sophos mobile (version central)

Sophos Mobile (versionCentral)Manuel d’administration

7.1Version du produit :

Table des matières

1 À propos de cette aide.......................................................................................................5

2 Étapes principales pour l’administration d’appareils avec Sophos Mobile.........................6

3 Tableau de bord..................................................................................................................7

4 Rapports.............................................................................................................................8

5 Tâches................................................................................................................................9

5.1 Surveillance des tâches........................................................................................9

6 Paramètres généraux.......................................................................................................13

6.1 Configuration des paramètres personnels..........................................................13

6.2 Configuration des paramètres de l’app SMC......................................................14

6.3 Activation du service Baidu Cloud Push.............................................................14

6.4 Configuration des paramètres iOS.....................................................................14

6.5 Configuration de l’intervalle d’interrogation pour les appareils Windows............15

6.6 Configuration de la messagerie..........................................................................16

6.7 Configuration des coordonnées du contact technique.......................................16

6.8 Propriétés pour les clients..................................................................................16

7 Configuration du Portail libre-service...............................................................................17

7.1 Configuration des paramètres du Portail libre-service........................................17

7.2 Paramètres du Portail libre-service disponibles..................................................19

8 Configuration du système.................................................................................................22

8.1 Certificats du service Apple Push Notification....................................................22

8.2 Configuration des destinations iOS AirPlay........................................................25

8.3 Licence Samsung Knox......................................................................................25

8.4 Protocole SCEP (Simple Certificate Enrollment Protocol).................................26

9 Stratégies de conformité..................................................................................................28

9.1 Création d’une stratégie de conformité...............................................................28

9.2 Règles de conformité disponibles.......................................................................29

9.3 Assignation d’une stratégie de conformité aux groupes d’appareils...................35

9.4 Vérification de la conformité des appareils.........................................................36

10 Appareils........................................................................................................................37

10.1 Ajout d’appareils...............................................................................................37

10.2 Inscription des appareils...................................................................................38

10.3 Désinscription des appareils.............................................................................44

10.4 Gestion des appareils.......................................................................................45

10.5 Programme d’inscription d’appareils (DEP) Apple...........................................51

11 Groupes d’appareils.......................................................................................................61

2

11.1 Création d’un groupe d’appareils......................................................................61

11.2 Suppression des groupes d’appareils..............................................................61

12 Utilisateurs......................................................................................................................62

13 Profils et stratégies.........................................................................................................63

13.1 Création du profil ou de la stratégie..................................................................63

13.2 Importation des profils d’appareil iOS créés avec Apple Configurator.............64

13.3 Importation des profils d’enregistrement pour les apps iOS.............................65

13.4 Règles de complexité de mot de passe Windows Desktop..............................65

13.5 Support de Samsung Knox...............................................................................66

13.6 Espaces réservés dans les profils et stratégies...............................................67

13.7 Installation d’un profil sur les appareils.............................................................67

13.8 Assignation d’une stratégie aux appareils........................................................68

13.9 Suppression du profil........................................................................................69

13.10 Téléchargement des profils et stratégies........................................................69

13.11 Configuration des profils d’appareil Android...................................................69

13.12 Configuration des stratégies Android pour les entreprises.............................88

13.13 Configuration des stratégies de conteneur Sophos pour Android................101

13.14 Configuration des stratégies de sécurité des mobiles (Sophos Mobile

Security).............................................................................................................111

13.15 Configuration des profils de conteneur Knox................................................111

13.16 Configuration des stratégies Android Things................................................117

13.17 Configuration des profils d’appareil iOS.......................................................117

13.18 Configuration des stratégies de conteneur Sophos pour iOS......................146

13.19 Configuration des stratégies Windows Mobile..............................................155

13.20 Configuration des stratégies Windows Desktop...........................................166

13.21 Configuration des stratégies Windows IoT...................................................172

14 Séries de tâches...........................................................................................................176

14.1 Création d’une série de tâches.......................................................................176

14.2 Types de tâche Android disponibles...............................................................177

14.3 Types de tâche iOS disponibles......................................................................180

14.4 Duplication de séries de tâches......................................................................183

14.5 Transfert de séries de tâches aux appareils ou groupes d’appareils..............184

15 Apps.............................................................................................................................185

15.1 Ajout d’une app...............................................................................................185

15.2 Installation de l’app.........................................................................................187

15.3 Désinstallation de l’app...................................................................................188

15.4 Apps administrées pour iOS...........................................................................189

15.5 Gestion des apps du Programme d’achat en volume d’Apple........................190

15.6 Configuration de la connexion VPN via l’app et des paramètres pour les

apps iOS.............................................................................................................194

3

16 Groupes d’apps............................................................................................................196

16.1 Création d’un groupe d’apps..........................................................................196

16.2 Importation d’un groupe d’apps......................................................................197

17 Documents professionnels...........................................................................................198

17.1 Ajout de Documents professionnels...............................................................198

18 Android pour les entreprises........................................................................................200

18.1 Installer Android pour les entreprises.............................................................200

18.2 Configuration d’Android pour les entreprises.................................................205

18.3 Gestion des utilisateurs pour Android pour les entreprises (scénario Domaine

Google géré)......................................................................................................206

18.4 Création d’un profil professionnel...................................................................207

18.5 Verrouillage du profil professionnel.................................................................207

18.6 Suppression du profil professionnel de l’appareil...........................................207

18.7 Suppression du profil professionnel par l’utilisateur.......................................208

18.8 Apps professionnelles.....................................................................................208

19 Envoi d’un message aux appareils...............................................................................215

20 Proxy EAS autonome...................................................................................................216

20.1 Téléchargement du programme d’installation du serveur proxy EAS.............216

20.2 Installation d’un proxy EAS autonome............................................................217

20.3 Installation du contrôle d’accès à la messagerie avec PowerShell.................220

20.4 Configuration d’une connexion au serveur proxy EAS autonome..................222

21 Gestion de Sophos Mobile Security.............................................................................223

21.1 Configuration des paramètres antivirus pour Sophos Mobile Security...........223

21.2 Configuration des paramètres du filtrage Web pour Sophos Mobile

Security..............................................................................................................225

21.3 Définition des règles de conformité de Sophos Mobile Security....................226

21.4 Affichage des résultats du contrôle Sophos Mobile Security..........................226

22 Conteneur Sophos.......................................................................................................228

22.1 Configuration de l’inscription d’un conteneur Sophos....................................228

22.2 Licence Advanced..........................................................................................228

22.3 Gestion des apps du conteneur Sophos........................................................229

22.4 Réinitialisation du mot de passe du conteneur Sophos..................................230

22.5 Verrouillage et déverrouillage du conteneur Sophos......................................230

23 Glossaire......................................................................................................................231

24 Support technique........................................................................................................233

25 Mentions légales..........................................................................................................234

4

1 À propos de cette aideCette aide vous explique comment utiliser Sophos Mobile (version Central).

Remarque : les tâches que vous pouvez effectuer dans Sophos Central Admin dépendentdu rôle d’administrateur qui vous a été assigné et de vos licences.

Conventions respectées par le présent document

Les conventions suivantes sont utilisées dans cette aide :

■ Sauf mention contraire, Windows Mobile correspond aux éditions Windows 10 Mobile etMobile Entreprise et à Windows Phone 8.1.

■ Sauf mention contraire, Windows Desktop ou Windows 10 Desktop correspond aux éditionsProfessionnel, Entreprise, Éducation, Famille et S de Windows 10.

■ Sauf mention contraire, Windows IoT correspond à l’édition IoT Core de Windows 10.

■ Sauf mention contraire, toutes les procédures supposent que vous avez déjà ouvert lavue Mobile depuis la section Mes produits du menu principal dans Sophos Central Admin.

5

Manuel d’administration

2 Étapes principales pour l’administrationd’appareils avec Sophos MobileSophos Mobile offre un large éventail de fonctions d’administration des appareils mobilesselon le type d’appareils utilisés, les stratégies de sécurité de l’entreprise et ses exigencesspécifiques.

Les étapes principales pour l’administration d’appareils avec Sophos Mobile sont :

■ Configurer les stratégies de conformité pour les appareils. Retrouvez plus derenseignements à la section Stratégies de conformité à la page 28.

■ Créer des groupes d’appareils. Retrouvez plus de renseignements à la section Créationd’un groupe d’appareils à la page 61.

Les groupes d’appareils sont utilisés pour diviser les appareils en catégories. Nous vousconseillons de regrouper les appareils. De cette manière, vous pourrez les gérer de manièreplus efficace en effectuant les tâches sur un groupe plutôt que sur chaque appareilindividuellement.

■ Inscrire et approvisionner des appareils. Retrouvez plus de renseignements aux sectionsAjout d’appareils à la page 37 et Inscription des appareils à la page 38.

Les appareils peuvent être inscrits et approvisionnés par les administrateurs dans laconsole Sophos Mobile ou par les utilisateurs des appareils via le portail libre-serviceSophos Central.

■ Paramétrer les profils et les stratégies de sécurité pour les appareils. Retrouvez plus derenseignements à la section Profils et stratégies à la page 63.

■ Créer des séries de tâches. Retrouvez plus de renseignements à la section Séries detâches à la page 176.

■ Configurer les fonctions disponibles du portail libre-service Sophos Central. Retrouvezplus de renseignements à la section Configuration du Portail libre-service à la page 17.

■ Créer ou mettre à jour des profils et paramètres de sécurité et les appliquer aux appareilsinscrits.

6

Sophos Mobile (version Central)

3 Tableau de bordLe Tableau de bord personnalisable est la page de démarrage de Sophos Mobile et permetd’accéder aux informations les plus importantes en un clin d’œil. Il est composé de différentswidgets fournissant des informations sur :

■ Les appareils (tous les appareils ou les appareils par groupe).

■ L’état de conformité par plate-forme ou de tous les appareils.

■ L’état d’administration par plate-forme ou de tous les appareils.

■ L’état d’enregistrement au PLS.

■ Les versions des plates-formes administrées

Un widget spécial Ajouter un appareil est également disponible pour lancer l’assistantd’inscription d’appareils. Retrouvez plus de renseignements à la section Utilisation de l’assistantd’inscription d’appareils pour assigner et inscrire de nouveaux appareils à la page 40.

Les options de personnalisation du Tableau de bord suivantes sont disponibles :

■ Pour ajouter un widget à la page, cliquez sur Ajouter un widget.

■ Pour supprimer un widget de la page, cliquez sur le bouton Fermer dans son en-tête.

■ Pour réinitialiser la page à l’affichage par défaut, cliquez sur Rétablir la disposition pardéfaut.

■ Réorganisez les widgets sur la page en les faisant glisser par leur en-tête.

7


4 RapportsSophos Mobile vous permet de créer différents rapports à partir des endroits suivants :

■ Appareils

■ Apps et documents

■ Conformité

■ Malwares

■ Certificats

Pour créer un rapport :

1. Sur le menu latéral, sous INFORMATION, cliquez sur Rapports et cliquez sur le nom durapport désiré.

2. Dans la boîte de dialogue Choisir le format, cliquez sur l’une des icônes disponibles poursélectionner le format de sortie désiré :

■ Cliquez sur pour exporter le rapport dans un fichier Microsoft Excel.■ Cliquez sur pour exporter le rapport dans un fichier CSV (valeurs séparées par

virgule).

Le rapport va être enregistré localement sur votre ordinateur en utilisant les paramètres detéléchargement de votre navigateur Web.

8


5 TâchesLa page Vue des tâches vous donne un aperçu de toutes les tâches créées et exécutées etaffiche leur état actuel.

Vous pouvez surveiller toutes vos tâches et intervenir en cas de problèmes. Par exemple,vous pouvez supprimer une tâche qui est impossible à accomplir et qui bloque l’appareil.

Pour supprimer une tâche, cliquez sur l’icône Supprimerapparaissant à côté de son nom.

Vous pouvez filtrer les tâches par type et par état et les trier par nom d’appareil, nom depackage, nom de la personne les ayant créées et la date à laquelle elles sont planifiées.

5.1 Surveillance des tâchesLa console Sophos Mobile vous permet de surveiller toutes les tâches existantes pour lesappareils.

■ La page Tâches vous indique toutes les tâches qui ont échoué, qui ne sont pas encoreterminées ainsi que celles qui ont été effectuées récemment. La page Vue des tâchesest actualisée automatiquement. Vous pouvez donc suivre l’évolution des états desdifférentes tâches.

■ La page Détails de la tâche vous donne des informations générales sur une tâche à partirde la page Tâches ou de la page Archive des tâches.

■ La page Archive des tâches affiche toutes les tâches.

5.1.1 Affichage des tâches non terminées, en échec et récemmentterminées

1. Sur le menu latéral, sous INFORMATION, cliquez sur Tâches.

2. Sur la page Vue des tâches, la colonne État indique l’état d’une tâche, par exemple Échectotal.

3. Dans le champ Intervalle de rafraîchissement (en sec.), vous pouvez sélectionner lafréquence à laquelle la page Vue des tâches est rafraîchie :

4. Retrouvez plus de renseignements sur une tâche en cliquant sur l’icône en forme de loupeAfficher correspondant à la tâche désirée.

La page Détails de la tâche apparaît. En plus des informations générales sur la tâche(par exemple le nom de l’appareil, le nom du package et le créateur), cette vue affiche lesétats passés d’une tâche spécifique y compris l’horodatage et les codes d’erreur. Si descommandes doivent être exécutées par l’appareil, un bouton Détails supplémentaire estdisponible sur la page Détails de la tâche.

5. S’il est disponible, cliquez sur Détails pour voir la commande devant être exécutée parl’appareil.

Les commandes envoyées à l’appareil font partie de la tâche. Elles sont exécutées parl’app SMC ou par le client MDM. Les résultats indiquant le succès ou l’échec sont transmisau serveur. S’il n’y a eu aucune erreur, le code d’erreur est « 0 ». En cas d’échec d’unecommande, le code d’erreur est affiché. Dans la majorité des cas, une description de lacause de l’échec de la commande est également affichée.

9


6. Pour retourner sur la page Détails de la tâche, cliquez sur Précédent.

5.1.2 Affichage de la vue Archive des tâches

1. Sur le menu latéral, sous INFORMATION, cliquez sur Tâches.

2. Sur la page Vue des tâches, cliquez sur Archive des tâches.

La page Archive des tâches apparaît. Elle affiche toutes les tâches terminées ou enéchec sur le système.

3. Cette page vous permet de :

■ Cliquer sur Recharger pour rafraîchir la page Archive des tâches.■ Supprimer une tâche de l’archive en cliquant sur l’icône Supprimer correspondant à

la tâche.■ Sélectionner plusieurs tâches et cliquez sur Supprimer la sélection pour les supprimer

de l’archive.

Pour retourner sur la page Vue des tâches, cliquez sur Tâches dans le menu latéral.

5.1.3 État des tâches

Le tableau suivant vous donne une vue générale de l’état des tâches indiqué sur les pagesVue des tâches et Archive des tâches.

Chaque état est associé à un code couleur qui indique la catégorie de l’état.

DescriptionÉtatCode couleur

La tâche a été créée.Accepté

Une nouvelle tentative d’exécution de la tâche seraeffectuée ultérieurement.

Sera réessayé

La tâche a été démarrée.Démarré

L’exécution de la tâche est en cours de préparation.En cours

L’exécution de la série de tâches est en cours depréparation.

Série de tâches en cours

L’app SMC a été notifiée.Notifié

L’app SMC a reçu le package et/ou les commandes.Commandes envoyées

L’app SMC a répondu et l’évaluation des résultats adémarré.

Évaluation des résultatsdémarrée

L’évaluation des résultats indique que les résultats descommandes n’ont pas encore tous été reçus.

Résultat incomplet

10


DescriptionÉtatCode couleur

Une action de l’utilisateur est en attente sur l’appareil.En attente de l’interactionde l’utilisateur

La tâche attend que l’appareil soit déverrouillé (sur iOSuniquement).

L’appareil est verrouillé

Le package a été installé ou les commandes ont étéexécutées avec succès.

Remarque : pour l’approvisionnement initial de l’appSophos Mobile Control, la tâche doit se terminer avecl’état Installé.

Succès

L’app Sophos Mobile Control a été installée avec succès.L’appareil est maintenant approvisionné.

Installé

L’évaluation des résultats n’a pas pu être exécutée.Échec de l’évaluation desrésultats

Les commandes de la tâche n’ont pas pu toutes êtreexécutées avec succès.

Échec partiel de la tâche

La tâche sera redémarrée ultérieurement.Retardé

La tâche a échoué et une nouvelle tentative d’exécutionsera effectuée ultérieurement.

Échec (nouvelle mise enfile d’attente)

La tâche a échoué et aucune autre tentative d’exécutionest en file d’attente.

Échec de la tâche

La tâche a échoué et il est impossible de réessayer.Échec total

La tâche fait partie d’une série de tâches et n’a pasencore été traitée.

Non démarré

La tâche n’est pas prise en charge par l’appareil.L’exécution de la série de tâches continuera à laprochaine tâche.

Ignoré

Le serveur n’a aucune information sur l’état de la tâche.Inconnu(e)

CatégorieCode couleur

Ouvrir

En cours

Succès

11


CatégorieCode couleur

Échec

Autre

12


6 Paramètres générauxLa page Paramètres généraux vous permet de configurer certains paramètres de base deSophos Mobile.

6.1 Configuration des paramètres personnelsPour utiliser la console Sophos Mobile de manière plus efficace, vous pouvez personnaliserl’interface utilisateur afin de n’afficher que les plates-formes sur lesquelles vous travaillez.

Remarque : la configuration des plates-formes vous permet uniquement de modifier la vuede l’utilisateur actuellement connecté. Vous ne pouvez pas désactiver de fonctions.

1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Général, puis surl’onglet Personnel.

2. Configurez les paramètres suivants :

DescriptionOption

Sélectionnez le fuseau horaire dans lequel les dates serontaffichées.

Fuseau horaire

Sélectionnez le système de mesure pour les unités de longueur(Métrique ou Impériale).

Système de mesure

Sélectionnez le nombre maximal de séries de lignes de tableauque vous souhaitez afficher par page.

Lignes par page dans lestableaux

Sélectionnez cette case pour voir toutes les informationsdisponibles sur l’appareil. Les onglets Propriétés personnaliséeset Propriétés internes seront ajoutés à la page Affichage del’appareil.

Afficher plus de détails surl’appareil

Sélectionnez les plates-formes à administrer.Plates-formes activées

Android

Android Things

iOS

Windows Mobile (inclut les systèmes d’exploitation WindowsPhone 8.1 et Windows 10 Mobile)

Windows Desktop

Windows IoT

L’interface utilisateur de la console Sophos Mobile s’ajustera enfonction de la plate-forme que vous sélectionnez. Seules les vueset fonctions correspondant à la plate-forme sélectionnée serontaffichées.

3. Cliquez sur Enregistrer.

13


6.2 Configuration des paramètres de l’app SMCL’onglet App SMC de la page Paramètres généraux vous permet de configurer les paramètresde l’app Sophos Mobile Control sur les appareils Android, iOS et Windows Mobile.

1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Général, puis surl’onglet App SMC.


DescriptionOption

Retirez le bouton Désinscrire de l’app Sophos Mobile Controlafin d’empêcher les utilisateurs de désinscrire leur appareil àl’aide de l’app.

