés et la compatibilité avec les conteneurs natifs dans iOS, Android pour les entreprises et Samsung Knox garantissent la séparation des données professionnelles sensibles et des données personnelles sur l’appareil mobile. Dotée d’une protection solide des données, d’une sécurité complète, d’un bon rapport qualité/prix et d’options flexibles de gestion, Sophos Mobile est la solution idéale d’administration des appareils mobiles en milieu professionnel. En effet, elle permet de maintenir la productivité de vos utilisateurs, assure la sécurité de vos données professionnelles et la confidentialité des données personnelles. Sophos Mobile Security Sophos Mobile Security protège vos appareils Android sans affecter leurs performances ni l’autonomie de la batterie. La technologie antimalware de pointe de Sophos permet à Sophos Mobile Security d’offrir un niveau de protection antimalware et antivirus reconnu et plébiscité. L’app offre également la détection des applications potentiellement indésirables (PUA), des conseillers confidentialité et sécurité, la protection contre la perte et le vol des données, la protection du Web, et bien plus encore. Sophos Secure Workspace Sophos Secure Workspace est une app de gestion du contenu mobile en conteneur pour iOS et Android. Elle permet de protéger, de gérer et de distribuer les documents professionnels et le contenu web en toute sécurité. Modifiez des documents Office dans le conteneur pour garantir la protection du contenu chiffré. La technologie anti-phishing protège les utilisateurs contre les liens malveillants présents dans les documents et tout autre contenu. Lorsqu’elle est gérée par Sophos Mobile, les administrateurs peuvent facilement restreindre l’accès au contenu en fonction des règles de conformité définies pour l’appareil. Lorsqu’elle est utilisée avec Sophos SafeGuard Encryption, l’app Sophos Secure Workspace permet d’échanger en toute sécurité et en toute transparence des fichiers chiffrés (stockés localement ou sur le Cloud) entre les utilisateurs de systèmes Windows, macOS, iOS et Android. Sophos Secure Email Sophos Secure Email est une app de conteneur de messagerie complète et sécurisée pour Android et iOS. Elle vous permet d’isoler les emails, les agendas et les contacts professionnels des données privées sur un appareil mobile géré par Sophos Mobile. Toutes les informations de l’entreprise sont protégées par le chiffrement AES-256 et l’accès peut facilement être révoqué à l’aide de règles de conformité définies pour l’appareil. Sophos Secure Email permet également au service informatique de fournir la même messagerie professionnelle sécurisée sur différents appareils et systèmes d’exploitation. 2 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 3 À propos de Sophos Mobile Admin Sophos Mobile Admin est l’instrument central permettant d’administrer les appareils avec Sophos Mobile. Elle est l’interface Web du serveur utilisée pour l’administration des appareils. Grâce au portail Web, vous pouvez mettre en place une stratégie d’entreprise pour l’utilisation des appareils et l’appliquer à tous les appareils inscrits dans Sophos Mobile. Sophos Mobile Admin vous permet de : • • • • • • • • • • Configurer le système (par exemple, les paramètres personnels ou les paramètres de la plateforme). Configurer les stratégies de conformité et définir les actions à prendre si les appareils ne sont plus conformes aux règles fixées. Retrouvez plus de renseignements à la section Stratégies de conformité (page 43). Inscrire les appareils à Sophos Mobile. Retrouvez plus de renseignements à la section Ajout d’appareils (page 52). Approvisionner les nouveaux appareils. Retrouvez plus de renseignements à la section Inscription des appareils (page 54). Installer les apps sur les appareils inscrits. Retrouvez plus de renseignements à la section Apps (page 275). Définir les profils et les stratégies de sécurité pour les appareils. Retrouvez plus de renseignements à la section Profils et stratégies (page 86). Créer des séries de tâches afin de regrouper plusieurs tâches et les transférer aux appareils en une seule transaction. Retrouvez plus de renseignements à la section Séries de tâches (page 263). Configurer les paramètres du Portail libre-service. Retrouvez plus de renseignements à la section Configuration du Portail libre-service (page 23). Effectuer les tâches administratives sur les appareils, par exemple, réinitialiser le mot de passe des appareils, verrouiller ou réinitialiser les appareils en cas de vol ou de perte, désinscrire les appareils. Retrouvez plus de renseignements à la section Gestion des appareils (page 62). Créer et voir des rapports. Retrouvez plus de renseignements à la section Rapports (page 10). 3.1 Interface d’utilisation L’interface d’utilisation de Sophos Mobile Admin est composée d’un bandeau d’en-tête, d’un menu principal et de la fenêtre principale. La fenêtre principale affiche les différentes pages de Sophos Mobile Admin en fonction du menu sélectionné. • Bandeau d’en-tête Le bandeau d’en-tête est composé de liens sur la partie droite : • — Le nom de votre compte et le nom du client. — Le bouton Aide qui ouvre l’aide en ligne dans une fenêtre de navigation séparée. — Le bouton Déconnexion qui vous déconnecte de Sophos Mobile Admin. Menu principal Le menu principal sur la gauche de l’interface vous permet d’accéder aux fonctions principales de Sophos Mobile. Copyright © 2018 Sophos Limited 3 Sophos Mobile (version locale) Remarque Le rôle d’administrateur qui vous a été assigné a un effet sur les actions que vous pouvez mener. Retrouvez plus de renseignements à la section Rôles d’utilisateur (page 5). 3.2 Tableaux Dans Sophos Mobile Admin, la majorité des pages affichent les informations sous la forme d’un tableau. Ces tableaux offrent des options de commande que vous pouvez utiliser. Au-dessus du tableau : • • Utilisez l’icône Afficher ou masquer des colonnes pour configurer les colonnes du tableau que vous souhaitez voir. Saisissez du texte dans le champ Rechercher pour afficher uniquement les rangées de données contenant ce texte dans les colonnes. Dans le tableau : • • Cliquez sur une en-tête de colonne pour trier les rangées du tableau en fonction de cette propriété. Cliquez de nouveau pour inverser l’ordre de tri. Cliquez sur le triangle bleu à côté du nom pour effectuer les actions sur cette entrée : Afficher, Modifier, Supprimer. En dessous du tableau : • • Utilisez les boutons de navigation pour afficher une page spécifique du tableau. Utilisez l’icône Exporter pour exporter soit le tableau tout entier, sot la page en cours dans un fichier Microsoft Excel ou dans un fichier CSV (valeurs séparées par virgule). Si vous avez configuré un filtre de rangée, seules les rangées affichées seront exportées. 3.3 Conditions préalables Avant d’utiliser Sophos Mobile Admin : • Votre ordinateur doit être connecté à Internet et disposer d’un navigateur Internet. Retrouvez plus de renseignements sur les navigateurs pris en charge et sur les versions correspondantes dans les Notes de publication de Sophos Mobile. • Le super administrateur doit avoir créé un client (un « locataire » dont les appareils sont administrés dans Sophos Mobile). Retrouvez plus de renseignements dans le Guide du super administrateur de Sophos Mobile (anglais). Remarque Sur Sophos Mobile (version SaaS, un client est prédéfini. Les super administrateurs ne sont pas compatibles avec Sophos Mobile (version SaaS. • 4 Vous devez disposer d’un compte d’utilisateur Sophos Mobile et des codes d’accès correspondant pour vous connecter à Sophos Mobile Admin. Les codes d’accès nécessitent de remplir les champs Client, Utilisateur et Mot de passe. Retrouvez plus de renseignements à la section Connexion à Sophos Mobile Admin (page 6). Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 3.4 Rôles d’utilisateur Les administrateurs Sophos Mobile remplissent des rôles différents. Le rôle a un effet sur les actions que l’administrateur peut mener. Les rôles disponibles sont : Rôle Description Administrator Ce rôle dispose des droits pour effectuer toutes les actions disponibles. Limited Administrator Ce rôle est autorisé à effectuer toutes les actions nécessaires à l’inscription et à l’administration d’un appareil mais ne peut pas spécifier de paramètres essentiels et ne peut pas gérer d’autres administrateurs. Reporting Ce rôle peut afficher la liste des appareils et peut créer des rapports. Par exemple, un auditeur ou un employé qui a besoin d’informations sur les paramètres utilisés dans Sophos Mobile. Content admin Ce rôle est confié aux employés responsables du téléchargement, de la mise à jour ou de la suppression de documents. Généralement ce rôle est assigné à une personne ne faisant pas partie du service informatique. Les autorisations sont définies de manière à limiter la visibilité et l’accès exclusivement au contenu du menu Documents. Helpdesk Ce rôle a été conçu dans l’optique de fournir du support technique. Il dispose de droits limités (par exemple l’installation des packages logiciels). Ce rôle n’a pas accès aux fonctions vitales telles que la définition des paramètres et la création, la suppression ou la modification d’appareils, de groupes d’appareils, de packages et de profils. Read-only Ce rôle a un accès en lecture seule à tous les paramètres disponibles au rôle Administrator. App Group Administrator Ce rôle peut administrer les groupes d’apps. Un utilisateur classique sera un administrateur qui accède à l’interface de services Web Sophos Mobile pour créer, mettre à jour ou lire des groupes d’apps. Duo API Ce rôle est nécessaire à l’intégration au logiciel d’authentification Duo Security. Les administrateurs remplissant le rôle Duo API ont accès à l’interface du service Web Sophos Mobile pour demander l’état d’administration des appareils. Retrouvez plus de renseignements à la section Intégration de Duo Security (page 82). Copyright © 2018 Sophos Limited 5 Sophos Mobile (version locale) Conseil La fonction d’éditeur de rôle est livrée avec Sophos Mobile. L’éditeur de rôle vous permet de modifier facilement les rôles d’utilisateur existants ou de créer vos propres rôles personnalisés. Vous pouvez le trouver dans le dossier %MDM_HOME%\tools\Wizard où %MDM_HOME% correspond au dossier d’installation de Sophos Mobile. Retrouvez plus de renseignements sur l’utilisation de l’éditeur de rôles dans l’article 122066 de la base de connaissances de Sophos ou contactez l’équipe du support de Sophos. Tâches connexes Création d’administrateurs (page 317) 3.5 Connexion à Sophos Mobile Admin 1. Ouvrez Sophos Mobile Admin dans votre navigateur Web. 2. Dans la boîte de dialogue de connexion, saisissez votre nom de client et vos codes d’accès d’utilisateur (nom et mot de passe) et cliquez sur Connexion. La page du Tableau de bord du client apparaît. Remarque Lorsque vous vous connectez à Sophos Mobile Admin pour la première fois, vous êtes invité à changer de mot de passe. Remarque L’administrateur peut afficher des messages dans la boîte de dialogue de connexion, pour informer, par exemple des prochaines mises à niveau ou des périodes d’interruption de service à venir. Cliquez sur le message pour voir tout le contenu. 3.6 Déconnexion de Sophos Mobile Admin Pour vous déconnecter de Sophos Mobile Admin, cliquez sur Déconnexion dans le bandeau d’entête. 3.7 Changement de mot de passe Vous pouvez changer de mot de passe à tout moment de votre choix après vous être connecté à Sophos Mobile Admin : 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Général, puis sur l’onglet Changement de mot de passe. 2. Saisissez votre ancien mot de passe, votre nouveau mot de passe et confirmez-le. 3. Cliquez sur Enregistrer. 6 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 3.8 Récupération du mot de passe En cas d’oubli de votre mot de passe de connexion à Sophos Mobile Admin, vous avez la possibilité de le réinitialiser. 1. Dans la boîte de dialogue de Connexion de Sophos Mobile Admin, cliquez sur Mot de passe oublié ?. La boîte de dialogue Réinitialiser le mot de passe apparaît. 2. Saisissez les informations de votre compte et cliquez sur Réinitialiser le mot de passe. Vous allez recevoir un email contenant un lien vous permettant de réinitialiser votre mot de passe. 3. Cliquez sur le lien. La boîte de dialogue Changer le mot de passe apparaît. 4. Saisissez un nouveau mot de passe, confirmez-le et cliquez sur Changer de mot de passe. Votre mot de passe a été changé et vous êtes connecté à Sophos Mobile Admin. Copyright © 2018 Sophos Limited 7 Sophos Mobile (version locale) 4 Étapes principales pour l’administration d’appareils avec Sophos Mobile Sophos Mobile offre un large éventail de fonctions d’administration des appareils mobiles selon le type d’appareils utilisés, les stratégies de sécurité de l’entreprise et ses exigences spécifiques. Les étapes principales pour l’administration d’appareils avec Sophos Mobile sont : • • • • • • • 8 Configurer les stratégies de conformité pour les appareils. Retrouvez plus de renseignements à la section Stratégies de conformité (page 43). Créer des groupes d’appareils. Retrouvez plus de renseignements à la section Création d’un groupe d’appareils (page 84). Les groupes d’appareils sont utilisés pour diviser les appareils en catégories. Nous vous conseillons de regrouper les appareils. De cette manière, vous pourrez les gérer de manière plus efficace en effectuant les tâches sur un groupe plutôt que sur chaque appareil individuellement. Inscrire et approvisionner des appareils. Retrouvez plus de renseignements aux sections Ajout d’appareils (page 52) et Inscription des appareils (page 54). Les appareils peuvent être inscrits et approvisionnés par les administrateurs dans Sophos Mobile Admin ou par les utilisateurs des appareils via le Portail libre-service. Paramétrer les profils et les stratégies de sécurité pour les appareils. Retrouvez plus de renseignements à la section Profils et stratégies (page 86). Créer des séries de tâches. Retrouvez plus de renseignements à la section Séries de tâches (page 263). Configurer les fonctions disponibles du Portail libre-service. Retrouvez plus de renseignements à la section Configuration du Portail libre-service (page 23). Créer ou mettre à jour des profils et paramètres de sécurité et les appliquer aux appareils inscrits. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 5 Tableau de bord Remarque Cette section s’applique à la page Tableau de bord des administrateurs habituels. Pour le super administrateur, la page Tableau de bord sert à pour administrer les clients. Retrouvez plus de renseignements dans le Guide du super administrateur de Sophos Mobile (anglais). Le Tableau de bord personnalisable est la page de démarrage de Sophos Mobile et permet d’accéder aux informations les plus importantes en un clin d’œil. Il est composé de différents widgets fournissant des informations sur : • • • • • Les appareils (tous les appareils ou les appareils par groupe). L’état de conformité par plate-forme ou de tous les appareils. L’état d’administration par plate-forme ou de tous les appareils. L’état d’enregistrement au PLS. Les versions des plates-formes administrées Un widget spécial Ajouter un appareil est également disponible pour lancer l’assistant d’inscription d’appareils. Retrouvez plus de renseignements à la section Utilisation de l’assistant d’inscription d’appareils pour assigner et inscrire de nouveaux appareils (page 56). Les options de personnalisation du Tableau de bord suivantes sont disponibles : • • • • Pour ajouter un widget à la page, cliquez sur Ajouter un widget. Pour supprimer un widget de la page, cliquez sur le bouton Fermer dans son en-tête. Pour réinitialiser la page à l’affichage par défaut, cliquez sur Rétablir la disposition par défaut. Réorganisez les widgets sur la page en les faisant glisser par leur en-tête. Copyright © 2018 Sophos Limited 9 Sophos Mobile (version locale) 6 Rapports Sophos Mobile vous permet de créer différents rapports à partir des endroits suivants : • • • • • Appareils Apps et documents Conformité Malwares Certificats Pour créer un rapport : 1. Sur le menu latéral, sous INFORMATION, cliquez sur Rapports et cliquez sur le nom du rapport désiré. 2. Dans la boîte de dialogue Choisir le format, cliquez sur l’une des icônes disponibles pour sélectionner le format de sortie désiré : • • Cliquez sur pour exporter le rapport dans un fichier Microsoft Excel. Cliquez sur pour exporter le rapport dans un fichier CSV (valeurs séparées par virgule). Le rapport va être enregistré localement sur votre ordinateur en utilisant les paramètres de téléchargement de votre navigateur Web. 10 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 7 Tâches La page Vue des tâches vous donne un aperçu de toutes les tâches créées et exécutées et affiche leur état actuel. Vous pouvez surveiller toutes vos tâches et intervenir en cas de problèmes. Par exemple, vous pouvez supprimer une tâche qui est impossible à accomplir et qui bloque l’appareil. Pour supprimer une tâche, cliquez sur l’icône Supprimerapparaissant à côté de son nom. Vous pouvez filtrer les tâches par type et par état et les trier par nom d’appareil, nom de package, nom de la personne les ayant créées et la date à laquelle elles sont planifiées. 7.1 Surveillance des tâches Sophos Mobile Admin vous permet de surveiller toutes les tâches existantes pour les appareils. • • • La page Tâches vous indique toutes les tâches qui ont échoué, qui ne sont pas encore terminées ainsi que celles qui ont été effectuées récemment. La page Vue des tâches est actualisée automatiquement. Vous pouvez donc suivre l’évolution des états des différentes tâches. La page Détails de la tâche vous donne des informations générales sur une tâche à partir de la page Tâches ou de la page Archive des tâches. La page Archive des tâches affiche toutes les tâches. 7.1.1 Affichage des tâches non terminées, en échec et récemment terminées 1. Sur le menu latéral, sous INFORMATION, cliquez sur Tâches. 2. Sur la page Vue des tâches, la colonne État indique l’état d’une tâche, par exemple Échec total. 3. Dans le champ Intervalle de rafraîchissement (en sec.), vous pouvez sélectionner la fréquence à laquelle la page Vue des tâches est rafraîchie : 4. Retrouvez plus de renseignements sur une tâche en cliquant sur l’icône en forme de loupe Afficher correspondant à la tâche désirée. La page Détails de la tâche apparaît. En plus des informations générales sur la tâche (par exemple le nom de l’appareil, le nom du package et le créateur), cette vue affiche les états passés d’une tâche spécifique y compris l’horodatage et les codes d’erreur. Si des commandes doivent être exécutées par l’appareil, un bouton Détails supplémentaire est disponible sur la page Détails de la tâche. 5. S’il est disponible, cliquez sur Détails pour voir la commande devant être exécutée par l’appareil. Les commandes envoyées à l’appareil font partie de la tâche. Elles sont exécutées par l’app SMC ou par le client MDM. Les résultats indiquant le succès ou l’échec sont transmis au serveur. S’il n’y a eu aucune erreur, le code d’erreur est « 0 ». En cas d’échec d’une commande, le code d’erreur est affiché. Dans la majorité des cas, une description de la cause de l’échec de la commande est également affichée. 6. Pour retourner sur la page Détails de la tâche, cliquez sur Précédent. Copyright © 2018 Sophos Limited 11 Sophos Mobile (version locale) 7.1.2 Affichage de la vue Archive des tâches 1. Sur le menu latéral, sous INFORMATION, cliquez sur Tâches. 2. Sur la page Vue des tâches, cliquez sur Archive des tâches. La page Archive des tâches apparaît. Elle affiche toutes les tâches terminées ou en échec sur le système. 3. Cette page vous permet de : • • • Cliquer sur Recharger pour rafraîchir la page Archive des tâches. Supprimer une tâche de l’archive en cliquant sur l’icône Supprimer correspondant à la tâche. Sélectionner plusieurs tâches et cliquez sur Supprimer la sélection pour les supprimer de l’archive. Pour retourner sur la page Vue des tâches, cliquez sur Tâches dans le menu latéral. 7.1.3 État des tâches Le tableau suivant vous donne une vue générale de l’état des tâches indiqué sur les pages Vue des tâches et Archive des tâches. Chaque état est associé à un code couleur qui indique la catégorie de l’état. Code couleur État 12 Description Accepté La tâche a été créée. Sera réessayé Une nouvelle tentative d’exécution de la tâche sera effectuée ultérieurement. Démarré La tâche a été démarrée. En cours L’exécution de la tâche est en cours de préparation. Série de tâches en cours L’exécution de la série de tâches est en cours de préparation. Notifié L’app SMC a été notifiée. Commandes envoyées L’app SMC a reçu le package et/ou les commandes. Évaluation des résultats démarrée L’app SMC a répondu et l’évaluation des résultats a démarré. Résultat incomplet L’évaluation des résultats indique que les résultats des commandes n’ont pas encore tous été reçus. En attente de l’interaction de l’utilisateur Une action de l’utilisateur est en attente sur l’appareil. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Code couleur État Description En attente de fin de la tâche Une tâche d’installation a été envoyée à l’appareil mais peut prendre un certain temps à être effectuée. L’appareil est verrouillé La tâche attend que l’appareil soit déverrouillé (sur iOS uniquement). Succès Le package a été installé ou les commandes ont été exécutées avec succès. Remarque pour l’approvisionnement initial de l’app Sophos Mobile Control, la tâche doit se terminer avec l’état Installé. Installé L’app Sophos Mobile Control a été installée avec succès. L’appareil est maintenant approvisionné. Échec de l’évaluation des résultats L’évaluation des résultats n’a pas pu être exécutée. Échec partiel de la tâche Les commandes de la tâche n’ont pas pu toutes être exécutées avec succès. Retardé La tâche sera redémarrée ultérieurement. Échec (nouvelle mise en file d’attente) La tâche a échoué et une nouvelle tentative d’exécution sera effectuée ultérieurement. Échec de la tâche La tâche a échoué et aucune autre tentative d’exécution est en file d’attente. Échec total La tâche a échoué et il est impossible de réessayer. Non démarré La tâche fait partie d’une série de tâches et n’a pas encore été traitée. Ignoré La tâche n’est pas prise en charge par l’appareil. L’exécution de la série de tâches continuera à la prochaine tâche. Inconnu(e) Le serveur n’a aucune information sur l’état de la tâche. Code couleur Catégorie Ouvrir En cours Copyright © 2018 Sophos Limited 13 Sophos Mobile (version locale) Code couleur Catégorie Succès Échec Autre 14 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 8 Alertes La page Alertes répertorie toutes les alertes nécessitant une intervention de votre part. Pour chaque alerte, la liste indique l’événement qui a causé l’alerte, lorsqu’il a eu lieu et quel utilisateur et appareil sont concernés. La liste répertorie également la sévérité des alertes : Signe d’informations gris pour les alertes pour information. Signe d’avertissement orange pour les alertes de priorité moyenne. Signe d’avertissement rouge pour les alertes de priorité élevée. Confirmer la réception des alertes Sélectionnez une ou plusieurs alertes et cliquez ensuite sur Marquée comme confirmée pour supprimer les alertes sélectionnées de la liste. Pour afficher les alertes dont la réception a été confirmée, sélectionnez Afficher les alertes confirmées dans la liste déroulante au-dessus du tableau. Remarque La confirmation de réception d’une alerte ne résout pas l’événement qui l’a déclenchée. Important Les alertes sont automatiquement supprimées de la base de données Sophos Mobile après 90 jours, même si vous avez confirmé leur réception. Créer des rapports par email pour les alertes Sophos Mobile envoie des rapports par email sur toutes les alertes dont la réception n’a pas encore été confirmée. Retrouvez plus de renseignements sur la création d’une liste de destinataires et d’un programme de notification à la section Configuration de la messagerie (page 21). Quels événements déclenchent les alertes ? Les alertes sont créées pour les événements suivants : • • • Violations de conformité pour lesquelles vous avez activé l’action Créer une alerte. Retrouvez plus de renseignements à la section Création d’une stratégie de conformité (page 43). Violations de conformité résolues Changements du cycle de vie de l’appareil : — Ajout d’un appareil — Inscription de l’appareil Copyright © 2018 Sophos Limited 15 Sophos Mobile (version locale) • — Désinscription d’un appareil Actions importantes sur l’appareil : • • • • — Réinitialisation de l’appareil — Verrouillage de l’appareil — Géolocalisation de l’appareil — Réinitialisation du mot de passe Dépassement des seuils d’utilisation des données cellulaires Tâches réussies et impossible à effectuer Espaces réservés non définis utilisés dans les profils et les stratégies Expirations imminentes des licences et certificats ci-dessous : • — Licence Sophos Mobile — Licence du Programme d’achat en volume d’Apple (VPP) — Licence du Programme d’inscription d’appareils Apple (DEP) — Licence Samsung Knox Premium — Certificats SSL/TLS du serveur Sophos Mobile — Certificat du service Apple Push Notification (APNs) — Certificats racine et client configurés dans les profils et les stratégies — Certificats de l’appareil Événements supplémentaires pour les certificats APNs : • — Certificat APNs renouvelé — Certificat APNs révoqué — Aucun certificat APNs configuré Événements Sophos Mobile Security : • — Malware détecté ou nettoyé — Application potentiellement indésirable détectée ou éliminée — App de réputation douteuse détectée ou éliminée Événements Android pour les entreprises : — Erreurs de communication Google — App professionnelle non approuvée utilisée dans la série de tâches 16 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 9 Paramètres généraux La page Paramètres généraux vous permet d’effectuer les tâches suivantes : • Personnel • — Configuration des paramètres personnels (page 17) Changement de mot de passe • — Changement de mot de passe (page 6) Stratégies de mot de passe • — Configuration des stratégies de mot de passe (page 18) App SMC • — Configuration des paramètres de l’app SMC (page 19) Android • — Activation du service Baidu Cloud Push (page 19) iOS • — Configuration des paramètres iOS (page 20) Windows • — Configuration de l’intervalle d’interrogation pour les appareils Windows (page 21) Configuration de la messagerie • — Configuration de la messagerie (page 21) Contact technique • — Configuration des coordonnées du contact technique (page 22) Propriétés client — Propriétés pour les clients (page 22) 9.1 Configuration des paramètres personnels Pour utiliser Sophos Mobile Admin de manière plus efficace, vous pouvez personnaliser l’interface utilisateur afin de n’afficher que les plates-formes sur lesquelles vous travaillez. Remarque La configuration des plates-formes vous permet uniquement de modifier la vue de l’utilisateur actuellement connecté. Vous ne pouvez pas désactiver de fonctions. 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Général, puis sur l’onglet Personnel. 2. Configurez les paramètres suivants : Option Description Langue Sélectionnez la langue de Sophos Mobile Admin. Copyright © 2018 Sophos Limited 17 Sophos Mobile (version locale) Option Description Fuseau horaire Sélectionnez le fuseau horaire dans lequel les dates seront affichées. Système de mesure Sélectionnez le système de mesure pour les unités de longueur (Métrique ou Impériale). Lignes par page dans les tableaux Sélectionnez le nombre maximal de séries de lignes de tableau que vous souhaitez afficher par page. Afficher plus de détails sur l’appareil Sélectionnez cette case pour voir toutes les informations disponibles sur l’appareil. Les onglets Propriétés personnalisées et Propriétés internes seront ajoutés à la page Affichage de l’appareil. Plates-formes activées Sélectionnez les plates-formes que vous voulez administrer pour le client : • • • • • • Android Android Things iOS Windows Mobile (inclut les systèmes d’exploitation Windows Phone 8.1 et Windows 10 Mobile) Windows Windows IoT L’interface utilisateur de Sophos Mobile Admin s’ajustera en fonction de la plate-forme que vous sélectionnez. Seules les vues et fonctions correspondant à la plate-forme sélectionnée seront affichées. Remarque La liste des plates-formes disponibles dépend des paramètres définis sur votre plate-forme à partir de la configuration du super administrateur. Retrouvez plus de renseignements dans le Guide du super administrateur de Sophos Mobile (anglais). 3. Cliquez sur Enregistrer. 9.2 Configuration des stratégies de mot de passe Pour appliquer la sécurité des mots de passe, configurez les stratégies de mot de passe pour les utilisateurs de Sophos Mobile Admin et du Portail libre-service. Remarque Les stratégies de mot de passe ne s’appliquent pas aux utilisateurs d’un annuaire LDAP externe. Retrouvez plus de renseignements sur la gestion des utilisateurs externes dans le Guide du super administrateur de Sophos Mobile (anglais). 18 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Général, puis sur Stratégies de mot de passe. 2. Sous Règles, vous pouvez indiquer les conditions requises en terme de création d’un mot de passe, notamment le nombre minimum de minuscules, de majuscules ou de chiffres qu’un mot de passe doit contenir pour être validé. 3. Sous Paramètres, configurez les paramètres suivants : a) Intervalle de modification du mot de passe (en jours) : saisissez le nombre de jours de validité du mot de passe (entre 1 et 730) ou laissez le champ vide pour désactiver l’expiration du mot de passe. b) Nombre d’anciens mots de passe ne pouvant pas être réutilisés : sélectionnez une valeur entre 1 et 10 ou sélectionnez --- pour désactiver cette restriction. c) Nombre maximal de tentatives ratées de connexion : sélectionnez le nombre de tentatives ratées de connexion autorisées avant le verrouillage du compte (entre 1 et 10) ou sélectionnez --- pour autoriser un nombre illimité de tentatives ratées de connexion. 4. Cliquez sur Enregistrer. 9.3 Configuration des paramètres de l’app SMC L’onglet App SMC de la page Paramètres généraux vous permet de configurer les paramètres de l’app Sophos Mobile Control sur les appareils Android, iOS et Windows Mobile. 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Général, puis sur l’onglet App SMC. 2. Configurez les paramètres suivants : Option Description Désactiver la désinscription via Retirez le bouton Désinscrire de l’app Sophos Mobile Control l’app afin d’empêcher les utilisateurs de désinscrire leur appareil à l’aide de l’app. Remarque Pour empêcher totalement la désinscription par l’utilisateur, désactivez également l’option Désinscrire l’appareil dans les paramètres du Portail libre-service. Retrouvez plus de renseignements à la section Configuration des paramètres du Portail libre-service (page 24). 3. Cliquez sur Enregistrer. 9.4 Activation du service Baidu Cloud Push Sophos Mobile utilise le service Google Cloud Messaging (GCM) pour envoyer des notifications push aux appareils Android afin qu’ils entrent en contact avec le serveur Sophos Mobile. En Chine, il est fort probable que GCM ne fonctionne pas. Par conséquent, Sophos Mobile peut également utiliser le service de notification push chinois Baidu Cloud Push. Copyright © 2018 Sophos Limited 19 Sophos Mobile (version locale) Si vous gérez des appareils Android situés en Chine, veuillez activer le service Baidu Cloud Push comme suit : 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Général, puis sur l’onglet Android. 2. Sous la section Service Baidu Cloud Push, sélectionnez Activer le service Baidu Cloud Push. 3. Cliquez sur Enregistrer. Lorsque Baidu Cloud Push est activé, Sophos Mobile envoie toutes les notifications push par le biais de GCM et de Baidu Cloud Push. 9.5 Configuration des paramètres iOS L’onglet iOS de la page Paramètres généraux vous permet de configurer les paramètres spécifiques aux appareils iOS. 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Général, puis sur l’onglet iOS. 2. Configurez les paramètres suivants : Option Description Contournement du verrouillage Sélectionnez Activer afin de pouvoir désactiver le Verrouillage d’activation d’activation sur les appareils supervisés. Lorsque cette option est sélectionnée, Sophos Mobile récupère un code de contournement lors de la synchronisation avec un appareil supervisé dont le verrouillage d’activation est opérationnel. Si nécessaire, vous pouvez lancer l’action Contournement du verrouillage d’activation à partir de la page Affichage de l’appareil pour désactiver le verrouillage d’activation lorsque l’appareil doit être supprimé et redéployé. Le verrouillage d’activation est une fonction de sécurité d’iOS permettant d’empêcher la réactivation d’appareils perdus ou volés. Généralement, vous avez besoin de l’identifiant Apple et du mot de passe pour désactiver le verrouillage d’activation. La fonction de verrouillage d’activation vous permet de désactiver le verrouillage d’activation en fournissant uniquement le code de contournement. Synchronisation du nom de l’appareil Sélectionnez Activer pour gérer les appareils iOS sous le nom configuré sur l’appareil. Lorsque cette option est sélectionnée, le nom de l’appareil utilisé par Sophos Mobile est défini à chaque fois que l’appareil se synchronise avec Sophos Mobile. Lorsque cette option n’est pas sélectionnée, vous devez définir le nom de l’appareil au moment de son inscription. 3. Cliquez sur Enregistrer. 20 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 9.6 Configuration de l’intervalle d’interrogation pour les appareils Windows Sur les appareils Windows, vous pouvez configurer l’intervalle d’interrogation auquel le client MDM Windows contactera le serveur Sophos Mobile. généralement, le serveur contacte le client à l’aide des notifications push. L’interrogation est utilisée en tant que mesure de sécurité en cas d’indisponibilité du service de notification push. Remarque dans la majorité des cas, vous pouvez utiliser les valeurs par défaut. L’utilisation d’intervalles de courte durée à un impact sur l’autonomie de la batterie et sur la consommation de données et impose une plus grande utilisation des ressources du serveur. 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Général, puis sur l’onglet Windows. 2. Sélectionnez les intervalles d’interrogation pour les différents systèmes d’exploitation Windows. Vous pouvez configurer les paramètres individuels pour les : • Appareils Windows 10 Mobile and Windows Phone 8.1. • Ordinateurs Windows 10 3. Cliquez sur Enregistrer. 9.7 Configuration de la messagerie L’onglet Configuration de la messagerie vous permet de configurer les paramètres des emails que Sophos Mobile va envoyer. 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Général, puis sur l’onglet Configuration de la messagerie. 2. Dans Langue, sélectionnez la langue de l’email. 3. Dans Nom de l’expéditeur, saisissez le nom de l’expéditeur de l’email qui va s’afficher. 4. Facultatif : Sous Paramètres de messages d’alerte, configurez les rapports d’alerte envoyés aux administrateurs : a) Dans Sévérité, sélectionnez les niveaux de sévérité inclus dans le rapport. b) Dans Destinataires du message, indiquez les destinataires en saisissant une ou plusieurs adresses électroniques en cours de validité. c) Dans Planification d’envoi d’email, saisissez l’heure du jour à laquelle le rapport sera envoyé et cliquez sur Ajouter. Répétez cette procédure pour envoyer plusieurs rapports par jour. Remarque Les heures sont dans le fuseau horaire du serveur. 5. Cliquez sur Enregistrer. Copyright © 2018 Sophos Limited 21 Sophos Mobile (version locale) Concepts connexes Alertes (page 15) 9.8 Configuration des coordonnées du contact technique Pour assister vos utilisateurs en cas de questions ou de problèmes, vous pouvez leur fournir les coordonnées du support technique. Les informations que vous saisissez ici sont affichées dans l’app Sophos Mobile Control et sur le Portail libre-service. 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Général, puis sur l’onglet Contact technique. 2. Saisissez les informations suivantes concernant le contact technique. 3. Cliquez sur Enregistrer. 9.9 Propriétés pour les clients Vous pouvez définir des propriétés pour les clients. Lorsque vous définissez une propriété sous le nom ma propriété, vous pouvez faire référence à la valeur de la propriété dans les profils et stratégies en utilisant l’espace réservé %_CUSTPROP(ma propriété)_%. Par exemple, vous pouvez utiliser ceci pour faire référence à un domaine spécifique au client. Retrouvez plus de renseignements sur les espaces réservés aux profils et stratégies à la section Espaces réservés dans les profils et stratégies (page 91). Pour définir une propriété pour le client : 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Général, puis sur l’onglet Propriétés client. 2. Cliquez sur Ajouter une propriété client. 3. Saisissez un nom et une valeur pour la nouvelle propriété. 4. Cliquez sur Appliquer pour ajouter la propriété. 5. Cliquez sur Enregistrer pour enregistrer les modifications des paramètres du client. 22 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 10 Configuration du Portail libre-service Le Portail libre-service vous permet de réduire la charge de travail de votre service informatique en laissant les utilisateurs inscrire eux-mêmes leurs propres appareils et effectuer les tâches sans avoir à contacter le service d’assistance. Sur le menu latéral, vous pouvez configurer les paramètres d’utilisation du Portail libre-service. Par exemple : • • • Les plates-formes sur lesquelles les appareils peuvent être inscrits. Les fonctions disponibles. Les utilisateurs autorisés à accéder au Portail libre-service. Le Portail libre-service est compatible avec les plates-formes suivantes : • • • • Android iOS Windows Mobile Windows 10.1 Création de groupes du Portail libre-service à l’aide de la gestion interne des utilisateurs Les configurations du Portail libre-service sont appliquées aux groupes d’utilisateurs du Portail libre-service. Grâce à la gestion interne des utilisateurs, vous pouvez créer des groupes du Portail libre-service et leur affecter des utilisateurs. Retrouvez plus de renseignements sur la gestion des utilisateurs à la section Gestion des utilisateurs du Portail libre-service (page 29). Remarque La gestion interne des utilisateurs est uniquement disponible pour un client si elle a été activée par le super administrateur. Retrouvez plus de renseignements dans le Guide du super administrateur de Sophos Mobile (anglais). Ceci ne s’applique pas à Sophos Mobile (version SaaS. Les super administrateurs ne sont pas compatibles avec Sophos Mobile (version SaaS. Retrouvez plus de renseignements sur la manière de définir les méthodes de gestion des utilisateurs pour Sophos Mobile (version SaaS à la section Configuration de la gestion des utilisateurs du Portail libre-service (page 29). Pour créer un groupe du Portail libre-service : 1. Sur le menu latéral, sous GESTION, cliquez sur Utilisateurs. La page Affichage des utilisateurs apparaît. 2. Cliquez sur Afficher les groupes d’utilisateur. La page Afficher les groupes d’utilisateur apparaît. 3. Cliquez sur Créer un groupe. La page Modification du groupe apparaît. 4. Dans le champ Nom, saisissez un nom pour le groupe d’utilisateurs du nouveau Portail libreservice. Copyright © 2018 Sophos Limited 23 Sophos Mobile (version locale) 5. Cliquez sur Enregistrer. Le nouveau groupe d’utilisateurs du Portail libre-service apparaît sur la page Afficher les groupes d’utilisateur. Lorsque vous créez de nouveaux utilisateurs, vous pouvez les affecter à ce groupe. Lorsque vous définissez les paramètres du Portail libre-service, vous pouvez sélectionner le groupe auquel doivent être assignés les paramètres. 10.2 Configuration des paramètres du Portail libre-service Remarque Les paramètres du Portail libre-service ne sont pas disponibles lorsque vous désactivez la gestion des utilisateurs internes et externes. Retrouvez plus de renseignements à la section Configuration de la gestion des utilisateurs du Portail libre-service (page 29). 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration puis sur Portail libre-service. La page Portail libre-service apparaît. 2. Dans l’onglet Configuration, configurez les paramètres suivants : a) Dans la liste champ Nombre maximal d’appareils, sélectionnez le nombre maximal d’appareils qu’un utilisateur peut inscrire dans le Portail libre-service. Ceci permet d’assurer que le nombre de licences disponibles n’est pas dépassé. b) Dans la liste Présélection du propriétaire de l’appareil, choisissez de classer les nouveaux appareils en tant qu’appareils professionnels ou privés et si les utilisateurs peuvent modifier cette classification lorsqu’ils inscrivent leurs appareils dans le Portail libre-service. Vous pouvez sélectionner l’un des paramètres suivants : aucune présélection : l’utilisateur peut choisir entre Appareil professionnel et Appareil personnel. • professionnel présélectionné : Appareil professionnel est pré-sélectionné. L’utilisateur peut changer cette sélection sur Appareil personnel. • professionnel fixe : Appareil professionnel est sélectionné et ne peut pas être modifié par l’utilisateur. • personnel présélectionné : Appareil personnel est pré-sélectionné. L’utilisateur peut changer cette sélection sur Appareil professionnel. • personnel fixe : Appareil personnel est sélectionné et ne peut pas être modifié par l’utilisateur. c) Sous Fonctionnalités disponibles, sélectionnez les fonctions qui doivent être mises à disposition des utilisateurs du Portail libre-service. Les fonctions prises en charge varient selon la plate-forme de l’appareil. Retrouvez plus de renseignements à la section Actions disponibles dans le Portail libre-service (page 26). 3. Sous l’onglet Conditions générales d’utilisation, vous pouvez définir la stratégie des appareils mobiles, l’avis de non-responsabilité ou le texte de la charte à afficher comme premier écran lorsque l’utilisateur inscrit son appareil. Les utilisateurs doivent accepter le texte pour pouvoir continuer. Vous pouvez utiliser HTML pour formater le texte. 4. Sous l’onglet Texte de post-installation, configurez le texte à afficher dans le Portail libreservice suite à l’inscription de l’appareil. Par exemple, utilisez cette option pour décrire les tâches à effectuer suite à l’inscription. Vous pouvez utiliser HTML pour formater le texte. • 24 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 5. Sous l’onglet Paramètres de groupe, configurez les paramètres du groupe. Par exemple, les groupes d’appareils auxquels seront ajoutés les appareils inscrits et la série de tâches qui sera transférée sur les appareils. Important En raison de la complexité de la configuration des paramètres de groupe, nous vous conseillons de tester l’inscription d’appareils pour différents groupes d’utilisateurs avant de déployer les paramètres à vos utilisateurs. a) Cliquez sur Ajouter. La page Modification des paramètres du groupe apparaît. b) Dans le champ Nom, saisissez un nom pour le groupe de configuration du Portail libreservice. c) Dans le champ Groupe d’utilisateurs, saisissez un groupe d’utilisateurs que vous avez défini (pour la gestion des utilisateurs internes) ou un groupe d’annuaires LDAP avec le chemin LDAP complet ou avec des caractères de remplacement (pour la gestion des utilisateurs externes). Vous pouvez utiliser l’astérisque (*) en tant que premier, dernier ou unique caractère dans ce champ pour indiquer plusieurs groupes. Par exemple : saisissez Dev* pour indiquer tous les noms de groupe commençant parDev. Saisissez * pour indiquer tous les groupes disponibles. Remarque La valeur * représente tous les groupes, et non pas tous les utilisateurs. Les utilisateurs n’appartenant à aucun groupe ne sont pas inclus. d) Sélectionnez Afficher les conditions générales d’utilisation pendant l’enregistrement pour afficher les conditions générales d’utilisation configurées à la première étape de la procédure d’inscription. e) Sélectionnez Afficher le texte de post-installation pendant l’enregistrement pour afficher le texte de post-installation configuré à la dernière étape de la procédure d’inscription. f) Dans les colonnes Package initial - appareils professionnels et Package initial - appareils privés, sélectionnez la série de tâches (pour Android, iOS et masOS) ou la stratégie (pour Windows et Windows Mobile) à exécuter sur les appareils professionnels et personnels. g) Dans la colonne Actif, sélectionnez les plates-formes disponibles dans le Portail libreservice. Veuillez sélectionner un package initial avant de sélectionner une plate-forme. h) Dans la colonne Ajouter au groupe d’appareils, sélectionnez le groupe auquel l’appareil doit être ajouté. Retrouvez plus de renseignements sur les groupes d’appareils à la section Groupes d’appareils (page 84). i) Cliquez sur Appliquer. 6. La vue Portail libre-service apparaît. Cliquez sur Enregistrer. Copyright © 2018 Sophos Limited 25 Sophos Mobile (version locale) Remarque En tant que super administrateur, vous pouvez également définir le client par défaut pour le Portail libre-service. Retrouvez plus de renseignements dans le Guide du super administrateur de Sophos Mobile (anglais). Veuillez noter que ceci ne s’applique pas à Sophos Mobile (version SaaS. Les super administrateurs ne sont pas compatibles avec Sophos Mobile (version SaaS. 10.3 Actions disponibles dans le Portail libreservice Cette section indique les actions disponibles dans le Portail libre-service pour chaque plate-forme. Action Description Plates-formes Géolocaliser l’appareil Cette fonction permet aux utilisateurs de géolocaliser les appareils perdus ou volés. Android iOS Windows Mobile Windows Verrouiller l’appareil Cette fonction permet aux utilisateurs de verrouiller les appareils perdus ou volés. Android iOS macOS Windows Mobile Reconfigurer l’appareil Cette fonction permet aux utilisateurs de reconfigurer leur appareil si Sophos Mobile a été supprimé et que l’appareil est toujours inscrit. Android iOS macOS Windows Mobile Windows Afficher les violations de conformité Cette fonction permet aux utilisateurs d’afficher les violations de conformité sur leurs appareils. Android iOS macOS Windows Mobile Windows 26 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Action Description Plates-formes Rafraîchir les données Cette fonction permet aux utilisateurs de synchroniser manuellement les appareils avec le serveur Sophos Mobile. Ceci s’avère particulièrement utile si, par exemple, l’appareil a été éteint pendant une longue période de temps et n’a donc pas été synchronisé avec le serveur. Dans ce cas, il se peut que l’appareil ne soit pas conforme et qu’il soit nécessaire de le synchroniser avec le serveur pour qu’il soit de nouveau conforme. Android iOS macOS Windows Mobile Windows Remarque Cette fonction n’est pas disponible pour les appareils sur lesquels Sophos Mobile administre uniquement le conteneur Sophos. Réinitialiser le mot de passe Réinitialiser Cette fonction permet aux utilisateurs de réinitialiser leur mot de passe de verrouillage de l’écran. Pour les appareils Android et iOS, un mot de passe temporaire est affiché sur le Portail libre-service. L’appareil peut uniquement être déverrouillé avec ce mot de passe. Suite au déverrouillage de leurs appareils, les utilisateurs peuvent définir un nouveau mot de passe. Pour les appareils iOS, le mot de passe est définitivement supprimé. L’utilisateur dispose de 60 minutes pour définir un nouveau mot de passe. Android Cette fonction permet aux utilisateurs de réinitialiser leurs appareils inscrits aux paramètres d’usine en cas de perte ou de vol. Toutes les données se trouvant sur l’appareil seront supprimées. Android iOS Windows Mobile iOS macOS Windows Mobile Windows Suppression du profil professionnel Android Copyright © 2018 Sophos Limited Cette fonction permet aux utilisateurs de supprimer le profil professionnel de leurs appareils. Les appareils sont également désinscrits de Sophos Mobile. Android 27 Sophos Mobile (version locale) Action Description Plates-formes Désinscrire l’appareil Cette fonction permet aux utilisateurs de retirer du service les appareils qu’ils n’utilisent plus. Ceci peut s’avérer particulièrement utile si, par exemple, le nombre d’utilisateurs pouvant s’inscrire au Portail libre-service est limité ou si les utilisateurs reçoivent de nouveaux appareils. Android Cette fonction permet aux utilisateurs de supprimer tout appareil retiré du service. Android Supprimer l’appareil non administré iOS macOS Windows Mobile Windows iOS macOS Windows Mobile Windows Réinitialiser le mot de passe de la Protection des apps Cette fonction permet aux utilisateurs de réinitialiser leur mot de passe de Protection des apps sur les appareils Android. Le mot de passe de la Protection des apps protège les apps définies et doit être saisi à chaque fois qu’un utilisateur démarre une de ces apps. Le mot de passe va être supprimé et l’utilisateur va devoir en créer un nouveau. Réinitialiser le mot de passe du conteneur Sophos Cette fonction permet aux utilisateurs Android de réinitialiser le mot de passe du iOS conteneur Sophos. Le mot de passe du conteneur Sophos doit être saisi à chaque fois qu’un utilisateur démarre l’une des apps du conteneur. Le mot de passe va être supprimé et l’utilisateur va devoir en créer un nouveau. Reconfigurer l’app SMC Cette fonction permet aux utilisateurs iOS de reconfigurer une app Sophos Mobile Windows Mobile Control déjà installée. Mode Perdu administré Les utilisateurs peuvent activer ou désactiver le mode Perdu administré. iOS Faire sonner le mode Perdu Les utilisateurs peuvent faire sonner leur appareil en mode Perdu administré. iOS Android Tâches connexes Configuration des paramètres du Portail libre-service (page 24) 28 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 10.4 Gestion des utilisateurs du Portail libreservice Sophos Mobile vous offre différentes méthodes de gestion des utilisateurs du Portail libre-service : • • Gestion des utilisateurs internes : la gestion des utilisateurs internes vous permet de créer des utilisateurs en les ajoutant manuellement dans la Sophos Mobile ou en les important à partir d’un fichier CSV. Gestion des utilisateurs externes : grâce à la gestion externe des utilisateurs, vous pouvez affecter des appareils à des groupes et à des profils selon que leur utilisateur est membre d’un répertoire externe. La méthode de gestion des utilisateurs est spécifique au client. Sur Sophos Mobile (version locale), cette opération est définie par le super administrateur au moment de la création d’un client. Sur Sophos Mobile (version SaaS, vous devez la définir avant d’ajouter des utilisateurs. Retrouvez plus de renseignements à la section Configuration de la gestion des utilisateurs du Portail libre-service (page 29). 10.4.1 Configuration de la gestion des utilisateurs du Portail libre-service Remarque Sur Sophos Mobile (version locale), la gestion des utilisateurs pour le Portail libre-service est configurée par le super administrateur au moment de la création du client. Retrouvez plus de renseignements dans le Guide du super administrateur de Sophos Mobile (anglais). 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration puis sur Configuration du système. La page Configuration du système apparaît. 2. Allez dans l’onglet Configuration de l’utilisateur. Sur cet onglet, sélectionnez la source de données pour que les utilisateurs du Portail libre-service (PLS) soient administrés par Sophos Mobile : • • • Sélectionnez Aucun. PLS, profil utilisateur ou administrateur LDAP indisponible pour désactiver la gestion des utilisateurs. Sélectionnez Annuaire interne pour utiliser la gestion des utilisateurs internes pour les utilisateurs du Portail libre-service. Sélectionnez Annuaire LDAP externe pour utiliser la gestion des utilisateurs externes pour les utilisateurs du Portail libre-service. Cliquez sur Configurer le LDAP externe pour indiquer les détails du serveur. Retrouvez plus de renseignements à la section Configuration d’une connexion à l’annuaire externe (page 30). 3. Cliquez sur Enregistrer. Si vous avez sélectionné Annuaire interne ou Annuaire LDAP externe, l’option sélectionnée et l’option Aucun. PLS, profil utilisateur ou administrateur LDAP indisponible apparaissent dans l’onglet Configuration de l’utilisateur. Si vous souhaitez changer votre sélection par la suite, sélectionnez Aucun. PLS, profil utilisateur ou administrateur LDAP indisponible pour que toutes les options soient disponibles. Copyright © 2018 Sophos Limited 29 Sophos Mobile (version locale) Remarque Il est impossible de modifier la configuration de la gestion des utilisateurs tant que des appareils sont reliés au répertoire. Si vous essayez de changer la configuration alors que des appareils sont toujours connectés, vous verrez un message d’erreur apparaître. 10.4.2 Configuration d’une connexion à l’annuaire externe Lorsque vous utilisez un annuaire LDAP externe pour gérer les comptes d’utilisateur pour Sophos Mobile Admin et le Portail libre-service, veuillez configurer la connexion à l’annuaire afin que Sophos Mobile puisse récupérer les données de l’utilisateur à partir du serveur LDAP. Sur Sophos Mobile (version locale), cette opération est effectuée par le super administrateur au moment de la création du client. Remarque Il n’y a pas de synchronisation entre le répertoire LDAP et Sophos Mobile. Sophos Mobile accède uniquement au répertoire LDAP pour consulter les informations sur l’utilisateur. Les modifications d’un compte d’utilisateur LDAP ne sont pas appliquées sur la base de données Sophos Mobile et vice versa. 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration du système, puis sur l’onglet Configuration de l’utilisateur. 2. Sélectionnez Annuaire LDAP externe. 3. Cliquez sur Configurer le LDAP externe pour indiquer les détails du serveur. 4. Sur la page Détails du serveur de l’assistant, configurez les paramètres suivants : a) Dans le champ Type de LDAP, sélectionnez le type de serveur LDAP : • Active Directory • IBM Domino • NetIQ eDirectory • Red Hat Directory Server • Zimbra b) Dans le champ URL principale, saisissez l’URL du serveur d’annuaire principal. Vous pouvez saisir l’adresse IP du serveur ou le nom du serveur. Sélectionnez SSL/TLS pour sécuriser la connexion au serveur par SSL ou TLS (selon la compatibilité du serveur). Sur Sophos Mobile (version SaaS, l’option SSL/TLS ne peut pas être dessélectionnée. c) Facultatif : Dans le champ URL secondaire, saisissez l’URL d’un serveur d’annuaires utilisé si le serveur principal ne peut pas être joint. Vous pouvez saisir l’adresse IP du serveur ou le nom du serveur. Sélectionnez SSL/TLS pour sécuriser la connexion au serveur par SSL ou TLS (selon la compatibilité du serveur). Sur Sophos Mobile (version SaaS, l’option SSL/TLS ne peut pas être dessélectionnée. d) Dans le champ Utilisateur, saisissez un compte pour les opérations de recherche dans le serveur d’annuaire. Sophos Mobile utilise les codes d’accès du compte pour se connecter au serveur d’annuaire. Pour Active Directory, vous devez également saisir le domaine adéquat. Les formats pris en charge sont : 30 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) • • <domaine>\<nom d’utilisateur> <nom d’utilisateur>@<domaine>.<code du domaine> Remarque Pour des raisons de sécurité, nous vous conseillons d’indiquer un utilisateur disposant uniquement des droits en lecture sur le serveur d’annuaire et pas des droits en écriture. e) Dans le champ Mot de passe, saisissez un mot de passe pour l’utilisateur. Cliquez sur Suivant. 5. Sur la page Base de recherche, saisissez le nom unique de l’objet de la base de recherche. L’objet de la base de recherche définit l’emplacement de l’annuaire externe à partir duquel la recherche de l’utilisateur ou du groupe d’utilisateurs commence. 6. Sur la page Champs de recherche, indiquez les champs d’annuaire à utiliser à la place des espaces réservés %_USERNAME_% et %_EMAILADDRESS_% dans les profils et dans les stratégies. Saisissez les noms de champs requis ou sélectionnez les dans les listes Nom d’utilisateur et Email. Remarque Les listes contiennent uniquement les fichiers configurés pour l’utilisateur actuellement connecté à l’annuaire LDAP conformément à ce qui est indiqué à l’étape 4.d (page 30) cidessus. Si, par exemple, un champ d’email n’a pas été configuré pour cet utilisateur, veuillez saisir manuellement la valeur requise dans le champ Email. Dans le cas d’Active Directory, les mappages de champ suivants s’appliquent : 7. • Nom d’utilisateur : sAMAccountName • Prénom : givenName • Nom : sn • Email : mail Dans le champ Configuration du PLS, indiquez les utilisateurs autorisés à se connecter au Portail libre-service. Saisissez les informations adéquates dans le champ Groupe de répertoires LDAP à l’aide d’une des options suivantes : • Lorsque vous saisissez une astérisque *, les membres de tous les groupes d’annuaire LDAP sont autorisés à se connecter au Portail libre-service. Remarque La valeur * représente tous les groupes, et non pas tous les utilisateurs. Les utilisateurs n’appartenant à aucun groupe d’annuaire LDAP ne sont pas inclus. • • Lorsque vous saisissez le nom d’un groupe défini sur le serveur d’annuaire, tous les membres de ce groupe sont autorisés à se connecter au Portail libre-service. Après avoir saisi le nom du groupe, cliquez sur Résoudre le groupe pour résoudre le nom du groupe en un nom unique. Si vous ne renseignez pas ce champ, aucun utilisateur du serveur d’annuaire ne sera autorisé à se connecter au Portail libre-service. Utilisez cette option si vous voulez activer la gestion des utilisateurs externes pour Sophos Mobile Admin et pas pour le Portail libre-service. Copyright © 2018 Sophos Limited 31 Sophos Mobile (version locale) Remarque Le groupe que vous indiquez ici n’a aucun rapport avec le groupe d’utilisateurs que vous définissez sous l’onglet Paramètres de groupe de la page Portail libre-service. Ces paramètres vous permettent de définir des séries de tâches, les membres du groupe Sophos Mobile et la disponibilité des plates-formes d’appareil pour chaque groupe d’utilisateurs. 8. Cliquez sur Appliquer. 9. Dans l’onglet Configuration de l’utilisateur, cliquez sur Enregistrer. 10.4.3 Création des utilisateurs du Portail libre-service Cette section s’applique uniquement à la gestion des utilisateurs internes lorsque vous n’utilisez pas un annuaire LDAP pour gérer les comptes d’utilisateurs. Retrouvez plus de renseignements sur la configuration de la gestion des utilisateurs pour Sophos Mobile (version locale) dans le Guide du super administrateur de Sophos Mobile (anglais). Retrouvez plus de renseignements sur la configuration de la gestion des utilisateurs pour Sophos Mobile (version SaaS à la section Configuration de la gestion des utilisateurs du Portail libre-service (page 29). Pour créer un compte d’utilisateur pour le Portail libre-service : 1. Sur le menu latéral, sous GESTION, cliquez sur Utilisateurs. La page Affichage des utilisateurs apparaît. 2. Cliquez sur Créer un utilisateur. La page Modification de l’utilisateur apparaît. 3. Sélectionnez la case Envoyer l’email d’inscription. 4. Saisissez les informations suivantes : a) Nom d’utilisateur b) Prénom c) Nom d) Adresse électronique e) Groupes (facultatif) Remarque Le champ Nom d’utilisateur doit uniquement contenir des lettres (alphabet Latin), des chiffres, des espaces et les caractères \!._-#. 5. Cliquez sur Enregistrer. Le nouvel utilisateur du Portail libre-service apparaît sur la page Affichage des utilisateurs. Un email d’enregistrement est envoyé au nouvel utilisateur. Lorsque vous cliquez sur le triangle bleu correspondant à l’utilisateur choisi, vous pouvez voir les informations lui correspondant (Afficher), Modifier ou Supprimer cet utilisateur. 32 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Remarque Lorsque vous cliquez sur un nom d’utilisateur, la page Affichage de l’utilisateur apparaît. Cette page contient le bouton Renvoyer l’email d’inscription que vous pouvez utiliser pour renvoyer l’email si l’utilisateur ne l’a pas reçu ou ne retrouve pas le premier email envoyé. 10.4.4 Importation des utilisateurs du Portail libre-service Cette section s’applique uniquement à la gestion des utilisateurs internes lorsque vous n’utilisez pas un annuaire LDAP pour gérer les comptes d’utilisateurs. Retrouvez plus de renseignements sur la configuration de la gestion des utilisateurs pour Sophos Mobile (version locale) dans le Guide du super administrateur de Sophos Mobile (anglais). Retrouvez plus de renseignements sur la configuration de la gestion des utilisateurs pour Sophos Mobile (version SaaS à la section Configuration de la gestion des utilisateurs du Portail libre-service (page 29). Vous pouvez ajouter de nouveaux utilisateurs du Portail libre-service en important un fichier CSV encodé en UTF-8 pouvant contenir jusqu’à 500 utilisateurs. Remarque utilisez un éditeur de texte pour modifier le fichier CSV. Si vous utilisez Microsoft Excel, les valeurs saisies ne seront peut-être pas résolues correctement. Assurez-vous d’avoir enregistrer le fichier avec l’extension .csv. Conseil Un modèle de fichier contenant les noms de colonne corrects et leur ordre est disponible au téléchargement sur la page Importer les utilisateurs. Pour importer les utilisateurs à partir d’un fichier CSV : 1. Sur le menu latéral, sous GESTION, cliquez sur Utilisateurs puis sur Importer les utilisateurs. 2. Sur la page Importation des utilisateurs, sélectionnez Envoyer les emails d’inscription. 3. Cliquez sur Télécharger un fichier et naviguez jusqu’au fichier CSV que vous avez préparé. Les entrées sont lues à partir du fichier et sont affichées sur la page. 4. Si le format des données est incorrect ou incohérent, le fichier ne pourra pas être importé. Dans ce cas, veuillez vérifier les messages d’erreur qui sont affichés à côté des entrées, corriger le contenu du fichier CSV et le télécharger de nouveau. 5. Cliquez sur Terminer pour créer les comptes d’utilisateur. Les utilisateurs sont importés et apparaissent sur la page Affichage des utilisateurs. Ils recevront un email contenant leurs codes d’accès de connexion au Portail libre-service. 10.4.5 Affichage des informations sur l’utilisateur 1. Sur le menu latéral, sous GESTION, cliquez sur Utilisateurs. La page Affichage des utilisateurs affiche tous les comptes d’utilisateurs du Portail libreservice. Copyright © 2018 Sophos Limited 33 Sophos Mobile (version locale) 2. Cliquez sur le triangle bleu correspondant à l’utilisateur que vous souhaitez afficher et cliquez sur Afficher. Les informations du compte et les appareils auxquels l’utilisateur est assigné sont affichés. Pour la gestion des utilisateurs internes (lorsque vous n’utilisez pas un annuaire LDAP pour gérer les comptes d’utilisateurs) vous pouvez cliquer sur Modifier pour modifier les informations du compte. 34 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 11 Configuration du système La page Configuration du système vous permet d’effectuer les tâches suivantes : • Licence • — Vérification de vos licences (page 35) APNs • — Création d’un certificat APNs (page 36) — Renouvellement d’un certificat APNs (page 37) — Copie d’un certificat APNs dans un autre client (page 38) iOS AirPlay • — Configuration des destinations iOS AirPlay (page 40) Android pour les entreprises • — Installation d’Android pour les entreprises - Généralités (page 301) Apple VPP • — Création d’un sToken du Programme d’achat en volume (page 288) — Assignation automatique des apps du Programme d’achat en volume (page 290) — Synchronisation des informations sur la licence du Programme d’achat en volume (page 293) Apple DEP • — Installation du Programme d’inscription d’appareils Apple (DEP) (page 75) Profils Apple DEP • — Création d’un profil du Programme d’inscription d’appareils (DEP) (page 76) Licence Samsung Knox • — Enregistrement de la licence Samsung Knox (page 41) SCEP • — Configuration de SCEP (page 41) Configuration de l’utilisateur • — Configuration de l’utilisateur (page 42) SGN — Activation de la synchronisation du jeu de clés professionnel (page 328) 11.1 Vérification de vos licences Sophos Mobile utilise un programme de licence par utilisateur. Une licence d’utilisateur est valide pour tous les appareils assignés à cet utilisateur. Les appareils qui ne sont pas assignés à un utilisateur nécessitent une licence pour chacun d’entre eux. Vérifiez vos licences disponibles : 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration du système. 2. Sur la page Configuration du système, cliquez sur l’onglet Licence. Les informations suivantes apparaissent : Copyright © 2018 Sophos Limited 35 Sophos Mobile (version locale) • • • • Nombre maximal de licences : nombre maximal d’utilisateurs d’appareils (et d’appareils n’étant plus assignés) pouvant être administrés. Si le super administrateur n’a pas défini de limites pour le client, le nombre de licences est limitées par le nombre total pour le serveur Sophos Mobile. Licences utilisées : nombre de licences utilisées. Valide jusqu’au : date d’expiration de la licence. Licence Advanced : Le super administrateur a activé une licence Mobile Advanced pour le client. Si vous avez des questions ou des doutes à propos des informations affichées sur la licence, veuillez contacter votre interlocuteur commercial Sophos. 11.2 Certificats du service Apple Push Notification Pour utiliser le protocole Mobile Device Management (MDM) intégré aux appareils iOS et macOS, Sophos Mobile doit utiliser le service de notification push d’Apple (APNs) pour permettre la communication avec les appareils. Les certificats APNs sont valides pendant un an. Les sections suivantes décrivent les conditions à remplir et les étapes à effectuer pour accéder aux serveurs APNs avec votre propre certificat client. 11.2.1 Conditions requises Pour pouvoir communiquer avec le service Apple Push Notification (APNs), le trafic TCP entrant et sortant des ports suivants doit être autorisé : • • Le serveur Sophos Mobile doit se connecter à gateway.push.apple.com:2195 TCP (17.0.0.0/8) Chaque appareil iOS ayant uniquement un accès via Wi-Fi doit se connecter à *.push.apple.com:5223 TCP (17.0.0.0/8) 11.2.2 Création d’un certificat APNs Cette procédure suppose que vous n’avez pas encore téléchargé de certificat du service Apple Push Notification (APNs) dans Sophos Mobile. Retrouvez plus de renseignements sur le renouvellement d’un certificat existant à la section Renouvellement d’un certificat APNs (page 37). Conseil Vous pouvez utiliser le même certificat sur plusieurs clients. Retrouvez plus de renseignements à la section Copie d’un certificat APNs dans un autre client (page 38). 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration du système puis sur l’onglet APNs. La description présente sur cet onglet vous guide tout au long des étapes que vous devez effectuer pour demander un certificat à Apple et pour le télécharger dans Sophos Mobile. 36 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 2. À l’étape Télécharger la demande de signature du certificat, cliquez sur Télécharger la demande de signature du certificat. Cette opération enregistre le fichier de demande de signature du certificat apple.csr sur votre ordinateur local. Le fichier de demande de signature est spécifique au client actuel. 3. Vous allez avoir besoin d’un identifiant Apple. Même si vous avez déjà un identifiant, nous vous conseillons d’en créer un nouveau que vous utiliserez avec Sophos Mobile. À l’étape Créer l’identifiant Apple, cliquez sur Créer un nouvel identifiant Apple. Une page Web d’Apple va s’ouvrir sur laquelle vous pouvez créer un identifiant Apple pour votre entreprise. Remarque Conservez les codes d’accès à un endroit sûr et accessibles par vos collègues de travail. Votre entreprise aura besoin de ces codes d’accès pour renouveler le certificat tous les ans. 4. Pour vos propres références, saisissez votre nouvel identifiant Apple dans le champ Identifiant Apple en haut de l’onglet APNs. Lorsque vous renouvelez le certificat tous les ans, veuillez impérativement utiliser le même Identifiant Apple. 5. À l’étape Créer/Renouveler le certificat APNs, cliquez sur Apple Push Certificates Portal. La page « Apple Push Certificates Portal » s’ouvre. 6. Connectez-vous avec votre identifiant Apple et téléchargez le fichier de demande de signature du certificat apple.csr. 7. Téléchargez le fichier de certificat APNs .pem et enregistrez-le sur votre ordinateur. 8. À l’étape Télécharger le certificat APNs, cliquez sur Télécharger le certificat et naviguez jusqu’au fichier .pem récupéré sur la page « Apple Push Certificates Portal ». 9. Cliquez sur Enregistrer pour ajouter le certificat APNs à Sophos Mobile. Sophos Mobile va lire le certificat et afficher les informations sur le certificat dans l’onglet APNs. 11.2.3 Renouvellement d’un certificat APNs Cette procédure suppose que vous avez déjà téléchargé un certificat pour le service Apple Push Notification (APNs) dans Sophos Mobile, que celui-ci est sur le point d’expirer et qu’il doit être renouvelé. Retrouvez plus de renseignements sur la création d’un nouveau certificat à la section Création d’un certificat APNs (page 36). Important Sur le portail d’Apple, veuillez impérativement sélectionner le bon certificat APNs à renouveler. Si vous renouvelez le mauvais certificat, vous devrez inscrire de nouveau tous les appareils iOS et macOS. 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration du système puis sur l’onglet APNs. 2. À l’étape Télécharger la demande de signature du certificat, cliquez sur Télécharger la demande de signature du certificat. Cette opération enregistre le fichier de demande de signature du certificat apple.csr sur votre ordinateur local. Copyright © 2018 Sophos Limited 37 Sophos Mobile (version locale) 3. Ignorez l’étape Créer l’identifiant Apple. Cette étape est uniquement requise pour la création d’un premier certificat APNs pour Sophos Mobile. 4. À l’étape Créer/Renouveler le certificat APNs, cliquez sur Apple Push Certificates Portal. La page « Apple Push Certificates Portal » s’ouvre. 5. Ouvrez une session avec vos codes d’accès Apple. Cet identifiant doit impérativement être le même que celui que vous avez utilisé pour créer le premier certificat APNs. 6. Sur Apple Push Certificates Portal, cliquez sur Renew à côté du certificat APNs de Sophos Mobile. 7. Téléchargez le fichier de demande de signature du certificat apple.csr que vous aviez préparé auparavant. 8. Téléchargez le fichier de certificat APNs .pem et enregistrez-le sur votre ordinateur. 9. À l’étape Télécharger le certificat APNs, cliquez sur Télécharger le certificat et naviguez jusqu’au fichier .pem récupéré sur la page « Apple Push Certificates Portal ». 10. Cliquez sur Enregistrer. 11. Lorsque vous êtes connecté en tant que super administrateur, une boîte de dialogue supplémentaire répertoriant tous les clients utilisant actuellement le même certificat APNs que le client super administrateur, c’est-à-dire un certificat avec le même attribut Sujet. • • Cliquez sur Enregistrer pour tous les clients concernés pour renouveler le certificat APNs pour tous ces clients. Cliquez sur Enregistrer uniquement pour le client super administrateur pour renouveler le certificat APNs pour le client super administrateur uniquement. Important Si le message suivant apparaît, ceci signifie que vous n’êtes pas en train de renouveler le bon certificat : L’objet du nouveau certificat ne correspond pas à l’ancien. Si les appareils ont été configurés avec l’ancien certificat, veuillez les configurer de nouveau. Voulez-vous vraiment enregistrer vos modifications ? Ce message vous informe que vous êtes sur le point de créer un nouveau certificat APNs avec un identifiant différent. Si vous confirmez le message, tous les appareils iOS et macOS existants ne pourront plus être administrés et vous allez devoir les réinscrire. Retrouvez plus de renseignements sur la sélection du bon certificat à la section Identification du certificat APNs à renouveler (page 39). 11.2.4 Copie d’un certificat APNs dans un autre client Vous pouvez copier un certificat du service Apple Push Notification (APNs) dans un autre client sur la même installation ou sur une installation différente de Sophos Mobile. Important Si un certificat APNs existe déjà dans l’emplacement de destination, la propriété Sujet du certificat que vous voulez copier doit être identique au Sujet du certificat existant. Si vous copiez le mauvais certificat, vous devrez réinscrire tous les appareils iOS et macOS du client. Téléchargez le certificat à partir de l’emplacement d’origine : 38 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 1. Connectez-vous à Sophos Mobile Admin en tant qu’administrateur du client pour lequel vous voulez copier le certificat APNs. 2. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration du système puis sur l’onglet APNs. 3. Veuillez noter la valeur du Sujet affichée dans les informations sur le certificat. 4. Cliquez sur Télécharger le certificat en tant que fichier PKCS #12. 5. Dans la boîte de dialogue de confirmation, le mot de passe du fichier de certificat s’affiche. Veuillez noter le mot de passe et cliquez sur Télécharger. Le fichier de certificat apple.csr va être enregistré sur votre ordinateur local. Téléchargez le certificat à partir de l’emplacement de destination : 6. Connectez-vous à Sophos Mobile Admin en tant qu’administrateur du client pour lequel vous voulez télécharger le certificat. 7. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration du système puis sur l’onglet APNs. 8. Si un certificat APNs existe déjà, assurez-vous que la valeur du Sujet est identique à la valeur du certificat que vous êtes sur le point de copier. 9. À l’étape Télécharger le certificat APNs, cliquez sur Télécharger le certificat et naviguez jusqu’au fichier apns_cert.p12 que vous avez téléchargé auparavant. 10. Saisissez le mot de passe et cliquez sur Appliquer. 11. Cliquez sur Enregistrer. 11.2.5 Identification du certificat APNs à renouveler Lorsque vous renouvelez votre certificat du service Apple Push Notification (APNs) pour le serveur Sophos Mobile comme décrit à la section Renouvellement d’un certificat APNs (page 37), veuillez sélectionner le bon certificat APNs à renouveler sur le portail d’Apple. Cette section décrit comment identifier le certificat APNs qui a été téléchargé sur le serveur Sophos Mobile. Pour récupérer l’identifiant du certificat : 1. Connectez-vous à Sophos Mobile Admin à l’aide d’un compte d’administrateur pour le client pour lequel le certificat doit être renouvelé. 2. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration du système puis sur l’onglet APNs. 3. Retrouvez les propriétés du certificat APNs téléchargé sous la section Contenu du magasin de clés d’Apple Push Notification. 4. Veuillez noter la valeur affichée dans le champ Sujet. Il s’agit de l’identifiant de votre certificat APNs. Pour identifier le certificat : 5. Utilisez votre navigateur pour ouvrir l’URL du portail Apple Push Certificates Portal, https:// identity.apple.com/pushcert/. Si vous rencontrez des problèmes avec certaines fonctions lors de la consultation du portail d’Apple avec Microsoft Internet Explorer, nous vous conseillons d’utiliser la dernière version de Firefox, Opera, Chrome ou Safari à la place. 6. Connectez-vous avec l’Identifiant Apple que vous avez utilisé pour créer le premier certificat APNs. 7. Dans la liste des certificats APNs, cliquez sur l’icône Info sur le certificat correspondant à l’entrée d’un certificat. Copyright © 2018 Sophos Limited 39 Sophos Mobile (version locale) Les informations sur le certificat apparaissent. 8. Dans le champ Objet DN, recherchez la valeur affichée après UID=. Si elle correspond à l’identifiant que vous avez noté dans Sophos Mobile Admin, vous avez trouvé le bon certificat. 11.2.6 Vérification de la connexion des appareils au service APNs Les utilisateurs de l’app Sophos Mobile Control pour iOS peuvent vérifier si leurs appareils sont en mesure de se connecter au serveur du service APNs (Apple Push Notification service). 1. Dans l’app Sophos Mobile Control, appuyez sur l’icône Informations pour ouvrir la vue À propos de. 2. Appuyez sur Vérifier APNs. L’app essaye de se connecter au serveur APNs d’Apple. Le temps de réponse du serveur doit être de 5 secondes maximum. Si l’app vous informe que le serveur APNs a été joint, l’appareil pourra recevoir des commandes de la part du serveur Sophos Mobile par le biais d’APNs. Si l’app vous informe que le serveur APNs n’a pas pu être joint, votre réseau n’autorise pas la communication APNs et Sophos Mobile ne peut donc pas administrer les appareils iOS. Pour corriger ce problème, assurez-vous que les Conditions requises (page 36) sont remplies. 11.3 Configuration des destinations iOS AirPlay Sophos Mobile vous permet de déclencher à distance la recopie vidéo AirPlay entre un appareil iOS et des destinations AirPlay prédéfinies (par exemple AppleTV). Remarque AirPlay fonctionne uniquement sur les appareils du même réseau. Vous pouvez définir les destinations pour la recopie vidéo AirPlay. 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration puis sur Configuration du système et cliquez sur l’onglet iOS AirPlay. 2. Sous la section Destinations AirPlay, cliquez sur Créer une destination AirPlay. La page Destination AirPlay apparaît. 3. Saisissez le nom de l’appareil et, si vous le voulez, l’adresse MAC de l’appareil de destination AirPlay. Si nécessaire, saisissez le mot de passe de l’appareil. 4. Cliquez sur Appliquer. L’appareil apparaît sous Destinations AirPlay sous l’onglet iOS AirPlay de la page Configuration du système. 