Remarque : pour empêcher totalement la désinscription parl’utilisateur, désactivez également l’option Désinscrire l’appareildans les paramètres du Portail libre-service. Retrouvez plus derenseignements à la section Configuration des paramètres duPortail libre-service à la page 17.

Désactiver la désinscriptionvia l’app


6.3 Activation du service Baidu Cloud PushSophos Mobile utilise le service Google Cloud Messaging (GCM) pour envoyer des notificationspush aux appareils Android afin qu’ils entrent en contact avec le serveur Sophos Mobile. EnChine, il est fort probable que GCM ne fonctionne pas. Par conséquent, Sophos Mobile peutégalement utiliser le service de notification push chinois Baidu Cloud Push.

Si vous gérez des appareils Android situés en Chine, veuillez activer le service Baidu CloudPush comme suit :

1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Général, puis surl’onglet Android.

2. Sous la section Service Baidu Cloud Push, sélectionnez Activer le service Baidu CloudPush.


Lorsque Baidu Cloud Push est activé, Sophos Mobile envoie toutes les notifications push parle biais de GCM et de Baidu Cloud Push.

6.4 Configuration des paramètres iOSL’onglet iOS de la page Paramètres généraux vous permet de configurer les paramètresspécifiques aux appareils iOS.

1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Général, puis surl’onglet iOS.

14



DescriptionOption

Sélectionnez Activer afin de pouvoir désactiver le Verrouillaged’activation sur les appareils supervisés.

Lorsque cette option est sélectionnée, Sophos Mobile récupèreun code de contournement lors de la synchronisation avec unappareil supervisé dont le verrouillage d’activation estopérationnel. Si nécessaire, vous pouvez lancer l’actionContournement du verrouillage d’activation à partir de la pageAffichage de l’appareil pour désactiver le verrouillage d’activationlorsque l’appareil doit être supprimé et redéployé.

Le verrouillage d’activation est une fonction de sécurité d’iOSpermettant d’empêcher la réactivation d’appareils perdus ou volés.Généralement, vous avez besoin de l’identifiant Apple et du motde passe pour désactiver le verrouillage d’activation. La fonctionde verrouillage d’activation vous permet de désactiver leverrouillage d’activation en fournissant uniquement le code decontournement.

Contournement duverrouillage d’activation

Sélectionnez Activer pour gérer les appareils iOS sous le nomconfiguré sur l’appareil.

Lorsque cette option est sélectionnée, le nom de l’appareil utilisépar Sophos Mobile est défini à chaque fois que l’appareil sesynchronise avec Sophos Mobile.

Lorsque cette option n’est pas sélectionnée, vous devez définirle nom de l’appareil au moment de son inscription.

Synchronisation du nom del’appareil


6.5 Configuration de l’intervalle d’interrogation pour lesappareils WindowsSur les appareils Windows, vous pouvez configurer l’intervalle d’interrogation auquel le clientMDM Windows contactera le serveur Sophos Mobile. généralement, le serveur contacte leclient à l’aide des notifications push. L’interrogation est utilisée en tant que mesure de sécuritéen cas d’indisponibilité du service de notification push.

Remarque : dans la majorité des cas, vous pouvez utiliser les valeurs par défaut. L’utilisationd’intervalles de courte durée à un impact sur l’autonomie de la batterie et sur la consommationde données et impose une plus grande utilisation des ressources du serveur.

1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Général, puis surl’onglet Windows.

2. Sélectionnez les intervalles d’interrogation pour les différents systèmes d’exploitationWindows. Vous pouvez configurer les paramètres individuels pour les :

■ Appareils Windows 10 Mobile and Windows Phone 8.1.■ Appareils Windows 10 Desktop.


15


6.6 Configuration de la messagerieL’onglet Configuration de la messagerie vous permet de configurer les paramètres desemails que Sophos Mobile va envoyer.

1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Général, puis surl’onglet Configuration de la messagerie.

2. Dans Langue, sélectionnez la langue de l’email.


6.7 Configuration des coordonnées du contact techniquePour assister vos utilisateurs en cas de questions ou de problèmes, vous pouvez leur fournirles coordonnées du support technique. Les informations que vous saisissez ici sont affichéesdans l’app Sophos Mobile Control.

1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Général, puis surl’onglet Contact technique.

2. Saisissez les informations suivantes concernant le contact technique.


6.8 Propriétés pour les clientsLorsque vous définissez une propriété sous le nom ma propriété, vous pouvez faireréférence à la valeur de la propriété dans les profils et stratégies en utilisant l’espace réservé%_CUSTPROP(ma propriété)_%.

Retrouvez plus de renseignements sur les espaces réservés aux profils et stratégies à lasection Espaces réservés dans les profils et stratégies à la page 67.

Pour définir une propriété pour le client :

1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Général, puis surl’onglet Propriétés client.

2. Cliquez sur Ajouter une propriété client.

3. Saisissez un nom et une valeur pour la nouvelle propriété.

4. Cliquez sur Appliquer pour ajouter la propriété.

5. Cliquez sur Enregistrer pour enregistrer les modifications des paramètres du client.

16


7 Configuration du Portail libre-serviceLe Portail libre-service vous permet de réduire la charge de travail de votre service informatiqueen laissant les utilisateurs inscrire eux-mêmes leurs propres appareils et effectuer les tâchessans avoir à contacter le service d’assistance.

Sur le menu latéral, vous pouvez configurer les paramètres d’utilisation du Portail libre-service.Par exemple :

■ Les plates-formes sur lesquelles les appareils peuvent être inscrits.

■ Les fonctions disponibles.

■ Les utilisateurs autorisés à accéder au Portail libre-service.

Le Portail libre-service est compatible avec les plates-formes suivantes :

■ Android

■ Apple iOS

■ Windows Mobile

■ Windows Desktop

7.1 Configuration des paramètres du Portail libre-service1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration puis sur Portail

libre-service.

La page Portail libre-service apparaît.

2. Dans l’onglet Configuration, configurez les paramètres suivants :

a) Dans la liste champ Nombre maximal d’appareils, sélectionnez le nombre maximald’appareils qu’un utilisateur peut inscrire dans le portail libre-service Sophos Central.Ceci permet d’assurer que le nombre de licences disponibles n’est pas dépassé.

b) Dans la liste Présélection du propriétaire de l’appareil, choisissez de classer lesnouveaux appareils en tant qu’appareils professionnels ou privés et si les utilisateurspeuvent modifier cette classification lorsqu’ils inscrivent leurs appareils dans le portaillibre-service Sophos Central. Vous pouvez sélectionner l’un des paramètres suivants :

■ aucune présélection : L’utilisateur peut choisir entre Appareil professionnel etAppareil personnel.

■ professionnel présélectionné : Appareil professionnel est présélectionné.L’utilisateur peut changer cette sélection sur Appareil personnel.

■ professionnel fixe : Appareil professionnel est sélectionné et ne peut pas êtremodifié par l’utilisateur.

■ privé présélectionné : Appareil personnel est présélectionné. L’utilisateur peutchanger cette sélection sur Appareil professionnel.

■ privé fixe : Appareil personnel est sélectionné et ne peut pas être modifié parl’utilisateur.

c) Sous Fonctionnalités disponibles, sélectionnez les fonctions qui doivent être misesà disposition des utilisateurs du Portail libre-service. Les fonctions prises en charge

17


varient selon la plate-forme de l’appareil. Retrouvez plus de renseignements à la sectionParamètres du Portail libre-service disponibles à la page 19.

3. Sous l’onglet Conditions générales d’utilisation, vous pouvez définir la stratégie desappareils mobiles, l’avis de non-responsabilité ou le texte de la charte à afficher commepremier écran lorsque l’utilisateur inscrit son appareil. Les utilisateurs doivent accepter letexte pour pouvoir continuer.

Vous pouvez utiliser HTML pour formater le texte.

4. Sous l’onglet Texte de post-installation, configurez le texte à afficher dans le Portaillibre-service suite à l’inscription de l’appareil. Par exemple, utilisez cette option pour décrireles tâches à effectuer suite à l’inscription.

Vous pouvez utiliser HTML pour formater le texte.

5. Sous l’onglet Paramètres de groupe, configurez les paramètres du groupe. Par exemple,les groupes d’appareils auxquels seront ajoutés les appareils inscrits et la série de tâchesqui sera transférée sur les appareils.

Important : en raison de la complexité de la configuration des paramètres de groupe,nous vous conseillons de tester l’inscription d’appareils pour différents groupes d’utilisateursavant de déployer les paramètres à vos utilisateurs.

a) Cliquez sur Ajouter.

La page Modification des paramètres du groupe apparaît.

b) Dans le champ Nom, saisissez un nom pour le groupe de configuration du Portaillibre-service.

c) Dans le champ Groupe d’utilisateurs, saisissez un groupe d’utilisateurs que vousavez défini. Vous pouvez utiliser l’astérisque (*) en tant que premier, dernier ou uniquecaractère dans ce champ pour indiquer plusieurs groupes. Par exemple : saisissezDev* pour indiquer tous les noms de groupe commençant parDev. Saisissez * pourindiquer tous les groupes disponibles.

Remarque : la valeur * représente tous les groupes, et non pas tous les utilisateurs.Les utilisateurs n’appartenant à aucun groupe ne sont pas inclus.

d) Sélectionnez Afficher les conditions générales d’utilisation pendantl’enregistrement pour afficher les conditions générales d’utilisation configurées à lapremière étape de la procédure d’inscription.

e) Sélectionnez Afficher le texte de post-installation pendant l’enregistrement pourafficher le texte de post-installation configuré à la dernière étape de la procédured’inscription.

f) Dans les colonnes Package initial - appareils professionnels et Package initial -appareils privés, sélectionnez la série de tâches (pour Android et iOS) ou la stratégie(pour Windows Mobile et Windows Desktop) à exécuter sur les appareils professionnelset privés.

g) Dans la colonne Actif, sélectionnez les plates-formes disponibles dans le Portaillibre-service.

Veuillez sélectionner un package initial avant de sélectionner une plate-forme.

h) Dans la colonne Ajouter au groupe d’appareils, sélectionnez le groupe auquell’appareil doit être ajouté.

Retrouvez plus de renseignements sur les groupes d’apps à la section Groupesd’appareils à la page 61.

i) Cliquez sur Appliquer.

18


6. La vue Portail libre-service apparaît. Cliquez sur Enregistrer.

7.2 Paramètres du Portail libre-service disponiblesLe tableau suivant répertorie les fonctions du Portail libre-service que vous pouvez activerou désactiver conformément à ce qui est décrit à la section Configuration des paramètres duPortail libre-service à la page 17 et les plates-formes avec lesquelles une fonction estcompatible.

WindowsDesktop

WindowsMobile

iOSAndroidDescriptionParamètre

Cette fonction permet auxutilisateurs de géolocaliserles appareils perdus ouvolés.

Géolocaliserl’appareil

Cette fonction permet auxutilisateurs de verrouiller lesappareils perdus ou volés.

Verrouiller l’appareil

Cette fonction permet auxutilisateurs de reconfigurerleur appareil si SophosMobile a été supprimé et quel’appareil est toujours inscrit.

Reconfigurerl’appareil

Cette fonction permet auxutilisateurs d’afficher lesviolations de conformité surleurs appareils.

Afficher lesviolations deconformité

Cette fonction permet auxutilisateurs de synchronisermanuellement les appareilsavec le serveur Sophos

Rafraîchir lesdonnées

Mobile. Ceci s’avèreparticulièrement utile si, parexemple, l’appareil a étééteint pendant une longuepériode de temps et n’a doncpas été synchronisé avec leserveur. Dans ce cas, il sepeut que l’appareil ne soitpas conforme et qu’il soitnécessaire de lesynchroniser avec le serveurpour qu’il soit de nouveauconforme.

Remarque : cette fonctionn’est pas disponible pour lesappareils sur lesquelsSophos Mobile administreuniquement le conteneurSophos.

19


WindowsDesktop

WindowsMobile


Cette fonction permet auxutilisateurs de réinitialiserleur mot de passe dedéverrouillage de l’écran.

Réinitialiser le mot depasse

Pour les appareils Android etiOS, un mot de passetemporaire est affiché sur lePortail libre-service.L’appareil peut uniquementêtre déverrouillé avec ce motde passe. Suite audéverrouillage de leursappareils, les utilisateurspeuvent définir un nouveaumot de passe. Pour lesappareils iOS, le mot depasse est définitivementsupprimé. L’utilisateurdispose de 60 minutes pourdéfinir un nouveau mot depasse.

Cette fonction permet auxutilisateurs de réinitialiserleurs appareils inscrits auxparamètres d’usine en cas

Réinitialiser

de perte ou de vol. Toutesles données se trouvant surl’appareil seront supprimées.

Cette fonction permet auxutilisateurs de supprimer leprofil professionnel de leursappareils. Les appareils sont

Suppression du profilprofessionnelAndroid

également désinscrits deSophos Mobile.

Cette fonction permet auxutilisateurs de retirer duservice les appareils qu’ilsn’utilisent plus. Ceci peut

Désinscrire l’appareil

s’avérer particulièrement utilesi, par exemple, le nombred’utilisateurs pouvants’inscrire au portaillibre-service Sophos Centralest limité ou si les utilisateursreçoivent de nouveauxappareils.

Cette fonction permet auxutilisateurs de supprimer toutappareil retiré du service.

Supprimer l’appareilnon administré

20


WindowsDesktop

WindowsMobile


Cette fonction permet auxutilisateurs de réinitialiserleur mot de passe deProtection des apps sur les

Réinitialiser le mot depasse de laProtection des apps

appareils Android. Le mot depasse de la Protection desapps protège les appsdéfinies et doit être saisi àchaque fois qu’un utilisateurdémarre une de ces apps. Lemot de passe va êtresupprimé et l’utilisateur vadevoir en créer un nouveau.

Cette fonction permet auxutilisateurs de réinitialiser lemot de passe du conteneurSophos. Le mot de passe du

Réinitialiser le mot depasse du conteneurSophos

conteneur Sophos doit êtresaisi à chaque fois qu’unutilisateur démarre l’une desapps du conteneur. Le motde passe va être supprimé etl’utilisateur va devoir en créerun nouveau.

Cette fonction permet auxutilisateurs de reconfigurerune app Sophos MobileControl déjà installée.

Reconfigurer l’appSMC

21


8 Configuration du système

8.1 Certificats du service Apple Push NotificationPour utiliser le protocole Mobile Device Management (MDM) intégré aux appareils iOS, SophosMobile doit utiliser le service de notification push d’Apple (APNs) pour permettre lacommunication avec les appareils.

Les certificats APNs sont valides pendant un an.

Les sections suivantes décrivent les conditions à remplir et les étapes à effectuer pour accéderaux serveurs APNs avec votre propre certificat client.

8.1.1 Conditions requises

Pour pouvoir communiquer avec le service Apple Push Notification (APNs), le trafic TCPentrant et sortant des ports suivants doit être autorisé :

■ Le serveur Sophos Mobile doit se connecter à gateway.push.apple.com:2195 TCP(17.0.0.0/8)

■ Chaque appareil iOS ayant uniquement un accès via Wi-Fi doit se connecter à*.push.apple.com:5223 TCP (17.0.0.0/8)

8.1.2 Création d’un certificat APNs

Cette procédure suppose que vous n’avez pas encore téléchargé de certificat du serviceApple Push Notification (APNs) dans Sophos Mobile.

Retrouvez plus de renseignements sur le renouvellement d’un certificat existant à la sectionRenouvellement d’un certificat APNs à la page 23.

1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration dusystème, puis sur l’onglet iOS APNs.

La description présente sur cet onglet vous guide tout au long des étapes que vous devezeffectuer pour demander un certificat à Apple et pour le télécharger dans Sophos Mobile.

2. À l’étape Télécharger la demande de signature du certificat, cliquez sur Téléchargerla demande de signature du certificat.

Cette opération enregistre le fichier de demande de signature du certificat apple.csrsur votre ordinateur local.

3. Vous allez avoir besoin d’un identifiant Apple. Même si vous avez déjà un identifiant, nousvous conseillons d’en créer un nouveau que vous utiliserez avec Sophos Mobile. À l’étapeCréer l’identifiant Apple, cliquez sur Créer un nouvel identifiant Apple.

Une page Web d’Apple va s’ouvrir sur laquelle vous pouvez créer un identifiant Apple pourvotre entreprise.

Remarque : conservez les codes d’accès à un endroit sûr et accessibles par vos collèguesde travail. Votre entreprise aura besoin de ces codes d’accès pour renouveler le certificattous les ans.

22


4. Pour vos propres références, saisissez votre nouvel identifiant Apple dans le champIdentifiant Apple en haut de la page iOS APNs.

Lorsque vous renouvelez le certificat tous les ans, veuillez impérativement utiliser le mêmeIdentifiant Apple.

5. À l’étape Créer/Renouveler le certificat APNs, cliquez sur Apple Push CertificatesPortal.

La page « Apple Push Certificates Portal » s’ouvre.

6. Connectez-vous avec votre identifiant Apple et téléchargez le fichier de demande designature du certificat apple.csr.

7. Téléchargez le fichier de certificat APNs .pem et enregistrez-le sur votre ordinateur.

8. À l’étape Télécharger le certificat APNs, cliquez sur Télécharger le certificat et naviguezjusqu’au fichier .pem récupéré sur la page « Apple Push Certificates Portal ».

9. Cliquez sur Enregistrer pour ajouter le certificat APNs à Sophos Mobile.

Sophos Mobile va lire le certificat et afficher les informations sur le certificat dans l’onglet iOSAPNs.

8.1.3 Renouvellement d’un certificat APNs

Cette procédure suppose que vous avez déjà téléchargé un certificat pour le service ApplePush Notification (APNs) dans Sophos Mobile, que celui-ci est sur le point d’expirer et qu’ildoit être renouvelé.

Retrouvez plus de renseignements sur la création d’un nouveau certificat à la section Créationd’un certificat APNs à la page 22.

Important : sur le portail d’Apple, veuillez impérativement sélectionner le bon certificat APNsà renouveler. Si vous renouvelez le mauvais certificat, vous devrez inscrire de nouveau tousles appareils iOS.


2. À l’étape Télécharger la demande de signature du certificat, cliquez sur Téléchargerla demande de signature du certificat.

Cette opération enregistre le fichier de demande de signature du certificat apple.csrsur votre ordinateur local.

3. Ignorez l’étape Créer l’identifiant Apple. Cette étape est uniquement requise pour lacréation d’un premier certificat APNs pour Sophos Mobile.

4. À l’étape Créer/Renouveler le certificat APNs, cliquez sur Apple Push CertificatesPortal.

La page « Apple Push Certificates Portal » s’ouvre.

5. Ouvrez une session avec vos codes d’accès Apple. Cet identifiant doit impérativementêtre le même que celui que vous avez utilisé pour créer le premier certificat APNs.

6. Sur Apple Push Certificates Portal, cliquez sur Renew à côté du certificat APNs de SophosMobile.

7. Téléchargez le fichier de demande de signature du certificat apple.csr que vous aviezpréparé auparavant.

8. Téléchargez le fichier de certificat APNs .pem et enregistrez-le sur votre ordinateur.

9. À l’étape Télécharger le certificat APNs, cliquez sur Télécharger le certificat et naviguezjusqu’au fichier .pem récupéré sur la page « Apple Push Certificates Portal ».


23


Important : si le message suivant apparaît, ceci signifie que vous n’êtes pas en train derenouveler le bon certificat :

« L’objet du nouveau certificat ne correspond pas à l’ancien. Si les appareils ont été configurés avec l’ancien certificat, veuillez les configurer de nouveau. Voulez-vous vraiment enregistrer vos modifications ? »

Ce message vous informe que vous êtes sur le point de créer un nouveau certificat APNsavec un identifiant différent. Si vous confirmez le message, tous les appareils iOS existantsne pourront plus être administrés et vous allez devoir les réinscrire.

Retrouvez plus de renseignements sur la sélection du bon certificat à la section Identificationdu certificat APNs à renouveler à la page 24.

8.1.4 Identification du certificat APNs à renouveler

Lorsque vous renouvelez votre certificat du service Apple Push Notification (APNs) pour leserveur Sophos Mobile comme décrit à la section Renouvellement d’un certificat APNs à lapage 23, veuillez sélectionner le bon certificat APNs à renouveler sur le portail d’Apple.

Cette section décrit comment identifier le certificat APNs qui a été téléchargé sur le serveurSophos Mobile.

Pour récupérer l’identifiant du certificat :

1. Connectez-vous à Sophos Central Admin et ouvrez la vue Mobile à partir de la sectionMes produits du menu principal.


3. Retrouvez les propriétés du certificat APNs téléchargé sous la section Contenu du magasinde clés d’Apple Push Notification.

4. Veuillez noter la valeur affichée dans le champ Sujet.

Il s’agit de l’identifiant de votre certificat APNs.

Pour identifier le certificat :

5. Utilisez votre navigateur pour ouvrir l’URL du portail Apple Push Certificates Portal,https://identity.apple.com/pushcert/.

Si vous rencontrez des problèmes avec certaines fonctions lors de la consultation du portaild’Apple avec Microsoft Internet Explorer, nous vous conseillons d’utiliser la dernière versionde Firefox, Opera, Chrome ou Safari à la place.

6. Connectez-vous avec l’Identifiant Apple que vous avez utilisé pour créer le premier certificatAPNs.

7. Dans la liste des certificats APNs, cliquez sur l’icône Info sur le certificat correspondantà l’entrée d’un certificat.

Les informations sur le certificat apparaissent.

8. Dans le champ Objet DN, recherchez la valeur affichée après UID=. Si elle correspondà l’identifiant que vous avez noté dans la console Sophos Mobile, vous avez trouvé le boncertificat.

24


https://identity.apple.com/pushcert/

8.1.5 Vérification de la connexion des appareils au service APNs

Les utilisateurs de l’app Sophos Mobile Control pour iOS peuvent vérifier si leurs appareilssont en mesure de se connecter au serveur du service APNs (Apple Push Notification service).

1. Dans l’app Sophos Mobile Control, appuyez sur l’icône Informations pour ouvrir la vueÀ propos de.

2. Appuyez sur Vérifier APNs.

L’app essaye de se connecter au serveur APNs d’Apple. Le temps de réponse du serveurdoit être de 5 secondes maximum.

Si l’app vous informe que le serveur APNs a été joint, l’appareil pourra recevoir des commandesde la part du serveur Sophos Mobile par le biais d’APNs.

Si l’app vous informe que le serveur APNs n’a pas pu être joint, votre réseau n’autorise pasla communication APNs et Sophos Mobile ne peut donc pas administrer les appareils iOS.Pour corriger ce problème, assurez-vous que les Conditions requises à la page 22 sontremplies.

8.2 Configuration des destinations iOS AirPlaySophos Mobile vous permet de déclencher à distance la recopie vidéo AirPlay entre un appareiliOS et des destinations AirPlay prédéfinies (par exemple AppleTV).

Remarque : airPlay fonctionne uniquement sur les appareils du même réseau.

Vous pouvez définir les destinations pour la recopie vidéo AirPlay.

1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration puis surConfiguration du système et cliquez sur l’onglet iOS AirPlay.

2. Sous la section Destinations AirPlay, cliquez sur Créer une destination AirPlay.

La page Destination AirPlay apparaît.

3. Saisissez le nom de l’appareil et, si vous le voulez, l’adresse MAC de l’appareil dedestination AirPlay. Si nécessaire, saisissez le mot de passe de l’appareil.

4. Cliquez sur Appliquer.

L’appareil apparaît sous Destinations AirPlay sous l’onglet iOS AirPlay de la pageConfiguration du système.


Vous pouvez déclencher la recopie vidéo AirPlay entre un appareil iOS et cette destinationen cliquant sur Demander la recopie vidéo AirPlay à partir du menu Actions sur la pageAffichage de l’appareil correspondant à l’appareil de votre choix.

8.3 Licence Samsung KnoxSi votre entreprise a acheté une licence Samsung Knox Premium, veuillez saisir votre clé delicence, le nombre de licences et leur date d’expiration dans l’onglet Licence Samsung Knoxpour administrer le conteneur Knox sur vos appareils Knox avec Sophos Mobile.

25


8.4 Protocole SCEP (Simple Certificate EnrollmentProtocol)Vous avez la possibilité de configurer le protocole SCEP (Simple Certificate EnrollmentProtocol) pour fournir des certificats. De cette manière, les appareils peuvent récupérer lescertificats à partir d’une Autorité de certification en utilisant SCEP.

Vous pouvez configurer tous les paramètres requis pour accéder au serveur de l’Autorité decertification en utilisant SCEP dans la console Sophos Mobile.

Vous pouvez définir les paramètres requis pour les appareils dans la configuration SCEPd’un profil d’appareil (Android et iOS) ou dans une stratégie (Windows Mobile).

8.4.1 Conditions préalables

Pour pouvoir utiliser le protocole SCEP (Simple Certificate Enrollment Protocol), les conditionspréalables suivantes doivent être respectées :

■ Un serveur CA Windows compatible avec SCEP est présent dans l’environnement.

■ Les codes d’accès de connexion d’un utilisateur pouvant créer un code de challenge sontdisponibles.

■ Le serveur Sophos Mobile dispose de l’accès http ou https aux sites suivants :

■ https://VOTRE-SERVEUR-SCEP/CertSrv/MSCEP_ADMIN

■ https://VOTRE-SERVEUR-SCEP/CertSrv/MSCEP

8.4.2 Configuration de SCEP

1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration dusystème et cliquez sur l’onglet SCEP.

2. Veuillez fournir les informations suivantes :

a) Dans le champ URL du serveur SCEP, saisissezhttps://VOTRE-SERVEUR-SCEP/CertSrv/MSCEP.

b) Dans le champ URL de challenge, saisissezhttps://VOTRE-SERVEUR-SCEP/CertSrv/MSCEP_ADMIN.

Remarque : si vous utilisez un serveur Windows 2003 en tant que serveur SCEP,saisissez https://VOTRE-SERVEUR-SCEP/CertSrv/MSCEP.

c) Dans les champs Utilisateur et Mot de passe, saisissez les codes d’accès del’utilisateur qui pourra créer un code de challenge.

26


Remarque : dans le champ Utilisateur, saisissez un utilisateur qui dispose des droitsnécessaires pour enregistrer des certificats. Utilisez le format de connexion :nomutilisateur@domaine

d) Dans le champ Caractères de challenge, sélectionnez les types de caractères utiliséspour le mot de passe de challenge.

e) Dans le champ Longueur du challenge, acceptez la longueur par défaut.

f) Facultatif - Dessélectionnez l’option Utiliser le proxy HTTP si vous voulez que SophosMobile contourne le proxy HTTP lors de la connexion au serveur SCEP. Cette optionest uniquement disponible si le proxy HTTP est activé.


Sophos Mobile teste la connexion à votre serveur SCEP.

Pour déployer un profil avec SCEP, veuillez ajouter une configuration SCEP à un profild’appareil Android ou iOS ou à une stratégie Windows Mobile.

27


9 Stratégies de conformitéLes stratégies de conformité vous permettent de :

■ Autoriser, interdire ou appliquer l’utilisation de certaines fonctions d’un appareil.

■ Définir les actions qui sont exécutées si une règle de conformité est enfreinte.

Vous pouvez créer différentes stratégies de conformité et les assigner à des groupesd’appareils. Vous pouvez ainsi appliquer différents niveaux de sécurité à vos appareilsadministrés.

Remarque : deux stratégies de conformité prédéfinies sont disponibles. Elles sont baséessur les normes de sécurité HIPAA et PCI DSS.

Info : si vous prévoyez de gérer des appareils professionnels et privés, nous vous conseillonsde définir des stratégies de conformité distinctes au moins pour ces deux types d’appareils.

9.1 Création d’une stratégie de conformité1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Stratégies de conformité.

2. Sur la page Stratégies de conformité, cliquez sur Créer une stratégie de conformité.

3. Saisissez un nom et, si vous le souhaitez, une description pour la nouvelle série de règlesde conformité.

Répétez les étapes suivantes pour toutes les plates-formes requises.

4. Assurez-vous que la case Activer la plate-forme est sélectionnée sur chaque onglet.

Si cette case n’est pas sélectionnée, la conformité des appareils de cette plate-forme nesera pas vérifiée.

5. Sous Règle, configurez les règles de conformité pour la plate-forme.

Retrouvez une description des règles disponibles pour chaque type d’appareil en cliquantsur Aide en haut de la page.

Remarque : chaque règle de conformité a un niveau de sévérité défini (élevée, moyenne,faible) représenté par l’icône bleue. Cet indice de sévérité vous aide à évaluer l’importancede chaque règle et à décider des actions à mettre en place si une de ces règles estenfreinte.

Remarque : pour les appareils sur lesquels Sophos Mobile administre le conteneur Sophosplutôt que l’appareil, seule un sous-ensemble de règles de conformité est applicable. DansSélectionner les règles, sélectionnez un type d’administration pour mettre en évidenceles règles concernées.

28


6. Sous Si la règle est enfreinte, vous pouvez indiquer les actions à prendre si la règle estenfreinte :

DescriptionOption

Interdire l’accès à la messagerie.

Cette action est uniquement possible si vous avez configuré uneconnexion au proxy EAS autonome. Retrouvez plus derenseignements à la section Configuration d’une connexion auserveur proxy EAS autonome à la page 222.

Refuser l’email

Désactiver les apps Sophos Secure Workspace et Sophos SecureEmail. Ceci s’applique aux documents, à la messagerie et àl’accès Web administrés par ces apps.

Cette action peut uniquement être exécutée si vous avez activéune licence Mobile Advanced.

cette option s’applique uniquement aux appareils Android et iOS.

Verrouiller le conteneur

Créer une alerte.

Les alertes sont affichées sur la page Alertes de Sophos CentralAdmin.

Créer une alerte

Transférer une série de tâches spécifique à cet appareil.

Sélectionner une série de tâches dans la liste ou sélectionnerAucun pour ne transférer aucune série de tâches lorsque la règleest enfreinte.

Nous vous conseillons de définir cette option sur Aucun à cestade. Retrouvez plus de renseignements dans le Manueld’administration de Sophos Mobile.

Important : si elles sont utilisées de manière incorrecte, certainesséries de tâches risquent de configurer les appareils de manièreincorrecte ou même de les réinitialiser. Une connaissanceapprofondie du système est nécessaire pour assigner les bonnesséries de tâches aux règles de conformité.

Transférer une série detâches

Remarque : ces actions sont uniquement effectuées lorsque une règle est enfreinte pourla première fois. Si vous activez une action, seules les futures infractions seront affectées.

7. Lorsque vous avez terminé de configurer les paramètres de toutes les plates-formesrequises, cliquez sur Enregistrer pour enregistrer la stratégie de conformité sous le nomque vous avez choisi.

La nouvelle stratégie de conformité apparaît sur la page Stratégies de conformité.

9.2 Règles de conformité disponiblesLe tableau suivant indique les règles de conformité que vous pouvez sélectionner parplate-forme.

Remarque : les règles associées à l’app Sophos Mobile Security sont uniquement disponiblessi vous avez activé une licence Mobile Advanced.

29


http://docs.sophos.com/sophos-central/mobile/help/fr-fr/webhelp/index.htm

http://docs.sophos.com/sophos-central/mobile/help/fr-fr/webhelp/index.htm

WindowsIoT

WindowsDesktop

WindowsMobile

iOSAndroidThings

AndroidDescriptionRègle

Définit l’action qui seraeffectuée lorsquel’appareil ne sera plusadministré.

Administrationobligatoire

Saisissez la versionminimum de l’appSophos Mobile Controlqui a été installée surl’appareil.

Versionminimum del’app SMC

Autorisez ou non lesappareils avec lesdroits root.

Remarque : pour lesappareils Sony à partir

Droits rootautorisés

de la version 4d’Enterprise API etpour les appareilsSamsung jusqu’à laversion 5.5 de Knox.Ceci inclut tous lesappareils classés sousla catégorie nonsécurisé par l’API MDM(par exemple ; parceque le chargeur dedémarrage estdéverrouillé.

Autorisez ou non lesapps à partir desources inconnues.

Apps provenantde sourcesinconnuesautorisées

Autorisez ou non lacorrection du pont ADB(Android DebugBridge).

Correction dupont Android(ADB) autorisée

Autorisez ou non lesappareils débridés.

Autoriser ledébridage

Sélectionnez s’il estnécessaire d’utiliser unmot de passe surl’appareil ou tout autre

Verrouillage del’écranobligatoire

mécanisme deverrouillage de l’écran(modèle ou codeconfidentiel).

Sur Android, ceci inclutles types de

30


WindowsIoT

WindowsDesktop

WindowsMobile

iOSAndroidThings


verrouillage d’affichageModèle, Codeconfidentiel et Mot depasse mais pas Faireglisser.

Les appareils WindowsMobile sans stratégiede mot de passeassignée sont toujourssignalés comme nonconformes. Il s’agitd’une limitation deWindows.

Sélectionnez la versionla plus ancienne dusystème d’exploitationautorisée.

Versionminimum dusystèmed’exploitation

Sélectionnez la versionla plus récente dusystème d’exploitationautorisée.

Versionmaximale dusystèmed’exploitation

Sélectionnez si la plusrécente mise à jour oula plus récente mise àjour obligatoire doit être

Mises à jour dusyst.d’exploitationobligatoire

installée sur lesappareils.

Certaines mises à jourd’iOS sont classéescomme obligatoires parApple. La plus récentemise à jour disponiblepourrait être plusrécente que la plusrécente mise à jourobligatoire.

Indiquez l’intervallemaximal entre lesopérations desynchronisation pourles appareils.

Intervallemaximal desynchronisation

Indiquez l’intervallemaximal entre lesopérations desynchronisation des

Intervallemaximal desynchronisationde l’app SMC

apps iOS pour lesappareils.

31


WindowsIoT

WindowsDesktop

WindowsMobile

iOSAndroidThings


Indiquez l’intervallemaximal de contrôlepour les contrôles deprésence de

Intervallemaximal decontrôle deSMSec

programmesmalveillants effectuéspar l’app SophosMobile Security surl’appareil.

Sophos MobileSecurity doit avoir lesdroits sur l’appareilpour fonctionner

Refus des droitsSMSec autorisés

correctement.L’utilisateur doitaccorder ces droitslorsque l’app estinstallée.

Sélectionnez si le refusdes droits entraîne uneviolation de laconformité ou pas.

Choisissez si les appsmalveillantes détectéespar Sophos MobileSecurity sontautorisées.

Appsmalveillantesautorisées

Choisissez si les appssuspectes détectéespar Sophos MobileSecurity sontautorisées.

Apps suspectesautorisées

Choisissez si les appspotentiellementindésirables (PUA)détectées par Sophos

Appspotentiellementindésirablesautorisées

Mobile Security sontautorisées.

Choisissez s’il estobligatoire de disposerdu chiffrement sur lesappareils.

À partir des appareilsAndroid 5, les

Chiffrementrequis

utilisateurs doiventégalement activer leparamètre Exiger lecode PIN pourdémarrer l’appareil ou

32


WindowsIoT

WindowsDesktop

WindowsMobile

iOSAndroidThings


Exiger le mot depasse pour démarrerl’appareil lors de laconfiguration du modede verrouillage del’écran. Retrouvez plusde renseignementsdans l’article 123947de la base deconnaissancesSophos.

Pour Windows Mobile,une violation estuniquement signalée sila restriction Interdireles appareils nonchiffrés est égalementdéfinie. Il s’agit d’unelimitation de Windows.

Autorisez ou nonl’itinérance desdonnées sur lesappareils.

Itinérance desdonnéesautorisée

Choisissez si unconteneur doit êtrecréé et activé surl’appareil. Il peut s’agir

Conteneurconfiguré

d’un conteneurSophos, d’unconteneur SamsungKnox ou d’un profilprofessionnel Android.

Ce paramètre estassocié à la fonctionGéolocaliser.Choisissez si

Autorisationrequise pour lagéolocalisation

l’utilisateur doitautoriser l’app SophosMobile Control àrécupérer les donnéesde positiongéographique aumoment de l’installationafin d’être enconformité.

L’app Sophos MobileControl doit avoir lesdroits sur l’appareilpour fonctionner

Refus des droitsSMC autorisés

correctement.L’utilisateur doit

33


http://www.sophos.com/fr-fr/support/knowledgebase/123947.aspx




WindowsIoT

WindowsDesktop

WindowsMobile

iOSAndroidThings


accorder ces droitslorsque l’app estinstallée.

Sélectionnez si le refusdes droits entraîne uneviolation de laconformité ou pas.

Les services degéolocalisation doiventêtre activés et l’appSophos Mobile Control

App peutgéolocaliser

doit être autorisée pourpouvoir les utiliser.

Pour Windows Mobile,cette règle s’appliqueuniquement auxappareils WindowsPhone 8.1.

Vous pouvez indiquersoit Apps autoriséessoit Apps interdites.Sélectionnez l’option

Apps autorisées/ Apps interdites

désirée dans lapremière liste etsélectionnez le grouped’apps contenant lesapps qui doivent êtreautorisées ou interditesdans la seconde liste.Retrouvez plus derenseignements sur lacréation des groupesd’apps à la sectionGroupes d’apps à lapage 196.

Si vous indiquez Appsautorisées, seules lesapps répertoriées sontautorisées. Si d’autresapps sont détectées,l’appareil ne sera plusconforme.

Remarque : les appsdu système Androidsont automatiquementautorisées.

Si vous indiquez Appsinterdites, l’appareil nesera plus conforme sices apps sontdétectées.

34


WindowsIoT

WindowsDesktop

WindowsMobile

iOSAndroidThings


Indiquez les apps quidoivent être installées.Sélectionnez le grouped’apps contenant les

Appsobligatoires

apps obligatoires dansla liste. Retrouvez plusde renseignements surla création des groupesd’apps à la sectionGroupes d’apps à lapage 196.

Le paramètreprotection en tempsréel de WindowsDefender doit êtreactivé.

WindowsDefender doitêtre activé

L’appareil n’est pasconforme lorsqueWindows Defenderaffichent des alertes.

WindowsDefender doitdéclarer un étatpropre

Windows Defender doitutiliser les définitionsde spywares les plusrécentes.