5. Cliquez sur Enregistrer. Vous pouvez déclencher la recopie vidéo AirPlay entre un appareil iOS et cette destination en cliquant sur Demander la recopie vidéo AirPlay à partir du menu Actions sur la page Affichage de l’appareil correspondant à l’appareil de votre choix. 40 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 11.4 Enregistrement de la licence Samsung Knox Si votre entreprise a acheté une licence Samsung Knox Premium, veuillez saisir votre clé de licence, le nombre de licences et leur date d’expiration dans l’onglet Licence Samsung Knox pour administrer le conteneur Knox sur vos appareils Knox avec Sophos Mobile. 11.5 Protocole SCEP (Simple Certificate Enrollment Protocol) Vous avez la possibilité de configurer le protocole SCEP (Simple Certificate Enrollment Protocol) pour fournir des certificats. De cette manière, les appareils peuvent récupérer les certificats à partir d’une Autorité de certification en utilisant SCEP. Vous pouvez configurer tous les paramètres requis pour accéder au serveur de l’Autorité de certification en utilisant SCEP dans Sophos Mobile Admin. Vous pouvez définir les paramètres requis pour les appareils dans la configuration SCEP d’un profil d’appareil (Android et iOS) ou dans une stratégie (Windows Mobile). 11.5.1 Conditions préalables Pour pouvoir utiliser le protocole SCEP (Simple Certificate Enrollment Protocol), les conditions préalables suivantes doivent être respectées : • • • Un serveur CA Windows compatible avec SCEP est présent dans l’environnement. Les codes d’accès de connexion d’un utilisateur pouvant créer un code de challenge sont disponibles. Le serveur Sophos Mobile dispose de l’accès http ou https aux sites suivants : — https://VOTRE-SERVEUR-SCEP/CertSrv/MSCEP_ADMIN — https://VOTRE-SERVEUR-SCEP/CertSrv/MSCEP 11.5.2 Configuration de SCEP 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration du système et cliquez sur l’onglet SCEP. 2. Veuillez fournir les informations suivantes : a) Dans le champ URL du serveur SCEP, saisissez https://VOTRE-SERVEUR-SCEP/CertSrv/ MSCEP. b) Dans le champ URL de challenge, saisissez https://VOTRE-SERVEUR-SCEP/CertSrv/ MSCEP_ADMIN. Remarque Si vous utilisez un serveur Windows 2003 en tant que serveur SCEP, saisissez https:// VOTRE-SERVEUR-SCEP/CertSrv/MSCEP. Copyright © 2018 Sophos Limited 41 Sophos Mobile (version locale) c) Dans les champs Utilisateur et Mot de passe, saisissez les codes d’accès de l’utilisateur qui pourra créer un code de challenge. Remarque Dans le champ Utilisateur, saisissez un utilisateur qui dispose des droits nécessaires pour enregistrer des certificats. Utilisez le format de connexion : nomutilisateur@domaine d) Dans le champ Caractères de challenge, sélectionnez les types de caractères utilisés pour le mot de passe de challenge. e) Dans le champ Longueur du challenge, acceptez la longueur par défaut. f) Facultatif : Dessélectionnez l’option Utiliser le proxy HTTP si vous voulez que Sophos Mobile contourne le proxy HTTP lors de la connexion au serveur SCEP. Cette option est uniquement disponible si le proxy HTTP est activé. Sur Sophos Mobile (version locale), le super administrateur peut configurer un proxy HTTP que Sophos Mobile utilise pour les connexions HTTP et SSL/TLS sortantes. Retrouvez plus de renseignements dans le Guide du super administrateur de Sophos Mobile (anglais). Sur Sophos Mobile (version SaaS, le proxy HTTP est toujours activé. 3. Cliquez sur Enregistrer. Sophos Mobile teste la connexion à votre serveur SCEP. Pour déployer un profil avec SCEP, veuillez ajouter une configuration SCEP à un profil d’appareil Android ou iOS ou à une stratégie Windows Mobile. 11.6 Configuration de l’utilisateur L’onglet Configuration de l’utilisateur vous permet de modifier les paramètres de gestion des utilisateurs. Retrouvez plus de renseignements à la section Gestion des utilisateurs du Portail libreservice (page 29) et dans le Guide du super administrateur de Sophos Mobile (anglais). 42 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 12 Stratégies de conformité Les stratégies de conformité vous permettent de : • • Autoriser, interdire ou appliquer l’utilisation de certaines fonctions d’un appareil. Définir les actions qui sont exécutées si une règle de conformité est enfreinte. Vous pouvez créer différentes stratégies de conformité et les assigner à des groupes d’appareils. Vous pouvez ainsi appliquer différents niveaux de sécurité à vos appareils administrés. Conseil Si vous prévoyez de gérer des appareils professionnels et privés, nous vous conseillons de définir des stratégies de conformité distinctes au moins pour ces deux types d’appareils. 12.1 Création d’une stratégie de conformité 1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Stratégies de conformité. 2. Sur la page Stratégies de conformité, cliquez sur Créer une stratégie de conformité et sélectionnez le modèle sur lequel la stratégie sera basée : • • Modèle par défaut : une sélection de règles de conformité sans aucune action définie. Modèle PCI, Modèle HIPAA : Les règles de conformité et actions sont respectivement basées sur les normes de sécurité HIPAA et PCI DSS. Votre sélection de modèle ne limite pas les autres options de configuration. 3. Saisissez un nom et éventuellement une description de la stratégie de conformité. Répétez les étapes suivantes pour toutes les plates-formes requises. 4. Assurez-vous que la case Activer la plate-forme est sélectionnée sur chaque onglet. Si cette case n’est pas sélectionnée, la conformité des appareils de cette plate-forme ne sera pas vérifiée. 5. Sous Règle, configurez les règles de conformité pour la plate-forme. Remarque Chaque règle de conformité a un niveau de sévérité défini (élevée, moyenne, faible) représenté par l’icône bleue. Cet indice de sévérité vous aide à évaluer l’importance de chaque règle et à décider des actions à mettre en place si une de ces règles est enfreinte. Remarque Pour les appareils sur lesquels Sophos Mobile administre le conteneur Sophos plutôt que l’appareil, seule un sous-ensemble de règles de conformité est applicable. Dans Sélectionner les règles, sélectionnez un type d’administration pour mettre en évidence les règles concernées. Copyright © 2018 Sophos Limited 43 Sophos Mobile (version locale) 6. Sous Si la règle est enfreinte, vous pouvez indiquer les actions à prendre si la règle est enfreinte : Option Description Refuser l’email Interdire l’accès à la messagerie. Cette action est uniquement possible si le super administrateur a configuré une connexion au proxy EAS interne ou autonome. Retrouvez plus de renseignements dans le Guide du super administrateur de Sophos Mobile (anglais). Cette action est uniquement disponible sur les appareils Android, iOS, Windows et Windows Mobile. Verrouiller le conteneur Désactiver les apps Sophos Secure Workspace et Sophos Secure Email. Ceci s’applique aux documents, à la messagerie et à l’accès Web administrés par ces apps. Cette action peut uniquement être exécutée si vous avez activé une licence Mobile Advanced. Cette action est uniquement disponible sur les appareils Android et iOS. Refuser le réseau Interdire l’accès au réseau. Cette action est uniquement possible si le super administrateur a configuré le contrôle d’accès réseau. Retrouvez plus de renseignements dans le Guide du super administrateur de Sophos Mobile (anglais). Créer une alerte Créer une alerte. Les alertes sont affichées sur la page Alertes. Transférer une série de tâches Transférer une série de tâches spécifique à cet appareil. Sélectionner une série de tâches dans la liste ou sélectionner Aucun pour ne transférer aucune série de tâches lorsque la règle est enfreinte. Cette action est uniquement disponible sur les appareils Android, iOS, macOS et Windows. Important Si elles sont utilisées de manière incorrecte, certaines séries de tâches risquent de configurer les appareils de manière incorrecte ou même de les réinitialiser. Une connaissance approfondie du système est nécessaire pour assigner les bonnes séries de tâches aux règles de conformité. 7. 44 Lorsque vous avez terminé de configurer les paramètres de toutes les plates-formes requises, cliquez sur Enregistrer pour enregistrer la stratégie de conformité sous le nom que vous avez choisi. La nouvelle stratégie de conformité apparaît sur la page Stratégies de conformité. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 12.2 Règles de conformité disponibles Cette section répertorie les règles de conformité que vous pouvez sélectionner pou chaque plateforme. Règle Description Plates-formes Administration obligatoire Définit l’action qui sera effectuée lorsque l’appareil ne sera plus administré. Android Android Things iOS macOS Windows Mobile Windows Windows IoT Version minimum de l’app SMC Saisissez la version minimum de l’app Sophos Mobile Control qui a été installée sur l’appareil. Android Android Things iOS Windows Mobile Droits root autorisés Autorisez ou non les appareils avec les droits root. Android Remarque Pour les appareils Sony à partir de la version 4 d’Enterprise API et pour les appareils Samsung jusqu’à la version 5.5 de Knox. Ceci inclut tous les appareils classés sous la catégorie non sécurisé par l’API MDM (par exemple ; parce que le chargeur de démarrage est déverrouillé. Apps provenant de sources inconnues autorisées Autorisez ou non les apps à partir de sources inconnues. Android Cette règle affecte uniquement les appareils jusqu’à Android 7.x. À partir d’Android 8, le paramètre du système limitant les sources d’installation d’app a été supprimé. Correction du pont Android (ADB) autorisée Copyright © 2018 Sophos Limited Autorisez ou non la correction du pont ADB (Android Debug Bridge). Android 45 Sophos Mobile (version locale) Règle Description Plates-formes Autoriser le débridage Autorisez ou non les appareils débridés. iOS Verrouillage de l’écran obligatoire Sélectionnez s’il est nécessaire Android d’utiliser un mot de passe sur iOS l’appareil ou tout autre mécanisme de verrouillage de l’écran (modèle ou code Windows Mobile confidentiel). Windows Sur Android, ceci inclut les types de verrouillage d’affichage Modèle, Code confidentiel et Mot de passe mais pas Faire glisser. Les appareils Windows Mobile sans stratégie de mot de passe assignée sont toujours signalés comme non conformes. Il s’agit d’une limitation de Windows. Version minimum du système d’exploitation Sélectionnez la version la plus ancienne du système d’exploitation autorisée. Android Android Things iOS macOS Windows Mobile Windows Windows IoT Version maximale du système d’exploitation Sélectionnez la version la plus récente du système d’exploitation autorisée. Android Android Things iOS macOS Windows Mobile Windows Windows IoT Mises à jour du syst. d’exploitation obligatoire Sélectionnez si la plus récente mise à jour ou la plus récente mise à jour obligatoire doit être installée sur les appareils. iOS Certaines mises à jour d’iOS sont classées comme obligatoires par Apple. La plus récente mise à jour disponible pourrait être plus récente que la plus récente mise à jour obligatoire. 46 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Règle Description Plates-formes Intervalle maximal de synchronisation Indiquez l’intervalle maximal entre les Android opérations de synchronisation pour les Android Things appareils. iOS macOS Windows Mobile Windows Windows IoT Intervalle maximal de synchronisation de l’app SMC Indiquez l’intervalle maximal entre les opérations de synchronisation des apps pour les appareils. Intervalle maximal de contrôle de SMSec Indiquez l’intervalle maximal de Android contrôle pour les contrôles de présence de programmes malveillants effectués par l’app Sophos Mobile Security sur l’appareil. Refus des droits SMSec autorisés Sophos Mobile Security doit avoir les droits sur l’appareil pour fonctionner correctement. L’utilisateur doit accorder ces droits lorsque l’app est installée. iOS Windows Mobile Android Sélectionnez si le refus des droits entraîne une violation de la conformité ou pas. Apps malveillantes autorisées Choisissez si les apps malveillantes détectées par Sophos Mobile Security sont autorisées. Android Apps suspectes autorisées Choisissez si les apps suspectes détectées par Sophos Mobile Security sont autorisées. Android Apps potentiellement indésirables autorisées Choisissez si les apps potentiellement indésirables (PUA) détectées par Sophos Mobile Security sont autorisées. Android Copyright © 2018 Sophos Limited 47 Sophos Mobile (version locale) Règle Description Plates-formes Chiffrement requis Sélectionnez s’il est obligatoire de disposer du chiffrement sur les appareils. Android À partir des appareils Android 5, les utilisateurs doivent également activer le paramètre Exiger le code PIN pour démarrer l’appareil ou Exiger le mot de passe pour démarrer l’appareil lors de la configuration du mode de verrouillage de l’écran. Retrouvez plus de renseignements dans l’article 123947 de la base de connaissances Sophos. iOS macOS Windows Mobile Windows Pour macOS, ce paramètre s’applique au chiffrement intégral du disque FileVault. Pour Windows Mobile, une violation est uniquement signalée si la restriction Interdire les appareils non chiffrés est également définie. Il s’agit d’une limitation de Windows. Itinérance des données autorisée Autorisez ou non l’itinérance des données sur les appareils. Android Conteneur configuré Choisissez si un conteneur doit être créé et activé sur l’appareil. Il peut s’agir d’un conteneur Sophos, d’un conteneur Samsung Knox ou d’un profil professionnel Android. Android Autorisation requise pour la géolocalisation Ce paramètre est associé à la fonction Géolocaliser. Choisissez si l’utilisateur doit autoriser l’app Sophos Mobile Control à récupérer les données de position géographique au moment de l’installation afin d’être en conformité. Android Refus des droits SMC autorisés L’app Sophos Mobile Control doit avoir les droits sur l’appareil pour fonctionner correctement. L’utilisateur doit accorder ces droits lorsque l’app est installée. Android iOS Sélectionnez si le refus des droits entraîne une violation de la conformité ou pas. 48 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Règle Description Plates-formes App peut géolocaliser Les services de géolocalisation doivent iOS être activés et l’app Sophos Mobile Windows Mobile Control doit être autorisée pour pouvoir les utiliser. Pour Windows Mobile, cette règle s’applique uniquement aux appareils Windows Phone 8.1. Pare-feu obligatoire Le pare-feu macOS doit être activé. macOS Protection de l’intégrité du système obligatoire La Protection de l’intégrité du système doit être activée macOS Remarque La Protection de l’intégrité du système est une fonction de sécurité macOS qui limite les actions pouvant être effectuées par l’utilisateur racine. La Protection de l’intégrité du système peut être configurée au démarrage du Mac à partir de la Récupération de macOS. Mises à jour de sécurité obligatoire Copyright © 2018 Sophos Limited L’installation automatique des mises à jour de sécurité doit être activée. macOS 49 Sophos Mobile (version locale) Règle Description Plates-formes Apps autorisées / Apps interdites Vous pouvez indiquer soit Apps autorisées soit Apps interdites. Sélectionnez l’option désirée dans la première liste et sélectionnez le groupe d’apps contenant les apps qui doivent être autorisées ou interdites dans la seconde liste. Retrouvez plus de renseignements sur la création des groupes d’apps à la section Groupes d’apps (page 295). Android iOS macOS Si vous indiquez Apps autorisées, seules les apps répertoriées sont autorisées. Si d’autres apps sont détectées, l’appareil ne sera plus conforme. Remarque Les apps du système Android sont automatiquement autorisées. Si vous indiquez Apps interdites, l’appareil ne sera plus conforme si ces apps sont détectées. Apps obligatoires Indiquez les apps qui doivent être installées. Sélectionnez le groupe d’apps contenant les apps obligatoires dans la liste. Retrouvez plus de renseignements sur la création des groupes d’apps à la section Groupes d’apps (page 295). Android Windows Defender doit être activé Le paramètre protection en temps réel de Windows Defender doit être activé. Windows Windows Defender doit déclarer un état propre L’appareil n’est pas conforme lorsque Windows Defender affichent des alertes. Windows Définitions mises à jour de Windows Defender requises Windows Defender doit utiliser les définitions de spywares les plus récentes. Windows iOS macOS Windows 12.3 Assignation d’une stratégie de conformité aux groupes d’appareils 1. Sur le menu latéral, sous GESTION, cliquez sur Groupes d’appareils. 50 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) La page Groupes d’appareils apparaît. 2. Cliquez sur le triangle bleu correspondant au groupe d’appareils auquel vous souhaitez assigner la stratégie de conformité et cliquez sur Modifier. Un groupe d’appareil par défaut Default est toujours disponible. Retrouvez plus de renseignements sur la création de vos propres groupes d’appareils à la section Création d’un groupe d’appareils (page 84). 3. Sous Stratégies de conformité, sélectionnez les stratégies de conformité que vous voulez appliquer aux appareils professionnels et personnels. 4. Cliquez sur Enregistrer. Les stratégies de conformité sélectionnées sont affichées sur la page Groupes d’appareils sous Stratégie de conformité (professionnelle) et Stratégie de conformité (personnelle). 12.4 Vérification de la conformité des appareils Après avoir configuré les stratégies de conformité, vous pouvez vérifier si les appareils inscrits sont conformes aux à ces stratégies. 1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Stratégies de conformité. 2. Cliquez sur Vérifier maintenant. La conformité de tous les appareils inscrits est vérifiée. Les actions indiquées sont effectuées. Copyright © 2018 Sophos Limited 51 Sophos Mobile (version locale) 13 Appareils 13.1 Ajout d’appareils Vous pouvez ajouter les appareils dans Sophos Mobile de la manière suivante : • • • • Ajouter des appareils manuellement. Retrouvez plus de renseignements à la section Ajout d’un appareil (page 52). Importer les appareils à partir d’un fichier CSV (valeur séparée par virgules). Retrouvez plus de renseignements à la section Importation des appareils (page 53). Vous utilisez l’assistant d’inscription pour ajouter un appareil à Sophos Mobile, lui assigner un utilisateur, l’inscrire et transférer une série de tâches d’inscription. Retrouvez plus de renseignements à la section Utilisation de l’assistant d’inscription d’appareils pour assigner et inscrire de nouveaux appareils (page 56). Vous autorisez les utilisateurs à inscrire eux-mêmes leurs appareils dans le Portail libre-service. Retrouvez plus de renseignements à la section Configuration du Portail libre-service (page 23). Ce portail permet de réduire la charge de travail du service informatique en permettant aux utilisateurs d’effectuer certaines tâches sans assistance. Les appareils sont approvisionnés grâce à l’exécution de séries de tâches définies. Retrouvez plus de renseignements à la section Séries de tâches (page 263). Nous vous conseillons d’utiliser des groupes d’appareils pour faciliter l’administration des appareils. Retrouvez plus de renseignements à la section Groupes d’appareils (page 84). 13.1.1 Ajout d’un appareil Nous vous conseillons de créer un ou plusieurs groupes d’appareils avant d’ajouter votre premier appareil à Sophos Mobile. Vous pourrez ensuite assigner chaque appareil à un groupe d’appareils pour faciliter la gestion des appareils. Retrouvez plus de renseignements à la section Création d’un groupe d’appareils (page 84). Pour ajouter un nouvel appareil à Sophos Mobile : 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils. La page Appareils apparaît. 2. Cliquez sur Ajouter et sélectionnez la plate-forme sous le menu Ajouter un appareil manuellement. La page Modification de l’appareil apparaît. 3. Sur la page Modification de l’appareil, indiquez les informations suivantes sur l’appareil : a) Dans le champ Nom, saisissez un nom exclusif au nouvel appareil. b) Dans le champ Description, saisissez une description pour le nouvel appareil. c) Sous Propriétaire, sélectionnez Professionnel ou Personnel. d) Dans le champ Adresse électronique, saisissez une adresse électronique. e) Dans le champ Numéro de téléphone, saisissez le numéro de téléphone du nouvel appareil. Saisissez le numéro de téléphone au format international, par exemple +33 17 01 23 45 67. f) Sous Groupe d’appareils, sélectionnez le groupe d’appareils auquel l’appareil va être affecté. Retrouvez plus de renseignements sur la création de groupes d’appareils à la section Création d’un groupe d’appareils (page 84). 52 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 4. Pour assigner un utilisateur à l’appareil, cliquez sur l’icône Modifier l’assignation d’un utilisateur située près du champ Utilisateur puis, cliquez sur Assigner l’utilisateur à l’appareil. Retrouvez plus de renseignements à la section Assignation d’un utilisateur à un appareil (page 67). 5. Pour ajouter des propriétés personnalisées à l’appareil, rendez-vous dans l’onglet Propriétés personnalisées et cliquez sur le bouton Ajouter une propriété personnalisée. Retrouvez plus de renseignements à la section Propriétés personnalisées pour les appareils (page 67). 6. Dès que toutes les informations nécessaires sur l’appareil sont saisies, cliquez sur Enregistrer. Le nouvel appareil est ajouté à Sophos Mobile et apparaît sur la page Appareils sous GESTION. Vous pouvez maintenant approvisionner et gérer l’appareil. Remarque Pour les appareils iOS, lorsque vous avez configuré Sophos Mobile pour synchroniser le nom de l’appareil avec l’appareil conformément aux instructions de la section Configuration des paramètres iOS (page 20), le nom que vous avez saisi dans le champ Nom est remplacé par le nom configuré au cours de la synchronisation. 13.1.2 Importation des appareils Vous pouvez ajouter de nouveaux appareils en important un fichier CSV (valeurs séparées par virgules) encodé en UTF-8 contenant jusqu’à 500 appareils. Remarque utilisez un éditeur de texte pour modifier le fichier CSV. Si vous utilisez Microsoft Excel, les valeurs saisies ne seront peut-être pas résolues correctement. Assurez-vous d’avoir enregistrer le fichier avec l’extension .csv. Remarque Les utilisateurs mentionnés dans votre fichier CSV doivent déjà être disponibles dans Sophos Mobile. Conseil Un modèle de fichier contenant les noms de colonne corrects et leur ordre est disponible au téléchargement sur la page Importer les appareils. Pour importer les appareils à partir d’un fichier CSV : 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils. 2. Sur la page Appareils, cliquez sur Ajouter > Importer les appareils. 3. Sur la page Importer les appareils, cliquez sur Télécharger un fichier et naviguez jusqu’au fichier CSV que vous avez préparé. Les entrées sont lues à partir du fichier et sont affichées sur la page. 4. Si le format des données est incorrect ou incohérent, le fichier ne pourra pas être importé. Dans ce cas, veuillez vérifier les messages d’erreur qui sont affichés à côté des entrées, corriger le contenu du fichier CSV et le télécharger de nouveau. Copyright © 2018 Sophos Limited 53 Sophos Mobile (version locale) 5. Cliquez sur Terminer pour créer les appareils. Les appareils répertoriés dans le fichier CSV sont importés et apparaissent sur la page Appareils. Vous pouvez maintenant inscrire et configurer les appareils. 13.2 Inscription des appareils Après avoir ajouté de nouveaux appareils à Sophos Mobile Admin, ceux-ci doivent être inscrits à Sophos Mobile. Types d’inscription Sophos Mobile prend en charge deux types d’inscription : Inscription d’appareil Ce type d’inscription permet de bénéficier des fonctionnalités MDM (Mobile Device Management) complètes. Sophos Mobile administre tout l’appareil. Inscription d’un conteneur Sophos Sophos Mobile administre uniquement le conteneur Sophos sur l’appareil mais pas l’appareil lui-même. Le conteneur Sophos est uniquement disponible sur Android et iOS. L’inscription du conteneur Sophos est utile dans les situations suivantes : • • • Vous voulez administrer les scénarios BYOD (Bring Your Own Device). Avec l’inscription de conteneurs Sophos, votre entreprise ne voit qu’une quantité limitée d’informations sur l’appareil et aucune app ou donnée personnelle. Vos appareils sont administrés par un logiciel MDM d’une autre marque. Toutefois, vous voulez également utiliser des fonctions offertes par le conteneur Sophos, par exemple, la synchronisation des jeux de clé professionnels avec Sophos SafeGuard Enterprise. Vos appareils sont administrés par un logiciel MDM d’une autre marque. Toutefois, vous voulez configurer des comptes de messagerie supplémentaires. Par exemple, lorsque vous êtes une société de conseils et que vos employés ont besoin d’accéder aux serveurs Exchange de vos clients. Méthodes d’inscription Les options d’inscription d’appareils suivantes sont disponibles : 54 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) • • Vous pouvez inscrire chaque appareil non administré à l’aide de la fonction Appareil. Retrouvez plus de renseignements à la section Inscription d’appareils individuels (page 55). Vous pouvez utiliser l’assistant d’inscription pour ajouter un appareil à Sophos Mobile, lui assigner un utilisateur, l’inscrire et transférer une série de tâches d’inscription. Retrouvez plus de renseignements à la section Utilisation de l’assistant d’inscription d’appareils pour assigner et inscrire de nouveaux appareils (page 56). Remarque Si nécessaire, vous pouvez utiliser l’assistant d’inscription d’appareils ou la méthode d’inscription automatique pour inscrire les appareils iOS sans identifiant Apple. Ceci peut, par exemple, s’avérer particulièrement utile pour préconfigurer l’appareil avant de le remettre à un utilisateur. Retrouvez plus de renseignements à la section Inscription des appareils iOS sans identifiant Apple (page 58). Conseils d’utilisation Pour inscrire et configurer plusieurs appareils de manière plus efficace, nous vous conseillons d’utiliser les méthodes suivantes : • • Vous pouvez regrouper les tâches nécessaires à l’inscription d’appareils, appliquer les stratégies requises et installer les apps requises (par exemple, les apps administrées pour les appareils iOS). Retrouvez plus de renseignements à la section Séries de tâches (page 263). Vous pouvez autoriser les utilisateurs à inscrire leurs appareils dans le Portail libre-service. Pour ce faire, vous devez inclure une série de tâches pour l’inscription lors de la configuration des paramètres pour l’utilisation du Portail libre-service. Retrouvez plus de renseignements sur la création de séries de tâches pour l’inscription dans le Guide de démarrage de Sophos Mobile ou dans le Guide de démarrage de Sophos Mobile as a Service. Retrouvez plus de renseignements sur la sélection de la série de tâches dans les paramètres du Portail libre-service à la section Configuration des paramètres du Portail libre-service (page 24). 13.2.1 Inscription d’appareils individuels 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils et sélectionnez l’appareil que vous voulez inscrire. 2. Sur la page Affichage de l’appareil, sélectionnez une action d’inscription : • Pour inscrire l’appareil à Sophos Mobile, cliquez sur Actions > Inscrire. • Pour inscrire le conteneur Sophos, cliquez sur Actions > Inscrire le conteneur Sophos. 3. Pour l’inscription du conteneur Sophos, sélectionnez une série de tâches ou une stratégie. La tâche d’inscription commence et s’affiche sur la page Vue des tâches. Un email contenant les instructions d’inscription est envoyé à l’utilisateur. Remarque Sur les Macs, la procédure d’inscription doit être effectuée par l’utilisateur qui sera administré par Sophos Mobile. Pour installer le profil d’inscription, l’utilisateur doit saisir un mot de passe d’administrateur. Copyright © 2018 Sophos Limited 55 Sophos Mobile (version locale) 13.2.2 Utilisation de l’assistant d’inscription d’appareils pour assigner et inscrire de nouveaux appareils Vous pouvez facilement inscrire de nouveaux appareils grâce à l’assistant d’inscription d’appareils. Il vous permet d’effectuer les tâches suivantes : • • • • Ajouter un nouvel appareil à Sophos Mobile. Facultatif : assigner un utilisateur à un appareil. Inscrire l’appareil. Facultatif : transférer une série de tâches sur cet appareil. Pour démarrer l’assistant d’inscription d’appareils : 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils puis sur Ajouter > Assistant d’inscription. Conseil Vous avez également la possibilité de démarrer l’assistant à partir de la page du Tableau de bord en cliquant sur le widget Ajouter un appareil. 2. Sur la page de l’assistant Saisir des paramètres de recherche de l’utilisateur, vous pouvez soit saisir les critères de recherche pour retrouver un utilisateur à qui l’appareil va être assigné, soit sélectionner Ignorer l’assignation d’un utilisateur pour inscrire un appareil qui ne va pas encore être assigné à un utilisateur. 3. Lorsque vous avez saisi les critères de recherche, l’assistant affiche une liste des utilisateurs correspondants. Sélectionnez l’utilisateur requis. 4. Sur la page Détails de l’appareil de l’assistant, configurez les paramètres suivants : Option Description Plate-forme La plate-forme de l’appareil. Vous pouvez uniquement sélectionner une plate-forme qui est activée pour le client auquel vous êtes connecté. Nom Un nom unique sous lequel l’appareil va être administré par Sophos Mobile. Description Une description de l’appareil (renseignement facultatif). Numéro de téléphone Un numéro de téléphone (renseignement facultatif). Saisissez le numéro de téléphone au format international, par exemple +33 17 01 23 45 67. Adresse électronique L’adresse électronique à laquelle les instructions d’inscription vont être envoyées. Si la gestion des utilisateurs est configurée pour le client, il s’agit de l’adresse électronique de l’utilisateur assigné à l’appareil. Si la gestion des utilisateurs n’est pas configurée, saisissez l’adresse email ici. 56 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Option Description Propriétaire Sélectionnez le type de propriétaire de l’appareil : soit Professionnel soit Personnel. Groupe d’appareils Sélectionnez le groupe d’appareils auquel l’appareil va être assigné. Si vous n’avez pas encore créé de groupe d’appareils, vous pouvez sélectionner le groupe d’appareils Default (par défaut) qui est toujours disponible. 5. Si vous avez configuré l’inscription au conteneur Sophos, vous pouvez choisir d’inscrire l’appareil ou uniquement le conteneur Sophos. Retrouvez plus de renseignements à la section Configuration de l’inscription d’un conteneur Sophos (page 324). 6. Sélectionnez une série de tâches qui sera transférée à l’appareil suite à son inscription. Ou sélectionnez Inscrire l’appareil uniquement pour inscrire l’appareil sans transférer une série de tâches. Pour l’inscription du conteneur Sophos, vous pouvez sélectionner une stratégie plutôt qu’une série de tâches. Lorsque vous cliquez sur Suivant, l’appareil est ajouté à Sophos Mobile. 7. Sur la page de l’assistant d’Inscription, suivez les instructions pour finaliser le processus d’inscription. Remarque Sur les Macs, la procédure d’inscription doit être effectuée par l’utilisateur qui sera administré par Sophos Mobile. Pour installer le profil d’inscription, l’utilisateur doit saisir un mot de passe d’administrateur. 8. Lorsque l’opération d’inscription a réussi, cliquez sur Terminer pour fermer l’assistant d’inscription d’appareils. Remarque • Lorsque vous avez effectué toutes les sélections, vous pouvez fermer l’assistant sans avoir à attendre que le bouton Terminer apparaisse. Une tâche d’inscription est créée et traitée en tâche de fond. • Si vous avez sélectionné une série de tâches à transférer sur l’appareil après l’inscription, vous pouvez suivre l’état de la tâche sur la page Vue des tâches. Retrouvez plus de renseignements à la section Affichage des tâches non terminées, en échec et récemment terminées (page 11). • Pour les appareils iOS, lorsque vous avez configuré Sophos Mobile pour synchroniser le nom de l’appareil avec l’appareil conformément aux instructions de la section Configuration des paramètres iOS (page 20). Le nom que vous avez saisi dans le champ Nom est ignoré et c’est le nom configuré sur l’appareil qui est utilisé à la place. 13.2.3 Inscription automatique des appareils iOS Vous pouvez configurer les appareils iOS pour qu’ils s’inscrivent automatiquement à Sophos Mobile au cours de l’activation de l’appareil. Vous allez devoir utiliser Apple Configurator 2 pour assigner Copyright © 2018 Sophos Limited 57 Sophos Mobile (version locale) les appareils au serveur MDM de Sophos Mobile. Lorsque les utilisateurs mettent en marche leurs appareils pour la première fois, l’assistant d’installation d’iOS démarre. Au cours de l’installation, les appareils sont inscrits automatiquement à Sophos Mobile. Remarque Retrouvez une description détaillée d’Apple Configurator 2 dans l’Aide Apple Configurator 2. Pour configure l’inscription automatique des appareils iOS à Sophos Mobile : 1. L’étape de préparation à l’inscription automatique consiste à créer un groupe d’appareils qui sera assigné aux appareils pendant la phase d’inscription automatique à Sophos Mobile. Dans les propriétés du groupe d’appareils, sélectionnez l’option Activer l’inscription automatique d’iOS. Retrouvez plus de renseignements à la section Création d’un groupe d’appareils (page 84). 2. Notez l’URL qui s’affiche dans le champ URL d’inscription automatique du groupe d’appareils. Vous allez avoir besoin de cette URL pour configurer les appareils avec Apple Configurator 2. 3. Connectez l’appareil iOS que vous voulez inscrire automatiquement au port USB d’un Mac sur lequel Apple Configurator 2 est installé. 4. Dans Apple Configurator 2, utilisez l’Assistant préparation pour régler la configuration de l’appareil. 5. Sélectionnez Inscription manuelle et saisissez l’URL d’inscription automatique du groupe d’appareils. 6. Suivez les autres étapes de l’Assistant préparation. Vous avez également la possibilité de configurer les aspects suivants de l’activation de l’appareil : • • • • Activer le mode de supervision de l’appareil. Configurer les ordinateurs hôtes auxquels l’appareil est autorisé à se connecter sans utiliser de ports USB. Pour les appareils supervisés, veuillez générer ou choisir une « identité de supervision ». Désactiver les étapes de configuration de l’assistant d’installation d’iOS. Après avoir terminé la configuration, remettez l’appareil à l’utilisateur. Lorsque l’utilisateur démarrera mettra son appareil en marche pour la première fois, la configuration d’iOS et l’inscription à Sophos Mobile seront effectuées conformément à la configuration définie. Conseil Par défaut, Sophos Mobile gère les appareils inscrits automatiquement sous un nom composé de l’identifiant de l’appareil et du type de l’appareil. Autrement, Sophos Mobile peut utiliser le nom configuré sur l’appareil. Retrouvez plus de renseignements sur l’option Synchronisation du nom de l’appareil à la section Configuration des paramètres iOS (page 20). 13.2.4 Inscription des appareils iOS sans identifiant Apple Vous pouvez commencer par inscrire un appareil iOS dans Sophos Mobile sans avoir à l’associer à un identifiant Apple. Ceci peut, par exemple, s’avérer particulièrement utile pour préconfigurer l’appareil avant de le remettre à un utilisateur. La méthode d’inscription standard consiste à installer l’app Sophos Mobile Control sur l’appareil. L’app étant installée à partir de la boutique d’apps est uniquement accessible à l’aide d’un identifiant Apple. Vous devez donc associer l’appareil à cet identifiant avant de commencer la procédure d’inscription. 58 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Une autre méthode d’inscription consiste à inscrire un appareil iOS sans installer l’app Sophos Mobile Control. Il n’est donc pas nécessaire d’associer l’appareil à un identifiant Apple. Vous pouvez effectuer cette opération avec : • • La méthode d’inscription automatique. Retrouvez plus de renseignements à la section Inscription automatique des appareils iOS (page 57). L’assistant d’inscription d’appareils. Retrouvez plus de renseignements à la section Utilisation de l’assistant d’inscription d’appareils pour assigner et inscrire de nouveaux appareils (page 56). Dans l’assistant d’inscription d’appareils, procédez comme suit : 1. Sur la page Inscription, sélectionnez l’onglet Inscription sans identifiant Apple. 2. Utilisez le navigateur Web de l’appareil pour ouvrir l’URL d’inscription. Un formulaire d’inscription à Sophos Mobile s’ouvre. 3. Saisissez le token dans ce formulaire et cliquez sur Inscrire. 4. Suivez les instructions sur l’appareil pour installer la série de tâches d’inscription. 13.2.5 Inscription d’un appareil Android Things Cette section vous explique comment inscrire un appareil Android Things avec l’assistant d’inscription d’appareils. Conditions préalables : • • • Vous avez préparé un ordinateur (ordinateur hôte) connecté à votre réseau d’IP local et sur lequel l’outil de ligne de commande Android Debug Bridge (adb) est installé. adb fait partie du package Android SDK Platform-Tools. Ce package peut soit être installé dans le cadre de l’installation d’Android SDK ou en tant que package autonome. Retrouvez plus de renseignements dans la documentation Android developer. Vous avez installé (flashé) le fichier image d’Android Things sur l’appareil que vous voulez inscrire. Vous avez connecté l’appareil à votre réseau d’IP local par le biais d’Ethernet ou d’une connexion Wi-Fi. Pour inscrire l’appareil Android Things à Sophos Mobile : 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils puis sur Ajouter > Assistant d’inscription. 2. Utilisez l’assistant d’inscription d’appareils conformément aux instructions de la section Utilisation de l’assistant d’inscription d’appareils pour assigner et inscrire de nouveaux appareils (page 56) pour commencer la procédure d’inscription. Pour un appareil Android Things, procédez de la manière suivante : a) À l’étape Détails de l’appareil de l’assistant, dans le champ Plate-forme, sélectionnez Android Things. b) À l’étape Inscription de l’assistant, cliquez sur Ouvrir la section de téléchargements Sophos Mobile et téléchargez le fichier APK de la dernière version du Client SMC Android. 3. Copiez le fichier APK sur l’ordinateur hôte. Conseil Vous pouvez utiliser le même fichier APK sur tous les appareils Android Things que vous inscrivez. Copyright © 2018 Sophos Limited 59 Sophos Mobile (version locale) 4. Sur l’ordinateur hôte, utilisez la ligne de commande adb pour connecter l’appareil Android Things où <adresse-ip> correspond à l’adresse IP de l’appareil : adb connect <adresse-ip> connected to <adresse-ip>:5555 5. Installez l’app Sophos Mobile Control sur l’appareil Android Things avec la commande adb suivante : adb install <chemin-fichier-apk> 6. Redémarrez l’appareil en utilisant par exemple la commande adb suivante : adb reboot Remarque Un redémarrage est requis pour accorder les autorisations requises à l’app Sophos Mobile Control. 7. Après avoir redémarré, connectez de nouveau l’appareil : adb connect <adresse-ip> 8. Configurez l’app Sophos Mobile Control avec la commande adb affichée par l’assistant d’inscription d’appareils ou en utilisant l’email d’instructions : adb shell am start -d "<paramètres-configuration>" Remarque Vous allez peut être recevoir un message du système Warning: Activity not started, its current task has been brought to the front. Vous pouvez ignorer ce message. L’app Sophos Mobile Control sur l’appareil Android Things se connecte à votre serveur Sophos Mobile. Une fois la procédure d’inscription terminée, l’appareil apparaît sous l’état Administré dans Sophos Mobile. 13.2.6 Inscription de l’appareil Windows IoT Cette section vous explique comment inscrire un appareil Windows IoT avec l’assistant d’inscription d’appareils. Conditions préalables : • • Vous avez installé (flashé) Windows 10 IoT Core sur l’appareil que vous voulez inscrire. Vous avez connecté l’appareil à votre réseau d’IP local par le biais d’Ethernet ou d’une connexion Wi-Fi. Pour inscrire l’appareil Windows IoT à Sophos Mobile : 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils puis sur Ajouter > Assistant d’inscription. 60 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 2. Utilisez l’assistant d’inscription d’appareils conformément aux instructions de la section Utilisation de l’assistant d’inscription d’appareils pour assigner et inscrire de nouveaux appareils (page 56) pour commencer la procédure d’inscription. Pour un appareil Windows IoT, procédez de la manière suivante : a) À l’étape Détails de l’appareil de l’assistant, dans le champ Plate-forme, sélectionnez Windows IoT. b) À l’étape Inscription de l’assistant, cliquez sur Télécharger le package d’approvisionnement pour télécharger un fichier .ppkg avec le package d’approvisionnement pour Sophos Mobile. Ce lien est également disponible dans l’email d’instructions. 3. Sur un ordinateur Windows connecté au même réseau local que l’appareil Windows IoT, utilisez l’Explorateur de fichiers Windows pour vous connecter à l’appareil. Dans la barre d’adresse de l’Explorateur de fichiers, saisissez l’adresse suivante où <adresseip> correspond à l’adresse IP de l’appareil : \\<adresse-ip>\c$ Saisissez votre nom et votre mot de passe d’administrateur de l’appareil le cas échéant. 4. Copiez le fichier .ppkg téléchargé à partir de l’assistant d’inscription dans le dossier C:\Windows \Provisioning\Packages de l’appareil. Remarque Ce dossier doit uniquement contenir un seul fichier .ppkg. 5. Redémarrez l’appareil. Après avoir redémarré, l’appareil Windows IoT exécute le package d’approvisionnement et se connecte à votre serveur Sophos Mobile. Une fois la procédure d’inscription terminée, l’appareil apparaît sous l’état Administré dans Sophos Mobile. Important Sur la page Affichage de l’appareil, n’effectuez pas les actions Définir sur « Non administré » ou Supprimer avant d’avoir désinscrit l’appareil. En cas contraire, vous devrez réinitialisez l’appareil avant de pouvoir le réinscrire. Pour le réinitialiser, vous allez devoir réinstaller (flasher) une image Windows 10 IoT Core sur l’appareil. 13.3 Désinscription des appareils Vous pouvez désinscrire les appareils qui ne seront plus utilisés. Par exemple, si un utilisateur utilise un nouvel appareil. Ceci peut, par exemple, s’avérer particulièrement utile si le nombre d’appareils que l’utilisateur est autorisé à inscrire dans le Portail libre-service est limité. 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils. 2. Sélectionnez l’appareil de votre choix, cliquez sur Actions puis sur Désinscrire. Un message apparaît vous demandant de confirmer si vous voulez désinscrire l’appareil. Copyright © 2018 Sophos Limited 61 Sophos Mobile (version locale) Remarque Il est possible de sélectionner plusieurs appareils à désinscrire. 3. Cliquez sur Oui. L’appareil est désinscrit. Cette opération a les effets suivants : • Appareils Android : • — L’administrateur d’appareils de Sophos Mobile Control est désactivé. — Les données de connexion du serveur et toutes les autres données reçues sont supprimées. — Les apps de conteneurs (Sophos Secure Workspace et Sophos Secure Email) et l’app Sophos Mobile Security sont réinitialisées. Appareils iOS : — — — — • Tous les profils sont supprimés. Toutes les apps administrées sont supprimées. Tous les certificats reçus via la gestion des appareils mobiles MDM sont supprimés. Les apps de conteneurs (Sophos Secure Workspace et Sophos Secure Email) sont réinitialisées. Macs : — Toutes les stratégies sont supprimées. — Tous les certificats reçus via la gestion des appareils mobiles MDM sont supprimés. Remarque Pour les appareils inscrits à Sophos Mobile sous le mode propriétaire de l’appareil Android pour les entreprises, il n’existe aucune action de désinscription dédiée. Pour désinscrire un tel appareil, vous devez le réinitialiser. 13.4 Gestion des appareils Sur le menu latéral, sous GESTION > Appareils et Groupes d’appareils, vous pouvez suivre l’état de tous les appareils et groupes d’appareils et pouvez effectuer de nombreuses tâches administratives. Après avoir ajouté des appareils à Sophos Mobile, vous pouvez par exemple : • • • • • • • Voir et modifier les détails de l’appareil. Autoriser ou interdire l’accès à la messagerie aux appareils. Verrouiller ou déverrouiller des appareils à distance. Réinitialiser les mots de passe des appareils. Réinitialiser l’appareil à distance en cas de perte ou de vol. Retirer du service les appareils (Android et iOS). Supprimer des appareils. 13.4.1 Affichage des appareils 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils. 62 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 2. Rendez-vous sur l’appareil concerné et cliquez sur son nom. La page Affichage de l’appareil s’affiche pour l’appareil sélectionné. Conseil Sur la page Appareils, vous pouvez afficher des informations supplémentaires en passant votre curseur au-dessus de certains éléments : • Passez votre curseur sur l’icône « Non administré » d’un appareil pour afficher son état en cours (Désinscrit ou Vérifié). • Passez votre curseur sur l’icône « Non conforme » d’un appareil pour afficher son niveau de sévérité (élevée, moyenne, faible). 13.4.2 Page Affichage de l’appareil La page Affichage de l’appareil vous permet de consulter toutes les informations disponibles sur l’appareil de votre choix. Dans la partie supérieure de la page, vous pouvez consulter rapidement les informations les plus importantes sur les appareils. Dans la partie inférieure de la page, les différents onglets contiennent des informations détaillées sur l’appareil. L’affichage de ces onglets et des informations dépend de la plate-forme de l’appareil. Vous pouvez passer directement de la page Affichage de l’appareil à la page Modification de l’appareil. Pour modifier l’appareil que vous êtes en train d’afficher, cliquez sur Modifier. État Affiche des informations essentielles sur l’appareil, notamment le type d’administration, l’état d’administration et l’état de conformité. Profils Affiche les profils (notamment les profils d’enregistrement) installés sur l’appareil. L’onglet contient également des commandes d’installation ou de suppression de profils. Remarque Les profils d’appareils iOS contenant uniquement les configurations suivantes n’apparaissent pas sur l’onglet Profils : • Itinérance/Borne Wi-Fi • Fond d’écran Ces configurations ne sont pas installées en tant que profil sur l’appareil. Elles définissent uniquement les paramètres que l’utilisateur pourra changer ultérieurement. Copyright © 2018 Sophos Limited 63 Sophos Mobile (version locale) Conseil Le champ de recherche du tableau vous permet de rechercher par identifiant de profil même si l’identifiant n’est pas affiché dans le tableau. Stratégies Affiche les stratégies assignées à l’appareil. Dans cet onglet, le bouton Assigner une stratégie sert à assigner une stratégie sur l’appareil. Propriétés de l’appareil Affiche les propriétés de l’appareil, par exemple les propriétés du modèle, le nom du modèle, la version du système d’exploitation. Pour les appareils Android, les smartphones disposant des droits root sont détectés et la propriété correspondante apparaît dans cette vue. Pour les appareils iOS, les smartphones débridés sont détectés et la propriété correspondante apparaît dans cette vue. Propriétés personnalisées Affiche les propriétés personnalisées de l’appareil. Vous pouvez créer ces propriétés vous-même. Les propriétés personnalisées de l’appareil peuvent, par exemple, être utilisées dans les espaces réservés en cas d’indisponibilité d’une connexion Active Directory. Lorsque vous modifiez un appareil, vous pouvez également ajouter des informations spécifiques à l’utilisateur. Propriétés internes Affiche les propriétés internes de l’appareil, par exemple, trafic ActiveSync autorisé, IMEI. Violations de conformité Cet onglet s’affiche uniquement pour les appareils non conformes. Il affiche les violations de conformité de l’appareil et les actions prises suite à cette violation. Retrouvez plus de renseignements sur la configuration de ces actions à la section Création d’une stratégie de conformité (page 43). Apps installées Affiche les logiciels installés sur l’appareil. Des informations différentes sont affichées en fonction de chaque plate-forme. La colonne Taille indique l’espace disque utilisé par une app. La colonne Données indique l’espace disque supplémentaire qu’utilise une app pour les données de l’utilisateur, les configurations, etc. Le bouton Installer l’app vous permet d’installer un logiciel sur l’appareil. Vous pouvez également supprimer les apps de l’appareil en cliquant sur l’icône Supprimer correspondant à l’app. 64 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Remarque • Pour les appareils sur lesquels Sophos Mobile administre uniquement le conteneur Sophos, les apps hors du conteneur Sophos ne sont pas répertoriées. Ceci inclut les apps que l’utilisateur a installée à partir de l’Enterprise App Store. • Pour iOS, les apps identifiées sous l’état Géré peuvent être supprimées. Retrouvez plus de renseignements à la section Apps administrées pour iOS (page 286). • Pour les Macs, les apps de tous les comptes d’utilisateur sont répertoriés. • Pour Windows, vous pouvez uniquement supprimer les apps qui ont été installées par Sophos Mobile. Si vous essayez de supprimer une app installée par l’utilisateur, la tâche échoue. Apps système Affiche les apps du système Android sur l’appareil. Remarque Les apps système ne peuvent pas être supprimées de l’appareil. Apps Knox Cet onglet affiche les apps installées par l’utilisateur dans le conteneur Samsung Knox. Apps système Knox Cet onglet affiche les apps système installées dans le conteneur Samsung Knox. Résultats du contrôle Cet onglet affiche les résultats du dernier contrôle Sophos Mobile Security effectué sur l’appareil. Cet onglet est uniquement disponible si l’app Sophos Mobile Security est administrée par Sophos Mobile. Retrouvez plus de renseignements à la section Gestion de Sophos Mobile Security (page 319). Certificats Affiche les certificats utilisés sur l’appareil. Pour les Macs, les certificats d’appareil sont répertoriés alors que les certificats d’utilisateur ne le sont pas. Copyright © 2018 Sophos Limited 65 Sophos Mobile (version locale) Conseil Dans ce tableau, passez votre curseur sur la valeur Objet ou Émetteur pour afficher les informations du certificat. Tâches Cet onglet affiche toutes les tâches qui ont échoué et qui ne sont pas encore terminées sur l’appareil ainsi que celles qui ont été effectuées récemment. Vous pouvez également voir ces tâches ainsi que toutes les tâches effectuées sur d’autres appareils sur la page Vue des tâches. Retrouvez plus de renseignements à la section Surveillance des tâches (page 11). 13.4.3 Utilisation du filtre étendu d’appareils Le filtre étendu d’appareils vous permet de filtrer la liste d’appareils selon vos besoins. Vous pouvez stocker des critères de filtrage sous un nom personnalisé pour les appliquer ultérieurement. Pour définir un filtrage d’appareil : 1. Sur la page Appareils, cliquez sur Filtre étendu dans le bandeau d’en-tête. 2. Veuillez définir vos critères de filtrage. 3. Pour enregistrer les critères de filtrage sous un nom personnalisé, saisissez ce nom dans Filtre d’appareils et cliquez sur Enregistrer. 4. Après avoir sélectionné les critères requis, cliquez sur Filtrer pour appliquer le filtre à la liste d’appareils. Lorsqu’un filtre est activé, l’icône du filtre dans le bandeau d’en-tête change de couleur (du bleu au vert). Conseil Pensez à réinitialiser le filtre lorsque vous n’en avez plus besoin. Autrement, les listes ou les rapports n’incluront pas les résultats attendus. Autres tâches de filtrage d’appareils : • • Pour supprimer un filtre de la liste d’appareils, cliquez sur Filtre étendu et sur Réinitialiser. Pour appliquer un filtre enregistré, cliquez sur Filtres enregistrés et sélectionnez le filtre de votre choix. • Pour supprimer un filtre enregistré, cliquez sur Filtres enregistrés et sur l’icône de corbeille correspondant au filtre à supprimer. Pour modifier un filtre enregistré, appliquez d’abord le filtre et cliquez sur Filtre étendu, puis faites vos modifications et enregistrez de nouveau le filtre. • 13.4.4 Modification des appareils 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils. 2. Cliquez sur le triangle bleu correspondant à l’appareil de votre choix et cliquez sur Modifier. La page Modification de l’appareil s’affiche pour l’appareil sélectionné. 66 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 3. Effectuez les changements nécessaires (par exemple installez ou désinstallez un logiciel dans l’onglet Apps installées) et cliquez sur Enregistrer. Vos modifications sont appliquées à l’appareil modifié. Remarque les changements de propriétés s’appliquent uniquement lorsque vous cliquez sur Enregistrer. Si vous n’enregistrez pas vos modifications, elles ne s’appliqueront pas. 13.4.5 Assignation d’un utilisateur à un appareil 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils. 2. Sur la page Appareils, cliquez sur le triangle bleu correspondant à l’appareil de votre choix et cliquez sur Modifier. 3. Sur la page Modification de l’appareil, cliquez sur l’icône Modifier l’assignation d’un utilisateur située près du champ Utilisateur et cliquez ensuite sur l’entrée de votre choix dans la liste de sélection : • Pour assigner un utilisateur à un appareil auquel aucun utilisateur n’a encore été assigné, cliquez sur Assigner un utilisateur à l’appareil. • Pour assigner un utilisateur différent à un appareil auquel un utilisateur a déjà été assigné, cliquez sur Réassigner un utilisateur à l’appareil. 4. À l’étape Saisir des paramètres de recherche de l’utilisateur de la boîte de dialogue d’assignation, saisissez le terme à rechercher dans un ou plusieurs champs afin de retrouver l’utilisateur à qui l’appareil va être assigné. Par exemple, saisissez le nom d’utilisateur complet ou une partie du nom. 5. À l’étape Sélectionner un utilisateur, sélectionnez l’utilisateur désiré et cliquez sur Appliquer. 6. Sur la page Modification de l’appareil, cliquez sur Enregistrer. 13.4.6 Retrait d’assignation d’un utilisateur à un appareil 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils. 2. Sur la page Appareils, cliquez sur le triangle bleu correspondant à l’appareil de votre choix et cliquez sur Modifier. 3. Sur la page Modification de l’appareil, cliquez sur l’icône Modifier l’assignation d’un utilisateur située près du champ Utilisateur et cliquez ensuite sur Retirer l’utilisateur assigné à l’appareil. 4. Dans la boîte de dialogue de confirmation, cliquez sur Oui. 5. Cliquez sur Enregistrer. 13.4.7 Propriétés personnalisées pour les appareils Vous pouvez définir des propriétés personnalisées pour chaque appareil. Lorsque vous définissez une propriété sous le nom ma propriété, vous pouvez faire référence à la valeur de la propriété dans les profils et stratégies en utilisant l’espace réservé %_DEVPROP(ma Copyright © 2018 Sophos Limited 67 Sophos Mobile (version locale) propriété)_%. Par exemple, vous pouvez utiliser ceci pour faire référence à un utilisateur assigné à un appareil. Retrouvez plus de renseignements sur les espaces réservés aux profils et stratégies à la section Espaces réservés dans les profils et stratégies (page 91). Remarque • Vous ne pouvez pas créer de propriété personnalisée pour l’appareil sous le même nom qu’une propriété de l’appareil. • Vous pouvez également définir les propriétés personnalisées du client de la même manière que vous définissez les propriétés personnalisées de l’appareil. Retrouvez plus de renseignements à la section Propriétés pour les clients (page 22). Pour définir une propriété personnalisée pour l’appareil : 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Général. Sur l’onglet Personnel, assurez-vous que l’option Afficher plus de détails sur l’appareil est sélectionnée. 2. Sur le menu latéral, sous GESTION, cliquez sur Appareils. 3. Cliquez sur le triangle bleu correspondant à l’appareil de votre choix et cliquez sur Modifier. 4. Sur la page Modification de l’appareil, rendez-vous dans l’onglet Propriétés personnalisées et cliquez sur Ajouter une propriété personnalisée. 5. Saisissez un nom et une valeur pour la nouvelle propriété personnalisée de l’appareil. 6. Cliquez sur Appliquer pour ajouter la propriété. 7. Cliquez sur Enregistrer pour enregistrer les modifications sur l’appareil. 13.4.8 Configuration de l’accès au réseau Avant de pouvoir configurer l’accès au réseau d’un appareil, le contrôle d’accès réseau (NAC) doit être activé dans Sophos Mobile. Sur Sophos Mobile (version locale), le super administrateur active NAC. Retrouvez plus de renseignements dans le Guide du super administrateur de Sophos Mobile (anglais). Sur Sophos Mobile (version SaaS, NAC est toujours activé. Deux options sont disponibles pour configurer l’accès au réseau d’un appareil : 1. Allow or deny network access unconditionally. 2. Disable network access when the device violates a compliance rule, enable network access otherwise. Remarque Sophos Mobile ne contrôle pas l’accès au réseau lui-même. Il communique un état Refuser le réseau qui peut être utilisé par un logiciel NAC externe tel que Sophos UTM pour bloquer les communications réseau. Pour configurer l’accès au réseau d’un appareil : 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils. 2. Sur la page Appareils, sélectionnez les appareils pour lesquels vous souhaitez définir le mode d’accès au réseau. 3. Cliquez sur Actions, puis sur Définir l’accès au réseau. 68 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 4. Sélectionnez le mode d’accès au réseau : Autoriser : l’accès au réseau des appareils sélectionnés est autorisé. Refuser : l’accès au réseau des appareils sélectionnés est refusé. Mode Auto : l’accès au réseau des appareils sélectionnés est basé sur l’état de conformité des appareils. 5. Cliquez sur Oui pour enregistrer vos modifications. • • • Remarque Vous ne pouvez pas refuser l’accès au réseau à des appareils sur lesquels Sophos Mobile administre le conteneur Sophos. Retrouvez plus de renseignements sur la configuration de l’accès au réseau dans les règles de conformité à la section Création d’une stratégie de conformité (page 43). 13.4.9 Verrouillage de l’appareil Vous pouvez verrouiller à distance un appareil administré par Sophos Mobile. Cette opération active le verrouillage de l’écran. 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils. 2. Sur la page Appareils, cliquez sur le triangle bleu correspondant à l’appareil que vous souhaitez verrouiller ou déverrouiller et cliquez sur Afficher. 3. Sur la page Affichage de l’appareil, cliquez sur Actions > Verrouiller. 4. Pour macOS : Créer un code confidentiel à 6 chiffres à saisir sur le Mac pour le déverrouiller. Une tâche d’activation de l’écran de verrouillage est créée et transférée à l’appareil. • • Pour toutes les plates-formes à l’exception de macOS : L’utilisateur doit saisir le mot de passe de son appareil (ou son code PIN ou le modèle, s’il est configuré) pour déverrouiller l’appareil. Pour macOS : Le Mac redémarre. Les utilisateurs doivent saisir le code confidentiel que vous avez créé pour déverrouiller l’appareil. Vous pouvez voir l’état de la tâche sur la page Vue des tâches. Remarque Même pour les appareils sur lesquels Sophos Mobile administre uniquement le profil professionnel Android, l’action Verrouiller verrouille l’appareil et pas uniquement le profil professionnel. Remarque Vous ne pouvez pas verrouiller les appareils sur lesquels Sophos Mobile administre le conteneur Sophos. Remarque Vous ne pouvez pas réinitialiser un Mac qui a été verrouillé à distance. Copyright © 2018 Sophos Limited 69 Sophos Mobile (version locale) Conseil Dans Sophos Mobile Admin, le code confidentiel de verrouillage du système macOS est affiché sur la page de l’appareil sous Propriétés de l’appareil > Unlock passcode et sur la page Détails de la tâche sous Code confidentiel de verrouillage. 13.4.10 Réinitialisation de l’appareil Vous pouvez réinitialiser à distance un appareil administré par Sophos Mobile. Cette action restaure les paramètres d’usine sur l’appareil. 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils. 2. Sur la page Appareils, cliquez sur le triangle bleu correspondant à l’appareil que vous souhaitez réinitialiser et cliquez sur Afficher. 3. Sur la page Affichage de l’appareil, cliquez sur Actions > Réinitialiser. 4. Pour macOS : Créer un code confidentiel à 6 chiffres à saisir sur le Mac pour le déverrouiller. Une tâche de réinitialisation de l’appareil est créée et transférée à l’appareil. Pour macOS : Lorsque la tâche est transférée au Mac, il redémarre et commence à réinitialiser le disque. Les utilisateurs doivent saisir le code confidentiel de verrouillage du système sur leur Mac pour le déverrouiller. Vous pouvez voir l’état de la tâche sur la page Vue des tâches. Remarque Vous ne pouvez pas réinitialiser les appareils suivants : • Les appareils sur lesquels Sophos Mobile administre uniquement le conteneur Sophos. • Les appareils inscrits à Sophos Mobile sous le mode propriétaire du profil Android pour les entreprises. • Les appareils Android Things ou Windows IoT. • Les Macs que vous avez verrouillés à distance. Conseil Dans Sophos Mobile Admin, le code confidentiel de verrouillage du système macOS est affiché sur la page de l’appareil sous Propriétés de l’appareil > Unlock passcode et sur la page Détails de la tâche sous Code confidentiel de verrouillage. 13.4.11 Configurer la gestion des dépenses en télécommunications La gestion des dépenses en télécommunications vous permet de suivre l’utilisation des données cellulaires de chaque appareil. cette fonction est uniquement disponible sur les appareils Android et iOS. 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils. 70 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 2. Sur la page Appareils, sélectionnez les appareils pour lesquels vous souhaitez configurer la gestion des dépenses en télécommunications. Remarque Sélectionnez uniquement les appareils avec le même forfait de données cellulaires. 3. Cliquez sur Actions > Configurer la gestion des dépenses en télécommunications. 4. Configurez les paramètres suivants : Option Description Activer la surveillance Lorsque cette option est sélectionnée, le suivi de l’utilisation des données cellulaires est activé pour les appareils sélectionnés. Volume de données du plan Le volume de données en Mo de votre forfait de données cellulaires. Seuil d’alerte Un seuil de volume de données en Mo. Lorsque le volume de données utilisées d’un appareil dépasse cette valeur, une alerte est créée. Retrouvez plus de renseignements à la section Alertes (page 15). Date de réinitialisation du cycle d’utilisation Une valeur comprise entre 1 et 31 pour indiquer le jour du mois auquel la valeur d’utilisation des données sera réinitialisée. Remarque Si un mois a moins de jour que la valeur saisie, la valeur d’utilisation des données est réinitialisée le dernier jour du mois. 5. Cliquez sur Enregistrer pour appliquer les paramètres des appareils sélectionnés. L’utilisation des données cellulaires est signalée par un appareil à chaque fois qu’il se synchronise avec le serveur Sophos Mobile. Pour voir l’utilisation actuelle des données d’un appareil, ouvrez la page Affichage de l’appareil de l’appareil et cliquez sur Actions > Gestion des dépenses en télécommunications. Important L’utilisation des données signalées peut être différente des valeurs chargées par votre opérateur télécom. Le trafic de données causé par les apps installées est signalée alors que les mises à jour du système, les mises à jour des apps du système ou tout trafic similaire ne l’est pas. Conseil Utilisez le rapport Utilisation des données cellulaires pour voir l’utilisation des données de tous les appareils sur lesquels la gestion des dépenses en télécommunications est activée. Retrouvez plus de renseignements à la section Rapports (page 10). Copyright © 2018 Sophos Limited 71 Sophos Mobile (version locale) Remarque • La valeur d’utilisation des données est réinitialisée aux périodes suivantes : — Tous les mois à la fin de la journée que vous avez configurée. — Lorsque vous désactivez la gestion des dépenses en télécommunications sur l’appareil. — Lorsque l’appareil est désinscrit de Sophos Mobile. • Pour iOS, l’utilisation des données n’est pas signalée lorsque l’app Sophos Mobile Control est fermée (par exemple ; lorsque l’utilisateur n’a pas démarré l’app après avoir redémarré l’appareil). 13.4.12 Mise à jour du logiciel iOS Vous pouvez mettre à jour le logiciel iOS sur les appareils suivants : • • Appareils supervisés à partir d’iOS 10.3 Appareils Apple DEP supervisés Remarque Cette section décrit la mise à jour du logiciel iOS sur un seul appareil. Pour mettre à jour le logiciel iOS d’un groupe d’appareils, veuillez utiliser une série de tâches avec la tâche Installer la dernière mise à jour iOS. Retrouvez plus de renseignements à la section Types de tâche iOS disponibles (page 268). Pour mettre à jour le logiciel iOS d’un appareil : 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils. 2. Sur la page Appareils, cliquez sur le triangle bleu correspondant à l’appareil de votre choix et cliquez sur Afficher. 3. Sur la page Affichage de l’appareil, cliquez sur Actions > Afficher les mises à jour disponibles. Une liste des mises à jour iOS disponibles pour l’appareil apparaît. Les mises à jour Critique sont des mises à jour de sécurité considérées comme critiques par Apple. 4. Pour installer la dernière mise à jour disponible, cliquez sur Installer la dernière mise à jour disponible. Une tâche de mise à jour du logiciel iOS est créée et transférée à l’appareil. Vous pouvez voir l’état de la tâche sur la page Vue des tâches. Conseil • Vérifiez l’état de mise à jour d’un seul appareil iOS sur la page Affichage de l’appareil de l’appareil. Un signe d’avertissement apparaît Système d’exploitation si la dernière version d’iOS n’est pas installée sur l’appareil. • 72 Vérifiez l’état de mise à jour de tous les appareils iOS dans la colonne OsUpdateAvailable du rapport Appareils. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 13.4.13 Configuration du mode Perdu administré sur iOS Vous pouvez mettre un appareil iOS supervisé en mode Perdu administré. L’appareil ne peut pas être utilisée tant que le mode Perdu administré n’a pas été désactivé dans Sophos Mobile. Sous le mode Perdu administré, les seules actions disponibles sur l’appareil sont : • • Composer un numéro que vous avez configuré. Passer un appel d’urgence. Remarque • Le mode Perdu administré est un mode de verrouillage différent du mode Perdu qui peut être activer dans iCloud par un utilisateur. Lorsque vous activez le mode Perdu administré dans Sophos Mobile, l’appareil ne peut pas déverrouillé dans iCloud. • La géolocalisation de l’appareil est plus fiable sous le mode Perdu administré que sous le mode de verrouillage standard. La géolocalisation de l’appareil est signalée par la fonctionnalité du système iOS. L’app Sophos Mobile Control n’a pas besoin d’être active. • Le mode Perdu administré est compatible à partir de la version 9.3 d’iOS. Pour activer le mode Perdu administré : 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils. 2. Sur la page Appareils , cliquez sur le triangle bleu correspondant à l’appareil que vous voulez verrouiller ou déverrouiller et cliquez sur Afficher. 3. Sur la page Affichage de l’appareil, cliquez sur Actions > Activer le mode Perdu administré. 4. Configurez les paramètres suivants : Option Description Message de verrouillage de l’écran Texte affiché sur l’écran de verrouillage. Numéro de téléphone Un numéro de téléphone qui peut être composé à partir de l’écran de verrouillage. Remarque Texte de remarque affiché en bas de l’écran de verrouillage. Si vous ne configurez pas de remarque, une remarque standard avisant de contacter un administrateur est affichée. Une tâche d’activation du mode Perdu administré est créée et transférée à l’appareil. Le mode Perdu administré est activé immédiatement après que l’appareil ait reçu la tâche. Lorsqu’un appareil est sous le mode Perdu administré, vous pouvez effectuer les actions suivantes sur la page Affichage de l’appareil : • • • Pour géolocaliser l’appareil, utilisez Actions > Géolocaliser. Pour faire sonner l’appareil, utilisez Actions > Faire sonner le mode Perdu. Cette fonction est compatible à partir de la version 10.3 d’iOS. Pour désactiver le mode Perdu administré, utilisez Actions > Désactiver le mode Perdu administré. Copyright © 2018 Sophos Limited 73 Sophos Mobile (version locale) Conseil Pour savoir si le mode Perdu administré est activé, vérifiez la propriété de l’appareil IsMDMLostModeEnabled. 13.5 Programme d’inscription d’appareils (DEP) Apple Grâce au Programme d’inscription d’appareils Apple (DEP), vous avez la possibilité d’acheter des iPhones, iPads et des Macs en volume afin de les distribuer dans votre entreprise. Le programme DEP simplifie le déploiement des appareils mobiles en offrant les fonctions suivantes : • • • • Processus d’activation configurable. Activation sans fil du mode de supervision. Configuration OTA (over-the-air). Inscription automatique des appareils iOS dans Sophos Mobile au cours de l’activation de l’appareil. Remarque Sophos Mobile est actuellement compatible avec le programme DEP d’Apple pour les iPhones et les iPads mais pas pour les Macs. Conseil Retrouvez plus de renseignements sur le programme DEP en vous rendant sur le site Web d’Apple DEP sur http://www.apple.com/fr/business/programs/. Étapes de préparation Pour préparer la gestion des appareils DEP par Sophos Mobile, veuillez effectuer les étapes suivantes une seule fois : 1. Sur le portail Web du Programme d’inscription d’appareils Apple, créez un serveur MDM virtuel et créez un lien vers Sophos Mobile. Retrouvez plus de renseignements à la section Installation du Programme d’inscription d’appareils Apple (DEP) (page 75). 2. Dans Sophos Mobile, créez un ou plusieurs profils DEP qui contrôle divers attributs d’appareil spécifiques au Programme d’inscription d’appareils Apple (DEP). Avec le profil DEP, vous pouvez également personnaliser l’assistant d’installation d’iOS qui démarre lorsque l’appareil est mis en marche pour la première fois. Retrouvez plus de renseignements à la section Création d’un profil du Programme d’inscription d’appareils (DEP) (page 76). Étapes de déploiement Lorsque vous achetez des appareils DEP, le processus de déploiement classique consiste à effectuer les étapes suivantes : 74 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 1. Acheter les appareils chez Apple ou auprès d’un revendeur agréé participant au Programme d’inscription d’appareils. 2. Sur le portail du Programme d’inscription d’appareils d’Apple, assigner les appareils au serveur MDM de Sophos Mobile. Retrouvez plus de renseignements à propos de cette étape et de l’étape suivante à la section Déploiement des appareils du Programme d’inscription d’appareils (DEP) (page 80). 3. Assigner un profil DEP aux appareils dans Sophos Mobile Admin. 4. Distribuer les appareils à vos utilisateurs. 5. Lorsque les utilisateurs mettent en marche leurs appareils pour la première fois, l’assistant d’installation personnalisée d’iOS démarre. Au cours de l’installation, les appareils sont inscrits dans Sophos Mobile et l’utilisateur est assigné à l’appareil. 6. Si nécessaire, vous avez la possibilité de transférer des séries de tâches supplémentaires aux appareils pour compléter leur approvisionnement. 13.5.1 Installation du Programme d’inscription d’appareils Apple (DEP) Condition préalable : Cette procédure suppose que vous avez déjà procédé à l’inscription dans le Programme d’inscription d’appareils Apple (DEP) et créé un compte d’administrateur pour le portail Web du Programme d’inscription d’appareils Apple. Remarque Retrouvez plus de renseignements sur l’inscription au Programme d’inscription d’appareils sur le site Web du Programme d’inscription d’appareils Apple sur http://www.apple.com/fr/ business/programs/ ou dans l’Aide des Programmes de déploiement Apple. Conseil Si vous vous êtes déjà inscrit au Programme d’achats en volume (VPP) d’Apple, vous pouvez utiliser le même identifiant Apple pour le Programme d’inscription d’appareils. Pour utiliser le Programme d’inscription d’appareils Apple avec Sophos Mobile, vous devez créer un serveur MDM virtuel sur le portail Web du Programme d’inscription d’appareils Apple et le relier au serveur Sophos Mobile. Ceci inclut une procédure de vérification pour établir une connexion sécurisée entre Sophos Mobile et le service Web du Programme d’inscription d’appareils Apple. Pour installer un serveur MDM pour Sophos Mobile : 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration du système, puis sur l’onglet Apple DEP. 2. Cliquez sur télécharger la clé publique pour télécharger le fichier de la clé publique Sophos Mobile du Programme d’inscription d’appareils Apple (DEP). Le fichier va être enregistré localement sur votre ordinateur à l’aide des paramètres de téléchargement de votre navigateur Web. 3. Ouvrez le portail Web du Programme d’inscription d’appareils Apple https:// deploy.apple.com dans une nouvelle fenêtre de navigation. Vous pouvez effectuer cette opération en cliquant sur le lien Portail Web du Programme d’inscription d’appareils Apple dans Sophos Mobile. 4. Connectez-vous au portail Web du Portail Web du Programme d’inscription d’appareils Apple à l’aide de l’identifiant Apple de votre entreprise. Copyright © 2018 Sophos Limited 75 Sophos Mobile (version locale) 5. Sur le portail, allez sur Programme d’inscription d’appareils > Gérer les serveurs et cliquez ensuite sur Ajouter un serveur MDM. 6. Saisissez un nom pour le serveur MDM, par exemple Sophos Mobile. 7. Téléchargez ensuite le fichier de la clé publique que vous avez téléchargée depuis Sophos Mobile. 8. Téléchargez ensuite le token du serveur. À ce stade, vous pouvez vous déconnecter du portail Web du Programme d’inscription d’appareils Apple. 9. Sur l’onglet Apple DEP de Sophos Mobile, cliquez sur Télécharger un fichier et sélectionnez le token du serveur que vous avez téléchargé à partir du portail Web du Programme d’inscription d’appareils Apple. Les détails de votre serveur MDM virtuel sont affichés. 10. Cliquez sur Enregistrer pour enregistrer vos modifications. Le token du serveur du Programme d’inscription d’appareils est valide pendant un an. Important Lorsque vous créez un nouveau token du serveur sur le portail Web du Programme d’inscription d’appareils Apple, veuillez utiliser le même identifiant Apple que celui utilisé lors de la création du premier token. 13.5.2 Création d’un profil du Programme d’inscription d’appareils (DEP) Vous devez créer un Programme d’inscription d’appareils Apple (DEP) avant de pouvoir créer des profils du Programme d’inscription d’appareils. Retrouvez plus de renseignements à la section Installation du Programme d’inscription d’appareils Apple (DEP) (page 75). Un profil du Programme d’inscription d’appareils est assigné à un appareil du Programme d’inscription d’appareils et fournit des informations au serveur Apple lorsque l’appareil est activé. Ces informations inclut : • • • • Le serveur MDM (c’est-à-dire Sophos Mobile) assigné pour administrer l’appareil. Les options de configuration pour l’inscription à Sophos Mobile. Une liste d’hôtes sur lesquels le jumelage de l’appareil est autorisé. Les options de personnalisation pour l’assistant d’installation d’iOS qui démarre lorsque l’appareil est mis en marche pour la première fois. Si nécessaire, vous pouvez créer plusieurs profils du Programme d’inscription d’appareils afin d’utiliser différents paramètres d’installation et d’inscription pour vos appareils du Programme d’inscription d’appareils. Pour créer un profil du Programme d’inscription d’appareils (DEP) : 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration du système, puis sur l’onglet Profils Apple DEP. 2. Cliquez sur Ajouter. 3. Dans la boîte de dialogue Modification du profil du Programme d’inscription d’appareils, saisissez un nom et une description (facultative) du profil du Programme d’inscription d’appareils. 4. Facultatif : Dans la liste Groupe d’appareils, sélectionnez un groupe d’appareils qui sera assigné aux appareils lors de leur inscription à Sophos Mobile. 76 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Retrouvez plus de renseignements sur les groupes d’appareils à la section Groupes d’appareils (page 84). Remarque Pour simplifier la gestion des appareils, nous vous conseillons d’utiliser un groupe d’appareils distinct pour les appareils du Programme d’inscription d’appareils. 5. Facultatif : Dans la liste Série de tâches, sélectionnez une série de tâches qui sera assignée aux appareils lors de leur inscription à Sophos Mobile. Cette liste inclut toutes les séries de tâches iOS ne contenant aucune tâche d’inscription. Retrouvez plus de renseignements sur les séries de tâches à la section Séries de tâches (page 263). 