Définitionsmises à jour deWindowsDefenderrequises

9.3 Assignation d’une stratégie de conformité aux groupesd’appareils1. Sur le menu latéral, sous GESTION, cliquez sur Groupes d’appareils.

La page Groupes d’appareils apparaît.

2. Cliquez sur le triangle bleu correspondant au groupe d’appareils auquel vous souhaitezassigner la stratégie de conformité et cliquez sur Modifier.

Un groupe d’appareil par défaut Default est toujours disponible. Retrouvez plus derenseignements sur la création de vos propres groupes d’appareils à la section Créationd’un groupe d’appareils à la page 61.

3. Sous Stratégies de conformité, sélectionnez les stratégies de conformité que vous voulezappliquer aux appareils professionnels et personnels.

4. Cliquez sur Save.

Les stratégies de conformité sélectionnées sont affichées sur la page Groupes d’appareilssous Stratégie de conformité (professionnelle) et Stratégie de conformité (personnelle).

35


9.4 Vérification de la conformité des appareilsAprès avoir configuré les stratégies de conformité, vous pouvez vérifier si les appareils inscritssont conformes aux à ces stratégies.

1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Stratégies de conformité.

2. Cliquez sur Vérifier maintenant.

La conformité de tous les appareils inscrits est vérifiée. les actions indiquées sont effectuées.

Remarque : les actions que vous avez définies en cas d’infraction aux règles (par exempleRefuser l’email) sont uniquement exécutées la première fois qu’une telle infraction estsignalée. Si vous changez une action, seules les nouvelles infractions signalées sont affectées.

36


10 Appareils

10.1 Ajout d’appareilsVous pouvez ajouter les appareils dans Sophos Mobile de la manière suivante :

■ Ajouter des appareils manuellement. Retrouvez plus de renseignements à la section Ajoutd’un appareil à la page 37.

■ Vous utilisez l’assistant d’inscription pour ajouter un appareil à Sophos Mobile, lui assignerun utilisateur, l’inscrire et transférer une série de tâches d’inscription. Retrouvez plus derenseignements à la section Utilisation de l’assistant d’inscription d’appareils pour assigneret inscrire de nouveaux appareils à la page 40.

■ Vous autorisez les utilisateurs à inscrire eux-mêmes leurs appareils dans le portaillibre-service Sophos Central. Retrouvez plus de renseignements à la section Configurationdu Portail libre-service à la page 17. Ce portail permet de réduire la charge de travail duservice informatique en permettant aux utilisateurs d’effectuer certaines tâches sansassistance. Les appareils sont approvisionnés grâce à l’exécution de séries de tâchesdéfinies. Retrouvez plus de renseignements à la section Séries de tâches à la page 176.

Nous vous conseillons d’utiliser des groupes d’appareils pour faciliter l’administration desappareils. Retrouvez plus de renseignements à la section Groupes d’appareils à la page 61.

10.1.1 Ajout d’un appareil

Nous vous conseillons de créer un ou plusieurs groupes d’appareils avant d’ajouter votrepremier appareil à Sophos Mobile.Vous pourrez ensuite assigner chaque appareil à un grouped’appareils pour faciliter la gestion des appareils. Retrouvez plus de renseignements à lasection Création d’un groupe d’appareils à la page 61.

Pour ajouter un nouvel appareil à Sophos Mobile :

1. Sur le menu latéral, sous GESTION, cliquez sur Appareils.

La page Appareils apparaît.

2. Cliquez sur Ajouter et sélectionnez la plate-forme sous le menu Ajouter un appareilmanuellement.

La page Modification de l’appareil apparaît.

37


3. Sur la page Modification de l’appareil, indiquez les informations suivantes sur l’appareil :

a) Dans le champ Nom, saisissez un nom exclusif au nouvel appareil.

b) Dans le champ Description, saisissez une description pour le nouvel appareil.

c) Sous Propriétaire, sélectionnez Professionnel ou Personnel.

d) Dans le champ Adresse électronique, saisissez une adresse électronique.

e) Dans le champ Numéro de téléphone, saisissez le numéro de téléphone du nouvelappareil. Saisissez le numéro de téléphone au format international, par exemple +3317 01 23 45 67.

f) Sous Groupe d’appareils, sélectionnez le groupe d’appareils auquel l’appareil va êtreaffecté.

Retrouvez plus de renseignements sur la création de groupes d’appareils à la sectionCréation d’un groupe d’appareils à la page 61.

4. Pour assigner un utilisateur à l’appareil, cliquez sur l’icône Modifier l’assignation d’unutilisateur située près du champ Utilisateur puis, cliquez sur Assigner l’utilisateurà l’appareil. Retrouvez plus de renseignements à la section Assignation d’un utilisateurà un appareil à la page 49.

5. Pour ajouter des propriétés personnalisées à l’appareil, rendez-vous dans l’ongletPropriétés personnalisées et cliquez sur le bouton Ajouter une propriété personnalisée.Retrouvez plus de renseignements à la section Propriétés personnalisées pour les appareilsà la page 49.

6. Dès que toutes les informations nécessaires sur l’appareil sont saisies, cliquez surEnregistrer.

Le nouvel appareil est ajouté à Sophos Mobile et apparaît sur la page Appareils sousGESTION. Vous pouvez maintenant approvisionner et gérer l’appareil.

Remarque : pour les appareils iOS, lorsque vous avez configuré Sophos Mobile poursynchroniser le nom de l’appareil avec l’appareil conformément aux instructions de la sectionConfiguration des paramètres iOS à la page 14, le nom que vous avez saisi dans le champNom est remplacé par le nom configuré au cours de la synchronisation.

10.2 Inscription des appareilsAprès avoir ajouté de nouveaux appareils à la console Sophos Mobile, ceux-ci doivent êtreinscrits à Sophos Mobile.

Types d’inscription

Sophos Mobile prend en charge deux types d’inscription :

Ce type d’inscription permet de bénéficier des fonctionnalités MDM (MobileDevice Management) complètes. Sophos Mobile administre tout l’appareil.

Inscriptiond’appareil

Sophos Mobile administre uniquement le conteneur Sophos sur l’appareilmais pas l’appareil lui-même.

L’inscription du conteneur Sophos est utile dans les situations suivantes :

Inscriptiond’un conteneurSophos

■ Vous voulez administrer les scénarios BYOD (Bring Your Own Device).Avec l’inscription de conteneurs Sophos, votre entreprise ne voit qu’une

38


quantité limitée d’informations sur l’appareil et aucune app ou donnéepersonnelle.

■ Vos appareils sont administrés par un logiciel MDM d’une autre marque.Toutefois, vous voulez également utiliser des fonctions offertes par leconteneur Sophos, par exemple, la synchronisation des jeux de cléprofessionnels avec Sophos SafeGuard Enterprise.

■ Vos appareils sont administrés par un logiciel MDM d’une autre marque.Toutefois, vous voulez configurer des comptes de messageriesupplémentaires. Par exemple, lorsque vous êtes une société deconseils et que vos employés ont besoin d’accéder aux serveursExchange de vos clients.

Méthodes d’inscription

Les options d’inscription d’appareils suivantes sont disponibles :

■ Vous pouvez inscrire chaque appareil non administré à l’aide de la fonction Appareil.Retrouvez plus de renseignements à la section Inscription d’appareils individuels à la page40.

■ Vous pouvez utiliser l’assistant d’inscription pour ajouter un appareil à Sophos Mobile, luiassigner un utilisateur, l’inscrire et transférer une série de tâches d’inscription. Retrouvezplus de renseignements à la section Utilisation de l’assistant d’inscription d’appareils pourassigner et inscrire de nouveaux appareils à la page 40.

Remarque : Si nécessaire, vous pouvez utiliser l’assistant d’inscription d’appareils pourinscrire les appareils iOS sans identifiant Apple. Ceci peut, par exemple, s’avérerparticulièrement utile pour préconfigurer l’appareil avant de le remettre à un utilisateur.Retrouvez plus de renseignements à la section Inscription des appareils iOS sans identifiantApple à la page 42.

Conseils d’utilisation

Pour inscrire et configurer plusieurs appareils de manière plus efficace, nous vous conseillonsd’utiliser les méthodes suivantes :

■ Vous pouvez regrouper les tâches nécessaires à l’inscription d’appareils, appliquer lesstratégies requises et installer les apps requises (par exemple, les apps administrées pourles appareils iOS). Retrouvez plus de renseignements à la section Séries de tâches à lapage 176.

■ Vous pouvez autoriser les utilisateurs à inscrire leurs appareils dans le portail libre-serviceSophos Central. Pour ce faire, vous devez inclure une série de tâches pour l’inscriptionlors de la configuration des paramètres pour l’utilisation du portail libre-service SophosCentral. Retrouvez plus de renseignements sur la création de séries de tâches pourl’inscription dans le Guide de démarrage de Sophos Mobile ou dans le Guide de démarragede Sophos Mobile as a Service. Retrouvez plus de renseignements sur la sélection de lasérie de tâches dans les paramètres du Portail libre-service à la section Configurationdes paramètres du Portail libre-service à la page 17.

Remarque : si vous avez uniquement une licence Mobile Security activée dans SophosCentral et pas une licence Mobile Standard, l’inscription d’appareils s’applique uniquementà l’app Sophos Mobile Security.Vous pouvez administrer Sophos Mobile Security avec Sophos

39


https://www.sophos.com/fr-fr/medialibrary/PDFs/documentation/smc_71_sgeng.pdf

https://www.sophos.com/fr-fr/medialibrary/PDFs/documentation/smc_71_saas_sgeng.pdf

https://www.sophos.com/fr-fr/medialibrary/PDFs/documentation/smc_71_saas_sgeng.pdf

Mobile comme décrit à la section Gestion de Sophos Mobile Security à la page 223. Les autresfonctions de Sophos Mobile ne sont pas disponibles.

10.2.1 Inscription d’appareils individuels

1. Sur le menu latéral, sous GESTION, cliquez sur Appareils et sélectionnez l’appareil quevous voulez inscrire.

2. Sur la page Affichage de l’appareil, sélectionnez une action d’inscription :

■ Pour inscrire l’appareil à Sophos Mobile, cliquez sur Actions > Inscrire.■ Pour inscrire le conteneur Sophos, cliquez sur Actions > Inscrire le conteneur Sophos.

3. Pour l’inscription du conteneur Sophos, sélectionnez une série de tâches ou une stratégie.

La tâche d’inscription commence et s’affiche sur la page Vue des tâches. Un email contenantles instructions d’inscription est envoyé à l’utilisateur.

10.2.2 Utilisation de l’assistant d’inscription d’appareils pour assigner etinscrire de nouveaux appareils

Vous pouvez facilement inscrire de nouveaux appareils grâce à l’assistant d’inscriptiond’appareils. Il vous permet d’effectuer les tâches suivantes :

■ Ajouter un nouvel appareil à Sophos Mobile.

■ Assigner un utilisateur à un appareil.

■ Inscrire l’appareil.

■ Facultatif : transférer une série de tâches sur cet appareil.

Pour démarrer l’assistant d’inscription d’appareils :

1. Sur le menu latéral, sous GESTION, cliquez sur Appareils puis sur Ajouter > Assistantd’inscription.

Info : vous avez également la possibilité de démarrer l’assistant à partir de la page duTableau de bord en cliquant sur le widget Ajouter un appareil.

2. Sur la page de l’assistant Saisir des paramètres de recherche de l’utilisateur saisissezles critères de recherche pour retrouver un utilisateur à qui l’appareil va être assigné.

3. L’assistant affiche une liste des utilisateurs correspondants. Sélectionnez l’utilisateurrequis.

40


4. Sur la page Détails de l’appareil de l’assistant, configurez les paramètres suivants :

DescriptionOption

La plate-forme de l’appareil.Plate-forme

Un nom unique sous lequel l’appareil va être administré parSophos Mobile.

Nom

Une description de l’appareil (renseignement facultatif).Description

Un numéro de téléphone (renseignement facultatif). Saisissez lenuméro de téléphone au format international, par exemple +3317 01 23 45 67.

Numéro de téléphone

L’adresse électronique à laquelle les instructions d’inscriptionvont être envoyées.

Il s’agit de l’adresse email de l’utilisateur assigné à l’appareilconformément à la configuration dans le gestion des utilisateursde Sophos Central.

Adresse électronique

Sélectionnez le type de propriétaire de l’appareil : soitProfessionnel soit Personnel.

Propriétaire

Sélectionnez le groupe d’appareils auquel l’appareil va êtreassigné. Si vous n’avez pas encore créé de groupe d’appareils,vous pouvez sélectionner le groupe d’appareils Default (pardéfaut) qui est toujours disponible.

Groupe d’appareils

5. Sur la page Inscription de l’assistant, vous pouvez choisir d’inscrire l’appareil ouuniquement le conteneur Sophos.

Remarque : cette option est uniquement disponible si vous avez configuré l’inscriptiondu conteneur Sophos. Retrouvez plus de renseignements à la section Configuration del’inscription d’un conteneur Sophos à la page 228.

Retrouvez plus de renseignements sur les différents types d’inscription à la sectionInscription des appareils à la page 38.

6. Sélectionnez une série de tâches qui sera transférée à l’appareil suite à son inscription.Ou sélectionnez Inscrire l’appareil uniquement pour inscrire l’appareil sans transférerune série de tâches.

Pour l’inscription du conteneur Sophos, vous pouvez sélectionner une stratégie plutôtqu’une série de tâches.

Lorsque vous cliquez sur Suivant, l’appareil est ajouté à Sophos Mobile.

7. Sur la page Inscription de l’assistant, suivez les instructions d’installation de l’app SophosMobile Control sur l’appareil et terminez les opérations d’inscription et d’approvisionnement.

8. Lorsque l’opération d’inscription a réussi, cliquez sur Terminer pour fermer l’assistantd’inscription d’appareils.

41


Remarque :

■ Lorsque vous avez effectué toutes les sélections, vous pouvez fermer l’assistant sansavoir à attendre que le bouton Terminer apparaisse. Une tâche d’inscription est créée ettraitée en tâche de fond.

■ Si vous avez sélectionné une série de tâches à transférer sur l’appareil après l’inscription,vous pouvez suivre l’état de la tâche sur la page Vue des tâches. Retrouvez plus derenseignements à la section Affichage des tâches non terminées, en échec et récemmentterminées à la page 9.

■ Pour les appareils iOS, lorsque vous avez configuré Sophos Mobile pour synchroniser lenom de l’appareil avec l’appareil conformément aux instructions de la section Configurationdes paramètres iOS à la page 14. Le nom que vous avez saisi dans le champ Nom estignoré et c’est le nom configuré sur l’appareil qui est utilisé à la place.

10.2.3 Inscription des appareils iOS sans identifiant Apple

Vous pouvez commencer par inscrire un appareil iOS dans Sophos Mobile sans avoir àl’associer à un identifiant Apple. Ceci peut, par exemple, s’avérer particulièrement utile pourpréconfigurer l’appareil avant de le remettre à un utilisateur.

La méthode d’inscription standard consiste à installer l’app Sophos Mobile Control sur l’appareil.L’app étant installée à partir de la boutique d’apps est uniquement accessible à l’aide d’unidentifiant Apple. Vous devez donc associer l’appareil à cet identifiant avant de commencerla procédure d’inscription.

Une autre méthode d’inscription consiste à inscrire un appareil iOS sans installer l’app SophosMobile Control. Il n’est donc pas nécessaire d’associer l’appareil à un identifiant Apple. Cetteaction est effectuée par l’assistant d’inscription d’appareils. Retrouvez plus de renseignementsà la section Utilisation de l’assistant d’inscription d’appareils pour assigner et inscrire denouveaux appareils à la page 40.

Dans l’assistant d’inscription d’appareils, procédez comme suit :

1. Sur la page Inscription, sélectionnez l’onglet Inscription sans identifiant Apple.2. Utilisez le navigateur Web de l’appareil pour ouvrir l’URL d’inscription. Un formulaire

d’inscription à Sophos Mobile s’ouvre.3. Saisissez le token dans ce formulaire et cliquez sur Inscrire.4. Suivez les instructions sur l’appareil pour installer la série de tâches d’inscription.

10.2.4 Inscription d’un appareil Android Things

Cette section vous explique comment inscrire un appareil Android Things avec l’assistantd’inscription d’appareils.

Conditions préalables :

■ Vous avez préparé un ordinateur (ordinateur hôte) connecté à votre réseau d’IP local etsur lequel l’outil de ligne de commande Android Debug Bridge (adb) est installé. adb faitpartie du package Android SDK Platform-Tools. Ce package peut soit être installé dansle cadre de l’installation d’Android SDK ou en tant que package autonome. Retrouvez plusde renseignements dans la documentation Android developer.

■ Vous avez installé (flashé) le fichier image d’Android Things sur l’appareil que vous voulezinscrire.

■ Vous avez connecté l’appareil à votre réseau d’IP local par le biais d’Ethernet ou d’uneconnexion Wi-Fi.

42


Pour inscrire l’appareil Android Things à Sophos Mobile :


2. Utilisez l’assistant d’inscription d’appareils conformément aux instructions de la sectionUtilisation de l’assistant d’inscription d’appareils pour assigner et inscrire de nouveauxappareils à la page 40 pour commencer la procédure d’inscription. Pour un appareil AndroidThings, procédez de la manière suivante :

a) À l’étape Détails de l’appareil de l’assistant, dans le champ Plate-forme, sélectionnezAndroid Things.

b) À l’étape Inscription de l’assistant, cliquez sur Ouvrir la section de téléchargementsSophos Mobile et téléchargez le fichier APK de la dernière version du Client SMCAndroid.

3. Copiez le fichier APK sur l’ordinateur hôte.

Info : vous pouvez utiliser le même fichier APK sur tous les appareils Android Things quevous inscrivez.

4. Sur l’ordinateur hôte, utilisez la ligne de commande adb pour connecter l’appareil AndroidThings où <adresse-ip> correspond à l’adresse IP de l’appareil :

adb connect <adresse-ip>connected to <adresse-ip>:5555

5. Installez l’app Sophos Mobile Control sur l’appareil Android Things avec la commandeadb suivante :

adb install <chemin-fichier-apk>

6. Redémarrez l’appareil en utilisant par exemple la commande adb suivante :

adb reboot

Remarque : un redémarrage est requis pour accorder les autorisations requises à l’appSophos Mobile Control.

7. Après avoir redémarré, connectez de nouveau l’appareil :

adb connect <adresse-ip>

8. Configurez l’app Sophos Mobile Control avec la commande adb affichée par l’assistantd’inscription d’appareils ou en utilisant l’email d’instructions :

adb shell am start -d "<paramètres-configuration>"

Remarque : vous allez peut être recevoir un message du système Warning: Activitynot started, its current task has been brought to the front. Vouspouvez ignorer ce message.

L’app Sophos Mobile Control sur l’appareil Android Things se connecte à votre serveur SophosMobile. Une fois la procédure d’inscription terminée, l’appareil apparaît sous l’état Administrédans Sophos Mobile.

43


10.2.5 Inscription de l’appareil Windows IoT

Cette section vous explique comment inscrire un appareil Windows IoT avec l’assistantd’inscription d’appareils.


■ Vous avez installé (flashé) Windows 10 IoT Core sur l’appareil que vous voulez inscrire.