6. Dans l’onglet Inscription, configurez les paramètres suivants : Option Description Superviser l’appareil Le mode de supervision est activé. L’utilisateur peut supprimer le profil MDM L’utilisateur peut supprimer le profil d’inscription de Sophos Mobile à l’aide de l’interface utilisateur iOS. Cette option peut uniquement être dessélectionnée sur les appareils supervisés. Installer l’app SMC Installer l’app Sophos Mobile Control sur l’appareil. Si vous activez cette option, vous devez également désactiver l’option Ignorer l’identifiant Apple sur l’onglet Installation d’iOS afin de permettre à Sophos Mobile d’installer l’app à partir de la boutique d’apps. Remarque Autrement, si vous êtes inscrit au Programme d’achats en volume (VPP) d’Apple, vous pouvez installer l’app Sophos Mobile en tant qu’app du Programme d’achat en volume, même si l’appareil n’est pas associé à un identifiant Apple. Les appareils doivent être à l’état administré. Retrouvez plus de renseignements à la section Assignation automatique des apps du Programme d’achat en volume (page 290). L’utilisateur peut ignorer l’assignation du profil MDM L’utilisateur peut ignorer l’étape d’installation qui s’applique au profil d’inscription de Sophos Mobile. Assigner un utilisateur à l’appareil Au cours du processus d’inscription dans Sophos Mobile, les utilisateurs doivent fournir leurs codes d’accès au Portail libreservice. Ils sont ensuite assignés à l’appareil. Utilisez cette option pour assigner automatiquement un utilisateur à l’appareil. 7. Sur l’onglet Installation d’iOS, vous pouvez désactiver les étapes de configuration de l’assistant d’installation d’iOS qui démarre lorsque l’appareil est mis en marche pour la première fois. Copyright © 2018 Sophos Limited 77 Sophos Mobile (version locale) Remarque Ces paramètres s’appliquent uniquement à l’installation d’iOS. Si vous désactivez une étape de configuration, l’utilisateur sera toujours en mesure d’activer l’option adéquate ultérieurement. Pour désactiver totalement une fonction, veuillez utiliser la configuration Restrictions. Retrouvez plus de renseignements à la section Configuration des restrictions (profil d’appareil iOS) (page 163). Option Description Ignorer les apps et données La page Apps et données n’est pas affichée. L’utilisateur ne peut pas restaurer les données à partir d’une sauvegarde iCloud ou iTunes, ni transférer de données à partir d’un appareil Android. Désactiver « Transférer les données depuis Android » Sur la page Apps et données, l’option Transférer les données depuis Android n’est pas disponible. L’utilisateur ne peut pas transférer les données à partir d’une appareil Android. Cette option peut uniquement être activée lorsque l’option Ignorer les apps et données est également activée. Ignorer Diagnostics La page Diagnostics n’est pas affichée. L’envoi de diagnostics et de données d’utilisation à Apple est désactivé. Ignorer les services de localisation La page Services de localisation n’est pas affichée. L’utilisateur ne peut pas activer les services de localisation. Ignorer Siri La page Siri n’est pas affichée. L’utilisateur ne peut pas installer Siri. Ignorer Zoom de l’écran La page Zoom de l’écran n’est pas affichée. L’utilisateur ne peut pas changer le mode d’affichage de l’écran. Ignorer l’identifiant Apple La page Identifiant Apple n’est pas affichée. L’utilisateur ne peut pas se connecter avec son identifiant Apple pour accéder aux services d’Apple. Ignorer Apple Pay La page Apple Pay n’est pas affichée. L’utilisateur ne peut pas ajouter les coordonnées d’une carte de crédit ou de paiement dans les boutiques ou dans les apps utilisant Apple Pay. Ignorer Touch ID La page Touch ID n’est pas affichée. L’utilisateur ne peut pas utiliser l’empreinte digitale à la place d’un code d’accès pour s’identifier. Ignorer le code d’accès La page Créer un code d’accès n’est pas affichée. L’utilisateur ne peut pas définir un code d’accès pour déverrouiller l’appareil. Ignorer les Conditions générales La page Conditions générales n’est pas affichée. 8. Sous l’onglet Informations du support, configurez les paramètres suivants : 78 Option Description Service Le nom du service ou du lieu associé au profil. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Option Description Ce nom est inclus dans les informations auxquelles l’utilisateur a accès en cliquant sur À propos de la configuration au cours de la configuration de l’appareil. Numéro de téléphone Le numéro de téléphone du support de votre entreprise. Ce champ est pré-rempli avec les coordonnées du contact du support technique. Retrouvez plus de renseignements à la section Configuration des coordonnées du contact technique (page 22). Remarque Le numéro de téléphone est conservé en interne dans le profil du Programme d’inscription d’appareils mais n’est pas mis à disposition de l’utilisateur de l’appareil. Email L’adresse électronique du support de votre entreprise. Ce champ est pré-rempli avec l’adresse électronique du contact du support technique. Retrouvez plus de renseignements à la section Configuration des coordonnées du contact technique (page 22). Remarque L’adresse électronique est conservée en interne dans le profil du Programme d’inscription d’appareils mais n’est pas mise à disposition de l’utilisateur de l’appareil. 9. L’onglet Jumelage USB vous permet de configurer les ordinateurs hôtes auxquels l’appareil est autorisé à se connecter à l’aide de ports USB. Cette option peut être utilisée pour synchroniser l’appareil avec iTunes ou pour le gérer à l’aide d’Apple Configurator. Pour autoriser la connexion USB à tous les hôtes, sélectionnez Autoriser le jumelage USB avec tous les hôtes. • Pour interdire la connexion USB ou la limiter à certains hôtes uniquement, dessélectionnez Autoriser le jumelage USB avec tous les hôtes puis téléchargez un fichier de certificat pour chaque hôte auquel l’appareil est autorisé à se connecter. 10. Lorsque vous avez configuré tous les onglets de la boîte de dialogue Modification du profil du Programme d’inscription d’appareils, cliquez sur Appliquer pour enregistrer le profil du Programme d’inscription d’appareils. 11. Pour assigner le profil à tous les nouveaux appareils du Programme d’inscription d’appareils auxquels aucun profil n’a été assigné manuellement, sélectionnez le dans la liste Le profil DEP par défaut assigné aux nouveaux appareils. Lorsque vous sélectionnez Aucun, vous devez assigner manuellement un profil du Programme d’inscription d’appareils aux nouveaux appareils du Programme d’inscription d’appareils conformément aux instructions de la section Déploiement des appareils du Programme d’inscription d’appareils (DEP) (page 80). Dans le cas contraire, les appareils du Programme d’inscription d’appareils ne seront pas inscrits à Sophos Mobile lors de leur activation. 12. Cliquez sur Enregistrer pour enregistrer vos modifications. • Copyright © 2018 Sophos Limited 79 Sophos Mobile (version locale) 13.5.3 Déploiement des appareils du Programme d’inscription d’appareils (DEP) Effectuez cette procédure pour connecter vos appareils au Programme d’inscription d’appareils Apple (DEP) et les inscrire à Sophos Mobile. Vous pouvez gérer les appareils que vous avez acheté chez Apple ou auprès d’un fournisseur du Programme d’inscription d’appareils agréé. Avant de connecter les appareils au Programme d’inscription d’appareils Apple, veuillez configurer le fournisseur de l’appareil sur le portail du Programme d’inscription d’appareils Apple. Remarque Dans un processus classique du Programme d’inscription d’appareils Apple, vous effectuez cette procédure avant de remettre les appareils à vos utilisateurs pour activation et utilisation. Remarque Retrouvez une description détaillée du portail du Programme d’inscription d’appareils Apple dans l’Aide des Programmes de déploiement Apple. Pour assigner vos appareils à Sophos Mobile puis leur assigner un profil du Programme d’inscription d’appareils : 1. Ouvrez le portail Web du programme de déploiement Apple https://deploy.apple.com dans votre navigateur Web et connectez-vous à l’aide de l’identifiant Apple de votre entreprise. 2. Sur le portail, allez dans Programme d’inscription d’appareils > Gérer les appareils. 3. Sous Choisir les appareils selon, sélectionnez vos nouveaux appareils par numéro de série, numéro de commande ou téléchargez un fichier CSV incluant les numéros de série de vos appareils. Remarque Si vous avez acheté vos appareils auprès d’un revendeur, ceux-ci sont mis à disposition sur le portail du Programme d’inscription d’appareils sous les 24 heures suivant l’envoi de votre commande à Apple par le revendeur. 4. Sous Choisir une action, sélectionnez Assigner au serveur puis sélectionnez le serveur MDM virtuel que vous avez installé pour Sophos Mobile conformément aux instructions de la section Installation du Programme d’inscription d’appareils Apple (DEP) (page 75). 5. Cliquez sur OK pour procéder à l’assignation. À ce stade, vous pouvez vous déconnecter du portail Web du Programme d’inscription d’appareils Apple. Vous pouvez ignorer les étapes restantes si vous avez déjà configuré un profil du Programme d’inscription d’appareils par défaut conformément aux instructions de la section Création d’un profil du Programme d’inscription d’appareils (DEP) (page 76). 6. Connectez-vous à Sophos Mobile Admin à l’aide d’un compte d’administrateur pour le client pour lequel vous voulez gérer les appareils du Programme d’inscription d’appareils. 7. Sur le menu latéral, sous GESTION, cliquez sur Appareils puis sur Apple DEP. 80 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) La page Appareils du Programme d’inscription d’appareils Apple contient une liste de tous les appareils que vous avez assigné à Sophos Mobile sur le portail Web du Programme d’inscription d’appareils Apple. 8. Si les appareils que vous venez d’assigner à Sophos Mobile ne figure pas dans cette liste, cliquez sur Synchroniser avec le portail du Programme d’inscription d’appareils Apple. Remarque Pour limiter la charge sur le serveur du Programme d’inscription d’appareils Apple, il est uniquement possible de procéder à des opérations répétées de synchronisation lorsque le temps d’attente est court. 9. Sélectionnez les nouveaux appareils et cliquez sur Actions > Assigner un profil. 10. Dans la boîte de dialogue de confirmation, sélectionnez le profil du Programme d’inscription d’appareils que vous voulez assigner aux appareils et cliquez sur OK. Lorsque les appareils que vous avez acheté seront livrés à votre entreprise, vous pourrez les remettre à vos utilisateurs. Aucune autre configuration n’est nécessaire. Lorsque les utilisateurs mettront leurs appareils en marche pour la première fois, la configuration d’iOS et l’inscription à Sophos Mobile seront effectuées conformément à la configuration définie dans le profil du Programme d’inscription d’appareils assigné. Si vous avez sélectionné l’option du profil Assigner l’utilisateur à l’appareil comme indiqué à la section Création d’un profil du Programme d’inscription d’appareils (DEP) (page 76), les utilisateurs sont assignés automatiquement à leur appareil. 13.5.4 Gestion des appareils du Programme d’inscription d’appareils Les appareils du Programme d’inscription d’appareils sont administrés dans Sophos Mobile de la même façon que le sont les appareils n’appartenant pas au Programme d’inscription d’appareils. Retrouvez plus de renseignements à la section Gestion des appareils (page 62). En revanche seul le Programme d’inscription d’appareils permet d’assigner un profil du Programme d’inscription d’appareils à un appareil. Le profil du Programme d’inscription d’appareils fournit des informations au serveur Apple lorsque l’appareil est activé. Retrouvez plus de renseignements à la section Création d’un profil du Programme d’inscription d’appareils (DEP) (page 76). Remarque Le profil du Programme d’inscription d’appareils affiché dans Sophos Mobile pourra être différent du profil utilisé sur l’appareil. Si vous modifiez l’assignation après avoir activé l’appareil, celui-ci continuera à utiliser le premier profil assigné jusqu’à ce qu’il soit réinitialisé et activé de nouveau. Pour modifier le profil du Programme d’inscription d’appareils d’un appareil : 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils puis sur Apple DEP. La page Appareils du Programme d’inscription d’appareils Apple contient une liste de tous les appareils que vous avez assigné à Sophos Mobile sur le portail Web du Programme d’inscription d’appareils Apple. 2. Cliquez sur Synchroniser avec le portail du Programme d’inscription d’appareils Apple pour mettre à jour les informations du Programme d’inscription d’appareils. Copyright © 2018 Sophos Limited 81 Sophos Mobile (version locale) Remarque Pour limiter la charge sur le serveur du Programme d’inscription d’appareils Apple, l’option Synchroniser avec le portail du Programme d’inscription d’appareils Apple est désactivée après la synchronisation et redevient disponible quelques minutes plus tard. 3. Sélectionnez les appareils auxquels vous voulez assigner un autre profil du Programme d’inscription d’appareils. 4. Cliquez sur Actions, puis sur l’action requise : • • Assigner un profil : sélectionnez le profil du Programme d’inscription d’appareils qui sera assigné aux appareils lors de leur prochaine activation. Retirer le profil assigné : n’assignez aucun profil du Programme d’inscription d’appareils à la prochaine activation des appareils. L’assignation du nouveau profil est affichée sur la page Appareils du Programme d’inscription d’appareils Apple. Les modifications sont appliquées aux appareils après leur réinitialisation et leur réactivation. 13.6 Intégration de Duo Security Vous pouvez connecter Sophos Mobile au logiciel d’authentification Duo Security. Ceci permet à Duo Security d’identifier les appareils fiables en fonction de leur état d’administration dans Sophos Mobile. Pour déterminer l’état de confiance d’un appareil, Duo Security utilise différentes approches pour Android et iOS : • • Pour les appareils Android, l’état de confiance est récupéré via l’interface du service Web de Sophos Mobile. Pour les appareils iOS, l’état de confiance est déterminé par l’existence d’un certain certificat sur l’appareil. Remarque Retrouvez plus de renseignements sur les appareils fiables dans la documentation Duo Security. 13.6.1 Configuration de l’intégration de Duo Security pour les appareils Android Effectuez les étapes suivantes pour permettre à Duo Security de déterminer l’état de fiabilité de vos appareils Android. 1. Dans Sophos Mobile, créez un administrateur avec le rôle Duo API. 2. Dans Duo Admin Panel, saisissez le nom et le mot de passe de cet administrateur. Retrouvez plus de renseignements dans la documentation de Duo Security. Pour déterminer l’état de fiabilité d’un appareil Android, l’app Duo Mobile pour Android communique le numéro d’ID de l’appareil au serveur Duo Security. Le serveur Duo Security récupère ensuite l’état de l’appareil via l’interface du service Web de Sophos Mobile et considère les appareils administrés comme fiables. 82 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Concepts connexes Rôles d’utilisateur (page 5) Tâches connexes Création d’administrateurs (page 317) 13.6.2 Configuration de l’intégration de Duo Security pour les appareils iOS Effectuez les étapes suivantes pour permettre à Duo Security de déterminer l’état de fiabilité de vos appareils iOS. 1. À partir de la barre de menu latérale, allez dans Configuration > Configuration du système > Duo Security et configurez les paramètres du serveur SCEP CA comme indiqué par Duo Security. 2. Ajoutez une configuration Certificat d’appareil Duo au profil d’appareil iOS que vous utilisez pour vos appareils iOS. 3. Mettez à jour le profil d’appareil iOS sur les appareils. Un certificat d’appareil Duo va être installé sur les appareils. L’app Duo Mobile pour iOS détecte le certificat et considère les appareils comme fiables. Tâches connexes Installation d’un profil sur les appareils (page 91) Référence associée Certificat d’appareil Duo (profil d’appareil iOS) (page 187) Copyright © 2018 Sophos Limited 83 Sophos Mobile (version locale) 14 Groupes d’appareils Les groupes d’appareils sont utilisés pour diviser les appareils en catégories. Ils vous permettent de gérer les appareils de manière plus efficace en effectuant les tâches sur un groupe plutôt que sur chaque appareil individuellement. Un appareil appartient toujours et uniquement à un seul groupe d’appareils. Vous assignez un appareil à un groupe d’appareils lorsque vous l’ajoutez dans Sophos Mobile. Conseil Regroupez les appareils par système d’exploitation. En effet, il est plus facile d’utiliser les groupes pour effectuer des tâches d’installation et des tâches spécifiques aux systèmes d’exploitation. 14.1 Création d’un groupe d’appareils 1. Sur le menu latéral, sous GESTION, cliquez sur Groupes d’appareils puis sur Créer un groupe d’appareils. 2. Sur la page Modification du groupe d’appareils, saisissez un nom et une description pour le nouveau groupe d’appareils. 3. Sous Stratégies de conformité, sélectionnez les stratégies de conformité appliquées aux appareils professionnels et personnels. 4. Cliquez sur Enregistrer. Remarque Les paramètres du groupe d’appareils incluent l’option Activer l’inscription automatique d’iOS. Cette option vous permet d’inscrire les appareils iOS dans Apple Configurator. Retrouvez plus de renseignements à la section Inscription automatique des appareils iOS (page 57). Le nouveau groupe d’appareils est créé et apparaît sur la page Groupes d’appareils. 14.2 Suppression des groupes d’appareils 1. Sur le menu latéral, sous GESTION, cliquez sur Groupes d’appareils. 2. Sur la page Groupes d’appareils, cliquez sur le triangle bleu correspondant au groupe que vous souhaitez supprimer et cliquez sur Supprimer. 3. Dans la boîte de dialogue de confirmation, sélectionnez l’un des groupes d’appareils restants auquel les appareils du groupe d’appareils à supprimer seront réassignés. Cette sélection n’est pas disponible lorsqu’il n’ y a aucun appareil assigné au groupe d’appareils. 4. Cliquez sur Oui pour supprimer le groupe d’appareils. 84 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Remarque Lorsqu’il n’y a plus qu’un seul groupe d’appareils et que les appareils lui sont assignés, vous ne pouvez pas supprimer ce groupe d’appareils. Copyright © 2018 Sophos Limited 85 Sophos Mobile (version locale) 15 Profils et stratégies Profils Les profils sont des paramètres que vous définissez et installer sur un appareil ou sur un groupe d’appareils. Pour installer un profil sur un ou plusieurs appareils, Sophos Mobile crée une tâche et l’exécute à l’heure indiquée. Lorsque vous mettez à jour un profil, veuillez de nouveau l’installer pour que les modifications apportées aux configurations soient appliquées sur l’appareil. Les types de profil suivants sont disponibles : Configuration des profils d’appareil Android (page 93) Configuration des profils de conteneur Knox (page 155) Configuration des profils d’appareil iOS (page 161) Stratégies Les profils sont des paramètres que vous définissez et que vous assignez ensuite à un appareil ou à un groupe d’appareils. Vous pouvez uniquement assigner une stratégie de chaque type à un appareil. Si vous assignez une stratégie à un appareil, une opération de synchronisation est déclenchée et les paramètres sont appliqués immédiatement. Les stratégies assignées sont mises à jour sur l’appareil à chaque fois qu’un appareil se connecte au serveur Sophos Mobile. Par conséquent, lorsque vous mettez à jour une stratégie, vous n’avez pas besoin de la réappliquer explicitement à l’appareil. Les types de stratégie suivants sont disponibles : Configuration des stratégies d’appareil Android pour les entreprises (page 129) Configuration des stratégies de profil professionnel Android pour les entreprises (page 115) Configuration des stratégies de conteneur Sophos pour Android (page 143) Configuration des stratégies de sécurité des mobiles (Sophos Mobile Security) (page 154) Configuration des stratégies Android Things (page 160) Configuration des stratégies de conteneur Sophos pour iOS (page 193) Configuration des stratégies d’appareil macOS (page 205) Configuration des stratégies d’utilisateur macOS (page 222) Configuration des stratégies Windows Mobile (page 241) Configuration des stratégies Windows (page 252) Configuration des stratégies Android Things (page 160) Configuration des stratégies Windows IoT (page 260) 15.1 Création du profil ou de la stratégie Les profils et stratégies sont composées d’une ou de plusieurs configurations. L’ajout de différentes options de configuration vous permettra de définir l’étendue du profil ou de la stratégie, c’est-à-dire, les emplacements administrés sur les appareils. 1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Profils et stratégies et cliquez sur la plate-forme pour laquelle vous souhaitez créer le profil ou la stratégie. 86 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 2. Sur la page Profils et stratégies, cliquez sur Créer. Si plusieurs types de profil ou de stratégie sont disponibles pour la plate-forme, un menu s’ouvre lorsque vous cliquez sur le bouton Créer vous permettant de sélectionner le type de votre choix. Retrouvez une liste de tous les types de profil et de stratégie disponibles à la section Profils et stratégies (page 86). 3. Saisissez un nom et une description. 4. Pour les profils d’appareil iOS et macOS, saisissez le nom de votre entreprise. 5. Pour les stratégies de conteneur Sophos, une configuration Généralités est obligatoire et automatiquement ajoutée à la stratégie. Sur la page Modification de la stratégie, cliquez sur Généralités pour ouvrir la configuration et effectuez les modifications nécessaires. 6. Pour les stratégies Android pour les entreprises, une configuration Restrictions est obligatoire et automatiquement ajoutée à la stratégie. Sur la page Modification de la stratégie, cliquez sur Restrictions pour ouvrir la configuration et effectuez les modifications nécessaires. 7. Pour ajouter d’autres options de configuration au profil ou à la stratégie, cliquez sur Ajouter une configuration et sélectionnez la configuration que vous voulez ajouter. Remarque Les options de configuration prises en charge varient en fonction de la version du système d’exploitation ou des autres fonctions de l’appareil. Les conditions requises sont indiquées par une étiquette bleue. 8. Sur la page des paramètres de la configuration, indiquez les paramètres requis. 9. Facultatif : Répétez les étapes précédentes pour ajouter d’autres options de configuration. 10. Dès que toutes les options de configuration ont été ajoutées, cliquez sur Enregistrer. Le profil ou la stratégie est créé(e). Retrouvez plus de renseignements sur la manière d’appliquer un profil ou une stratégie aux appareils à la section Installation d’un profil sur les appareils (page 91) ou Assignation d’une stratégie aux appareils (page 92). Conseil Lorsque vous mettez à jour un profil, vous pouvez facilement le réinstaller sur tous les appareils sur lesquels il est installé : Sur la page Profils et stratégies, cliquez sur le triangle bleu correspondant au profil de votre choix et cliquez sur Mettre à jour les appareils. Lorsque vous mettez à jour une stratégie, celle-ci est automatiquement mise à jour sur tous les appareils sur lesquels la stratégie est assignée. 15.2 Importation des profils d’appareil iOS créés avec Apple Configurator Vous pouvez importer des profils créés avec Apple Configurator dans Sophos Mobile. Apple Configurator peut être téléchargé depuis l’App Store. Copyright © 2018 Sophos Limited 87 Sophos Mobile (version locale) Remarque Veuillez importer les profils d’appareil en utilisant la même procédure que celle utilisée pour approvisionner les profils de vos apps iOS développées en interne. Lorsque vous téléchargez un fichier de profil, Sophos Mobile analyse son contenu afin de faire la distinction entre les deux types de profil. 1. Après avoir créé un profil dans Apple Configurator, exportez-le (déchiffré et non signé) et enregistrez-le sur votre ordinateur. 2. Sur le menu latéral, sous CONFIGURATION, cliquez sur Profils et stratégies > iOS. 3. Sur la page Profils et stratégies, cliquez sur Créer > Importer un profil. La page Modification du profil apparaît. 4. Saisissez un nom et une description pour la nouvelle série de tâches dans les champs adéquats. 5. Cliquez sur Télécharger un fichier et naviguez jusqu’au fichier enregistré sur votre ordinateur, sélectionnez-le et cliquez sur Ouvrir. 6. Cliquez sur Enregistrer. Le profil est créé. Il peut être installé sur les appareils. Retrouvez plus de renseignements à la section Installation d’un profil sur les appareils (page 91). 15.3 Importation des profils d’enregistrement pour les apps iOS Lorsque vous développez vos propres apps iOS, vous créez des profils d’enregistrement afin que vos apps puissent être installées à partir d’un fichier IPA plutôt qu’à partir de la boutique d’apps. Vous pouvez télécharger ces profils d’enregistrement sur le serveur Sophos Mobile afin de pouvoir les distribuer ensuite sur vos appareils. Retrouvez plus de renseignements sur les profils d’enregistrement sur iOS Developer Library. Remarque Vous importez les profils d’enregistrement de la même manière que vous le faites avec les profils d’appareil créés à l’aide d’Apple Configurator. Lorsque vous téléchargez un fichier de profil, Sophos Mobile analyse son contenu afin de faire la distinction entre les deux types de profil. 1. Après avoir généré un profil d’enregistrement sur votre environnement de développement iOS, enregistrez-le sur votre ordinateur. 2. Sur le menu latéral, sous CONFIGURATION, cliquez sur Profils et stratégies > iOS. 3. Sur la page Profils et stratégies, cliquez sur Créer > Importer un profil. La page Modification du profil apparaît. 4. Saisissez un nom et une description pour la nouvelle série de tâches dans les champs adéquats. 5. Cliquez sur Télécharger un fichier et naviguez jusqu’au fichier enregistré sur votre ordinateur, sélectionnez-le et cliquez sur Ouvrir. 6. Cliquez sur Enregistrer. Le profil est créé. Il peut être installé sur les appareils. Retrouvez plus de renseignements à la section Installation d’un profil sur les appareils (page 91). 88 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 15.4 À propos des stratégies macOS Deux types de stratégies sont disponibles pour Macs : • • Stratégie d’appareil : Lorsque vous assignez une stratégie d’appareil à un Mac, les paramètres s’appliquent à tous les utilisateurs qui se connectent au Mac, qu’il soit administré ou non par Sophos Mobile. Stratégie d’utilisateur : Lorsque vous assignez une stratégie d’utilisateur à un Mac, les paramètres s’appliquent à tous les utilisateurs administrés qui se connectent au Mac. Les utilisateurs administrés sont : • • L’utilisateur local qui a inscrit le Mac à Sophos Mobile. Tous les utilisateurs du réseau connus par Sophos Mobile, c’est-à-dire, les utilisateurs issus de l’annuaire LDAP externe que vous avez configuré pour le Portail libre-service. À propos des stratégies d’appareil et d’utilisateur • • • • • • • • En plus de la stratégie d’inscription (qui est une stratégie d’appareil), vous pouvez assigner une stratégie d’appareil et une stratégie d’utilisateur au Mac. En cas de conflit de configurations dans une stratégie d’appareil et une stratégie d’utilisateur assignées au même Mac, la configuration la plus stricte s’applique. Sur le Mac, les stratégies assignées figurent sous Préférences système > Profils. Lorsque vous mettez à jour une stratégie d’appareil, les modifications sont appliquées à la prochaine synchronisation de l’appareil. Lorsque vous mettez à jour une stratégie d’utilisateur, les modifications sont appliquées à la prochaine connexion de l’utilisateur au Mac. Les utilisateurs peuvent supprimer la stratégie d’utilisateur du Mac. Toutefois, celle-ci sera automatiquement réassignée à la prochaine connexion de l’utilisateur au Mac. Les utilisateurs ne peuvent pas supprimer la stratégie d’appareil. Lorsqu’un utilisateur supprime la stratégie d’inscription, le Mac est désinscrit de Sophos Mobile. Les droits d’administrateur sont nécessaires à cette opération. Concepts connexes Configuration des stratégies d’appareil macOS (page 205) Configuration des stratégies d’utilisateur macOS (page 222) 15.5 Règles de complexité des mots de passe Windows Les règles de complexité des mots de passe (par ex. ; la longueur, le nombre de lettres majuscules et minuscules) pour les ordinateurs Windows sont fixées et ne peuvent pas être définies par une stratégie Sophos Mobile. Différentes règles s’appliquent aux comptes locaux et aux comptes Microsoft Copyright © 2018 Sophos Limited 89 Sophos Mobile (version locale) Comptes locaux • • • Le mot de passe ne doit pas contenir le nom du compte de l’utilisateur ou plus de deux caractères consécutifs du nom complet de l’utilisateur. Le mot de passe doit être composé d’au moins 6 caractères. Le mot de passe doit être composé de caractères appartenant au moins à trois des quatre catégories suivantes : — — — — Lettres majuscules A-Z (alphabet romain) Lettres minuscules A-Z (alphabet romain) Chiffres de 0 à 9 Caractères spéciaux (!, $, #, %, etc.) Comptes Microsoft • • Le mot de passe doit être composé d’au moins 8 caractères. Le mot de passe doit être composé de caractères appartenant au moins à deux des quatre catégories suivantes : — — — — Lettres majuscules A-Z (alphabet romain) Lettres minuscules A-Z (alphabet romain) Chiffres de 0 à 9 Caractères spéciaux (!, $, #, %, etc.) 15.6 Support de Samsung Knox Vous pouvez administrer les appareils Samsung Knox avec Sophos Mobile. Pour activer le support de Samsung Knox, veuillez configurer une clé de licence Samsung Knox Premium dans Sophos Mobile. Retrouvez plus de renseignements à la section Enregistrement de la licence Samsung Knox (page 41). Retrouvez plus de renseignements sur la configuration du conteneur Knox des appareils Samsung à la section Configuration des profils de conteneur Knox (page 155). Retrouvez plus de renseignements sur l’installation des apps dans un conteneur Samsung Knox à la section Ajout d’une app (page 275). Pour administrer vos appareils Samsung Knox, vous pouvez créer des séries de tâches pour effectuer les actions suivantes : • • • • Conteneur Knox : verrouiller Conteneur Knox : déverrouiller Conteneur Knox : réinitialiser le mot de passe Conteneur Knox : supprimer (supprime le conteneur et toutes les options de configuration associées de l’appareil) Retrouvez plus de renseignements sur la création d’une série de tâches pour un appareil Samsung Knox à la section Création d’une série de tâches (page 263). 90 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 15.7 Espaces réservés dans les profils et stratégies Les profils et stratégies peuvent contenir des espaces réservés qui seront remplacés par des données au moment de l’exécution de la tâche. Les espaces réservés suivants peuvent être utilisés : • Les espaces réservés pour les données des utilisateurs sont : • — %_EMAILADDRESS_% — %_USERNAME_% Espaces réservés pour les propriétés de l’appareil : — %_DEVPROP(nom propriété)_% • nom propriété peut soit être une propriété standard soit une propriété personnalisée de l’appareil. Retrouvez plus de renseignements à la section Propriétés personnalisées pour les appareils (page 67). Espaces réservés pour les propriétés du client : — %_CUSTPROP(nom propriété)_% Retrouvez plus de renseignements à la section Propriétés pour les clients (page 22). Pour macOS, les données de l’utilisateur sont remplacées comme suit : • • Pour l’utilisateur Mac local, les données de l’utilisateur Sophos Mobile assigné à l’appareil sont utilisées. Pour les utilisateurs du réseau, les données du compte d’utilisateur LDAP sont utilisées. 15.8 Installation d’un profil sur les appareils 1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Profils et stratégies puis cliquez sur les plates-formes d’appareils prenant en charge les profils : • • Android iOS La page Profils et stratégies de la plate-forme sélectionnée apparaît. 2. Cliquez sur le triangle bleu correspondant au profil à installer et cliquez sur Installer. La page Sélection des appareils apparaît. 3. Cette page vous permet de : • • Sélectionnez individuellement les appareils sur lesquels vous voulez installer le profil. Cliquez sur Sélectionner les groupes d’appareils et sélectionnez un ou plusieurs groupes d’appareils. 4. Après avoir fait votre sélection, cliquez sur Suivant. La page Définir la date d’exécution apparaît. 5. Sous Date planifiée, sélectionnez Maintenant ou indiquez une date et une heure d’exécution de la tâche. 6. Cliquez sur Terminer. La page Vue des tâches apparaît. Le profil est installé sur les appareils sélectionnés à l’heure et à la date indiquées. Copyright © 2018 Sophos Limited 91 Sophos Mobile (version locale) Conseil Vous pouvez également installer un profil en utilisant l’une des options suivantes : • Pour mettre à jour un profil sur tous les appareils sur lesquels il est installé : Sur la page Profils et stratégies, cliquez sur le triangle bleu correspondant au profil de votre choix et cliquez sur Mettre à jour les appareils. • Pour installer un profil sur un seul appareil : Sur la page Affichage de l’appareil de l’appareil, sélectionnez l’onglet Profils et cliquez sur Installer le profil. • Pour installer un profil sur plusieurs appareils : Sur la page Appareils, sélectionnez les appareils et cliquez sur Actions > Installer le profil. • Pour installer un profil sur un ou plusieurs appareils dans le cadre d’une série de tâches : Ajoutez une tâche Installer le profil à la série de tâches et transférez-la aux appareils ou groupes d’appareils requis. 15.9 Assignation d’une stratégie aux appareils 1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Profils et stratégies puis cliquez sur les plates-formes d’appareils prenant en charge les stratégies : • • • • • • • Android Android Things iOS macOS Windows Mobile Windows Windows IoT La page Stratégies de la plate-forme sélectionnée apparaît. 2. Cliquez sur le triangle bleu correspondant à la stratégie à assigner et cliquez sur Assigner. La page Sélection des appareils apparaît. 3. Cette page vous permet de : • • Sélectionner les appareils individuels auxquels vous voulez assigner la stratégie. Cliquez sur Sélectionner les groupes d’appareils et sélectionnez un ou plusieurs groupes d’appareils auxquels assigner la stratégie. 4. Après avoir fait votre sélection, cliquez sur Terminer. La stratégie est assignée aux appareils sélectionnés et une opération de synchronisation des appareils sélectionnés est déclenchée. Remarque Les stratégies ne peuvent pas être supprimées de l’appareil. Pour désactiver une stratégie, veuillez assigner une stratégie différente à cet appareil. 92 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Conseil Vous pouvez également assigner une stratégie en utilisant l’une des options suivantes : • Pour assigner une stratégie à un seul appareil : Sur la page Affichage de l’appareil de l’appareil, sélectionnez l’onglet Stratégies et cliquez sur Assigner une stratégie. • Pour assigner une stratégie à plusieurs appareils : Sur la page Appareils, sélectionnez les appareils et cliquez sur Actions > Installer le profil. • Pour assigner une stratégie à un ou plusieurs appareils dans le cadre d’une série de tâches : Ajoutez une tâche Installer le profil à la série de tâches et transférez-la aux appareils ou groupes d’appareils requis. 15.10 Désinstaller le profil Veuillez utiliser l’une des procédures suivantes pour désinstaller un profil des appareils : • • • Pour désinstaller un profil sur un seul appareil : Sur la page Affichage de l’appareil, sélectionnez l’onglet Profils. Cliquez sur le triangle bleu correspondant au profil que vous voulez supprimer et cliquez sur Désinstaller. Pour désinstaller un profil de tous les appareils sur lesquels il est installé : Sur la page Profils et stratégies d’une plate-forme, cliquez sur le triangle bleu correspondant au profil que vous voulez supprimer et cliquez sur Désinstaller. Pour désinstaller un profil d’une sélection d’appareils : Créez une série de tâches avec la tâche Désinstaller le profil et transférez-la aux appareils ou groupes d’appareils requis. 15.11 Téléchargement des profils et stratégies Vous pouvez télécharger les profils et stratégies que vous avez configurés dans Sophos Mobile Admin. Ceci est particulièrement utile si, par exemple, vous devez communiquer les paramètres définis au support de Sophos. 1. Sur le menu latéral, allez dans Profils et stratégies et cliquez sur la plate-forme d’un appareil. La page Profils et stratégies de la plate-forme sélectionnée apparaît. 2. Cliquez sur le nom du profil ou de la stratégie de votre choix. La page Affichage du profil ou Affichage de la stratégie apparaît. 3. Cliquez sur Télécharger. Le profil ou la stratégie est enregistré localement sur votre ordinateur. 15.12 Configuration des profils d’appareil Android Un profil d’appareil Android vous permet de configurer différentes options des appareils Android (stratégies de mot de passe, restrictions ou paramètres Wi-Fi). Retrouvez plus de renseignements sur la création d’un profil d’appareil à la section Création du profil ou de la stratégie (page 86). Copyright © 2018 Sophos Limited 93 Sophos Mobile (version locale) 15.12.1 Configuration des Stratégies de mot de passe (profil d’appareil Android) La configuration Stratégies de mot de passe vous permet de définir les exigences à respecter pour le mot de passe de verrouillage de l’écran. Remarque Les paramètres pris en charge varient en fonction de la version du système d’exploitation ou des autres fonctions de l’appareil. Le champ d’application est indiqué par une étiquette bleue dans Sophos Mobile. Type de mot de passe La liste Type de mot de passe vous permet de sélectionner le type de mot de passe que les utilisateurs sont autorisés à configurer : 94 Paramètre/Champ Description Modèle, code PIN ou mot de passe Les utilisateurs doivent définir un mode de déverrouillage de l’écran. Ils peuvent choisir un mode de déverrouillage de l’écran de type Modèle, Code PIN ou Mot de passe. Aucune autre restriction n’est imposée. Mot de passe simple Les utilisateurs doivent définir un mode de déverrouillage de l’écran de type Mot de passe. L’utilisation de chiffre est autorisée mais le mot de passe doit contenir au moins une lettre. Vous pouvez définir la longueur minimale. Retrouvez plus de renseignements à ce sujet dans le tableau ci-dessous. Code PIN ou mot de passe Les utilisateurs doivent définir un mode de déverrouillage de l’écran de type Code PIN ou Mot de passe. Vous pouvez définir la longueur minimale. Retrouvez plus de renseignements à ce sujet dans le tableau ci-dessous. Mot de passe alphanumérique Les utilisateurs doivent définir un mode de déverrouillage de l’écran de type Mot de passe. Le mot de passe doit contenir une combinaison de lettres et de chiffres. Vous pouvez définir la longueur minimale. Retrouvez plus de renseignements à ce sujet dans le tableau cidessous. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Mot de passe complexe Les utilisateurs doivent définir un mode de déverrouillage de l’écran de type Mot de passe. Le mot de passe doit contenir une combinaison de lettres et de chiffres. Vous pouvez définir la longueur minimale ainsi que le nombre minimal de chiffres, de lettres minuscules et majuscules et de caractères spéciaux à utiliser. Retrouvez plus de renseignements à ce sujet dans les deux tableaux ci-dessous. Si vous sélectionnez Mot de passe simple, Code PIN ou mot de passe, Mot de passe alphanumérique ou Mot de passe complexe, les champs suivants apparaissent : Paramètre/Champ Description Longueur minimum du mot de passe Le nombre minimum de caractères qu’un mot de passe doit contenir. Délai d’attente avant demande du mot de passe Le temps au bout duquel l’appareil est verrouillé lorsqu’il n’est pas utilisé. L’appareil peut être déverrouillé en saisissant le mot de passe. Remarque Il se peut que l’appareil impose un période de temps plus courte que celle que vous avez configurée ici. Durée de validité maximale du mot de passe en jours Demande aux utilisateurs de changer leur mot de passe dans l’intervalle indiqué. Plage de valeur : 0 (aucun changement de mot de passe requis) à 730 jours. Nombre de tentatives ratées avant réinitialisation de l’appareil Le nombre maximal de tentatives ratées de saisie du mot de passe qu’il est possible d’effectuer avant que l’appareil soit réinitialisé. Longueur minimum de l’historique Le nombre d’anciens mots de passe mémorisés et comparés avec les nouveaux. Lorsque l’utilisateur définit un nouveau mot de passe, celui-ci n’est pas accepté s’il correspond à un ancien mot de passe déjà utilisé. Plage de valeur : 1 à 5 ou aucune. Si vous sélectionnez Mot de passe complexe, les champs supplémentaires suivants apparaissent : Paramètre/Champ Description Nombre minimum de lettres Le nombre minimum de lettres qu’un mot de passe doit contenir. Copyright © 2018 Sophos Limited 95 Sophos Mobile (version locale) Paramètre/Champ Description Nombre minimum de lettres minuscules Le nombre minimum de lettres minuscules qu’un mot de passe doit contenir. Nombre minimum de lettres majuscules Le nombre minimum de lettres majuscules qu’un mot de passe doit contenir. Nombre minimum de caractères non alphabétiques Le nombre minimum de caractères non alphabétiques (par exemple & ou !) qu’un mot de passe doit contenir. Nombre minimum de chiffres Le nombre minimum de chiffres qu’un mot de passe doit contenir. Nombre minimum de caractères spéciaux Le nombre minimum de caractères spéciaux (par exemple !"§$%&/()=,.-;:_@<>) qu’un mot de passe doit contenir. Authentification biométrique Paramètre/Champ Description Autoriser l’authentification par empreinte digitale Si cette fonction est disponible sur l’appareil, l’utilisateur peut utiliser l’authentification par empreinte digitale pour déverrouiller l’appareil. Autoriser l’authentification par l’iris Si cette fonction est disponible sur l’appareil, l’utilisateur peut utiliser l’authentification de iris pour déverrouiller l’appareil. 15.12.2 Configuration des Restrictions (profil d’appareil Android) La configuration Restrictions vous permet de définir les restrictions pour les appareils. Sécurité 96 Paramètre/Champ Description Forcer le chiffrement L’utilisateur doit chiffrer ses appareils. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Forcer le chiffrement de la carte SD Lorsque le profil est installé sur un appareil, l’utilisateur doit chiffrer la carte SD. Remarque Sur certains types d’appareils, les utilisateurs peuvent choisir d’annuler le chiffrement. Ils verront un message de rappel la prochaine fois qu’ils connecteront une carte SD. Autoriser le chiffrement rapide Les utilisateurs peuvent changer les options de chiffrement rapide dans les paramètres de l’appareil. Autoriser le rétablissement des paramètres d’usine Les utilisateurs peuvent restaurer les paramètres d’usine sur leurs appareils. Autoriser les Options de développement Les utilisateurs peuvent changer les options de développement. Autoriser le mode sécurisé Les utilisateurs peuvent démarrer l’appareil en mode sans échec. Autoriser le débogage USB Les utilisateurs peuvent activer le débogage USB. Remarque Si la case Autoriser le débogage USB n’est pas sélectionnée sur les appareils Sony à partir de la version 9 de l’API d’entreprise, toutes les options de développement sont indisponibles. Autoriser la récupération du firmware Tous les types de mises à jour du firmware (OTA, téléchargement, etc.) sont autorisés. Autoriser la sauvegarde Les utilisateurs peuvent créer des sauvegardes du système. Si cette case n’est pas sélectionnée, la sauvegarde Google est désactivée mais toutes les autres méthodes de sauvegarde (par exemple, les sauvegardes Sophos Mobile) restent disponibles. Autoriser les modifications de paramètres Les utilisateurs peuvent modifier les paramètres de l’appareil. Autoriser le Presse-papiers Les utilisateurs peuvent copier le contenu du pressepapiers. Copyright © 2018 Sophos Limited 97 Sophos Mobile (version locale) Paramètre/Champ Description Activer le Presse-papiers partagé Permet aux utilisateurs de copier le contenu du pressepapiers entre les apps. Si cette case n’est pas sélectionnée, chaque app a son propre presse-papiers. Ce paramètre est uniquement disponible si vous sélectionnez Autoriser le Presse-papiers. Autoriser la capture d’écran Les utilisateurs peuvent prendre des captures d’écran. Autoriser les positions GPS factices Les utilisateurs peuvent activer les fonctions de débogage sous les Options de développement de l’appareil Android. Autoriser les mises à jour OTA du firmware Les mises à jour OTA du firmware sont autorisées. Autoriser l’enregistrement audio Les utilisateurs peuvent enregistrer le son. Autoriser l’enregistrement vidéo Les utilisateurs peuvent enregistrer des vidéos. Si cette case n’est pas sélectionnée, les utilisateurs peuvent continuer à prendre des photos et à lire des vidéos en streaming. Autoriser le verrouillage de l’activation Les utilisateurs peuvent changer les options de verrouillage d’activation dans les paramètres de l’appareil. Autoriser S Beam Les utilisateurs peuvent démarrer l’app Samsung S Beam. Autoriser S Voice Les utilisateurs peuvent démarrer l’app Samsung S Voice. Autoriser « Partager par » La fonction Partager par est disponible. Comptes Paramètre/Champ Description Autoriser le mode multi-utilisateurs Si cette case n’est pas sélectionnée, le support multiutilisateurs est désactivé. Les utilisateurs ou les apps ne peuvent pas créer de comptes d’utilisateur supplémentaires. Autoriser l’ajout de comptes de messagerie Si cette case n’est pas sélectionnée, les utilisateurs ne peuvent pas ajouter de comptes de messagerie. La création de compte via un profil d’appareil est toujours possible. 98 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Autoriser la suppression du compte Google Si cette case n’est pas sélectionnée, les utilisateurs ne peuvent pas supprimer le compte Google de l’appareil. Autoriser la synchronisation automatique des comptes Google Si cette case n’est pas sélectionnée, les comptes Google ne sont pas synchronisés automatiquement. Les utilisateurs sont toujours en mesure de synchroniser ses comptes manuellement à partir de certaines apps comme Gmail. Réseau et communication Paramètre/Champ Description Autoriser le mode Avion Si cette case n’est pas sélectionnée, les utilisateurs ne peuvent pas activer le mode Avion. Autoriser la synchronisation pendant l’itinérance Si cette case n’est pas sélectionnée, la synchronisation pendant l’itinérance est désactivée. Autoriser uniquement les appels d’urgence Seuls les appels d’urgence sont autorisés. Tous les autres appels seront bloqués. Forcer la synchronisation manuelle pendant l’itinérance La synchronisation automatique des données est désactivée lorsque l’appareil est en mode itinérant. Tous les comptes configurés sont affectés (par exemple ; Google ou Exchange). Forcer la connexion aux données mobiles L’utilisateur ne peut pas désactiver les données cellulaires. Autoriser les SMS Si cette case n’est pas sélectionnée, les utilisateurs ne peuvent pas envoyer de SMS. Autoriser la connexion aux données mobiles pendant l’itinérance Si cette case n’est pas sélectionnée, les connexions aux données mobiles pendant l’itinérance sont désactivées. Autoriser les appels vocaux pendant l’itinérance Si cette case n’est pas sélectionnée, les appels vocaux pendant l’itinérance sont désactivés. Autoriser la définition de limite des données mobiles Si cette case n’est pas sélectionnée, les utilisateurs ne peuvent pas définir une limite de données mobiles. Autoriser les réseaux privés virtuels (VPN) Si cette case n’est pas sélectionnée, les utilisateurs ne peuvent pas utiliser de connexions VPN. Autoriser la connexion Wi-Fi directe Si cette case n’est pas sélectionnée, le transfert de données via une connexion Wi-Fi directe est désactivé. Copyright © 2018 Sophos Limited 99 Sophos Mobile (version locale) Paramètre/Champ Description Autoriser Android Beam Si cette case n’est pas sélectionnée, le transfert de données via Android Beam est désactivé. Ceci inclut également l’app Samsung S Beam. Autoriser la stratégie Miracast Si cette case n’est pas sélectionnée, le transfert de données via Miracast est désactivé. Autoriser Bluetooth Si cette case n’est pas sélectionnée, la connexion Bluetooth est désactivée. Autoriser le profil de distribution audio avancé Pour autoriser les profils Bluetooth, sélectionnez d’abord la case Autoriser Bluetooth puis les profils à autoriser. Autoriser le profile de contrôle à distance de l’audio/vidéo Si la case Autoriser Bluetooth n’est pas sélectionnée, les paramètres n’ont aucun effet, c’est-à-dire que tous les profils sont interdits. Autoriser le profil mains libres Autoriser le profil de casque Autoriser le profil d’accès au répertoire Autoriser le profil de port en série Autoriser NFC Si cette case n’est pas sélectionnée, la communication NFC est désactivée. Autoriser la connexion Wi-Fi Si cette case n’est pas sélectionnée, la connexion Wi-Fi est désactivée. Partage de connexion Wi-Fi Paramètre/Champ Description Autoriser le partage de connexion Internet Si cette case n’est pas sélectionnée, le partage de connexion Internet est désactivé. Ceci inclut le partage de connexion Internet via Wi-Fi, USB et Bluetooth. Remarque Si cette case n’est pas sélectionnée, les paramètres Autoriser le partage de connexion Wi-Fi, Autoriser la connexion USB et Autoriser la connexion Bluetooth ne fonctionnent plus. Autoriser le partage de connexion Wi-Fi Si cette case n’est pas sélectionnée, le partage de connexion Wi-Fi (point d’accès Wi-Fi) est désactivé. 100 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Autoriser la connexion USB Si cette case n’est pas sélectionnée, le partage de connexion USB est désactivé. Autoriser la connexion Bluetooth Si cette case n’est pas sélectionnée, le partage de connexion Bluetooth est désactivé. Autoriser la configuration de la connexion Wi-Fi L’utilisateur peut configurer les paramètres du point d’accès Wi-Fi. Matériel Paramètre/Champ Description Autoriser l’appareil photo Si cette case n’est pas sélectionnée, l’appareil photo n’est plus disponible. Autoriser l’appareil photo pendant le verrouillage de l’écran Si cette case n’est pas sélectionnée, l’appareil photo n’est plus disponible lorsque l’écran est verrouillé. Pour autoriser l’appareil photo sur l’écran de verrouillage, veuillez sélectionnez l’option Autoriser l’appareil photo. Forcer le GPS pour les demandes de géolocalisation Les informations du GPS sont utilisées pour géolocaliser l’appareil. Autoriser la carte SD Si cette case n’est pas sélectionnée, les cartes SD sont inutilisables sur les appareils. Autoriser le déplacement d’apps sur la carte SD Si cette case n’est pas sélectionnée, les utilisateurs ne peuvent pas déplacer les apps du stockage interne sur la carte SD. Autoriser l’écriture sur la carte SD déchiffrée Si cette case n’est pas sélectionnée, il n’est plus possible d’écrire sur les cartes SD déchiffrées. Autoriser le microphone Si cette case n’est pas sélectionnée, le microphone n’est plus disponible. Autoriser les périphériques USB Le mode de stockage de masse sur USB et le mode périphériques multimédia USB (MTP) sont disponibles sur l’appareil. Autoriser le lecteur média USB Si cette case n’est pas sélectionnée, le protocole MTP (Media Transfer Protocol) n’est plus disponible. Android utilise MTP pour le transfert de fichiers par USB. Par conséquent, tout transfert de fichiers par USB sera bloqué. Autoriser le mode d’économie d’énergie Si cette case n’est pas sélectionnée, l’appareil ne peut pas se mettre en mode d’économie d’énergie. Copyright © 2018 Sophos Limited 101 Sophos Mobile (version locale) Paramètre/Champ Description Autoriser le stockage d’hôte USB Tous les appareils de stockage externe que l’utilisateur connecte sont montés. Il peut s’agit d’appareil de stockage USB portables, de lecteurs HD externes et de lecteurs de carte SD. Si cette case n’est pas sélectionnée, les appareils de stockage externe ne sont pas montés. Applications Paramètre/Champ Description Autoriser l’installation d’apps Si cette case n’est pas sélectionnée, les utilisateurs ne peuvent pas installer d’apps. Autoriser la désinstallation d’apps Si cette case n’est pas sélectionnée, les utilisateurs ne peuvent pas désinstaller les apps. Autoriser l’installation d’apps non signées Si cette case n’est pas sélectionnée, les utilisateurs ne peuvent pas installer de fichiers APK signés. Autoriser Play Store Si cette case n’est pas sélectionnée, l’app Google Play n’est plus disponible sur l’appareil. Autoriser les apps provenant de sources Si cette case n’est pas sélectionnée, les utilisateurs inconnues peuvent uniquement installer les apps à partir de l’app de la boutique Google Play. Autoriser le navigateur natif Si cette case n’est pas sélectionnée, le navigateur natif n’est plus disponible. Les apps des navigateurs tiers ne sont pas affectées. Autoriser les rapports de pannes des apps Si cette case n’est pas sélectionnée, les apps ne peuvent pas envoyer de rapport de pannes. Autoriser le changement de fond d’écran Si cette case n’est pas sélectionnée, les utilisateurs ne peuvent pas changer le fond d’écran. Autoriser les widgets pendant le verrouillage de l’écran Si cette case n’est pas sélectionnée, les widgets ne sont plus disponibles lorsque l’écran est verrouillé. Autoriser les coordonnées Knox pour les appels personnels Par défaut, un appareil Samsung Knox affiche les coordonnées du contact lorsque l’utilisateur reçoit un appel d’un contact Knox pendant qu’il est en mode personnel. Si cette case n’est pas sélectionnée, les coordonnées du contact Knox ne sont pas affichées en mode personnel. 102 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Autoriser la saisie semi-automatique dans le navigateur L’utilisateur peut activer la saisie semi-automatique dans les paramètres du navigateur Android d’origine. Si cette option est activée, les pages Web peuvent fournir des suggestions lorsque l’utilisateur remplit un formulaire. Si cette case n’est pas sélectionnée, la saisie semiautomatique est désactivée et le paramètre du navigateur est indisponible. Autoriser les cookies dans le navigateur L’utilisateur peut activer les cookies dans les paramètres du navigateur Android d’origine. Si cette option est activée, les pages Web peuvent enregistrer des cookies sur l’appareil. Si cette case n’est pas sélectionnée, les cookies sont désactivés et le paramètre du navigateur est indisponible. Autoriser JavaScript dans le navigateur L’utilisateur peut activer JavaScript dans les paramètres du navigateur Android d’origine. Si cette option est activée, les pages Web peuvent exécuter le code JavaScript sur l’appareil. Si cette case n’est pas sélectionnée, JavaScript est désactivé et le paramètre du navigateur est indisponible. Autoriser les fenêtres intempestives sur le navigateur L’utilisateur peut activer les fenêtres intempestives dans les paramètres du navigateur Android d’origine. Si cette option est activée, les pages Web peuvent ouvrir des nouvelles fenêtres de navigateur. Si cette case n’est pas sélectionnée, les fenêtres intempestives sont désactivées et le paramètre du navigateur est indisponible. Autoriser la modification des paramètres de date et d’heure L’utilisateur peut changer les paramètres de date et d’heure. Apps autorisées / Apps interdites Vous pouvez configurer soit les Apps autorisées soit les Apps interdites. Sélectionnez l’option désirée dans la première liste et sélectionnez le groupe d’apps contenant les apps qui doivent être autorisées ou interdites dans la seconde liste. L’installation d’apps déclenchée par le serveur Sophos Mobile n’est pas limitée par ce paramètre. Retrouvez plus de renseignements sur la création des groupes d’apps à la section Groupes d’apps (page 295). Copyright © 2018 Sophos Limited 103 Sophos Mobile (version locale) 15.12.3 Configuration des Restrictions Knox Premium (profil d’appareil Android) La configuration des Restrictions Knox Premium vous permet de définir les restrictions pour les appareils Samsung Knox. Ces restrictions s’appliquent à l’appareil et non pas au conteneur Knox. Option Description Autoriser les options de mise à jour automatique du firmware L’appareil vérifie automatiquement la présence de mises à jour du firmware. Les utilisateurs ne peuvent pas modifier ce paramètre dans les paramètres de l’appareil. Activer la vérification ODE Trusted Boot L’appareil déchiffre uniquement la partition de données au démarrage si les binaires et le noyau sont des versions officielles, c’est-à-dire, si l’appareil n’est pas débloqué (rooted). Si cette case n’est pas sélectionnez cette case, l’appareil déchiffre toujours la partition de données au démarrage. Empêcher l’installation d’une autre app administrateur L’installation d’apps nécessitant les privilèges administrateur sur l’appareil n’est pas autorisée. Les apps installées par Sophos Mobile ne sont pas affectées. Empêcher l’activation d’une autre app d’administration L’activation des droits administrateur de l’appareil pour les apps n’est pas autorisée. Autoriser le mode « Common Criteria » Le mode Common Criteria de l’appareil est activé. L’appareil satisfait aux conditions de sécurité établies par la norme Mobile Device Fundamentals Protection Profile (Profil de protection des fondamentaux des appareils mobiles). Remarque : le mode Common Criteria est uniquement utilisé si les conditions suivantes sont remplies : 104 • Le chiffrement d’appareils est activé. • Le chiffrement rapide est désactivé. • Le chiffrement du stockage externe est activé. • Un nombre maximal de tentatives ratées avant la réinitialisation de l’appareil est défini. • La révocation de certificat est activée. • L’historique du mot de passe est désactivé. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 15.12.4 Configuration de la Protection des apps (profil d’appareil Android) La configuration de la Protection des apps vous permet de définir le format de mot de passe à utiliser pour protéger les apps. Si la Protection des apps est utilisée, les utilisateurs doivent créer un mot de passe lorsqu’ils démarrent une app protégée pour la première fois. Suite à une tentative ratée de connexion, un délai de connexion est imposé. Si la Protection des apps est activée sur un appareil, la commande Réinitialiser le mot de passe de la Protection des apps est disponible dans le menu Actions sur la page Affichage de l’appareil. L’utilisateur a également la possibilité de réinitialiser le mot de passe de la Protection des apps dans le Portail libre-service. Paramètre/Champ Description Complexité du mot de passe Le niveau de complexité minimale requis pour le mot de passe qui sera créé par les utilisateurs. Délai de grâce en minutes À la fin du délai de grâce, les apps protégées peuvent uniquement être déverrouillées par mot de passe. Groupe d’apps Sélectionnez le groupe d’apps contenant les apps protégées par mot de passe. Retrouvez plus de renseignements sur la création des groupes d’apps à la section Groupes d’apps (page 295). Autoriser l’authentification par empreinte digitale L’utilisateur peut utiliser son empreinte digitale pour déverrouiller une app protégée. 15.12.5 Configuration du Contrôle des apps (profil d’appareil Android) La configuration du Contrôle des apps vous permet de définir les apps dont l’utilisation n’est pas autorisée. Vous pouvez, par exemple, utiliser cette fonction pour bloquer les apps préinstallées par le fabricant de l’appareil et qui ne peuvent pas être désinstallées. Paramètre/Champ Description Groupe d’apps Sélectionnez le groupe d’apps contenant les apps bloquées. Retrouvez plus de renseignements sur la création des groupes d’apps à la section Groupes d’apps (page 295). Copyright © 2018 Sophos Limited 105 Sophos Mobile (version locale) 15.12.6 Configuration des Autorisations des apps (Android) La configuration Autorisations des apps vous permet de configurer la réponse à donner lorsqu’une app demande une autorisation pendant son exécution. Paramètre/Champ Description Autorisations d'exécution des apps Vous pouvez accorder ou refuser certaines autorisations pendant l’exécution d’apps individuelles. Cliquez sur Ajouter et configurez les paramètres d’une app : Dans le champ Identifiant d’app, saisissez l’identifiant interne de l’app. Pour chaque autorisation pendant l’exécution, sélectionnez l’état d’accord désiré : • Sélectionnable : l’utilisateur peut accorder ou refuser l’autorisation. • Accordée : l’autorisation est accordée et ne peut pas être refusée par l’utilisateur. • Refusée : l’autorisation est refusée et ne peut pas être accordée par l’utilisateur. 15.12.7 Configuration du compte Exchange (profil d’appareil Android) La configuration Compte Exchange vous permet de créer une connexion à un serveur de messagerie Serveur Microsoft Exchange. Paramètre/Champ Description Nom du compte Le nom du compte. Serveur Exchange L’adresse du serveur Exchange. Remarque Si vous utilisez le proxy SMC EAS, veuillez saisir l’URL du serveur proxy SMC. Domaine Le domaine de ce compte. Utilisateur L’utilisateur de ce compte. Si vous saisissez la variable %_USERNAME_%, le serveur la remplace par le nom de l’utilisateur en cours. 106 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Adresse électronique L’adresse électronique du compte. Si vous saisissez la variable %_EMAILADDRESS_%, le serveur la remplace par l’adresse électronique en cours. Expéditeur Un nom d’expéditeur pour ce compte. Si vous saisissez la variable %_EMAILADDRESS_%, le serveur la remplace par l’adresse électronique en cours. Mot de passe Le mot de passe de ce compte. Si vous ne remplissez pas ce champ, les utilisateurs devront saisir le mot de passe sur leurs appareils. Période de synchronisation La date à laquelle les emails sont synchronisés. Seuls les emails compris dans la période indiquée sont synchronisés dans la boîte de réception sur l’appareil. Intervalle de synchronisation L’intervalle entre les processus de synchronisation de la messagerie. SSL/TLS La connexion au serveur Exchange est sécurisée par SSL ou TLS (selon la compatibilité du serveur). Nous vous conseillons de sélectionner cette option. Compte par défaut Le compte est utilisé en tant que compte de messagerie par défaut. Autoriser tous les certificats Autoriser tous les certificats lors des processus de transferts à partir du serveur de messagerie. Certificat du client Le certificat du client pour la connexion au serveur Exchange. Autoriser le transfert d’emails Autoriser le transfert d’emails. Autoriser l’utilisation du format HTML Autoriser l’utilisation du format HTML dans les emails. Taille maximale des pièces jointes (Mo) La taille maximale d’un email (1, 3, 5, 10, Illimitée). Synchroniser les types de contenu Les types de contenu à synchroniser. Copyright © 2018 Sophos Limited 107 Sophos Mobile (version locale) Remarque Pour les appareils Sony jusqu’à la version 6.x d’Enterprise API, il est important que les informations de l’utilisateur du compte Exchange correspondent à l’utilisateur assigné à l’appareil. Sur ces appareils, le client SMC n’est pas en mesure d’envoyer l’identifiant ActiveSync au serveur Sophos Mobile Control. Lorsqu’un appareil contacte le proxy EAS de Sophos Mobile Control pour la première fois, l’identifiant ActiveSync que le client de messagerie envoie n’est pas connu par Sophos Mobile. Pour vérifier les informations du compte, le proxy EAS de Sophos Mobile Control recherche un appareil avec un identifiant ActiveSync inconnu et un utilisateur assigné qui correspond aux informations de l’utilisateur fournies par le client de messagerie. Si cet appareil est trouvé, l’identifiant ActiveSync est assigné à cet appareil et la demande d’email est transférée au serveur Exchange. Dans le cas contraire, la demande est rejetée. Retrouvez plus de renseignements dans l’article 121360 de la base de connaissances de Sophos. 15.12.8 Configuration Wi-Fi (profil d’appareil Android) La configuration Wi-Fi vous permet d’indiquer les paramètres de connexion aux réseaux Wi-Fi. Paramètre/Champ Description SSID L’identifiant du réseau Wi-Fi. Type de sécurité Le type de sécurité de la connexion Wi-Fi : • • • • • • Autorisation de la phase 2 Aucun WEP WPA/WPA2 PSK EAP/PEAP EAP/TLS EAP/TTLS La méthode d’authentification pour la phase 2 de la négociation EAP : • • • • • Aucun PAP CHAP MSCHAP MSCHAPv2 Ce champ est disponible pour les connexions EAP/PEAP et EAP/TTLS. Identité L’identité de l’utilisateur. Ce champ est disponible pour les connexions EAP. 108 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Identité anonyme L’identité du pseudonyme envoyée non chiffrée au cours de la phase 1 de la négociation EAP. Ce champ est disponible pour les connexions EAP. Mot de passe Le mot de passe du réseau Wi-Fi. Certificat d’identité Le certificat d’identité pour la connexion au réseau Wi-Fi. La liste contient tous les certificats présents dans la configuration Certificat du client de la stratégie actuelle. Ce champ est disponible pour les connexions EAP. Certificat approuvé L’autorité de certification racine pour le certificat du serveur EAP. La liste contient tous les certificats présents dans la configuration Certificat racine de la stratégie actuelle. Ce champ est disponible pour les connexions EAP. Serveur proxy et port Le nom ou l’adresse IP et le numéro de port d’un serveur proxy pour la connexion Wi-Fi. 15.12.9 Configuration VPN (profil d’appareil Android) La configuration VPN vous permet de définir les paramètres VPN pour les connexions réseau. Paramètre/Champ Description Nom de la connexion Le nom de la connexion affichée sur l’appareil. Serveur Le nom d’hôte ou l’adresse IP du serveur. Copyright © 2018 Sophos Limited 109 Sophos Mobile (version locale) Paramètre/Champ Description Type de connexion Le type de connexion VPN : • L2TP/IPsec (PSK) Si vous sélectionnez ce type, les champs Utilisateur, Mot de passe et L2TP/IPsec (PSK) sont affichés. Saisissez le nom d’utilisateur et le mot de passe. Dans le champ L2TP/IPsec (PSK), saisissez la clé prépartagée pour l’authentification. • L2TP/IPsec (Certificat) Si vous sélectionnez ce type, les champs Certificat du client, Certificat racine, Utilisateur et Mot de passe sont affichés. Dans les champs Certificat du client et Certificat racine, sélectionnez les certificats adéquats. Saisissez également le nom d’Utilisateur et le Mot de passe adéquat. • Cisco AnyConnect Si vous sélectionnez ce type, vous pouvez télécharger les fichiers XML avec un profil VPN AnyConnect et/ou un profil NVM (Network Visibility Module). Retrouvez plus de renseignements sur ces profils dans le guide d’administration de Cisco AnyConnect. 15.12.10 Configuration du certificat racine (profil d’appareil Android) La configuration Certificat racine vous permet d’installer un certificat racine sur les appareils. Dans le champ Fichier, naviguez jusqu’au certificat adéquat et cliquez sur Télécharger un fichier. Le nom du certificat apparaît dans le champ Nom du certificat. Saisissez un mot de passe pour le certificat sélectionné. Remarque Le certificat que vous chargez ici est uniquement disponible pour ce profil. Si vous avez besoin de certificats pour d’autres profils ou stratégies, vous allez devoir les charger de nouveau. 15.12.11 Configuration du certificat du client (profil d’appareil Android) La configuration Certificat du client vous permet d’installer un certificat du client sur les appareils. Dans le champ Fichier, naviguez jusqu’au certificat adéquat et cliquez sur Télécharger un fichier. Le nom du certificat apparaît dans le champ Nom du certificat. Saisissez un mot de passe pour le certificat sélectionné. Remarque Le certificat que vous chargez ici est uniquement disponible pour ce profil. Si vous avez besoin de certificats pour d’autres profils ou stratégies, vous allez devoir les charger de nouveau. 110 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 15.12.12 Configuration SCEP (profil d’appareil Android) La configuration SCEP permet d’autoriser les appareils à demander des certificats à une Autorité de certification à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol). Remarque Veuillez commencer par ajouter une configuration du Certificat racine pour charger le certificat de l’Autorité de certification du serveur SCEP avant d’ajouter une configuration du protocole SCEP. Paramètre/Champ Description URL L’adresse Web du serveur de l’Autorité de certification. Utilisez la variable %_SCEPPROXYURL_% pour indiquer l’URL du serveur configurée sur l’onglet SCEP de la page Configuration du système. Nom d’alias Le nom sous lequel le certificat va apparaître dans les boîtes de dialogue de sélection. Il doit s’agir d’un nom facile à mémoriser pour identifier le certificat. Par exemple, utilisez la même valeur que dans le champ Objet mais sans le préfixe CN=. Objet Le nom de l’entité (par exemple ; une personne ou un appareil) qui recevra le certificat. Vous pouvez utiliser des espaces réservés pour les données de l’utilisateur ou les propriétés de l’appareil. La valeur que vous saisissez (remplacement des espaces réservés par des données) doit être un nom X.500 valable. Par exemple : • Saisissez CN=%_USERNAME_% pour indiquer un utilisateur. • Saisissez CN=%_DEVPROP(numéro_série)_% pour indiquer un appareil. Retrouvez plus de renseignements sur les espaces réservés disponibles à la section Espaces réservés dans les profils et stratégies (page 91). Copyright © 2018 Sophos Limited 111 Sophos Mobile (version locale) Paramètre/Champ Description Type de l’autre nom de l’objet Pour ajouter un Autre nom de l’objet (SAN) à la configuration SCEP, sélectionnez le type de l’Autre nom de l’objet et saisissez la valeur de l’Autre nom de l’objet. Les types SAN sont : Valeur de l’autre nom de l’objet • Nom RFC 822 : une adresse électronique valide. • Nom DNS : le nom DNS du serveur de l’autorité de certification. • Uniform Resource Identifier : l’URL complète du serveur de l’autorité de certification. Nom de connexion d’utilisateur AD La valeur Nom de connexion d’utilisateur définie dans Active Directory, c’est-à-dire le Nom principal de l’utilisateur (UPN). Challenge L’adresse Web permettant de récupérer un mot de passe de challenge à partir du serveur SCEP. Utilisez la variable %_CACHALLENGE_% pour indiquer l’URL de challenge configurée sur l’onglet SCEP de la page Configuration du système. Certificat racine Le certificat de l’Autorité de certification. Sélectionnez le certificat dans la liste. La liste contient tous les certificats que vous avez chargés dans la configuration du Certificat racine du profil actuel. Taille de la clé La taille de la clé publique dans le certificat émis. Assurez-vous que la valeur indiquée correspond à la taille configurée sur le serveur SCEP. 112 Utiliser en tant que signature numérique Si vous sélectionnez cette case, la clé publique peut être utilisée en tant que signature numérique. Utiliser pour le chiffrement Si vous sélectionnez cette case, la clé publique peut être utilisée pour le chiffrement de fichiers. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 15.12.13 Configuration du nom du point d’accès (profil d’appareil Android) La configuration Nom du point d’accès vous permet d’indiquer le nom du point d’accès (APN) pour les appareils mobiles. Les configurations APN définissent la manière dont les appareils se connectent au réseau mobile. Important Nous vous conseillons de demander à votre opérateur quels sont les paramètres requis. Si vous sélectionnez Utiliser en tant que Nom du point d’accès par défaut et que les paramètres sont incorrects, l’appareil ne pourra pas accéder aux données via les réseaux cellulaires. Remarque À l’exception du champ Nom du point d’accès, tous les paramètres sont facultatifs et doivent uniquement être remplis si requis par votre opérateur de réseau mobile. Paramètre/Champ Description APN Le Nom du point d’accès que l’appareil mentionne lorsqu’il établit une connexion avec l’opérateur. Il doit correspondre à un Nom du point d’accès accepté par l’opérateur. Dans le cas contraire, la connexion ne pourra pas être établie. Nom convivial Un nom facultatif affiché sur l’appareil en plus du Nom du point d’accès. Serveur proxy et port L’adresse et le port du serveur HTTP utilisé pour le trafic Web. Nom d’utilisateur, Mot de passe de l’utilisateur Un nom d’utilisateur et un mot de passe pour la connexion au Nom du point d’accès. Serveur Le serveur de la passerelle WAP. MMSC Multimedia Messaging Service Center (MMSC). Serveur proxy MMS et port L’adresse et le port d’un serveur HTTP utilisé pour la établir la communication avec MMSC. MCC (Mobile Country Code), MNC (Mobile Network Code) MCC et MNC pour indiquer l’opérateur. Type d’authentification La méthode d’authentification pour les connexions PPP. Copyright © 2018 Sophos Limited Le Nom du point d’accès est uniquement utilisé pour cet opérateur. 113 Sophos Mobile (version locale) Paramètre/Champ Description Type de Nom du point d’accès Les types de connexion de données pour lesquels ce Nom du point d’accès est utilisé. Pour utiliser le Nom du point d’accès pour tous les types de données, saisissez * ou ne remplissez pas ce champ. Support La technologie d’accès radio (ou RAT pour Radio Access Technology) utilisée par l’opérateur. Protocole Le protocole réseau pris en charge par l’opérateur. Protocole itinérant Le protocole réseau pris en charge par l’opérateur en mode itinérant. Utiliser en tant que Nom du point d’accès par défaut Si cette option est sélectionnée, les appareils utilisent ce Nom du point d’accès par défaut. Une erreur est signalée lorsque vous essayez de sélectionner cette option dans plusieurs configurations du Nom du point d’accès. 15.12.14 Configuration du Mode kiosque (profil d’appareil Android) La configuration du Mode kiosque vous permet de définir les restrictions pour les appareils afin de les mettre en mode kiosque. Cliquez sur Sélectionner la source et procédez de l’une des façons suivantes pour indiquer l’app qui sera démarrée lors du transfert du profil sur un appareil : • • • Sélectionnez Personnalisée et saisissez l’identifiant d’app. Sélectionnez Liste des apps et sélectionnez une app dans la liste Identifiant d’app. Cette liste contient toutes les apps que vous avez configurées sur la page Apps. Retrouvez plus de renseignements à la section Ajout d’une app (page 275). Sélectionnez Aucun pour configurer le mode kiosque sans indiquer d’app. Les restrictions du mode kiosque sont appliquées à l’appareil mais aucune app n’est démarrée. Sous Options, dessélectionnez les fonctions matérielles et logicielles que vous souhaitez désactiver dans le mode kiosque. Lorsque le profil est transféré à l’appareil, l’app que vous avez indiquée est démarrée. Toutefois, si vous n’avez désactivé aucune fonction matérielle ou logicielle, l’utilisateur pourra quitter l’app et utiliser l’appareil normalement. Pour définir l’appareil en mode kiosque, veuillez dessélectionner les cases Autoriser le bouton Accueil et Autoriser le gestionnaire de tâches. 114 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Remarque • L’app que vous indiquez doit être installée sur l’appareil. En cas contraire, les tâches de transfert demeureront à l’état incomplet jusqu’à ce que l’app soit installée. Pour installer l’app, créez une série de tâches contenant, par exemple, une tâche Installer l’app et transférez cette série sur vos appareils. • si vous voulez indiquer une app pour les appareils Samsung Knox, assurez-vous qu’il s’agisse d’un lanceur d’apps. Ce type d’app et une alternative au bureau Android par défaut. • Pour les appareils Sony à partir de la version 9 de l’API d’entreprise, si vous dessélectionnez la case Autoriser l’augmentation du volume, Autoriser la baisse du volume ou Autoriser le mode Muet, tous les boutons de volume de l’appareil sont désactivés. 15.13 Configuration des stratégies de profil professionnel Android pour les entreprises Une stratégie de profil professionnel Android pour les entreprises vous permet de configurer les paramètres relatifs au profil professionnel d’un appareil. Cette stratégie peut être appliquée aux appareils inscrits à Sophos Mobile à l’aide du mode de propriétaire du profil Android pour les entreprises. Retrouvez plus de renseignements sur la création d’une stratégie de profil professionnel Android pour les entreprises à la section Création du profil ou de la stratégie (page 86). 15.13.1 Configuration « Stratégies de mot de passe Appareil » (stratégie de profil professionnel Android pour les entreprises) La configuration Stratégies de mot de passe - Appareil vous permet de définir les exigences à respecter pour le mot de passe de verrouillage de l’écran. Type de mot de passe La liste Type de mot de passe vous permet de sélectionner le type de mot de passe que les utilisateurs sont autorisés à configurer : Paramètre/Champ Description Modèle, code PIN ou mot de passe Les utilisateurs doivent définir un mode de déverrouillage de l’écran. Ils peuvent choisir un mode de déverrouillage de l’écran de type Modèle, Code PIN ou Mot de passe. Aucune autre restriction n’est imposée. Copyright © 2018 Sophos Limited 115 Sophos Mobile (version locale) Paramètre/Champ Description Mot de passe simple Les utilisateurs doivent définir un mode de déverrouillage de l’écran de type Mot de passe. L’utilisation de chiffre est autorisée mais le mot de passe doit contenir au moins une lettre. Vous pouvez définir la longueur minimale. Retrouvez plus de renseignements à ce sujet dans le tableau ci-dessous. Code PIN ou mot de passe Les utilisateurs doivent définir un mode de déverrouillage de l’écran de type Code PIN ou Mot de passe. Vous pouvez définir la longueur minimale. Retrouvez plus de renseignements à ce sujet dans le tableau ci-dessous. Mot de passe alphanumérique Les utilisateurs doivent définir un mode de déverrouillage de l’écran de type Mot de passe. Le mot de passe doit contenir une combinaison de lettres et de chiffres. Vous pouvez définir la longueur minimale. Retrouvez plus de renseignements à ce sujet dans le tableau cidessous. Mot de passe complexe Les utilisateurs doivent définir un mode de déverrouillage de l’écran de type Mot de passe. Le mot de passe doit contenir une combinaison de lettres et de chiffres. Vous pouvez définir la longueur minimale ainsi que le nombre minimal de chiffres, de lettres minuscules et majuscules et de caractères spéciaux à utiliser. Retrouvez plus de renseignements à ce sujet dans les deux tableaux ci-dessous. Si vous sélectionnez Mot de passe simple, Code PIN ou mot de passe, Mot de passe alphanumérique ou Mot de passe complexe, les champs suivants apparaissent : Paramètre/Champ Description Longueur minimum du mot de passe Le nombre minimum de caractères qu’un mot de passe doit contenir. Délai d’attente avant demande du mot de passe Le temps au bout duquel l’appareil est verrouillé lorsqu’il n’est pas utilisé. L’appareil peut être déverrouillé en saisissant le mot de passe. Remarque Il se peut que l’appareil impose un période de temps plus courte que celle que vous avez configurée ici. 116 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Durée de validité maximale du mot de passe en jours Demande aux utilisateurs de changer leur mot de passe dans l’intervalle indiqué. Plage de valeur : 0 (aucun changement de mot de passe requis) à 730 jours. Nombre de tentatives ratées avant réinitialisation de l’appareil Le nombre maximal de tentatives ratées de saisie du mot de passe qu’il est possible d’effectuer avant que l’appareil soit réinitialisé. Longueur minimum de l’historique Le nombre d’anciens mots de passe mémorisés et comparés avec les nouveaux. Lorsque l’utilisateur définit un nouveau mot de passe, celui-ci n’est pas accepté s’il correspond à un ancien mot de passe déjà utilisé. Plage de valeur : 1 à 5 ou aucune. Si vous sélectionnez Mot de passe complexe, les champs supplémentaires suivants apparaissent : Paramètre/Champ Description Nombre minimum de lettres Le nombre minimum de lettres qu’un mot de passe doit contenir. Nombre minimum de lettres minuscules Le nombre minimum de lettres minuscules qu’un mot de passe doit contenir. Nombre minimum de lettres majuscules Le nombre minimum de lettres majuscules qu’un mot de passe doit contenir. Nombre minimum de caractères non alphabétiques Le nombre minimum de caractères non alphabétiques (par exemple & ou !) qu’un mot de passe doit contenir. Nombre minimum de chiffres Le nombre minimum de chiffres qu’un mot de passe doit contenir. Nombre minimum de caractères spéciaux Le nombre minimum de caractères spéciaux (par exemple !"§$%&/()=,.-;:_@<>) qu’un mot de passe doit contenir. Copyright © 2018 Sophos Limited 117 Sophos Mobile (version locale) 15.13.2 Configuration « Stratégies de mot de passe - Profil professionnel » (stratégie de profil professionnel Android pour les entreprises) La configuration Stratégies de mot de passe - Profil professionnel vous permet de définir les exigences à respecter pour le mot de passe du profil professionnel. L’utilisateur doit saisir ce mot de passe pour ouvrir une app professionnelle lorsque le profil professionnel est verrouillé. Remarque Les paramètres pris en charge varient en fonction de la version du système d’exploitation ou des autres fonctions de l’appareil. Le champ d’application est indiqué par une étiquette bleue dans Sophos Mobile. Type de mot de passe La liste Type de mot de passe vous permet de sélectionner le type de mot de passe que les utilisateurs sont autorisés à configurer : 118 Paramètre/Champ Description Modèle, code PIN ou mot de passe Les utilisateurs doivent définir un mode de déverrouillage de l’écran. Ils peuvent choisir un mode de déverrouillage de l’écran de type Modèle, Code PIN ou Mot de passe. Aucune autre restriction n’est imposée. Mot de passe simple Les utilisateurs doivent définir un mode de déverrouillage de l’écran de type Mot de passe. L’utilisation de chiffre est autorisée mais le mot de passe doit contenir au moins une lettre. Vous pouvez définir la longueur minimale. Retrouvez plus de renseignements à ce sujet dans le tableau ci-dessous. Code PIN ou mot de passe Les utilisateurs doivent définir un mode de déverrouillage de l’écran de type Code PIN ou Mot de passe. Vous pouvez définir la longueur minimale. Retrouvez plus de renseignements à ce sujet dans le tableau ci-dessous. Mot de passe alphanumérique Les utilisateurs doivent définir un mode de déverrouillage de l’écran de type Mot de passe. Le mot de passe doit contenir une combinaison de lettres et de chiffres. Vous pouvez définir la longueur minimale. Retrouvez plus de renseignements à ce sujet dans le tableau cidessous. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Mot de passe complexe Les utilisateurs doivent définir un mode de déverrouillage de l’écran de type Mot de passe. Le mot de passe doit contenir une combinaison de lettres et de chiffres. Vous pouvez définir la longueur minimale ainsi que le nombre minimal de chiffres, de lettres minuscules et majuscules et de caractères spéciaux à utiliser. Retrouvez plus de renseignements à ce sujet dans les deux tableaux ci-dessous. Reconnaissance biométrique faible Les utilisateurs sont autorisés à utiliser les méthodes de reconnaissance biométrique peu sécurisées, telle que la reconnaissance de visage, pour déverrouiller le profil professionnel. Remarque Les méthodes de reconnaissance biométrique peu sécurisées fournissent le même niveau de sécurité que les codes confidentiels (PIN) à 3 chiffres. Un déverrouillage non autorisé sur 1000 tentatives pourrait donc avoir lieu. Si vous sélectionnez Mot de passe simple, Code PIN ou mot de passe, Mot de passe alphanumérique ou Mot de passe complexe, les champs suivants apparaissent : Paramètre/Champ Description Longueur minimum du mot de passe Le nombre minimum de caractères qu’un mot de passe doit contenir. Délai d’attente avant demande du mot de passe Le temps au bout duquel le profil professionnel est verrouillé lorsqu’il n’est pas utilisé. Le profil peut être déverrouillé en saisissant le mot de passe. Remarque Il se peut que l’appareil impose un période de temps plus courte que celle que vous avez configurée ici. Durée de validité maximale du mot de passe en jours Copyright © 2018 Sophos Limited Demande aux utilisateurs de changer leur mot de passe dans l’intervalle indiqué. Plage de valeur : 0 (aucun changement de mot de passe requis) à 730 jours. 119 Sophos Mobile (version locale) Paramètre/Champ Description Nombre de tentatives ratées avant réinitialisation de l’appareil Le nombre maximal de tentatives ratées de saisie du mot de passe qu’il est possible d’effectuer avant que le profil professionnel soit réinitialisé. Longueur minimum de l’historique Le nombre d’anciens mots de passe mémorisés et comparés avec les nouveaux. Lorsque l’utilisateur définit un nouveau mot de passe, celui-ci n’est pas accepté s’il correspond à un ancien mot de passe déjà utilisé. Plage de valeur : 1 à 5 ou aucune. Si vous sélectionnez Mot de passe complexe, les champs supplémentaires suivants apparaissent : Paramètre/Champ Description Nombre minimum de lettres Le nombre minimum de lettres qu’un mot de passe doit contenir. Nombre minimum de lettres minuscules Le nombre minimum de lettres minuscules qu’un mot de passe doit contenir. Nombre minimum de lettres majuscules Le nombre minimum de lettres majuscules qu’un mot de passe doit contenir. Nombre minimum de caractères non alphabétiques Le nombre minimum de caractères non alphabétiques (par exemple & ou !) qu’un mot de passe doit contenir. Nombre minimum de chiffres Le nombre minimum de chiffres qu’un mot de passe doit contenir. Nombre minimum de caractères spéciaux Le nombre minimum de caractères spéciaux (par exemple !"§$%&/()=,.-;:_@<>) qu’un mot de passe doit contenir. 15.13.3 Configuration des restrictions (stratégie de profil professionnel Android pour les entreprises) La configuration Restrictions vous permet de configurer les restrictions et paramètres associés pour les profils professionnels Android. Sécurité 120 Paramètre/Champ Description Autoriser la capture d’écran L’utilisateur peut faire des captures d’écran du contenu des apps professionnelles. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Autoriser l’utilisateur à configurer les codes d’accès L’utilisateur peut installer ou supprimer des certificats dans le profil professionnel. Autoriser l’utilisation du presse-papiers Les utilisateurs peuvent copier le texte à partir d’une app dans les apps personnelles professionnelle et le coller dans une app personnelle. La copie du texte du presse-papiers à partir d’une app personnelle dans une app professionnelle est toujours possible. Autoriser Smart Lock L’utilisateur peut activer la fonction Smart Lock d’Android qui déverrouille automatiquement l’appareil dans certaines situations. Autoriser le partage d’emplacement Les apps professionnelles peuvent accéder aux fonctions de géolocalisation de l’appareil. Si cette case est dessélectionnée, les apps professionnelles ne peuvent pas accéder aux fonctions de géolocalisation de l’appareil, même si l’utilisateur a activé le partage de la position géographique. Autoriser l’ouverture des liens Web dans les apps personnelles Les liens Web que l’utilisateur ouvre dans une app professionnelle peuvent également être ouverts par une app de navigation personnelle. Autoriser le débogage L’utilisateur peut activer les fonctions de débogage sous les Options de développement de l’appareil Android. Autoriser le déverrouillage de l’appareil par empreinte digitale L’utilisateur peut utiliser le capteur d’empreinte digitale pour déverrouiller l’appareil. Autoriser les coordonnées professionnelles pour les appels personnels L’app du téléphone personnel affiche le nom du correspondant en cas d’appels entrants passés par des contacts professionnels. Autoriser les coordonnées professionnelles pour les appareils Bluetooth Les appareils Bluetooth connectés affichent le nom du correspondant en cas d’appels personnels entrants passés par des contacts professionnels. Autoriser la rechercher de coordonnées L’app du téléphone personnel inclut les résultats des professionnelles dans le profil coordonnées professionnelles lors de la rechercher de personnel noms de correspondant. Comptes Paramètre/Champ Description Autoriser la gestion des comptes Les utilisateurs peuvent ajouter ou supprimer des comptes du profil professionnel mais ne peuvent pas supprimer le compte Google. Copyright © 2018 Sophos Limited 121 Sophos Mobile (version locale) Réseau et communication Paramètre/Champ Description Autoriser les réseaux privés virtuels (VPN) L’utilisateur peut utiliser des connexions VPN pour les apps professionnelles. Autoriser Android Beam L’utilisateur peut envoyer des données à partir des apps professionnelles via Android Beam (transfert de données par NFC). Matériel Paramètre/Champ Description Autoriser l’appareil photo Les apps professionnelles peuvent accéder à l’appareil photo. Applications Paramètre/Champ Description Autoriser la désinstallation d’apps L’utilisateur peut désinstaller les apps professionnelles. Autoriser l’installation d’apps provenant de sources inconnues Si cette case est dessélectionnée, l’utilisateur peut uniquement installer les apps professionnelles à partir de la boutique Google Play et pas à partir de sources inconnues ou par le pont Android (ADB ou Android Debug Bridge). Autoriser la gestion des apps Si cette case est dessélectionnée, l’utilisateur ne peut pas effectuer les tâches suivantes pour les apps professionnelles : • • • • • • Désinstaller les apps Désactiver les apps Arrêter les apps Effacer le cache des apps Effacer les données des apps Effacer le paramètre Ouvrir par défaut Autoriser la désactivation des contrôles L’utilisateur peut désactiver le paramètre de sécurité de de sécurité Google Google Analyser appareil pour détecter menaces de sécurité. Le paramètres est disponible dans les Paramètres sous Google > Sécurité > Google Play Protect. 122 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Message court Un message de support de l’entreprise que l’utilisateur voit s’afficher lorsqu’une fonctionnalité a été désactivée. Remarque Si vous saisissez plus de 200 caractères, le message risque de ne pas s’afficher complètement. Message long Texte supplémentaire au message court. Ce texte s’affiche lorsque l’utilisateur appuie sur Plus de renseignements sur les vues affichant le message court. Remarque Ce texte est également affiché sur la vue Administrateur de l’appareil d’Android de l’app Sophos Mobile Control. 15.13.4 Configuration de la Protection des apps (stratégie de profil professionnel Android pour les entreprises) La configuration de la Protection des apps vous permet de définir les conditions requises pour les mots de passe de protection des apps professionnelles (les apps installées sur le profil professionnel). Si la Protection des apps est utilisée, les utilisateurs doivent créer un mot de passe lorsqu’ils démarrent une app protégée pour la première fois. Suite à une tentative ratée de connexion, un délai de connexion est imposé. Si la Protection des apps est activée sur un appareil, la commande Réinitialiser le mot de passe de la Protection des apps est disponible dans le menu Actions sur la page Affichage de l’appareil. L’utilisateur a également la possibilité de réinitialiser le mot de passe de la Protection des apps dans le Portail libre-service. Paramètre/Champ Description Complexité du mot de passe Le niveau de complexité minimale requis pour le mot de passe qui sera créé par les utilisateurs. Délai de grâce en minutes À la fin du délai de grâce, les apps protégées peuvent uniquement être déverrouillées par mot de passe. Copyright © 2018 Sophos Limited 123 Sophos Mobile (version locale) Paramètre/Champ Description Groupe d’apps Sélectionnez le groupe d’apps contenant les apps protégées par mot de passe. Retrouvez plus de renseignements sur la création des groupes d’apps à la section Groupes d’apps (page 295). Autoriser l’authentification par empreinte digitale L’utilisateur peut utiliser son empreinte digitale pour déverrouiller une app protégée. 15.13.5 Configuration du contrôle des apps (stratégie de profil professionnel Android pour les entreprises) La configuration du Contrôle des apps vous permet de définir les apps professionnelles dont l’utilisation n’est pas autorisée. Paramètre/Champ Description Groupe d’apps Sélectionnez le groupe d’apps contenant les apps bloquées. Retrouvez plus de renseignements sur la création des groupes d’apps à la section Groupes d’apps (page 295). 15.13.6 Configuration des Autorisations des apps (stratégie de profil professionnel Android pour les entreprises) La configuration Autorisations des apps vous permet de configurer la réponse à donner lorsqu’une app professionnelle demande une autorisation pendant son exécution. Paramètre/Champ Description Réponse par défaut pour les demandes d’autorisation runtime La réponse par défaut aux futures demandes d’autorisation pendant l’exécution des apps professionnelles : • • • Inviter : les apps invitent l’utilisateur à accorder l’autorisation. Accepter automatiquement : toutes les demandes d’autorisation pendant l’exécution sont automatiquement accordées. Refuser automatiquement : toutes les demandes d’autorisation pendant l’exécution sont automatiquement refusées. L’utilisateur ne pourra pas changer les autorisations. 124 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Autorisations d’exécution des apps Vous pouvez accorder ou refuser certaines autorisations pendant l’exécution d’apps individuelles. Cliquez sur Ajouter et configurez les paramètres d’une app : dans le champ Identifiant d’app, vous pouvez saisir l’identifiant interne de l’app. Pour chaque autorisation pendant l’exécution, sélectionnez l’état d’accord désiré : • Sélectionnable l’utilisateur peut accorder ou refuser l’autorisation. • Accordé : l’autorisation est accordée et ne peut pas être refusée par l’utilisateur. • Refusé : l’autorisation est refusée et ne peut pas être accordée par l’utilisateur. 15.13.7 Configuration du compte Exchange (stratégie de profil professionnel Android pour les entreprises) La configuration Compte Exchange vous permet de créer une connexion à un serveur de messagerie Serveur Microsoft Exchange. Ces paramètres sont appliqués à l’app Gmail dans le profil professionnel. Paramètre/Champ Description Nom du compte Le nom du compte. Serveur Exchange L’adresse du serveur Exchange. Remarque Si vous utilisez le proxy SMC EAS, veuillez saisir l’URL du serveur proxy SMC. Domaine Le domaine de ce compte. Utilisateur L’utilisateur de ce compte. Si vous saisissez la variable %_USERNAME_%, le serveur la remplace par le nom de l’utilisateur en cours. Remarque L’utilisateur saisit le mot de passe. Copyright © 2018 Sophos Limited 125 Sophos Mobile (version locale) Paramètre/Champ Description Adresse électronique L’adresse électronique du compte. Si vous saisissez la variable %_EMAILADDRESS_%, le serveur la remplace par l’adresse électronique en cours. Expéditeur Un nom d’expéditeur pour ce compte. Si vous saisissez la variable %_EMAILADDRESS_%, le serveur la remplace par l’adresse électronique en cours. Période de synchronisation La date à laquelle les emails sont synchronisés. Seuls les emails compris dans la période indiquée sont synchronisés dans la boîte de réception sur l’appareil. SSL/TLS La connexion au serveur Exchange est sécurisée par SSL ou TLS (selon la compatibilité du serveur). Nous vous conseillons de sélectionner cette option. Autoriser tous les certificats Autoriser tous les certificats lors des processus de transferts à partir du serveur de messagerie. Certificat du client Le certificat du client pour la connexion au serveur Exchange. 15.13.8 Configuration du certificat racine (stratégie de profil professionnel Android pour les entreprises) La configuration Certificat racine vous permet d’installer un certificat racine sur les appareils. Ce certificat sera mis à disposition des apps professionnelles (les apps installées sur le profil professionnel). Dans le champ Fichier, naviguez jusqu’au certificat adéquat et cliquez sur Télécharger un fichier. Le nom du certificat apparaît dans le champ Nom du certificat. Saisissez un mot de passe pour le certificat sélectionné. Remarque Le certificat que vous chargez ici est uniquement disponible pour cette stratégie. Si vous avez besoin de certificats pour d’autres profils ou stratégies, vous allez devoir les charger de nouveau. 126 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 15.13.9 Configuration du certificat du client (stratégie de profil professionnel Android pour les entreprises) La configuration Certificat du client vous permet d’installer un certificat du client sur les appareils. Ce certificat sera mis à disposition des apps professionnelles (les apps installées sur le profil professionnel). Dans le champ Fichier, naviguez jusqu’au certificat adéquat et cliquez sur Télécharger un fichier. Le nom du certificat apparaît dans le champ Nom du certificat. Saisissez un mot de passe pour le certificat sélectionné. Remarque Le certificat que vous chargez ici est uniquement disponible pour cette stratégie. Si vous avez besoin de certificats pour d’autres profils ou stratégies, vous allez devoir les charger de nouveau. 15.13.10 Configuration SCEP (stratégie de profil professionnel Android pour les entreprises) La configuration SCEP permet d’autoriser les appareils à demander des certificats à une Autorité de certification à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol). Ces certificats seront mis à disposition des apps installées sur le profil professionnel. Remarque Veuillez commencer par ajouter une configuration du Certificat racine pour charger le certificat de l’Autorité de certification du serveur SCEP avant d’ajouter une configuration du protocole SCEP. Paramètre/Champ Description URL L’adresse Web du serveur de l’Autorité de certification. Utilisez la variable %_SCEPPROXYURL_% pour indiquer l’URL du serveur configurée sur l’onglet SCEP de la page Configuration du système. Nom d’alias Le nom sous lequel le certificat va apparaître dans les boîtes de dialogue de sélection. Il doit s’agir d’un nom facile à mémoriser pour identifier le certificat. Par exemple, utilisez la même valeur que dans le champ Objet mais sans le préfixe CN=. Copyright © 2018 Sophos Limited 127 Sophos Mobile (version locale) Paramètre/Champ Description Objet Le nom de l’entité (par exemple ; une personne ou un appareil) qui recevra le certificat. Vous pouvez utiliser des espaces réservés pour les données de l’utilisateur ou les propriétés de l’appareil. La valeur que vous saisissez (remplacement des espaces réservés par des données) doit être un nom X.500 valable. Par exemple : • Saisissez CN=%_USERNAME_% pour indiquer un utilisateur. • Saisissez CN=%_DEVPROP(numéro_série)_% pour indiquer un appareil. Retrouvez plus de renseignements sur les espaces réservés disponibles à la section Espaces réservés dans les profils et stratégies (page 91). Type de l’autre nom de l’objet Valeur de l’autre nom de l’objet Pour ajouter un Autre nom de l’objet (SAN) à la configuration SCEP, sélectionnez le type de l’Autre nom de l’objet et saisissez la valeur de l’Autre nom de l’objet. Les types SAN sont : • Nom RFC 822 : une adresse électronique valide. • Nom DNS : le nom DNS du serveur de l’autorité de certification. • Uniform Resource Identifier : l’URL complète du serveur de l’autorité de certification. Nom de connexion d’utilisateur AD La valeur Nom de connexion d’utilisateur définie dans Active Directory, c’est-à-dire le Nom principal de l’utilisateur (UPN). Challenge L’adresse Web permettant de récupérer un mot de passe de challenge à partir du serveur SCEP. Utilisez la variable %_CACHALLENGE_% pour indiquer l’URL de challenge configurée sur l’onglet SCEP de la page Configuration du système. Certificat racine Le certificat de l’Autorité de certification. Sélectionnez le certificat dans la liste. La liste contient tous les certificats que vous avez chargés dans la configuration du Certificat racine du profil actuel. Taille de la clé La taille de la clé publique dans le certificat émis. Assurez-vous que la valeur indiquée correspond à la taille configurée sur le serveur SCEP. 128 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Utiliser en tant que signature numérique Si vous sélectionnez cette case, la clé publique peut être utilisée en tant que signature numérique. Utiliser pour le chiffrement Si vous sélectionnez cette case, la clé publique peut être utilisée pour le chiffrement de fichiers. 15.14 Configuration des stratégies d’appareil Android pour les entreprises Une stratégie d’appareil Android pour les entreprises vous permet de configurer différentes options des appareils Android (stratégies de mot de passe, restrictions ou paramètres Wi-Fi). Cette stratégie peut être appliquée aux appareils inscrits à Sophos Mobile à l’aide du mode de propriétaire de l’appareil Android pour les entreprises. Retrouvez plus de renseignements sur la création d’une stratégie d’appareil Android pour les entreprises à la section Création du profil ou de la stratégie (page 86). 15.14.1 Configuration « Stratégies de mot de passe » (stratégie d’appareil Android pour les entreprises) La configuration Stratégies de mot de passe vous permet de définir les exigences à respecter pour le mot de passe de verrouillage de l’écran. Type de mot de passe La liste Type de mot de passe vous permet de sélectionner le type de mot de passe que les utilisateurs sont autorisés à configurer : Paramètre/Champ Description Modèle, code PIN ou mot de passe Les utilisateurs doivent définir un mode de déverrouillage de l’écran. Ils peuvent choisir un mode de déverrouillage de l’écran de type Modèle, Code PIN ou Mot de passe. Aucune autre restriction n’est imposée. Mot de passe simple Les utilisateurs doivent définir un mode de déverrouillage de l’écran de type Mot de passe. L’utilisation de chiffre est autorisée mais le mot de passe doit contenir au moins une lettre. Vous pouvez définir la longueur minimale. Retrouvez plus de renseignements à ce sujet dans le tableau ci-dessous. Copyright © 2018 Sophos Limited 129 Sophos Mobile (version locale) Paramètre/Champ Description Code PIN ou mot de passe Les utilisateurs doivent définir un mode de déverrouillage de l’écran de type Code PIN ou Mot de passe. Vous pouvez définir la longueur minimale. Retrouvez plus de renseignements à ce sujet dans le tableau ci-dessous. Mot de passe alphanumérique Les utilisateurs doivent définir un mode de déverrouillage de l’écran de type Mot de passe. Le mot de passe doit contenir une combinaison de lettres et de chiffres. Vous pouvez définir la longueur minimale. Retrouvez plus de renseignements à ce sujet dans le tableau cidessous. Mot de passe complexe Les utilisateurs doivent définir un mode de déverrouillage de l’écran de type Mot de passe. Le mot de passe doit contenir une combinaison de lettres et de chiffres. Vous pouvez définir la longueur minimale ainsi que le nombre minimal de chiffres, de lettres minuscules et majuscules et de caractères spéciaux à utiliser. Retrouvez plus de renseignements à ce sujet dans les deux tableaux ci-dessous. Si vous sélectionnez Mot de passe simple, Code PIN ou mot de passe, Mot de passe alphanumérique ou Mot de passe complexe, les champs suivants apparaissent : Paramètre/Champ Description Longueur minimum du mot de passe Le nombre minimum de caractères qu’un mot de passe doit contenir. Délai d’attente avant demande du mot de passe Le temps au bout duquel l’appareil est verrouillé lorsqu’il n’est pas utilisé. L’appareil peut être déverrouillé en saisissant le mot de passe. Remarque Il se peut que l’appareil impose un période de temps plus courte que celle que vous avez configurée ici. 130 Durée de validité maximale du mot de passe en jours Demande aux utilisateurs de changer leur mot de passe dans l’intervalle indiqué. Plage de valeur : 0 (aucun changement de mot de passe requis) à 730 jours. Nombre de tentatives ratées avant réinitialisation de l’appareil Le nombre maximal de tentatives ratées de saisie du mot de passe qu’il est possible d’effectuer avant que l’appareil soit réinitialisé. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Longueur minimum de l’historique Le nombre d’anciens mots de passe mémorisés et comparés avec les nouveaux. Lorsque l’utilisateur définit un nouveau mot de passe, celui-ci n’est pas accepté s’il correspond à un ancien mot de passe déjà utilisé. Plage de valeur : 1 à 5 ou aucune. Si vous sélectionnez Mot de passe complexe, les champs supplémentaires suivants apparaissent : Paramètre/Champ Description Nombre minimum de lettres Le nombre minimum de lettres qu’un mot de passe doit contenir. Nombre minimum de lettres minuscules Le nombre minimum de lettres minuscules qu’un mot de passe doit contenir. Nombre minimum de lettres majuscules Le nombre minimum de lettres majuscules qu’un mot de passe doit contenir. Nombre minimum de caractères non alphabétiques Le nombre minimum de caractères non alphabétiques (par exemple & ou !) qu’un mot de passe doit contenir. Nombre minimum de chiffres Le nombre minimum de chiffres qu’un mot de passe doit contenir. Nombre minimum de caractères spéciaux Le nombre minimum de caractères spéciaux (par exemple !"§$%&/()=,.-;:_@<>) qu’un mot de passe doit contenir. 15.14.2 Configuration des restrictions (stratégie d’appareil Android pour les entreprises) La configuration Restrictions vous permet de définir les restrictions pour les appareils. Sécurité Paramètre/Champ Description Forcer le chiffrement L’utilisateur doit chiffrer ses appareils. Autoriser le rétablissement des paramètres d’usine Les utilisateurs peuvent restaurer les paramètres d’usine sur l’appareil. Autoriser le mode sécurisé Les utilisateurs peuvent démarrer l’appareil en mode sans échec. Copyright © 2018 Sophos Limited 131 Sophos Mobile (version locale) Paramètre/Champ Description Autoriser le débogage L’utilisateur peut activer les fonctions de débogage sous les Options de développement de l’appareil Android. Autoriser la capture d’écran Les utilisateurs peuvent prendre des captures d’écran. Autoriser l’utilisateur à configurer les codes d’accès Les utilisateurs peuvent installer ou supprimer des certificats. Autoriser Smart Lock L’utilisateur peut activer la fonction Smart Lock d’Android qui déverrouille automatiquement l’appareil dans certaines situations. Autoriser le partage d’emplacement Les utilisateurs peuvent activer le partage d’emplacement. Autoriser le déverrouillage de l’appareil par empreinte digitale L’utilisateur peut utiliser le capteur d’empreinte digitale pour déverrouiller l’appareil. Autoriser l’ajout d’utilisateur Si l’appareil est compatible, les utilisateurs peuvent ajouter des comptes d’utilisateurs sur l’appareil. Autoriser la suppression d’utilisateur Les utilisateurs peuvent supprimer des apps de l’appareil. Autoriser la modification de la photo du compte Les utilisateurs peuvent changer la photo utilisée pour leur compte d’utilisateur. Masquer les informations sensibles sur l'écran de verrouillage Si les notifications de l’écran de verrouillage sont activées, le contenu sensible de ladite notification est masqué. Stratégie de mise à jour du système Sélectionnez le moment d’installation des mises à jour du système : • Aucune stratégie : l’utilisateur décide quand les mises à jour du système peuvent être installées. • Installation automatique : les mises à jour du système sont installées automatiquement dès qu’elles sont disponibles. • Installer pendant la période de maintenance : les mises à jour du système sont installées automatiquement pendant une période de maintenance quotidienne. Saisissez l’heure de début et de fin de la journée. • Retarder : les mises à jour du système (hormis les mises à jour de sécurité) sont bloquées pendant 30 jours. Comptes 132 Paramètre/Champ Description Autoriser la gestion des comptes Les utilisateurs peuvent ajouter ou supprimer des comptes de l’appareil mais ne peuvent pas supprimer le compte Google. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Réseau et communication Paramètre/Champ Description Autoriser les SMS Si cette case n’est pas sélectionnée, les utilisateurs ne peuvent pas envoyer de SMS. Autoriser la connexion aux données mobiles pendant l’itinérance Si cette case n’est pas sélectionnée, les connexions aux données mobiles pendant l’itinérance sont désactivées. Autoriser les réseaux privés virtuels (VPN) Si cette case n’est pas sélectionnée, les utilisateurs ne peuvent pas utiliser de connexions VPN. Autoriser Android Beam L’utilisateur peut envoyer des données à partir des apps professionnelles via Android Beam (transfert de données par NFC). Autoriser Bluetooth Si cette case n’est pas sélectionnée, la connexion Bluetooth est désactivée. Autoriser les appels téléphoniques sortants Les utilisateurs peuvent passer des appels téléphoniques. Autoriser la réinitialisation du réseau Les utilisateurs peuvent restaurer les paramètres par défaut du réseau. Activer les paramètres Wi-Fi Les utilisateurs peuvent changer les paramètres Wi-Fi. Autoriser la configuration des diffusions cellulaires Les utilisateurs peuvent activer ou désactiver les messages de diffusions cellulaires sur leur app de messagerie. Activer les paramètres de réseau cellulaire Les utilisateurs peuvent changer les paramètres du réseau cellulaire. Activer les paramètres de connexion Les utilisateurs peuvent changer les paramètres de connexion et de points d’accès portables. Matériel Paramètre/Champ Description Autoriser l’appareil photo Si cette case n’est pas sélectionnée, l’appareil photo n’est plus disponible. Autoriser le microphone Si cette case n’est pas sélectionnée, le microphone n’est plus disponible. Copyright © 2018 Sophos Limited 133 Sophos Mobile (version locale) Paramètre/Champ Description Autoriser les supports externes Les utilisateurs peuvent connecter des supports multimédia externes (périphériques de stockage USB) à l’appareil. Applications Paramètre/Champ Description Autoriser la désinstallation d’apps Les utilisateurs peuvent désinstaller les apps. Autoriser l’installation d’apps provenant de sources inconnues Si cette case n’est pas sélectionnée, les utilisateurs peuvent uniquement installer les apps à partir de Google Play et pas à partir de sources inconnues ou par le pont Android (ADB ou Android Debug Bridge). Autoriser le changement de fond d’écran Si cette case n’est pas sélectionnée, les utilisateurs ne peuvent pas changer le fond d’écran. Autoriser la gestion des apps Si cette case n’est pas sélectionnée, les utilisateurs ne peuvent pas effectuer les tâches suivantes pour les apps : • • • • • • Désinstaller les apps Désactiver les apps Arrêter les apps Effacer le cache des apps Effacer les données des apps Effacer le paramètre Ouvrir par défaut Autoriser la désactivation des contrôles L’utilisateur peut désactiver le paramètre de sécurité de de sécurité Google Google Analyser appareil pour détecter menaces de sécurité. Le paramètres est disponible dans les Paramètres sous Google > Sécurité > Google Play Protect. Autoriser le réglage de la date et de l’heure Les utilisateurs peuvent changer la date et l’heure. Message court Un message de support de l’entreprise que l’utilisateur voit s’afficher lorsqu’une fonctionnalité a été désactivée. Si cette case n’est pas sélectionnée, la date et l’heure du réseau sont utilisées. Remarque Si vous saisissez plus de 200 caractères, le message risque de ne pas s’afficher complètement. 134 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Message long Texte supplémentaire au message court. Ce texte s’affiche lorsque l’utilisateur appuie sur Plus de renseignements sur les vues affichant le message court. Remarque Ce texte est également affiché sur la vue Administrateur de l’appareil d’Android de l’app Sophos Mobile Control. Services d’accessibilité autorisés Limiter la liste des apps pouvant fournir des services d’accessibilité : • Si vous sélectionnez Toutes les apps disponibles, les utilisateurs peuvent utiliser tous les services d’accessibilité. • Si vous sélectionnez Apps système uniquement, les utilisateurs peuvent uniquement utiliser les services d’accessibilité des apps du système. • Si vous sélectionnez un groupe d’apps, les utilisateurs peuvent uniquement utiliser les services d’accessibilité des apps de ce groupe et des apps du système. 15.14.3 Configuration de la Protection des apps (stratégie d’appareil Android pour les entreprises) La configuration de la Protection des apps vous permet de définir le format de mot de passe à utiliser pour protéger les apps professionnelles. Si la Protection des apps est utilisée, les utilisateurs doivent créer un mot de passe lorsqu’ils démarrent une app protégée pour la première fois. Suite à une tentative ratée de connexion, un délai de connexion est imposé. Si la Protection des apps est activée sur un appareil, la commande Réinitialiser le mot de passe de la Protection des apps est disponible dans le menu Actions sur la page Affichage de l’appareil. L’utilisateur a également la possibilité de réinitialiser le mot de passe de la Protection des apps dans le Portail libre-service. Paramètre/Champ Description Complexité du mot de passe Le niveau de complexité minimale requis pour le mot de passe qui sera créé par les utilisateurs. Délai de grâce en minutes À la fin du délai de grâce, les apps protégées peuvent uniquement être déverrouillées par mot de passe. Copyright © 2018 Sophos Limited 135 Sophos Mobile (version locale) Paramètre/Champ Description Groupe d’apps Sélectionnez le groupe d’apps contenant les apps protégées par mot de passe. Retrouvez plus de renseignements sur la création des groupes d’apps à la section Groupes d’apps (page 295). Autoriser l’authentification par empreinte digitale L’utilisateur peut utiliser son empreinte digitale pour déverrouiller une app protégée. 15.14.4 Configuration du contrôle des apps (stratégie d’appareil Android pour les entreprises) La configuration du Contrôle des apps vous permet de définir les apps dont l’utilisation n’est pas autorisée. Vous pouvez, par exemple, utiliser cette fonction pour bloquer les apps préinstallées par le fabricant de l’appareil et qui ne peuvent pas être désinstallées. Paramètre/Champ Description Groupe d’apps Sélectionnez le groupe d’apps contenant les apps bloquées. Retrouvez plus de renseignements sur la création des groupes d’apps à la section Groupes d’apps (page 295). 15.14.5 Configuration des autorisations des apps (stratégie d’appareil Android pour les entreprises) La configuration Autorisations des apps vous permet de configurer la réponse à donner lorsqu’une app demande une autorisation pendant son exécution. Paramètre/Champ Description Réponse par défaut pour les demandes d’autorisation runtime La réponse par défaut aux futures demandes d’autorisation pendant l’exécution des apps professionnelles : • • • Inviter : les apps invitent l’utilisateur à accorder l’autorisation. Accepter automatiquement : toutes les demandes d’autorisation pendant l’exécution sont automatiquement accordées. Refuser automatiquement : toutes les demandes d’autorisation pendant l’exécution sont automatiquement refusées. L’utilisateur ne pourra pas changer les autorisations. 136 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Autorisations d’exécution des apps Vous pouvez accorder ou refuser certaines autorisations pendant l’exécution d’apps individuelles. Cliquez sur Ajouter et configurez les paramètres d’une app : dans le champ Identifiant d’app, vous pouvez saisir l’identifiant interne de l’app. Pour chaque autorisation pendant l’exécution, sélectionnez l’état d’accord désiré : • Sélectionnable l’utilisateur peut accorder ou refuser l’autorisation. • Accordé : l’autorisation est accordée et ne peut pas être refusée par l’utilisateur. • Refusé : l’autorisation est refusée et ne peut pas être accordée par l’utilisateur. 15.14.6 Configuration du compte Exchange (stratégie d’appareil Android pour les entreprises) La configuration Compte Exchange vous permet de créer une connexion à un serveur de messagerie Serveur Microsoft Exchange. Paramètre/Champ Description Nom du compte Le nom du compte. Serveur Exchange L’adresse du serveur Exchange. Remarque Si vous utilisez le proxy SMC EAS, veuillez saisir l’URL du serveur proxy SMC. Domaine Le domaine de ce compte. Utilisateur L’utilisateur de ce compte. Si vous saisissez la variable %_USERNAME_%, le serveur la remplace par le nom de l’utilisateur en cours. Remarque L’utilisateur saisit le mot de passe. Adresse électronique L’adresse électronique du compte. Si vous saisissez la variable %_EMAILADDRESS_%, le serveur la remplace par l’adresse électronique en cours. Copyright © 2018 Sophos Limited 137 Sophos Mobile (version locale) Paramètre/Champ Description Expéditeur Un nom d’expéditeur pour ce compte. Si vous saisissez la variable %_EMAILADDRESS_%, le serveur la remplace par l’adresse électronique en cours. Période de synchronisation La date à laquelle les emails sont synchronisés. Seuls les emails compris dans la période indiquée sont synchronisés dans la boîte de réception sur l’appareil. SSL/TLS La connexion au serveur Exchange est sécurisée par SSL ou TLS (selon la compatibilité du serveur). Nous vous conseillons de sélectionner cette option. Autoriser tous les certificats Autoriser tous les certificats lors des processus de transferts à partir du serveur de messagerie. Certificat du client Le certificat du client pour la connexion au serveur Exchange. 15.14.7 Configuration Wi-Fi (profil d’appareil Android pour les entreprises) La configuration Wi-Fi vous permet d’indiquer les paramètres de connexion aux réseaux Wi-Fi. Paramètre/Champ Description SSID L’identifiant du réseau Wi-Fi. Type de sécurité Le type de sécurité de la connexion Wi-Fi : • • • • • • 138 Aucun WEP WPA/WPA2 PSK EAP/PEAP EAP/TLS EAP/TTLS Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Autorisation de la phase 2 La méthode d’authentification pour la phase 2 de la négociation EAP : • • • • • Aucun PAP CHAP MSCHAP MSCHAPv2 Ce champ est disponible pour les connexions EAP/PEAP et EAP/TTLS. Identité L’identité de l’utilisateur. Ce champ est disponible pour les connexions EAP. Identité anonyme L’identité du pseudonyme envoyée non chiffrée au cours de la phase 1 de la négociation EAP. Ce champ est disponible pour les connexions EAP. Mot de passe Le mot de passe du réseau Wi-Fi. Certificat d’identité Le certificat d’identité pour la connexion au réseau Wi-Fi. La liste contient tous les certificats présents dans la configuration Certificat du client de la stratégie actuelle. Ce champ est disponible pour les connexions EAP. Certificat approuvé L’autorité de certification racine pour le certificat du serveur EAP. La liste contient tous les certificats présents dans la configuration Certificat racine de la stratégie actuelle. Ce champ est disponible pour les connexions EAP. 15.14.8 Configuration du certificat racine (stratégie d’appareil Android pour les entreprises) La configuration Certificat racine vous permet d’installer un certificat racine sur les appareils. Dans le champ Fichier, naviguez jusqu’au certificat adéquat et cliquez sur Télécharger un fichier. Le nom du certificat apparaît dans le champ Nom du certificat. Saisissez un mot de passe pour le certificat sélectionné. Copyright © 2018 Sophos Limited 139 Sophos Mobile (version locale) Remarque Le certificat que vous chargez ici est uniquement disponible pour cette stratégie. Si vous avez besoin de certificats pour d’autres profils ou stratégies, vous allez devoir les charger de nouveau. 15.14.9 Configuration du certificat du client (stratégie d’appareil Android pour les entreprises) La configuration Certificat du client vous permet d’installer un certificat du client sur les appareils. Dans le champ Fichier, naviguez jusqu’au certificat adéquat et cliquez sur Télécharger un fichier. Le nom du certificat apparaît dans le champ Nom du certificat. Saisissez un mot de passe pour le certificat sélectionné. Remarque Le certificat que vous chargez ici est uniquement disponible pour cette stratégie. Si vous avez besoin de certificats pour d’autres profils ou stratégies, vous allez devoir les charger de nouveau. 15.14.10 Configuration SCEP (stratégie d’appareil Android pour les entreprises) La configuration SCEP permet d’autoriser les appareils à demander des certificats à une Autorité de certification à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol). Remarque Veuillez commencer par ajouter une configuration du Certificat racine pour charger le certificat de l’Autorité de certification du serveur SCEP avant d’ajouter une configuration du protocole SCEP. Paramètre/Champ Description URL L’adresse Web du serveur de l’Autorité de certification. Utilisez la variable %_SCEPPROXYURL_% pour indiquer l’URL du serveur configurée sur l’onglet SCEP de la page Configuration du système. Nom d’alias Le nom sous lequel le certificat va apparaître dans les boîtes de dialogue de sélection. Il doit s’agir d’un nom facile à mémoriser pour identifier le certificat. Par exemple, utilisez la même valeur que dans le champ Objet mais sans le préfixe CN=. 140 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Objet Le nom de l’entité (par exemple ; une personne ou un appareil) qui recevra le certificat. Vous pouvez utiliser des espaces réservés pour les données de l’utilisateur ou les propriétés de l’appareil. La valeur que vous saisissez (remplacement des espaces réservés par des données) doit être un nom X.500 valable. Par exemple : • Saisissez CN=%_USERNAME_% pour indiquer un utilisateur. • Saisissez CN=%_DEVPROP(numéro_série)_% pour indiquer un appareil. Retrouvez plus de renseignements sur les espaces réservés disponibles à la section Espaces réservés dans les profils et stratégies (page 91). Type de l’autre nom de l’objet Valeur de l’autre nom de l’objet Pour ajouter un Autre nom de l’objet (SAN) à la configuration SCEP, sélectionnez le type de l’Autre nom de l’objet et saisissez la valeur de l’Autre nom de l’objet. Les types SAN sont : • Nom RFC 822 : une adresse électronique valide. • Nom DNS : le nom DNS du serveur de l’autorité de certification. • Uniform Resource Identifier : l’URL complète du serveur de l’autorité de certification. Nom de connexion d’utilisateur AD La valeur Nom de connexion d’utilisateur définie dans Active Directory, c’est-à-dire le Nom principal de l’utilisateur (UPN). Challenge L’adresse Web permettant de récupérer un mot de passe de challenge à partir du serveur SCEP. Utilisez la variable %_CACHALLENGE_% pour indiquer l’URL de challenge configurée sur l’onglet SCEP de la page Configuration du système. Certificat racine Le certificat de l’Autorité de certification. Sélectionnez le certificat dans la liste. La liste contient tous les certificats que vous avez chargés dans la configuration du Certificat racine du profil actuel. Taille de la clé La taille de la clé publique dans le certificat émis. Assurez-vous que la valeur indiquée correspond à la taille configurée sur le serveur SCEP. Copyright © 2018 Sophos Limited 141 Sophos Mobile (version locale) Paramètre/Champ Description Utiliser en tant que signature numérique Si vous sélectionnez cette case, la clé publique peut être utilisée en tant que signature numérique. Utiliser pour le chiffrement Si vous sélectionnez cette case, la clé publique peut être utilisée pour le chiffrement de fichiers. 15.14.11 Configuration du mode kiosque (stratégie d’appareil Android pour les entreprises) La configuration du Mode kiosque vous permet de définir les restrictions pour les appareils afin de les mettre en mode kiosque. Paramètre/Champ Description Sélectionner la source • Aucun : autoriser toutes les apps. Les restrictions du mode kiosque sont appliquées à l’appareil. Toutefois, l’utilisateur peut démarrer toutes les apps disponibles sur l’appareil. • Personnalisée, Liste des apps : verrouiller une seule app sur l’écran. • Groupe d’apps : autoriser l’affichage de plusieurs apps sur l’écran. Identifiant d’app L’app disponible sous le mode kiosque. Selon votre sélection dans Sélectionner la source, veuillez soit identifier l’app par son numéro d’identifiant, soit la sélectionner dans la liste des apps disponibles. Groupe d’apps Les apps disponibles sous le mode kiosque. Sélectionnez l’un des groupes d’apps configurés. 142 Autoriser la modification du volume Si la case n’est pas sélectionnée, les boutons de volume de l’appareil sont désactivés. Désactiver le verrouillage de l’écran L’écran de l’appareil n’est jamais verrouillé. Rester allumé pendant la recharge L’écran de l’appareil reste activé lorsque l’appareil est branché sur le secteur. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 15.15 Configuration des stratégies de conteneur Sophos pour Android Une stratégie de conteneur Sophos vous permet de configurer les paramètres associés aux apps du conteneur Sophos : Sophos Secure Email et Sophos Secure Workspace. Retrouvez plus de renseignements sur la création d’une stratégie de conteneur à la section Création du profil ou de la stratégie (page 86). 15.15.1 Configuration Généralités (stratégie de conteneur Sophos pour Android) La configuration Généralités vous permet de définir les paramètres qui s’appliquent à toutes les apps du conteneur Sophos si applicable. Paramètre/Champ Description Activer le mot de passe du conteneur Sophos Les utilisateurs doivent saisir un mot de passe supplémentaire pour pouvoir démarrer une app du conteneur Sophos. Le mot de passe doit être défini lorsque la première app du conteneur est démarrée suite à l’application de la configuration. Ce mot de passe s’applique à toutes les apps du conteneur. Complexité du mot de passe La complexité minimale requise pour le mot de passe du conteneur Sophos. Les mots de passe très sécurisés sont toujours autorisés. Les mots de passe (une combinaison de caractères numériques et alphanumériques) sont toujours considérés comme étant plus sûrs que les codes PIN (caractères numériques uniquement. • • • • • • • Toutes : les mots de passe du conteneur Sophos n’ont pas de restrictions. Code PIN à 4 chiffres Code PIN à 6 chiffres Mot de passe à 4 caractères Mot de passe à 6 caractères Mot de passe à 8 caractères Mot de passe à 10 caractères Toujours masquer les caractères dans les champs de saisie du mot de passe Les caractères utilisés dans les champs de saisie du mot de passe ne sont pas affichés temporairement lors de la saisie. Durée de validité du mot de passe en jours Le nombre de jours pendant lesquels un mot de passe peut être utilisé avant que les utilisateurs ne soient invités à le changer. Copyright © 2018 Sophos Limited 143 Sophos Mobile (version locale) Paramètre/Champ Description Tentatives ratées de connexion avant verrouillage Le nombre de tentatives ratées de connexion autorisées avant verrouillage des apps du conteneur. Une fois qu’elles sont verrouillées, un administrateur devra les déverrouiller ou, s’ils sont autorisés, les utilisateurs pourront utiliser le Portail libre-service pour effectuer cette opération. Autoriser l’empreinte digitale L’utilisateur peut utiliser son empreinte digitale pour déverrouiller l’app. Délai de grâce en minutes La période de temps pendant laquelle aucun mot de passe du conteneur Sophos ne doit être saisi lorsque l’app du conteneur est de nouveau amenée au premier plan. Ce délai de grâce s’applique à toutes les apps du conteneur. Vous pouvez passer d’une app à une autre pendant le délai de grâce sans avoir à saisir de mot de passe. Verrouiller au verrouillage de l’appareil Lorsque l’appareil est verrouillé, le conteneur Sophos est également verrouillé. Si la case est dessélectionnée, le conteneur est verrouillé uniquement après expiration du délai de grâce. 144 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Dernière connexion au serveur La période de temps pendant laquelle les utilisateurs peuvent utiliser une app du conteneur Sophos sans avoir à se connecter au serveur Sophos Mobile. Lorsque une app du conteneur Sophos est activée et n’est pas en contact avec le serveur pendant la période de temps définie, un écran de verrouillage apparaît. Les utilisateurs peuvent uniquement déverrouiller l’app en appuyant sur Réessayer sur l’écran de verrouillage. L’app essaiera de se connecter au serveur. Si la connexion peut être établie, l’app est déverrouillée. En cas contraire, l’accès est refusé. Copyright © 2018 Sophos Limited • Sur accès : la connexion au serveur est toujours requise et l’app est verrouillée lorsque le serveur n’est pas joignable. • 1 heure : la connexion au serveur est requise lorsque l’app est active pendant au moins une heure après la dernière connexion réussie au serveur. • 3 heures • 6 heures • 12 heures • 1 jour • 3 jours • 1 semaine • Aucune : aucun contact régulier n’est requis. 145 Sophos Mobile (version locale) Paramètre/Champ Description Accès hors ligne sans connexion au serveur Ce champ vous permet de définir la fréquence à laquelle les utilisateurs peuvent démarrer l’une des apps du conteneur Sophos sans nécessiter de connexion au serveur. Remarque Ce paramètre nécessite l’activation de la fonction de mot de passe du conteneur Sophos. Un compteur est mis à jour à chaque fois qu’un utilisateur saisit le mot de passe du conteneur Sophos. Si le compteur dépasse le nombre fixé, le même écran de verrouillage que celui utilisé pour le paramètre Dernière connexion au serveur apparaît. Le compteur est réinitialisé si une connexion au serveur Sophos Mobile est établie. Déblocage (root) autorisé • Illimité : aucune connexion au serveur n’est requise. • 0 : une connexion au serveur est requise pour démarrer l’app. • 1 : après un démarrage de l’app, la connexion au serveur est nécessaire. • 3 • 5 • 10 • 20 L’exécution des apps de conteneur est autorisée sur les appareils débloqués. Contraintes d’utilisation des apps Vous permet de définir les contraintes d’utilisation des apps du conteneur Sophos. Cliquez sur Ajouter pour saisir les contraintes. 146 Géorepérage Vous permet d’ajouter la latitude et la longitude ainsi qu’un rayon d’utilisation des apps du conteneur Sophos. Limite de temps Vous permet d’indiquer une période de temps à laquelle les apps du conteneur Sophos peuvent être utilisées en précisant une heure de début et une heure de fin. Il est également possible d’indiquer les jours de la semaine auxquels les apps peuvent être utilisées. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Périmètre de connexion Wi-Fi Si vous sélectionnez Connexion Wi-Fi obligatoire, le conteneur Sophos est verrouillé lorsqu’aucune connexion Wi-Fi n’est activée. Si vous ajoutez des réseaux Wi-Fi à la liste, le conteneur Sophos est verrouillé lorsque l’appareil est connecté au réseau Wi-Fi non répertorié. Important nous vous déconseillons d’utiliser uniquement le périmètre de connexion Wi-Fi pour assurer votre sécurité. En effet, les identités Wi-Fi peuvent très facilement être usurpées. 15.15.2 Configuration de la Messagerie professionnelle (stratégie de conteneur Sophos pour Android) La configuration de la Messagerie professionnelle vous permet de définir les paramètres de l’utilisateur pour votre serveur Microsoft Exchange. Ces paramètres sont appliqués à l’app Sophos Secure Email si elle est installée dans le conteneur Sophos. Paramètre/Champ Description Serveur Exchange L’adresse du serveur Exchange. Remarque Si vous utilisez le proxy SMC EAS, veuillez saisir l’URL du serveur proxy SMC. Utilisateur L’utilisateur de ce compte. Si vous saisissez la variable %_USERNAME_%, le serveur la remplace par le nom de l’utilisateur en cours. Adresse électronique L’adresse électronique du compte. Si vous saisissez la variable %_EMAILADDRESS_ %, le serveur la remplace par l’adresse électronique en cours. Domaine Le domaine de ce compte. Email du support L’adresse électronique qui sera utilisée pour contacter le support. Copyright © 2018 Sophos Limited 147 Sophos Mobile (version locale) Paramètre/Champ Description Exporter les contacts sur l’appareil Les utilisateurs sont autorisés à exporter les numéros de téléphone de leurs contacts Exchange dans les contacts locaux de l’appareil afin de pouvoir identifier les appels de leurs contacts professionnels. Sophos Secure Email synchronise en permanence les coordonnées. Remarque Les coordonnées des contacts locaux sont automatiquement supprimées dans les cas de figure suivants : Détails de la notification • La configuration de la Messagerie professionnelle est supprimée de la stratégie de conteneur Sophos (nécessite le redémarrage de l’app Sophos Secure Email). • Le conteneur Sophos est supprimé de l’appareil. • L’appareil est désinscrit de Sophos Mobile. Sélectionnez les informations à afficher dans les notifications par email. Ce paramètre affecte également les rappels d’événements. Si vous sélectionnez Aucune notification, les rappels d’événements sont désactivés. Si vous sélectionnez toute autre valeur, les rappels d’événements sont activés et incluent la date, le lieu et le titre. 148 Refuser la copie dans le presse-papiers Les utilisateurs ne peuvent pas copier ou couper le texte à partir de l’app Sophos Secure Email. Interdire les captures d’écran L’utilisateur ne peut pas faire de captures d’écran montrant l’app Sophos Secure Email. Taille maximale autorisée pour l’email Les messages de taille supérieure à celle que vous sélectionnez (notamment les pièces jointes) ne sont pas récupérés à partir du serveur Exchange. Autoriser l’affichage/le partage Les utilisateurs sont autorisés à voir ou partager les pièces jointes. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Voir les pièces jointes Sélectionnez si les pièces jointes seront visibles dans toutes les apps ou uniquement dans les apps de conteneur Sophos Secure Workspace et Sophos Secure Email. Partager les pièces jointes Sélectionnez si les pièces jointes pourront être partagées avec toutes les apps ou uniquement avec les apps de conteneur Sophos Secure Workspace et Sophos Secure Email. Paramètres avancés Cliquez sur Paramètres avancés pour configurer les paramètres qu’une future version de l’app Sophos Secure Email pourrait utiliser. Important Veuillez uniquement configurer ces paramètres si l’équipe du support Sophos vous le demande. 15.15.3 Configuration des Documents professionnels (stratégie de conteneur Sophos pour Android) La configuration des Documents professionnels vous permet de définir les paramètres de la fonction Documents professionnels de l’app Sophos Secure Workspace. Configurer les fournisseurs de stockage Chaque fournisseur de stockage vous permet de définir séparément les paramètres suivants : Paramètre/Champ Description Activer Le fournisseur de stockage est disponible dans l’app. Hors ligne Les utilisateurs sont autorisés à ajouter des fichiers provenant du fournisseur de stockage à la liste des Favoris de l’app pour une utilisation hors ligne. Ouvrir avec (chiffré) Les utilisateurs peuvent partager les fichiers chiffrés avec d’autres apps via la fonction Ouvrir avec. Ouvrir avec (déchiffré) Les utilisateurs peuvent partager les fichiers déchiffrés avec d’autres apps via la fonction Ouvrir avec. Copyright © 2018 Sophos Limited 149 Sophos Mobile (version locale) Paramètre/Champ Description Presse-papiers Les utilisateurs peuvent copier des parties d’un document et les copier dans d’autres apps. Paramètres du fournisseur d’entreprise Pour le fournisseur WebDAV, également appelé le fournisseur d’entreprise, vous pouvez définir les paramètres du serveur et les codes d’accès de connexion de manière centralisée. Ceux-ci ne peuvent pas être changés par les utilisateurs. Les paramètres de codes d’accès que vous ne définissez pas de manière centralisée peuvent être choisis par les utilisateurs sur les écrans de codes d’accès du fournisseur dans l’app. Par exemple, vous pouvez définir le serveur et le compte d’utilisateur à utiliser de manière centralisée. Il n’est pas nécessaire de remplir le champ du mot de passe. Les utilisateurs devront connaître le mot de passe lorsqu’ils se connecteront au fournisseur de stockage. Paramètre/Champ Description Nom Le nom du fournisseur qui s’affiche dans l’app Sophos Secure Workspace. Serveur Dans ce champ, saisissez : • • L’URL du dossier racine sur le serveur WebDAV Documents professionnels. L’URL du dossier racine sur le serveur WebDAV. Veuillez utiliser le format suivant : https:// serveur.entreprise.fr Seul le protocole https est pris en charge. Nom d’utilisateur Le nom d’utilisateur pour le serveur. Vous pouvez également utiliser la variable %_USERNAME_%. Mot de passe Le mot de passe du compte. Dossier de téléchargement Le dossier de téléchargement du compte. Autres paramètres 150 Paramètre/Champ Description Activer les documents Cette option active la fonction Documents permettant de distribuer en toute sécurité les documents d’entreprise. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Complexité de la phrase secrète La complexité minimale requise pour les phrases secrètes des clés de chiffrement. Les phrases secrètes très sécurisées sont toujours autorisées. Vous pouvez sélectionner les paramètres suivants : • • • • Interdire les captures d’écran Mot de passe à 4 caractères Mot de passe à 6 caractères Mot de passe à 8 caractères Mot de passe à 10 caractères L’utilisateur ne peut pas faire de captures d’écran montrant l’app Sophos Secure Workspace. 15.15.4 Configuration du Navigateur professionnel (stratégie de conteneur Sophos pour Android) La configuration du Navigateur professionnel vous permet de définir les paramètres de la fonction Navigateur professionnel de l’app Sophos Secure Workspace. Le Navigateur professionnel vous permet d’accéder en toute sécurité aux pages intranet de l’entreprise et à toutes les autres pages autorisées. Vous pouvez définir les domaines et les favoris d’un domaine. Chaque favori appartient à un domaine bien précis. Lorsque vous ajoutez un favori, l’entrée de domaine est créée automatiquement si elle n’existe pas. Paramètres généraux Paramètre/Champ Description Interdire les captures d’écran L’utilisateur ne peut pas faire de captures d’écran montrant l’app Sophos Secure Workspace. Paramètres du domaine Paramètre/Champ Description URL Le domaine que vous souhaitez autoriser. Autoriser la fonction copier/coller Les utilisateurs peuvent copier/coller du texte à partir du Navigateur professionnel vers d’autres apps. Copyright © 2018 Sophos Limited 151 Sophos Mobile (version locale) Paramètre/Champ Description Autoriser Ouvrir avec Les utilisateurs peuvent télécharger des pièces jointes ou les transférer vers d’autres apps. Autoriser l’enregistrement du mot de passe Les utilisateurs peuvent enregistrer leurs mots de passe dans le Navigateur professionnel. Paramètres de favoris Paramètre/Champ Description Nom Le nom du favori. URL L’adresse Web du favori. 15.15.5 Configuration du certificat du client (stratégie de conteneur Sophos pour Android) La configuration Certificat du client vous permet d’installer un certificat du client sur les appareils. Ce certificat sera mis à disposition des apps Sophos Secure Email et Sophos Secure Workspace si elles sont installées dans le conteneur Sophos. Dans le champ Fichier, naviguez jusqu’au certificat adéquat et cliquez sur Télécharger un fichier. Le nom du certificat apparaît dans le champ Nom du certificat. Saisissez un mot de passe pour le certificat sélectionné. Remarque Le certificat que vous chargez ici est uniquement disponible pour cette stratégie. Si vous avez besoin de certificats pour d’autres profils ou stratégies, vous allez devoir les charger de nouveau. 15.15.6 Configuration du Certificat racine (stratégie de conteneur Sophos pour Android) La configuration Certificat racine vous permet d’installer un certificat racine sur les appareils. Ce certificat sera mis à disposition des apps Sophos Secure Email et Sophos Secure Workspace si elles sont installées dans le conteneur Sophos. Dans le champ Fichier, naviguez jusqu’au certificat adéquat et cliquez sur Télécharger un fichier. Le nom du certificat apparaît dans le champ Nom du certificat. Saisissez un mot de passe pour le certificat sélectionné. Remarque Le certificat que vous chargez ici est uniquement disponible pour cette stratégie. Si vous avez besoin de certificats pour d’autres profils ou stratégies, vous allez devoir les charger de nouveau. 152 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 15.15.7 Configuration SCEP (stratégie de conteneur Sophos pour Android) La configuration SCEP permet d’autoriser les appareils à demander des certificats à une Autorité de certification à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol). Ces certificats sont disponibles dans l’app Sophos Secure Workspace si cette dernière est installée dans le conteneur Sophos. Remarque Veuillez commencer par ajouter une configuration du Certificat racine pour charger le certificat de l’Autorité de certification du serveur SCEP avant d’ajouter une configuration du protocole SCEP. Paramètre/Champ Description URL L’adresse Web du serveur de l’Autorité de certification. Utilisez la variable %_SCEPPROXYURL_% pour indiquer l’URL du serveur configurée sur l’onglet SCEP de la page Configuration du système. Nom d’alias Le nom sous lequel le certificat va apparaître dans les boîtes de dialogue de sélection. Il doit s’agir d’un nom facile à mémoriser pour identifier le certificat. Par exemple, utilisez la même valeur que dans le champ Objet mais sans le préfixe CN=. Objet Le nom de l’entité (par exemple ; une personne ou un appareil) qui recevra le certificat. Vous pouvez utiliser des espaces réservés pour les données de l’utilisateur ou les propriétés de l’appareil. La valeur que vous saisissez (remplacement des espaces réservés par des données) doit être un nom X.500 valable. Par exemple : • Saisissez CN=%_USERNAME_% pour indiquer un utilisateur. • Saisissez CN=%_DEVPROP(numéro_série)_% pour indiquer un appareil. Retrouvez plus de renseignements sur les espaces réservés disponibles à la section Espaces réservés dans les profils et stratégies (page 91). Copyright © 2018 Sophos Limited 153 Sophos Mobile (version locale) Paramètre/Champ Description Type de l’autre nom de l’objet Pour ajouter un Autre nom de l’objet (SAN) à la configuration SCEP, sélectionnez le type de l’Autre nom de l’objet et saisissez la valeur de l’Autre nom de l’objet. Les types SAN sont : Valeur de l’autre nom de l’objet • Nom RFC 822 : une adresse électronique valide. • Nom DNS : le nom DNS du serveur de l’autorité de certification. • Uniform Resource Identifier : l’URL complète du serveur de l’autorité de certification. Nom de connexion d’utilisateur AD La valeur Nom de connexion d’utilisateur définie dans Active Directory, c’est-à-dire le Nom principal de l’utilisateur (UPN). Challenge L’adresse Web permettant de récupérer un mot de passe de challenge à partir du serveur SCEP. Utilisez la variable %_CACHALLENGE_% pour indiquer l’URL de challenge configurée sur l’onglet SCEP de la page Configuration du système. Certificat racine Le certificat de l’Autorité de certification. Sélectionnez le certificat dans la liste. La liste contient tous les certificats que vous avez chargés dans la configuration du Certificat racine du profil actuel. Taille de la clé La taille de la clé publique dans le certificat émis. Assurez-vous que la valeur indiquée correspond à la taille configurée sur le serveur SCEP. Utiliser en tant que signature numérique Si vous sélectionnez cette case, la clé publique peut être utilisée en tant que signature numérique. Utiliser pour le chiffrement Si vous sélectionnez cette case, la clé publique peut être utilisée pour le chiffrement de fichiers. 15.16 Configuration des stratégies de sécurité des mobiles (Sophos Mobile Security) La stratégie de sécurité des mobiles vous permet de configurer les paramètres de l’app Sophos Mobile Security. Retrouvez plus de renseignements sur les stratégies de sécurité des mobiles aux sections suivantes : Configuration des paramètres antivirus pour Sophos Mobile Security (page 319) Configuration des paramètres du filtrage Web pour Sophos Mobile Security (page 321) 154 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 15.17 Configuration des profils de conteneur Knox Un profil de conteneur Knox vous permet de configurer les paramètres associés au conteneur Knox des appareils Samsung. Retrouvez plus de renseignements sur la création d’un profil de conteneur à la section Création du profil ou de la stratégie (page 86). 15.17.1 Configuration des Stratégies de mot de passe (profil de conteneur Knox) La configuration Stratégies de mot de passe vous permet de définir les exigences à respecter pour le mot de passe du conteneur Knox. Remarque Les paramètres pris en charge varient en fonction de la version du système d’exploitation ou des autres fonctions de l’appareil. Le champ d’application est indiqué par une étiquette bleue dans Sophos Mobile. Type de mot de passe La liste Type de mot de passe vous permet de sélectionner le type de mot de passe que les utilisateurs sont autorisés à configurer : Paramètre/Champ Description Modèle, code PIN ou mot de passe Les utilisateurs doivent définir un mode de déverrouillage de l’écran. Ils peuvent choisir un mode de déverrouillage de l’écran de type Modèle, Code PIN ou Mot de passe. Aucune autre restriction n’est imposée. Mot de passe simple Les utilisateurs doivent définir un mode de déverrouillage de l’écran de type Mot de passe. L’utilisation de chiffre est autorisée mais le mot de passe doit contenir au moins une lettre. Vous pouvez définir la longueur minimale. Retrouvez plus de renseignements à ce sujet dans le tableau ci-dessous. Code PIN ou mot de passe Les utilisateurs doivent définir un mode de déverrouillage de l’écran de type Code PIN ou Mot de passe. Vous pouvez définir la longueur minimale. Retrouvez plus de renseignements à ce sujet dans le tableau ci-dessous. Copyright © 2018 Sophos Limited 155 Sophos Mobile (version locale) Paramètre/Champ Description Mot de passe alphanumérique Les utilisateurs doivent définir un mode de déverrouillage de l’écran de type Mot de passe. Le mot de passe doit contenir une combinaison de lettres et de chiffres. Vous pouvez définir la longueur minimale. Retrouvez plus de renseignements à ce sujet dans le tableau cidessous. Mot de passe complexe Les utilisateurs doivent définir un mode de déverrouillage de l’écran de type Mot de passe. Le mot de passe doit contenir une combinaison de lettres et de chiffres. Vous pouvez définir la longueur minimale ainsi que le nombre minimal de chiffres, de lettres minuscules et majuscules et de caractères spéciaux à utiliser. Retrouvez plus de renseignements à ce sujet dans les deux tableaux ci-dessous. Si vous sélectionnez Mot de passe simple, Code PIN ou mot de passe, Mot de passe alphanumérique ou Mot de passe complexe, les champs suivants apparaissent : Paramètre/Champ Description Longueur minimum du mot de passe Le nombre minimum de caractères qu’un mot de passe doit contenir. Délai d’attente avant demande du mot de passe Le temps au bout duquel le conteneur Knox est verrouillé lorsqu’il n’est pas utilisé. Le conteneur peut être déverrouillé en saisissant le mot de passe. Remarque Il se peut que l’appareil impose un période de temps plus courte que celle que vous avez configurée ici. 156 Durée de validité maximale du mot de passe en jours Demande aux utilisateurs de changer leur mot de passe dans l’intervalle indiqué. Plage de valeur : 0 (aucun changement de mot de passe requis) à 730 jours. Nombre de tentatives ratées avant réinitialisation de l’appareil Le nombre maximal de tentatives ratées de saisie du mot de passe qu’il est possible d’effectuer avant que le conteneur Knox soit réinitialisé. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Longueur minimum de l’historique Le nombre d’anciens mots de passe mémorisés et comparés avec les nouveaux. Lorsque l’utilisateur définit un nouveau mot de passe, celui-ci n’est pas accepté s’il correspond à un ancien mot de passe déjà utilisé. Plage de valeur : 1 à 5 ou aucune. Si vous sélectionnez Mot de passe complexe, les champs supplémentaires suivants apparaissent : Paramètre/Champ Description Nombre minimum de lettres Le nombre minimum de lettres qu’un mot de passe doit contenir. Nombre minimum de lettres minuscules Le nombre minimum de lettres minuscules qu’un mot de passe doit contenir. Nombre minimum de lettres majuscules Le nombre minimum de lettres majuscules qu’un mot de passe doit contenir. Nombre minimum de caractères non alphabétiques Le nombre minimum de caractères non alphabétiques (par exemple & ou !) qu’un mot de passe doit contenir. Nombre minimum de chiffres Le nombre minimum de chiffres qu’un mot de passe doit contenir. Nombre minimum de caractères spéciaux Le nombre minimum de caractères spéciaux (par exemple !"§$%&/()=,.-;:_@<>) qu’un mot de passe doit contenir. Authentification biométrique Paramètre/Champ Description Autoriser l’authentification par empreinte digitale Si cette fonction est disponible sur l’appareil, l’utilisateur peut utiliser l’authentification par empreinte digitale pour déverrouiller le conteneur Knox. Autoriser l’authentification par l’iris Si cette fonction est disponible sur l’appareil, l’utilisateur peut utiliser l’authentification par l’iris pour déverrouiller le conteneur Knox. Autoriser l’authentification du visage Si cette fonction est disponible sur l’appareil, l’utilisateur peut utiliser la reconnaissance faciale pour déverrouiller le conteneur Knox. Copyright © 2018 Sophos Limited 157 Sophos Mobile (version locale) 15.17.2 Configuration des Restrictions (profil de conteneur Knox) La configuration des Restrictions vous permet de configurer les restrictions et paramètres associés du conteneur Knox des appareils Samsung. 158 Paramètre/Champ Description Autoriser la capture d’écran L’utilisateur peut faire des captures d’écran du contenu des apps présentes dans le conteneur Samsung Knox. Autoriser l’appareil photo Les apps présentes dans le conteneur Samsung Knox ont accès à l’appareil photo. Autoriser le Presse-papiers L’utilisateur peut copier le contenu du presse-papiers. Autoriser « Partager par » La fonction Partager par utilisée par certaines apps est activée. Autoriser le microphone Les apps présentes dans le conteneur Samsung Knox ont accès au microphone. Appliquer l’utilisation du clavier sécurisé L’utilisateur doit se servir du clavier sécurisé. Autoriser l’ajout de nouveaux comptes de messagerie L’utilisateur peut ajouter d’autres comptes de messagerie que les comptes configurés par un profil Sophos Mobile. Autoriser l’exportation de données Les apps personnelles ont accès aux données depuis le conteneur Samsung Knox. Autoriser la copie de fichiers dans le conteneur Les fichiers personnels peuvent être copiés ou déplacés dans le conteneur Samsung Knox. Autoriser Bluetooth Les apps présentes dans le conteneur Samsung Knox peuvent utiliser les connexions Bluetooth. Autoriser NFC Les apps se trouvant dans le conteneur Samsung Knox peuvent utiliser les connexions NFC (communication en champ proche). Appliquer l’authentification multifacteur Plusieurs méthodes d’authentification sont requises pour déverrouiller le conteneur Samsung Knox, comme par exemple le mot de passe ou l’empreinte digitale. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Apps autorisées / Apps interdites Vous pouvez configurer soit les Apps autorisées soit les Apps interdites. Sélectionnez l’option désirée dans la première liste et sélectionnez le groupe d’apps contenant les apps qui doivent être autorisées ou interdites dans la seconde liste. L’installation d’apps déclenchée par le serveur Sophos Mobile n’est pas limitée par ce paramètre. Retrouvez plus de renseignements sur la création des groupes d’apps à la section Groupes d’apps (page 295). 15.17.3 Configuration du compte Exchange (profil de conteneur Knox) La configuration Compte Exchange vous permet de créer une connexion à un serveur de messagerie Serveur Microsoft Exchange. Ces paramètres sont appliqués au conteneur Samsung Knox. Paramètre/Champ Description Nom du compte Le nom du compte. Serveur Exchange L’adresse du serveur Exchange. Remarque Si vous utilisez le proxy SMC EAS, veuillez saisir l’URL du serveur proxy SMC. Domaine Le domaine de ce compte. Utilisateur L’utilisateur de ce compte. Si vous saisissez la variable %_USERNAME_%, le serveur la remplace par le nom de l’utilisateur en cours. Adresse électronique L’adresse électronique du compte. Si vous saisissez la variable %_EMAILADDRESS_%, le serveur la remplace par l’adresse électronique en cours. Expéditeur Un nom d’expéditeur pour ce compte. Si vous saisissez la variable %_EMAILADDRESS_%, le serveur la remplace par l’adresse électronique en cours. Copyright © 2018 Sophos Limited 159 Sophos Mobile (version locale) Paramètre/Champ Description Mot de passe Le mot de passe de ce compte. Si vous ne remplissez pas ce champ, les utilisateurs devront saisir le mot de passe sur leurs appareils. Période de synchronisation La date à laquelle les emails sont synchronisés. Seuls les emails compris dans la période indiquée sont synchronisés dans la boîte de réception sur l’appareil. Intervalle de synchronisation L’intervalle entre les processus de synchronisation de la messagerie. SSL/TLS La connexion au serveur Exchange est sécurisée par SSL ou TLS (selon la compatibilité du serveur). Nous vous conseillons de sélectionner cette option. Compte par défaut Le compte est utilisé en tant que compte de messagerie par défaut. Autoriser tous les certificats Autoriser tous les certificats lors des processus de transferts à partir du serveur de messagerie. Autoriser le transfert d’emails Autoriser le transfert d’emails. Autoriser l’utilisation du format HTML Autoriser l’utilisation du format HTML dans les emails. Taille maximale des pièces jointes (Mo) La taille maximale d’un email (1, 3, 5, 10, Illimitée). Synchroniser les types de contenu Les types de contenu à synchroniser. 15.18 Configuration des stratégies Android Things Une stratégie Android Things vous permet de configurer les différents aspects des appareils Android Things. Actuellement, seuls les paramètres Wi-Fi sont compatibles. Retrouvez plus de renseignements sur la création d’une stratégie Android Things à la section Création du profil ou de la stratégie (page 86). 160 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 15.18.1 Configuration Wi-Fi (stratégie Android Things) La configuration Wi-Fi vous permet d’indiquer les paramètres de connexion aux réseaux Wi-Fi. Paramètre/Champ Description SSID L’identifiant du réseau Wi-Fi. Type de sécurité Le type de sécurité du réseau Wi-Fi : • • • Aucun WEP WPA/WPA2 Si vous sélectionnez WEP ou WPA/WPA2, un champ Mot de passe apparaît. Saisissez le mot de passe adéquat. 15.19 Configuration des profils d’appareil iOS Un profil d’appareil iOS vous permet de configurer différentes options des appareils iOS (stratégies de mot de passe, restrictions ou paramètres Wi-Fi). Retrouvez plus de renseignements sur la création d’un profil d’appareil à la section Création du profil ou de la stratégie (page 86). 15.19.1 Configuration des stratégies de mot de passe (profil d’appareil iOS) La configuration Stratégies de mot de passe vous permet de définir les exigences à respecter pour le mot de passe de l’appareil. Remarque Lorsque la configuration Stratégies de mot de passe est assignée à un appareil, un délai de grâce de 60 minutes commence. Au cours de cette période, l’utilisateur est invité à changer son mot de passe lorsqu’il revient sur l’écran d’accueil conformément aux stratégie de sécurité en vigueur. Une fois le délai de grâce expiré, l’utilisateur ne peut plus démarrer les apps sur l’appareil, même les apps internes. Paramètre/Champ Description Accepter les valeurs simples Les utilisateurs sont autorisés à utiliser des caractères séquentiels ou répétés dans leur mot de passe (par exemple 1111 ou abcde). Copyright © 2018 Sophos Limited 161 Sophos Mobile (version locale) Paramètre/Champ Description Exiger des valeurs alphanumériques Les mots de passe doivent contenir au moins une lettre ou un chiffre. Longueur minimum du mot de passe Indique le nombre minimum de caractères qu’un mot de passe doit contenir. Nombre minimum de caractères complexes Indique le nombre minimum de caractères non alphanumériques (par exemple & ou !) qu’un mot de passe doit contenir. Durée de validité maximale du mot de passe en Demande aux utilisateurs de changer leur mot jours de passe dans l’intervalle indiqué. Plage de valeur : 0 (aucun changement de mot de passe requis) à 730 jours. 