■ Vous avez connecté l’appareil à votre réseau d’IP local par le biais d’Ethernet ou d’uneconnexion Wi-Fi.

Pour inscrire l’appareil Windows IoT à Sophos Mobile :


2. Utilisez l’assistant d’inscription d’appareils conformément aux instructions de la sectionUtilisation de l’assistant d’inscription d’appareils pour assigner et inscrire de nouveauxappareils à la page 40 pour commencer la procédure d’inscription. Pour un appareilWindows IoT, procédez de la manière suivante :

a) À l’étape Détails de l’appareil de l’assistant, dans le champ Plate-forme, sélectionnezWindows IoT.

b) À l’étape Inscription de l’assistant, cliquez sur Télécharger le packaged’approvisionnement pour télécharger un fichier .ppkg avec le packaged’approvisionnement pour Sophos Mobile. Ce lien est également disponible dans l’emaild’instructions.

3. Sur un ordinateur Windows connecté au même réseau local que l’appareil Windows IoT,utilisez l’Explorateur de fichiers Windows pour vous connecter à l’appareil.

Dans la barre d’adresse de l’Explorateur de fichiers, saisissez l’adresse suivante où<adresse-ip> correspond à l’adresse IP de l’appareil :

\\<adresse-ip>\c$

Saisissez votre nom et votre mot de passe d’administrateur de l’appareil le cas échéant.

4. Copiez le fichier .ppkg téléchargé à partir de l’assistant d’inscription dans le dossierC:\Windows\Provisioning\Packages de l’appareil.

Remarque : ce dossier doit uniquement contenir un seul fichier .ppkg.

5. Redémarrez l’appareil.

Après avoir redémarré, l’appareil Windows IoT exécute le package d’approvisionnement etse connecte à votre serveur Sophos Mobile. Une fois la procédure d’inscription terminée,l’appareil apparaît sous l’état Administré dans Sophos Mobile.

Important : sur la page Affichage de l’appareil, n’effectuez pas les actions Définir sur« Non administré » ou Supprimer avant d’avoir désinscrit l’appareil. En cas contraire, vousdevrez réinitialisez l’appareil avant de pouvoir le réinscrire. Pour le réinitialiser, vous allezdevoir réinstaller (flasher) une image Windows 10 IoT Core sur l’appareil.

10.3 Désinscription des appareilsVous pouvez désinscrire les appareils qui ne seront plus utilisés. Par exemple, si un utilisateurutilise un nouvel appareil. Ceci peut, par exemple, s’avérer particulièrement utile si le nombre

44


d’appareils que l’utilisateur est autorisé à inscrire dans le portail libre-service Sophos Centralest limité.


2. Sélectionnez l’appareil de votre choix, cliquez sur Actions puis sur Désinscrire.

Un message apparaît vous demandant de confirmer si vous voulez désinscrire l’appareil.

Remarque : il est possible de sélectionner plusieurs appareils à désinscrire.

3. Cliquez sur Oui.

L’appareil est désinscrit. Cette opération a les effets suivants :

Appareils Android :

■ L’administrateur d’appareils de Sophos Mobile Control est désactivé.

■ Les données de connexion du serveur et toutes les autres données reçues sont supprimées.

■ Les apps de conteneurs (Sophos Secure Workspace et Sophos Secure Email) et l’appSophos Mobile Security sont réinitialisées.

Appareils iOS :

■ Tous les profils sont supprimés.

■ Toutes les apps administrées sont supprimées.

■ Tous les certificats reçus via la gestion des appareils mobiles MDM sont supprimés.

■ Les apps de conteneurs (Sophos Secure Workspace et Sophos Secure Email) sontréinitialisées.

10.4 Gestion des appareilsSur le menu latéral, sous GESTION > Appareils et Groupes d’appareils, vous pouvez suivrel’état de tous les appareils et groupes d’appareils et pouvez effectuer de nombreuses tâchesadministratives. Après avoir ajouté des appareils à Sophos Mobile, vous pouvez par exemple :

■ Voir et modifier les détails de l’appareil.

■ Autoriser ou interdire l’accès à la messagerie aux appareils.

■ Verrouiller ou déverrouiller des appareils à distance.

■ Réinitialiser les mots de passe des appareils.

■ Réinitialiser l’appareil à distance en cas de perte ou de vol.

■ Décommissionner les appareils (Android et iOS).

■ Supprimer des appareils.

10.4.1 Affichage des appareils


2. Rendez-vous sur l’appareil concerné et cliquez sur son nom.

La page Affichage de l’appareil s’affiche pour l’appareil sélectionné.

45


Info : sur la page Appareils, vous pouvez afficher des informations supplémentaires enpassant votre curseur au-dessus de certains éléments :

■ Passez votre curseur sur l’icône « Non administré » d’un appareil pour afficher son étaten cours (Désinscrit ou Vérifié).

■ Passez votre curseur sur l’icône « Non conforme » d’un appareil pour afficher son niveaude sévérité (élevée, moyenne, faible).

10.4.1.1 Page Affichage de l’appareilLa page Affichage de l’appareil vous permet de consulter toutes les informations disponiblessur l’appareil de votre choix.

Dans la partie supérieure de la page, vous pouvez consulter rapidement les informations lesplus importantes sur les appareils.

Dans la partie inférieure de la page, les différents onglets contiennent des informationsdétaillées sur l’appareil. L’affichage de ces onglets et des informations dépend de la plate-formede l’appareil.

■ État

Affiche des informations essentielles sur l’appareil, notamment le type d’administration,l’état d’administration et l’état de conformité.

■ Profils (Android, iOS)

Affiche les profils (notamment les profils d’enregistrement) installés sur l’appareil.

L’onglet contient également des commandes d’installation ou de suppression de profils.

Remarque :

Les profils d’appareils iOS contenant uniquement les configurations suivantesn’apparaissent pas sur l’onglet Profils :

■ Itinérance/Borne Wi-Fi

■ Fond d’écran

Ces configurations ne sont pas installées en tant que profil sur l’appareil. Elles définissentuniquement les paramètres que l’utilisateur pourra changer ultérieurement.

Info : le champ de recherche du tableau vous permet de rechercher par identifiant deprofil même si l’identifiant n’est pas affiché dans le tableau.

■ Stratégies

Affiche les stratégies assignées à l’appareil.

Dans cet onglet, le bouton Assigner une stratégie sert à assigner une stratégie surl’appareil.

■ Propriétés de l’appareil

Affiche les propriétés de l’appareil, par exemple les propriétés du modèle, le nom dumodèle, la version du système d’exploitation. Pour les appareils Android, les smartphonesdisposant des droits root sont détectés et la propriété correspondante apparaît dans cettevue. Pour les appareils iOS, les smartphones débridés sont détectés et la propriétécorrespondante apparaît dans cette vue.

■ Propriétés personnalisées

46


Affiche les propriétés personnalisées de l’appareil. Vous pouvez créer ces propriétésvous-même. Les propriétés personnalisées de l’appareil peuvent, par exemple, être utiliséesdans les espaces réservés en cas d’indisponibilité d’une connexion Active Directory.Lorsque vous modifiez un appareil, vous pouvez également ajouter des informationsspécifiques à l’utilisateur.

■ Propriétés internes

Affiche les propriétés internes de l’appareil, par exemple, trafic ActiveSync autorisé, IMEI.

■ Violations de conformité

Cet onglet s’affiche uniquement pour les appareils non conformes. Il affiche les violationsde conformité de l’appareil et les actions prises suite à cette violation.

Retrouvez plus de renseignements sur la configuration de ces actions à la section Créationd’une stratégie de conformité à la page 28.

■ Apps installées (Android, iOS)

Affiche les logiciels installés sur l’appareil.

pour les appareils iOS, la colonne Administré indique les apps administrées. SophosMobile vous permet de déployer ces apps sur les appareils iOS et les désinstaller demanière silencieuse.

pour les appareils Android, Sophos Mobile est en mesure de faire la différence entre lesapps du système et les apps que l’utilisateur a installées sur l’appareil.

La colonne Taille indique l’espace disque utilisé par une app. La colonne Données indiquel’espace disque supplémentaire qu’utilise une app pour les données de l’utilisateur, lesconfigurations, etc.

Le bouton Installer l’app vous permet d’installer un logiciel sur l’appareil. Vous pouvezégalement supprimer les apps administrées de l’appareil iOS en cliquant sur l’icôneSupprimer correspondant à l’app.

Remarque : Pour les appareils sur lesquels Sophos Mobile administre uniquement leconteneur Sophos, les apps hors du conteneur Sophos ne sont pas répertoriées. Ceciinclut les apps que l’utilisateur a installée à partir de l’Enterprise App Store.

■ Apps système (Android)

Affiche les apps du système Android sur l’appareil.

Remarque : les apps système ne peuvent pas être supprimées de l’appareil.

■ Apps Knox (Android)

Cet onglet affiche les apps installées par l’utilisateur dans le conteneur Samsung Knox.

■ Apps système Knox (Android)

Cet onglet affiche les apps système installées dans le conteneur Samsung Knox.

■ Résultats du contrôle (Android)

Cet onglet affiche les résultats du dernier contrôle Sophos Mobile Security effectué surl’appareil.

Cet onglet est uniquement disponible si l’app Sophos Mobile Security est administrée parSophos Mobile. Retrouvez plus de renseignements à la section Gestion de Sophos MobileSecurity à la page 223.

47


■ Certificats

Affiche les certificats utilisés sur l’appareil.

Info : dans ce tableau, passez votre curseur sur la valeur Objet ou Émetteur pour afficherles informations du certificat.

■ Tâches

Cet onglet affiche toutes les tâches qui ont échoué et qui ne sont pas encore terminéessur l’appareil ainsi que celles qui ont été effectuées récemment. Vous pouvez égalementvoir ces tâches ainsi que toutes les tâches effectuées sur d’autres appareils sur la pageVue des tâches. Retrouvez plus de renseignements à la section Surveillance des tâchesà la page 9.

Vous pouvez passer directement de la page Affichage de l’appareil à la page Modificationde l’appareil. Pour modifier l’appareil que vous êtes en train d’afficher, cliquez sur Modifier.

10.4.1.2 Utilisation du filtre étendu d’appareilsLe filtre étendu d’appareils vous permet de filtrer la liste d’appareils selon vos besoins. Vouspouvez stocker des critères de filtrage sous un nom personnalisé pour les appliquerultérieurement.

Pour définir un filtrage d’appareil :

1. Sur la page Appareils, cliquez sur Filtre étendu dans le bandeau d’en-tête.

2. Veuillez définir vos critères de filtrage.

3. Pour enregistrer les critères de filtrage sous un nom personnalisé, saisissez ce nom dansFiltre d’appareils et cliquez sur Enregistrer.

4. Après avoir sélectionné les critères requis, cliquez sur Filtrer pour appliquer le filtre à laliste d’appareils.

Lorsqu’un filtre est activé, l’icône du filtre dans le bandeau d’en-tête change de couleur (dubleu au vert).

Info : pensez à réinitialiser le filtre lorsque vous n’en avez plus besoin. Autrement, les listesou les rapports n’incluront pas les résultats attendus.

Autres tâches de filtrage d’appareils :

■ Pour supprimer un filtre de la liste d’appareils, cliquez sur Filtre étendu et sur Réinitialiser.

■ Pour appliquer un filtre enregistré, cliquez sur Filtres enregistrés et sélectionnez le filtrede votre choix.

■ Pour supprimer un filtre enregistré, cliquez sur Filtres enregistrés et sur l’icône de corbeillecorrespondant au filtre à supprimer.

■ Pour modifier un filtre enregistré, appliquez d’abord le filtre et cliquez sur Filtre étendu,puis faites vos modifications et enregistrez de nouveau le filtre.

10.4.2 Modification des appareils


2. Cliquez sur le triangle bleu correspondant à l’appareil de votre choix et cliquez sur Modifier.

La page Modification de l’appareil s’affiche pour l’appareil sélectionné.

3. Effectuez les changements nécessaires (par exemple installez ou désinstallez un logicieldans l’onglet Apps installées) et cliquez sur Enregistrer.

48


Vos modifications sont appliquées à l’appareil modifié.

Remarque : les changements de propriétés s’appliquent uniquement lorsque vous cliquezsur Enregistrer. Si vous n’enregistrez pas vos modifications, elles ne s’appliqueront pas.

10.4.2.1 Assignation d’un utilisateur à un appareil1. Sur le menu latéral, sous GESTION, cliquez sur Appareils.

2. Sur la page Appareils, cliquez sur le triangle bleu correspondant à l’appareil de votrechoix et cliquez sur Modifier.

3. Sur la page Modification de l’appareil, cliquez sur l’icône Modifier l’assignation d’unutilisateur située près du champ Utilisateur et cliquez ensuite sur Réassigner unutilisateur à l’appareil.

4. À l’étape Saisir des paramètres de recherche de l’utilisateur de la boîte de dialogued’assignation, saisissez le paramètre de recherche dans un ou plusieurs champs afin defiltrer la liste des utilisateurs qui sera affichée à l’étape suivante. Par exemple, saisissezle nom d’utilisateur complet ou une partie du nom.

5. À l’étape Sélectionner un utilisateur, sélectionnez l’utilisateur désiré et cliquez surAppliquer.

6. Sur la page Modification de l’appareil, cliquez sur Enregistrer.

10.4.2.2 Propriétés personnalisées pour les appareilsVous pouvez définir des propriétés personnalisées pour chaque appareil.

Lorsque vous définissez une propriété sous le nom ma propriété, vous pouvez faireréférence à la valeur de la propriété dans les profils et stratégies en utilisant l’espace réservé%_DEVPROP(ma propriété)_%. Par exemple, vous pouvez utiliser ceci pour faire référenceà un utilisateur assigné à un appareil.

Retrouvez plus de renseignements sur les espaces réservés aux profils et stratégies à lasection Espaces réservés dans les profils et stratégies à la page 67.

Remarque :

■ Vous ne pouvez pas créer de propriété personnalisée pour l’appareil sous le même nomqu’une propriété de l’appareil.

■ Lorsque vous dupliquez un appareil conformément aux instructions de la section , le nouvelappareil reçoit les propriétés personnalisées de l’appareil d’origine.

Pour définir une propriété personnalisée pour l’appareil :

1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Général. Surl’onglet Personnel, assurez-vous que l’option Afficher plus de détails sur l’appareil estsélectionnée.


3. Cliquez sur le triangle bleu correspondant à l’appareil de votre choix et cliquez sur Modifier.

4. Sur la page Modification de l’appareil, rendez-vous dans l’onglet Propriétéspersonnalisées et cliquez sur Ajouter une propriété personnalisée.

5. Saisissez un nom et une valeur pour la nouvelle propriété personnalisée de l’appareil.

6. Cliquez sur Appliquer pour ajouter la propriété.

7. Cliquez sur Enregistrer pour enregistrer les modifications sur l’appareil.

49


10.4.2.3 Verrouillage de l’appareilVous pouvez verrouiller un appareil administré par Sophos Mobile. Cette opération active leverrouillage de l’écran.


2. Sur la page Appareils, cliquez sur le triangle bleu correspondant à l’appareil que vousvoulez verrouiller ou déverrouiller et cliquez sur Afficher.

3. Sur la page Affichage de l’appareil, cliquez sur Actions > Verrouiller.

Une tâche d’activation de l’écran de verrouillage est créée et transférée à l’appareil. L’utilisateurdoit saisir le mot de passe de son appareil (ou son code PIN ou le modèle, s’il est configuré)pour déverrouiller l’appareil.

Vous pouvez voir l’état de la tâche sur la page Vue des tâches.

Remarque : même pour les appareils sur lesquels Sophos Mobile administre uniquementle profil professionnel Android, l’action Verrouiller verrouille l’appareil et pas uniquement leprofil professionnel.

Remarque : vous ne pouvez pas verrouiller les appareils sur lesquels Sophos Mobileadministre le conteneur Sophos.

10.4.3 Mise à jour du logiciel iOS

Vous pouvez mettre à jour le logiciel iOS sur les appareils Apple iOS suivants :

■ Appareils supervisés à partir d’iOS 10.3

■ Appareils Apple DEP supervisés

Remarque : cette section décrit la mise à jour du logiciel iOS sur un seul appareil. Pourmettre à jour le logiciel iOS d’un groupe d’appareils, veuillez utiliser une série de tâches avecla tâche Installer la dernière mise à jour iOS. Retrouvez plus de renseignements à la sectionTypes de tâche iOS disponibles à la page 180.

Pour mettre à jour le logiciel iOS d’un appareil :


2. Sur la page Appareils, cliquez sur le triangle bleu correspondant à l’appareil de votrechoix et cliquez sur Afficher.

3. Sur la page Affichage de l’appareil, cliquez sur Actions > Afficher les mises à jourdisponibles.

Une liste des mises à jour iOS disponibles pour l’appareil apparaît. Les mises à jourCritique sont des mises à jour de sécurité considérées comme critiques par Apple.

4. Pour installer la dernière mise à jour disponible, cliquez sur Installer la dernière mise àjour disponible.

Une tâche de mise à jour du logiciel iOS est créée et transférée à l’appareil.

Vous pouvez voir l’état de la tâche sur la page Vue des tâches.

Info :

■ Vérifiez l’état de mise à jour d’un seul appareil iOS sur la page Affichage de l’appareilde l’appareil. Un signe d’avertissement apparaît Système d’exploitation si la dernièreversion d’iOS n’est pas installée sur l’appareil.

■ Vérifiez l’état de mise à jour de tous les appareils iOS dans la colonne OsUpdateAvailabledu rapport Appareils.

50


10.5 Programme d’inscription d’appareils (DEP) AppleGrâce au Programme d’inscription d’appareils Apple (DEP), vous avez la possibilité d’acheterdes appareils iOS (et macOS) en volume afin de les distribuer dans votre entreprise. Leprogramme DEP simplifie le déploiement des appareils mobiles en offrant les fonctionssuivantes :

■ Processus d’activation configurable.

■ Activation sans fil du mode de supervision.

■ Configuration OTA (over-the-air).

■ Inscription automatique des appareils iOS dans Sophos Mobile au cours de l’activationde l’appareil.

Info : retrouvez plus de renseignements sur le programme DEP en vous rendant sur le siteWeb d’Apple DEP sur http://www.apple.com/fr/business/programs/.

Étapes de préparation

Pour préparer la gestion des appareils DEP par Sophos Mobile, veuillez effectuer les étapessuivantes une seule fois :

1. Sur le portail Web du Programme d’inscription d’appareils Apple, créez un serveur MDMvirtuel et créez un lien vers Sophos Mobile. Retrouvez plus de renseignements à la sectionInstallation d’un serveur MDM virtuel à la page 52.

2. Dans Sophos Mobile, créez un ou plusieurs profils DEP qui contrôle divers attributsd’appareil spécifiques au Programme d’inscription d’appareils Apple (DEP). Avec le profilDEP, vous pouvez également personnaliser l’assistant d’installation d’iOS qui démarrelorsque l’appareil est mis en marche pour la première fois. Retrouvez plus derenseignements à la section Création d’un profil du Programme d’inscription d’appareils(DEP) à la page 53.