162 Verrouillage automatique maximal (en minutes) Ce champ vous permet d’indiquer la valeur maximale que l’utilisateur peut configurer sur l’appareil. Le verrouillage automatique indique au bout de combien de temps (en minutes) l’appareil doit être verrouillé lorsqu’il n’est pas utilisé. Historique du mot de passe Ce champ vous permet d’indiquer combien d’anciens mots de passe sont mémorisés et comparés avec les nouveaux. Lorsque l’utilisateur définit un nouveau mot de passe, celui-ci n’est pas accepté s’il correspond à un ancien mot de passe déjà utilisé. Plage de valeur : 1 à 50 ou 0 (aucun historique de mot de passe). Délai de grâce maximal avant verrouillage de l’appareil Ce champ vous permet d’indiquer la valeur maximale que l’utilisateur peut configurer sur l’appareil. Le délai de grâce avant le verrouillage de l’appareil vous permet d’indiquer pendant combien de temps l’appareil peut être déverrouillé suite à un verrouillage sans demande de mot de passe. Si vous sélectionnez Aucun, l’utilisateur peut sélectionner l’un des intervalles disponibles. Si vous sélectionnez Immédiatement, les utilisateurs doivent saisir un mot de passe à chaque fois qu’ils déverrouillent leur appareil. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Nombre de tentatives ratées avant réinitialisation de l’appareil Ce champ vous permet d’indiquer le nombre maximal de tentatives ratées de saisie du mot de passe qu’il est possible d’effectuer avant que l’appareil soit réinitialisé. Après six tentatives ratées, l’utilisateur doit attendre pendant un moment avant de pouvoir saisir de nouveau un mot de passe. Le délai d’attente augmente à chaque tentative ratée. Suite à l’échec de la dernière tentative, toutes les données et les paramètres sont supprimés de l’appareil. Le délai d’attente commence à la sixième tentative. Par conséquent, si vous définissez cette valeur sur 6 ou sur une valeur inférieure, il n’y a aucun délai d’attente et l’appareil est réinitialisé lorsque la limite des tentatives autorisées est dépassée. 15.19.2 Configuration des restrictions (profil d’appareil iOS) La configuration des Restrictions vous permet de définir les restrictions pour les appareils. Remarque Certaines options sont uniquement disponibles sur certaines versions d’iOS ou sur certains appareils supervisés. Ceci est indiqué par des étiquettes bleues dans Sophos Mobile Admin. Appareil Paramètre/Champ Description Autoriser l’installation d’apps Si cette case n’est pas sélectionnée, la boutique App Store n’est plus disponible et l’icône disparaît de l’écran d’Accueil. L’utilisateur ne peut pas installer ou mettre à jour les apps via la boutique App Store, iTunes ou via Apple Configurator. Autoriser l’installation d’apps à partir de Si cette case n’est pas sélectionnée, la boutique App l’interface de l’appareil Store n’est plus disponible et l’icône disparaît de l’écran d’Accueil. L’utilisateur peut toujours installer ou mettre à jour les apps via la boutique App Store ou iTunes. Autoriser l’utilisation de l’appareil photo Si cette case est dessélectionnée, l’appareil photo n’est plus disponible et l’icône de l’Appareil photo disparaît de l’écran d’Accueil. L’utilisateur ne peut pas prendre de photos, enregistrer de vidéos ou utiliser FaceTime. Autoriser FaceTime Copyright © 2018 Sophos Limited L’utilisateur peut passer ou recevoir des appels vidéo FaceTime. 163 Sophos Mobile (version locale) Paramètre/Champ Description Autoriser la capture d’écran Les utilisateurs peuvent prendre des captures d’écran. Autoriser la synchronisation automatique pendant l’itinérance Si cette case n’est pas sélectionnée, les appareils itinérants se synchronisent uniquement lorsque l’utilisateur accède au compte. Autoriser Siri Si cette case n’est pas sélectionnée, les utilisateurs ne peuvent pas utiliser Siri, les commandes vocales ou le mode dictée. Autoriser Siri lorsque l’appareil est verrouillé Si cette case n’est pas sélectionnée, les utilisateurs doivent déverrouiller son appareil en saisissant son mot de passe avant d’utiliser Siri. Autoriser Siri à demander du contenu sur Internet Si cette case n’est pas sélectionnée, Siri ne fera aucune demande de contenu sur Internet. Forcer le filtrage du langage explicite de Si cette case n’est pas sélectionnée, le filtrage du Siri langage explicite de Siri n’est pas appliqué sur l’appareil. Autoriser la composition vocale pendant que l’appareil est verrouillé Si cette case n’est pas sélectionnée, l’utilisateur ne peut pas composer de numéros à l’aide des commandes vocales lorsque l’appareil est verrouillé par mot de passe. Remarque Si l’utilisateur n’a pas configuré un mot de passe sur l’appareil, la composition vocale est toujours autorisée. Autoriser Passbook pendant que l’appareil est verrouillé Les notifications Passbook sont affichées lorsque l’appareil est verrouillé. Autoriser les achats intégrés L’utilisateur peut effectuer des achats intégrés. Obliger l’utilisateur à saisir le mot de passe iTunes Store pour tous les achats Les utilisateurs doivent saisir leur mot de passe d’identifiant Apple pour effectuer leurs achats. Si cette case n’est pas sélectionnée, un court délai de grâce permet à l’utilisateur d’effectuer d’autres achats sans avoir à saisir de nouveau son mot de passe. 164 Autoriser les jeux multijoueurs L’utilisateur peut jouer à des jeux en mode multijoueurs dans Game Center. Autoriser l’utilisation de Game Center Si cette case est dessélectionnée, Game Center n’est plus disponible. Autoriser l’ajout d’amis dans Game Center L’utilisateur peut ajouter des amis à Game Center. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Autoriser la modification de Localiser mes amis Si cette case n’est pas sélectionnée, les modifications de l’app de Localiser mes amis ne sont plus possibles. Autoriser le jumelage entre hôtes Si cette case n’est pas sélectionnée, le jumelage entre hôtes est désactivé à l’exception de l’hôte de supervision. Si aucun certificat de l’hôte de supervision n’est configuré, le jumelage est désactivé. Autoriser le jumelage avec Apple Watch Si cette case n’est pas sélectionnée, les utilisateurs ne peuvent pas jumeler l’appareil avec une Apple Watch. Tout jumelage avec une Apple Watch est annulé. Autoriser AirDrop Le partage de contenu avec AirDrop est activé. Autoriser le Centre de contrôle pendant le verrouillage de l’écran Si cette case n’est pas sélectionnée, le Centre de contrôle n’est plus disponible lorsque l’écran de l’appareil est verrouillé. Autoriser le Centre de notifications pendant le verrouillage de l’écran Si cette case est dessélectionnée, le Centre de notifications n’est plus disponible lorsque l’écran de l’appareil est verrouillé. Autoriser la vue Aujourd’hui pendant le verrouillage de l’écran Si cette case est dessélectionnée, la vue Aujourd’hui n’est plus disponible lorsque l’écran de l’appareil est verrouillé. Autoriser les actualités L’app Actualités est disponible. Autoriser les mises à jour directes des ICP Les mises à jour directes des ICP sont possibles. Autoriser l’accès à l’iBooks Store L’utilisateur peut acheter des livres dans iBooks. Autoriser l’accès aux livres au contenu érotique dans l’iBooks Store Si cette case est dessélectionnée, l’accès aux livres au contenu érotique par le biais de l’iBooks Store est interdit. Autoriser l’installation des profils de configuration L’utilisateur peut installer des profils de configuration. Autoriser l’utilisation d’iMessage L’utilisateur peut utiliser iMessage pour envoyer ou recevoir des SMS. Autoriser la suppression d’apps L’utilisateur peut supprimer des apps de l’appareil. Autoriser l’effacement du contenu et des réglages Si cette case est dessélectionnée, l’option Effacer contenu et réglages dans le menu Réinitialiser n’est plus disponible. Autoriser la recherche sur Internet pour Si cette case est dessélectionnée, Spotlight ne fournit Spotlight plus de résultats de recherche sur Internet. Copyright © 2018 Sophos Limited 165 Sophos Mobile (version locale) Paramètre/Champ Description Autoriser l’activation de l’option de restrictions Si cette case est dessélectionnée, l’option Activer les restrictions dans le menu Réinitialiser n’est plus disponible. Autoriser Handoff L’utilisateur peut utiliser la fonctionnalité de Continuité d’Apple nommée Handoff. La fonctionnalité Handoff permet à l’utilisateur de commencer à travailler sur un document, email ou message sur un appareil et de continuer sur un autre appareil. Autoriser la modification du nom de l’appareil L’utilisateur peut changer le nom de l’appareil. Autoriser la modification du fond d’écran L’utilisateur peut changer le fond d’écran. Autoriser les raccourcis clavier L’utilisateur peut utiliser les raccourcis clavier. Autoriser la dictée pour la saisie clavier L’utilisateur peut activer la dictée dans les paramètres du clavier. Autoriser le téléchargement automatique d’apps Si cette case est dessélectionnée, le téléchargement automatique des apps achetées sur d’autres appareils est désactivé. Les mises à jour des apps existantes ne sont pas affectées. Autoriser Apple Music L’utilisateur peut accéder à la bibliothèque Apple Music. Autoriser Apple Music Radio L’utilisateur peut accéder à Apple Music Radio. Autoriser la modification des paramètres Bluetooth L’utilisateur peut modifier les paramètres Bluetooth. Données de l’entreprise Paramètre/Champ Description Autoriser le partage des documents uniquement dans les apps/comptes administrés Cette option limite l’ouverture des documents aux apps ou comptes administrés par Sophos Mobile, (par exemple ; un compte de messagerie professionnelle). Si Sophos Mobile est utilisé pour administrer le compte de messagerie des utilisateurs et que les apps installées sur leurs appareils mobiles sont administrées par Sophos Mobile, les pièces jointes de ce compte de messagerie administré pourront uniquement être ouvertes à l’aide d’apps administrées. De cette manière, vous pouvez empêcher l’ouverture de documents professionnels par des apps non administrées. 166 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Autoriser le partage des documents uniquement dans les apps/comptes non administrés Cette option limite l’ouverture des documents aux apps ou comptes administrés par Sophos Mobile, (par exemple ; un compte de messagerie privé). Si Sophos Mobile n’est pas utilisé pour administrer le compte de messagerie des utilisateurs et les apps installées sur leurs appareils mobiles, les pièces jointes de ce compte de messagerie non administré pourront uniquement être ouvertes à l’aide d’apps non administrées. De cette manière, vous pouvez empêcher l’ouverture de documents personnels par des apps administrées. Forcer l’utilisation non administrée des documents AirDrop AirDrop est considéré comme non administré. Autoriser les apps administrées à se synchroniser avec iCloud Les apps administrées peuvent utiliser la synchronisation avec iCloud. Autoriser la sauvegarde des livres d’entreprise Les livres d’entreprise sont sauvegardés. Autoriser la synchronisation des Les notes et passages surlignés des livres d’entreprise passages surlignés et des notes pour les sont synchronisés. livres d’entreprise Applications Paramètre/Champ Description Autoriser l’utilisation de l’iTunes Store Si cette case est dessélectionnée, la boutique iTunes n’est plus disponible et l’icône disparaît de l’écran d’Accueil. L’utilisateur ne peut pas prévisualiser, acheter ou télécharger de contenu. Autoriser l’utilisation de Safari Si cette case est dessélectionnée, le navigateur Web Safari n’est plus disponible et l’icône disparaît de l’écran d’Accueil. L’utilisateur ne peut pas non plus ouvrir de clips Web. Activer le remplissage automatique Si cette case est dessélectionnée, Safari ne remplit pas automatiquement les formulaires Web avec les informations saisies auparavant. Forcer l’avertissement de fraude Le paramètre de sécurité Safari permettant d’avertir l’utilisateur lorsqu’il se trouve sur un site Web de phishing est toujours activé. Bloquer les fenêtres intempestives Le blocage des fenêtres intempestives de Safari est activé. Copyright © 2018 Sophos Limited 167 Sophos Mobile (version locale) Paramètre/Champ Description Autoriser JavaScript dans le navigateur Les pages Web peuvent exécuter le code JavaScript sur l’appareil. Accepter les cookies Ce champ vous permet d’indiquer si Safari accepte les cookies. Lorsque vous autorisez les cookies, vous pouvez indiquer si les cookies du site actuellement ouvert, ceux des sites visités auparavant ou ceux de tous les sites sont acceptés. Autoriser la modification de l’utilisation des données cellulaires par app L’utilisateur peut changer l’utilisation des données cellulaires par app. Apps autorisées / Apps interdites Vous pouvez indiquer soit Apps autorisées soit Apps interdites. Sélectionnez l’option désirée dans la première liste et sélectionnez le groupe d’apps contenant les apps qui doivent être autorisées ou interdites dans la seconde liste. Retrouvez plus de renseignements sur la création des groupes d’apps à la section Groupes d’apps (page 295). iCloud Paramètre/Champ Description Autoriser la sauvegarde Les utilisateurs peuvent sauvegarder leurs appareils dans iCloud. Autoriser la synchronisation des documents Les utilisateurs peuvent conserver les documents et les données de configuration des apps dans iCloud. Autoriser Flux de photos Les utilisateurs peuvent télécharger les photos dans Mon flux de photos. Remarque Si la case d’interdiction de Mon flux de photos n’est pas sélectionnée, les photos déjà existantes partagées sur Mon flux de photos sont supprimées de tous les appareils. S’il n’existe aucune autre copie de ces photos, elles seront perdues. 168 Autoriser la bibliothèque de photos iCloud Les utilisateurs peuvent utiliser la Bibliothèque de photos iCloud. Autoriser les flux de photos partagés Les utilisateurs peuvent inviter d’autres utilisateurs à consulter les flux de photos ainsi que les flux de photos partagés par d’autres utilisateurs. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Autoriser la synchronisation du trousseau iCloud Les utilisateurs peuvent se servir du Trousseau iCloud pour synchroniser les mots de passe sur leurs iPhones, iPads et Macs. Si la case n’est pas sélectionnée, les données du Trousseau iCloud sont uniquement stockées localement sur l’appareil. Sécurité et confidentialité Paramètre/Champ Description Autoriser l’envoi des données de diagnostic à Apple Si cette case n’est pas sélectionnée, les informations de diagnostic iOS ne seront pas transmises à Apple. Autoriser l’utilisateur à accepter des certificats TLS non approuvés Si cette case n’est pas sélectionnée, il ne sera pas demandé aux utilisateurs s’ils acceptent des certificats ne pouvant pas être vérifiés. Ce paramètre s’applique à Safari et aux comptes de contacts de messagerie et de Calendrier. Accepter les apps d’entreprise Les apps d’entreprise sont acceptées. Autoriser la modification du mot de passe L’utilisateur peut ajouter, changer ou supprimer le mot de passe de l’appareil. Autoriser la modification du compte Si cette case est dessélectionnée, l’utilisateur ne peut pas modifier les comptes. Le menu Comptes n’est plus disponible. Autoriser le capteur Touch ID à déverrouiller l’appareil Si cette case n’est pas sélectionnée, l’appareil ne peut pas être déverrouillé par Touch ID. Forcer le suivi publicitaire limité L’utilisation des apps de données d’utilisateurs anonymes ne sont plus disponibles pour effectuer le suivi publicitaire. Forcer les copies de sauvegarde chiffrées Les utilisateurs doivent chiffrer les sauvegardes dans iTunes. Forcer la connexion aux réseaux Wi-Fi configurés Les appareils peuvent uniquement se connecter aux réseaux Wi-Fi qui ont été configurés par un profil Sophos Mobile. Copyright © 2018 Sophos Limited 169 Sophos Mobile (version locale) Classement du contenu Paramètre/Champ Description Autoriser la musique et les podcasts explicites Si cette case est dessélectionnée, la musique et les vidéos à contenu explicites seront masquées dans la boutique iTunes. Le contenu explicite est identifié par les fournisseurs de contenu, comme par exemple, les maisons de disques, lorsqu’il est répertorié sur la boutique iTunes. 15.19.3 Configuration de l’itinérance/Borne Wi-Fi (profil d’appareil iOS) La configuration Itinérance/Borne Wi-Fi vous permet de définir les paramètres d’itinérance et des bornes Wi-Fi. Remarque L’utilisateur peut modifier ces paramètres sur son appareil à tout moment. Paramètre/Champ Description Activer Voix à l’étranger La Voix à l’étranger n’est plus disponible. Activer Données à l’étranger Les Données à l’étranger ne sont plus disponibles. Activer Partage de connexion L’utilisateur peut configurer l’appareil afin de l’utiliser en tant que point d’accès personnel. 15.19.4 Configuration d’Exchange (profil d’appareil iOS) La configuration Compte Exchange vous permet de créer une connexion à un serveur de messagerie Serveur Microsoft Exchange. Paramètre/Champ Description Nom du compte Le nom du compte. Serveur Exchange L’adresse du serveur Exchange. Remarque Si vous utilisez le proxy SMC EAS, veuillez saisir l’URL du serveur proxy SMC. 170 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Domaine Le domaine de ce compte. Utilisateur L’utilisateur de ce compte. Si vous saisissez la variable %_USERNAME_%, le serveur la remplace par le nom de l’utilisateur en cours. Adresse électronique L’adresse électronique du compte. Si vous saisissez la variable %_EMAILADDRESS_%, le serveur la remplace par l’adresse électronique en cours. Mot de passe Le mot de passe de ce compte. Si vous ne remplissez pas ce champ, les utilisateurs devront saisir le mot de passe sur leurs appareils. Période de synchronisation La date à laquelle les emails sont synchronisés. Seuls les emails compris dans la période indiquée sont synchronisés dans la boîte de réception sur l’appareil. SSL/TLS La connexion au serveur Exchange est sécurisée par SSL ou TLS (selon la compatibilité du serveur). Nous vous conseillons de sélectionner cette option. Autoriser les déplacements L’utilisateur peut transférer ses emails de ce compte vers un autre compte. Ceci permet également d’empêcher l’utilisation d’un autre compte pour répondre ou transférer un message à partir de ce compte. Autoriser la synchronisation d’adresses récentes Le compte est inclus dans la synchronisation des adresses récemment utilisées avec d’autres appareils à l’aide d’iCloud. Utiliser uniquement dans les messages Le compte peut uniquement être utilisé pour envoyer des messages à partir de l’app de messagerie. Il ne peut pas être sélectionné comme compte pour envoyer des messages créés par d’autres apps comme par exemple Photos ou Safari. Certificat d’identité Sélectionnez le certificat d’identité pour la connexion au serveur Exchange. La liste contient tous les certificats présents dans la configuration du Certificat du client du profil actuel. Copyright © 2018 Sophos Limited 171 Sophos Mobile (version locale) Paramètre/Champ Description Activer S/MIME Compatible avec la norme de chiffrement S/MIME. Certificat de signature Les certificats utilisés pour la signature et le chiffrement des emails. Certificat de chiffrement Autoriser l’utilisateur à envoyer des emails chiffrés Pour sélectionner un certificat, vous devez d’abord le télécharger à partir de l’option de configuration Certificat du client du profil. L’utilisateur peut choisir de chiffrer ou non les emails qu’il envoie. 15.19.5 Configuration Wi-Fi (profil d’appareil iOS) La configuration Wi-Fi vous permet d’indiquer les paramètres de connexion aux réseaux Wi-Fi. 172 Paramètre/Champ Description SSID L’identifiant du réseau Wi-Fi. Connexion automatique Connecter automatiquement au réseau cible. Réseau masqué Le réseau cible n’est pas ouvert ou visible. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Type de sécurité Le type de sécurité du réseau Wi-Fi : • • • • • • • Aucun WEP (personnel) WPA/WPA2 (personnel) Tous (personnel) WEP (entreprise) WPA/WPA2 (entreprise) Tous (entreprise) Si vous sélectionnez un type de sécurité Personnel, un champ Mot de passe apparaît. Saisissez le mot de passe adéquat. Si vous sélectionnez un type de sécurité Entreprise, les onglets Protocoles, Authentification et Fiabilité apparaissent. Dans l’onglet Protocoles, configurez les paramètres suivants : • Sous Types d’EAP acceptés, indiquez les méthodes EAP à utiliser pour l’authentification. Selon les types sélectionnés sur cet onglet, les valeurs du champ Identité interne dans cet onglet peuvent être sélectionnées. • Sous EAP-FAST, configurez les paramètres de codes d’accès protégé EAP-FAST. Dans l’onglet Authentification, configurez les paramètres d’authentification du client : • Dans le champ Utilisateur, saisissez le nom d’utilisateur pour la connexion au réseau Wi-Fi. • Sélectionnez Demander le mot de passe à chaque connexion si le mot de passe doit être demandé pour chaque connexion et transféré avec l’authentification. • Dans le champ Mot de passe, saisissez le mot de passe adéquat. • Dans la liste Certificat d’identité, sélectionnez le certificat pour la connexion au réseau Wi-Fi. Remarque Le certificat à utiliser doit être indiqué sous la configuration Certificat du client. • Dans le champ Identité externe, saisissez l’identifiant externe visible (pour TTLS, PEAP et EAP-FAST). Dans l’onglet Fiabilité, configurez les paramètres d’authentification du serveur : Sélectionnez les certificats approuvés dans la liste. Copyright © 2018 Sophos Limited Remarque Veuillez indiquer les certificats dans une configuration Certificat racine. 173 Sophos Mobile (version locale) Paramètre/Champ Description Proxy Dans cette liste, sélectionnez les paramètres du proxy pour la connexion Wi-Fi : • • • Aucun Manuel Automatique Si vous sélectionnez Manuel, les champs Serveur et port, Authentification et Mot de passe apparaissent. Saisissez les informations du proxy requises. Si vous sélectionnez Automatique, le champ URL du serveur proxy apparaît. Saisissez l’URL du serveur proxy. 15.19.6 Configuration VPN (profil d’appareil iOS) La configuration VPN vous permet de définir les paramètres VPN pour les connexions réseau. Paramètre/Champ Description Nom de connexion Le nom de la connexion affichée sur l’appareil. Type de connexion Le type de connexion VPN : • • • • • • Cisco AnyConnect Cisco Legacy AnyConnect IPsec (Cisco) F5 Check Point SSL/TLS personnalisé Les différents champs d’entrée sont affichés sur la page VPN en fonction du type de connexion que vous sélectionnez. Identifiant (format de résolution DNS inverse) L’identifiant personnalisé au format DNS inverse. Serveur Le nom d’hôte ou l’adresse IP du serveur. Compte Le compte de l’utilisateur pour l’authentification de la connexion. Paramètres tiers Si votre fournisseur a précisé des propriétés de connexion personnalisées, vous pouvez les saisir dans ce champ. Pour saisir une propriété, cliquez sur Ajouter et saisissez la Clé et la Valeur de la propriété dans la boîte de dialogue. Envoyer tout le trafic par VPN 174 Tout le trafic est envoyé par VPN. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Groupe Le groupe qui sera requis pour l’authentification de la connexion. Authentification de l’utilisateur Le type d’authentification de l’utilisateur pour la connexion : • Mot de passe Si vous sélectionnez cette option, le champ Mot de passe apparaît en dessous du champ Authentification de l’utilisateur. Saisissez le mot de passe pour l’authentification. • Certificat Si vous sélectionnez cette option, le champ Certificat apparaît en dessous du champ Authentification de l’utilisateur. Sélectionnez un certificat. Authentification de l’appareil Le type d’authentification de l’appareil : • Clés (secret partagé)/Nom du groupe Si vous sélectionnez cette option, les champs Nom du groupe, Clés (secret partagé), Utiliser une authentification hybride et Demander le mot de passe sont affichés en dessous du champ Authentification de l’appareil. Saisissez les informations d’authentification requises dans les champs Nom du groupe et Clés (secret partagé). Sélectionnez Utiliser une authentification hybride et Demander le mot de passe si nécessaire. • Certificat Si vous sélectionnez cette option, les champs Certificat et Inclure le code PIN de l’utilisateur sont affichés en dessous du champ Authentification de l’appareil. Sélectionnez le certificat requis dans la liste Certificat. Sélectionnez Inclure le code PIN de l’utilisateur pour inclure le code PIN de l’utilisateur à l’authentification de l’appareil. Copyright © 2018 Sophos Limited 175 Sophos Mobile (version locale) Paramètre/Champ Description Proxy Les paramètres proxy pour la connexion : • Aucun • Manuel Si vous sélectionnez l’une de ces options, les champs Serveur et port, Authentification et Mot de passe apparaissent. Dans le champ Serveur et port, saisissez l’adresse et le port du serveur proxy. Dans le champ Authentification, saisissez le nom d’utilisateur pour la connexion au serveur proxy. Dans le champ Mot de passe, saisissez le mot de passe pour la connexion au serveur proxy. • Automatique Si vous sélectionnez cette option, le champ URL du serveur proxy apparaît. Saisissez l’URL du serveur avec le paramètre du proxy dans ce champ. Type de fournisseur Le type de connexion VPN. • • Proxy de l’app : le trafic réseau est envoyé par un tunnel VPN au niveau de l’application. Tunnel de paquets : le trafic réseau est envoyé par un tunnel VPN au niveau du réseau. 15.19.7 Configuration de la connexion VPN via l’app (profil d’appareil iOS) La configuration Connexion VPN via l’app vous permet de définir les paramètres VPN pour chaque app. Vous pouvez configurer les apps pour qu’elles se connectent automatiquement à VPN dès qu’elles sont lancées. Vous avez, par exemple, la possibilité de vous assurer que les données transmises par les apps administrées transitent par le biais du VPN. Après avoir créé des configurations VPN via l’app, vous pouvez sélectionner une configuration sur la page Modification du package d’une app. Retrouvez plus de renseignements à la section Configuration de la connexion VPN via l’app et des paramètres pour les apps iOS (page 293). 176 Paramètre/Champ Description Nom de connexion Le nom de la connexion affichée sur l’appareil. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Type de connexion Le type de connexion VPN : • • • • • Cisco AnyConnect Cisco Legacy AnyConnect F5 Check Point SSL/TLS personnalisé Les différents champs d’entrée sont affichés sur la page VPN en fonction du type de connexion que vous sélectionnez. Identifiant (format de résolution DNS inverse) L’identifiant personnalisé au format DNS inverse. Serveur Le nom d’hôte ou l’adresse IP du serveur. Compte Le compte de l’utilisateur pour l’authentification de la connexion. Paramètres tiers Si votre fournisseur a précisé des propriétés de connexion personnalisées, vous pouvez les saisir dans ce champ. Pour saisir une propriété, cliquez sur Ajouter et saisissez la Clé et la Valeur de la propriété dans la boîte de dialogue. Envoyer tout le trafic par VPN Tout le trafic est envoyé par VPN. Groupe Le groupe qui sera requis pour l’authentification de la connexion. Authentification de l’utilisateur Le type d’authentification de l’utilisateur pour la connexion : • Mot de passe Si vous sélectionnez cette option, le champ Mot de passe apparaît en dessous du champ Authentification de l’utilisateur. Saisissez le mot de passe pour l’authentification. • Certificat Si vous sélectionnez cette option, le champ Certificat apparaît en dessous du champ Authentification de l’utilisateur. Sélectionnez un certificat. Copyright © 2018 Sophos Limited 177 Sophos Mobile (version locale) Paramètre/Champ Description Proxy Les paramètres proxy pour la connexion : • Aucun • Manuel Si vous sélectionnez l’une de ces options, les champs Serveur et port, Authentification et Mot de passe apparaissent. Dans le champ Serveur et port, saisissez l’adresse et le port du serveur proxy. Dans le champ Authentification, saisissez le nom d’utilisateur pour la connexion au serveur proxy. Dans le champ Mot de passe, saisissez le mot de passe pour la connexion au serveur proxy. • Automatique Si vous sélectionnez cette option, le champ URL du serveur proxy apparaît. Saisissez l’URL du serveur avec le paramètre du proxy dans ce champ. Type de fournisseur Le type de connexion VPN. • • 178 Proxy de l’app : le trafic réseau est envoyé par un tunnel VPN au niveau de l’application. Tunnel de paquets : le trafic réseau est envoyé par un tunnel VPN au niveau du réseau. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Domaines Safari Dans ce champ, vous pouvez saisir une liste de chaînes de domaine. Utilisez une nouvelle ligne pour chaque chaîne de domaine. Lorsqu’un domaine correspondant à l’une des chaînes de domaine est ouvert dans Safari ou dans une autre navigateur, la connexion à VPN est déclenchée. La règle correspondant au comportement est la suivante : • • • Les points au début ou à la fin de la chaîne sont ignorés. Par exemple, la chaîne .exemple.com correspond aux mêmes domaines que la chaîne exemple.com. Chaque composant de chaîne doit correspondre à un composant de domaine tout entier. Par exemple, la chaîne exemple.com correspond au domaine www.exemple.com mais pas à www.monexemple.com. Les chaînes avec un seul composant correspondent uniquement à ce domaine spécifique. Par exemple, la chaîne exemple correspond au domaine exemple mais pas à www.exemple.com. 15.19.8 Configuration de l’Authentification unique (profil d’appareil iOS) La configuration Authentification unique vous permet de définir les paramètres d’une app à authentification unique ou d’une app tierce. Paramètre/Champ Description Nom Un nom clair pour le compte. Nom Kerberos principal Le nom Kerberos principal. Si vous ne saisissez aucune valeur, l’utilisateur devra saisir le nom pendant l’installation du profil. Royaume Le nom du royaume Kerberos. Veuillez saisir le nom en majuscules. Copyright © 2018 Sophos Limited 179 Sophos Mobile (version locale) Paramètre/Champ Description Adresses URL Une liste des préfixes d’URL qui doivent correspondre pour utiliser le compte pour l’authentification Kerberos sur HTTP. Les valeurs doivent commencer par http:// ou par https://// Si une valeur ne finit pas par /, la barre oblique / est ajoutée par Sophos Mobile. Pour les appareils à partir d’iOS 9.0, vous pouvez utiliser un astérisque (*) pour correspondre à toutes les valeurs. Par exemple, https:// *.exemple.fr/ correspond à https:// www.exemple.fr/ ou à https://m.exemple.fr/. Identifiants d’app Une liste de numéros d’ID de package d’apps. Les valeurs doivent correspondre exactement (par exemple ; com.sophos.smsec), ou être des préfixes, utilisant des caractères .* à la fin de la chaîne de caractères (par exemple ; com.sophos.*). 15.19.9 Configuration du Mode app unique (profil d’appareil iOS) La configuration Mode app unique vous permet de définir les paramètres du processus de verrouillage des appareils dans une seule app afin d’empêcher l’utilisation d’autres apps. Paramètre/Champ Description Sélectionner la source Sélectionnez la manière dont l’app doit être spécifiée pour le mode app unique : • • Identifiant d’app Liste des apps : Sélectionnez l’app dans la liste des apps iOS disponibles. Personnalisée : saisissez manuellement l’identifiant du package de l’app. L’app du mode app unique. Sélectionnez une app dans la liste ou saisissez un identifiant du package. 180 Désactiver l’écran tactile Les entrées tactiles ne sont plus disponibles. Désactiver la rotation La rotation de l’écran n’est plus possible. Désactiver les boutons de volume Les boutons de volume ne sont plus disponibles. Désactiver le commutateur de la sonnerie Le commutateur de la sonnerie n’est plus disponible. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Désactiver le bouton Marche/Veille Le bouton de mise en veille n’est plus disponible. Désactiver le verrouillage automatique La fonction Verrouillage automatique qui met l’appareil en veille après une période d’activité est désactivée. Activer VoiceOver VoiceOver est disponible. Activer Zoom La fonction Zoom est disponible. Activer Inverser les couleurs La fonction Inverser les couleurs est disponible. Activer AssistiveTouch AssistiveTouch est disponible. Activer Énoncer la sélection La fonction Énoncer la sélection est disponible. Activer Audio mono La fonction Audio mono est disponible. VoiceOver Les réglages de VoiceOver sont disponibles. Zoom Le réglage du zoom est disponible. Inverser les couleurs Le réglage des couleurs est disponible. AssistiveTouch Le réglage d’AssistiveTouch est disponible. 15.19.10 Configuration du Web clip (profil d’appareil iOS) La configuration Web clip vous permet de définir les Web clips à ajouter à l’écran d’accueil des appareils des utilisateurs. Les Web clips offrent un accès rapide aux pages Web favorites. Vous pouvez également ajouter un Web clip avec, par exemple, le numéro de téléphone du support afin de fournir un moyen rapide d’appeler le service d’assistance. Paramètre/Champ Description Description Une description du Web clip. URL L’adresse Web du serveur du Web clip. Peut être supprimé Si cette case est dessélectionnée, l’utilisateur ne peut pas supprimer le Web clip. Le seul moyen de le supprimer de l’appareil sera de supprimer le profil par le biais duquel il a été installé. Plein écran Le Web clip s’ouvre en plein écran sur l’appareil. Un Web clip affiché en plein écran ouvre l’URL en tant qu’app Web. Copyright © 2018 Sophos Limited 181 Sophos Mobile (version locale) Paramètre/Champ Description Icône Sélectionnez une image à utiliser comme icône du Web Clip sur l’écran d’accueil. L’image doit être au format PNG, GIF ou JPEG et d’une taille maximale de 1 Mo. L’image est coupée à la taille d’un carré et redimensionnée pour correspondre à la résolution de l’écran. Pour des résultats optimaux, nous vous conseillons d’utiliser une taille d’image de 180 px par 180 px. Remarque Lorsqu’une favicon est définie dans le code HTML d’une page Web, l’appareil peut afficher cette favicon en tant qu’icône Web Clip. Ceci se produit uniquement sur certaine pages Web selon la manière dont la favicon a été configurée dans le code de la page Web. 15.19.11 Configuration du fond d’écran (profil d’appareil iOS) La configuration Fond d’écran vous permet de définir les images du fond d’écran de l’écran de verrouillage et/ou de l’écran d’accueil des appareils iOS. Paramètre/Champ Description Applicable à Sélectionnez si l’image sera utilisée pour l’écran de verrouillage, pour l’écran d’accueil ou pour les deux. Image Sélectionner une image PNG ou JPEG d’une taille maximale de 5 Mo pour le fond d’écran. iOS rogne et redimensionne l’image si nécessaire. Pour des résultats optimaux, veuillez utiliser les tailles d’image suivantes (en pixels) : • 640 × 1136 (iPhone 5) • 750 × 1334 (iPhone 6/7) • 1242 × 2208 (iPhone 6/7 Plus) • 1536 × 2048 (iPad, iPad mini, iPad Air) • 2048 × 2732 (iPad Pro) Remarque L’utilisateur peut changer le fond d’écran. 182 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 15.19.12 Configuration du nom du point d’accès (profil d’appareil iOS) La configuration Nom du point d’accès vous permet d’indiquer le nom du point d’accès (APN) pour les appareils iOS. Les configurations APN définissent la manière dont les appareils se connectent au réseau mobile. Remarque La configuration Nom du point d’accès est abandonnée en faveur de la configuration Cellulaire. Retrouvez plus de renseignements à la section Configuration cellulaire (profil d’appareil iOS) (page 188). Important Si ces paramètres sont incorrects, l’appareil ne pourra pas accéder aux données par le biais du réseau de téléphonie mobile. Pour annuler les changements de paramètres, le profil doit être supprimé de l’appareil. Paramètre/Champ Description APN Le Nom du point d’accès que l’appareil mentionne lorsqu’il établit une connexion GPRS avec l’opérateur. Il doit correspondre à un Nom du point d’accès accepté par l’opérateur. Dans le cas contraire, la connexion ne pourra pas être établie. Nom d’utilisateur pour le point d’accès Le nom d’utilisateur pour le point d’accès. Remarque le système iOS prend en charge les noms d’utilisateur APN composés d’un maximum de 64 caractères. Mot de passe pour le point d’accès Le mot de passe du point d’accès. Remarque le système iOS prend en charge les mots de passe APN composés d’un maximum de 64 caractères. Serveur proxy et port Copyright © 2018 Sophos Limited L’adresse et le port du serveur proxy. 183 Sophos Mobile (version locale) 15.19.13 Configuration du Filtre de contenu Web (profil d’appareil iOS) La configuration Filtre de contenu Web vous permet de définir les URL bloquées et autorisées à l’aide de favoris. Paramètre/Champ Description URL bloquées Lorsque vous sélectionnez cette option, vous pouvez définir une liste des URL interdites d’accès sur les appareils. Cliquez sur Suivant pour afficher la page Filtre de contenu Web. Cette page vous permet d’ajouter des URL individuelles. Utilisez une nouvelle ligne pour chaque URL. URL autorisées avec favoris Lorsque vous sélectionnez cette option, vous pouvez définir une liste d’URL autorisées avec des favoris qui seront ajoutés au navigateur Safari sur les appareils. Tous les autres sites sont bloqués. Cliquez sur Suivant pour afficher la page Filtre de contenu Web. Cliquez sur Ajouter pour ajouter des URL individuelles en tant que signets. Bloquer le contenu pour adulte 184 Sur la page Filtre de contenu Web, utilisez cette option pour activer le filtre Apple et bloquer le contenu pour adultes. Par exemple, les pages Web contenant du langage vulgaire ou des propos sexuels. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 15.19.14 Configuration du Proxy HTTP global (profil d’appareil iOS) La configuration du Proxy HTTP global vous permet de définir un serveur proxy professionnel. Paramètre/Champ Description Proxy HTTP global Sélectionnez les paramètres proxy pour la connexion : • Manuel Si vous sélectionnez l’une de ces options, les champs Serveur et port, Authentification et Mot de passe apparaissent. Dans le champ Serveur et port, saisissez l’adresse et le port du serveur proxy. Dans le champ Authentification, saisissez le nom d’utilisateur pour la connexion au serveur proxy. Dans le champ Mot de passe, saisissez le mot de passe pour la connexion au serveur proxy. • Automatique Si vous sélectionnez cette option, le champ URL du serveur proxy apparaît. Saisissez l’URL du serveur avec le paramètre du proxy dans ce champ. 15.19.15 Configuration du certificat racine (profil d’appareil iOS) La configuration Certificat racine vous permet d’installer un certificat racine sur les appareils. Dans le champ Fichier, naviguez jusqu’au certificat adéquat et cliquez sur Télécharger un fichier. Le nom du certificat apparaît dans le champ Nom du certificat. Saisissez un mot de passe pour le certificat sélectionné. Remarque Le certificat que vous chargez ici est uniquement disponible pour ce profil. Si vous avez besoin de certificats pour d’autres profils ou stratégies, vous allez devoir les charger de nouveau. Copyright © 2018 Sophos Limited 185 Sophos Mobile (version locale) 15.19.16 Configuration du certificat du client (profil d’appareil iOS) La configuration Certificat du client vous permet d’installer un certificat du client sur les appareils. Dans le champ Fichier, naviguez jusqu’au certificat adéquat et cliquez sur Télécharger un fichier. Le nom du certificat apparaît dans le champ Nom du certificat. Saisissez un mot de passe pour le certificat sélectionné. Remarque Le certificat que vous chargez ici est uniquement disponible pour ce profil. Si vous avez besoin de certificats pour d’autres profils ou stratégies, vous allez devoir les charger de nouveau. 15.19.17 Configuration SCEP (profil d’appareil iOS) La configuration SCEP permet d’autoriser les appareils à demander des certificats à une Autorité de certification à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol). Paramètre/Champ Description URL L’adresse Web du serveur de l’Autorité de certification. Utilisez la variable %_SCEPPROXYURL_% pour indiquer l’URL du serveur configurée sur l’onglet SCEP de la page Configuration du système. Nom du serveur CA Un nom intelligible pour l’Autorité de certification. Par exemple, le nom peut servir à faire la distinction entre deux instances. Objet Le nom de l’entité (par exemple ; une personne ou un appareil) qui recevra le certificat. Vous pouvez utiliser des espaces réservés pour les données de l’utilisateur ou les propriétés de l’appareil. La valeur que vous saisissez (remplacement des espaces réservés par des données) doit être un nom X.500 valable. Par exemple : • Saisissez CN=%_USERNAME_% pour indiquer un utilisateur. • Saisissez CN=%_DEVPROP(numéro_série)_% pour indiquer un appareil. Retrouvez plus de renseignements sur les espaces réservés disponibles à la section Espaces réservés dans les profils et stratégies (page 91). 186 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Type de l’autre nom de l’objet Pour ajouter un Autre nom de l’objet (SAN) à la configuration SCEP, sélectionnez le type de l’Autre nom de l’objet et saisissez la valeur de l’Autre nom de l’objet. Les types SAN sont : Valeur de l’autre nom de l’objet • Nom RFC 822 : une adresse électronique valide. • Nom DNS : le nom DNS du serveur de l’autorité de certification. • Uniform Resource Identifier : l’URL complète du serveur de l’autorité de certification. Nom de connexion d’utilisateur AD La valeur Nom de connexion d’utilisateur définie dans Active Directory, c’est-à-dire le Nom principal de l’utilisateur (UPN). Challenge L’adresse Web permettant de récupérer un mot de passe de challenge à partir du serveur SCEP. Utilisez la variable %_CACHALLENGE_% pour indiquer l’URL de challenge configurée sur l’onglet SCEP de la page Configuration du système. Nouvelles tentatives Le nombre de nouvelles tentatives si le serveur envoie une réponse en attente. Délai avant la nouvelle tentative Le nombre de secondes écoulées entre les nouvelles tentatives. Taille de la clé La taille de la clé publique dans le certificat émis. Assurez-vous que la valeur indiquée correspond à la taille configurée sur le serveur SCEP. Utiliser en tant que signature numérique Si vous sélectionnez cette case, la clé publique peut être utilisée en tant que signature numérique. Utiliser pour le chiffrement Si vous sélectionnez cette case, la clé publique peut être utilisée pour le chiffrement de fichiers. 15.19.18 Certificat d’appareil Duo (profil d’appareil iOS) La configuration Certificat d’appareil Duo vous permet d’autoriser les appareils à demander un certificat au serveur SCEP Duo Security. Si ce certificat est installé sur un appareil, l’app iOS Duo Mobile considère l’appareil comme fiable. Les paramètres nécessaires sont communs à tous les comptes Duo Security. Veuillez ne pas modifier les valeurs prédéfinies. Copyright © 2018 Sophos Limited 187 Sophos Mobile (version locale) 15.19.19 Configuration des Domaines administrés (profil d’appareil iOS) La configuration des Domaines administrés vous permet de définir les domaines administrés pour les appareils iOS. Domaines de messagerie Saisissez les domaines de messagerie administrés par votre entreprise. Dans l’app de messagerie, les adresses email ne correspondant pas à l’un des domaines configurés sont marquées comme étant extérieure au domaine. Domaines Web Lorsque les domaines Web sont administrés, les fichiers téléchargés à partir de sites Web spécifiques dans Safari peuvent uniquement être ouverts par des apps administrées. Retrouvez plus de renseignements sur les apps administrées à la section Apps administrées pour iOS (page 286). Remarque Si une entrée de domaine Web administré contient un numéro de port, seules les adresses indiquant ce numéro de port seront considérées comme administrées. Autrement, seuls les ports standard seront considérés administrés (port 80 pour http et 443 pour https). 15.19.20 Configuration cellulaire (profil d’appareil iOS) La configuration Cellulaire vous permet de définir les paramètres du réseau cellulaire pour les appareils iOS. Remarque Une configuration Cellulaire ne peut pas être installée sur un appareil si la configuration Nom du point d’accès est déjà installée. Paramètre/Champ Description Authentification PAP CHAP APN Le Nom du point d’accès que l’appareil mentionne lorsqu’il établit une connexion GPRS avec l’opérateur. Il doit correspondre à un Nom du point d’accès accepté par l’opérateur. Dans le cas contraire, la connexion ne pourra pas être établie. 188 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Nom d’utilisateur pour le point d’accès Le nom d’utilisateur pour le point d’accès. Remarque le système iOS prend en charge les noms d’utilisateur APN composés d’un maximum de 64 caractères. Mot de passe pour le point d’accès Le mot de passe du point d’accès. Remarque le système iOS prend en charge les mots de passe APN composés d’un maximum de 64 caractères. Serveur proxy et port L’adresse et le port du serveur proxy. 15.19.21 Configuration de CalDAV (profil d’appareil iOS) La configuration de CalDAV vous permet de configurer la synchronisation des données de l’agenda avec un serveur CalDAV. Par exemple, il peut servir à synchroniser l’Agenda Google avec un appareil iOS. Paramètre/Champ Description Nom du compte Le nom d’affichage du compte CalDAV sur l’appareil. Hôte et port du compte Le nom d’hôte ou l’adresse IP et, en option, le numéro du port du serveur CalDAV. Par exemple, pour l’Agenda Google, saisissez : calendar.google.com:443 URL principale Si requis par le serveur CalDAV, saisissez l’URL principale des ressources de l’agenda. Par exemple, pour synchroniser un autre agenda que l’agenda principal d’un compte Google, saisissez : https://apidata.googleusercontent.com/ caldav/ v2/calendar_id/user où calendar_id correspond à l’identifiant de l’agenda avec lequel vous voulez vous synchroniser. Dans l’application Web de Google Agenda, l’identifiant de l’agenda est affiché dans les paramètres de l’agenda. Retrouvez plus de renseignements dans l’Aide de Google Agenda. Copyright © 2018 Sophos Limited 189 Sophos Mobile (version locale) Paramètre/Champ Description Nom d’utilisateur, Mot de passe Les codes d’accès au compte CalDAV. Par exemple, pour Google Agenda, saisissez les codes d’accès du compte Google. SSL/TLS La connexion au serveur CalDAV est sécurisée par SSL ou TLS (selon la compatibilité du serveur). Nous vous conseillons de sélectionner cette option. 15.19.22 Configuration de CardDAV (profil d’appareil iOS) La configuration de CardDAV vous permet de configurer la synchronisation des données de contacts avec un serveur CardDAV. Par exemple, il peut servir à synchroniser Google Contacts avec un appareil iOS. Paramètre/Champ Description Nom du compte Le nom d’affichage du compte CardDAV sur l’appareil. Hôte et port du compte Le nom d’hôte ou l’adresse IP et, en option, le numéro du port du serveur CardDAV. Par exemple, pour Google Contacts, saisissez : google.com URL principale Si requis par le serveur CardDAV, saisissez l’URL principale des ressources de contacts. Par exemple, l’API CardDAV de Google prend en charge l’URL principale suivante : https://www.googleapis.com/carddav/ v1/ principals/[email protected] où account_name correspond au nom du compte Google. Nom d’utilisateur, Mot de passe Les codes d’accès au compte CardDAV. Par exemple, pour Google Contacts, saisissez les codes d’accès du compte Google. SSL/TLS La connexion au serveur CardDAV est sécurisée par SSL ou TLS (selon la compatibilité du serveur). Nous vous conseillons de sélectionner cette option. 190 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 15.19.23 Configuration IMAP/POP (profil d’appareil iOS) La configuration IMAP/POP vous permet d’ajouter un compte de messagerie IMAP ou POP à l’appareil iOS. Paramètre/Champ Description Nom du compte Le nom d’affichage du compte de messagerie sur l’appareil. Type de compte Le type de serveur de messagerie pour la messagerie entrante (soit IMAP soit POP). Nom d’utilisateur affiché Le nom d’affichage de l’utilisateur pour la messagerie sortante. Utilisez la variable %_USERNAME_% pour indiquer le nom de l’utilisateur assigné à l’appareil. Adresse électronique L’adresse électronique du compte. Utilisez la variable %_EMAILADDRESS_% pour indiquer l’adresse électronique de l’utilisateur assigné à l’appareil. Autoriser les déplacements L’utilisateur peut transférer ses emails de ce compte vers un autre compte. Ceci permet également d’empêcher l’utilisation d’un autre compte pour répondre ou transférer un message à partir de ce compte. Autoriser la synchronisation d’adresses récentes Le compte est inclus à la synchronisation pour la liste des adresses les plus récentes. Utiliser uniquement dans les messages Le compte peut uniquement être utilisé pour envoyer des messages à partir de l’app de messagerie. Il ne peut pas être sélectionné comme compte pour envoyer des messages créés par d’autres apps comme par exemple Photos ou Safari. Autoriser Mail Drop Autoriser Apple Mail Drop pour ce compte. Activer S/MIME Compatible avec la norme de chiffrement S/MIME. Certificat de signature Les certificats utilisés pour la signature et le chiffrement des emails. Certificat de chiffrement Autoriser l’utilisateur à envoyer des emails chiffrés Pour sélectionner un certificat, vous devez d’abord le télécharger à partir de l’option de configuration Certificat du client du profil. L’utilisateur peut choisir de chiffrer ou non les emails qu’il envoie. Messagerie entrante Copyright © 2018 Sophos Limited 191 Sophos Mobile (version locale) Paramètre/Champ Description Serveur et port de messagerie Le nom d’hôte ou l’adresse IP et le numéro du port du serveur de messagerie entrante (serveur entrant). Nom d’utilisateur Le nom d’utilisateur pour la connexion au serveur entrant. Type d’authentification La méthode d’authentification pour la connexion au serveur entrant. Mot de passe Le mot de passe pour la connexion au serveur entrant (si nécessaire). SSL/TLS La connexion au serveur entrant est sécurisée par SSL ou TLS (selon la compatibilité du serveur). Messagerie sortante Serveur et port de messagerie Le nom d’hôte ou l’adresse IP et le numéro du port du serveur de messagerie sortante (serveur entrant). Nom d’utilisateur Le nom d’utilisateur pour la connexion au serveur sortant. Type d’authentification La méthode d’authentification pour la connexion au serveur sortant. Mot de passe Le mot de passe pour la connexion au serveur sortant (si nécessaire). Utiliser le même mot de passe que la Utiliser le mot de passe indiqué pour la messagerie messagerie entrante entrante. SSL/TLS La connexion au serveur sortant est sécurisée par SSL ou TLS (selon la compatibilité du serveur). 15.19.24 Configuration des Règles d’utilisation du réseau (profil d’appareil iOS) La configuration des Règles d’utilisation du réseau vous permet d’indiquer la manière dont les apps administrées vont être autorisées à utiliser les réseaux de données cellulaires. Règles générales Sous Règles pour toutes les apps administrées, indiquez les paramètres pour les apps administrées. 192 Paramètre/Champ Description Autoriser les données cellulaires Les apps administrées sont autorisés à utiliser la communication de données sur les réseaux cellulaires. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Autoriser les données à l’étranger Les apps administrées sont autorisées à utiliser la communication de données pendant que l’appareil est en mode itinérance sur un réseau cellulaire à l’étranger. Exceptions Les exceptions remplacent les règles générales. Utilisez Ajouter une exception pour définir les règles spécifiques à un groupe d’apps. Paramètre/Champ Description Groupe d’apps Sélectionnez un groupe d’apps contenant les apps administrées auxquelles s’applique l’exception. Autoriser les données cellulaires Les apps administrées du groupe d’apps sélectionné sont autorisées à utiliser la communication de données sur les réseaux cellulaires. Autoriser les données à l’étranger Les apps administrées du groupe d’apps sélectionné sont autorisées à utiliser la communication de données pendant que l’appareil est en mode itinérance sur un réseau cellulaire à l’étranger. Remarque Vous ne pouvez pas définir plusieurs exceptions pour le même groupe d’apps. 15.20 Configuration des stratégies de conteneur Sophos pour iOS Une stratégie de conteneur Sophos vous permet de configurer les paramètres associés aux apps du conteneur Sophos : Sophos Secure Email et Sophos Secure Workspace. Retrouvez plus de renseignements sur la création d’une stratégie de conteneur à la section Création du profil ou de la stratégie (page 86). Copyright © 2018 Sophos Limited 193 Sophos Mobile (version locale) 15.20.1 Configuration Généralités (stratégie de conteneur Sophos pour iOS) La configuration Généralités vous permet de définir les paramètres qui s’appliquent à toutes les apps du conteneur Sophos si applicable. Paramètre/Champ Description Activer le mot de passe du conteneur Sophos Les utilisateurs doivent saisir un mot de passe supplémentaire pour pouvoir démarrer une app du conteneur Sophos. Le mot de passe doit être défini lorsque la première app du conteneur est démarrée suite à l’application de la configuration. Ce mot de passe s’applique à toutes les apps du conteneur. Complexité du mot de passe La complexité minimale requise pour le mot de passe du conteneur Sophos. Les mots de passe très sécurisés sont toujours autorisés. Les mots de passe (une combinaison de caractères numériques et alphanumériques) sont toujours considérés comme étant plus sûrs que les codes PIN (caractères numériques uniquement. • • • • • • • 194 Toutes : les mots de passe du conteneur Sophos n’ont pas de restrictions. Code PIN à 4 chiffres Code PIN à 6 chiffres Mot de passe à 4 caractères Mot de passe à 6 caractères Mot de passe à 8 caractères Mot de passe à 10 caractères Toujours masquer les caractères dans les champs de saisie du mot de passe Les caractères utilisés dans les champs de saisie du mot de passe ne sont pas affichés temporairement lors de la saisie. Durée de validité du mot de passe en jours Le nombre de jours pendant lesquels un mot de passe peut être utilisé avant que les utilisateurs ne soient invités à le changer. Tentatives ratées de connexion avant verrouillage Le nombre de tentatives ratées de connexion autorisées avant verrouillage des apps du conteneur. Une fois qu’elles sont verrouillées, un administrateur devra les déverrouiller ou, s’ils sont autorisés, les utilisateurs pourront utiliser le Portail libre-service pour effectuer cette opération. Autoriser l’empreinte digitale L’utilisateur peut utiliser son empreinte digitale pour déverrouiller l’app. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Délai de grâce en minutes La période de temps pendant laquelle aucun mot de passe du conteneur Sophos ne doit être saisi lorsque l’app du conteneur est de nouveau amenée au premier plan. Ce délai de grâce s’applique à toutes les apps du conteneur. Vous pouvez passer d’une app à une autre pendant le délai de grâce sans avoir à saisir de mot de passe. Verrouiller au verrouillage de l’appareil Lorsque l’appareil est verrouillé, le conteneur Sophos est également verrouillé. Si la case est dessélectionnée, le conteneur est verrouillé uniquement après expiration du délai de grâce. Dernière connexion au serveur La période de temps pendant laquelle les utilisateurs peuvent utiliser une app du conteneur Sophos sans avoir à se connecter au serveur Sophos Mobile. Lorsque une app du conteneur Sophos est activée et n’est pas en contact avec le serveur pendant la période de temps définie, un écran de verrouillage apparaît. Les utilisateurs peuvent uniquement déverrouiller l’app en appuyant sur Réessayer sur l’écran de verrouillage. L’app essaiera de se connecter au serveur. Si la connexion peut être établie, l’app est déverrouillée. En cas contraire, l’accès est refusé. Copyright © 2018 Sophos Limited • Sur accès : la connexion au serveur est toujours requise et l’app est verrouillée lorsque le serveur n’est pas joignable. • 1 heure : la connexion au serveur est requise lorsque l’app est active pendant au moins une heure après la dernière connexion réussie au serveur. • 3 heures • 6 heures • 12 heures • 1 jour • 3 jours • 1 semaine • Aucune : aucun contact régulier n’est requis. 195 Sophos Mobile (version locale) Paramètre/Champ Description Accès hors ligne sans connexion au serveur Ce champ vous permet de définir la fréquence à laquelle les utilisateurs peuvent démarrer l’une des apps du conteneur Sophos sans nécessiter de connexion au serveur. Remarque Ce paramètre nécessite l’activation de la fonction de mot de passe du conteneur Sophos. Un compteur est mis à jour à chaque fois qu’un utilisateur saisit le mot de passe du conteneur Sophos. Si le compteur dépasse le nombre fixé, le même écran de verrouillage que celui utilisé pour le paramètre Dernière connexion au serveur apparaît. Le compteur est réinitialisé si une connexion au serveur Sophos Mobile est établie. Débridage (jailbreak) autorisé • Illimité : aucune connexion au serveur n’est requise. • 0 : une connexion au serveur est requise pour démarrer l’app. • 1 : après un démarrage de l’app, la connexion au serveur est nécessaire. • 3 • 5 • 10 • 20 L’exécution des apps de conteneur est autorisée sur les appareils débridés. Contraintes d’utilisation des apps Vous permet de définir les contraintes d’utilisation des apps du conteneur Sophos. Cliquez sur Ajouter pour saisir les contraintes. 196 Géorepérage Vous permet d’ajouter la latitude et la longitude ainsi qu’un rayon d’utilisation des apps du conteneur Sophos. Limite de temps Vous permet d’indiquer une période de temps à laquelle les apps du conteneur Sophos peuvent être utilisées en précisant une heure de début et une heure de fin. Il est également possible d’indiquer les jours de la semaine auxquels les apps peuvent être utilisées. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Périmètre de connexion Wi-Fi Si vous sélectionnez Connexion Wi-Fi obligatoire, le conteneur Sophos est verrouillé lorsqu’aucune connexion Wi-Fi n’est activée. Si vous ajoutez des réseaux Wi-Fi à la liste, le conteneur Sophos est verrouillé lorsque l’appareil est connecté au réseau Wi-Fi non répertorié. Important nous vous déconseillons d’utiliser uniquement le périmètre de connexion Wi-Fi pour assurer votre sécurité. En effet, les identités Wi-Fi peuvent très facilement être usurpées. 15.20.2 Configuration de la Messagerie professionnelle (stratégie de conteneur Sophos pour iOS) La configuration de la Messagerie professionnelle vous permet de définir les paramètres de l’utilisateur pour votre serveur Microsoft Exchange. Ces paramètres sont appliqués à l’app Sophos Secure Email si elle est installée dans le conteneur Sophos. Paramètre/Champ Description Serveur Exchange L’adresse du serveur Exchange. Remarque Si vous utilisez le proxy SMC EAS, veuillez saisir l’URL du serveur proxy SMC. Utilisateur L’utilisateur de ce compte. Si vous saisissez la variable %_USERNAME_%, le serveur la remplace par le nom de l’utilisateur en cours. Adresse électronique L’adresse électronique du compte. Si vous saisissez la variable %_EMAILADDRESS_ %, le serveur la remplace par l’adresse électronique en cours. Domaine Le domaine de ce compte. Email du support L’adresse électronique qui sera utilisée pour contacter le support. Copyright © 2018 Sophos Limited 197 Sophos Mobile (version locale) Paramètre/Champ Description Utiliser les champs de texte sécurisés Le contenu des champs d’entrée est sécurisé. Le remplissage et la correction automatiques sont désactivés dans l’app Sophos Secure Email pour empêcher la mémorisation de tous mots à caractère confidentiel sur l’appareil. Exporter les contacts sur l’appareil Les utilisateurs sont autorisés à exporter les numéros de téléphone de leurs contacts Exchange dans les contacts locaux de l’appareil afin de pouvoir identifier les appels de leurs contacts professionnels. Sophos Secure Email synchronise en permanence les coordonnées. Remarque Les coordonnées des contacts locaux sont automatiquement supprimées dans les cas de figure suivants : Identification d’appel • La configuration de la Messagerie professionnelle est supprimée de la stratégie de conteneur Sophos (nécessite le redémarrage de l’app Sophos Secure Email). • Le conteneur Sophos est supprimé de l’appareil. • L’appareil est désinscrit de Sophos Mobile. Les coordonnées des contacts dans Sophos Secure Email peuvent être utilisées pour identifier les appels reçus sans avoir à exporter les contacts Sophos Secure Email dans les contacts de l’appareil. Pour utiliser cette fonction, les utilisateurs doivent activer les paramètres suivants sur leur appareil : 198 • Dans l’app Paramètres : Téléphone > Blocage et identification d’appels > Email • Dans l’app Sophos Secure Email : Paramètres > Contacts > Identification d’appels Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Notifications Le type de notification pour le nouvel email : • • • Système : les notifications sont administrées par iOS. Elles n’incluent pas d’informations sur l’expéditeur ou sur l’objet. App : les notifications sont administrées par l’app Sophos Secure Email. Vous pouvez sélectionner la quantité d’informations à afficher. Lorsque l’app ne fonctionne pas, aucune notification n’est affichée. Aucune : aucune notification n’est affichée. Ce paramètre affecte également les rappels d’événements : • • Système, Aucune : les rappels d’événements incluent uniquement la date. App : les rappels d’événements incluent la date, l’emplacement et le titre. Refuser la copie dans le presse-papiers Les utilisateurs ne peuvent pas copier ou couper le texte à partir de l’app Sophos Secure Email. Ouvrir les pièces jointes Sélectionnez si les pièces jointes pourront être ouvertes dans toutes les apps ou uniquement dans les apps de conteneur Sophos Secure Workspace et Sophos Secure Email. Taille maximale autorisée pour l’email Les messages de taille supérieure à celle que vous sélectionnez (notamment les pièces jointes) ne sont pas récupérés à partir du serveur Exchange. Paramètres avancés Cliquez sur Paramètres avancés pour configurer les paramètres qu’une future version de l’app Sophos Secure Email pourrait utiliser. Important Veuillez uniquement configurer ces paramètres si l’équipe du support Sophos vous le demande. Copyright © 2018 Sophos Limited 199 Sophos Mobile (version locale) 15.20.3 Configuration des Documents professionnels (stratégie de conteneur Sophos pour iOS) La configuration des Documents professionnels vous permet de définir les paramètres de la fonction Documents professionnels de l’app Sophos Secure Workspace. Configurer les fournisseurs de stockage Chaque fournisseur de stockage vous permet de définir séparément les paramètres suivants : Paramètre/Champ Description Activer Le fournisseur de stockage est disponible dans l’app. Hors ligne Les utilisateurs sont autorisés à ajouter des fichiers provenant du fournisseur de stockage à la liste des Favoris de l’app pour une utilisation hors ligne. Ouvrir avec (chiffré) Les utilisateurs peuvent partager les fichiers chiffrés avec d’autres apps via la fonction Ouvrir avec. Ouvrir avec (déchiffré) Les utilisateurs peuvent partager les fichiers déchiffrés avec d’autres apps via la fonction Ouvrir avec. Presse-papiers Les utilisateurs peuvent copier des parties d’un document et les copier dans d’autres apps. Paramètres du fournisseur d’entreprise Pour le fournisseur Egnyte ou WebDAV, également appelé le fournisseur d’entreprise, vous pouvez définir les paramètres du serveur et les codes d’accès de connexion de manière centralisée. Ceux-ci ne peuvent pas être changés par les utilisateurs. Les paramètres de codes d’accès que vous ne définissez pas de manière centralisée peuvent être choisis par les utilisateurs sur les écrans de codes d’accès du fournisseur dans l’app. Par exemple, vous pouvez définir le serveur et le compte d’utilisateur à utiliser de manière centralisée. Il n’est pas nécessaire de remplir le champ du mot de passe. Les utilisateurs devront connaître le mot de passe lorsqu’ils se connecteront au fournisseur de stockage. 200 Paramètre/Champ Description Nom Le nom du fournisseur qui s’affiche dans l’app Sophos Secure Workspace. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Serveur Dans ce champ, saisissez : • • • L’URL du dossier racine sur le serveur WebDAV Documents professionnels. L’URL du dossier racine sur le serveur Egnyte. L’URL du dossier racine sur le serveur WebDAV. Veuillez utiliser le format suivant : https:// serveur.entreprise.fr Nom d’utilisateur Ce champ vous permet de saisir le nom d’utilisateur du serveur. Mot de passe Ce champ vous permet de saisir le mot de passe du compte. Dossier de téléchargement Ce champ vous permet de saisir le dossier de téléchargement du compte. Autres paramètres Paramètre/Champ Description Activer les documents Cette option active la fonction Documents permettant de distribuer en toute sécurité les documents d’entreprise. Complexité de la phrase secrète La complexité minimale requise pour les phrases secrètes des clés de chiffrement. Les phrases secrètes très sécurisées sont toujours autorisées. Vous pouvez sélectionner les paramètres suivants : • • • • Mot de passe à 4 caractères Mot de passe à 6 caractères Mot de passe à 8 caractères Mot de passe à 10 caractères 15.20.4 Configuration du Navigateur professionnel (stratégie de conteneur Sophos pour iOS) La configuration du Navigateur professionnel vous permet de définir les paramètres de la fonction Navigateur professionnel de l’app Sophos Secure Workspace. Le Navigateur professionnel vous permet d’accéder en toute sécurité aux pages intranet de l’entreprise et à toutes les autres pages autorisées. Vous pouvez définir les domaines et les favoris d’un domaine. Copyright © 2018 Sophos Limited 201 Sophos Mobile (version locale) Chaque favori appartient à un domaine bien précis. Lorsque vous ajoutez un favori, l’entrée de domaine est créée automatiquement si elle n’existe pas. Paramètres du domaine Paramètre/Champ Description URL Le domaine que vous souhaitez autoriser. Autoriser la fonction copier/coller Les utilisateurs peuvent copier/coller du texte à partir du Navigateur professionnel vers d’autres apps. Autoriser Ouvrir avec Les utilisateurs peuvent télécharger des pièces jointes ou les transférer vers d’autres apps. Autoriser l’enregistrement du mot de passe Les utilisateurs peuvent enregistrer leurs mots de passe dans le Navigateur professionnel. Paramètres de favoris Paramètre/Champ Description Nom Le nom du favori. URL L’adresse Web du favori. 15.20.5 Configuration du certificat du client (stratégie de conteneur Sophos pour iOS) La configuration Certificat du client vous permet d’installer un certificat du client sur les appareils. Ce certificat sera mis à disposition des apps Sophos Secure Email et Sophos Secure Workspace si elles sont installées dans le conteneur Sophos. Dans le champ Fichier, naviguez jusqu’au certificat adéquat et cliquez sur Télécharger un fichier. Le nom du certificat apparaît dans le champ Nom du certificat. Saisissez un mot de passe pour le certificat sélectionné. Remarque Le certificat que vous chargez ici est uniquement disponible pour cette stratégie. Si vous avez besoin de certificats pour d’autres profils ou stratégies, vous allez devoir les charger de nouveau. 202 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 15.20.6 Configuration du Certificat racine (stratégie de conteneur Sophos pour iOS) La configuration Certificat racine vous permet d’installer un certificat racine sur les appareils. Ce certificat sera mis à disposition des apps Sophos Secure Email et Sophos Secure Workspace si elles sont installées dans le conteneur Sophos. Dans le champ Fichier, naviguez jusqu’au certificat adéquat et cliquez sur Télécharger un fichier. Le nom du certificat apparaît dans le champ Nom du certificat. Saisissez un mot de passe pour le certificat sélectionné. Remarque Le certificat que vous chargez ici est uniquement disponible pour cette stratégie. Si vous avez besoin de certificats pour d’autres profils ou stratégies, vous allez devoir les charger de nouveau. 15.20.7 Configuration SCEP (stratégie de conteneur Sophos pour iOS) La configuration SCEP permet d’autoriser les appareils à demander des certificats à une Autorité de certification à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol). Ces certificats sont disponibles dans l’app Sophos Secure Workspace si cette dernière est installée dans le conteneur Sophos. Remarque Veuillez commencer par ajouter une configuration du Certificat racine pour charger le certificat de l’Autorité de certification du serveur SCEP avant d’ajouter une configuration du protocole SCEP. Paramètre/Champ Description URL L’adresse Web du serveur de l’Autorité de certification. Utilisez la variable %_SCEPPROXYURL_% pour indiquer l’URL du serveur configurée sur l’onglet SCEP de la page Configuration du système. Nom d’alias Le nom sous lequel le certificat va apparaître dans les boîtes de dialogue de sélection. Il doit s’agir d’un nom facile à mémoriser pour identifier le certificat. Par exemple, utilisez la même valeur que dans le champ Objet mais sans le préfixe CN=. Copyright © 2018 Sophos Limited 203 Sophos Mobile (version locale) Paramètre/Champ Description Objet Le nom de l’entité (par exemple ; une personne ou un appareil) qui recevra le certificat. Vous pouvez utiliser des espaces réservés pour les données de l’utilisateur ou les propriétés de l’appareil. La valeur que vous saisissez (remplacement des espaces réservés par des données) doit être un nom X.500 valable. Par exemple : • Saisissez CN=%_USERNAME_% pour indiquer un utilisateur. • Saisissez CN=%_DEVPROP(numéro_série)_% pour indiquer un appareil. Retrouvez plus de renseignements sur les espaces réservés disponibles à la section Espaces réservés dans les profils et stratégies (page 91). Type de l’autre nom de l’objet Valeur de l’autre nom de l’objet Pour ajouter un Autre nom de l’objet (SAN) à la configuration SCEP, sélectionnez le type de l’Autre nom de l’objet et saisissez la valeur de l’Autre nom de l’objet. Les types SAN sont : • Nom RFC 822 : une adresse électronique valide. • Nom DNS : le nom DNS du serveur de l’autorité de certification. • Uniform Resource Identifier : l’URL complète du serveur de l’autorité de certification. Nom de connexion d’utilisateur AD La valeur Nom de connexion d’utilisateur définie dans Active Directory, c’est-à-dire le Nom principal de l’utilisateur (UPN). Challenge L’adresse Web permettant de récupérer un mot de passe de challenge à partir du serveur SCEP. Utilisez la variable %_CACHALLENGE_% pour indiquer l’URL de challenge configurée sur l’onglet SCEP de la page Configuration du système. Certificat racine Le certificat de l’Autorité de certification. Sélectionnez le certificat dans la liste. La liste contient tous les certificats que vous avez chargés dans la configuration du Certificat racine du profil actuel. Taille de la clé La taille de la clé publique dans le certificat émis. Assurez-vous que la valeur indiquée correspond à la taille configurée sur le serveur SCEP. 204 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Utiliser en tant que signature numérique Si vous sélectionnez cette case, la clé publique peut être utilisée en tant que signature numérique. Utiliser pour le chiffrement Si vous sélectionnez cette case, la clé publique peut être utilisée pour le chiffrement de fichiers. 15.21 Configuration des stratégies d’appareil macOS Une stratégie d’appareil macOS vous permet de configurer différentes options des Macs (stratégies de mot de passe, restrictions ou paramètres Wi-Fi). Les paramètres de la stratégie d’appareil s’appliquent à tous les utilisateurs qui se connectent au Mac auquel vous assignez la stratégie qu’il soit administré ou non par Sophos Mobile. Concepts connexes À propos des stratégies macOS (page 89) Configuration des stratégies d’utilisateur macOS (page 222) Tâches connexes Création du profil ou de la stratégie (page 86) 15.21.1 Configuration des stratégies de mot de passe (stratégie d’appareil macOS) La configuration Stratégies de mot de passe vous permet de définir les exigences à respecter pour les mots de passe des comptes d’utilisateur Mac. Remarque Lorsque la configuration Stratégies de mot de passe est assignée à un appareil, un délai de grâce de 60 minutes commence. Au cours de cette période, l’utilisateur est invité à changer son mot de passe lorsqu’il revient sur l’écran d’accueil conformément aux stratégie de sécurité en vigueur. Une fois le délai de grâce expiré, l’utilisateur ne peut plus démarrer les apps sur l’appareil, même les apps internes. Paramètre/Champ Description Accepter les valeurs simples Les utilisateurs sont autorisés à utiliser des caractères séquentiels ou répétés dans leur mot de passe (par exemple 1111 ou abcde). Exiger des valeurs alphanumériques Les mots de passe doivent contenir au moins une lettre ou un chiffre. Copyright © 2018 Sophos Limited 205 Sophos Mobile (version locale) Paramètre/Champ Description Longueur minimum du mot de passe Indique le nombre minimum de caractères qu’un mot de passe doit contenir. Nombre minimum de caractères complexes Indique le nombre minimum de caractères non alphanumériques (par exemple & ou !) qu’un mot de passe doit contenir. Durée de validité maximale du mot de passe en Demande aux utilisateurs de changer leur mot jours de passe dans l’intervalle indiqué. Plage de valeur : 0 (aucun changement de mot de passe requis) à 730 jours. 206 Verrouillage automatique maximal (en minutes) Ce champ vous permet d’indiquer la valeur maximale que l’utilisateur peut configurer sur l’appareil. Le verrouillage automatique indique au bout de combien de temps (en minutes) l’appareil doit être verrouillé lorsqu’il n’est pas utilisé. Historique du mot de passe Ce champ vous permet d’indiquer combien d’anciens mots de passe sont mémorisés et comparés avec les nouveaux. Lorsque l’utilisateur définit un nouveau mot de passe, celui-ci n’est pas accepté s’il correspond à un ancien mot de passe déjà utilisé. Plage de valeur : 1 à 50 ou 0 (aucun historique de mot de passe). Délai de grâce maximal avant verrouillage de l’appareil Ce champ vous permet d’indiquer la valeur maximale que l’utilisateur peut configurer sur l’appareil. Le délai de grâce avant le verrouillage de l’appareil vous permet d’indiquer pendant combien de temps l’appareil peut être déverrouillé suite à un verrouillage sans demande de mot de passe. Si vous sélectionnez Aucun, l’utilisateur peut sélectionner l’un des intervalles disponibles. Si vous sélectionnez Immédiatement, les utilisateurs doivent saisir un mot de passe à chaque fois qu’ils déverrouillent leur appareil. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Nombre de tentatives ratées avant réinitialisation de l’appareil Ce champ vous permet d’indiquer le nombre maximal de tentatives ratées de saisie du mot de passe qu’il est possible d’effectuer avant que l’appareil soit réinitialisé. Après six tentatives ratées, l’utilisateur doit attendre pendant un moment avant de pouvoir saisir de nouveau un mot de passe. Le délai d’attente augmente à chaque tentative ratée. Suite à l’échec de la dernière tentative, toutes les données et les paramètres sont supprimés de l’appareil. Le délai d’attente commence à la sixième tentative. Par conséquent, si vous définissez cette valeur sur 6 ou sur une valeur inférieure, il n’y a aucun délai d’attente et l’appareil est réinitialisé lorsque la limite des tentatives autorisées est dépassée. 15.21.2 Configuration des restrictions (stratégie d’appareil macOS) La configuration Restrictions vous permet de définir les restrictions pour les Macs. Remarque Certaines options sont uniquement disponibles sur certaines versions de macOS. Ceci est indiqué par des étiquettes bleues affichées à côté de l’option dans Sophos Mobile Admin. Appareil Paramètre/Champ Description Autoriser l’utilisation de l’appareil photo Si cette case est dessélectionnée, l’appareil photo n’est plus disponible et l’icône de l’Appareil photo disparaît de l’écran d’Accueil. L’utilisateur ne peut pas prendre de photos, enregistrer de vidéos ou utiliser FaceTime. Autoriser la recherche sur Internet pour Si cette case est dessélectionnée, Spotlight ne fournit Spotlight plus de résultats de recherche sur Internet. Autoriser Apple Music Copyright © 2018 Sophos Limited L’utilisateur peut accéder à la bibliothèque Apple Music. 207 Sophos Mobile (version locale) iCloud Paramètre/Champ Description Autoriser la sauvegarde Les utilisateurs peuvent sauvegarder leurs appareils dans iCloud. Autoriser la bibliothèque de photos iCloud Les utilisateurs peuvent utiliser la Bibliothèque de photos iCloud. Autoriser la synchronisation du trousseau iCloud Les utilisateurs peuvent se servir du Trousseau iCloud pour synchroniser les mots de passe sur leurs iPhones, iPads et Macs. Si la case n’est pas sélectionnée, les données du Trousseau iCloud sont uniquement stockées localement sur l’appareil. 208 Autoriser la synchronisation des documents Les utilisateurs peuvent conserver les documents et les données de configuration des apps dans iCloud. Autoriser Accès à mon Mac Les utilisateurs peuvent utiliser Accès à mon Mac iCloud, c’est-à-dire le partage de fichiers et d’écran entre un Mac distant et local. Autoriser Localiser mon Mac Les utilisateurs peuvent utiliser Localiser mon Mac iCloud pour rechercher, verrouiller ou réinitialiser leur Mac à distance. Autoriser les favoris iCloud Les utilisateurs peuvent utiliser les Favoris iCloud pour synchroniser les favoris Web entre les navigateurs et les plates-formes. Autoriser la messagerie iCloud Les utilisateurs peuvent créer un compte Messagerie iCloud sur leur Mac. Autoriser le calendrier iCloud Les utilisateurs peuvent se servir du Calendrier iCloud pour partager leurs calendriers avec tous leurs appareils et avec d’autres utilisateurs d’iCloud. Autoriser les rappels iCloud Les utilisateurs peuvent se servir des Rappels iCloud pour partager leurs listes de rappels avec tous leurs appareils et avec d’autres utilisateurs d’iCloud. Autoriser le carnet d’adresses iCloud Les utilisateurs peuvent se servir du Carnet d’adresses iCloud pour partager leurs contacts avec tous leurs appareils et avec d’autres utilisateurs d’iCloud. Autoriser les notes iCloud Les utilisateurs peuvent se servir des Notes iCloud pour partager leurs notes avec tous leurs appareils et avec d’autres utilisateurs. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Autoriser iCloud Drive pour le Bureau et les documents Les utilisateurs peuvent stocker leur poste de travail Mac et leur dossier Documents dans iCloud Drive et y accéder à partir d’autres appareils. Sécurité et confidentialité Paramètre/Champ Description Autoriser le capteur Touch ID à déverrouiller l’appareil Si cette case n’est pas sélectionnée, l’appareil ne peut pas être déverrouillé par Touch ID. Autoriser la recherche de définition Les utilisateurs peuvent rechercher les définitions des mots surlignés. Autoriser le déverrouillage automatique Les utilisateurs peuvent se servir du Déverrouillage automatique pour déverrouiller automatiquement leur Mac à l’aide de leur Apple Watch. Autoriser le partage de fichiers iTunes Les utilisateurs peuvent se servir du Partage de fichiers dans iTunes pour copier les fichiers sur leur Mac et sur leur iPhone ou iPad. Autoriser AirPrint Les utilisateurs peuvent envoyer des fichiers sur des imprimantes AirPrint. Autoriser la recherche iBeacon d’imprimantes AirPrint macOS utilise iBeacon pour rechercher les appareils AirPrint. Important Si vous autorisez ceci, les appareils AirPrint malveillants peuvent lancer des attaques de phishing sur le trafic réseau. Forcer les certificats approuvés pour AirPrint sur TLS AirPrint sur TLS est rejeté si l’appareil AirPrint utilise un certificat non approuvé. 15.21.3 Configuration Wi-Fi (stratégie d’appareil macOS) La configuration Wi-Fi vous permet d’indiquer les paramètres de connexion aux réseaux Wi-Fi. Paramètre/Champ Description SSID L’identifiant du réseau Wi-Fi. Connexion automatique Connecter automatiquement au réseau cible. Copyright © 2018 Sophos Limited 209 Sophos Mobile (version locale) 210 Paramètre/Champ Description Réseau masqué Le réseau cible n’est pas ouvert ou visible. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Type de sécurité Le type de sécurité du réseau Wi-Fi : • • • • • • • Aucun WEP (personnel) WPA/WPA2 (personnel) Tous (personnel) WEP (entreprise) WPA/WPA2 (entreprise) Tous (entreprise) Si vous sélectionnez un type de sécurité Personnel, un champ Mot de passe apparaît. Saisissez le mot de passe adéquat. Si vous sélectionnez un type de sécurité Entreprise, les onglets Protocoles, Authentification et Fiabilité apparaissent. Dans l’onglet Protocoles, configurez les paramètres suivants : • Sous Types d’EAP acceptés, indiquez les méthodes EAP à utiliser pour l’authentification. Selon les types sélectionnés sur cet onglet, les valeurs du champ Identité interne dans cet onglet peuvent être sélectionnées. • Sous EAP-FAST, configurez les paramètres de codes d’accès protégé EAP-FAST. Dans l’onglet Authentification, configurez les paramètres d’authentification du client : • Dans le champ Utilisateur, saisissez le nom d’utilisateur pour la connexion au réseau Wi-Fi. • Sélectionnez Demander le mot de passe à chaque connexion si le mot de passe doit être demandé pour chaque connexion et transféré avec l’authentification. • Dans le champ Mot de passe, saisissez le mot de passe adéquat. • Dans la liste Certificat d’identité, sélectionnez le certificat pour la connexion au réseau Wi-Fi. Remarque Le certificat à utiliser doit être indiqué sous la configuration Certificat du client. • Dans le champ Identité externe, saisissez l’identifiant externe visible (pour TTLS, PEAP et EAP-FAST). Dans l’onglet Fiabilité, configurez les paramètres d’authentification du serveur : Sélectionnez les certificats approuvés dans la liste. Copyright © 2018 Sophos Limited Remarque Veuillez indiquer les certificats dans une configuration Certificat racine. 211 Sophos Mobile (version locale) Paramètre/Champ Description Proxy Dans cette liste, sélectionnez les paramètres du proxy pour la connexion Wi-Fi : • • • Aucun Manuel Automatique Si vous sélectionnez Manuel, les champs Serveur et port, Authentification et Mot de passe apparaissent. Saisissez les informations du proxy requises. Si vous sélectionnez Automatique, le champ URL du serveur proxy apparaît. Saisissez l’URL du serveur proxy. 15.21.4 Configuration VPN (stratégie d’utilisateur macOS) La configuration VPN vous permet de définir les paramètres VPN pour les connexions réseau. Paramètre/Champ Description Nom de connexion Le nom de la connexion affichée sur l’appareil. Type de connexion Le type de connexion VPN : • • • • • • Cisco AnyConnect Cisco Legacy AnyConnect IPsec (Cisco) F5 Check Point SSL/TLS personnalisé Les différents champs d’entrée sont affichés sur la page VPN en fonction du type de connexion que vous sélectionnez. Identifiant (format de résolution DNS inverse) L’identifiant personnalisé au format DNS inverse. Serveur Le nom d’hôte ou l’adresse IP du serveur. Compte Le compte de l’utilisateur pour l’authentification de la connexion. Paramètres tiers Si votre fournisseur a précisé des propriétés de connexion personnalisées, vous pouvez les saisir dans ce champ. Pour saisir une propriété, cliquez sur Ajouter et saisissez la Clé et la Valeur de la propriété dans la boîte de dialogue. Envoyer tout le trafic par VPN 212 Tout le trafic est envoyé par VPN. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Groupe Le groupe qui sera requis pour l’authentification de la connexion. Authentification de l’utilisateur Le type d’authentification de l’utilisateur pour la connexion : • Mot de passe Si vous sélectionnez cette option, le champ Mot de passe apparaît en dessous du champ Authentification de l’utilisateur. Saisissez le mot de passe pour l’authentification. • Certificat Si vous sélectionnez cette option, le champ Certificat apparaît en dessous du champ Authentification de l’utilisateur. Sélectionnez un certificat. Authentification de l’appareil Le type d’authentification de l’appareil : • Clés (secret partagé)/Nom du groupe Si vous sélectionnez cette option, les champs Nom du groupe, Clés (secret partagé), Utiliser une authentification hybride et Demander le mot de passe sont affichés en dessous du champ Authentification de l’appareil. Saisissez les informations d’authentification requises dans les champs Nom du groupe et Clés (secret partagé). Sélectionnez Utiliser une authentification hybride et Demander le mot de passe si nécessaire. • Certificat Si vous sélectionnez cette option, les champs Certificat et Inclure le code PIN de l’utilisateur sont affichés en dessous du champ Authentification de l’appareil. Sélectionnez le certificat requis dans la liste Certificat. Sélectionnez Inclure le code PIN de l’utilisateur pour inclure le code PIN de l’utilisateur à l’authentification de l’appareil. Copyright © 2018 Sophos Limited 213 Sophos Mobile (version locale) Paramètre/Champ Description Proxy Les paramètres proxy pour la connexion : • Aucun • Manuel Si vous sélectionnez l’une de ces options, les champs Serveur et port, Authentification et Mot de passe apparaissent. Dans le champ Serveur et port, saisissez l’adresse et le port du serveur proxy. Dans le champ Authentification, saisissez le nom d’utilisateur pour la connexion au serveur proxy. Dans le champ Mot de passe, saisissez le mot de passe pour la connexion au serveur proxy. • Automatique Si vous sélectionnez cette option, le champ URL du serveur proxy apparaît. Saisissez l’URL du serveur avec le paramètre du proxy dans ce champ. Type de fournisseur Le type de connexion VPN. • • Proxy de l’app : le trafic réseau est envoyé par un tunnel VPN au niveau de l’application. Tunnel de paquets : le trafic réseau est envoyé par un tunnel VPN au niveau du réseau. 15.21.5 Configuration du filtre de contenu Web (stratégie d’appareil macOS) La configuration Filtre de contenu Web vous permet de définir les paramètres d’une app tierce pour le filtrage du contenu Internet. Paramètre/Champ Description Nom du filtre Un nom personnalisé pour la configuration du filtre. N°ID du filtre L’identifiant du package de l’app tierce. Serveur Le serveur hébergeant le service de filtrage (nom d’hôte, adresse IP ou URL). Entreprise Le nom de votre entreprise. La valeur est transmise au service de filtrage. Nom d’utilisateur Les codes d’accès requis pour la connexion au service de filtrage. Mot de passe 214 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Certificat Un certificat d’authentification du service de filtrage. Plage de filtre Le trafic à filtrer par l’app tierce : • • • Paramètres tiers Filtrer le trafic du navigateur : le trafic du navigateur WebKit est filtré. Filtrer le trafic des sockets : le trafic des sockets est filtré. Filtrer le trafic du navigateur et des sockets : le trafic WebKit et des sockets est filtré. Les paramètres de configuration supplémentaires requis par l’app tierce, si nécessaire. 15.21.6 Configuration du proxy HTTP global (stratégie d’appareil iOS) La configuration du Proxy HTTP global vous permet de définir un serveur proxy professionnel. Paramètre/Champ Description Proxy HTTP global Sélectionnez les paramètres proxy pour la connexion : • Manuel Si vous sélectionnez l’une de ces options, les champs Serveur et port, Authentification et Mot de passe apparaissent. Dans le champ Serveur et port, saisissez l’adresse et le port du serveur proxy. Dans le champ Authentification, saisissez le nom d’utilisateur pour la connexion au serveur proxy. Dans le champ Mot de passe, saisissez le mot de passe pour la connexion au serveur proxy. • Automatique Si vous sélectionnez cette option, le champ URL du serveur proxy apparaît. Saisissez l’URL du serveur avec le paramètre du proxy dans ce champ. 15.21.7 Configuration du certificat racine (stratégie d’appareil macOS) La configuration Certificat racine vous permet d’installer un certificat racine sur les Macs. Dans le champ Fichier, naviguez jusqu’au certificat adéquat et cliquez sur Télécharger un fichier. Le nom du certificat apparaît dans le champ Nom du certificat. Saisissez un mot de passe pour le certificat sélectionné. Copyright © 2018 Sophos Limited 215 Sophos Mobile (version locale) Remarque Le certificat que vous chargez ici est uniquement disponible pour cette stratégie. Si vous avez besoin de certificats pour d’autres profils ou stratégies, vous allez devoir les charger de nouveau. 15.21.8 Configuration du certificat du client (stratégie d’appareil macOS) La configuration Certificat du client vous permet d’installer un certificat du client sur les Macs. Dans le champ Fichier, naviguez jusqu’au certificat adéquat et cliquez sur Télécharger un fichier. Le nom du certificat apparaît dans le champ Nom du certificat. Saisissez un mot de passe pour le certificat sélectionné. Remarque Le certificat que vous chargez ici est uniquement disponible pour cette stratégie. Si vous avez besoin de certificats pour d’autres profils ou stratégies, vous allez devoir les charger de nouveau. 15.21.9 Configuration SCEP (stratégie d’utilisateur macOS) La configuration SCEP permet d’autoriser les appareils à demander des certificats à une Autorité de certification à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol). Paramètre/Champ Description URL L’adresse Web du serveur de l’Autorité de certification. Utilisez la variable %_SCEPPROXYURL_% pour indiquer l’URL du serveur configurée sur l’onglet SCEP de la page Configuration du système. Nom du serveur CA 216 Un nom intelligible pour l’Autorité de certification. Par exemple, le nom peut servir à faire la distinction entre deux instances. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Objet Le nom de l’entité (par exemple ; une personne ou un appareil) qui recevra le certificat. Vous pouvez utiliser des espaces réservés pour les données de l’utilisateur ou les propriétés de l’appareil. La valeur que vous saisissez (remplacement des espaces réservés par des données) doit être un nom X.500 valable. Par exemple : • Saisissez CN=%_USERNAME_% pour indiquer un utilisateur. • Saisissez CN=%_DEVPROP(numéro_série)_% pour indiquer un appareil. Retrouvez plus de renseignements sur les espaces réservés disponibles à la section Espaces réservés dans les profils et stratégies (page 91). Type de l’autre nom de l’objet Valeur de l’autre nom de l’objet Pour ajouter un Autre nom de l’objet (SAN) à la configuration SCEP, sélectionnez le type de l’Autre nom de l’objet et saisissez la valeur de l’Autre nom de l’objet. Les types SAN sont : • Nom RFC 822 : une adresse électronique valide. • Nom DNS : le nom DNS du serveur de l’autorité de certification. • Uniform Resource Identifier : l’URL complète du serveur de l’autorité de certification. Nom de connexion d’utilisateur AD La valeur Nom de connexion d’utilisateur définie dans Active Directory, c’est-à-dire le Nom principal de l’utilisateur (UPN). Challenge L’adresse Web permettant de récupérer un mot de passe de challenge à partir du serveur SCEP. Utilisez la variable %_CACHALLENGE_% pour indiquer l’URL de challenge configurée sur l’onglet SCEP de la page Configuration du système. Nouvelles tentatives Le nombre de nouvelles tentatives si le serveur envoie une réponse en attente. Délai avant la nouvelle tentative Le nombre de secondes écoulées entre les nouvelles tentatives. Taille de la clé La taille de la clé publique dans le certificat émis. Assurez-vous que la valeur indiquée correspond à la taille configurée sur le serveur SCEP. Copyright © 2018 Sophos Limited 217 Sophos Mobile (version locale) 15.21.10 Configuration du service d’annuaire (stratégie d’appareil macOS) La configuration Service d’annuaire vous permet d’indiquer un domaine Active Directory que le Mac va rejoindre lorsque la stratégie lui est assignée. Remarque Si le domaine Active Directory que vous configurez ici est le même domaine que vous utilisez pour Portail libre-service, la stratégie d’utilisateur macOS assignée au Mac est appliquée à tous les utilisateurs Active Directory se connectant au Mac. Paramètres généraux Paramètre/Champ Description Nom de l’hôte du domaine Le nom d’hôte DNS du domaine Active Directory à rejoindre. Nom de l’administrateur AD Les codes d’accès du compte d’utilisateur utilisé pour la connexion au serveur Active Directory. Mot de passe Unité organisationnelle Cet utilisateur doit avoir les autorisations d’ajouter les appareils à la base de données Active Directory. L’unité organisationnelle (OU) dans la base de données Active Directory à laquelle est ajouté l’ordinateur. Expérience de l’utilisateur Paramètre/Champ Description Créer un compte mobile macOS crée un compte mobile lorsqu’un utilisateur du réseau se connecte pour la première fois. Le compte mobile permet aux utilisateur de se connecter au Mac à l’aide de leurs codes d’accès Active Directory même si le Mac n’est pas connecté au serveur Active Directory. Demander la confirmation avant de créer un compte mobile 218 L’utilisateur peut décider de créer un compte mobile ou pas. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Forcer le dossier d’accueil local Sélectionnez cette case pour forcer la création de profils d’utilisateur sur le disque de démarrage. Cette opération est obligatoire pour les comptes mobiles. Si vous déssélectionnez la case, les annuaires réseau de départ sont utilisés. Utiliser le chemin UNC à partir d’Active Directory macOS monte le dossier de départ dans le compte d’utilisateur Active Directory. Protocole réseau Le protocole de montage du dossier de départ. Shell de l’utilisateur par défaut Le shell de ligne de commande pour l’utilisateur. Si le champ n’est pas rempli, /bin/bash est utilisé. Mappage Paramètre/Champ Description Attribut de l’UID L’attribut Active Directory mappé à l’identifiant d’utilisateur unique (UID) dans macOS. Attribut GID de l’utilisateur L’attribut Active Directory mappé à l’identifiant de groupe principal dans les comptes d’utilisateur macOS. Attribut GID du groupe L’attribut Active Directory mappé à l’identifiant de groupe dans les comptes de groupe macOS. Important Si vous changez ces paramètres ultérieurement, les utilisateurs risquent de perdre l’accès aux fichiers créés auparavant. Administrative Paramètre/Champ Description Serveur DC préféré Le contrôleur de domaine Active Directory consulté en premier. Si le champ n’est pas rempli, macOS sélectionne le contrôleur de domaine en fonction des informations sur le site et du temps de réponse du contrôleur. Copyright © 2018 Sophos Limited 219 Sophos Mobile (version locale) Paramètre/Champ Description Intervalle de fiabilité du mot de passe en jours Indiquez la fréquence à laquelle macOS doit changer le mot de passe de son compte d’ordinateur Active Directory. Si le champ n’est pas rempli, macOS change son mot de passe tous les 14 jours. Si vous définissez la valeur sur 0, macOS ne change pas le mot de passe automatiquement. Espace de noms • Forêt La compatibilité aux espaces de nom est activée. Plusieurs utilisateurs avec le même nom de connexion pour différents domaines de la forêt Active Directory peuvent se connecter. • Les utilisateurs doivent saisir leur nom de connexion au format DOMAINE\nom. Domaine La compatibilité aux espaces de nom est désactivée. Les utilisateurs ont un nom de connexion unique. Signature de paquet Chiffrement de paquet macOS peut signer et chiffrer les connexions LDAP utilisées pour la communication Active Directory. • Autoriser : macOS décide de signer et/ou de chiffrer les connexions LDAP. • Désactiver : macOS ne signe ni ne chiffre les connexions LDAP. • Demander: macOS signe et chiffre systématiquement les connexions LDAP. • SSL/TLS: macOS utilise toujours LDAP sur SSL/ TLS. Authentification multi-domaine Les utilisateurs de tous les domaines de la forêt Active Directory peuvent se connecter. Groupes d’administrateurs de domaine Une liste des groupes Active Directory. Les membres de ces groupes disposent des droits administratifs sur le Mac. Pour saisir plus d’un groupe, appuyez sur Entrée après chaque entrée. 220 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Restreindre le DDNS Une liste des interfaces réseau. Par défaut, macOS utilise DDNS (Dynamic DNS) pour toutes les interfaces réseau. Pour limiter DDNS à certaines interfaces, saisissez leurs noms BSD. Par exemple, pour limiter DDNS au port Ethernet intégré, saisissez en0. Pour saisir plus d’une interface, appuyez sur Entrée après chaque entrée. 15.21.11 Configuration des domaines administrés (stratégie d’appareil macOS) La configuration Domaines administrés vous permet de définir les domaines administrés pour les Macs. Domaines de messagerie Saisissez les domaines de messagerie administrés par votre entreprise. Dans l’app de messagerie, les adresses email ne correspondant pas à l’un des domaines configurés sont marquées comme étant extérieure au domaine. 15.21.12 Configuration du contrôleur d’accès (stratégie d’appareil macOS) La configuration Contrôleur d’accès vous permet de configurer le contrôleur d’accès macOS qui bloque les apps installées à partir de sources interdites. Paramètre/Champ Description Autoriser les apps téléchargées depuis Sélectionnez le paramètre requis : • • • Copyright © 2018 Sophos Limited Tous les emplacements : les utilisateurs peuvent ouvrir toutes les apps, quel que soit leur emplacement d’installation. Mac App Store : les utilisateurs peuvent uniquement ouvrir les apps à partir de l’App Store de Mac. Mac App Store et les développeurs identifiés : les utilisateurs peuvent uniquement ouvrir les apps à partir de l’App Store de Mac ou à partir de développeurs authentifiés, c’est-à-dire des développeurs certifiés par Apple. 221 Sophos Mobile (version locale) 15.22 Configuration des stratégies d’utilisateur macOS Une stratégie d’utilisateur macOS vous permet de configurer différentes options des Macs (stratégies de mot de passe, restrictions ou paramètres Wi-Fi). Les paramètres de la stratégie d’utilisateur s’appliquent à tous les utilisateurs qui se connectent au Mac auquel vous assignez la stratégie. Concepts connexes À propos des stratégies macOS (page 89) Configuration des stratégies d’appareil macOS (page 205) Tâches connexes Création du profil ou de la stratégie (page 86) 15.22.1 Configuration des stratégies de mot de passe (stratégie d’utilisateur macOS) La configuration Stratégies de mot de passe vous permet de définir les exigences à respecter pour les mots de passe des comptes d’utilisateur Mac. Remarque Lorsque la configuration Stratégies de mot de passe est assignée à un appareil, un délai de grâce de 60 minutes commence. Au cours de cette période, l’utilisateur est invité à changer son mot de passe lorsqu’il revient sur l’écran d’accueil conformément aux stratégie de sécurité en vigueur. Une fois le délai de grâce expiré, l’utilisateur ne peut plus démarrer les apps sur l’appareil, même les apps internes. 222 Paramètre/Champ Description Accepter les valeurs simples Les utilisateurs sont autorisés à utiliser des caractères séquentiels ou répétés dans leur mot de passe (par exemple 1111 ou abcde). Exiger des valeurs alphanumériques Les mots de passe doivent contenir au moins une lettre ou un chiffre. Longueur minimum du mot de passe Indique le nombre minimum de caractères qu’un mot de passe doit contenir. Nombre minimum de caractères complexes Indique le nombre minimum de caractères non alphanumériques (par exemple & ou !) qu’un mot de passe doit contenir. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Durée de validité maximale du mot de passe en Demande aux utilisateurs de changer leur mot jours de passe dans l’intervalle indiqué. Plage de valeur : 0 (aucun changement de mot de passe requis) à 730 jours. Verrouillage automatique maximal (en minutes) Ce champ vous permet d’indiquer la valeur maximale que l’utilisateur peut configurer sur l’appareil. Le verrouillage automatique indique au bout de combien de temps (en minutes) l’appareil doit être verrouillé lorsqu’il n’est pas utilisé. Historique du mot de passe Ce champ vous permet d’indiquer combien d’anciens mots de passe sont mémorisés et comparés avec les nouveaux. Lorsque l’utilisateur définit un nouveau mot de passe, celui-ci n’est pas accepté s’il correspond à un ancien mot de passe déjà utilisé. Plage de valeur : 1 à 50 ou 0 (aucun historique de mot de passe). Délai de grâce maximal avant verrouillage de l’appareil Ce champ vous permet d’indiquer la valeur maximale que l’utilisateur peut configurer sur l’appareil. Le délai de grâce avant le verrouillage de l’appareil vous permet d’indiquer pendant combien de temps l’appareil peut être déverrouillé suite à un verrouillage sans demande de mot de passe. Si vous sélectionnez Aucun, l’utilisateur peut sélectionner l’un des intervalles disponibles. Si vous sélectionnez Immédiatement, les utilisateurs doivent saisir un mot de passe à chaque fois qu’ils déverrouillent leur appareil. Nombre de tentatives ratées avant réinitialisation de l’appareil Ce champ vous permet d’indiquer le nombre maximal de tentatives ratées de saisie du mot de passe qu’il est possible d’effectuer avant que l’appareil soit réinitialisé. Après six tentatives ratées, l’utilisateur doit attendre pendant un moment avant de pouvoir saisir de nouveau un mot de passe. Le délai d’attente augmente à chaque tentative ratée. Suite à l’échec de la dernière tentative, toutes les données et les paramètres sont supprimés de l’appareil. Le délai d’attente commence à la sixième tentative. Par conséquent, si vous définissez cette valeur sur 6 ou sur une valeur inférieure, il n’y a aucun délai d’attente et l’appareil est réinitialisé lorsque la limite des tentatives autorisées est dépassée. Copyright © 2018 Sophos Limited 223 Sophos Mobile (version locale) 15.22.2 Configuration des restrictions (stratégie d’utilisateur macOS) La configuration Restrictions vous permet de définir les restrictions pour les Macs. Remarque Certaines options sont uniquement disponibles sur certaines versions de macOS. Ceci est indiqué par des étiquettes bleues affichées à côté de l’option dans Sophos Mobile Admin. Appareil Paramètre/Champ Description Autoriser l’utilisation de l’appareil photo Si cette case est dessélectionnée, l’appareil photo n’est plus disponible et l’icône de l’Appareil photo disparaît de l’écran d’Accueil. L’utilisateur ne peut pas prendre de photos, enregistrer de vidéos ou utiliser FaceTime. Autoriser la recherche sur Internet pour Si cette case est dessélectionnée, Spotlight ne fournit Spotlight plus de résultats de recherche sur Internet. Autoriser Apple Music L’utilisateur peut accéder à la bibliothèque Apple Music. iCloud Paramètre/Champ Description Autoriser la sauvegarde Les utilisateurs peuvent sauvegarder leurs appareils dans iCloud. Autoriser la bibliothèque de photos iCloud Les utilisateurs peuvent utiliser la Bibliothèque de photos iCloud. Autoriser la synchronisation du trousseau iCloud Les utilisateurs peuvent se servir du Trousseau iCloud pour synchroniser les mots de passe sur leurs iPhones, iPads et Macs. Si la case n’est pas sélectionnée, les données du Trousseau iCloud sont uniquement stockées localement sur l’appareil. 224 Autoriser la synchronisation des documents Les utilisateurs peuvent conserver les documents et les données de configuration des apps dans iCloud. Autoriser Accès à mon Mac Les utilisateurs peuvent utiliser Accès à mon Mac iCloud, c’est-à-dire le partage de fichiers et d’écran entre un Mac distant et local. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Autoriser Localiser mon Mac Les utilisateurs peuvent utiliser Localiser mon Mac iCloud pour rechercher, verrouiller ou réinitialiser leur Mac à distance. Autoriser les favoris iCloud Les utilisateurs peuvent utiliser les Favoris iCloud pour synchroniser les favoris Web entre les navigateurs et les plates-formes. Autoriser la messagerie iCloud Les utilisateurs peuvent créer un compte Messagerie iCloud sur leur Mac. Autoriser le calendrier iCloud Les utilisateurs peuvent se servir du Calendrier iCloud pour partager leurs calendriers avec tous leurs appareils et avec d’autres utilisateurs d’iCloud. Autoriser les rappels iCloud Les utilisateurs peuvent se servir des Rappels iCloud pour partager leurs listes de rappels avec tous leurs appareils et avec d’autres utilisateurs d’iCloud. Autoriser le carnet d’adresses iCloud Les utilisateurs peuvent se servir du Carnet d’adresses iCloud pour partager leurs contacts avec tous leurs appareils et avec d’autres utilisateurs d’iCloud. Autoriser les notes iCloud Les utilisateurs peuvent se servir des Notes iCloud pour partager leurs notes avec tous leurs appareils et avec d’autres utilisateurs. Autoriser iCloud Drive pour le Bureau et les documents Les utilisateurs peuvent stocker leur poste de travail Mac et leur dossier Documents dans iCloud Drive et y accéder à partir d’autres appareils. Sécurité et confidentialité Paramètre/Champ Description Autoriser le capteur Touch ID à déverrouiller l’appareil Si cette case n’est pas sélectionnée, l’appareil ne peut pas être déverrouillé par Touch ID. Autoriser la recherche de définition Les utilisateurs peuvent rechercher les définitions des mots surlignés. Autoriser le déverrouillage automatique Les utilisateurs peuvent se servir du Déverrouillage automatique pour déverrouiller automatiquement leur Mac à l’aide de leur Apple Watch. Autoriser le partage de fichiers iTunes Copyright © 2018 Sophos Limited Les utilisateurs peuvent se servir du Partage de fichiers dans iTunes pour copier les fichiers sur leur Mac et sur leur iPhone ou iPad. 225 Sophos Mobile (version locale) Paramètre/Champ Description Autoriser AirPrint Les utilisateurs peuvent envoyer des fichiers sur des imprimantes AirPrint. Autoriser la recherche iBeacon d’imprimantes AirPrint macOS utilise iBeacon pour rechercher les appareils AirPrint. Important Si vous autorisez ceci, les appareils AirPrint malveillants peuvent lancer des attaques de phishing sur le trafic réseau. Forcer les certificats approuvés pour AirPrint sur TLS AirPrint sur TLS est rejeté si l’appareil AirPrint utilise un certificat non approuvé. 15.22.3 Configuration du compte Exchange (stratégie d’utilisateur macOS) La configuration Compte Exchange vous permet de créer une connexion à un serveur de messagerie Serveur Microsoft Exchange. Paramètre/Champ Description Nom du compte Le nom du compte. Serveur Exchange L’adresse du serveur Exchange. Remarque Si vous utilisez le proxy SMC EAS, veuillez saisir l’URL du serveur proxy SMC. Domaine Le domaine de ce compte. Utilisateur L’utilisateur de ce compte. Si vous saisissez la variable %_USERNAME_%, le serveur la remplace par le nom de l’utilisateur en cours. Adresse électronique L’adresse électronique du compte. Si vous saisissez la variable %_EMAILADDRESS_%, le serveur la remplace par l’adresse électronique en cours. 226 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Mot de passe Le mot de passe de ce compte. Si vous ne remplissez pas ce champ, les utilisateurs devront saisir le mot de passe sur leurs appareils. SSL/TLS La connexion au serveur Exchange est sécurisée par SSL ou TLS (selon la compatibilité du serveur). Nous vous conseillons de sélectionner cette option. 15.22.4 Configuration Wi-Fi (stratégie d’utilisateur macOS) La configuration Wi-Fi vous permet d’indiquer les paramètres de connexion aux réseaux Wi-Fi. Paramètre/Champ Description SSID L’identifiant du réseau Wi-Fi. Connexion automatique Connecter automatiquement au réseau cible. Réseau masqué Le réseau cible n’est pas ouvert ou visible. Copyright © 2018 Sophos Limited 227 Sophos Mobile (version locale) Paramètre/Champ Description Type de sécurité Le type de sécurité du réseau Wi-Fi : • • • • • • • Aucun WEP (personnel) WPA/WPA2 (personnel) Tous (personnel) WEP (entreprise) WPA/WPA2 (entreprise) Tous (entreprise) Si vous sélectionnez un type de sécurité Personnel, un champ Mot de passe apparaît. Saisissez le mot de passe adéquat. Si vous sélectionnez un type de sécurité Entreprise, les onglets Protocoles, Authentification et Fiabilité apparaissent. Dans l’onglet Protocoles, configurez les paramètres suivants : • Sous Types d’EAP acceptés, indiquez les méthodes EAP à utiliser pour l’authentification. Selon les types sélectionnés sur cet onglet, les valeurs du champ Identité interne dans cet onglet peuvent être sélectionnées. • Sous EAP-FAST, configurez les paramètres de codes d’accès protégé EAP-FAST. Dans l’onglet Authentification, configurez les paramètres d’authentification du client : • Dans le champ Utilisateur, saisissez le nom d’utilisateur pour la connexion au réseau Wi-Fi. • Sélectionnez Demander le mot de passe à chaque connexion si le mot de passe doit être demandé pour chaque connexion et transféré avec l’authentification. • Dans le champ Mot de passe, saisissez le mot de passe adéquat. • Dans la liste Certificat d’identité, sélectionnez le certificat pour la connexion au réseau Wi-Fi. Remarque Le certificat à utiliser doit être indiqué sous la configuration Certificat du client. • Dans le champ Identité externe, saisissez l’identifiant externe visible (pour TTLS, PEAP et EAP-FAST). Dans l’onglet Fiabilité, configurez les paramètres d’authentification du serveur : Sélectionnez les certificats approuvés dans la liste. 228 Remarque Veuillez indiquer les certificats dans une configuration Certificat racine. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Proxy Dans cette liste, sélectionnez les paramètres du proxy pour la connexion Wi-Fi : • • • Aucun Manuel Automatique Si vous sélectionnez Manuel, les champs Serveur et port, Authentification et Mot de passe apparaissent. Saisissez les informations du proxy requises. Si vous sélectionnez Automatique, le champ URL du serveur proxy apparaît. Saisissez l’URL du serveur proxy. 15.22.5 Configuration SCEP (stratégie d’appareil macOS) La configuration VPN vous permet de définir les paramètres VPN pour les connexions réseau. Paramètre/Champ Description Nom de connexion Le nom de la connexion affichée sur l’appareil. Type de connexion Le type de connexion VPN : • • • • • • Cisco AnyConnect Cisco Legacy AnyConnect IPsec (Cisco) F5 Check Point SSL/TLS personnalisé Les différents champs d’entrée sont affichés sur la page VPN en fonction du type de connexion que vous sélectionnez. Identifiant (format de résolution DNS inverse) L’identifiant personnalisé au format DNS inverse. Serveur Le nom d’hôte ou l’adresse IP du serveur. Compte Le compte de l’utilisateur pour l’authentification de la connexion. Paramètres tiers Si votre fournisseur a précisé des propriétés de connexion personnalisées, vous pouvez les saisir dans ce champ. Pour saisir une propriété, cliquez sur Ajouter et saisissez la Clé et la Valeur de la propriété dans la boîte de dialogue. Envoyer tout le trafic par VPN Copyright © 2018 Sophos Limited Tout le trafic est envoyé par VPN. 229 Sophos Mobile (version locale) Paramètre/Champ Description Groupe Le groupe qui sera requis pour l’authentification de la connexion. Authentification de l’utilisateur Le type d’authentification de l’utilisateur pour la connexion : • Mot de passe Si vous sélectionnez cette option, le champ Mot de passe apparaît en dessous du champ Authentification de l’utilisateur. Saisissez le mot de passe pour l’authentification. • Certificat Si vous sélectionnez cette option, le champ Certificat apparaît en dessous du champ Authentification de l’utilisateur. Sélectionnez un certificat. Authentification de l’appareil Le type d’authentification de l’appareil : • Clés (secret partagé)/Nom du groupe Si vous sélectionnez cette option, les champs Nom du groupe, Clés (secret partagé), Utiliser une authentification hybride et Demander le mot de passe sont affichés en dessous du champ Authentification de l’appareil. Saisissez les informations d’authentification requises dans les champs Nom du groupe et Clés (secret partagé). Sélectionnez Utiliser une authentification hybride et Demander le mot de passe si nécessaire. • Certificat Si vous sélectionnez cette option, les champs Certificat et Inclure le code PIN de l’utilisateur sont affichés en dessous du champ Authentification de l’appareil. Sélectionnez le certificat requis dans la liste Certificat. Sélectionnez Inclure le code PIN de l’utilisateur pour inclure le code PIN de l’utilisateur à l’authentification de l’appareil. 230 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Proxy Les paramètres proxy pour la connexion : • Aucun • Manuel Si vous sélectionnez l’une de ces options, les champs Serveur et port, Authentification et Mot de passe apparaissent. Dans le champ Serveur et port, saisissez l’adresse et le port du serveur proxy. Dans le champ Authentification, saisissez le nom d’utilisateur pour la connexion au serveur proxy. Dans le champ Mot de passe, saisissez le mot de passe pour la connexion au serveur proxy. • Automatique Si vous sélectionnez cette option, le champ URL du serveur proxy apparaît. Saisissez l’URL du serveur avec le paramètre du proxy dans ce champ. Type de fournisseur Le type de connexion VPN. • • Proxy de l’app : le trafic réseau est envoyé par un tunnel VPN au niveau de l’application. Tunnel de paquets : le trafic réseau est envoyé par un tunnel VPN au niveau du réseau. 15.22.6 Configuration de l’Authentification unique (stratégie d’utilisateur macOS) La configuration Authentification unique vous permet de définir les paramètres d’une app à authentification unique ou d’une app tierce. Paramètre/Champ Description Nom Un nom clair pour le compte. Nom Kerberos principal Le nom Kerberos principal. Si vous ne saisissez aucune valeur, l’utilisateur devra saisir le nom pendant l’installation du profil. Royaume Le nom du royaume Kerberos. Veuillez saisir le nom en majuscules. Copyright © 2018 Sophos Limited 231 Sophos Mobile (version locale) Paramètre/Champ Adresses URL Description Les valeurs doivent commencer par http:// ou par https://// Si une valeur ne finit pas par /, la barre oblique / est ajoutée par Sophos Mobile. Identifiants d’app Une liste de numéros d’ID de package d’apps. Les valeurs doivent correspondre exactement (par exemple ; com.sophos.smsec), ou être des préfixes, utilisant des caractères .* à la fin de la chaîne de caractères (par exemple ; com.sophos.*). 15.22.7 Configuration du Web Clip (stratégie d’utilisateur macOS) La configuration Web clip vous permet de définir les Web clips à ajouter sur le bureau macOS. Les Web clips offrent un accès rapide aux pages Web favorites. Vous pouvez également ajouter un Web clip avec, par exemple, le numéro de téléphone du support afin de fournir un moyen rapide d’appeler le service d’assistance. 232 Paramètre/Champ Description Description Une description du Web clip. URL L’adresse Web du serveur du Web clip. Peut être supprimé Si cette case est dessélectionnée, l’utilisateur ne peut pas supprimer le Web clip. Le seul moyen de le supprimer de l’appareil sera de supprimer le profil par le biais duquel il a été installé. Plein écran Le Web clip s’ouvre en plein écran sur l’appareil. Un Web clip affiché en plein écran ouvre l’URL en tant qu’app Web. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Icône Sélectionnez une image à utiliser comme icône du Web Clip sur l’écran d’accueil. L’image doit être au format PNG, GIF ou JPEG et d’une taille maximale de 1 Mo. L’image est coupée à la taille d’un carré et redimensionnée pour correspondre à la résolution de l’écran. Pour des résultats optimaux, nous vous conseillons d’utiliser une taille d’image de 180 px par 180 px. Remarque Lorsqu’une favicon est définie dans le code HTML d’une page Web, l’appareil peut afficher cette favicon en tant qu’icône Web Clip. Ceci se produit uniquement sur certaine pages Web selon la manière dont la favicon a été configurée dans le code de la page Web. 15.22.8 Configuration du filtre de contenu Web (stratégie d’utilisateur macOS) La configuration Filtre de contenu Web vous permet de définir les paramètres d’une app tierce pour le filtrage du contenu Internet. Paramètre/Champ Description Nom du filtre Un nom personnalisé pour la configuration du filtre. N°ID du filtre L’identifiant du package de l’app tierce. Serveur Le serveur hébergeant le service de filtrage (nom d’hôte, adresse IP ou URL). Entreprise Le nom de votre entreprise. La valeur est transmise au service de filtrage. Nom d’utilisateur Les codes d’accès requis pour la connexion au service de filtrage. Mot de passe Certificat Copyright © 2018 Sophos Limited Un certificat d’authentification du service de filtrage. 233 Sophos Mobile (version locale) Paramètre/Champ Description Plage de filtre Le trafic à filtrer par l’app tierce : • • • Paramètres tiers Filtrer le trafic du navigateur : le trafic du navigateur WebKit est filtré. Filtrer le trafic des sockets : le trafic des sockets est filtré. Filtrer le trafic du navigateur et des sockets : le trafic WebKit et des sockets est filtré. Les paramètres de configuration supplémentaires requis par l’app tierce, si nécessaire. 15.22.9 Configuration du proxy HTTP global (stratégie d’utilisateur iOS) La configuration du Proxy HTTP global vous permet de définir un serveur proxy professionnel. Paramètre/Champ Description Proxy HTTP global Sélectionnez les paramètres proxy pour la connexion : • Manuel Si vous sélectionnez l’une de ces options, les champs Serveur et port, Authentification et Mot de passe apparaissent. Dans le champ Serveur et port, saisissez l’adresse et le port du serveur proxy. Dans le champ Authentification, saisissez le nom d’utilisateur pour la connexion au serveur proxy. Dans le champ Mot de passe, saisissez le mot de passe pour la connexion au serveur proxy. • Automatique Si vous sélectionnez cette option, le champ URL du serveur proxy apparaît. Saisissez l’URL du serveur avec le paramètre du proxy dans ce champ. 15.22.10 Configuration du certificat racine (stratégie d’utilisateur macOS) La configuration Certificat racine vous permet d’installer un certificat racine sur les Macs. Dans le champ Fichier, naviguez jusqu’au certificat adéquat et cliquez sur Télécharger un fichier. Le nom du certificat apparaît dans le champ Nom du certificat. Saisissez un mot de passe pour le certificat sélectionné. 234 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Remarque Le certificat que vous chargez ici est uniquement disponible pour cette stratégie. Si vous avez besoin de certificats pour d’autres profils ou stratégies, vous allez devoir les charger de nouveau. 15.22.11 Configuration du certificat du client (stratégie d’utilisateur macOS) La configuration Certificat du client vous permet d’installer un certificat du client sur les Macs. Dans le champ Fichier, naviguez jusqu’au certificat adéquat et cliquez sur Télécharger un fichier. Le nom du certificat apparaît dans le champ Nom du certificat. Saisissez un mot de passe pour le certificat sélectionné. Remarque Le certificat que vous chargez ici est uniquement disponible pour cette stratégie. Si vous avez besoin de certificats pour d’autres profils ou stratégies, vous allez devoir les charger de nouveau. 15.22.12 Configuration SCEP (stratégie d’utilisateur macOS) La configuration SCEP permet d’autoriser les appareils à demander des certificats à une Autorité de certification à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol). Paramètre/Champ Description URL L’adresse Web du serveur de l’Autorité de certification. Utilisez la variable %_SCEPPROXYURL_% pour indiquer l’URL du serveur configurée sur l’onglet SCEP de la page Configuration du système. Nom du serveur CA Copyright © 2018 Sophos Limited Un nom intelligible pour l’Autorité de certification. Par exemple, le nom peut servir à faire la distinction entre deux instances. 235 Sophos Mobile (version locale) Paramètre/Champ Description Objet Le nom de l’entité (par exemple ; une personne ou un appareil) qui recevra le certificat. Vous pouvez utiliser des espaces réservés pour les données de l’utilisateur ou les propriétés de l’appareil. La valeur que vous saisissez (remplacement des espaces réservés par des données) doit être un nom X.500 valable. Par exemple : • Saisissez CN=%_USERNAME_% pour indiquer un utilisateur. • Saisissez CN=%_DEVPROP(numéro_série)_% pour indiquer un appareil. Retrouvez plus de renseignements sur les espaces réservés disponibles à la section Espaces réservés dans les profils et stratégies (page 91). Type de l’autre nom de l’objet Valeur de l’autre nom de l’objet Pour ajouter un Autre nom de l’objet (SAN) à la configuration SCEP, sélectionnez le type de l’Autre nom de l’objet et saisissez la valeur de l’Autre nom de l’objet. Les types SAN sont : • Nom RFC 822 : une adresse électronique valide. • Nom DNS : le nom DNS du serveur de l’autorité de certification. • Uniform Resource Identifier : l’URL complète du serveur de l’autorité de certification. Nom de connexion d’utilisateur AD La valeur Nom de connexion d’utilisateur définie dans Active Directory, c’est-à-dire le Nom principal de l’utilisateur (UPN). Challenge L’adresse Web permettant de récupérer un mot de passe de challenge à partir du serveur SCEP. Utilisez la variable %_CACHALLENGE_% pour indiquer l’URL de challenge configurée sur l’onglet SCEP de la page Configuration du système. Nouvelles tentatives Le nombre de nouvelles tentatives si le serveur envoie une réponse en attente. Délai avant la nouvelle tentative Le nombre de secondes écoulées entre les nouvelles tentatives. Taille de la clé La taille de la clé publique dans le certificat émis. Assurez-vous que la valeur indiquée correspond à la taille configurée sur le serveur SCEP. 236 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 15.22.13 Configuration des domaines administrés (stratégie d’utilisateur macOS) La configuration Domaines administrés vous permet de définir les domaines administrés pour les Macs. Domaines de messagerie Saisissez les domaines de messagerie administrés par votre entreprise. Dans l’app de messagerie, les adresses email ne correspondant pas à l’un des domaines configurés sont marquées comme étant extérieure au domaine. 15.22.14 Configuration de CalDAV (stratégie d’utilisateur macOS) La configuration de CalDAV vous permet de configurer la synchronisation des données de l’agenda avec un serveur CalDAV. Par exemple, elle peut servir à synchroniser l’Agenda Google avec un Mac. Paramètre/Champ Description Nom du compte Le nom d’affichage du compte CalDAV sur l’appareil. Hôte et port du compte Le nom d’hôte ou l’adresse IP et, en option, le numéro du port du serveur CalDAV. Par exemple, pour l’Agenda Google, saisissez : calendar.google.com:443 URL principale Si requis par le serveur CalDAV, saisissez l’URL principale des ressources de l’agenda. Par exemple, pour synchroniser un autre agenda que l’agenda principal d’un compte Google, saisissez : https://apidata.googleusercontent.com/ caldav/ v2/calendar_id/user où calendar_id correspond à l’identifiant de l’agenda avec lequel vous voulez vous synchroniser. Dans l’application Web de Google Agenda, l’identifiant de l’agenda est affiché dans les paramètres de l’agenda. Retrouvez plus de renseignements dans l’Aide de Google Agenda. Nom d’utilisateur, Mot de passe Les codes d’accès au compte CalDAV. Par exemple, pour Google Agenda, saisissez les codes d’accès du compte Google. Copyright © 2018 Sophos Limited 237 Sophos Mobile (version locale) Paramètre/Champ Description SSL/TLS La connexion au serveur CalDAV est sécurisée par SSL ou TLS (selon la compatibilité du serveur). Nous vous conseillons de sélectionner cette option. 15.22.15 Configuration CardDAV (stratégie d’utilisateur macOS) La configuration de CardDAV vous permet de configurer la synchronisation des données de contacts avec un serveur CardDAV. Par exemple, elle peut servir à synchroniser les Contacts Google avec un Mac. Paramètre/Champ Description Nom du compte Le nom d’affichage du compte CardDAV sur l’appareil. Hôte et port du compte Le nom d’hôte ou l’adresse IP et, en option, le numéro du port du serveur CardDAV. Par exemple, pour Google Contacts, saisissez : google.com URL principale Si requis par le serveur CardDAV, saisissez l’URL principale des ressources de contacts. Par exemple, l’API CardDAV de Google prend en charge l’URL principale suivante : https://www.googleapis.com/carddav/ v1/ principals/[email protected] où account_name correspond au nom du compte Google. Nom d’utilisateur, Mot de passe Les codes d’accès au compte CardDAV. Par exemple, pour Google Contacts, saisissez les codes d’accès du compte Google. SSL/TLS La connexion au serveur CardDAV est sécurisée par SSL ou TLS (selon la compatibilité du serveur). Nous vous conseillons de sélectionner cette option. 238 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 15.22.16 Configuration IMAP/POP (stratégie d’utilisateur macOS) La configuration IMAP/POP vous permet d’ajouter un compte de messagerie IMAP ou POP aux Macs. Paramètre/Champ Description Nom du compte Le nom d’affichage du compte de messagerie sur l’appareil. Type de compte Le type de serveur de messagerie pour la messagerie entrante (soit IMAP soit POP). Nom d’utilisateur affiché Le nom d’affichage de l’utilisateur pour la messagerie sortante. Utilisez la variable %_USERNAME_% pour indiquer le nom de l’utilisateur assigné à l’appareil. Adresse électronique L’adresse électronique du compte. Utilisez la variable %_EMAILADDRESS_% pour indiquer l’adresse électronique de l’utilisateur assigné à l’appareil. Messagerie entrante Serveur et port de messagerie Le nom d’hôte ou l’adresse IP et le numéro du port du serveur de messagerie entrante (serveur entrant). Nom d’utilisateur Le nom d’utilisateur pour la connexion au serveur entrant. Type d’authentification La méthode d’authentification pour la connexion au serveur entrant. Mot de passe Le mot de passe pour la connexion au serveur entrant (si nécessaire). SSL/TLS La connexion au serveur entrant est sécurisée par SSL ou TLS (selon la compatibilité du serveur). Messagerie sortante Serveur et port de messagerie Le nom d’hôte ou l’adresse IP et le numéro du port du serveur de messagerie sortante (serveur entrant). Nom d’utilisateur Le nom d’utilisateur pour la connexion au serveur sortant. Type d’authentification La méthode d’authentification pour la connexion au serveur sortant. Mot de passe Le mot de passe pour la connexion au serveur sortant (si nécessaire). Copyright © 2018 Sophos Limited 239 Sophos Mobile (version locale) Paramètre/Champ Description Utiliser le même mot de passe que la Utiliser le mot de passe indiqué pour la messagerie messagerie entrante entrante. SSL/TLS La connexion au serveur sortant est sécurisée par SSL ou TLS (selon la compatibilité du serveur). 15.22.17 Configuration LDAP (stratégie d’appareil macOS) La configuration LDAP vous permet d’ajouter les informations de l’utilisateur à partir d’un annuaire LDAP dans l’app Carnet d’adresses de macOS. Remarque Pour configurer un Mac afin qu’il rejoigne un domaine Active Directory, veuillez utiliser la configuration Service d’annuaire. Retrouvez plus de renseignements à la section Configuration du service d’annuaire (stratégie d’appareil macOS) (page 218). Paramètre/Champ Description Description du compte Une description de la connexion LDAP. Nom d’hôte Le nom d’hôte ou l’adresse IP du serveur LDAP. Nom d’utilisateur Les codes d’accès de connexion de l’utilisateur que Sophos Mobile utilise pour se connecter au serveur LDAP. Mot de passe Utiliser SSL/TLS La connexion au serveur LDAP est sécurisée par SSL ou TLS (selon la compatibilité du serveur). Rechercher les paramètres Les nœuds de l’arborescence LDAP à partir desquels la recherche doit être effectuée et le champ d’application de la recherche. Base Le chemin du nœud à partir duquel la recherche doit être effectuée. Par exemple : Ou=utilisateurs,o=mon entreprise Portée Le champ d’application des sous-nœuds à inclure dans la recherche : • • • 240 Nœud de base uniquement : uniquement le nœud de base. Nœud de base et nœuds enfant directs : le nœud de base ses nœuds enfant (les sousnœuds de premier niveau). Nœud de base et tous les sous-nœuds : le nœud de base et tous les sous-nœuds sur profondeur infinie. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Description Une description du paramètre de recherche. 15.23 Configuration des stratégies Windows Mobile Une stratégie Windows Mobile vous permet de configurer différentes options des appareils Windows Mobile (stratégies de mot de passe, restrictions ou paramètres Wi-Fi). Retrouvez plus de renseignements sur la création d’une stratégie Windows Mobile à la section Création du profil ou de la stratégie (page 86). 15.23.1 Configuration des Stratégies de mot de passe (stratégie Windows Mobile) La configuration Stratégies de mot de passe vous permet de définir les exigences à respecter pour le mot de passe de l’appareil. Paramètre/Champ Description Type de mot de passe Le type de mot de passe que les utilisateurs doivent définir : • • Alphanumériques : le mot de passe doit contenir à la fois des chiffres et des lettres. Numériques : le mot de passe contient uniquement des chiffres. Sur Windows Phone 8.1, Alphanumériques inclut les mots de passe contenant des chiffres et/ou des lettres. Copyright © 2018 Sophos Limited 241 Sophos Mobile (version locale) Paramètre/Champ Description Complexité minimale des mots de passe alphanumériques Ceci définit les classes de caractères à utiliser dans un mot de passe alphanumérique. Sur Windows 10 Mobile : • 1 : Non applicable (si sélectionné, 2 est utilisé) • 2 : Chiffres et lettres minuscules obligatoires • 3 : Chiffres, lettres minuscules et majuscules obligatoires • 4 : Chiffres, lettres minuscules et majuscules et caractères spéciaux obligatoires Sur Windows Phone 8.1, la valeur que vous sélectionnez correspond au nombre de différentes classes de caractères devant être utilisées dans un mot de passe. Les classes de caractères sont : • Chiffres • Lettres minuscules • Lettres majuscules • Caractères spéciaux Accepter les mots de passe simples Les mots de passe peuvent être composé de caractères séquentiels ou répétés, par exemple abcde ou 1111. Longueur minimum du mot de passe Le nombre minimum de caractères qu’un mot de passe doit contenir. Nombre maximal de tentatives Le nombre maximal de tentatives ratées de saisie du mot de passe de connexion qu’il est possible d’effectuer avant que l’appareil soit réinitialisé. Saisissez une valeur entre 1 et 999 ou sélectionnez 0 si vous ne voulez pas de restriction. Durée en minutes avant le verrouillage de l’appareil Le temps (en minutes) au bout duquel l’appareil doit être verrouillé lorsqu’il n’est pas utilisé. L’utilisateur peut déverrouiller l’appareil. Saisissez une valeur entre 1 et 999 ou sélectionnez 0 si vous ne voulez pas de restriction. Historique du mot de passe Le nombre d’anciens mots de passe mémorisés et comparés avec les nouveaux. Lorsque l’utilisateur définit un nouveau mot de passe, celui-ci n’est pas accepté s’il correspond à un ancien mot de passe déjà utilisé. Saisissez une valeur entre 1 et 999 ou sélectionnez 0 si vous ne voulez pas de restriction. 242 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Durée de validité maximale du mot de passe en jours Le nombre de jours après lesquels les utilisateurs doivent changer de mot de passe. Saisissez une valeur entre 1 et 730 ou sélectionnez 0 si vous ne voulez pas de restriction. Autoriser un délai de grâce pour le mot de passe d’app Les utilisateurs sont autorisés à définir le délai de grâce du mot de passe. 15.23.2 Configuration des Restrictions (stratégie Windows Mobile) La configuration des Restrictions vous permet de définir les restrictions pour les appareils. Appareil Paramètre/Champ Description Interdire la carte SD L’utilisateur ne peut plus accéder à la carte de stockage. Ceci n’empêche pas les apps d’accéder à la carte de stockage. Interdire les appareils non chiffrés Le chiffrement du stockage interne est activé. Important Une fois que le chiffrement du stockage interne est activé, vous ne pouvez plus le désactiver par le biais d’une stratégie. Remarque Veuillez activer BitLocker sur l’appareil avant d’appliquer la stratégie. Interdire les notifications dans le centre de notifications lorsque l’écran du téléphone est verrouillé Aucune notification du centre de notifications n’est affichée sur l’écran de verrouillage de l’appareil. Interdire l’ajout manuel de comptes de messagerie non Microsoft Cette option empêche l’ajout de tous les types de compte de messagerie ainsi que des comptes Exchange, Office 365 et Outlook.com. Interdire la connexion de compte Microsoft Le compte Microsoft est le compte système utilisé pour la synchronisation, la sauvegarde et la boutique d’apps. Copyright © 2018 Sophos Limited 243 Sophos Mobile (version locale) Paramètre/Champ Description Interdire le mode de développement Le mode de développement de Windows est désactivé. Interdire la Boutique Microsoft La boutique d’apps n’est pas accessible. Interdire le navigateur natif Le navigateur Microsoft Edge n’est plus disponible. Interdire la caméra Le paramètre de confidentialité Autoriser les applications à utiliser ma caméra est désactivé. Niveau de télémétrie La quantité de diagnostics Windows et de données d’utilisation que les appareils sont autorisés à envoyer. Windows 10 : • Complet : toutes les données nécessaires à l’identification et à l’analyse des problèmes. • Amélioré : les données sur l’utilisation et les performances de Windows et des apps. • Basique : une série limitée de données essentielles à la compréhension du fonctionnement et de la configuration de l’appareil. • Désactivé (Windows Phone 8.1 uniquement) : non compatible avec les appareils Windows 10. Si vous sélectionnez cette option, le niveau Basique est utilisé. Remarque Les niveaux sont cumulatifs en partant du niveau inférieur au niveau supérieur. Par exemple ; le niveau Amélioré inclut toutes les données du niveau Basique. Conseil Retrouvez plus de renseignements sur les niveaux télémétriques dans l’article de Microsoft Configurer la télémétrie Windows dans votre organisation (lien externe). Windows Phone 8.1 n’est pas compatible avec les différents niveaux de télémétrie : 244 • Complet, Amélioré, Basique : les utilisateurs peuvent activer ou désactiver la télémétrie. • Désactivé (Windows Phone 8.1 uniquement) : aucune donnée télémétrique n’est envoyée. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Divers Paramètre/Champ Description Interdire la fonction copier/coller Le bloc-notes n’est plus disponible. Interdire Cortana Cortana est désactivée. Interdire « Enregistrer sous » pour les fichiers Office L’utilisateur ne peut pas enregistrer un fichier en tant que fichier Office sur l’appareil. Interdire la capture d’écran Les captures d’écran sont désactivées. Interdire le partage des fichiers Office L’utilisateur ne peut pas partager les fichiers Office. Interdire « synchroniser les paramètres » Les paramètres de l’appareil ne peuvent pas être synchronisés vers et à partir d’autres appareils Windows. Interdire l’enregistrement vocal L’enregistrement vocal est désactivé. Wi-Fi Paramètre/Champ Description Interdire la connexion Wi-Fi Les connexions Wi-Fi sont désactivées. Interdire le partage sur Internet Le partage de connexion Internet est désactivé. Interdire l’Assistant Wi-Fi (connexion automatique aux points d’accès) L’appareil ne se connectera pas automatiquement aux points d’accès Wi-Fi. Interdire le signalement de points d’accès L’appareil n’enverra pas d’informations sur les connexions Wi-Fi. Interdire la configuration manuelle L’utilisateur ne peut pas configurer d’autres connexions Wi-Fi que celles configurées par Sophos Mobile. Connectivité Paramètre/Champ Description Interdire NFC NFC (communication en champ proche) est désactivée. Interdire Bluetooth Bluetooth est désactivée. Copyright © 2018 Sophos Limited 245 Sophos Mobile (version locale) Paramètre/Champ Description Interdire la connexion USB La connexion USB entre l’appareil et un ordinateur pour synchroniser les fichiers ou utiliser les outils de développement à des fins de déploiement ou de débogage d’apps est refusée. Ceci n’affecte pas le chargement USB. Itinérance et coûts Paramètre/Champ Description Interdire la connexion de données en itinérance Les connexions de données sur les réseaux cellulaires étrangers sont désactivées. Interdire VPN sur les données cellulaires Les connexions VPN sur les réseaux cellulaires sont désactivées. Interdire VPN lors de l’itinérance sur les données cellulaires Les connexions VPN sur les réseaux cellulaires étrangers sont désactivées. Sécurité et confidentialité Paramètre/Champ Description Interdire Bing visuel pour archiver des images provenant de la recherche visuelle Bing Bing visuel ne conservera pas le contenu des images capturées lors d’une recherche dans Bing visuel. Interdire l’utilisation de la géolocalisation lors de la recherche La recherche ne peut pas utiliser les informations de géolocalisation. Interdire l’installation manuelle de certificats racine L’utilisateur ne peut pas installer manuellement les certificats racines et intermédiaires de l’autorité de certification. Interdire la géolocalisation Tous les paramètres privés de géolocalisation sur l’appareil sont désactivés. Aucune app ne peut utiliser le service de géolocalisation. Cette option empêche également Sophos Mobile de géolocaliser l’appareil. Autorisation d’utilisation du Filtre adulte Le niveau de filtrage des résultats de la recherche appliqué sur l’appareil : • • 246 Modéré : filtrage modéré du contenu pour adulte. Les résultats valides de la recherche ne seront pas filtrés. Strict : filtrage strict du contenu pour adulte. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Désinscription Paramètre/Champ Description Interdire la réinitialisation du téléphone par l’utilisateur L’utilisateur ne peut pas rétablir les paramètres d’usine de l’appareil via le panneau de configuration ou par combinaison de touches. Interdire la désinscription manuelle de MDM L’utilisateur ne peut pas supprimer le compte professionnel. 15.23.3 Configuration du compte Exchange (stratégie Windows Mobile) La configuration Compte Exchange vous permet de créer une connexion à un serveur de messagerie Serveur Microsoft Exchange. Paramètre/Champ Description Nom du compte Le nom du compte. Serveur Exchange L’adresse du serveur Exchange. Remarque Si vous utilisez le proxy SMC EAS, veuillez saisir l’URL du serveur proxy SMC. Domaine Le domaine de ce compte. Utilisateur L’utilisateur de ce compte. Si vous saisissez la variable %_USERNAME_%, le serveur la remplace par le nom de l’utilisateur en cours. Adresse électronique L’adresse électronique du compte. Si vous saisissez la variable %_EMAILADDRESS_%, le serveur la remplace par l’adresse électronique en cours. Mot de passe Le mot de passe de ce compte. Si vous ne remplissez pas ce champ, les utilisateurs devront saisir le mot de passe sur leurs appareils. Copyright © 2018 Sophos Limited 247 Sophos Mobile (version locale) Paramètre/Champ Description Période de synchronisation La date à laquelle les emails sont synchronisés. Seuls les emails compris dans la période indiquée sont synchronisés dans la boîte de réception sur l’appareil. Intervalle de synchronisation L’intervalle entre les processus de synchronisation de la messagerie. SSL/TLS La connexion au serveur Exchange est sécurisée par SSL ou TLS (selon la compatibilité du serveur). Nous vous conseillons de sélectionner cette option. Synchroniser les types de contenu Les types de contenu à synchroniser. 15.23.4 Configuration Wi-Fi (stratégie Windows Mobile) La configuration Wi-Fi vous permet d’indiquer les paramètres de connexion aux réseaux Wi-Fi. 248 Paramètre/Champ Description SSID Dans ce champ, saisissez l’identifiant du réseau Wi-Fi. Connexion automatique La connexion sera établie automatiquement. Réseau masqué Le réseau cible n’est pas ouvert ou visible. Type de sécurité Sélectionnez le type de sécurité dans la liste. Si vous sélectionnez WPA (personnel) ou WPA2 (personnel), vous devez indiquer un mot de passe. Proxy Si vous sélectionnez Manuel dans la liste déroulante, vous devez indiquer un serveur et un port. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 15.23.5 Configuration des Restrictions d’apps (stratégie Windows Mobile) La configuration des Restrictions d’apps vous permet d’autoriser ou de bloquer des apps spécifiques sur les appareils. Paramètre/Champ Description Apps autorisées Comprend une série d’apps individuelles que les utilisateurs sont autorisés à installer et à utiliser sur leur appareil. Les utilisateurs ne pourront pas installer ou utiliser les apps qui ne figurent pas dans cette liste. Utilisez Apps autorisées lorsque vous savez quelle liste d’apps vous voulez autoriser et que vous voulez bloquer toutes les autres apps. Apps interdites Comprend une série d’apps individuelles que les utilisateurs ne sont pas autorisés à installer sur leur appareil. Les utilisateurs pourront installer les apps qui ne figurent pas dans cette liste. Utilisez Apps interdites lorsque vous savez quelle liste d’apps vous voulez bloquer et que vous voulez autoriser toutes les autres apps. Groupe d’apps Sélectionnez le groupe d’apps qui contient la liste des apps que vous voulez autoriser ou bloquer. Remarque Le groupe d’apps doit d’abord être créé. Retrouvez plus de renseignements à la section Groupes d’apps (page 295). 15.23.6 Configuration du Certificat racine (stratégie Windows Mobile) La configuration Certificat racine vous permet d’installer un certificat racine sur les appareils. Dans le champ Fichier, naviguez jusqu’au certificat adéquat et cliquez sur Télécharger un fichier. Le nom du certificat apparaît dans le champ Nom du certificat. Saisissez un mot de passe pour le certificat sélectionné. Remarque Le certificat que vous chargez ici est uniquement disponible pour cette stratégie. Si vous avez besoin de certificats pour d’autres profils ou stratégies, vous allez devoir les charger de nouveau. Copyright © 2018 Sophos Limited 249 Sophos Mobile (version locale) 15.23.7 Configuration SCEP (stratégie Windows Mobile) La configuration SCEP permet d’autoriser les appareils à demander des certificats à une Autorité de certification à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol). Paramètre/Champ Description Description Une description de la configuration. URL L’adresse Web du serveur de l’Autorité de certification. Utilisez la variable %_SCEPPROXYURL_% pour indiquer l’URL du serveur configurée sur l’onglet SCEP de la page Configuration du système. Objet Le nom de l’entité (par exemple ; une personne ou un appareil) qui recevra le certificat. Vous pouvez utiliser des espaces réservés pour les données de l’utilisateur ou les propriétés de l’appareil. La valeur que vous saisissez (remplacement des espaces réservés par des données) doit être un nom X.500 valable. Par exemple : • Saisissez CN=%_USERNAME_% pour indiquer un utilisateur. • Saisissez CN=%_DEVPROP(numéro_série)_% pour indiquer un appareil. Retrouvez plus de renseignements sur les espaces réservés disponibles à la section Espaces réservés dans les profils et stratégies (page 91). Autre nom de l’objet Cette option vous permet de configurer une ou plusieurs valeurs Autre nom de l’objet. Cliquez sur Ajouter et saisissez un type et une valeur pour l’Autre nom de l’objet. Challenge L’adresse Web permettant de récupérer un mot de passe de challenge à partir du serveur SCEP. Utilisez la variable %_CACHALLENGE_% pour indiquer l’URL de challenge configurée sur l’onglet SCEP de la page Configuration du système. Certificat racine Le certificat de l’Autorité de certification. Sélectionnez le certificat dans la liste. La liste contient tous les certificats que vous avez chargés dans la configuration du Certificat racine du profil actuel. 250 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Nouvelles tentatives Le nombre de nouvelles tentatives si le serveur envoie une réponse en attente. Délai avant la nouvelle tentative Le nombre de secondes écoulées entre les nouvelles tentatives. Taille de la clé La taille de la clé publique dans le certificat émis. Assurez-vous que la valeur indiquée correspond à la taille configurée sur le serveur SCEP. Utiliser en tant que signature numérique Si vous sélectionnez cette case, la clé publique peut être utilisée en tant que signature numérique. Utiliser pour le chiffrement Si vous sélectionnez cette case, la clé publique peut être utilisée pour le chiffrement de fichiers. Algorithme de hachage Sélectionnez un ou plusieurs algorithmes de hachage pris en charge par le serveur SCEP. Attention Nous déconseillons l’utilisation de l’algorithme SHA-1 car il n’est pas considéré comme sécurisé. 15.23.8 Configuration IMAP/POP (stratégie Windows Mobile) La configuration IMAP/POP vous permet d’ajouter un compte de messagerie IMAP ou POP. Paramètre/Champ Description Type de compte Le type de serveur de messagerie pour la messagerie entrante (soit IMAP soit POP). Nom du compte Le nom d’affichage du compte de messagerie sur l’appareil. Adresse électronique L’adresse électronique du compte. Utilisez la variable %_EMAILADDRESS_% pour indiquer l’adresse électronique de l’utilisateur assigné à l’appareil. Nom d’utilisateur affiché Le nom d’affichage de l’utilisateur pour la messagerie sortante. Utilisez la variable %_USERNAME_% pour indiquer le nom de l’utilisateur assigné à l’appareil. Nom d’utilisateur Copyright © 2018 Sophos Limited Le nom d’utilisateur pour la connexion au serveur entrant. 251 Sophos Mobile (version locale) Paramètre/Champ Description Domaine La partie domaine des codes d’accès pour le serveur entrant (si nécessaire). Mot de passe Le mot de passe pour la connexion au serveur entrant (si nécessaire). Serveur de messagerie entrante Le nom d’hôte (ou l’adresse IP) et le numéro du port du serveur de messagerie entrante (serveur entrant). Format : nom du serveur:numéro du port Vous n’avez pas besoin d’indiquer le numéro du port si le port par défaut est utilisé : • 143 (IMAP) • 993 (IMAP avec SSL) • 110 (POP3) • 995 (POP3 avec SSL) Utiliser SSL/TLS pour la messagerie Utiliser SSL (Secure Sockets Layer ) pour le transfert de la entrante messagerie entrante. Serveur de messagerie sortante Le nom d’hôte (ou l’adresse IP) et le numéro du port du serveur de messagerie sortante (serveur entrant). Format : nom du serveur:numéro du port Utiliser SSL/TLS pour la messagerie Utiliser SSL (Secure Sockets Layer ) pour le transfert de la sortante messagerie sortante. Authentification obligatoire pour la connexion sortante Le serveur sortant exige l’authentification. Période de synchronisation La date à laquelle les emails sont synchronisés. Les mêmes codes d’accès que ceux du serveur entrant sont utilisés comme indiqué dans les champs Nom d’utilisateur, Domaine et Mot de passe. Seuls les emails compris dans la période indiquée sont synchronisés dans la boîte de réception sur l’appareil. Synchronisation automatique L’intervalle de synchronisation automatique de la messagerie. 15.24 Configuration des stratégies Windows Une stratégie Windows vous permet de configurer différentes options des ordinateurs Windows (stratégies de mot de passe, restrictions ou paramètres Wi-Fi). Retrouvez plus de renseignements sur la création d’une stratégie Windows à la section Création du profil ou de la stratégie (page 86). 252 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 15.24.1 Configuration des stratégies de mot de passe (stratégie Windows) La configuration Stratégies de mot de passe vous permet de définir les exigences à respecter pour les mots de passe des comptes d’utilisateur Windows. Remarque Les règles de complexité des mots de passe (par ex. ; la longueur, le nombre de lettres majuscules et minuscules) pour les ordinateurs Windows sont fixées et ne peuvent pas être définies par une stratégie Sophos Mobile. Retrouvez plus de renseignements à la section Règles de complexité des mots de passe Windows (page 89). Remarque Les stratégies de mot de passe ne peuvent pas être assignées aux ordinateurs Windows dans les deux situations suivantes : • Des utilisateurs locaux sont configurés sur l’appareil en plus de l’utilisateur inscrit à Sophos Mobile. • Un ou plusieurs utilisateurs ne sont pas autorisés à modifier leur mot de passe. Paramètre/Champ Description Nombre maximal de tentatives Le nombre maximal de tentatives ratées de saisie du mot de passe de connexion qu’il est possible d’effectuer avant que l’appareil soit réinitialisé. Saisissez une valeur entre 1 et 999 ou sélectionnez 0 si vous ne voulez pas de restriction. Durée en minutes avant le verrouillage de l’appareil Le temps (en minutes) au bout duquel l’appareil doit être verrouillé lorsqu’il n’est pas utilisé. L’utilisateur peut déverrouiller l’appareil. Saisissez une valeur entre 1 et 999 ou sélectionnez 0 si vous ne voulez pas de restriction. Historique du mot de passe Le nombre d’anciens mots de passe mémorisés et comparés avec les nouveaux. Lorsque l’utilisateur définit un nouveau mot de passe, celui-ci n’est pas accepté s’il correspond à un ancien mot de passe déjà utilisé. Saisissez une valeur entre 1 et 999 ou sélectionnez 0 si vous ne voulez pas de restriction. Copyright © 2018 Sophos Limited 253 Sophos Mobile (version locale) Paramètre/Champ Description Durée de validité maximale du mot de passe en jours Le nombre de jours après lesquels les utilisateurs doivent changer de mot de passe. Saisissez une valeur entre 1 et 730 ou sélectionnez 0 si vous ne voulez pas de restriction. 15.24.2 Configuration des restrictions (stratégie Windows) La configuration Restrictions vous permet de définir les restrictions pour les appareils. Appareil Paramètre/Champ Description Interdire la carte SD L’utilisateur ne peut plus accéder à la carte de stockage. Ceci n’empêche pas les apps d’accéder à la carte de stockage. Interdire l’ajout manuel de comptes de messagerie non Microsoft Cette option empêche l’ajout de tous les types de compte de messagerie ainsi que des comptes Exchange, Office 365 et Outlook.com. Interdire le mode de développement Le mode de développement de Windows est désactivé. Interdire la caméra Le paramètre de confidentialité Autoriser les applications à utiliser ma caméra est désactivé. Désactiver la saisie semi-automatique sur Edge Le paramètre Enregistrer les entrées de formulaire du navigateur Web Edge est désactivé et ne peut pas être activé par l’utilisateur. Si cette case n’est pas sélectionnée, le paramètre est activé et ne peut pas être désactivé par l’utilisateur. Désactiver les Outils de développement F12 sur Edge Les Outils de développement F12 du navigateur Web Edge ne sont plus disponibles. Désactiver le bloqueur de fenêtres publicitaires sur Edge Le paramètre Bloquer les fenêtres contextuelles du navigateur Web Edge est désactivé et ne peut pas être activé par l’utilisateur. Si cette case est n’est pas sélectionnée, le paramètre est activé et ne peut pas être désactivé par l’utilisateur. 254 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Désactiver les Paramètres de lecture automatique Désactiver les Paramètres de date et d’heure Désactiver le Paramètre de langue Description Les sections concernées du Panneau de configuration Windows ne sont plus disponibles. L’utilisateur ne peut pas modifier ces paramètres une fois que la stratégie a été assignée à l’appareil. Désactiver les Paramètres d’alimentation et de mise en veille Remarque La fonction Désactiver les Paramètres de lecture automatique ne s’applique pas aux appareils connectés (par exemple, les téléphones mobiles). Désactiver les Options régionales Désactiver les Paramètres de connexion Désactiver les Paramètres VPN Désactiver les Paramètres du lieu de travail Désactiver les Paramètres de compte Niveau de télémétrie La quantité de diagnostics Windows et de données d’utilisation que les appareils sont autorisés à envoyer. • Complet : toutes les données nécessaires à l’identification et à l’analyse des problèmes. • Amélioré : les données sur l’utilisation et les performances de Windows et des apps. • Basique : une série limitée de données essentielles à la compréhension du fonctionnement et de la configuration de l’appareil. • Sécurité : informations requises pour assurer la protection de l’appareil avec les plus récentes mises à jour de sécurité. Remarque Les niveaux sont cumulatifs en partant du niveau inférieur au niveau supérieur. Par exemple ; le niveau Amélioré inclut toutes les données des niveaux Basique et Sécurité. Conseil Retrouvez plus de renseignements sur les niveaux télémétriques dans l’article de Microsoft Configurer la télémétrie Windows dans votre organisation (lien externe). Copyright © 2018 Sophos Limited 255 Sophos Mobile (version locale) Divers Paramètre/Champ Description Interdire Cortana Cortana est désactivée. Interdire « synchroniser les paramètres » Les paramètres de l’appareil ne peuvent pas être synchronisés vers et à partir d’autres appareils Windows. Désactiver les conseils Windows Le paramètre de notification de Windows Afficher des conseils sur Windows est désactivé et n’est plus disponible. Wi-Fi Paramètre/Champ Description Interdire le partage sur Internet Le partage de connexion Internet est désactivé. Interdire l’Assistant Wi-Fi (connexion automatique aux points d’accès) L’appareil ne se connectera pas automatiquement aux points d’accès Wi-Fi. Connectivité Paramètre/Champ Description Interdire Bluetooth Bluetooth est désactivée. Sécurité et confidentialité Paramètre/Champ Description Interdire l’utilisation de la géolocalisation lors de la recherche La recherche ne peut pas utiliser les informations de géolocalisation. Désinscription 256 Paramètre/Champ Description Interdire la désinscription manuelle de MDM L’utilisateur ne peut pas supprimer le compte professionnel. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 15.24.3 Configuration du compte Exchange (stratégie Windows) La configuration Compte Exchange vous permet de créer une connexion à un serveur de messagerie Serveur Microsoft Exchange. Important Si vous utiliser plusieurs configurations pour créer des comptes Exchange, les appareils risquent uniquement de pouvoir récupérer les messages à partir d’un seul compte. Ceci arrive généralement lorsque les comptes sont sur des serveurs Exchange différents et que différentes stratégies de boîtes de réception sont définies sur ces serveurs. Les ordinateurs Windows ne pouvant appliquer qu’une seule stratégie de boîte de réception, ils ne parviendront pas à se connecter aux comptes utilisant une stratégie différente. Remarque Windows autorise l’utilisateur à refuser toutes les modifications que vous apportez à la configuration d’Exchange. Paramètre/Champ Description Nom du compte Le nom du compte. Serveur Exchange L’adresse du serveur Exchange. Remarque Si vous utilisez le proxy SMC EAS, veuillez saisir l’URL du serveur proxy SMC. Domaine Le domaine de ce compte. Utilisateur L’utilisateur de ce compte. Si vous saisissez la variable %_USERNAME_%, le serveur la remplace par le nom de l’utilisateur en cours. Adresse électronique L’adresse électronique du compte. Si vous saisissez la variable %_EMAILADDRESS_%, le serveur la remplace par l’adresse électronique en cours. Mot de passe Le mot de passe de ce compte. Si vous ne remplissez pas ce champ, les utilisateurs devront saisir le mot de passe sur leurs appareils. Copyright © 2018 Sophos Limited 257 Sophos Mobile (version locale) Paramètre/Champ Description Période de synchronisation La date à laquelle les emails sont synchronisés. Seuls les emails compris dans la période indiquée sont synchronisés dans la boîte de réception sur l’appareil. Intervalle de synchronisation L’intervalle entre les processus de synchronisation de la messagerie. SSL/TLS La connexion au serveur Exchange est sécurisée par SSL ou TLS (selon la compatibilité du serveur). Nous vous conseillons de sélectionner cette option. Synchroniser les types de contenu Les types de contenu à synchroniser. 15.24.4 Configuration Wi-Fi (stratégie Windows) La configuration Wi-Fi vous permet d’indiquer les paramètres de connexion aux réseaux Wi-Fi. Paramètre/Champ Description SSID Dans ce champ, saisissez l’identifiant du réseau Wi-Fi. Connexion automatique La connexion sera établie automatiquement. Réseau masqué Le réseau cible n’est pas ouvert ou visible. Type de sécurité Sélectionnez le type de sécurité dans la liste. Si vous sélectionnez WPA (personnel) ou WPA2 (personnel), vous devez indiquer un mot de passe. 15.24.5 Configuration du certificat racine (stratégie Windows) La configuration Certificat racine vous permet d’installer un certificat racine sur les appareils. Dans le champ Fichier, naviguez jusqu’au certificat adéquat et cliquez sur Télécharger un fichier. Le nom du certificat apparaît dans le champ Nom du certificat. Saisissez un mot de passe pour le certificat sélectionné. Remarque Le certificat que vous chargez ici est uniquement disponible pour cette stratégie. Si vous avez besoin de certificats pour d’autres profils ou stratégies, vous allez devoir les charger de nouveau. 258 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 15.24.6 Configuration IMAP/POP (stratégie Windows) La configuration IMAP/POP vous permet d’ajouter un compte de messagerie IMAP ou POP aux ordinateurs Windows. Paramètre/Champ Description Type de compte Le type de serveur de messagerie pour la messagerie entrante (soit IMAP soit POP). Nom du compte Le nom d’affichage du compte de messagerie sur l’appareil. Adresse électronique L’adresse électronique du compte. Utilisez la variable %_EMAILADDRESS_% pour indiquer l’adresse électronique de l’utilisateur assigné à l’appareil. Nom d’utilisateur affiché Le nom d’affichage de l’utilisateur pour la messagerie sortante. Utilisez la variable %_USERNAME_% pour indiquer le nom de l’utilisateur assigné à l’appareil. Nom d’utilisateur Le nom d’utilisateur pour la connexion au serveur entrant. Domaine La partie domaine des codes d’accès pour le serveur entrant (si nécessaire). Mot de passe Le mot de passe pour la connexion au serveur entrant (si nécessaire). Serveur de messagerie entrante Le nom d’hôte (ou l’adresse IP) et le numéro du port du serveur de messagerie entrante (serveur entrant). Format : nom du serveur:numéro du port Vous n’avez pas besoin d’indiquer le numéro du port si le port par défaut est utilisé : • 143 (IMAP) • 993 (IMAP avec SSL) • 110 (POP3) • 995 (POP3 avec SSL) Utiliser SSL/TLS pour la messagerie Utiliser SSL (Secure Sockets Layer ) pour le transfert de la entrante messagerie entrante. Serveur de messagerie sortante Le nom d’hôte (ou l’adresse IP) et le numéro du port du serveur de messagerie sortante (serveur entrant). Format : nom du serveur:numéro du port Utiliser SSL/TLS pour la messagerie Utiliser SSL (Secure Sockets Layer ) pour le transfert de la sortante messagerie sortante. Copyright © 2018 Sophos Limited 259 Sophos Mobile (version locale) Paramètre/Champ Description Authentification obligatoire pour la connexion sortante Le serveur sortant exige l’authentification. Période de synchronisation La date à laquelle les emails sont synchronisés. Les mêmes codes d’accès que ceux du serveur entrant sont utilisés comme indiqué dans les champs Nom d’utilisateur, Domaine et Mot de passe. Seuls les emails compris dans la période indiquée sont synchronisés dans la boîte de réception sur l’appareil. Synchronisation automatique L’intervalle de synchronisation automatique de la messagerie. 15.25 Configuration des stratégies Windows IoT Une stratégie Windows IoT vous permet de configurer différentes options des appareils Windows IoT (restrictions ou paramètres Wi-Fi). Retrouvez plus de renseignements sur la création d’une stratégie Windows IoT à la section Création du profil ou de la stratégie (page 86). 15.25.1 Configuration des restrictions (stratégie Windows IoT) La configuration Restrictions vous permet de définir les restrictions pour les appareils. Appareil Paramètre/Champ Description Interdire la carte SD L’utilisateur ne peut plus accéder à la carte de stockage. Ceci n’empêche pas les apps d’accéder à la carte de stockage. Interdire le mode de développement Le mode de développement de Windows est désactivé. Interdire la caméra Le paramètre de confidentialité Autoriser les applications à utiliser ma caméra est désactivé. Désactiver la saisie semi-automatique sur Edge Le paramètre Enregistrer les entrées de formulaire du navigateur Web Edge est désactivé et ne peut pas être activé par l’utilisateur. Si cette case n’est pas sélectionnée, le paramètre est activé et ne peut pas être désactivé par l’utilisateur. 260 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Désactiver le bloqueur de fenêtres publicitaires sur Edge Le paramètre Bloquer les fenêtres contextuelles du navigateur Web Edge est désactivé et ne peut pas être activé par l’utilisateur. Si cette case est n’est pas sélectionnée, le paramètre est activé et ne peut pas être désactivé par l’utilisateur. Niveau de télémétrie La quantité de diagnostics Windows et de données d’utilisation que les appareils sont autorisés à envoyer. • Complet : toutes les données nécessaires à l’identification et à l’analyse des problèmes. • Amélioré : les données sur l’utilisation et les performances de Windows et des apps. • Basique : une série limitée de données essentielles à la compréhension du fonctionnement et de la configuration de l’appareil. • Sécurité : informations requises pour assurer la protection de l’appareil avec les plus récentes mises à jour de sécurité. Remarque Les niveaux sont cumulatifs en partant du niveau inférieur au niveau supérieur. Par exemple ; le niveau Amélioré inclut toutes les données des niveaux Basique et Sécurité. Conseil Retrouvez plus de renseignements sur les niveaux télémétriques dans l’article de Microsoft Configurer la télémétrie Windows dans votre organisation (lien externe). Wi-Fi Paramètre/Champ Description Interdire le partage sur Internet Le partage de connexion Internet est désactivé. Interdire l’Assistant Wi-Fi (connexion automatique aux points d’accès) L’appareil ne se connectera pas automatiquement aux points d’accès Wi-Fi. Copyright © 2018 Sophos Limited 261 Sophos Mobile (version locale) Connectivité Paramètre/Champ Description Interdire Bluetooth Bluetooth est désactivée. 15.25.2 Configuration Wi-Fi (stratégie Windows IoT) La configuration Wi-Fi vous permet d’indiquer les paramètres de connexion aux réseaux Wi-Fi. Paramètre/Champ Description SSID Dans ce champ, saisissez l’identifiant du réseau Wi-Fi. Connexion automatique La connexion sera établie automatiquement. Réseau masqué Le réseau cible n’est pas ouvert ou visible. Type de sécurité Sélectionnez le type de sécurité dans la liste. Si vous sélectionnez WPA (personnel) ou WPA2 (personnel), vous devez indiquer un mot de passe. 15.25.3 Configuration du certificat racine (stratégie Windows IoT) La configuration Certificat racine vous permet d’installer un certificat racine sur les appareils. Dans le champ Fichier, naviguez jusqu’au certificat adéquat et cliquez sur Télécharger un fichier. Le nom du certificat apparaît dans le champ Nom du certificat. Saisissez un mot de passe pour le certificat sélectionné. Remarque Le certificat que vous chargez ici est uniquement disponible pour ce profil. Si vous avez besoin de certificats pour d’autres profils ou stratégies, vous allez devoir les charger de nouveau. 262 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 16 Séries de tâches L’utilisation des séries de tâches vous permet de regrouper plusieurs tâches en une seule transaction. Vous pouvez donc regrouper toutes les tâches nécessaires afin de disposer d’un appareil inscrit et configuré : • • • • Inscrire l’appareil. Appliquer les stratégies requises. Installer les apps requises (par exemple, les apps administrées pour les appareils iOS) Appliquer les profils requis. Vous pouvez également inclure les commandes de réinitialisation dans les séries de tâches afin de réinitialiser automatiquement les appareils non conformes (par exemple, les appareils débridés ou disposant des droits root). Retrouvez plus de renseignements à la section Stratégies de conformité (page 43). Les séries de tâches sont disponibles pour les plates-formes suivantes : • • • • Android iOS macOS Windows 16.1 Création d’une série de tâches 1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Séries de tâches et sélectionnez la plateforme sur laquelle vous souhaitez créer la série de tâches. 2. Sur la page Séries de tâches, cliquez sur Créer une série de tâches. La page Modification de la série de tâches apparaît. 3. Saisissez un nom, et si vous le souhaitez, une description pour la nouvelle série de tâches dans les champs adéquats. La version est automatiquement mise à jour à chaque fois que vous enregistrez la série de tâches. 4. Facultatif : Sélectionnez Sélectionnable pour les actions de conformité pour transférer la série de tâches sur un appareil lorsqu’il enfreint une règle de conformité. Retrouvez plus de renseignements à la section Stratégies de conformité (page 43). Remarque Cette option est désactivée si vous modifiez une série de tâches déjà existante qui est utilisée en tant qu’action de mise en conformité. 5. Facultatif : Pour les séries de tâches, sélectionnez Ignorer les échecs d’installation d’apps pour continuer à traiter la série de tâches même en cas d’échec de l’installation de l’app. Cette option est désactivée lorsque il n’y a aucune tâche Installer l’app dans la série de tâches. 6. Cliquez sur Créer une tâche. 7. Sélectionnez le type de tâche et cliquez sur Suivant. Copyright © 2018 Sophos Limited 263 Sophos Mobile (version locale) La vue suivante dépend du type de tâche que vous avez sélectionnée. Dans chaque vue, vous pouvez indiquer les noms explicites que vous voulez donner à vos tâches. Ces noms de tâches sont affichés au cours de l’installation sur le Portail libre-service. 8. Suivez les étapes de l’assistant pour ajouter la tâche requise et cliquez sur Appliquer pour créer la tâche. 9. Facultatif : Ajoutez d’autres tâches à la série de tâches. Remarque Pour les séries de tâches Android, vous ne pouvez pas combiner les tâches Android et Android pour les entreprises. Par exemple, vous ne pouvez pas utiliser la même série de tâches pour installer un profil d’appareil Android et une app professionnelle Android. Conseil Vous pouvez modifier l’ordre des tâches à l’aide des flèches de tri à droite de la liste des tâches. 10. Après avoir ajouté toutes les tâches requises à la série de tâches, cliquez sur Enregistrer sur la page Modification de la série de tâches. La série de tâches est prête à être transférée. Elle apparaît sur la page Séries de tâches. Remarque Lorsque vous modifiez une série de tâches déjà existante utilisée en tant que Package initial dans les paramètres du Portail libre-service, la tâche d’inscription ne peut pas être supprimée. Retrouvez plus de renseignements à la section Configuration des paramètres du Portail libreservice (page 24). Concepts connexes Types de tâche Android disponibles (page 264) Types de tâche iOS disponibles (page 268) Types de tâche macOS disponibles (page 271) Types de tâche Windows disponibles (page 272) 16.2 Types de tâche Android disponibles Les types de tâche suivants sont disponibles pour les séries de tâches Android : Inscrire Lorsque cette tâche est transférée sur les appareils, un email d’inscription est envoyé à l’adresse email associée à chaque appareil. L’utilisateur doit effectuer les étapes décrites dans l’email pour inscrire son appareil. Lorsque cette tâche est transférée sur un appareil déjà inscrit, l’email d’inscription n’est pas envoyé. 264 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Inscrire le conteneur Sophos Lorsque cette tâche est transférée sur les appareils, un email d’inscription est envoyé à l’adresse email associée à chaque appareil. L’utilisateur doit effectuer les étapes décrites dans l’email pour inscrire son appareil. Lorsque cette tâche est transférée sur un appareil déjà inscrit, l’email d’inscription n’est pas envoyé. Installer le profil Sélectionnez un profil ou une stratégie dans la liste des profils et stratégies disponibles. Retrouvez plus de renseignements sur l’ajout de profils ou de stratégies à la section Profils et stratégies (page 86). Lorsque cette tâche est transférée sur les appareils, le profil est installé ou la stratégie est assignée de manière transparente pour l’utilisateur. Désinstaller le profil Dans Sélectionner la source, sélectionnez les Profils puis sélectionnez un profil dans la liste. En plus des profils disponibles sur le serveur Sophos Mobile, la liste inclut des profils utilisés sur les appareils administrés. Vous pouvez également désinstaller un profil ne figurant pas dans la liste. Sélectionnez Identifiant et saisissez l’identifiant du profil que vous voulez désinstaller des appareils. Lorsque cette tâche est transférée sur les appareils, le profil est désinstallé de manière transparente pour l’utilisateur. Remarque Vous ne pouvez pas désinstaller directement une stratégie de conteneur Sophos ou une stratégie de sécurité des mobiles (Sophos Mobile Security) des appareils. Veuillez utiliser l’action Désinscrire le conteneur Sophos ou Désinscrire SMSec. Cette opération va également supprimer les stratégies associées de l’appareil. Installer l’app Sélectionnez une app dans la liste des apps disponibles. Retrouvez plus de renseignements sur l’ajout d’apps à la liste à la section Ajout d’une app (page 275). Lorsque cette tâche est transférée sur les appareils, l’utilisateur reçoit une notification sur son appareil lui indiquant que Sophos Mobile veut installer l’app. L’utilisateur peut appuyer sur OK pour démarrer l’opération ou sur Pas maintenant pour être informé de nouveau après une courte période de temps. Si l’utilisateur appuie sur OK et appuie sur Annuler dans la boîte de dialogue Android, la tâche échoue. Si l’app est déjà installée sur un appareil qui reçoit la tâche, elle est mise à jour. Copyright © 2018 Sophos Limited 265 Sophos Mobile (version locale) Installer l’app professionnelle Android Ce type de tâche est disponible si vous avez configuré Android pour les entreprises pour le client. Sélectionnez une app dans la liste des apps professionnelles disponibles. Retrouvez plus de renseignements sur l’ajout d’apps à la liste à la section Modification d’une app professionnelle (page 312). La tâche d’installation est transmise au service Google. Google gère ensuite l’installation de l’app sur l’appareil. Sur la page Vue des tâches, l’état de la tâche indique Succès lorsqu’elle a bien été transmise à Google. Vous avez également la possibilité d’installer des apps professionnelles à partir de la page Apps Android professionnelles. Retrouvez plus de renseignements à la section Installation d’une app professionnelle (page 314). Retrouvez plus de renseignements sur la désinstallation d’une app professionnelle des appareils à la section Désinstallation d’une app professionnelle (page 315). Supprimer l’app Dans Sélectionner la source, sélectionnez Apps pour sélectionner une app à supprimer de la liste des apps disponibles. En plus des apps disponibles sur le serveur Sophos Mobile, la liste inclut des apps utilisées sur les appareils administrés à l’exception des apps du système Android et des apps préinstallées par le fabricant de l’appareil. Vous pouvez également supprimer une app ne figurant pas dans la liste. Sélectionnez Identifiant et saisissez le nom du package de l’app que vous voulez supprimer des appareils. Si vous sélectionnez App du conteneur Knox, l’app sera supprimée du conteneur Samsung Knox. Lorsque cette tâche est transférée sur les appareils, l’utilisateur reçoit une notification sur son appareil lui indiquant que Sophos Mobile veut supprimer l’app. L’utilisateur peut appuyer sur OK pour démarrer l’opération ou sur Pas maintenant pour être informé de nouveau après une courte période de temps. Si l’utilisateur appuie sur OK et appuie sur Annuler dans la boîte de dialogue Android, la tâche échoue. Si l’app n’est pas installée sur un appareil qui reçoit la tâche, aucune notification n’apparaît. Envoyer un message Saisissez le texte à afficher en clair sur les appareils. Lorsque cette tâche est transférée sur les appareils, le texte du message est affiché dans la fenêtre de notification. L’utilisateur peut afficher les anciens messages sur la page Messages de l’app Sophos Mobile Control. Désinscrire Lorsque cette tâche est transférée sur les appareils, ces derniers sont désinscrits de Sophos Mobile. Retrouvez plus de renseignements à la section Désinscription des appareils (page 61). L’utilisateur de l’appareil n’a pas besoin de confirmer l’opération. 266 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Vous ne pouvez pas ajouter une tâche Désinscrire et une tâche Réinitialiser dans la même série de tâches. Réinitialiser Lorsque cette tâche est transférée sur les appareils, ces derniers sont réinitialisés sur leurs paramètres d’usine. L’utilisateur de l’appareil n’a pas besoin de confirmer l’opération. Important Il est conseillé d’utiliser ce type de tâche avec précaution. Toutes les données sur les appareils recevant cette tâches sont supprimées sans qu’il soit demandé à l’utilisateur de confirmer l’opération. Remarque Lorsqu’une tâche Réinitialiser est transférée sur un appareil inscrit à Sophos Mobile sous le mode propriétaire du profil Android pour les entreprises, seul le profil professionnel et toutes les apps professionnelles sont supprimées. Vous ne pouvez pas ajouter une tâche Désinscrire et une tâche Réinitialiser dans la même série de tâches. Conteneur Knox : verrouiller Lorsque cette tâche est transférée sur un appareil Samsung compatible avec Samsung Knox, le conteneur Knox est verrouillé. Conteneur Knox : déverrouiller Lorsque cette tâche est transférée sur un appareil Samsung compatible avec Samsung Knox, le conteneur Knox est déverrouillé. Conteneur Knox : réinitialiser le mot de passe Lorsque cette tâche est transférée sur un appareil Samsung compatible avec Samsung Knox, le mot de passe du conteneur Knox est réinitialisé. L’utilisateur doit créer un nouveau mot de passe pour déverrouiller le conteneur Knox. Conteneur Knox : supprimer Lorsque cette tâche est transférée sur un appareil Samsung compatible avec Samsung Knox, le conteneur Knox (notamment la configuration du conteneur) est supprimé. Copyright © 2018 Sophos Limited 267 Sophos Mobile (version locale) Déclencher le contrôle SMSec Lorsque cette tâche est transférée sur les appareils, l’app Sophos Mobile Security est déclenchée en tâche de fond et effectue le contrôle à la recherche de malwares et d’apps potentiellement indésirables (PUA). Pour effectuer cette tâche, Sophos Mobile Security doit être administrée à partir de Sophos Mobile et une stratégie de sécurité des mobiles (Mobile Security) soit être assignée à l’appareil. Retrouvez plus de renseignements à la section Gestion de Sophos Mobile Security (page 319). Si Sophos Mobile Security n’est pas administrée par Sophos Mobile sur un appareil qui reçoit la tâche (c’est-à-dire si la stratégie de sécurité des mobiles n’est pas assignée à l’appareil), l’état de la tâche continue d’afficher Sera réessayé. 16.3 Types de tâche iOS disponibles Les types de tâche suivants sont disponibles pour les séries de tâches iOS : Inscrire Lorsque cette tâche est transférée sur les appareils, un email d’inscription est envoyé à l’adresse email associée à chaque appareil. L’utilisateur doit effectuer les étapes décrites dans l’email pour inscrire son appareil. Lorsque cette tâche est transférée sur un appareil déjà inscrit, l’email d’inscription n’est pas envoyé. Inscrire le conteneur Sophos Lorsque cette tâche est transférée sur les appareils, un email d’inscription est envoyé à l’adresse email associée à chaque appareil. L’utilisateur doit effectuer les étapes décrites dans l’email pour inscrire son appareil. Lorsque cette tâche est transférée sur un appareil déjà inscrit, l’email d’inscription n’est pas envoyé. Installer le profil Sélectionnez un profil ou une stratégie dans la liste des profils et stratégies disponibles. Retrouvez plus de renseignements sur l’ajout de profils ou de stratégies à la section Profils et stratégies (page 86). Lorsque cette tâche est transférée sur les appareils, le profil est installé ou la stratégie est assignée de manière transparente pour l’utilisateur. Désinstaller le profil Dans Sélectionner la source, sélectionnez les Profils puis sélectionnez un profil dans la liste. En plus des profils disponibles sur le serveur Sophos Mobile, la liste inclut des profils utilisés sur les appareils administrés. 268 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Vous pouvez également désinstaller un profil ne figurant pas dans la liste. Sélectionnez Identifiant et saisissez l’identifiant du profil que vous voulez désinstaller des appareils. Lorsque cette tâche est transférée sur les appareils, le profil est désinstallé de manière transparente pour l’utilisateur. Remarque Vous ne pouvez pas désinstaller directement une stratégie de conteneur Sophos des appareils. Veuillez utiliser l’action Désinscrire le conteneur Sophos. Cette opération va également supprimer la stratégie associée de l’appareil. Installer le profil d’approvisionnement Sélectionnez un profil d’enregistrement de l’app dans la liste des profils disponibles. Retrouvez plus de renseignements sur l’ajout de profils à la liste à la section Importation des profils d’enregistrement pour les apps iOS (page 88). Lorsque cette tâche est transférée sur les appareils, le profil d’enregistrement est installé de manière transparente pour l’utilisateur. Désinstaller le profil d’approvisionnement Dans Sélectionner la source, sélectionnez les Profils puis sélectionnez un profil d’enregistrement dans la liste. En plus des profils disponibles sur le serveur Sophos Mobile, la liste inclut des profils utilisés sur les appareils administrés. Vous pouvez également supprimer un profil d’enregistrement ne figurant pas dans la liste. Sélectionnez Identifiant et saisissez l’identifiant du profil que vous voulez supprimer des appareils. Lorsque cette tâche est transférée sur les appareils, le profil d’enregistrement est supprimé de manière transparente pour l’utilisateur. Reconfigurer l’app SMC Lorsque la tâche est transférée à l’appareil, l’utilisateur est invité à lire le code QR ou à saisir les informations de configuration manuellement. Cette opération reconnecte une app Sophos Mobile Control déjà installée au serveur. Remarque Cette tâche doit être précédée par une tâche Installer l’app pour l’app Sophos Mobile Control. Installer l’app Sélectionnez une app dans la liste des apps disponibles. Retrouvez plus de renseignements sur l’ajout d’apps à la liste à la section Ajout d’une app (page 275). Lorsque cette tâche est transférée sur les appareils, l’utilisateur reçoit une notification sur son appareil lui indiquant que Sophos Mobile veut installer l’app. L’utilisateur peut appuyer sur Installer pour démarrer l’opération ou sur Annuler pour refuser l’installation. Copyright © 2018 Sophos Limited 269 Sophos Mobile (version locale) Si l’utilisateur refuse l’installation, la tâche échoue. Si l’app est déjà installée sur un appareil qui reçoit la tâche, elle est mise à jour. Supprimer l’app Dans Sélectionner la source, sélectionnez Apps pour sélectionner une app à supprimer de la liste des apps disponibles. En plus des apps disponibles sur le serveur Sophos Mobile, la liste inclut des apps utilisées sur les appareils administrés à l’exception des apps du système iOS. Vous pouvez également supprimer une app ne figurant pas dans la liste. Sélectionnez Identifiant et saisissez l’identifiant du package de l’app que vous voulez supprimer des appareils. Lorsque cette tâche est transférée sur les appareils, l’app est supprimée de manière transparente pour l’utilisateur. Installer la dernière mise à jour iOS Lorsque la tâche est transférée aux appareils, la dernière mise à jour disponible du logiciel iOS est installée. Selon le modèle d’appareil iOS, différentes mises à jour pourraient être installées. Vous pouvez mettre à jour le logiciel iOS sur les appareils suivants : • • Appareils supervisés à partir d’iOS 10.3 Appareils Apple DEP supervisés Pour les autres appareils, la tâche échouera. Envoyer un message Saisissez le texte à afficher en clair sur les appareils. Lorsque cette tâche est transférée sur les appareils, le texte du message est affiché dans la fenêtre de notification. L’utilisateur peut afficher les anciens messages sur la page Messages de l’app Sophos Mobile Control. Désinscrire Lorsque cette tâche est transférée sur les appareils, ces derniers sont désinscrits de Sophos Mobile. Retrouvez plus de renseignements à la section Désinscription des appareils (page 61). L’utilisateur de l’appareil n’a pas besoin de confirmer l’opération. Vous ne pouvez pas ajouter une tâche Désinscrire et une tâche Réinitialiser dans la même série de tâches. Réinitialiser Lorsque cette tâche est transférée sur les appareils, ces derniers sont réinitialisés sur leurs paramètres d’usine. L’utilisateur de l’appareil n’a pas besoin de confirmer l’opération. 270 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Important Il est conseillé d’utiliser ce type de tâche avec précaution. Toutes les données sur les appareils recevant cette tâches sont supprimées sans qu’il soit demandé à l’utilisateur de confirmer l’opération. Vous ne pouvez pas ajouter une tâche Désinscrire et une tâche Réinitialiser dans la même série de tâches. 16.4 Types de tâche macOS disponibles Les types de tâche suivants sont disponibles pour les séries de tâches macOS : Inscrire Lorsque cette tâche est transférée sur les appareils, un email d’inscription est envoyé à l’adresse email associée à chaque appareil. L’utilisateur doit effectuer les étapes décrites dans l’email pour inscrire son appareil. Lorsque cette tâche est transférée sur un appareil déjà inscrit, l’email d’inscription n’est pas envoyé. Assigner une stratégie d’appareil Sélectionnez une stratégie dans la liste des stratégies d’appareil macOS disponibles. Retrouvez plus de renseignements sur l’ajout de stratégies à la liste à la section Profils et stratégies (page 86). Lorsque cette tâche est transférée sur les appareils, la stratégie est assignée silencieusement à l’appareil. Si une stratégie d’appareil a déjà été assignée, elle est remplacée. Assigner une stratégie d’utilisateur Sélectionnez une stratégie dans la liste des stratégies d’utilisateur macOS disponibles. Retrouvez plus de renseignements sur l’ajout de stratégies à la liste à la section Profils et stratégies (page 86). Lorsque cette tâche est transférée sur les appareils, la stratégie est assignée silencieusement à l’appareil. Si une stratégie d’utilisateur a déjà été assignée, elle est remplacée. Les stratégies d’utilisateur seront appliquées aux utilisateurs à leur prochaine connexion au Mac. Désinscrire Lorsque cette tâche est transférée sur les appareils, ces derniers sont désinscrits de Sophos Mobile. Retrouvez plus de renseignements à la section Désinscription des appareils (page 61). L’utilisateur de l’appareil n’a pas besoin de confirmer l’opération. Vous ne pouvez pas ajouter une tâche Désinscrire et une tâche Réinitialiser dans la même série de tâches. Copyright © 2018 Sophos Limited 271 Sophos Mobile (version locale) Réinitialiser Créez un code confidentiel de verrouillage du système à 6 chiffres. Lorsque la tâche est transférée au Mac, macOS redémarre et commence à réinitialiser le disque. L’utilisateur doit saisir le code confidentiel de verrouillage du système sur le Mac pour le déverrouiller. Vous ne pouvez pas ajouter une tâche Désinscrire et une tâche Réinitialiser dans la même série de tâches. Important Il est conseillé d’utiliser ce type de tâche avec précaution. Toutes les données sur les appareils recevant cette tâches sont supprimées sans qu’il soit demandé à l’utilisateur de confirmer l’opération. Conseil Dans Sophos Mobile Admin, le code confidentiel de verrouillage du système macOS est affiché sur la page de l’appareil sous Propriétés de l’appareil > Unlock passcode et sur la page Détails de la tâche sous Code confidentiel de verrouillage. 16.5 Types de tâche Windows disponibles Les types de tâche suivants sont disponibles pour les séries de tâches Windows : Inscrire Lorsque cette tâche est transférée sur les appareils, un email d’inscription est envoyé à l’adresse email associée à chaque appareil. L’utilisateur doit effectuer les étapes décrites dans l’email pour inscrire son appareil. Lorsque cette tâche est transférée sur un appareil déjà inscrit, l’email d’inscription n’est pas envoyé. Assigner une stratégie Sélectionnez une stratégie dans la liste des stratégies d’appareil disponibles. Retrouvez plus de renseignements sur l’ajout de stratégies à la liste à la section Profils et stratégies (page 86). Lorsque cette tâche est transférée sur les appareils, la stratégie est assignée silencieusement à l’appareil. Si une stratégie d’appareil a déjà été assignée, elle est remplacée. Installer une app Sélectionnez une app dans la liste des apps disponibles. Retrouvez plus de renseignements sur l’ajout d’apps à la liste à la section Ajout d’une app (page 275). Lorsque cette tâche est transférée sur les appareils, l’app est installée de manière transparente pour l’utilisateur. 272 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Si l’app est déjà installée sur un appareil qui reçoit la tâche, elle est mise à jour. Supprimer l’app Sélectionnez l’app à supprimer. La liste des apps disponibles inclut les apps que vous avez configurées sur le serveur Sophos Mobile et les apps installées sur tous les ordinateurs Windows administrés à l’exception des apps du système Windows. Lorsque cette tâche est transférée sur les appareils, l’app sélectionnée est supprimée de manière transparente pour l’utilisateur. Remarque Vous pouvez uniquement supprimer les apps qui ont été installées par Sophos Mobile. Si vous essayez de supprimer une app installée par l’utilisateur, la tâche échoue. Désinscrire Lorsque cette tâche est transférée sur les appareils, ces derniers sont désinscrits de Sophos Mobile. Retrouvez plus de renseignements à la section Désinscription des appareils (page 61). L’utilisateur de l’appareil n’a pas besoin de confirmer l’opération. Vous ne pouvez pas ajouter une tâche Désinscrire et une tâche Réinitialiser dans la même série de tâches. Réinitialiser Lorsque cette tâche est transférée sur les appareils, ces derniers sont réinitialisés sur leurs paramètres d’usine. L’utilisateur de l’appareil n’a pas besoin de confirmer l’opération. Important Il est conseillé d’utiliser ce type de tâche avec précaution. Toutes les données sur les appareils recevant cette tâches sont supprimées sans qu’il soit demandé à l’utilisateur de confirmer l’opération. Vous ne pouvez pas ajouter une tâche Désinscrire et une tâche Réinitialiser dans la même série de tâches. 16.6 Duplication de séries de tâches La création d’une série de tâches peut être longue à effectuer. Vous avez donc la possibilité de dupliquer des séries de tâches déjà créées. Cette fonction s’avère particulièrement utile si plusieurs longues séries de tâches composées de tâches similaires sont nécessaires. Ainsi, vous n’avez besoin d’ajouter ou de supprimer qu’un petit nombre de tâches. Copyright © 2018 Sophos Limited 273 Sophos Mobile (version locale) Remarque les séries de tâches peuvent uniquement être dupliquées si vous ne modifiez pas la série au même moment. Les copies sont nommées « Copy of » plus le nom de l’original. Vous pouvez renommer les séries à votre guise. 1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Séries de tâches puis sur Androidou iOS. La page Séries de tâches apparaît. 2. Cliquez sur le triangle bleu correspondant à la série de tâches que vous souhaitez dupliquer et cliquez sur Dupliquer. La série de tâches est dupliquée et apparaît sur la page Séries de tâches. Vous pouvez à présent modifier la série de tâches dupliquée comme vous le souhaitez. Pour modifier la série de tâches, cliquez sur le triangle bleu lui correspondant et cliquez sur Modifier. 16.7 Transfert de séries de tâches aux appareils ou groupes d’appareils 1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Séries de tâches puis sur Androidou iOS. La page Séries de tâches apparaît. 2. Cliquez sur le triangle bleu correspondant à la tâche de votre choix et cliquez sur Transférer. La page Sélection des appareils apparaît. 3. Cette page vous permet de : • • Sélectionner les appareils individuels sur lesquels vous voulez transférer la série de tâches. Cliquez sur Sélectionner les groupes d’appareils pour ouvrir la page Sélectionner les groupes d’appareils et sélectionnez un ou plusieurs groupes d’appareils sur lesquels transférer la série de tâches. 4. Après avoir fait votre sélection, cliquez sur Suivant. La page Définir la date d’exécution apparaît. 5. Sous Date planifiée, sélectionnez Maintenant ou indiquez une date et une heure d’exécution de cette tâche. 6. Cliquez sur Terminer. La page Vue des tâches apparaît. La série de tâches est transférée aux appareils sélectionnés à l’heure et à la date indiquées. 274 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 17 Apps Vous configurez les apps dans Sophos Mobile pour qu’elles soient disponibles à l’installation dans la Sophos Mobile Admin (effectuée par l’administrateur) ou dans l’app Sophos Mobile Control (effectuée par l’utilisateur). La gestion des apps est disponible pour les plates-formes suivantes : Android iOS Windows Mobile • • • Vous pouvez mettre une app à disposition dans Sophos Mobile d’une des manières suivantes : • Téléchargez le package de l’app sur le serveur Sophos Mobile. Cette option n’est pas disponible sur les apps Windows Mobile ou sur les appareils sur lesquels Sophos Mobile administre uniquement le conteneur Sophos. Fournissez un lien vers l’app dans la boutique d’apps adéquate. • Retrouvez plus de renseignements sur les deux options à la section Ajout d’une app (page 275). Pour installer une app sur un appareil, créez une série de tâches contenant la tâche Installer l’app. Pour les appareils Android et iOS, vous pouvez créer ces séries de tâches directement à partir de la page Apps. Retrouvez plus de renseignements à la section Installer une app (page 276). Remarque Pour pouvoir installer les packages de l’app stockés sur le serveur Sophos Mobile (à la différence de l’installation à partir de la boutique d’apps), les conditions suivantes doivent être respectées : • Sur Android, le paramètre de sécurité Sources inconnues doit être activé sur les appareils. Si vous essayez d’installer un fichier APK lorsque le paramètre Sources inconnues est désactivé, l’app Sophos Mobile Control redirige l’utilisateur sur la page depuis laquelle il pourra activer le paramètre. Cette restriction ne s’applique pas aux appareils avec LG GATE, Samsung Knox ou Sony Enterprise API. • Sur iOS, l’installation des apps à partir des fichiers IPA est uniquement possible pour les apps développées en interne. Lorsque l’app est prête à être distribuée, veuillez créer un profil d’enregistrement pour l’app et la mettre à disposition sur les appareils soit en l’ayant installée séparément auparavant soir en l’ayant incluse au fichier IPA de l’app. Vous pouvez utiliser Sophos Mobile pour distribuer les profils d’enregistrement sur vos appareils iOS. Retrouvez plus de renseignements à la section Importation des profils d’enregistrement pour les apps iOS (page 88). Retrouvez plus de renseignements sur les profils d’enregistrement sur iOS Developer Library. 17.1 Ajout d’une app Vous pouvez rendre une app disponible à l’installation soit en téléchargeant le package de cette app soit en mettant à disposition un lien vers cette app dans la boutique d’apps adéquate. Copyright © 2018 Sophos Limited 275 Sophos Mobile (version locale) 1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Apps et sélectionnez la plate-forme sur laquelle vous souhaitez ajouter l’app. 2. Cliquez sur Ajouter une app et sélectionnez l’option requise : Package Android : ajoutez une app Android en téléchargeant le fichier APK dans Sophos Mobile. • Package iOS : ajoutez une app iOS en téléchargeant le fichier IPA dans Sophos Mobile. • Lien Android : ajoutez une app Android grâce à un lien vers Google Play. • Lien iOS : ajoutez une app iOS grâce à un lien vers l’App Store. • Lien Windows Mobile : ajoutez une app Windows Mobile grâce à un lien vers la boutique Microsoft. • Lien Windows MSI : ajoutez une app Windows grâce à un lien vers son fichier d’installation MSI. • Lien de la boutique Microsoft : ajoutez une app Windows grâce à un lien vers la boutique Microsoft. 3. Configurez les paramètres de l’app de manière adéquate. 4. Cliquez sur Enregistrer pour enregistrer les paramètres de l’app et revenir sur la page Apps. • L’app est prête à être installée. Elle apparaît sur la page Apps. Si vous avez configuré la champ Disponible pour les groupes d’appareils, l’app apparaît également dans l’App Store pour entreprise de l’app Sophos Mobile Control à partir de laquelle les utilisateurs peuvent l’installer. Le processus d’installation nécessite peu ou pas d’intervention de la part de l’utilisateur. Remarque Sur les appareils sur lesquels Sophos Mobile administre uniquement le conteneur Sophos, les apps que vous ajoutez en téléchargeant le fichier APK (pour les apps Android) ou le fichier IPA (pour les apps iOS) ne sont pas disponibles. Référence associée Paramètres de l’app (Android) (page 279) Paramètres de l’app (iOS) (page 280) Paramètres de l’app (Windows Mobile) (page 282) Paramètres de l’app (Windows) (page 283) 17.2 Installer une app Remarque Cette section ne s’applique pas aux apps Android professionnelles. Retrouvez plus de renseignements sur l’installation des apps professionnelles à la section Installation d’une app professionnelle (page 314). Remarque Cette section ne s’applique pas aux appareils sur lesquels Sophos Mobile administre uniquement le conteneur Sophos. 276 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Lorsque vous avez ajouté une app dans Sophos Mobile conformément aux instructions de la section Ajout d’une app (page 275), vous pouvez l’installer manuellement sur les appareils ou groupes d’appareils sélectionnés. 1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Apps et sélectionnez la plate-forme sur laquelle vous souhaitez installer une app. 2. Sur la page Apps, cliquez sur le triangle bleu correspondant à l’app de votre choix et cliquez sur Installer. 3. Sélectionnez les appareils sur lesquels vous voulez installer l’app. Procédez de l’une des manières suivantes : • • Sélectionnez chaque appareil individuellement. Cliquez sur Sélectionner les groupes d’appareils et sélectionnez un ou plusieurs groupes d’appareils. Lorsque vous êtes prêt, cliquez sur Suivant. 4. Sur la page Définir la date d’exécution, indiquez la date à laquelle l’app sera installée : • Sélectionnez Maintenant pour une exécution immédiate. • Sélectionnez Date et saisissez une date et une heure pour l’exécution planifiée. 5. Cliquez sur Terminer. L’app sélectionnée est installée sur les appareils sélectionnés à l’heure indiquée. Remarque Sur les appareils suivants, les apps administrées sont installées silencieusement, c’est-à-dire sans qu’aucune intervention de l’utilisateur ne soit requise. • Appareils iOS supervisés • Appareils Android à partir de Samsung Knox Standard SDK 5.1 • Appareils Android avec LG GATE • Appareils Android à partir de la version 8 de Sony Enterprise API • Ordinateurs Windows si vous avez configuré l’option d’installation /quiet pour l’app. Conseil Vous pouvez voir l’état de la tâche d’installation sur la page Vue des tâches. Conseil Vous pouvez également installer une app en utilisant l’une des options suivantes : • Pour installer une app sur un seul appareil : Sur la page Affichage de l’appareil de l’appareil, sélectionnez l’onglet Apps installées et cliquez sur Installer l’app. • Pour installer une app sur plusieurs appareils : Sur la page Appareils, sélectionnez les appareils et cliquez sur Actions > Installer l’app. • Pour installer une app sur un ou plusieurs appareils dans le cadre d’une série de tâches : Ajoutez une tâche Installer l’app à la série de tâches et transférez-la aux appareils ou groupes d’appareils requis. Copyright © 2018 Sophos Limited 277 Sophos Mobile (version locale) 17.3 Désinstallation de l’app Remarque Cette section ne s’applique pas aux apps Android professionnelles. Retrouvez plus de renseignements sur la désinstallation des apps professionnelles à la section Désinstallation d’une app professionnelle (page 315). Remarque Cette section ne s’applique pas aux appareils sur lesquels Sophos Mobile administre uniquement le conteneur Sophos. Lorsque vous avez ajouté une app dans Sophos Mobile conformément aux instructions de la section Ajout d’une app (page 275), vous pouvez la désinstaller manuellement sur les appareils ou groupes d’appareils sélectionnés. 1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Apps et sélectionnez la plate-forme sur laquelle vous souhaitez désinstaller une app. 2. Sur la page Apps, cliquez sur Désinstaller. 3. Sélectionnez les appareils desquels vous voulez désinstaller l’app. Procédez de l’une des manières suivantes : • • Sélectionnez chaque appareil individuellement. Cliquez sur Sélectionner les groupes d’appareils et sélectionnez un ou plusieurs groupes d’appareils. Lorsque vous êtes prêt, cliquez sur Suivant. 4. Sur la page Sélectionner une app, sélectionnez l’app requise. 5. Sur la page Définir la date d’exécution, indiquez la date à laquelle l’app sera désinstallée : • Sélectionnez Maintenant pour une exécution immédiate. • Sélectionnez Date et saisissez une date et une heure pour l’exécution planifiée. 6. Cliquez sur Terminer. L’app sélectionnée est désinstallée des appareils sélectionnés à l’heure indiquée. Remarque Sur les appareils suivants, les apps administrées sont désinstallées silencieusement, c’est-àdire sans qu’aucune intervention de l’utilisateur ne soit requise. 278 • Apps administrées sur les appareils iOS supervisés • Ordinateurs Windows si vous avez configuré l’option d’installation /quiet pour l’app. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Conseil Vous pouvez également choisir de suivre la procédure de désinstallation de l’app d’un seul appareil décrite ci-dessous : Ouvrez la page Affichage de l’appareil et dans l’onglet Apps installées, cliquez sur la corbeille correspondant au nom de l’app. 17.4 Paramètres de l’app (Android) Paramètres généraux Paramètre/Champ Description Nom Un nom pour l’app. Version Pour les packages d’app, il s’agit de la version affichée dans l’App Store pour entreprise. Pour les liens vers les apps, Sophos Mobile utilise la version de Google Play. Identifiant d’app l’identifiant interne de l’app. Ne renseignez pas ce champ si vous ne connaissez pas le nom exact de l’identifiant. Dans la majorité des cas, Sophos Mobile lit la valeur de l’app et remplit ce champ automatiquement. Catégorie d’app Un nom de catégorie, par exemple Productivité. Lorsque vous mettez une app à disposition dans l’App Store pour entreprise, l’app apparaîtra sous ce nom dans une section. Disponible pour les groupes d’appareils Vous pouvez mettre l’app à disposition dans l’App Store pour entreprise afin que l’utilisateur puisse l’installer. Cliquez sur Afficher et sélectionnez un ou plusieurs groupes d’appareils pour lesquels l’app figurera dans l’App Store pour entreprise. Description La description de l’app est affichée dans l’App Store pour entreprise. Vous pouvez utiliser l’espace réservé %_appstoretext_% partout où vous le souhaitez dans la description. Dans l’App Store pour entreprise, il sera remplacé par la description actuelle de l’app issue de Google Play. Copyright © 2018 Sophos Limited 279 Sophos Mobile (version locale) Paramètre/Champ Description Installer dans le conteneur Knox Pour les appareils Samsung Knox, l’app sera installée dans le conteneur Knox. Ce paramètre est uniquement disponible si vous avez configuré une licence Samsung Knox. Paramètres pour les liens des apps Paramètre/Champ Description Lien L’URL de l’app dans Google Play. Pour déterminer l’URL, cliquez sur Obtenir le lien pour ouvrir Google Play dans un nouvel onglet de votre explorateur et rendez-vous sur la page de l’app. Copiez ensuite l’URL à partir de la barre d’adresse de l’onglet du navigateur et copiez la dans le champ Lien. Paramètres pour les packages d’apps Paramètre/Champ Description Télécharger un fichier Cliquez sur Télécharger un fichier pour télécharger l’app sur le serveur Sophos Mobile. Naviguez jusqu’au fichier APK et cliquez sur Ouvrir. Tâches connexes Ajout d’une app (page 275) 17.5 Paramètres de l’app (iOS) Paramètres généraux Paramètre/Champ Description Nom Un nom pour l’app. Version Pour les packages d’app, il s’agit de la version affichée dans l’App Store pour entreprise. Pour les liens vers les apps, Sophos Mobile utilise la version de l’App Store. 280 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Identifiant d’app l’identifiant interne de l’app. Ne renseignez pas ce champ si vous ne connaissez pas le nom exact de l’identifiant. Dans la majorité des cas, Sophos Mobile lit la valeur de l’app et remplit ce champ automatiquement. Catégorie d’app Un nom de catégorie, par exemple Productivité. Lorsque vous mettez une app à disposition dans l’App Store pour entreprise, l’app apparaîtra sous ce nom dans une section. Disponible pour les groupes d’appareils Vous pouvez mettre l’app à disposition dans l’App Store pour entreprise afin que l’utilisateur puisse l’installer. Cliquez sur Afficher et sélectionnez un ou plusieurs groupes d’appareils pour lesquels l’app figurera dans l’App Store pour entreprise. Installation administrée par Sophos Mobile L’app est installée en tant qu’app administrée. Retrouvez plus de renseignements à la section Apps administrées pour iOS (page 286). Ce paramètre affecte uniquement les apps installées par l’utilisateur à partir de l’App Store pour entreprise. Les apps que vous installez à partir de Sophos Mobile Admin sont toujours administrées. Description La description de l’app est affichée dans l’App Store pour entreprise. Vous pouvez utiliser l’espace réservé %_appstoretext_% partout où vous le souhaitez dans la description. Dans l’App Store pour entreprise, il sera remplacé par la description actuelle de l’app issue de l’App Store. Paramètres et VPN Copyright © 2018 Sophos Limited Cliquez sur Afficher pour configurer une connexion VPN qui sera utilisée au démarrage de l’app ou pour configurer les paramètres de l’app qui sera déployée sur l’appareil pendant l’installation de l’app. 281 Sophos Mobile (version locale) Paramètres pour les liens des apps Paramètre/Champ Description Rechercher dans iTunes Cliquez sur Rechercher dans iTunes dans iTunes pour rechercher l’app dans la base de données iTunes. Lorsque vous sélectionnez une app dans la liste des résultats de la recherche, les champs suivants sont remplis automatiquement : • • • Lien Identifiant d’app Catégorie d’app Lien L’URL de l’app dans l’App Store. Pour déterminer l’URL, cliquez sur Obtenir le lien pour ouvrir iTunes Link Maker dans une nouvelle fenêtre de navigation. Naviguez jusqu’à l’app dans Link Maker et copiez l’URL affichée sous Lien direct dans le champ Lien de Sophos Mobile Admin. Paramètres pour les packages d’apps Paramètre/Champ Description Télécharger un fichier Cliquez sur Télécharger un fichier pour télécharger l’app sur le serveur Sophos Mobile. Naviguez jusqu’au fichier IPA et cliquez sur Ouvrir. Tâches connexes Ajout d’une app (page 275) 17.6 Paramètres de l’app (Windows Mobile) Paramètre/Champ Description Nom Un nom pour l’app. Version La version de l’app. Sophos Mobile utilise la version de la boutique Microsoft. 282 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Catégorie d’app Un nom de catégorie, par exemple Productivité. Lorsque vous mettez une app à disposition dans l’App Store pour entreprise, l’app apparaîtra sous ce nom dans une section. Description La description de l’app est affichée dans l’App Store pour entreprise. Vous pouvez utiliser l’espace réservé %_appstoretext_% partout où vous le souhaitez dans la description. Dans l’App Store pour entreprise, il sera remplacé par la description actuelle de l’app issue de la boutique Microsoft. Disponible pour les groupes d’appareils Vous pouvez mettre l’app à disposition dans l’App Store pour entreprise afin que l’utilisateur puisse l’installer. Cliquez sur Afficher et sélectionnez un ou plusieurs groupes d’appareils pour lesquels l’app figurera dans l’App Store pour entreprise. Lien L’URL de l’app dans la boutique Microsoft. Pour déterminer l’URL, cliquez sur Obtenir le lien pour ouvrir la boutique Microsoft des apps Windows Phone dans un nouvel onglet de votre explorateur et rendez-vous sur la page de l’app. Copiez ensuite l’URL à partir de la barre d’adresse de l’onglet du navigateur et copiez la dans le champ Lien. Tâches connexes Ajout d’une app (page 275) 17.7 Paramètres de l’app (Windows) Paramètres généraux Paramètre/Champ Description Nom Un nom pour l’app. Version La version de l’app. Catégorie d’app Un nom de catégorie, par exemple Productivité. Copyright © 2018 Sophos Limited 283 Sophos Mobile (version locale) Paramètre/Champ Description Description Une description de l’app. Paramètres pour les liens MSI Paramètre/Champ Description GUID CodeProduit Le GUID ProductCode du fichier MSI. Remarque Si vous saisissez une valeur GUID incorrecte, l’app ne peut pas être désinstallée. Lien L’URL du fichier MSI. Hachage de fichier SHA-256 La valeur de hachage SHA-256 du fichier MSI. Remarque Si vous saisissez une valeur de hachage incorrecte, l’app ne peut pas être désinstallée. Options d’installation Les options de la ligne de commande pour le fichier exécutable du programme d’installation, msiexec.exe. L’option par défaut /quiet installe l’app sans intervention de l’utilisateur. Retrouvez plus de renseignements sur ces paramètres à la section Paramètres des liens Windows MSI (page 285). Paramètres pour les liens de la boutique Microsoft 284 Paramètre/Champ Description N°ID de la boutique L’identifiant de la boutique de l’app dans la boutique Microsoft. La valeur est saisie automatiquement lorsque vous cliquez sur Récupérer les données. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description N°ID de SKU Le n°ID de SKU (unité de gestion des stocks) de l’app dans le catalogue de la boutique Microsoft. Les apps pourraient avoir différents numéros d’ID de SKU pour les versions complètes et d’essai ou pour différents marchés. Si vous ne connaissez par le n°ID de SKU ID d’une app, utilisez la valeur par défaut 0010. Nom de la famille du package Le Nom de la famille du package (PFN) de l’app. La valeur est saisie automatiquement lorsque vous cliquez sur Récupérer les données. Lien L’URL de l’app dans la boutique Microsoft. Pour déterminer l’URL, cliquez sur Obtenir le lien pour ouvrir la boutique Microsoft des apps Windows dans un nouvel onglet de votre explorateur et rendez-vous sur la page de l’app. Copiez ensuite l’URL à partir de la barre d’adresse de l’onglet du navigateur et copiez la dans le champ Lien. Après avoir saisi l’URL, cliquez sur Récupérer les données pour remplir les champs suivants automatiquement : • • Identifiant produit Nom de la famille du package Tâches connexes Ajout d’une app (page 275) 17.8 Paramètres des liens Windows MSI Cette section vous indique comment déterminer les paramètres de l’app pour les liens Windows MSI. • GUID CodeProduit — Si Microsoft Windows SDK est déjà installé, utilisez le programme Orca pour récupérer la valeur ProductCode d’un fichier MSI. Retrouvez un exemple sur la page Web Use Orca to find MSI file GUID product code. Vous avez également la possibilité d’utiliser un script PowerShell. Ces scripts sont disponibles sur Internet comme par exemple sur la page Web How to get MSI file information with PowerShell. Remarque La valeur que vous saisissez dans le champ GUID CodeProduit ne doit pas inclure de parenthèses. Copyright © 2018 Sophos Limited 285 Sophos Mobile (version locale) • Hachage de fichier SHA-256 — Utilisez la commande PowerShell Get-FileHash pour récupérer la valeur de hachage SHA-256 d’un fichier MSI : PS> Get-FileHash <chemin-du-fichier-MSI> • Retrouvez plus de renseignements sur la commande Get-FileHash sur la page Web GetFileHash de Microsoft. Options d’installation — Retrouvez plus de renseignements sur les options de lignes de commande disponibles pour l’installation de fichiers MSI sur la page Web Options de lignes de commande standard du programme d’installation de Microsoft. Référence associée Paramètres de l’app (Windows) (page 283) 17.9 Apps administrées pour iOS Pour les apps iOS que vous ajoutez à Sophos Mobile, vous pouvez choisir d’installer l’app pour qu’elle soit administrée ou non administrée sur les appareils de l’utilisateur. Les apps administrées ont les caractéristiques suivantes : • • • • • Lorsque les utilisateurs sélectionnent une app administrée dans la boutique d’apps d’entreprise, une tâche d’installation est créée et traitée dans Sophos Mobile. Inversement, lorsque les utilisateurs sélectionnent une app non administrée, ils sont redirigés vers l’App Store d’Apple pour installer l’app depuis cet emplacement. Vous pouvez désinstaller les apps administrées dans Sophos Mobile Admin. En revanche, ceci n’est pas possible pour les apps non administrées. Sur les appareils iOS supervisés, les apps administrées sont installées et désinstallées sans qu’aucune intervention de l’utilisateur ne soit requise. Certains paramètres des profils d’appareil iOS sont uniquement disponibles pour les apps administrées. Lorsqu’un appareil iOS est désinscrit de Sophos Mobile, toutes les apps administrées sont automatiquement supprimées de l’appareil. Les apps non administrées demeurent sur l’appareil. Les règles suivantes déterminent si une app est installée pour être administrée ou non administrée : • • • Les apps que vous installez à partir de Sophos Mobile Admin sont toujours administrées. Les apps que l’utilisateur installe à partir de l’App Store sont toujours non administrées. Les apps que l’utilisateur installe à partir de la boutique d’apps d’entreprise sont administrées si vous avez activé le paramètre Installation administrée de SMC dans les propriétés de l’app conformément aux instructions de la section Ajout d’une app (page 275). Pour vérifier l’état d’une app sur un appareil, ouvrez la page Affichage de l’appareil de cet appareil et allez dans l’onglet Apps installées. Retrouvez plus de renseignements à la section Page Affichage de l’appareil (page 63). Conseil Si un utilisateur a installé une app non administrée, vous pouvez la convertir en app administrée. Pour cela, configurez l’app dans Sophos Mobile en tant qu’app administrée et créez une tâche d’installation pour cette app. L’app étant déjà installée, elle ne sera pas réinstallée. En revanche, son état va passer de non administré à administré. 286 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 17.10 Gestion des apps du Programme d’achat en volume d’Apple Grâce au Programme d’achat en volume d’Apple, vous avez la possibilité d’acheter des apps iOS en volume afin de les distribuer dans votre entreprise. Dès que vous avez passé votre commande par l’intermédiaire du Programme d’achat en volume d’Apple, vous pouvez télécharger un sToken (token de services) contenant les licences des apps que vous avez achetées. Retrouvez plus de renseignements sur l’inscription au Programme d’achat en volume d’Apple et sur son utilisation sur http://www.apple.com/fr/business/vpp/. Retrouvez plus de renseignements sur la manière d’assigner les apps du Programme d’achat en volume aux utilisateurs ou aux appareils aux sections Assignation automatique des apps du Programme d’achat en volume (page 290) et Assignation manuelle des apps du Programme d’achat en volume (page 291). Assignation des apps du Programme d’achat en volume aux utilisateurs Sophos Mobile vous permet de distribuer les licences incluses dans le sToken aux utilisateurs en les invitant à devenir des utilisateurs agréés du Programme d’achat en volume d’Apple. Lorsque les utilisateurs ont accepté leur invitation, ils deviennent des utilisateurs du Programme d’achat en volume agréés et vous pouvez leur assigner les apps du Programme d’achat en volume. Les utilisateurs peuvent installer les apps du Programme d’achat en volume assignées sur leurs appareils à l’aide d’iTunes. La procédure d’invitation des utilisateurs à devenir des utilisateurs du Programme d’achat en volume agréés varie selon que vous utilisiez la gestion des utilisateurs internes ou externes dans Sophos Mobile. Les instructions de les sections suivantes abordent les deux cas de figure. Retrouvez plus de renseignements sur la gestion des utilisateurs internes et externes dans le Guide du super administrateur de Sophos Mobile (anglais). Assignation des apps du Programme d’achat en volume aux appareils Vous pouvez également assigner des apps du Programme d’achat en volume aux appareils. Vous n’avez pas besoin d’inviter les appareils au Programme d’achat en volume. Vous installez une app du Programme d’achat en volume sur un appareil avec Sophos Mobile. Remarque • Lorsqu’une app du Programme d’achat en volume est désinstallée d’un appareil, Sophos Mobile révoque l’assignation de l’app au Programme d’achat en volume. • Lorsqu’un appareil est désinscrit de Sophos Mobile, Sophos Mobile révoque toutes les assignations à l’app du Programme d’achat en volume. Copyright © 2018 Sophos Limited 287 Sophos Mobile (version locale) 17.10.1 Création d’un sToken du Programme d’achat en volume Pour fournir des licences pour les apps achetées via le Programme d’achat en volume d’Apple dans Sophos Mobile, veuillez créer un sToken (token de services). 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration du système. 2. Sur la page Configuration du système, cliquez sur l’onglet Apple VP. 3. Cliquez sur le lien du Portail du Programme d’achat en volume iTunes. Le portail Web du Programme d’achat en volume va s’ouvrir dans une nouvelle fenêtre de navigation. 4. Sur cette page, sélectionnez Entreprise. 5. Sur la page Connexion au Store Entreprises, saisissez votre identifiant Apple et votre mot de passe. 6. Allez sur la page Résumé de votre compte et cliquez sur Télécharger un jeton. Le sToken est généré et enregistré sur votre ordinateur local dans un fichier texte avec l’extension .vpptoken en utilisant les paramètres de téléchargement de votre navigateur Web. 7. Facultatif : Déplacez le fichier sToken à un emplacement accessible à partir de Sophos Mobile Admin. 8. Dans Sophos Mobile Admin, retournez dans l’onglet Apple VPP et cliquez sur Télécharger un fichier, sélectionnez le fichier sToken et cliquez ensuite sur Ouvrir. Sophos Mobile lit le fichier et remplit les champs Entreprise et Expire le à partir des informations du sToken. 9. Dans la liste Assigner automatiquement les apps VPP à l’installation, vous pouvez configurer l’assignation automatique des apps du Programme d’achat en volume d’Apple (VPP). Retrouvez plus de renseignements à la section Assignation automatique des apps du Programme d’achat en volume (page 290). 10. Facultatif : Remplissez les champs restants sur l’onglet Apple VPP. Dans le champ Pays, saisissez votre code pays à deux lettres, par exemple US pour les ÉtatsUnis. 11. Cliquez sur Enregistrer. 17.10.2 Invitation d’utilisateurs au Programme d’achat en volume d’Apple Veuillez créer un sToken avant d’inviter des utilisateurs au Programme d’achat en volume d’Apple. Retrouvez plus de renseignements à la section Création d’un sToken du Programme d’achat en volume (page 288). 1. Sur le menu latéral, sous GESTION, cliquez sur Utilisateurs. 2. Sur la page Affichage des utilisateurs, vous pouvez inviter les utilisateurs individuellement ou tous les utilisateurs au Programme d’achat en volume d’Apple. 288 • Pour inviter tous les utilisateurs : • a) Cliquez sur Inviter des utilisateurs au Programme d’achat en volume d’Apple en haut de la page Affichage des utilisateurs. b) Cliquez sur Oui dans la boîte de dialogue de confirmation. Pour inviter un seul utilisateur : Copyright © 2018 Sophos Limited Sophos Mobile (version locale) • a) Cliquez sur le nom d’utilisateur de votre choix. b) Sur la page Affichage de l’utilisateur, cliquez sur Inviter un utilisateur au Programme d’achat en volume. c) Cliquez sur Oui dans la boîte de dialogue de confirmation. Pour inviter un seul utilisateur lorsque vous utilisez la gestion des utilisateurs externes et que l’utilisateur n’a pas encore inscrit d’appareils : a) Cliquez sur Rechercher et inviter un utilisateur au Programme d’achat en volume d’Apple en haut de la page Affichage des utilisateurs. b) Dans la boîte de dialogue Rechercher un utilisateur, recherchez l’utilisateur soit par nom soit par adresse électronique. c) Dans la liste de résultats de la recherche, sélectionnez l’utilisateur que vous voulez inviter au Programme d’achat en volume d’Apple. d) Cliquez sur Appliquer. Sophos Mobile envoie un email d’invitation à tous les utilisateurs concernés. Les utilisateurs doivent cliquer sur le lien dans leur email d’invitation pour connecter leur compte Apple iTunes au Programme d’achat en volume d’Apple. Ils pourront ensuite installer et utiliser les apps dont les licences ont été fournies par votre entreprise. Remarque Lorsque vous utilisez la gestion des utilisateurs externes et que vous invitez tous les utilisateurs au Programme d’achat en volume d’Apple, les utilisateurs n’ayant pas d’adresse électronique assignée sont enregistrés au Programme d’achat en volume d’Apple mais ne reçoivent pas de lien pour connecter leur compte Apple iTunes au Programme d’achat en volume d’Apple. Retrouvez plus de renseignements sur la manière de procéder au processus d’enregistrement au Programme d’achat en volume dans ce cas de figure à la section Invitation des utilisateurs sans adresse électronique au Programme d’achat en volume d’Apple (page 289). 17.10.3 Invitation des utilisateurs sans adresse électronique au Programme d’achat en volume d’Apple Condition préalable : cette procédure nécessite l’utilisation d’un compte super administrateur et donc ne s’applique pas à Sophos Mobile (version SaaS. Lorsque vous invitez des utilisateurs à partir d’un annuaire d’utilisateurs externes au Programme d’achat en volume d’Apple conformément aux instructions de la section Invitation d’utilisateurs au Programme d’achat en volume d’Apple (page 288), les utilisateurs n’ayant pas d’adresse électronique assignée seront enregistrés au Programme d’achat en volume d’Apple mais ne recevront pas de lien pour connecter leur compte Apple iTunes au Programme d’achat en volume d’Apple. Dans ce cas, effectuez les étapes suivantes pour terminer le processus d’enregistrement au Programme d’achat en volume d’Apple. 1. En tant que super administrateur de Sophos Mobile, téléchargez les fichiers journaux du serveur. Retrouvez plus de renseignements dans le Guide du super administrateur de Sophos Mobile (anglais). 2. Identifiez les comptes d’utilisateur affectés dans les fichiers journaux. 3. Sur le menu latéral de Sophos Mobile Admin, sous GESTION, cliquez sur Utilisateurs. 4. Sur la page Affichage des utilisateurs, cliquez sur l’un des noms d’utilisateur affectés. Copyright © 2018 Sophos Limited 289 Sophos Mobile (version locale) 5. Sur la page Affichage de l’utilisateur, cliquez sur Afficher le lien d’invitation. Pour les utilisateurs externes sans adresse électronique, cette fonction n’envoie pas d’email d’invitation mais affiche le lien d’invitation dans une boîte de dialogue. 6. Copiez le lien figurant dans cette boîte de dialogue et communiquez le à l’utilisateur. 7. Répétez cette procédure pour tous les utilisateurs affectés. Les utilisateurs doivent cliquer sur ce lien pour connecter leur compte Apple iTunes au Programme d’achat en volume d’Apple. 17.10.4 Gestion des utilisateurs du Programme d’achat en volume d’Apple Lorsque vous avez créé un sToken du Programme d’achat en volume d’Apple conformément aux instructions de la section Création d’un sToken du Programme d’achat en volume (page 288), la page Affichage de l’utilisateur de chaque utilisateur affichera une section Programme d’achat en volume d’Apple. Cette section vous permet d’effectuer les tâches suivantes pour afficher ou modifier l’état du Programme d’achat en volume d’Apple de l’utilisateur : • • • • • Afficher l’état de l’utilisateur du Programme d’achat en volume d’Apple. Il peut s’agir de : — Non enregistré : l’utilisateur n’a pas été invité au Programme d’achat en volume d’Apple. — Enregistré : l’utilisateur a été invité au Programme d’achat en volume d’Apple mais n’a pas connecté son compte Apple iTunes au Programme d’achat en volume d’Apple. — Associé : l’utilisateur a connecté son compte Apple iTunes au Programme d’achat en volume d’Apple et peut installer les apps du Programme d’achat en volume. Afficher les apps du Programme d’achat en volume d’Apple que l’utilisateur a installé. Inviter l’utilisateur au Programme d’achat en volume d’Apple en cliquant sur Inviter un utilisateur au Programme d’achat en volume. Dans la majorité des cas, un email avec un lien d’invitation est envoyé à l’utilisateur. Si le compte de l’utilisateur ne contient pas d’adresse électronique, un lien d’invitation est affiché dans une boîte de dialogue. Envoyer un autre email d’invitation si l’utilisateur n’a pas reçu ou a perdu l’email original en cliquant sur Renvoyer l’email d’invitation. Désabonner l’utilisateur du Programme d’achat en volume d’Apple en cliquant sur Supprimer l’abonnement au Programme d’achat en volume. 17.10.5 Assignation automatique des apps du Programme d’achat en volume Par défaut, les apps que vous avez achetées sur le Programme d’achat en volume d’Apple (VPP) sont automatiquement assignées à l’appareil sur lequel l’app est installée. Si l’appareil ne prend pas en charge l’assignation des apps du Programme d’achat en volume, l’app est assignée à l’utilisateur qui est assigné à l’appareil. 290 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Remarque Pour pouvoir prendre en charge l’assignation des apps du Programme d’achat en volume, l’appareil doit être à l’état administré. Vous pouvez inverser l’ordre de priorité et privilégier l’assignation à l’utilisateur à l’assignation à l’appareil. Vous pouvez également désactiver l’assignation automatique et assigner les apps du Programme d’achat en volume manuellement. Retrouvez plus de renseignements à ce sujet à la section Assignation manuelle des apps du Programme d’achat en volume (page 291). L’assignation automatique des apps du Programme d’achat en volume est configurée par client. 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration du système. 2. Sur la page Configuration du système, cliquez sur l’onglet Apple VP. 3. Dans la liste Assigner automatiquement les apps VPP à l’installation, sélectionnez l’option désirée : • • • Préférablement à l’appareil : si l’appareil est compatible, l’app du Programme d’achat en volume est assignée à l’appareil. Autrement, le Programme d’achat en volume est assigné à l’utilisateur qui est assigné à l’appareil. Si aucun utilisateur n’est assigné à l’appareil, l’assignation de l’app échoue. Préférablement à l’utilisateur : si un utilisateur est assigné à l’appareil, l’app du Programme d’achat en volume est assignée à cet utilisateur. Autrement, l’app est assignée à l’appareil. Si l’appareil ne la prend pas en charge, l’assignation des apps échouera. Désactivé : les apps du Programme d’achat en volume ne sont pas assignées automatiquement. Si vous sélectionnez cette option, les apps du Programme d’achat en volume doivent être assignées manuellement. 17.10.6 Assignation manuelle des apps du Programme d’achat en volume Cette section décrit l’assignation manuelle de chacune des apps du Programme d’achat en volume. Par défaut, les apps que vous avez achetées sur le Programme d’achat en volume d’Apple (VPP) sont automatiquement assignées à l’appareil sur lequel l’app est installée. Retrouvez plus de renseignements à la section Assignation automatique des apps du Programme d’achat en volume (page 290). Vous pouvez assigner aux utilisateurs ou aux appareils des apps que vous avez achetées via le Programme d’achat en volume (VPP). Après avoir assigné une app du Programme d’achat en volume aux utilisateurs associés au Programme d’achat en volume d’Apple, ceux-ci peuvent l’installer sur tous les appareils iOS associés à leur Identifiant Apple. Après avoir assigné une app du Programme d’achat en volume aux appareils, vous pouvez la déployer sur les appareils via Sophos Mobile. Pour assigner une app du Programme d’achat en volume aux utilisateurs ou aux appareils : 1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Apps > iOS. La page Apps s’ouvre et affiche une liste de toutes les apps que vous avez ajoutées à Sophos Mobile. 2. Pour ajouter des apps que vous avez achetées via le Programme d’achat en volume à la liste des apps, cliquez sur Importation d’apps du Programme d’achat en volume. Cette opération va récupérer les informations sur l’app à partir du serveur du Programme d’achat en volume d’Apple et va créer des entrées d’app dans Sophos Mobile si nécessaire. 3. Cliquez sur le triangle bleu correspondant à l’app du Programme d’achat en volume au que vous souhaitez assigner aux utilisateurs ou aux appareils et cliquez sur Modifier. Copyright © 2018 Sophos Limited 291 Sophos Mobile (version locale) Conseil Les apps du Programme d’achat en volume sont identifiées par une encoche dans la colonne Programme d’achat en volume. 4. Sur la page Modification du lien iOS, cliquez sur le bouton Afficher situé à côté de l’option Licences du Programme d’achat en volume. La boîte de dialogue Licences du Programme d’achat en volume s’ouvre. 5. Pour assigner une app à un ou plusieurs utilisateurs, cliquez sur Utilisateurs du Programme d’achat en volume et sélectionnez les utilisateurs requis. La liste contient tous les utilisateurs qui sont enregistrés ou associés au Programme d’achat en volume d’Apple. 6. Pour assigner une app à un ou plusieurs appareils, cliquez sur Appareils et sélectionnez les appareils requis. La liste contient tous les appareils iOS à l’état Administré. 7. Cliquez sur Appliquer pour confirmer les modifications et fermer la boîte de dialogue Licences du Programme d’achat en volume. 8. Par défaut, les apps du Programme d’achat en volume ne sont assignées à aucun groupe d’appareils. Pour assigner une app à un ou plusieurs appareils, cliquez sur Afficher près du champ Disponible pour les groupes d’appareils et sélectionnez un ou plusieurs groupes d’appareils pour lesquels l’app figurera dans la boutique Enterprise App Store. 9. Par défaut, les apps du Programme d’achat en volume sont installées sous l’état administré sur les appareils des utilisateurs. Pour installer une app qui ne sera pas administrée, dessélectionnez la case Installation administrée par Sophos Mobile. Retrouvez plus de renseignements sur les apps administrées à la section Apps administrées pour iOS (page 286). 10. Cliquez sur Enregistrer pour enregistrer vos modifications et pour synchroniser l’assignation de l’app avec le serveur du Programme d’achat en volume d’Apple. Conseil Pour annuler les modifications que vous avez apportées dans la boîte de dialogue Licences du Programme d’achat en volume, cliquez sur Appliquer pour fermer la boîte de dialogue et cliquez sur Précédent pour quitter la page Modification du lien iOS sans enregistrer les modifications dans la base de données. Pour installer l’app assignée sur un appareil : • • Dès que l’app a été assignée aux utilisateurs, elle est répertoriée dans la liste de la vue Achats de l’app iTunes sur leurs appareils. Les utilisateurs peuvent l’installer depuis cet emplacement. Dès que l’app est assignée aux appareils, vous pouvez l’installer via Sophos Mobile. Retrouvez plus de renseignements à la section Installer une app (page 276). Pour retirer l’assignation d’une app : • 292 Ouvrez la boîte de dialogue Licences du Programme d’achat en volume comme expliqué précédemment et effacez la sélection des utilisateurs ou appareils requis. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Remarque L’état des apps du Programme d’achat en volume étant administré par le serveur du Programme d’achat en volume d’Apple, vous allez devoir patienter quelque temps avant de voir les modifications que vous avez apportées dans Sophos Mobile sur les appareils. 17.10.7 Synchronisation des informations sur la licence du Programme d’achat en volume Pour des raisons de performances, Sophos Mobile conserve une copie locale des informations sur la licence du Programme d’achat en volume. Vous pouvez forcer Sophos Mobile à synchroniser ses données du Programme d’achat en volume avec le serveur du Programme d’achat en volume d’Apple. Remarque Vous avez uniquement besoin de synchroniser les données du Programme d’achat en volume si les informations sur la licence d’une app affichées sont incorrectes. 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration du système, puis sur l’onglet Apple VPP. 2. Cliquez sur Effacer le cache du VPP. Sophos Mobile rejette les informations du Programme d’achat en volume local et synchronise les données avec le serveur du Programme d’achat en volume d’Apple. Remarque Retrouvez plus de renseignements sur l’affichage des informations sur la licence d’une app du Programme d’achat en volume à la section Assignation manuelle des apps du Programme d’achat en volume (page 291). 17.11 Configuration de la connexion VPN via l’app et des paramètres pour les apps iOS Pour les apps iOS, vous pouvez configurer une connexion VPN utilisée au démarrage de l’app. Vous pouvez également configurer les paramètres de l’app qui sera déployée sur l’appareil pendant l’installation de l’app. Conditions préalables : • • Pour pouvoir sélectionner une connexion VPN via l’app, veuillez définir une configuration Connexion VPN via l’app dans un profil de configuration iOS. Retrouvez plus de renseignements à la section Configuration de la connexion VPN via l’app (profil d’appareil iOS) (page 176). Pour pouvoir définir les paramètres, vous devez connaître le paramètre requis et le type de paramètre. 1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Apps > iOS. Copyright © 2018 Sophos Limited 293 Sophos Mobile (version locale) 2. Sur la page Apps, cliquez sur le triangle bleu correspondant à l’app de votre choix et cliquez sur Modifier. 3. Sur la page Modification du lien iOS ou Modification du package iOS, cliquez sur Afficher dans le champ Paramètres et VPN. 4. Sur la page Modification des paramètres et de VPN, sélectionnez la configuration requise à partir de la liste déroulante Connexion VPN via l’app pour définir le réseau VPN à laquelle l’app est supposée se connecter. 5. Pour ajouter des paramètres personnalisés, cliquez sur Créer un paramètre. 6. Dans la boîte de dialogue Paramètre de configuration, procédez de la manière suivante : a) Dans le champ Paramètre, saisissez le paramètre requis (par exemple SMC_URL). b) Dans le champ Valeur, saisissez la valeur du paramètre requise (par exemple smc.sophos.com). c) Dans la liste Type, sélectionnez le type de paramètre : String, Bool, Integer ou Real. d) Cliquez sur Appliquer. La série de paramètres personnalisés s’affiche sur la page Modification des paramètres et de VPN. 7. Sur la page Modification des paramètres et de VPN, cliquez sur Appliquer. 8. Cliquez sur Enregistrer. La connexion VPN via l’app sélectionnée sera utilisée dès que l’app se connectera à VPN. Les paramètres seront communiqués aux appareils lors de l’installation de l’app. 294 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 18 Groupes d’apps Sophos Mobile vous permet de créer des groupes d’apps afin de définir une liste d’apps pour les profils, les stratégies et les stratégies de conformité. Les groupes d’apps sont utilisés dans les paramètres suivants : • • • • • La configuration de la Protection des apps des profils d’appareil Android. La configuration du Contrôle des apps des profils d’appareil Android. La configuration des Restrictions des profils d’appareil Android, des profils d’appareil iOS et des profils de conteneur Knox. La configuration des Restrictions d’app des stratégies Windows Mobile. Les stratégies de conformité pour définir des listes d’apps autorisés, interdites et obligatoires. 