Étapes de déploiement

Lorsque vous achetez des appareils DEP, le processus de déploiement classique consisteà effectuer les étapes suivantes :

1. Acheter les appareils chez Apple ou auprès d’un revendeur agréé participant au Programmed’inscription d’appareils.

2. Sur le portail du Programme d’inscription d’appareils d’Apple, assigner les appareils auserveur MDM de Sophos Mobile. Retrouvez plus de renseignements à propos de cetteétape et de l’étape suivante à la section Déploiement des appareils du Programmed’inscription d’appareils (DEP) à la page 58.

3. Assigner un profil DEP aux appareils dans la console Sophos Mobile.4. Distribuer les appareils à vos utilisateurs.5. Lorsque les utilisateurs mettent en marche leurs appareils pour la première fois, l’assistant

d’installation personnalisée d’iOS démarre. Au cours de l’installation, les appareils sontinscrits dans Sophos Mobile et l’utilisateur est assigné à l’appareil.

6. Si nécessaire, vous avez la possibilité de transférer des séries de tâches supplémentairesaux appareils pour compléter leur approvisionnement.

51


http://www.apple.com/fr/business/programs/

10.5.1 Installation d’un serveur MDM virtuel

Condition préalable : cette procédure suppose que vous avez déjà procédé à l’inscriptiondans le Programme d’inscription d’appareils Apple (DEP) et créé un compte d’administrateurpour le portail Web du Programme d’inscription d’appareils Apple.

Remarque : retrouvez plus de renseignements sur l’inscription au Programme d’inscriptiond’appareils sur le site Web du Programme d’inscription d’appareils Apple surhttp://www.apple.com/fr/business/programs/ ou dans l’Aide des Programmes de déploiementApple.

Info : si vous vous êtes déjà inscrit au Programme d’achats en volume (VPP) d’Apple, vouspouvez utiliser le même identifiant Apple pour le Programme d’inscription d’appareils.

Pour utiliser le Programme d’inscription d’appareils Apple avec Sophos Mobile, vous devezcréer un serveur MDM virtuel sur le portail Web du Programme d’inscription d’appareils Appleet le relier au serveur Sophos Mobile. Ceci inclut une procédure de vérification pour établirune connexion sécurisée entre Sophos Mobile et le service Web du Programme d’inscriptiond’appareils Apple.

Pour installer un serveur MDM pour Sophos Mobile :

1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration dusystème, puis sur l’onglet Apple DEP.

2. Cliquez sur télécharger la clé publique pour télécharger le fichier de la clé publiqueSophos Mobile du Programme d’inscription d’appareils Apple (DEP).

Le fichier va être enregistré localement sur votre ordinateur à l’aide des paramètres detéléchargement de votre navigateur Web.

3. Ouvrez le portail Web du Programme d’inscription d’appareils Applehttps://deploy.apple.com dans une nouvelle fenêtre de navigation.

Vous pouvez effectuer cette opération en cliquant sur le lien Portail Web du Programmed’inscription d’appareils Apple dans Sophos Mobile.

4. Connectez-vous au portail Web du Portail Web du Programme d’inscription d’appareilsApple à l’aide de l’identifiant Apple de votre entreprise.

5. Sur le portail, allez sur Programme d’inscription d’appareils > Gérer les serveurs etcliquez ensuite sur Ajouter un serveur MDM.

6. Saisissez un nom pour le serveur MDM, par exemple Sophos Mobile.

7. Téléchargez ensuite le fichier de la clé publique que vous avez téléchargée depuis SophosMobile.

8. Téléchargez ensuite le token du serveur.

À ce stade, vous pouvez vous déconnecter du portail Web du Programme d’inscriptiond’appareils Apple.

9. Sur l’onglet Apple DEP de Sophos Mobile, cliquez sur Télécharger un fichier etsélectionnez le token du serveur que vous avez téléchargé à partir du portail Web duProgramme d’inscription d’appareils Apple.

Les détails de votre serveur MDM virtuel sont affichés.

10. Cliquez sur Enregistrer pour enregistrer vos modifications.

Le token du serveur du Programme d’inscription d’appareils est valide pendant un an.

Important : lorsque vous créez un nouveau token du serveur sur le portail Web du Programmed’inscription d’appareils Apple, veuillez utiliser le même identifiant Apple que celui utilisé lorsde la création du premier token.

52


http://www.apple.com/fr/business/programs/

https://help.apple.com/deployment/programs/


10.5.2 Configuration de la gestion des utilisateurs DEP

Vous devez créer un Programme d’inscription d’appareils Apple (DEP) avant de pouvoirconfigurer la gestion des utilisateurs pour le Programme d’inscription d’appareils. Retrouvezplus de renseignements à la section Installation d’un serveur MDM virtuel à la page 52.

Si vous avez configuré la synchronisation Active Directory pour vos utilisateurs Sophos Central,vous pouvez configurer une connexion à votre serveur LDAP Active Directory.Vos utilisateursseront ensuite en mesure de configurer les appareils Apple DEP à l’aide de leurs codesd’accès LDAP.

Sans une connexion LDAP, seuls les utilisateurs qui ont été invités dans le Portail libre-servicepourront configurer leurs appareils Apple DEP.

1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration dusystème, et cliquez sur l’onglet Gestion des utilisateurs Apple DEP.

2. Cliquez sur Configurer le LDAP externe.

3. Sur la page Détails du serveur, configurez les paramètres suivants :

a) Dans le champ URL principale, saisissez l’URL du serveur Active Directory principal.Vous pouvez saisir l’adresse IP du serveur ou le nom du serveur.

Le serveur doit être compatible avec LDAP sur SSL (LDAPS).

b) Facultatif - Dans le champ URL secondaire, saisissez l’URL d’un serveur ActiveDirectory utilisé si le serveur principal ne peut pas être joint.

c) Dans le champ Utilisateur, saisissez un compte d’utilisateur LDAP. Sophos Mobileutilise ce compte pour se connecter au serveur Active Directory.

Veuillez utiliser l’un des formats suivants :

■ <domaine>\<nom d’utilisateur>

■ <nom d’utilisateur>@<domaine>.<code du domaine>

Remarque : pour des raisons de sécurité, nous vous conseillons d’indiquer un utilisateurdisposant uniquement des droits en lecture sur le serveur Active Directory et pas desdroits en écriture.

d) Dans le champ Mot de passe, saisissez un mot de passe pour l’utilisateur.

4. Sur la page Base de recherche, saisissez le nom unique de l’objet de la base de recherche.

L’objet de la base de recherche définit l’emplacement à partir duquel la recherche del’utilisateur ou du groupe d’utilisateurs commence.


Lorsque les utilisateurs s’authentifient dans Apple DEP, ils sont identifiés par leur adresseemail. Si l’adresse email stocké dans Sophos Central n’est pas identique à la valeur stockéedans le champ mail d’Active Directory, l’authentification échoue. Pour cette raison, nousvous conseillons d’effectuer régulièrement la synchronisation Active Directory dans SophosCentral.

10.5.3 Création d’un profil du Programme d’inscription d’appareils (DEP)

Vous devez créer un Programme d’inscription d’appareils Apple (DEP) avant de pouvoir créerdes profils du Programme d’inscription d’appareils. Retrouvez plus de renseignements à lasection Installation d’un serveur MDM virtuel à la page 52.

53


Un profil du Programme d’inscription d’appareils est assigné à un appareil du Programmed’inscription d’appareils et fournit des informations au serveur Apple lorsque l’appareil estactivé. Ces informations inclut :

■ Le serveur MDM (c’est-à-dire Sophos Mobile) assigné pour administrer l’appareil.

■ Les options de configuration pour l’inscription à Sophos Mobile.

■ Une liste d’hôtes sur lesquels le jumelage de l’appareil est autorisé.

■ Les options de personnalisation pour l’assistant d’installation d’iOS qui démarre lorsquel’appareil est mis en marche pour la première fois.

Si nécessaire, vous pouvez créer plusieurs profils du Programme d’inscription d’appareilsafin d’utiliser différents paramètres d’installation et d’inscription pour vos appareils duProgramme d’inscription d’appareils.

Pour créer un profil du Programme d’inscription d’appareils (DEP) :

1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration dusystème, puis sur l’onglet Profils Apple DEP.

2. Cliquez sur Ajouter.

3. Dans la boîte de dialogue Modification du profil du Programme d’inscriptiond’appareils, saisissez un nom et une description (facultative) du profil du Programmed’inscription d’appareils.

4. Facultatif - Dans la liste Groupe d’appareils, sélectionnez un groupe d’appareils qui seraassigné aux appareils lors de leur inscription à Sophos Mobile.

Retrouvez plus de renseignements sur les groupes d’apps à la section Groupes d’appareilsà la page 61.

Remarque : pour simplifier la gestion des appareils, nous vous conseillons d’utiliser ungroupe d’appareils distinct pour les appareils du Programme d’inscription d’appareils.

5. Facultatif - Dans la liste Série de tâches, sélectionnez une série de tâches qui seraassignée aux appareils lors de leur inscription à Sophos Mobile.

Cette liste inclut toutes les séries de tâches iOS ne contenant aucune tâche d’inscription.

Retrouvez plus de renseignements sur les séries de tâches à la section Séries de tâchesà la page 176.

54


6. Dans l’onglet Inscription, configurez les paramètres suivants :

DescriptionOption

Le mode de supervision est activé.Superviser l’appareil

L’utilisateur peut supprimer le profil d’inscription de Sophos Mobileà l’aide de l’interface utilisateur iOS.

Cette option peut uniquement être dessélectionnée sur lesappareils supervisés.

L’utilisateur peut supprimerle profil MDM

Installer l’app Sophos Mobile Control sur l’appareil.

Si vous activez cette option, vous devez également désactiverl’option Ignorer l’identifiant Apple sur l’onglet Installation d’iOSafin de permettre à Sophos Mobile d’installer l’app à partir de laboutique d’apps.

Remarque : autrement, si vous êtes inscrit au Programmed’achats en volume (VPP) d’Apple, vous pouvez installer l’appSophos Mobile en tant qu’app du Programme d’achat en volume,même si l’appareil n’est pas associé à un identifiant Apple. Lesappareils doivent être à l’état administré. Retrouvez plus derenseignements à la section Assignation automatique des appsdu Programme d’achat en volume à la page 192.

Installer l’app SMC

L’utilisateur peut ignorer l’étape d’installation qui s’applique auprofil d’inscription de Sophos Mobile.

L’utilisateur peut ignorerl’assignation du profil MDM

55


7. Sur l’onglet Installation d’iOS, vous pouvez désactiver les étapes de configuration del’assistant d’installation d’iOS qui démarre lorsque l’appareil est mis en marche pour lapremière fois.

Remarque : ces paramètres s’appliquent uniquement à l’installation d’iOS. Si vousdésactivez une étape de configuration, l’utilisateur sera toujours en mesure d’activer l’optionadéquate ultérieurement. Pour désactiver totalement une fonction, veuillez utiliser laconfiguration Restrictions. Retrouvez plus de renseignements à la section Configurationdes Restrictions (profil d’appareil iOS) à la page 119.

DescriptionOption

La page Apps et données n’est pas affichée. L’utilisateur nepeut pas restaurer les données à partir d’une sauvegarde iCloudou iTunes, ni transférer de données à partir d’un appareil Android.

Ignorer les apps et données

Sur la page Apps et données, l’option Transférer les donnéesdepuis Android n’est pas disponible. L’utilisateur ne peut pastransférer les données à partir d’une appareil Android.

Cette option peut uniquement être activée lorsque l’option Ignorerles apps et données est également activée.

Désactiver « Transférer lesdonnées depuis Android »

La page Diagnostics n’est pas affichée. L’envoi de diagnosticset de données d’utilisation à Apple est désactivé.

Ignorer Diagnostics

La page Services de localisation n’est pas affichée. L’utilisateurne peut pas activer les services de localisation.

Ignorer les services delocalisation

La page Siri n’est pas affichée. L’utilisateur ne peut pas installerSiri.

Ignorer Siri

La page Zoom de l’écran n’est pas affichée. L’utilisateur ne peutpas changer le mode d’affichage de l’écran.

Ignorer Zoom de l’écran

La page Identifiant Apple n’est pas affichée. L’utilisateur ne peutpas se connecter avec son identifiant Apple pour accéder auxservices d’Apple.

Ignorer l’identifiant Apple

La page Apple Pay n’est pas affichée. L’utilisateur ne peut pasajouter les coordonnées d’une carte de crédit ou de paiementdans les boutiques ou dans les apps utilisant Apple Pay.

Ignorer Apple Pay

La page Touch ID n’est pas affichée. L’utilisateur ne peut pasutiliser l’empreinte digitale à la place d’un code d’accès pours’identifier.

Ignorer Touch ID

La page Créer un code d’accès n’est pas affichée. L’utilisateurne peut pas définir un code d’accès pour déverrouiller l’appareil.

Ignorer le code d’accès

La page Conditions générales n’est pas affichée.Ignorer les Conditionsgénérales

56


8. Sous l’onglet Informations du support, configurez les paramètres suivants :

DescriptionOption

Le nom du service ou du lieu associé au profil.

Ce nom est inclus dans les informations auxquelles l’utilisateura accès en cliquant sur À propos de la configuration au coursde la configuration de l’appareil.

Service

Le numéro de téléphone du support de votre entreprise.

Ce champ est pré-rempli avec les coordonnées du contact dusupport technique. Retrouvez plus de renseignements à la sectionConfiguration des coordonnées du contact technique à la page16.

Remarque : le numéro de téléphone est conservé en internedans le profil du Programme d’inscription d’appareils mais n’estpas mis à disposition de l’utilisateur de l’appareil.

Numéro de téléphone

L’adresse électronique du support de votre entreprise.

Ce champ est pré-rempli avec l’adresse électronique du contactdu support technique. Retrouvez plus de renseignements à lasection Configuration des coordonnées du contact technique àla page 16.

Remarque : l’adresse électronique est conservée en internedans le profil du Programme d’inscription d’appareils mais n’estpas mise à disposition de l’utilisateur de l’appareil.

Email

9. L’onglet Jumelage USB vous permet de configurer les ordinateurs hôtes auxquels l’appareilest autorisé à se connecter à l’aide de ports USB.

Cette option peut être utilisée pour synchroniser l’appareil avec iTunes ou pour le gérer àl’aide d’Apple Configurator.

■ Pour autoriser la connexion USB à tous les hôtes, sélectionnez Autoriser le jumelageUSB avec tous les hôtes.

■ Pour interdire la connexion USB ou la limiter à certains hôtes uniquement,dessélectionnez Autoriser le jumelage USB avec tous les hôtes puis téléchargezun fichier de certificat pour chaque hôte auquel l’appareil est autorisé à se connecter.

10. Lorsque vous avez configuré tous les onglets de la boîte de dialogue Modification duprofil du Programme d’inscription d’appareils, cliquez sur Appliquer pour enregistrerle profil du Programme d’inscription d’appareils.

11. Pour assigner le profil à tous les nouveaux appareils du Programme d’inscription d’appareilsauxquels aucun profil n’a été assigné manuellement, sélectionnez le dans la liste Le profilDEP par défaut assigné aux nouveaux appareils.

Lorsque vous sélectionnez Aucun, vous devez assigner manuellement un profil duProgramme d’inscription d’appareils aux nouveaux appareils du Programme d’inscriptiond’appareils conformément aux instructions de la section Déploiement des appareils duProgramme d’inscription d’appareils (DEP) à la page 58. Dans le cas contraire, les appareilsdu Programme d’inscription d’appareils ne seront pas inscrits à Sophos Mobile lors deleur activation.


57


10.5.4 Déploiement des appareils du Programme d’inscription d’appareils(DEP)

Effectuez cette procédure pour connecter vos appareils au Programme d’inscription d’appareilsApple (DEP) et les inscrire à Sophos Mobile.

Vous pouvez gérer les appareils que vous avez acheté chez Apple ou auprès d’un fournisseurdu Programme d’inscription d’appareils agréé. Avant de connecter les appareils au Programmed’inscription d’appareils Apple, veuillez configurer le fournisseur de l’appareil sur le portail duProgramme d’inscription d’appareils Apple.

Remarque : dans un processus classique du Programme d’inscription d’appareils Apple,vous effectuez cette procédure avant de remettre les appareils à vos utilisateurs pour activationet utilisation.

Remarque : seuls les utilisateurs enregistrés au Portail libre-service Sophos Central peuventactiver les appareils du Programme d’inscription d’appareils (DEP).

Remarque : retrouvez une description détaillée du portail du Programme d’inscriptiond’appareils Apple dans l’Aide des Programmes de déploiement Apple.

Pour assigner vos appareils à Sophos Mobile puis leur assigner un profil du Programmed’inscription d’appareils :

1. Ouvrez le portail Web du programme de déploiement Apple https://deploy.apple.comdans votre navigateur Web et connectez-vous à l’aide de l’identifiant Apple de votreentreprise.

2. Sur le portail, allez dans Programme d’inscription d’appareils > Gérer les appareils.

3. Sous Choisir les appareils selon, sélectionnez vos nouveaux appareils par numéro desérie, numéro de commande ou téléchargez un fichier CSV incluant les numéros de sériede vos appareils.

Remarque : si vous avez acheté vos appareils auprès d’un revendeur, ceux-ci sont misà disposition sur le portail du Programme d’inscription d’appareils sous les 24 heuressuivant l’envoi de votre commande à Apple par le revendeur.

4. Sous Choisir une action, sélectionnez Assigner au serveur puis sélectionnez le serveurMDM virtuel que vous avez installé pour Sophos Mobile conformément aux instructionsde la section Installation d’un serveur MDM virtuel à la page 52.

5. Cliquez sur OK pour procéder à l’assignation.

À ce stade, vous pouvez vous déconnecter du portail Web du Programme d’inscriptiond’appareils Apple.

Vous pouvez ignorer les étapes restantes si vous avez déjà configuré un profil du Programmed’inscription d’appareils par défaut conformément aux instructions de la section Création d’unprofil du Programme d’inscription d’appareils (DEP) à la page 53.

6. Connectez-vous à Sophos Central Admin et ouvrez la vue Mobile à partir de la sectionMes produits du menu principal.

7. Sur le menu latéral, sous GESTION, cliquez sur Appareils puis sur Apple DEP.

La page Appareils du Programme d’inscription d’appareils Apple contient une listede tous les appareils que vous avez assigné à Sophos Mobile sur le portail Web duProgramme d’inscription d’appareils Apple.

58



8. Si les appareils que vous venez d’assigner à Sophos Mobile ne figure pas dans cette liste,cliquez sur Synchroniser avec le portail du Programme d’inscription d’appareilsApple.

Remarque : pour limiter la charge sur le serveur du Programme d’inscription d’appareilsApple, il est uniquement possible de procéder à des opérations répétées de synchronisationlorsque le temps d’attente est court.

9. Sélectionnez les nouveaux appareils et cliquez sur Actions > Assigner un profil.

10. Dans la boîte de dialogue de confirmation, sélectionnez le profil du Programme d’inscriptiond’appareils que vous voulez assigner aux appareils et cliquez sur OK.

Lorsque les appareils que vous avez acheté seront livrés à votre entreprise, vous pourrez lesremettre à vos utilisateurs. Aucune autre configuration n’est nécessaire. Lorsque les utilisateursmettront leurs appareils en marche pour la première fois, la configuration d’iOS et l’inscriptionà Sophos Mobile seront effectuées conformément à la configuration définie dans le profil duProgramme d’inscription d’appareils assigné.