18.1 Création d’un groupe d’apps 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Groupes d’apps et sélectionnez la plateforme sur laquelle vous souhaitez créer le groupe d’apps. 2. Sur la page Groupes d’apps, cliquez sur Créer un groupe d’apps. 3. Sur la page Modification du groupe d’apps, saisissez un Nom pour le nouveau groupe d’apps et cliquez sur Ajouter une app. 4. Dans la boîte de dialogue Modification de l’app, vous pouvez soit sélectionner une app à partir d’une liste, soit saisir les données d’app personnalisées. • • Pour sélectionner une app dans la liste, cliquez sur Liste des apps et sélectionnez une app dans la liste de toutes les apps qui sont actuellement installées sur les appareils administrés pour la plate-forme que vous avez sélectionnée. Pour saisir les données d’app personnalisées d’une app Android, cliquez sur Personnaliser et configurer les informations suivantes : — Nom de l’app : un nom arbitraire utilisé pour identifier l’app. — Identifiant : le nom du package de l’app. Le nom du package peut être récupéré à partir de l’URL de l’app dans Google Play. Par exemple, pour l’app Android de Sophos Mobile Control, l’URL de Google Play est play.google.com/store/apps/ details?id=com.sophos.mobilecontrol.client.android et le nom du package est com.sophos.mobilecontrol.client.android. — Lien : Pour référence, l’URL de l’app dans Google Play. • • Pour saisir les données d’app personnalisées d’une app iOS, cliquez sur Personnaliser et configurer les informations suivantes : — Nom de l’app : un nom arbitraire utilisé pour identifier l’app. — Identifiant : l’identifiant du package de l’app. — Lien : Pour référence, l’URL de l’app dans l’App Store. Pour saisir les données d’app personnalisées d’une app macOS, cliquez sur Personnaliser et configurer les informations suivantes : — Nom de l’app : un nom arbitraire utilisé pour identifier l’app. — Identifiant : l’identifiant du package de l’app. — Lien : Pour référence, l’URL de l’app dans l’App Store. Copyright © 2018 Sophos Limited 295 Sophos Mobile (version locale) • • Pour saisir les données d’app personnalisées d’une app Windows Mobile, cliquez sur Personnaliser et configurer les informations suivantes : — Nom de l’app : un nom arbitraire utilisé pour identifier l’app. — Lien : L’URL de l’app dans la boutique Microsoft. Par exemple, l’URL de l’app Windows Mobile Sophos Mobile Control est https://www.microsoft.com/fr-fr/store/p/ mobile-control-2017/9nblggh51qsj. — GUID : si vous connaissez le GUID de l’app, vous pouvez le saisir à la place du lien. Autrement, ne remplissez pas ce champ. Pour saisir les données d’app personnalisées d’une app Windows, cliquez sur Personnaliser et configurer les informations suivantes : — Nom de l’app : un nom arbitraire utilisé pour identifier l’app. — Identifiant : Le numéro d’ID de l’app indiqué par Windows. Pour les apps MSI, il s’agit du GUID ProductCode du fichier MSI. Pour les apps de la boutique Microsoft, il s’agit du Nom de la famille du package (PFN) de l’app. — Lien : Pour référence, l’URL de l’app dans la boutique Microsoft. Par exemple, l’URL de l’app Windows Wikipedia est https://www.microsoft.com/fr-fr/store/p/ wikipedia/. 5. Après avoir sélectionné une app dans la liste ou saisi des données d’app personnalisées, cliquez sur Ajouter pour l’ajouter au groupe d’apps. 6. Facultatif : ajoutez plus d’apps au groupe d’apps. 7. Lorsque vous êtes prêt, cliquez sur Enregistrer pour enregistrer le groupe d’apps. 18.2 Importation d’un groupe d’apps Vous pouvez créer un groupe d’apps en important un fichier CSV (valeurs séparées par virgules) encodé en UTF-8 contenant jusqu’à 10 000 apps. Remarque utilisez un éditeur de texte pour modifier le fichier CSV. Si vous utilisez Microsoft Excel, les valeurs saisies ne seront peut-être pas résolues correctement. Assurez-vous d’avoir enregistrer le fichier avec l’extension .csv. Conseil Un modèle de fichier contenant les noms de colonne corrects et leur ordre est disponible au téléchargement sur la page Importer les apps. Pour importer les apps à partir d’un fichier CSV et les ajouter à un groupe d’apps : 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Groupes d’apps et sélectionnez la plateforme sur laquelle vous souhaitez créer le groupe d’apps. 2. Sur la page Groupes d’apps, cliquez sur Créer un groupe d’apps. 3. Sur la page Modification du groupe d’apps, saisissez un Nom pour le nouveau groupe d’apps et cliquez sur Importer les apps. 4. Sur la page Importer les apps, cliquez sur Télécharger un fichier et naviguez jusqu’au fichier CSV que vous avez préparé. Les entrées sont lues à partir du fichier et sont affichées sur la page. 296 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 5. Si le format des données est incorrect ou incohérent, le fichier ne pourra pas être importé. Dans ce cas, veuillez vérifier les messages d’erreur qui sont affichés à côté des entrées, corriger le contenu du fichier CSV et le télécharger de nouveau. 6. Cliquez sur Terminer pour ajouter les apps au groupe d’apps. 7. Sur la page Modification du groupe d’apps, cliquez sur Enregistrer. Copyright © 2018 Sophos Limited 297 Sophos Mobile (version locale) 19 Documents professionnels Remarque Cette fonction nécessite une licence de type Mobile Advanced. Dans Sophos Mobilel, vous pouvez télécharger les fichiers que vous souhaitez distribuer sur les appareils de vos utilisateurs. • • • • Les documents gérés dans Sophos Mobile sont automatiquement ajoutés dans l’emplacement de stockage Documents professionnels dans Sophos Secure Workspace. Vous pouvez assigner une catégorie à chaque document à partir des Documents professionnels. Les documents se trouvant dans Documents professionnels sont en lecture seule. Si Sophos Secure Workspace n’est pas administrée par Sophos Mobile, l’emplacement de stockage Documents professionnels n’est pas disponible. Pour distribuer les documents professionnels 1. Installez l’app Sophos Secure Workspace sur les appareils. Retrouvez plus de renseignements à la section Apps (page 275). 2. Assignez une stratégie de conteneur Sophos avec une configuration Documents professionnels. 3. Téléchargez les documents dans Sophos Mobile. 19.1 Ajout de Documents professionnels Remarque Cette fonction nécessite une licence de type Mobile Advanced. Pour distribuer des documents sur les appareils : 1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Documents. La page Documents apparaît. 2. Cliquez sur Ajouter un document. La page Modifier un document apparaît. 3. Dans la champ Catégorie, saisissez la catégorie sous laquelle le document est affiché chez le fournisseur de stockage Documents professionnels sur l’appareil. Si vous ne remplissez pas ce champ, le fichier sera affiché dans le dossier racine du fournisseur de stockage Documents professionnels. 4. Pour définir les paramètres du document : • • • 298 Sélectionnez l’option Copier dans le Presse-papiers pour autoriser les utilisateurs à copier le document dans le Presse-papiers. Sélectionnez l’option Partager un document pour autoriser les utilisateurs à partager le document. Sélectionnez Utiliser le document hors ligne pour permettre aux utilisateurs d’ajouter le document à la liste des Favoris. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Lorsqu’un document non chiffré dans les Documents professionnels est ajouté à la liste des Favoris, la copie locale est conservée sous forme chiffrée. Lorsque le partage du document est autorisé, le fichier est automatiquement déchiffré avant d’être transféré vers d’autres apps. Si vous dessélectionnez la case Utiliser le document hors ligne, les copies locales seront automatiquement supprimées à la prochaine synchronisation. 5. Cliquez sur le bouton Afficher situé à côté de Groupes assignés et sélectionnez le groupe autorisé à accéder au document. 6. Saisissez une Description pour le document. 7. Cliquez sur Télécharger un fichier et naviguez jusqu’au document. Sélectionnez-le et cliquez sur Ouvrir. 8. Répétez cette étape pour chaque document que vous voulez distribuer. Le document est ajouté à la liste des documents. Il est distribué aux utilisateurs qui peuvent le consulter dans l’app Sophos Secure Workspace. Copyright © 2018 Sophos Limited 299 Sophos Mobile (version locale) 20 Android pour les entreprises Android inclut une fonctionnalité qui simplifie l’intégration des appareils dans l’environnement de votre entreprise et aide vos utilisateurs à séparer les données personnelles des données professionnelles sur leur appareil. Elle est nommée Android pour les entreprises (anciennement Android for Work). Remarque Sophos Mobile est compatible avec Android pour les entreprises à partir d’Android 6. Sophos Mobile est compatible avec les modes d’inscription d’Android pour les entreprises Propriétaire de l’appareil et Propriétaire du profil. Propriétaire de l’appareil Lorsqu’un appareil est inscrit sous le mode propriétaire de l’appareil, la propriété de l’appareil est assignée à Sophos Mobile. Sophos Mobile surveille et administre les paramètres, les apps et les données sur tout l’appareil. Le mode propriétaire de l’appareil se distingue de la procédure d’inscription standard comme suit : • • • • • • • • • • • La procédure d’inscription est plus simple pour les utilisateurs. Les utilisateurs n’ont pas besoin de créer un compte Google personnel sur l’appareil. Les utilisateurs peuvent uniquement installer des apps à partir de Google Play administré et vous pouvez configurer l’agencement de la boutique d’apps. Seul une nombre minimum d’apps est activée par défaut : Boutique Google Play, Contacts, Messages, Téléphone. Vous pouvez installer, désinstaller ou mettre à jour les apps sans intervention de l’utilisateur. Vous pouvez configurer les autorisations d’app afin que les utilisateurs ne soient pas invités à accorder les autorisations pendant l’utilisation. Lorsque possible sur les apps, vous pouvez configurer les paramètres personnalisés des apps. Vous pouvez réinitialiser le mot de passe de verrouillage de l’écran. La procédure d’inscription standard ne permet pas d’effectuer cette opération à partir d’Android 7.0. Vous pouvez configurer un mode kiosque qui limitera l’utilisation à une sélection d’app et pas à une seule app. Vous pouvez inscrire les appareils qui n’ont pas encore été configurés ou sur lesquels les paramètres d’usine ont été restaurés. Il n’existe pas d’action de désinscription dédiée. Pour désinscrire un appareil, vous devez le réinitialiser. Propriétaire du profil Lorsqu’un appareil est inscrit sous le mode propriétaire du profil, un profil professionnel est créé sur l’appareil. Sophos Mobile surveille et gère les paramètres, les apps et les données dans ce profil professionnel. Le mode propriétaire du profil est idéal pour le BYOD (bring your own device). 300 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Information associée Aide d’Android pour les entreprises (lien externe) 20.1 Installation d’Android pour les entreprises Généralités Pour installer Android pour les entreprises dans votre entreprise, vous avez le choix entre deux scénarios différents : Scénario Compte Google Play gérée Il s’agit de la méthode la plus simple pour installer Android pour les entreprises pour votre entreprise. • • • Sophos Mobile vous guide tout au long de la procédure d’installation d’Android pour les entreprises. Si nécessaire, vous pouvez créer plusieurs comptes Android pour les entreprises pour votre organisation. Sophos Mobile Gère le cycle de vie complet du compte d’utilisateur. Retrouvez plus de renseignements à la section Installation d’Android pour les entreprises (scénario Compte Google Play géré) (page 301). Scénario Domaine Google géré Utilisez cette méthode si vous avez déjà un Domaine Google géré ou si vous voulez gérer les comptes de vos utilisateurs Android pour les entreprises sans Sophos Mobile. • • • Vous enregistrez un domaine Google géré auprès de Google et prouvez qu’il vous appartient. Vous reliez Sophos Mobile en tant qu’EMM (Enterprise Mobility Management) tiers à votre domaine Google géré. Sophos Mobile crée les comptes d’utilisateur nécessaires. Sophos Mobile ne gère pas le cycle de vie du compte. Retrouvez plus de renseignements à la section Installation d’Android pour les entreprises (scénario Domaine Google géré) (page 302). 20.2 Installation d’Android pour les entreprises (scénario Compte Google Play géré) Pour installer Android pour les entreprises dans le cadre du scénario Compte Google Play géré, Sophos Mobile vous guide tout au long de la procédure d’installation d’Android pour les entreprises : 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration du système , puis sur l’onglet Android pour les entreprises. 2. Cliquez sur Configurer. 3. Sélectionnez Scénario « Compte Google Play administré » et cliquez sur Suivant. 4. Sélectionnez Enregistrer un compte. Copyright © 2018 Sophos Limited 301 Sophos Mobile (version locale) Vous allez être redirigé vers un site Web de Google à partir duquel vous pourrez enregistrer votre entreprise à Android pour les entreprises. 5. Connectez-vous au site Web de Google avec votre compte Google. Remarque Nous vous conseillons de créer un nouveau compte Google. 6. Sur le site Web de Google, suivez les étapes d’enregistrement de votre entreprise. Conseil Lorsque vous indiquez le nom de votre entreprise, veuillez inclure le terme SMC et votre nom de client Sophos Mobile (par exemple ; Nom de mon entreprise (SMC/Mon nom de client). Les propriétés du compte ne mentionnent aucune information sur le compte connecté à Sophos Mobile. 7. Après avoir effectué les étapes d’enregistrement, le site Web de Google vous redirige vers Sophos Mobile. Dans Sophos Mobile, cliquez sur Finaliser l’installation pour terminer la procédure d’enregistrement. Cette opération termine la procédure d’installation d’Android pour les entreprises pour votre entreprise. 20.3 Installation d’Android pour les entreprises (scénario Domaine Google géré) Pour installer Android pour les entreprises dans le cadre du scénario Domaine Google géré, vous : 1. Enregistrez un Domaine Google géré auprès de Google. 2. Créez un compte de service d’entreprise et configurez les API nécessaires pour communiquer avec les services Google. 3. Reliez Sophos Mobile en tant qu’EMM (Enterprise Mobility Management) tiers à votre domaine Google géré. 20.3.1 Enregistrement d’un domaine auprès de Google La première phase de la procédure d’installation d’Android pour les entreprises consiste à enregistrer votre domaine auprès de Google (domaine Google géré), de créer un administrateur de domaine (compte Google géré) et de vérifier que vous être propriétaire du domaine. Remarque Si vous avez déjà un domaine Google géré, par exemple, si vous êtes inscrit à G Suite (anciennement Google Apps), vous pouvez ignorer cette section. 1. Cliquez sur le lien suivant https://www.google.com/a/signup/? enterprise_product=ANDROID_WORK pour vous inscrire à un domaine Google géré. 302 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 2. Remplissez le formulaire avec les informations demandées. • Sous À propos de votre entreprise, saisissez le domaine qui sera utilisé en tant que domaine Google géré dans le champ Adresse du domaine professionnel. Par exemple, vous pouvez utiliser le domaine de votre serveur Sophos Mobile. Remarque Si vous voulez configurer Android pour les entreprises pour plusieurs clients dans Sophos Mobile, vous devez utiliser un domaine individuel pour chaque client. • Sous Votre compte administrateur Google, saisissez les codes d’accès d’un nouveau domaine administrateur. Remarque Notez les codes d’accès car vous en aurez besoin ultérieurement lors de la procédure d’installation. 3. Cliquez sur le bouton pour créer le compte d’administrateur de domaine. La console Google Admin s’ouvre. 4. Dans la console d’administration Google, démarrez la procédure pour vérifier que vous êtes le propriétaire de ce domaine. Suivez les instructions de Google pour vérifier votre domaine. Une fois qu’il a été vérifié que vous êtes le propriétaire du domaine, vous allez recevoir un token de connexion de votre domaine Google géré à votre fournisseur EMM tiers, c’est-à-dire Sophos Mobile. Veuillez ensuite créer un compte de service Google et configurer les API Google correspondantes. Retrouvez plus de renseignements à la section Configuration du compte de service Google (page 303). 20.3.2 Configuration du compte de service Google La seconde phase de la procédure d’installation d’Android pour les entreprises consiste à créer et à configurer un compte de service Google. Condition préalable : vous avez un compte d’administrateur de domaine pour votre domaine Google géré. Un compte de service Google est un type spécial de compte Google pour une application. Ce compte est utilisé par Sophos Mobile pour communiquer avec les API Google. Créez un projet : 1. Cliquez sur le lien suivant https://console.developers.google.com/apis/library pour ouvrir la console Google API. Connectez-vous à l’aide des codes d’accès de votre compte d’administrateur de domaine. 2. Dans la barre d’en-tête de la console Google API, cliquez sur Project > Créer un projet. Si vous avez déjà un projet, la barre d’en-tête affiche le nom du projet à la place de Project. 3. Dans la boîte de dialogue Nouveau projet, saisissez un nom de projet, par exemple Android pour les entreprises et cliquez sur Créer. Activez les API nécessaires : 4. Sur le menu latéral, cliquez sur Bibliothèque et saisissez admin sdk dans le champ de recherche. Copyright © 2018 Sophos Limited 303 Sophos Mobile (version locale) 5. Dans la liste des résultats, cliquez sur Admin SDK. 6. En haut de la page Admin SDK, cliquez sur Activer. 7. Répétez les trois étapes précédentes pour Google Play EMM API : a) Sur le menu latéral, cliquez sur Bibliothèque et saisissez emm dans le champ de recherche. b) Dans liste des résultats de la recherche, cliquez sur Google Play EMM API. c) En haut de la page Google Play EMM API, cliquez sur Activer. Créez un compte de service : 8. Sur la page Google Play EMM API, cliquez sur Créer des identifiants. 9. Sur la page Ajouter des identifiants au projet, cliquez sur le lien compte de service sous la première étape. 10. Sur la page Comptes de service, cliquez sur Créer un compte de service. 11. Sur la boîte de dialogue Créer un compte de service, saisissez les paramètres suivants : a) Dans le champ Nom de compte de service, saisissez un nom pour le compte de service, par exemple, Android pour les entreprises. b) Sélectionnez Indiquer une nouvelle clé privée puis, sélectionnez JSON. c) Sélectionnez Activer la délégation G Suite au niveau du domaine. d) Dans Nom du produit pour l’écran d’autorisation, saisissez par exemple Android pour les entreprises. Lorsque vous cliquez sur Créer, la clé privée de compte de service est générée et enregistrée sur votre ordinateur dans un fichier JSON. Remarque Placez le fichier JSON dans un emplacement sécurisé. Vous devez associer Sophos Mobile à votre domaine Google géré. Configurer l’accès à l’API : 12. Cliquez sur le lien suivant https://admin.google.com pour ouvrir la console d’administration Google et connectez-vous à l’aide des codes d’accès de votre compte d’administrateur de domaine. 13. Cliquez sur Sécurité, puis sur Paramètres avancés. Conseil Vous allez peut être devoir cliquer sur Plus d’éléments pour afficher Paramètres avancés. 14. Cliquez sur Gérer l’accès au client API. 15. Ouvrez le fichier JSON dans un éditeur de texte et copiez la valeur client_id dans le champ Nom du client. Par exemple, si votre fichier JSON contient un ligne "client_id": "123456789", saisissez 123456789 dans le champ Nom du client. 16. Dans le champ Un ou plusieurs champs d’application d’API, saisissez les deux URL suivantes séparées par des virgules : https://www.googleapis.com/auth/admin.directory.user, https://www.googleapis.com/auth/androidenterprise 304 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 17. Cliquez sur Autoriser. Vous pouvez associer Sophos Mobile à votre domaine Google géré. Retrouvez plus de renseignements à la section Association de Sophos Mobile à votre domaine (page 305). 20.3.3 Association de Sophos Mobile à votre domaine La troisième phase de la procédure d’installation d’Android pour les entreprises consiste à associer Sophos Mobile à votre domaine Google géré. Conditions préalables : • • • • vous avez un compte d’administrateur de domaine pour votre domaine Google géré. Vous avez fait vérifié que vous êtes bien propriétaire du domaine. Vous avez activé les API Google. Vous avez créé un compte de service Google. 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration du système , puis sur l’onglet Android pour les entreprises. 2. Cliquez sur Configurer. 3. Sélectionnez Scénario « Domaine Google administré » et cliquez sur Suivant. 4. Dans la boîte de dialogue qui s’ouvre, configurez les paramètres suivants : Option Description Domaine professionnel Votre domaine Google géré a été vérifié par Google. Administrateur du domaine Le nom de votre compte d’administrateur de domaine. Il s’agit de l’administrateur que vous avez créé lorsque vous avez enregistré votre domaine auprès de Google. Token EMM Le token que vous avez reçu de Google après avoir fait vérifié que vous êtes bien propriétaire du domaine. Vous pouvez voir le token lorsque vous vous connectez à la console d’administration Google (https://admin.google.com) à l’aide de vos codes d’accès d’administrateur de domaine et naviguez jusqu’à Sécurité > Gérer le fournisseur EMM pour Android. 5. Cliquez sur Télécharger un fichier et naviguez jusqu’au fichier JSON que vous avez téléchargé sur Google lors de la création du compte de service. Le fichier JSON sélectionné doit avoir l’extension .json. 6. Cliquez sur Lier. Sophos Mobile contacte le service Web de Google pour se lier en tant que fournisseur EMM à votre domaine Google géré. La dernière phase de la procédure d’installation d’Android pour les entreprises consiste à configurer les paramètres EMM de Google. Retrouvez plus de renseignements à la section Configuration des paramètres EMM (page 306). Copyright © 2018 Sophos Limited 305 Sophos Mobile (version locale) 20.3.4 Configuration des paramètres EMM La dernière phase de la procédure d’installation d’Android pour les entreprises consiste à configurer les paramètres EMM de Google. Condition préalable : Vous avez associé Sophos Mobile à votre domaine Google géré. 1. Cliquez sur le lien suivant https://admin.google.com pour ouvrir la console d’administration Google et connectez-vous à l’aide des codes d’accès de votre compte d’administrateur de domaine. 2. Cliquez sur Sécurité puis sur Gérer le fournisseur EMM pour Android. Conseil Vous allez peut être devoir cliquer sur Plus d’éléments pour afficher Gérer le fournisseur EMM pour Android. 3. Sous Paramètres généraux, sélectionnez Appliquer les règles EMM sur les appareils Android. Cette opération termine la procédure d’installation d’Android pour les entreprises pour votre entreprise. 20.4 Configuration de l’inscription d’un appareil Android pour les entreprises Conditions préalables • Vous avez configuré Android pour les entreprises pour le client. Veuillez suivre les étapes ci-dessous pour configurer l’inscription d’un appareil Android pour les entreprises. 1. Créez une stratégie pour chaque mode d’inscription d’un appareil Android pour les entreprises que vous voulez prendre en charge. • • Pour le mode propriétaire de l’appareil, créez une stratégie de type Stratégie d’appareil Android pour les entreprises. Pour le mode propriétaire du profil, créez une stratégie de type Stratégie de profil professionnel Android pour les entreprises. Retrouvez une description générale sur la création des stratégies à la section Création du profil ou de la stratégie (page 86). 2. Créez une série de tâches pour chaque mode d’inscription d’un appareil Android pour les entreprises que vous voulez prendre en charge. La série de tâches doit au moins contenir une tâche Inscrire et une tâche Installer le profil / Assigner une stratégie pour la stratégie que vous avez créée. Retrouvez une description générale sur la création des séries de tâches à la section Création d’une série de tâches (page 263). 3. Dans les paramètres du groupe du Portail libre-service, configurez la série de tâches que vous avez créée en tant que package initial. 306 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Vous pouvez configurer différents packages pour les appareils professionnels et personnels. Par exemple, utilisez l’inscription du propriétaire de l’appareil pour les appareils professionnels et l’inscription du propriétaire du profil pour les appareils personnels. Retrouvez une description générale sur la configuration des paramètres du groupe du Portail libre-service à la section Configuration des paramètres du Portail libre-service (page 24). Après avoir configuré l’inscription de l’appareil, les utilisateurs de Portail libre-service peuvent inscrire leurs appareils Android à Sophos Mobile. Selon votre configuration, le mode d’inscription (propriétaire de l’appareil ou propriétaire du profil) est défini par le type d’appareil (professionnel ou personnel). Remarque Si vous configurez l’inscription d’appareils Android pour les entreprises professionnels et ou personnels conformément aux instructions de la présente section, l’inscription standard des appareils Android n’est pas disponible pour ce type d’appareil dans le Portail libre-service. 20.5 Gestion des utilisateurs pour Android pour les entreprises (scénario Domaine Google géré) Remarque Cette section décrit la gestion des comptes d’utilisateur Google si vous avez créé un compte Android pour les entreprises à l’aide d’un scénario Domaine Google géré. Pour le scénario Compte Google Play géré, Sophos Mobile gère les comptes Google de vos utilisateurs de manière transparente. Un utilisateur doit avoir un Compte Google géré pour inscrire un appareil Android pour les entreprises. Ce compte est connecté au domaine que vous avez enregistré dans Google. Les noms de compte ont un format semblable à une adresse email, par exemple utilisateur@votre_domaine_Google_géré. Lorsqu’un utilisateur inscrit un appareil dans le Portail libre-service, Sophos Mobile vérifie qu’un compte Google géré existe déjà sur le serveur Google pour l’utilisateur. Pour cette opération, la partie gauche de l’adresse électronique de l’utilisateur indiquée dans Sophos Mobile est combinée au nom de votre domaine Google géré. Si aucun compte de ce nom existe, Sophos Mobile le crée. Exemple : si l’adresse électronique de l’utilisateur dans Sophos Mobile est utilisateur@votre_entreprise.fr et que votre domaine Google géré est votre_domaine_Google_géré, Sophos Mobile recherche un compte nommé utilisateur@votre_domaine_Google_géré sur le serveur Google. Hormis la création d’un compte Google géré pour l’utilisateur au cours de la procédure d’inscription, Sophos Mobile ne gère pas le cycle de vie du compte. Si vous supprimez le compte d’utilisateur dans Sophos Mobile, le compte Google géré de l’utilisateur n’est pas supprimé. Vous pouvez gérer les comptes pour votre Domaine Google géré à partir de la console d’administration Google. Si nécessaire, vous pouvez créer des comptes à partir de votre répertoire LDAP à l’aide de Google Apps Directory Sync (GADS). Information associée Console d’administration Google (lien externe) Copyright © 2018 Sophos Limited 307 Sophos Mobile (version locale) À propos de Google Apps Directory Sync (lien externe) 20.6 Création d’un profil professionnel Un profil professionnel est créé lorsque les utilisateurs inscrivent leurs appareils dans le Portail libreservice sous le mode propriétaire du profil Android pour les entreprises. Vous pouvez supprimer le profil professionnel dans Sophos Mobile Admin, par exemple, pour supprimer les données professionnelles de l’appareil en cas de perte ou de vol. 20.7 Verrouillage du profil professionnel Vous pouvez verrouiller ou déverrouiller le profil professionnel dans Sophos Mobile Admin. Lorsque le profil professionnel est verrouillé, les apps professionnelles ne sont plus disponibles et aucune notification ne s’affiche pour les apps professionnelles. Remarque Cette section ne s’applique pas aux appareils inscrits à Sophos Mobile sous le mode propriétaire de l’appareil Android pour les entreprises. Retrouvez plus de renseignements à la section Android pour les entreprises (page 300). 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils. 2. Cliquez sur le triangle bleu correspondant à l’appareil sur lequel vous voulez verrouiller ou déverrouiller le profil professionnel et cliquez sur Afficher. 3. Cliquez sur Actions > Définir l’accès au conteneur Sophos. 4. Sélectionnez les autorisations d’accès. Refuser : le profil professionnel est verrouillé. Les utilisateurs ne peuvent plus accéder aux apps ou données depuis le profil professionnel. • Autoriser : le profil professionnel est déverrouillé. • Mode Auto : le profil professionnel est verrouillé si l’appareil enfreint une règle de conformité contenant l’action Verrouiller le conteneur. Il s’agit du comportement par défaut si vous n’avez pas défini d’autorisation d’accès. 5. Cliquez sur Oui. • L’appareil est synchronisé avec le serveur Sophos Mobile. Une fois l’opération terminée, le paramètre est appliqué à l’appareil. Conseil Pour verrouiller tout l’appareil et non pas le profil professionnel uniquement, veuillez utiliser Actions > Verrouiller. Conseil Les utilisateurs peuvent verrouiller le profil professionnel à partir du panneau Paramètres rapides de l’appareil (par exemple ; lorsqu’ils sont en congés). 308 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 20.8 Suppression du profil professionnel de l’appareil Remarque Cette section ne s’applique pas aux appareils inscrits à Sophos Mobile sous le mode propriétaire de l’appareil Android pour les entreprises. Retrouvez plus de renseignements à la section Android pour les entreprises (page 300). Vous pouvez supprimer le profil professionnel dans Sophos Mobile Admin pour supprimer les données professionnelles de l’appareil en cas de perte ou de vol. Lorsque vous supprimez le profil professionnel de l’appareil, toutes les apps professionnelles, notamment l’app Sophos Mobile Control, sont également supprimées. Dans Sophos Mobile Admin, l’appareil apparaît sous l’état Désinscrit. 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils. 2. Cliquez sur le triangle bleu correspondant à l’appareil sur lequel vous voulez supprimer le profil professionnel et cliquez sur Afficher. 3. Cliquez sur Actions > Suppression du profil professionnel Android. Une tâche de suppression du profil professionnel est créée et transférée à l’appareil. Vous pouvez voir l’état de la tâche sur la page Vue des tâches. Remarque Si l’utilisateur a déjà supprimé le profil professionnel manuellement, la tâche échoue car l’appareil ne peut plus la recevoir. Pour recréer le profil professionnel, l’utilisateur doit recommencer la procédure d’inscription dans le Portail libre-service. 20.9 Suppression du profil professionnel par l’utilisateur Il se peut que l’utilisateur supprime le profil professionnel de son appareil soit accidentellement soit intentionnellement. Sophos Mobile n’est pas en mesure de détecter si la suppression est accidentelle ou intentionnelle. L’appareil continue d’apparaître sous l’état Android pour les entreprises (propriétaire du profil). Une fois que l’utilisateur a supprimé le profil professionnel, l’appareil ne peut plus se synchroniser avec le serveur Sophos Mobile. Conseil Vous pouvez utiliser le rapport Appareils non synchronisés au cours des 7 derniers jours pour identifier les appareils potentiellement affectés. Copyright © 2018 Sophos Limited 309 Sophos Mobile (version locale) Si le profil professionnel a été supprimé accidentellement, il peut être réinscrit de la manière suivante : 1. Vous supprimez l’appareil de Sophos Mobile. 2. L’utilisateur recommence la procédure d’inscription dans le Portail libre-service. 20.10 Apps professionnelles Les apps professionnelles sont des apps qui peuvent être installées sur un appareil inscrit à Sophos Mobile sous le mode propriétaire de l’appareil ou propriétaire du profil Android pour les entreprises. Remarque Sous le mode propriétaire du profil, les apps professionnelles sont installées dans le profil professionnel et identifiées par un badge représentant un porte-documents. Veuillez effectuer les tâches suivantes dans Google Play gérée et dans Sophos Mobile pour mettre les apps professionnelles à disposition de vos utilisateurs : 1. Dans Google Play gérée, vous sélectionnez les apps pour votre entreprise. Procédez de la manière suivante : • • • Approuvez l’app. Achetez les licences de l’app. Acceptez les autorisations de l’app. Retrouvez plus de renseignements à la section Validation d’une app professionnelle (page 310). 2. Dans Sophos Mobile, vous configurez l’app. Procédez de la manière suivante : • • • Définissez l’emplacement de l’app professionnelle dans l’app Google Play Store gérée sur l’appareil de l’utilisateur. Lorsque possible sur les apps, configurez les paramètres personnalisés des apps. Pour les apps payantes, assignez aux utilisateurs une licence de l’app. Retrouvez plus de renseignements à la section Modification d’une app professionnelle (page 312). 20.10.1 Validation d’une app professionnelle 1. Ouvrez la boutique Google Play gérée (https://play.google.com/work) et connectez-vous avec votre compte d’administrateur Android pour les entreprises. 2. Sélectionnez l’app que vous voulez mettre à disposition de vos utilisateurs. 3. Cliquez soit sur Approuver (pour les apps gratuites) ou sur Acheter (pour les apps payantes). Remarque Les apps professionnelles payantes sont actuellement uniquement disponibles aux ÉtatsUnis et au Canada. 4. Si certaines autorisations sont requises par l’app, veuillez les accepter au nom de votre entreprise. Lorsque vos utilisateurs installent l’app, ils ne leur est pas demandé d’accorder ces autorisations. 310 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 5. Pour les apps payantes, saisissez le nombre de licences et le mode de paiement. Remarque En cas d’erreur lors de l’achat d’une app, vérifiez dans la console d’administration Google que les services de paiement Google sont activés pour votre domaine ou votre compte. À ce stade, l’app est approuvée pour votre domaine mais les utilisateurs ne sont pas encore en mesure de l’installer. Veuillez effectuer l’opération d’allocation dans Sophos Mobile. Retrouvez plus de renseignements à la section Modification d’une app professionnelle (page 312). Remarque Si une mise à jour de votre app professionnelle inclut des autorisations d’app supplémentaires, veuillez les accepter avant que vos utilisateurs puissent installer la mise à jour. Dans le menu Google Play, cliquez sur Mises à jour pour voir et approuver les mises à jour en attente. Information associée Google Play géré (lien externe) Console d’administration Google (lien externe) Aide de Google Play géré (lien externe) 20.10.2 Annulation de l’approbation d’une app professionnelle 1. Ouvrez la boutique Google Play gérée (https://play.google.com/work) et connectez-vous avec votre compte d’administrateur Android pour les entreprises. 2. Cliquez sur Mes apps gérées pour voir les apps professionnelles que vous avez approuvées. 3. Sélectionnez l’app à supprimer de votre boutique Google Play gérée. 4. Cliquez sur Annuler l’approbation. 5. Pour synchroniser la modification avec Sophos Mobile, connectez-vous à Sophos Mobile Admin. 6. Sur le menu latéral, sous CONFIGURATION, cliquez sur Apps > Android. 7. Sur la page Apps, cliquez sur Apps professionnelles Android. 8. Cliquez sur Récupérer la liste d’apps à partir de Google. Remarque Veuillez également supprimer l’app de vos séries de tâches Android. Concepts connexes Séries de tâches (page 263) Information associée Google Play gérée (lien externe) Console d’administration Google (lien externe) Aide de Google Play gérée (lien externe) Copyright © 2018 Sophos Limited 311 Sophos Mobile (version locale) 20.10.3 Modification d’une app professionnelle Après avoir approuvé une app dans Google Play géré, veuillez configurer l’app dans Sophos Mobile afin de la rendre disponible à vos utilisateurs. 1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Apps > Android. 2. Sur la page Apps, cliquez sur Apps professionnelles Android. La page Apps professionnelles Android s’ouvre et affiche une liste de toutes les apps professionnelles que vous avez approuvées dans Google Play géré. 3. Cliquez sur Récupérer la liste d’apps à partir de Google pour synchroniser les modifications que vous avez effectuées dans Google Play géré. Suite à la synchronisation, les utilisateurs pourront installer les apps à l’aide de l’app de la boutique Google Play gérée. 4. Cliquez sur le triangle bleu correspondant à l’app de votre choix et cliquez sur Modifier. 5. Sur la page Modifier l’app professionnelle Android, configurez les paramètres de manière adéquate. Retrouvez plus de renseignements à la section Paramètres de l’app professionnelle (page 312). 6. Cliquez sur Enregistrer pour enregistrer vos modifications. 7. Sur la page Apps professionnelles Android, cliquez sur Envoyer la configuration à Google pour envoyer les informations mises à jour d’agencement et de configuration de l’app à Google. Remarque Si vous ignorez cette étape, la configuration de l’app sera uniquement conservée localement dans Sophos Mobile. Elle ne sera pas transférée au serveur Google et ne sera donc pas disponible pour vos utilisateurs. Suite à la synchronisation des données sur le serveur Google, l’app professionnelle est disponible dans la boutique Google Play gérée. Les apps gratuites sont accessibles par tous vos utilisateurs tandis que les apps payantes sont uniquement accessibles par les utilisateurs auxquels une licence a été assignée. Référence associée Paramètres de l’app professionnelle (page 312) 20.10.4 Paramètres de l’app professionnelle Paramètre/Champ Description Titre Le nom de l’app externe affiché dans Google Play géré. Identifiant produit Le nom interne de l’app. Tarifs Le type de tarif : • • • 312 Gratuit Gratuit avec les achats intégrés Payé Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Paramètre/Champ Description Type de distribution • • • URL de Google Play administrée, URL de Google Play Public (hébergé par Google) : app est disponible au grand public dans Google Play géré. Privé (hébergé par Google) : app que vous avez développée et qui est uniquement accessible aux utilisateurs appartenant à votre domaine Google géré. Le fichier APK a été téléchargé dans Google Play géré. Privé (auto-hébergé) : semblable à Privé (hébergé par Google) sauf que le fichier APK est installé à partir de votre serveur local. Google Play géré est uniquement utilisé pour gérer la distribution. L’adresse Web de l’app dans Google Play géré et dans Google Play. Cliquez sur le lien pour ouvrir cette page dans une nouvelle fenêtre de navigation. Page La page sur laquelle l’app apparaîtra dans l’app Google Play de l’utilisateur. Les valeurs sont préconfigurées par Sophos Mobile et ne peuvent pas être modifiées. Catégorie d’app Le nom d’une catégorie sous laquelle l’app apparaîtra dans l’app Google Play Store de l’utilisateur. Lors de la saisie, une liste de catégories correspondantes s’affiche. Si vous saisissez une catégorie qui n’existe pas, celle-ci est créée. Licences Cliquez sur Afficher à côte des Licences pour voir ou modifier le nombre de licences utilisées ou restantes pour l’app ainsi que les utilisateurs auxquels est assignée une licence. Ce paramètre est uniquement disponible pour les apps payantes. Copyright © 2018 Sophos Limited 313 Sophos Mobile (version locale) Paramètre/Champ Description Paramètres de l’app Cliquez sur Paramètres de l’app pour voir ou modifier les paramètres spécifiques à l’app. Retrouvez plus de renseignements sur les paramètres disponibles dans la documentation fournie par le développeur de l’app. Ce paramètre est uniquement disponible si l’app offre la configuration gérée. Conseil Vous pouvez utiliser les espaces réservés %_USERNAME_% et %_EMAILADDRESS_% et les remplacer par le nom et l’adresse électronique de l’utilisateur. 20.10.5 Installation d’une app professionnelle Après avoir approuvé une app professionnelle dans Google Play géré et avoir assigné les licences de l’app à vos utilisateurs, vous pouvez installer l’app sur les appareils ou groupes d’appareils sélectionnés. Remarque Les utilisateurs peuvent installer les apps à l’aide de l’app de la boutique Google Play gérée. 1. 2. 3. 4. Sur le menu latéral, sous CONFIGURATION, cliquez sur Apps > Android. Sur la page Apps, cliquez sur Apps professionnelles Android. Cliquez sur le triangle bleu correspondant à l’app de votre choix et cliquez sur Installer. Sélectionnez les appareils sur lesquels vous voulez installer l’app. Procédez de l’une des manières suivantes : • • Sélectionnez chaque appareil individuellement. Cliquez sur Sélectionner les groupes d’appareils et sélectionnez un ou plusieurs groupes d’appareils. Lorsque vous êtes prêt, cliquez sur Suivant. 5. Sur la page Définir la date d’exécution, indiquez la date à laquelle l’app sera installée : • Sélectionnez Maintenant pour une exécution immédiate. • Sélectionnez Date et saisissez une date et une heure pour l’exécution planifiée. 6. Cliquez sur Terminer. La tâche d’installation est transmise au service Google. Google gère ensuite l’installation de l’app sur l’appareil. Sur la page Vue des tâches, l’état de la tâche indique Succès lorsqu’elle a bien été transmise à Google. 314 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 20.10.6 Désinstallation d’une app professionnelle Vous pouvez désinstaller une app professionnelle des appareils ou groupes d’appareils sélectionnés. 1. 2. 3. 4. Sur le menu latéral, sous CONFIGURATION, cliquez sur Apps puis sur Android. Sur la page Apps, cliquez sur Apps professionnelles Android. Sur la page Apps professionnelles Android, cliquez sur Désinstaller. Sélectionnez les appareils desquels vous voulez désinstaller l’app. Procédez de l’une des manières suivantes : • • Sélectionnez chaque appareil individuellement. Cliquez sur Sélectionner les groupes d’appareils et sélectionnez un ou plusieurs groupes d’appareils. Lorsque vous êtes prêt, cliquez sur Suivant. 5. Sur la page Sélectionner une app, sélectionnez l’app requise. 6. Sur la page Définir la date d’exécution, indiquez la date à laquelle l’app sera désinstallée : 7. • Sélectionnez Maintenant pour une exécution immédiate. • Sélectionnez Date et saisissez une date et une heure pour l’exécution planifiée. Cliquez sur Terminer. Une tâche de désinstallation de l’app es transmise au service Google. Google gère ensuite la désinstallation de l’app de l’appareil. Sur la page Vue des tâches, l’état de la tâche indique Succès lorsqu’elle a bien été transmise à Google. Conseil Vous pouvez également choisir de suivre la procédure de désinstallation de l’app d’un seul appareil décrite ci-dessous : Ouvrez la page Affichage de l’appareil et dans l’onglet Apps installées, cliquez sur la corbeille correspondant au nom de l’app. 20.10.7 Licences des apps professionnelles L’assignation aux utilisateurs de licences pour les apps professionnelles payantes vous permet de définir les apps qui sont mises à leur disposition. Vous assignez uniquement les licences des apps professionnelles payantes aux utilisateurs. Les apps gratuites que vous avez approuvées dans Google Play sont automatiquement mises à disposition de tous vos utilisateurs suite à la synchronisation de la liste des apps entre Google et Sophos Mobile. Configurez l’assignation de la licence sur la page Modifier l’app professionnelle Android. Retrouvez plus de renseignements à la section Modification d’une app professionnelle (page 312). Conseil Vous n’avez pas besoin d’assigner une licence en cas d’installation d’une app lancée par l’administrateur. Lorsque vous installez une app professionnelle conformément aux instructions de la section Installation d’une app professionnelle (page 314), une licence issue du groupe de licences que vous avez achetées sera automatiquement assignée aux utilisateurs. Copyright © 2018 Sophos Limited 315 Sophos Mobile (version locale) 20.10.8 Agencement de Google Play pour les entreprises Vous pouvez définir l’emplacement de chaque app professionnelle dans l’app Google Play Store pour les entreprises sur l’appareil de l’utilisateur. Les éléments d’agencement configurables sont les Pages et les Catégories. • • • • • Les Pages sont des vues nommées défilant verticalement. Les pages et leurs noms sont prédéfinis par Sophos Mobile. Les Catégories sont des sous-sections nommées d’une page défilant horizontalement que vous définissez. Les catégories sont également appelées clusters dans la documentation Google. Chaque catégorie est spécifique à une certaine page et chaque app apparaît sous une certaine catégorie. Les pages ne contenant aucune app ne sont pas affichées. Vous pouvez configurer jusqu’à 30 catégories par page et jusqu’à 100 apps par catégorie. Vous définissez la page et, facultativement, la catégorie pour chaque app affichée dans l’app Google Play Store pour les entreprises sur l’appareil de l’utilisateur. Par défaut, les apps sont placées sur une page nommée Autre. Vous configurez l’agencement de la page de la boutique sur la page Modifier l’app professionnelle Android. Retrouvez plus de renseignements à la section Modification d’une app professionnelle (page 312). 20.10.9 Apps professionnelles configurables Une app professionnelle peut offrir une configuration gérée. Cette fonction est incluse par le développeur d’apps et vous permet de configurer les paramètres personnalisés de l’app. Si une app prend en charge la configuration gérée, une note Cette application propose la configuration gérée est affichée sur la page de l’app dans Google Play géré. Vous configurez les paramètres de l’app sur la page Modifier l’app professionnelle Android. Retrouvez plus de renseignements à la section Modification d’une app professionnelle (page 312). 20.10.10 Applications professionnelles privées et autohébergées Toutes les apps professionnelles que vous souhaitez mettre à disposition de vos utilisateurs doivent être accessibles sur Google Play géré. • • • Apps professionnelles publiques : apps accessibles à tous les utilisateurs disposant d’un compte Google géré. Apps professionnelles privées : apps que vous avez développées et qui sont uniquement accessibles aux utilisateurs appartenant au domaine Google géré. Apps professionnelles auto-hébergées : apps privées pour lesquelles le fichier APK peut être trouvé sur un serveur appartenant à votre entreprise et non pas sur le serveur Google. Toutefois, les métadonnées de la boutique d’apps des apps auto-hébergées doivent être chargées sur Google afin que l’app puisse être disponible sur Google Play géré. Retrouvez plus de renseignements sur les apps professionnelles privées sur Android in the enterprise developer information (lien externe). 316 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 21 Création d’administrateurs 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Administrateurs pour ouvrir la page Affichage des administrateurs et cliquez sur Créer un administrateur. 2. Sur la page Modification de l’administrateur, configurez les informations du compte pour l’administrateur. • • Lorsque l’Annuaire LDAP externe est sélectionné en tant qu’annuaire d’utilisateurs pour le client, vous pouvez cliquer sur Rechercher un utilisateur avec LDAP pour sélectionner un compte LDAP déjà existant. Si vous n’utilisez pas d’annuaire d’utilisateurs externes, saisissez les données adéquates dans les champs Nom de connexion, Prénom, Nom, Adresse électronique et Mot de passe. Le mot de passe que vous indiquez est un mot de passe à usage unique. Lorsque l’administrateur se connecte pour la première fois, il est invité à le changer. Remarque Le champ Nom de connexion doit uniquement contenir des lettres (alphabet Latin), des chiffres, des espaces et les caractères \!._-#. 3. Dans le champ Rôle, saisissez l’un des rôles disponibles. Le rôle définit le type de droits d’accès à Sophos Mobile dont disposera le nouvel administrateur. Retrouvez plus de renseignements à la section Rôles d’utilisateur (page 5). 4. Cliquez sur Enregistrer pour créer le compte d’administrateur. Le nouvel administrateur est créé et apparaît sur la page Affichage des administrateurs. Envoyez les codes d’accès de l’utilisateur (utilisateur, client et mot de passe à usage unique) au nouvel utilisateur. Le nouvel utilisateur va pouvoir se connecter à Sophos Mobile Admin et va être invité à changer son mot de passe. Copyright © 2018 Sophos Limited 317 Sophos Mobile (version locale) 22 Envoi d’un message aux appareils Remarque Cette section ne s’applique pas aux ordinateurs Windows ou aux appareils Windows IoT. Vous pouvez envoyer un message personnalisé aux appareils administrés. 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils. La page Appareils apparaît. 2. Sélectionnez un ou plusieurs appareils, cliquez sur Actions puis sur Envoyer un message. 3. Dans la boîte de dialogue Saisir un message, saisissez le message que vous voulez envoyer. Le message ne doit pas dépasser 500 caractères. 4. Cliquez sur Terminer. 318 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 23 Gestion de Sophos Mobile Security Remarque Cette fonction nécessite une licence de type Mobile Advanced. Sophos Mobile Security est une app de sécurité qui protège les appareils Android contre les apps malveillantes et aide les utilisateurs à détecter les permissions des apps pouvant poser un risque pour la sécurité. Sa fonction de filtrage du Web vous permet de filtrer les sites Web par catégorie et de bloquer le contenu inapproprié. Sophos Mobile Admin vous permet d’administrer l’app Sophos Mobile Security sur les appareils inscrits à Sophos Mobile de la manière suivante : • • • • Vous pouvez configurer à distance et de manière centralisée les paramètres de l’app Sophos Mobile Security. Assurez-vous que l’app Sophos Mobile Security est installée et procédez aux contrôles conformément aux intervalles que vous avez définis. Vous pouvez définir ceci comme une règle de conformité. Vous pouvez déclencher les contrôles pour des appareils spécifiques. Vous pouvez voir les résultats du contrôle pour les appareils. Retrouvez plus de renseignements sur Sophos Mobile Security dans l’Aide de Sophos Mobile Security. 23.1 Configuration des paramètres antivirus pour Sophos Mobile Security Condition préalable : vous avez activé une licence Mobile Advanced. 1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Profils et stratégies puis sur Android. La page Profils et stratégies apparaît. 2. Cliquez sur Créer et sélectionnez Stratégie de sécurité des mobiles. La page Modification de la stratégie apparaît. 3. Saisissez un nom pour le nouveau profil. 4. Dans le champ Description, saisissez une description pour le profil. 5. Cliquez sur Ajouter une configuration. La page Configurations disponibles apparaît. 6. Sélectionnez Antivirus et cliquez sur Suivant. La vue des paramètres de la configuration apparaît. 7. Allez dans l’onglet Antivirus. 8. Sous Général, vous pouvez sélectionner les options suivantes : a) Dans le champ Mode de contrôle Cloud, indiquez quand Sophos Mobile Security doit rechercher les dernières informations sur les programmes malveillants. Sélectionnez l’une des options suivantes pour définir quand l’app doit utiliser une recherche dans le Cloud : • • • Toujours Pas pendant l’itinérance Wi-Fi uniquement Copyright © 2018 Sophos Limited 319 Sophos Mobile (version locale) Avec ce paramètre, vous pouvez contrôler le trafic de données de l’app. Si vous paramétrez l’option Mode de contrôle Cloud sur Wi-Fi uniquement, la recherche dans le Cloud sera seulement effectuée lorsque l’appareil disposera d’une connexion Wi-Fi valide. Si vous paramétrez l’option Mode de contrôle Cloud sur Pas pendant l’itinérance, aucune recherche dans le Cloud ne sera effectuée si l’appareil est en itinérance sur un réseau étranger. b) Dans la liste Intervalle du contrôle planifié, sélectionnez la fréquence des contrôles. Si vous sélectionnez Quotidiennement pendant la recharge, un contrôle est effectué lorsque l’appareil est branché sur secteur pendant plus de 30 minutes. 9. Sous Cibles, vous pouvez sélectionner les options suivantes : a) Sélectionnez Contrôler les apps système pour inclure les apps système aux contrôles. Les apps système ne sont pas contrôlées par défaut car elles sont protégées par le système d’exploitation Android et ne peuvent donc pas être supprimées par l’utilisateur. Vous pouvez également activer le contrôle des apps système ici. b) Sélectionnez Contrôler le stockage pour contrôler la présence de menaces dans tous les fichiers sur le stockage partagé en interne, la carte SD et les appareils USB connectés en plus d’appliquer le contrôle par défaut de toutes les apps installées. 10. Sous PUA, vous pouvez effectuer les actions suivantes : a) Sélectionnez Détecter les PUA pour contrôler la présence d’applications potentiellement indésirables. Les applications potentiellement indésirables (PUA) sont des apps qui ne sont pas malveillantes mais dont la présence sur les réseaux d’entreprise est généralement considérée comme inappropriée. Les PUA sont classées sous le nom d’adware (logiciel publicitaire), dialer (composeur de numéros), moniteur système, outils d’administration à distance et outils de piratage. Toutefois, il peut arriver que certains utilisateurs considèrent comme nécessaire l’utilisation d’apps classées dans la catégorie PUA. Si vous sélectionnez cette option, Sophos Mobile Security va détecter les PUA pendant les contrôles et avertir l’utilisateur de l’appareil de leur présence. b) Sélectionnez Autoriser l’utilisateur à approuver les PUA pour autoriser les utilisateurs à approuver les apps même si elles ont été identifiées en tant que PUA. L’utilisateur peut également choisir de les ignorer. Dans les contrôles à venir, ces apps ne seront pas affichées comme des PUA. 11. Sous Apps de faible réputation, indiquez comment traiter ces apps. Le classement de ces apps se fait en fonction des données de la Protection Live Sophos. Sous Mode, vous pouvez effectuer les actions suivantes : a) Sélectionnez Autoriser pour désactiver le contrôle des apps de mauvaise réputation. b) Sélectionnez Avertir pour afficher un avertissement sur l’appareil lorsqu’une app de faible réputation est détectée. Les utilisateurs peuvent ensuite choisir comment traiter l’app. Ils peuvent l’ajouter à une liste d’apps autorisées afin de ne plus recevoir d’autres avertissements en cas de détection de cette app. c) Sélectionnez Bloquer afin d’empêcher le démarrage d’apps de faible réputation. Un avertissement va apparaître mais l’utilisateur ne pourra pas démarrer l’app. 12. Sous Sophos Live Protection, vous pouvez effectuer les actions suivantes : a) Assurez-vous que la case Notification de contrôle est sélectionnée pour recevoir les notifications de contrôle. b) Sélectionnez Surveiller le stockage pour contrôler toute modification dans le stockage partagé en interne, sur la carte SD et sur les périphériques USB connectés Lorsque de nouveaux fichiers sont stockés dans ces emplacements, ils sont contrôlés. 13. Si les résultats de votre contrôle incluent les apps qui devraient être autorisées à démarrer, vous pouvez les ajouter à la liste des apps autorisées. Les apps de cette liste seront toujours autorisées à démarrer. Ces apps ne seront pas signalées. 320 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Pour identifier une app de ce type, vous pouvez utiliser les résultats du contrôle de Sophos Mobile Security. Retrouvez plus de renseignements à la section Affichage des résultats du contrôle Sophos Mobile Security (page 322). Avant d’autoriser ces apps à démarrer sur les appareils, veuillez les ajouter à un groupe d’apps conformément aux instructions de la section Groupes d’apps (page 295). 14. Pour ajouter des apps autorisées, sélectionnez le groupe d’apps contenant les apps autorisées. 15. Cliquez sur Appliquer. 23.2 Configuration des paramètres du filtrage Web pour Sophos Mobile Security Condition préalable : vous avez activé une licence Mobile Advanced. L’app Sophos Mobile Security vous protège contre toute navigation sur des sites malveillants et au contenu indésirable ou illégal. Remarque Le filtrage Web fonctionne uniquement avec le navigateur Web Android ou Google Chrome. 1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Profils et stratégies puis sur Android. La page Profils et stratégies apparaît. 2. Cliquez sur Créer et sélectionnez Stratégie de sécurité des mobiles. La page Modification de la stratégie apparaît. 3. Saisissez un nom pour le nouveau profil. 4. Dans le champ Description, saisissez une description pour le profil. 5. Cliquez sur Ajouter une configuration. La page Configurations disponibles apparaît. 6. Sélectionnez Filtrage Web et cliquez sur Suivant. La page Filtrage Web apparaît. 7. Dans le champ Filtrer les sites Web malveillants, configurez l’accès aux sites Web malveillants. 8. Sous Filtrer les sites Web par catégorie, configurez l’accès aux sites Web en fonction de leur catégorie. Les sites Web sont classés par catégorie en fonction des données collectées par les SophosLabs. Ces données sont constamment mises à jour. 9. Sous Exceptions de site Web, vous pouvez définir les : a) Domaines autorisés : ajoutez les domaines ou adresses IP autorisés même s’ils appartiennent à une catégorie bloquée. b) Domaines bloqués : ajoutez les domaines ou adresses IP bloqués même s’ils appartiennent à une catégorie autorisée. Vous pouvez insérer les noms de domaine et les adresses IP. Exemples : www.entreprise.fr, *.entreprise.fr, 10.2.0.1, 10.2.0.1/24 10. Cliquez sur Appliquer. Les utilisateurs ne peuvent pas changer les paramètres que vous avez défini dans Sophos Mobile. Copyright © 2018 Sophos Limited 321 Sophos Mobile (version locale) 23.3 Définition des règles de conformité de Sophos Mobile Security Condition préalable : vous avez activé une licence Mobile Advanced. Vous pouvez configurer les règles de conformité associées à Sophos Mobile Security. 1. Ajoutez une nouvelle stratégie de conformité ou ouvrez-en une existante pour la modifier. Retrouvez plus de renseignements à la section Stratégies de conformité (page 43). 2. Allez dans l’onglet Android. 3. Dans le champ Intervalle maximal de contrôle de SMSec, vous pouvez indiquer l’intervalle maximal de contrôle pour les contrôles de présence de programmes malveillants effectués par l’app Sophos Mobile Security. 4. Dans la liste Refus des droits SMSec autorisés, sélectionnez si le refus des autorisations requises entraîne une violation de la conformité. 5. Dans la liste Apps malveillantes autorisées, sélectionnez si les apps malveillantes sont autorisées ou non. 6. Dans la liste Apps suspectes autorisées, sélectionnez si les apps suspectes détectées sont autorisées ou non. 7. Dans la liste Apps potentiellement indésirables autorisées, sélectionnez si les PUA (apps potentiellement indésirables) sont autorisées ou non. 8. Dès que tous les paramètres requis ont été configurés, cliquez sur Enregistrer. 23.4 Affichage des résultats du contrôle Sophos Mobile Security Remarque Cette fonction nécessite une licence de type Mobile Advanced. 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils. 2. Cliquez sur le triangle bleu correspondant à l’appareil de votre choix et cliquez sur Modifier ou sur son nom. La page Affichage de l’appareil ou Modification de l’appareil apparaît. 3. Allez dans l’onglet Résultats du contrôle. L’onglet affiche les résultats du contrôle effectué par Sophos Mobile Security. Les packages non sains comme, par exemple, les apps potentiellement indésirables, apparaissent dans le tableau ci-dessous. Sous Nom de la menace, cliquez sur les liens pour voir les informations supplémentaires des SophosLabs sur la menace. 4. Dans l’onglet Violations de conformité, vous pouvez voir les violations de conformité associées aux résultats du contrôle. Les violations affichées dépendent des règles de conformité de Sophos Mobile Security. 322 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 23.4.1 Création d’une liste d’autorisation pour les PUA et apps de faible réputation Remarque Cette fonction nécessite une licence de type Mobile Advanced. Utilisez les résultats du contrôle de l’app Sophos Mobile Security pour créer une liste d’apps autorisées. 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils. 2. Cliquez sur le triangle bleu correspondant à l’appareil pour lesquels vous voulez utiliser les résultats du contrôle et cliquez sur Modifier. 3. Allez dans l’onglet Résultats du contrôle. Les packages corrompus sont affichés dans un tableau. La colonne Nom de la menace indique si le package affiché est une app de mauvaise réputation, une PUA ou un programme malveillant. Cliquez sur les liens pour voir les informations supplémentaires qu’ont les SophosLabs sur la menace. 4. 5. 6. 7. 8. Une icône en forme d’encoche bleue à gauche du nom du package permet d’identifier les packages dans lesquels des apps de faible réputation et les PUA ont été détectées. Seules ces apps peuvent être ajoutées à la liste des apps autorisées. Cliquez sur l’icône en forme d’encoche bleue pour ajouter l’app à la liste des apps autorisées. Dans la boîte de dialogue, cliquez sur Oui pour confirmer l’opération. L’app est ajoutée à la liste des apps autorisées. Répétez cette étape pour toutes les apps que vous voulez ajouter. Vous pouvez afficher la liste en allant sous Paramètres et en cliquant sur Général. Cliquez sur Afficher la liste d’autorisation. Toutes les apps ajoutées sont affichées. Les apps de cette liste seront autorisées à démarrer sur tous les appareils administrés. Les apps ne seront plus signalées. Lorsque vous cliquez sur Effacer la liste d’autorisation, toutes les entrées de la liste sont supprimées. Copyright © 2018 Sophos Limited 323 Sophos Mobile (version locale) 24 Conteneur Sophos Remarque Cette fonction nécessite une licence de type Mobile Advanced. Le conteneur Sophos est un emplacement logique d’un appareil contenant les apps Sophos Secure Workspace, Sophos Secure Email et Sophos Mobile Security lorsqu’elles sont administrées par Sophos Mobile. Le conteneur Sophos est compatible avec les plates-formes suivantes : • • Android iOS 24.1 Configuration de l’inscription d’un conteneur Sophos Remarque Cette fonction nécessite une licence de type Mobile Advanced. Pour inscrire des appareils à Sophos Mobile à l’aide d’un type d’inscription Conteneur Sophos, vous devez effectuer les étapes de configuration suivantes. Vous devez effectuer cette opération pour chaque plate-forme (Android, iOS) sur laquelle vous souhaitez utiliser l’inscription d’un conteneur Sophos. 1. Créez une stratégie de conteneur. Retrouvez plus de renseignements aux sections Configuration des stratégies de conteneur Sophos pour Android (page 143) et Configuration des stratégies de conteneur Sophos pour iOS (page 193). 2. Utilisez cette stratégie de conteneur dans une série de tâches. La série de tâches doit au moins contenir une tâche Inscrire le conteneur Sophos et une tâche Installer le profil. Retrouvez plus de renseignements à la section Création d’une série de tâches (page 263). 3. Utilisez cette série de tâches en tant que package initial pour les inscriptions dans le Portail libreservice : Dans les paramètres du Portail libre-service, dans l’onglet Paramètres de groupe, sélectionnez la série de tâches dans le champ Package initial - appareils professionnels ou Package initial - appareils personnels. Retrouvez plus de renseignements à la section Configuration des paramètres du Portail libre-service (page 24). 24.2 Licence Mobile Advanced Lorsque vous activez une licence Mobile Advanced, vous pouvez utiliser les fonctions supplémentaires suivantes : • 324 Gérer les apps Sophos Secure Workspace et Sophos Secure Email. Retrouvez plus de renseignements à la section Gestion des apps du conteneur Sophos (page 325). Copyright © 2018 Sophos Limited Sophos Mobile (version locale) • Pour les appareils Android, vous pouvez gérer l’app Sophos Mobile Security. Retrouvez plus de renseignements à la section Gestion de Sophos Mobile Security (page 319). Après avoir reçu votre clé de licence, vous allez devoir activer la licence. Activer une licence Mobile Advanced pour Sophos Mobile (version locale) Dans Sophos Mobile (version locale), les licences sont gérées par le super administrateur dans la gestion des clients. Retrouvez plus de renseignements dans le Guide du super administrateur de Sophos Mobile (anglais). Activer une licence Mobile Advanced pour Sophos Mobile (version SaaS Dans Sophos Mobile Admin, allez dans PARAMÈTRES > Configuration > Configuration du système > Licence et saisissez votre clé de licence dans le champ Clé de licence Advanced. 24.3 Gestion des apps du conteneur Sophos Remarque Cette fonction nécessite une licence de type Mobile Advanced. Pour une meilleure séparation des données sur les appareils administrés, , Sophos Mobile met à disposition les apps du conteneur Sophos dans Sophos Secure Email et Sophos Secure Workspace : • • Sophos Secure Email est une app pour appareils Android et iOS qui met à votre disposition un conteneur sécurisé vous permettant d’administrer vos emails, votre agenda et vos contacts. Sophos Secure Workspace est une app pour appareils Android et iOS qui permet aux utilisateurs d’accéder aux fichiers chiffrés stockés dans le Cloud. Les fichiers sont déchiffrés et peuvent être consultés en toute simplicité. Les fichiers chiffrés peuvent être fournis par d’autres apps et téléchargés dans l’un des emplacements de stockage Cloud pris en charge. Vous pouvez également choisir d’archiver les documents localement sur l’app. Grâce à Sophos Secure Workspace, vous pouvez lire les fichiers chiffrés par SafeGuard Cloud Storage ou par SafeGuard Data Exchange. Tous deux sont des modules de SafeGuard Enterprise ou une de ses éditions. Ils vous permettent de chiffrer les fichiers à l’aide de la clé locale. Ces clés locales sont issues d’une phrase secrète saisie par un utilisateur. Vous pouvez uniquement déchiffrer un fichier lorsque vous savez quelle phrase secrète a été utilisée pour chiffrer le fichier. Le conteneur Sophos fournit : • • • • • • Des règles de mot de passe définies de manière centralisée Des règles de mot de passe pour toutes les apps du conteneur L’authentification unique pour toutes les apps du conteneur Les paramètres documentaire de Sophos Secure Workspace Les paramètres de navigateur de Sophos Secure Workspace Les paramètres Sophos Secure Email Vous pouvez administrer les apps Sophos avec Sophos Mobile de la manière suivante : • Vous pouvez configurer à distance et de manière centralisée les paramètres des apps du conteneur Sophos sur tous les appareils administrés dans Sophos Mobile. Retrouvez plus de Copyright © 2018 Sophos Limited 325 Sophos Mobile (version locale) • • • renseignements aux sections Configuration des stratégies de conteneur Sophos pour Android (page 143) et Configuration des stratégies de conteneur Sophos pour iOS (page 193). Les stratégies de conformité vous permettent de vous assurer que les apps du conteneur Sophos sont installées sur les appareils. Vous pouvez activer la distribution sécurisée des documents en utilisant le fournisseur de stockage Documents professionnels. Retrouvez plus de renseignements à la section Documents professionnels (page 298). Vous pouvez activer la synchronisation du jeu de clés professionnel entre l’app Sophos Secure Workspace et Sophos SafeGuard Enterprise. Cette opération permet d’avoir les clés disponibles dans le jeu de clés SafeGuard de l’utilisateur à disposition dans le jeu de clés Sophos Secure Workspace. Retrouvez plus de renseignements à la section Activation de la synchronisation du jeu de clés professionnel (page 328). Remarque Pour administrer les apps du conteneur Sophos, celles-ci doivent être distribuées par Sophos Mobile. Si les utilisateurs disposent déjà d’une version non administrée de Sophos Secure Workspace sur leurs appareils, ils doivent d’abord la désinstaller et installer la version administrée. Retrouvez plus de renseignements sur Sophos Secure Workspace dans l’Aide de Sophos Secure Workspace. 24.4 Réinitialisation du mot de passe du conteneur Sophos Remarque Cette fonction nécessite une licence de type Mobile Advanced. Remarque Cette section s’applique aux appareils auxquels une stratégie de conteneur Sophos est assignée. Vous pouvez réinitialiser le mot de passe du conteneur Sophos. Ceci s’avère par exemple utile lorsque les utilisateurs oublient leur mot de passe. Si vous réinitialisez un mot de passe du conteneur Sophos, l’utilisateur sera invité à créer un nouveau mot de passe de conteneur. 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils. La page Appareils apparaît. 2. Cliquez sur l’appareil pour lequel vous souhaitez réinitialiser le mot de passe du conteneur Sophos. La page Affichage de l’appareil apparaît. 3. Cliquez sur Actions. Le menu Actions apparaît. 4. Cliquez sur Réinitialiser le mot de passe du conteneur Sophos. 5. Dans la boîte de dialogue, cliquez sur Oui pour confirmer l’opération. 326 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Le mot de passe du conteneur Sophos est réinitialisé. L’utilisateur doit saisir un nouveau mot de passe du conteneur Sophos. 24.5 Verrouillage et déverrouillage du conteneur Sophos Remarque Cette fonction nécessite une licence de type Mobile Advanced. Remarque Cette section s’applique aux appareils auxquels une stratégie de conteneur Sophos est assignée. Vous pouvez verrouiller ou déverrouiller le conteneur Sophos, c’est-à-dire, que vous pouvez définir les autorisations d’accès aux apps du conteneur Sophos et aux données du conteneur Sophos. 1. Sur le menu latéral, sous GESTION, cliquez sur Appareils. 2. Sur la page Appareils, cliquez sur le triangle bleu correspondant à l’appareil sur lequel vous voulez verrouiller ou déverrouiller le conteneur Sophos et cliquez sur Afficher. 3. Sur la page Affichage de l’appareil, cliquez sur Actions > Définir l’accès au conteneur Sophos. 4. Dans la boîte de dialogue de définition des autorisations d’accès, sélectionnez l’une des options suivantes : Refuser : le conteneur Sophos est verrouillé. Les utilisateurs ne pourront plus l’utiliser. Autoriser : le conteneur Sophos est déverrouillé. Mode Auto : Le conteneur Sophos est verrouillé tant que l’appareil enfreint une règle de conformité pour laquelle Verrouiller le conteneur est activé. Il s’agit du comportement par défaut si vous n’avez pas défini d’autorisation d’accès. 5. Cliquez sur Oui. • • • L’appareil est déclenché pour se synchroniser avec le serveur Sophos Mobile. Lors de l’opération de synchronisation, le paramètre est appliqué à l’appareil. 24.6 Synchronisation du jeu de clés professionnel La synchronisation du jeu de clés professionnel ajoute les fonctions suivantes à l’app Sophos Secure Workspace : • • • • • Les clés disponibles dans le jeu de clés SafeGuard Enterprise de l’utilisateur sont disponibles dans le jeu de clés de Sophos Secure Workspace (jeu de clés SSW). Les utilisateurs de l’app peuvent alors utiliser les clés pour déchiffrer et voir les documents ou pour chiffrer des documents. Les utilisateurs peuvent continuer à utiliser les clés locales qui étaient disponibles dans leur jeu de clés SSW même lorsque vous avez activé la synchronisation du jeu de clés. Les utilisateurs ne peuvent pas créer de nouvelles clés locales. Pour des raisons de sécurité, les clés dans le jeu de clés SafeGuard sont supprimées d’un appareil lorsque le conteneur Sophos est verrouillé. Copyright © 2018 Sophos Limited 327 Sophos Mobile (version locale) 24.6.1 Activation de la synchronisation du jeu de clés professionnel Conditions préalables : • • • • Vous devez utiliser Sophos SafeGuard Enterprise 8.0. Vous avez configuré la gestion des utilisateurs externes pour le Portail libre-service en utilisant la même base de données d’utilisateurs Active Directory que celle configurée dans SafeGuard Enterprise. Sophos Secure Workspace est administrée par Sophos Mobile. Une licence Mobile Advanced est requise. Sophos Mobile Security doit pouvoir communiquer avec votre serveur SafeGuard Enterprise par HTTPS. Pour activer la synchronisation du jeu de clés professionnel, vous devez établir la connexion entre Sophos Mobile et Sophos SafeGuard Enterprise comme suit : 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration du système, puis sur l’onglet SGN. 2. Cliquez sur le lien du Certificat pour télécharger le certificat du serveur Sophos Mobile. 3. Ouvrez SafeGuard Management Center et allez dans Outils > Outil de package de configuration. 4. Dans l’onglet Serveurs, cliquez sur Ajouter, naviguez jusqu’au fichier de certificat et cliquez sur OK. Ne modifiez pas le champ Nom du serveur. 5. Facultatif : Sélectionnez Récupération par mobile pour activer la synchronisation des clés de récupération BitLocker et FileVault avec l’app Sophos Secure Workspace. 6. Dans l’onglet Packages du client administré, configurez les paramètres suivants : Dans le champ Nom du package de configuration, sélectionnez Client administré (par défaut). • Dans le champ Serveur principal, sélectionnez votre serveur SGN. • Dans le champ Chiffrement du transport, sélectionnez SSL. 7. Cliquez sur Créer un package de configuration. 8. Sur l’onglet SGN de Sophos Mobile Admin, cliquez sur Télécharger un fichier pour télécharger sur Sophos Mobile le package de configuration que vous avez créé dans SafeGuard Management Center. 9. Cliquez sur Enregistrer pour enregistrer les paramètres d’intégration de SafeGuard. • 328 Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 25 Transfert de données de Sophos Mobile vers Sophos Mobile (version Central) Vous pouvez exporter des données à partir de Sophos Mobile (version locale) ou de Sophos Mobile (version SaaS puis les importer dans Sophos Mobile (version Central). Les éléments suivants peuvent être transférés : • • • Profils Stratégies Groupes d’apps Pour exporter vos données, effectuez ces étapes dans Sophos Mobile (version locale) ou dans Sophos Mobile (version SaaS: 1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Exporter. 2. Les éléments à exportés seront répertoriés sous Exporter l’aperçu. 3. Cliquez sur Exporter et saisissez un mot de passe pour le fichier d’échange utilisé pour transférer les données vers Sophos Mobile (version Central). 4. Cliquez sur Télécharger. Le fichier d’échange est téléchargé sur votre ordinateur. Pour importer vos données dans Sophos Mobile (version Central), effectuez les étapes suivantes dans Sophos Central Admin : 5. Sur le menu latéral, sous Mes produits, cliquez sur Mobile. 6. Sur le menu latéral de la vue Mobile sous PARAMÈTRES, cliquez sur Configuration > Importer. 7. Cliquez sur Télécharger le fichier Exchange et sélectionnez le fichier d’échange. Saisissez le mot de passe que vous avez créé lorsque vous avez exporté les données. 8. Cliquez sur Télécharger pour télécharger le fichier d’échange. 9. Les éléments à importés seront répertoriés sous Importer l’aperçu. Vérifiez s’il y a des d’avertissements. Important Si des éléments déjà existants ont le même nom que les éléments à importer, ils seront remplacés. 10. Cliquez sur Importer pour importer les données sur votre compte Sophos Mobile (version Central). Copyright © 2018 Sophos Limited 329 Sophos Mobile (version locale) 26 Glossaire 330 Client Le locataire qui gère les appareils. Appareil L’appareil à administrer (par exemple un smartphone, une tablette ou un appareil Windows 10). Inscription L’enregistrement d’un appareil dans Sophos Mobile. Boutique Enterprise App Store Un répertoire d’apps hébergé sur le serveur Sophos Mobile. L’administrateur peut utiliser Sophos Mobile Admin pour ajouter des apps dans l’App Store pour entreprise. Les utilisateurs peuvent utiliser l’app Sophos Mobile Control pour installer ces apps sur leurs appareils. Approvisionnement Le processus d’installation de l’app Sophos Mobile Control sur un appareil. Portail libre-service L’interface Web qui permet aux utilisateurs d’inscrire leurs propres appareils et d’effectuer les tâches sans avoir à contacter le service d’assistance. Licence Mobile Advanced La licence Mobile Advanced vous permet d’administrer les apps Sophos Mobile Security, Sophos Secure Workspace et Sophos Secure Email avec Sophos Mobile. SMSec Abréviation de Sophos Mobile Security. Client Sophos Mobile L’app Sophos Mobile Control installée sur les appareils administrés par Sophos Mobile. Console Sophos Mobile L’interface Web utilisée pour administrer les appareils. Sophos Mobile Security Une app de sécurité pour les appareils Android. Pour administrer cette app avec Sophos Mobile, une licence Mobile Advanced doit être activée. Sophos Secure Email Une app pour appareils Android et iOS qui vous fait bénéficier d’un conteneur sécurisé vous permettant d’administrer vos emails, votre agenda et vos contacts. Pour administrer cette app avec Sophos Mobile, une licence Mobile Advanced doit être activée. Sophos Secure Workspace Une app pour appareils Android et iOS qui vous permet de bénéficier d’un espace de travail sécurisé à partir duquel vous pouvez naviguer, gérer, modifier, partager, chiffrer et déchiffrer des documents se trouvant chez différents fournisseurs de stockage ou distribués par votre entreprise. Pour administrer cette app avec Copyright © 2018 Sophos Limited Sophos Mobile (version locale) Sophos Mobile, une licence Mobile Advanced doit être activée. Série de tâches Copyright © 2018 Sophos Limited Vous créez un package pour regrouper plusieurs tâches sous la même transaction. Vous pouvez regrouper toutes les tâches nécessaires afin de disposer d’un appareil inscrit et opérationnel. 331 Sophos Mobile (version locale) 27 Support technique Vous bénéficiez du support technique des produits Sophos de l’une des manières suivantes : • • • • 332 Rendez-vous sur le forum Sophos Community en anglais sur community.sophos.com/ et recherchez d’autres utilisateurs rencontrant le même problème que le vôtre. Rendez-vous sur la base de connaissances du support de Sophos sur www.sophos.com/fr-fr/ support.aspx. Téléchargez la documentation des produits sur www.sophos.com/fr-fr/support/ documentation.aspx. Ouvrez un incident support sur https://secure2.sophos.com/fr-fr/support/contact-support/ support-query.aspx. Copyright © 2018 Sophos Limited Sophos Mobile (version locale) 28 Mentions légales Copyright © 2011-2018 Sophos Limited. Tous droits réservés. Aucune partie de cette publication ne peut être reproduite, stockée dans un système de recherche documentaire ou transmise, sous quelque forme ou par quelque moyen que ce soit, électronique, mécanique, photocopie, enregistrement ou autre sauf si vous possédez une licence valide, auquel cas vous pouvez reproduire la documentation conformément aux termes de cette licence ou si vous avez le consentement préalable écrit du propriétaire du copyright. Sophos est une marque déposée de Sophos Limited et de Sophos Group. Tous les autres noms de produits et d’entreprises mentionnés dans ce document sont des marques ou des marques déposées de leurs propriétaires respectifs. Dernière mise à jour : 20171212 Copyright © 2018 Sophos Limited 333