10.5.5 Gestion des appareils du Programme d’inscription d’appareils

Les appareils du Programme d’inscription d’appareils sont administrés dans Sophos Mobilede la même façon que le sont les appareils n’appartenant pas au Programme d’inscriptiond’appareils. Retrouvez plus de renseignements à la section Gestion des appareils à la page45.

En revanche seul le Programme d’inscription d’appareils permet d’assigner un profil duProgramme d’inscription d’appareils à un appareil. Le profil du Programme d’inscriptiond’appareils fournit des informations au serveur Apple lorsque l’appareil est activé. Retrouvezplus de renseignements à la section Création d’un profil du Programme d’inscription d’appareils(DEP) à la page 53.

Remarque : le profil du Programme d’inscription d’appareils affiché dans Sophos Mobilepourra être différent du profil utilisé sur l’appareil. Si vous modifiez l’assignation après avoiractivé l’appareil, celui-ci continuera à utiliser le premier profil assigné jusqu’à ce qu’il soitréinitialisé et activé de nouveau.

Pour modifier le profil du Programme d’inscription d’appareils d’un appareil :

1. Sur le menu latéral, sous GESTION, cliquez sur Appareils puis sur Apple DEP.

La page Appareils du Programme d’inscription d’appareils Apple contient une listede tous les appareils que vous avez assigné à Sophos Mobile sur le portail Web duProgramme d’inscription d’appareils Apple.

2. Cliquez sur Synchroniser avec le portail du Programme d’inscription d’appareilsApple pour mettre à jour les informations du Programme d’inscription d’appareils.

Remarque : pour limiter la charge sur le serveur du Programme d’inscription d’appareilsApple, l’option Synchroniser avec le portail du Programme d’inscription d’appareilsApple est désactivée après la synchronisation et redevient disponible quelques minutesplus tard.

3. Sélectionnez les appareils auxquels vous voulez assigner un autre profil du Programmed’inscription d’appareils.

4. Cliquez sur Actions, puis sur l’action requise :

■ Assigner un profil : sélectionnez le profil du Programme d’inscription d’appareils quisera assigné aux appareils lors de leur prochaine activation.

■ Retirer le profil assigné : n’assignez aucun profil du Programme d’inscriptiond’appareils à la prochaine activation des appareils.

59


L’assignation du nouveau profil est affichée sur la page Appareils du Programmed’inscription d’appareils Apple. Les modifications sont appliquées aux appareils après leurréinitialisation et leur réactivation.

60


11 Groupes d’appareilsLes groupes d’appareils sont utilisés pour diviser les appareils en catégories. Ils vouspermettent de gérer les appareils de manière plus efficace en effectuant les tâches sur ungroupe plutôt que sur chaque appareil individuellement.

Un appareil appartient toujours et uniquement à un seul groupe d’appareils. Vous assignezun appareil à un groupe d’appareils lorsque vous l’ajoutez dans Sophos Mobile.

Info : regroupez les appareils par système d’exploitation. En effet, il est plus facile d’utiliserles groupes pour effectuer des tâches d’installation et des tâches spécifiques aux systèmesd’exploitation.

11.1 Création d’un groupe d’appareils1. Sur le menu latéral, sous GESTION, cliquez sur Groupes d’appareils puis sur Créer un

groupe d’appareils.

2. Sur la page Modification du groupe d’appareils, saisissez un nom et une descriptionpour le nouveau groupe d’appareils.

3. Sous Stratégies de conformité, sélectionnez les stratégies de conformité appliquées auxappareils professionnels et personnels.


Le nouveau groupe d’appareils est créé et apparaît sur la page Groupes d’appareils.

11.2 Suppression des groupes d’appareils1. Sur le menu latéral, sous GESTION, cliquez sur Groupes d’appareils.

2. Sur la page Groupes d’appareils, cliquez sur le triangle bleu correspondant au groupeque vous souhaitez supprimer et cliquez sur Supprimer.

3. Dans la boîte de dialogue de confirmation, sélectionnez l’un des groupes d’appareilsrestants auquel les appareils du groupe d’appareils à supprimer seront réassignés.

Cette sélection n’est pas disponible lorsqu’il n’ y a aucun appareil assigné au grouped’appareils.

4. Cliquez sur Oui pour supprimer le groupe d’appareils.

Remarque : lorsqu’il n’y a plus qu’un seul groupe d’appareils et que les appareils lui sontassignés, vous ne pouvez pas supprimer ce groupe d’appareils.

61


12 UtilisateursSophos Mobile affiche les informations du compte des utilisateurs que vous avez ajoutésdans Sophos Central.

Les informations sur les utilisateurs sont affichées à titre informatif uniquement. Vous pouvezmodifier les informations du compte ou ajouter des utilisateurs sur la pageUtilisateurs/groupes de Sophos Central Admin.

Si vous avez installé le Programme d’achats en volume (VPP) d’Apple dans Sophos Mobile,vous pouvez inviter les utilisateurs au Programme d’achats en volume (VPP) d’Apple.Retrouvez plus de renseignements à la section Invitation d’utilisateurs au Programme d’achaten volume d’Apple à la page 191.

62


13 Profils et stratégies

Profils

Les profils sont des paramètres que vous définissez et installer sur un appareil ou sur ungroupe d’appareils.

Pour installer un profil sur un ou plusieurs appareils, Sophos Mobile crée une tâche et l’exécuteà l’heure indiquée. Lorsque vous mettez à jour un profil, veuillez de nouveau l’installer pourque les modifications apportées aux configurations soient appliquées sur l’appareil.

Les types de profil suivants sont disponibles :

Configuration des profils d’appareil Android à la page 69Configuration des profils de conteneur Knox à la page 111Configuration des profils d’appareil iOS à la page 117

Stratégies

Les profils sont des paramètres que vous définissez et que vous assignez ensuite à un appareilou à un groupe d’appareils. Vous pouvez uniquement assigner une stratégie de chaque typeà un appareil.

Si vous assignez une stratégie à un appareil, une opération de synchronisation est déclenchéeet les paramètres sont appliqués immédiatement. Les stratégies assignées sont mises à joursur l’appareil à chaque fois qu’un appareil se connecte au serveur Sophos Mobile. Parconséquent, lorsque vous mettez à jour une stratégie, vous n’avez pas besoin de la réappliquerexplicitement à l’appareil.

Les types de stratégie suivants sont disponibles :

Configuration des stratégies Android pour les entreprises à la page 88Configuration des stratégies de conteneur Sophos pour Android à la page 101Configuration des stratégies de sécurité des mobiles (Sophos Mobile Security) à la page111Configuration des stratégies Android Things à la page 117Configuration des stratégies de conteneur Sophos pour iOS à la page 146Configuration des stratégies Windows Mobile à la page 155Configuration des stratégies Windows Desktop à la page 166Configuration des stratégies Android Things à la page 117Configuration des stratégies Windows IoT à la page 172

13.1 Création du profil ou de la stratégieLes profils et stratégies sont composées d’une ou de plusieurs configurations. L’ajout dedifférentes options de configuration vous permettra de définir l’étendue du profil ou de lastratégie, c’est-à-dire, les emplacements administrés sur les appareils.

1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Profils et stratégies et cliquezsur la plate-forme pour laquelle vous souhaitez créer le profil ou la stratégie.

63


2. Sur la page Profils et stratégies, cliquez sur Créer. Si plusieurs types de profil ou destratégie sont disponibles pour la plate-forme, un menu s’ouvre lorsque vous cliquez surle bouton Créer vous permettant de sélectionner le type de votre choix.

Retrouvez une liste de tous les types de profil et de stratégie disponibles à la section Profilset stratégies à la page 63.

3. Saisissez un nom et une description.

La version est automatiquement mise à jour à chaque fois que vous enregistrez le profilou la stratégie.

4. Pour les stratégies de conteneur Sophos, une configuration Généralités est obligatoireet automatiquement ajoutée à la stratégie. Sur la page Modification de la stratégie,cliquez sur Généralités pour ouvrir la configuration et effectuez les modificationsnécessaires.

5. Pour les stratégies Android pour les entreprises, une configuration Restrictions estobligatoire et automatiquement ajoutée à la stratégie. Sur la page Modification de lastratégie, cliquez sur Restrictions pour ouvrir la configuration et effectuez les modificationsnécessaires.

6. Pour ajouter d’autres options de configuration au profil ou à la stratégie, cliquez sur Ajouterune configuration et sélectionnez la configuration que vous voulez ajouter.

Remarque : les options de configuration prises en charge varient en fonction de la versiondu système d’exploitation ou des autres fonctions de l’appareil. Les conditions requisessont indiquées par une étiquette bleue.

7. Sur la page des paramètres de la configuration, indiquez les paramètres requis.

8. Facultatif - Répétez les étapes précédentes pour ajouter d’autres options de configuration.

9. Dès que toutes les options de configuration ont été ajoutées, cliquez sur Enregistrer.

Le profil ou la stratégie est créé(e). Retrouvez plus de renseignements sur la manièred’appliquer un profil ou une stratégie aux appareils à la section Installation d’un profil sur lesappareils à la page 67 ou Assignation d’une stratégie aux appareils à la page 68.

Info : lorsque vous mettez à jour un profil, vous pouvez facilement le réinstaller sur tous lesappareils sur lesquels il est installé : Sur la page Profils et stratégies, cliquez sur le trianglebleu correspondant au profil de votre choix et cliquez sur Mettre à jour les appareils.

Lorsque vous mettez à jour une stratégie, celle-ci est automatiquement mise à jour sur tousles appareils sur lesquels la stratégie est assignée.

13.2 Importation des profils d’appareil iOS créés avec AppleConfiguratorVous pouvez importer des profils créés avec Apple Configurator dans Sophos Mobile.

Apple Configurator peut être téléchargé depuis l’App Store.

Remarque : veuillez importer les profils d’appareil en utilisant la même procédure que celleutilisée pour approvisionner les profils de vos apps iOS développées en interne. Lorsque voustéléchargez un fichier de profil, Sophos Mobile analyse son contenu afin de faire la distinctionentre les deux types de profil.

1. Après avoir créé un profil dans Apple Configurator, exportez-le (déchiffré et non signé) etenregistrez-le sur votre ordinateur.

2. Sur le menu latéral, sous CONFIGURATION, cliquez sur Profils et stratégies > AppleiOS.

64


3. Sur la page Profils et stratégies, cliquez sur Créer > Importer un profil.

La page Modification du profil apparaît.

4. Saisissez un nom et une description pour la nouvelle série de tâches dans les champsadéquats.

5. Cliquez sur Télécharger un fichier et naviguez jusqu’au fichier enregistré sur votreordinateur, sélectionnez-le et cliquez sur Ouvrir.


Le profil est créé. Il peut être installé sur les appareils. Retrouvez plus de renseignements àla section Installation d’un profil sur les appareils à la page 67.

13.3 Importation des profils d’enregistrement pour les appsiOSLorsque vous développez vos propres apps iOS, vous créez des profils d’enregistrement afinque vos apps puissent être installées à partir d’un fichier IPA plutôt qu’à partir de la boutiqued’apps. vous pouvez télécharger ces profils d’enregistrement sur le serveur Sophos Mobileafin de pouvoir les distribuer ensuite sur vos appareils.

Retrouvez plus de renseignements sur les profils d’enregistrement sur iOS Developer Library.

Remarque : vous importez les profils d’enregistrement de la même manière que vous lefaites avec les profils d’appareil créés à l’aide de l’Apple Configurator. Lorsque vous téléchargezun fichier de profil, Sophos Mobile analyse son contenu afin de faire la distinction entre lesdeux types de profil.

1. Après avoir généré un profil d’enregistrement sur votre environnement de développementiOS, enregistrez-le sur votre ordinateur.

2. Sur le menu latéral, sous CONFIGURATION, cliquez sur Profils et stratégies > AppleiOS.

3. Sur la page Profils et stratégies, cliquez sur Créer > Importer un profil.

La page Modification du profil apparaît.

4. Saisissez un nom et une description pour la nouvelle série de tâches dans les champsadéquats.

5. Cliquez sur Télécharger un fichier et naviguez jusqu’au fichier enregistré sur votreordinateur, sélectionnez-le et cliquez sur Ouvrir.


Le profil est créé. Il peut être installé sur les appareils. Retrouvez plus de renseignements àla section Installation d’un profil sur les appareils à la page 67.

13.4 Règles de complexité de mot de passe WindowsDesktopLes règles de complexité des mots de passe (par ex. ; la longueur, le nombre de lettresmajuscules et minuscules) pour les appareils Windows Desktop sont fixées et ne peuventpas être définies par une stratégie Sophos Mobile. Différentes règles s’appliquent aux compteslocaux et aux comptes Microsoft

65


Comptes locaux■ Le mot de passe ne doit pas contenir le nom du compte de l’utilisateur ou plus de deux

caractères consécutifs du nom complet de l’utilisateur.

■ Le mot de passe doit être composé d’au moins 6 caractères.

■ Le mot de passe doit être composé de caractères appartenant au moins à trois des quatrecatégories suivantes :

■ Lettres majuscules A-Z (alphabet romain)

■ Lettres minuscules A-Z (alphabet romain)

■ Chiffres de 0 à 9

■ Caractères spéciaux (!, $, #, %, etc.)

Comptes Microsoft■ Le mot de passe doit être composé d’au moins 8 caractères.

■ Le mot de passe doit être composé de caractères appartenant au moins à deux des quatrecatégories suivantes :

■ Lettres majuscules A-Z (alphabet romain)

■ Lettres minuscules A-Z (alphabet romain)

■ Chiffres de 0 à 9

■ Caractères spéciaux (!, $, #, %, etc.)

13.5 Support de Samsung KnoxVous pouvez administrer les appareils Samsung Knox avec Sophos Mobile.

Pour activer le support de Samsung Knox, veuillez configurer une clé de licence SamsungKnox Premium dans Sophos Mobile. Retrouvez plus de renseignements à la section LicenceSamsung Knox à la page 25.

Retrouvez plus de renseignements sur la configuration du conteneur Knox des appareilsSamsung à la section Configuration des profils de conteneur Knox à la page 111.

Retrouvez plus de renseignements sur l’installation des apps dans un conteneur SamsungKnox à la section Ajout d’une app à la page 185.

Pour administrer vos appareils Samsung Knox, vous pouvez créer des séries de tâches poureffectuer les actions suivantes :

■ Conteneur Knox : verrouiller

■ Conteneur Knox : déverrouiller

■ Conteneur Knox : réinitialiser le mot de passe

■ Conteneur Knox : supprimer (supprime le conteneur et toutes les options de configurationassociées de l’appareil)

Retrouvez plus de renseignements sur la création d’une série de tâches pour un appareilSamsung Knox à la section Création d’une série de tâches à la page 176.

66


13.6 Espaces réservés dans les profils et stratégiesLes profils et stratégies peuvent contenir des espaces réservés qui seront remplacés par desdonnées au moment de l’exécution de la tâche. Les espaces réservés suivants peuvent êtreutilisés dans les profils :

■ Les espaces réservés pour les données des utilisateurs sont :

■ %_EMAILADDRESS_%

■ %_USERNAME_%

■ Espaces réservés pour les propriétés de l’appareil :

■ %_DEVPROP(nom propriété)_%

nom propriété peut soit être une propriété standard soit une propriété personnaliséede l’appareil. Retrouvez plus de renseignements à la section Propriétés personnaliséespour les appareils à la page 49.

■ Espaces réservés pour les propriétés du client :

■ %_CUSTPROP(nom propriété)_%

Retrouvez plus de renseignements à la section Propriétés pour les clients à la page16.

13.7 Installation d’un profil sur les appareils1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Profils et stratégies puis cliquez

sur les plates-formes d’appareils prenant en charge les profils :

■ Android■ Apple iOS

La page Profils et stratégies de la plate-forme sélectionnée apparaît.

2. Cliquez sur le triangle bleu correspondant au profil à installer et cliquez sur Installer.

La page Sélection des appareils apparaît.


■ Sélectionnez individuellement les appareils sur lesquels vous voulez installer le profil.■ Cliquez sur Sélectionner les groupes d’appareils et sélectionnez un ou plusieurs

groupes d’appareils.

4. Après avoir fait votre sélection, cliquez sur Suivant.

La page Définir la date d’exécution apparaît.

5. Sous Date planifiée, sélectionnez Maintenant ou indiquez une date et une heured’exécution de la tâche.

6. Cliquez sur Terminer.

La page Vue des tâches apparaît.

Le profil est installé sur les appareils sélectionnés à l’heure et à la date indiquées.

67


Info : vous pouvez également installer un profil en utilisant l’une des options suivantes :

■ Pour mettre à jour un profil sur tous les appareils sur lesquels il est installé : Sur la pageProfils et stratégies, cliquez sur le triangle bleu correspondant au profil de votre choix etcliquez sur Mettre à jour les appareils.

■ Pour installer un profil sur un seul appareil : Sur la page Affichage de l’appareil del’appareil, sélectionnez l’onglet Profils et cliquez sur Installer le profil.

■ Pour installer un profil sur plusieurs appareils : Sur la page Appareils, sélectionnez lesappareils et cliquez sur Actions > Installer le profil / Assigner une stratégie.

■ Pour installer un profil sur un ou plusieurs appareils dans le cadre d’une série de tâches :Ajoutez une tâche Installer le profil / Assigner une stratégie à la série de tâches ettransférez-la aux appareils ou groupes d’appareils requis.

13.8 Assignation d’une stratégie aux appareils1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Profils et stratégies puis cliquez

sur les plates-formes d’appareils prenant en charge les stratégies :

■ Android■ Android Things■ Apple iOS■ Windows Mobile■ Windows Desktop■ Windows IoT

La page Stratégies de la plate-forme sélectionnée apparaît.

2. Cliquez sur le triangle bleu correspondant à la stratégie à assigner et cliquez sur Assigner.



■ Sélectionner les appareils individuels auxquels vous voulez assigner la stratégie.■ Cliquer sur Sélectionner les groupes d’appareils et sélectionnez un ou plusieurs

groupes d’appareils auxquels assigner la stratégie.

4. Après avoir fait votre sélection, cliquez sur Terminer.

La stratégie est assignée aux appareils sélectionnés et une opération de synchronisation desappareils sélectionnés est déclenchée.

Remarque : les stratégies ne peuvent pas être supprimées de l’appareil. Pour désactiverune stratégie, veuillez assigner une stratégie différente à cet appareil.

Info : vous pouvez également assigner une stratégie en utilisant l’une des options suivantes :

■ Pour assigner une stratégie à un seul appareil : Sur la page Affichage de l’appareil del’appareil, sélectionnez l’onglet Stratégies et cliquez sur Assigner une stratégie.

■ Pour assigner une stratégie à plusieurs appareils : Sur la page Appareils, sélectionnezles appareils et cliquez sur Actions > Installer le profil / Assigner une stratégie.

■ Pour assigner une stratégie à un ou plusieurs appareils dans le cadre d’une série detâches : Ajoutez une tâche Installer le profil / Assigner une stratégie à la série de tâcheset transférez-la aux appareils ou groupes d’appareils requis.

68


13.9 Suppression du profilVeuillez utiliser l’une des procédures suivantes pour supprimer un profil des appareils :

■ Sur la page Affichage de l’appareil, sélectionnez l’onglet Profils. Cliquez sur le trianglebleu correspondant au profil que vous voulez supprimer et cliquez sur Supprimer.

■ Créez une série de tâches avec la tâche Supprimer le profil et transférez-la aux appareilsou groupes d’appareils requis.

13.10 Téléchargement des profils et stratégiesVous pouvez télécharger les profils et stratégies que vous avez configurés dans la consoleSophos Mobile. Ceci est particulièrement utile si, par exemple, vous devez communiquer lesparamètres définis au support de Sophos.

1. Sur le menu latéral, allez dans Profils et stratégies et cliquez sur la plate-forme d’unappareil.

La page Profils et stratégies de la plate-forme sélectionnée apparaît.

2. Cliquez sur le nom du profil ou de la stratégie de votre choix.

La page Affichage du profil ou Affichage de la stratégie apparaît.

3. Cliquez sur Télécharger.

Le profil ou la stratégie est enregistré localement sur votre ordinateur.

13.11 Configuration des profils d’appareil AndroidUn profil d’appareil Android vous permet de configurer différentes options des appareilsAndroid (stratégies de mot de passe, restrictions ou paramètres Wi-Fi).

Retrouvez plus de renseignements sur la création d’un profil d’appareil à la section Créationdu profil ou de la stratégie à la page 63.

13.11.1 Configuration des Stratégies de mot de passe (profil d’appareilAndroid)La configuration Stratégies de mot de passe vous permet de définir le format minimum dumot de passe pour les appareils.

Remarque : les paramètres pris en charge varient en fonction de la version du systèmed’exploitation ou des autres fonctions de l’appareil. Le champ d’application est indiqué parune étiquette bleue dans Sophos Mobile.

Type de mot de passe

La liste Type de mot de passe vous permet de sélectionner le type de mot de passe que lesutilisateurs sont autorisés à configurer :

69


DescriptionParamètre/Champ

Les utilisateurs doivent définir un mode dedéverrouillage de l’écran. Ils peuvent choisir un

Modèle, code PIN ou mot de passe

mode de déverrouillage de l’écran de type Modèle,Code PIN ou Mot de passe. Aucune autrerestriction n’est imposée.

Les utilisateurs doivent définir un mode dedéverrouillage de l’écran de type Mot de passe.

Mot de passe simple

L’utilisation de chiffre est autorisée mais le mot depasse doit contenir au moins une lettre. Vouspouvez définir la longueur minimale. Retrouvezplus de renseignements à ce sujet dans le tableauci-dessous.

Les utilisateurs doivent définir un mode dedéverrouillage de l’écran de type Code PIN ou Mot

Code PIN ou mot de passe

de passe. Vous pouvez définir la longueurminimale. Retrouvez plus de renseignements à cesujet dans le tableau ci-dessous.


Mot de passe alphanumérique

Le mot de passe doit contenir une combinaison delettres et de chiffres. Vous pouvez définir lalongueur minimale. Retrouvez plus derenseignements à ce sujet dans le tableauci-dessous.


Mot de passe complexe

Le mot de passe doit contenir une combinaison delettres et de chiffres. Vous pouvez définir lalongueur minimale ainsi que le nombre minimal dechiffres, de lettres minuscules et majuscules et decaractères spéciaux à utiliser. Retrouvez plus derenseignements à ce sujet dans les deux tableauxci-dessous.

Si vous sélectionnez Mot de passe simple, Code PIN ou mot de passe, Mot de passealphanumérique ou Mot de passe complexe, les champs suivants apparaissent :


Le nombre minimum de caractères qu’un mot depasse doit contenir.

Longueur minimum du mot de passe

70



Le temps au bout duquel l’appareil est verrouillélorsqu’il n’est pas utilisé. L’appareil peut êtredéverrouillé en saisissant le mot de passe.

Remarque : il se peut que l’appareil impose unpériode de temps plus courte que celle que vousavez configurée ici.

Délai d’attente avant demande du mot de passe

Demande aux utilisateurs de changer leur mot depasse dans l’intervalle indiqué. Plage de valeur :

Durée de validité maximale du mot de passeen jours

0 (aucun changement de mot de passe requis) à730 jours.

Le nombre maximal de tentatives ratées de saisiedu mot de passe qu’il est possible d’effectuer avantque l’appareil soit réinitialisé.

Nombre de tentatives ratées avantréinitialisation de l’appareil

Le nombre d’anciens mots de passe mémoriséset comparés avec les nouveaux. Lorsque

Longueur minimum de l’historique

l’utilisateur définit un nouveau mot de passe,celui-ci n’est pas accepté s’il correspond à unancien mot de passe déjà utilisé. Plage de valeur :1 à 5 ou aucune.

Si vous sélectionnez Mot de passe complexe, les champs supplémentaires suivantsapparaissent :


Le nombre minimum de lettres qu’un mot de passedoit contenir.

Nombre minimum de lettres

Le nombre minimum de lettres minuscules qu’unmot de passe doit contenir.

Nombre minimum de lettres minuscules

Le nombre minimum de lettres majuscules qu’unmot de passe doit contenir.

Nombre minimum de lettres majuscules

Le nombre minimum de caractères nonalphabétiques (par exemple & ou !) qu’un mot depasse doit contenir.

Nombre minimum de caractères nonalphabétiques

Le nombre minimum de chiffres qu’un mot depasse doit contenir.

Nombre minimum de chiffres

71



Le nombre minimum de caractères spéciaux (parexemple !"§$%&/()=,.-;:_@<>) qu’un mot de passedoit contenir.

Nombre minimum de caractères spéciaux

Authentification biométrique


Si cette fonction est disponible sur l’appareil, l’utilisateurpeut utiliser l’authentification par empreinte digitale pourdéverrouiller l’appareil.

Autoriser l’authentification par empreintedigitale

Si cette fonction est disponible sur l’appareil, l’utilisateurpeut utiliser l’authentification de iris pour déverrouillerl’appareil.

Autoriser l’authentification par l’iris

13.11.2 Configuration des Restrictions (profil d’appareil Android)La configuration Restrictions vous permet de définir les restrictions pour les appareils.

Sécurité


L’utilisateur doit chiffrer ses appareils.Forcer le chiffrement

Lorsque le profil est installé sur un appareil, l’utilisateurdoit chiffrer la carte SD.

Remarque : sur certains types d’appareils, les utilisateurspeuvent choisir d’annuler le chiffrement. Ils verront un

Forcer le chiffrement de la carte SD

message de rappel la prochaine fois qu’ils connecterontune carte SD.

Si cette case est dessélectionnée, les options dechiffrement rapide ne sont plus disponibles dans lesparamètres de l’appareil.

Autoriser le chiffrement rapide

Si cette case est dessélectionnée, l’utilisateur ne peutpas réinitialiser son appareil aux paramètres d’usine.

Autoriser le rétablissement desparamètres d’usine

72



Si cette case est dessélectionnée, l’utilisateur ne peutpas changer les options de développement.

Autoriser les Options de développement

Si cette case est dessélectionnée, l’utilisateur ne peutpas démarrer son appareil en mode sans échec.

Autoriser le mode sécurisé

si cette case est dessélectionnée, le débogage USB estdésactivé.

Remarque : si la case Autoriser le débogage USB estdessélectionnée sur les appareils Sony à partir de la

Autoriser le débogage USB

version 9 de l’API d’entreprise, toutes les options dedéveloppement sont indisponibles.

Si cette case est dessélectionnée, tous les types de misesà jour du firmware (OTA, téléchargement, etc.) sontdésactivés.

Autoriser la récupération du firmware

Si cette case est dessélectionnée, l’utilisateur ne peutpas créer de sauvegardes du système. La sauvegarde

Autoriser la sauvegarde

Google est désactivée. D’autres méthodes de sauvegarde(par exemple les sauvegardes Sophos Mobile) sonttoujours disponibles.

Si cette case est dessélectionnée, l’utilisateur ne peutpas changer les paramètres de l’appareil. Selon lesappareils individuels, l’icône des paramètres est supprimé.

Autoriser les modifications deparamètres

Si cette case est dessélectionnée, l’utilisateur ne peutpas copier de contenu dans le presse-papiers.

Autoriser le Presse-papiers

Permet à l’utilisateur de copier le contenu dupresse-papiers entre les apps.

Si cette case est dessélectionnée, chaque app a sonpropre presse-papiers.

Activer le Presse-papiers partagé

Ce paramètre est uniquement disponible si voussélectionnez Autoriser le Presse-papiers.

Si cette case est dessélectionnée, l’utilisateur ne peutpas prendre de capture d’écran.

Autoriser la capture d’écran

Si cette case est dessélectionnée, l’utilisateur ne peutpas sélectionner l’option App de localisation fictive

Autoriser les positions GPS factices

disponible sous les Options de développement del’appareil Android.

Si cette case est dessélectionnée, les mises à jour OTA(over-the-air) du firmware sont désactivées.

Autoriser les mises à jour OTA dufirmware

73



Si cette case est dessélectionnée, l’utilisateur ne peutpas enregistrer de son.

Autoriser l’enregistrement audio

Si cette case est dessélectionnée, l’utilisateur ne peutpas enregistrer de vidéos. Il peut prendre des photos etlire des vidéos en streaming.

Autoriser l’enregistrement vidéo

Si cette case est dessélectionnée, les options deverrouillage de l’activation ne sont plus disponibles dansles paramètres de l’appareil.

Autoriser le verrouillage de l’activation

Si cette case est dessélectionnée, l’app Samsung S Beamn’est plus disponible.

Autoriser S Beam

Si cette case est dessélectionnée, l’app Samsung S Voicen’est plus disponible.

Autoriser S Voice

Si cette case est dessélectionnée, la fonction Partagerpar est désactivée.

Autoriser « Partager par »

Comptes


Si cette case est dessélectionnée, le supportmulti-utilisateurs est désactivé. Les utilisateurs ou les

Autoriser le mode multi-utilisateurs

apps ne peuvent pas créer de comptes d’utilisateursupplémentaires.

Si cette case est dessélectionnée, l’utilisateur ne peutpas ajouter de comptes de messagerie.

La création de compte via un profil d’appareil est toujourspossible.

Autoriser l’ajout de comptes demessagerie

Si cette case est dessélectionnée, l’utilisateur ne peutpas supprimer le compte Google de l’appareil.

Autoriser la suppression du compteGoogle

Si cette case est dessélectionnée, les comptes Googlene sont pas synchronisés automatiquement. L’utilisateur

Autoriser la synchronisationautomatique des comptes Google

est toujours en mesure de synchroniser ses comptesmanuellement à partir de certaines apps comme Gmail.

74


Réseau et communication


Si cette case est dessélectionnée, l’utilisateur ne peutpas activer le mode Avion.

Autoriser le mode Avion

Si cette case est dessélectionnée, la synchronisationpendant l’itinérance est désactivée.

Autoriser la synchronisation pendantl’itinérance

Seuls les appels d’urgence sont autorisés.Tous les autresappels seront bloqués.

Autoriser uniquement les appelsd’urgence

La synchronisation automatique des données estdésactivée lorsque l’appareil est en mode itinérant. Tous

Forcer la synchronisation manuellependant l’itinérance

les comptes configurés sont affectés (par exemple ;Google ou Exchange).

L’utilisateur ne peut pas désactiver les donnéescellulaires.

Forcer la connexion aux donnéesmobiles

Si cette case est dessélectionnée, l’utilisateur ne peutpas envoyer de SMS.

Autoriser les SMS

Si cette case est dessélectionnée, les connexions auxdonnées mobiles pendant l’itinérance sont désactivées.

Autoriser la connexion aux donnéesmobiles pendant l’itinérance

Si cette case est dessélectionnée, les appels vocauxpendant l’itinérance sont désactivés.

Autoriser les appels vocaux pendantl’itinérance

Si cette case est dessélectionnée, l’utilisateur ne peutpas définir une limite de données mobiles.

Autoriser la définition de limite desdonnées mobiles

Si cette case est dessélectionnée, l’utilisateur ne peutpas utiliser de connexions VPN.

Autoriser les réseaux privés virtuels(VPN)

Si cette case est dessélectionnée, le transfert de donnéesvia une connexion Wi-Fi directe est désactivé.

Autoriser la connexion Wi-Fi directe

Si cette case est dessélectionnée, le transfert de donnéesvia Android Beam est désactivé. Ceci inclut égalementl’app Samsung S Beam.

Autoriser Android Beam

Si cette case est dessélectionnée, le transfert de donnéesvia Miracast est désactivé.

Autoriser la stratégie Miracast

Si cette case est dessélectionnée, la connexion Bluetoothest désactivée.

Autoriser Bluetooth

75



Si cette case est dessélectionnée, la communication NFCest désactivée.

Autoriser NFC

Si cette case est dessélectionnée, la connexion Wi-Fi estdésactivée.

Autoriser la connexion Wi-Fi

Partage de connexion Wi-Fi


si cette case est dessélectionnée, le partage de connexionInternet est désactivé. Ceci inclut le partage de connexionInternet via Wi-Fi, USB et Bluetooth.

Remarque : si cette case est dessélectionnée, lesparamètres Autoriser le partage de connexion Wi-Fi,

Autoriser le partage de connexionInternet

Autoriser la connexion USB et Autoriser la connexionBluetooth ne fonctionnent plus.

Si cette case est dessélectionnée, le partage deconnexion Wi-Fi (point d’accès Wi-Fi) est désactivé.

Autoriser le partage de connexion Wi-Fi

Si cette case est dessélectionnée, le partage deconnexion USB est désactivé.

Autoriser la connexion USB

Si cette case est dessélectionnée, le partage deconnexion Bluetooth est désactivé.

Autoriser la connexion Bluetooth

L’utilisateur peut configurer les paramètres du pointd’accès Wi-Fi.

Autoriser la configuration de laconnexion Wi-Fi

Matériel


Si cette case est dessélectionnée, l’appareil photo n’estplus disponible.

Autoriser l’appareil photo

Si cette case est dessélectionnée, l’appareil photo n’estplus disponible lorsque l’écran est verrouillé.

Pour autoriser l’appareil photo sur l’écran de verrouillage,veuillez sélectionnez l’option Autoriser l’appareil photo.

Autoriser l’appareil photo pendant leverrouillage de l’écran

76



Les informations du GPS sont utilisées pour géolocaliserl’appareil.

Forcer le GPS pour les demandes degéolocalisation

Si cette case est dessélectionnée, les cartes SD sontinutilisables sur les appareils.

Autoriser la carte SD

Si cette case est dessélectionnée, l’utilisateur ne peutpas déplacer les apps du stockage interne sur la carteSD.

Autoriser le déplacement d’apps sur lacarte SD

Si cette case est dessélectionnée, il n’est plus possibled’écrire sur les cartes SD déchiffrées.

Autoriser l’écriture sur la carte SDdéchiffrée

Si cette case est dessélectionnée, le microphone n’estplus disponible.

Autoriser le microphone

Le mode de stockage de masse sur USB et le modepériphériques multimédia USB (MTP) sont disponiblessur l’appareil.

Autoriser les périphériques USB

Si cette case est dessélectionnée, le protocole MTP(Media Transfer Protocol) n’est plus disponible. Android

Autoriser le lecteur média USB

utilise MTP pour le transfert de fichiers par USB. Parconséquent, tout transfert de fichiers par USB sera bloqué.

Applications


Si cette case est dessélectionnée, l’utilisateur ne peutpas installer d’apps.

Autoriser l’installation d’apps

Si cette case est dessélectionnée, l’utilisateur ne peutpas désinstaller d’apps.

Autoriser la désinstallation d’apps

Si cette case est dessélectionnée, l’utilisateur ne peutpas installer de fichiers APK signés.

Autoriser l’installation d’apps nonsignées

Si cette case est dessélectionnée, l’app Google Play n’estplus disponible sur l’appareil.

Autoriser Play Store

Si cette case est dessélectionnée, l’utilisateur peutuniquement installer les apps à partir de l’app de laboutique Google Play.

Autoriser les apps provenant de sourcesinconnues

77



Si cette case est dessélectionnée, le navigateur natif n’estplus disponible. Les apps des navigateurs tiers ne sontpas affectées.

Autoriser le navigateur natif

Si cette case est dessélectionnée, les apps ne peuventpas envoyer de rapport de pannes.

Autoriser les rapports de pannes desapps

Si cette case est dessélectionnée, l’utilisateur ne peutpas changer le fond d’écran.

Autoriser le changement de fond d’écran

Si cette case est dessélectionnée, les widgets ne sontplus disponibles lorsque l’écran est verrouillé.

Autoriser les widgets pendant leverrouillage de l’écran

Par défaut, un appareil Samsung Knox affiche lescoordonnées du contact lorsque l’utilisateur reçoit un

Autoriser les coordonnées Knox pourles appels personnels

appel d’un contact Knox pendant qu’il est en modepersonnel.

Si cette case est dessélectionnée, les coordonnées ducontact Knox ne sont pas affichées en mode personnel.

L’utilisateur peut activer la saisie semi-automatique dansles paramètres du navigateur Android d’origine. Si cette

Autoriser la saisie semi-automatiquedans le navigateur

option est activée, les pages Web peuvent fournir dessuggestions lorsque l’utilisateur remplit un formulaire.

Si cette case est dessélectionnée, la saisiesemi-automatique est désactivée et le paramètre dunavigateur est indisponible.

L’utilisateur peut activer les cookies dans les paramètresdu navigateur Android d’origine. Si cette option est

Autoriser les cookies dans le navigateur

activée, les pages Web peuvent enregistrer des cookiessur l’appareil.

Si cette case est dessélectionnée, les cookies sontdésactivés et le paramètre du navigateur est indisponible.

L’utilisateur peut activer JavaScript dans les paramètresdu navigateur Android d’origine. Si cette option est

Autoriser JavaScript dans le navigateur

activée, les pages Web peuvent exécuter le codeJavaScript sur l’appareil.

Si cette case est dessélectionnée, JavaScript estdésactivé et le paramètre du navigateur est indisponible.

L’utilisateur peut activer les fenêtres intempestives dansles paramètres du navigateur Android d’origine. Si cette

Autoriser les fenêtres intempestives surle navigateur

option est activée, les pages Web peuvent ouvrir desnouvelles fenêtres de navigateur.

78



Si cette case est dessélectionnée, les fenêtresintempestives sont désactivées et le paramètre dunavigateur est indisponible.

L’utilisateur peut changer les paramètres de date etd’heure.

Autoriser la modification des paramètresde date et d’heure

Vous pouvez configurer soit les Apps autorisées soit lesApps interdites. Sélectionnez l’option désirée dans la

Apps autorisées / Apps interdites

première liste et sélectionnez le groupe d’apps contenantles apps qui doivent être autorisées ou interdites dans laseconde liste.

L’installation d’apps déclenchée par le serveur SophosMobile n’est pas limitée par ce paramètre.

Retrouvez plus de renseignements sur la création desgroupes d’apps à la section Groupes d’apps à la page196.

13.11.3 Configuration des Restrictions Knox Premium (profil d’appareilAndroid)La configuration des Restrictions Knox Premium vous permet de définir les restrictions pourles appareils Samsung Knox. Ces restrictions s’appliquent à l’appareil et non pas au conteneurKnox.

DescriptionOption

L’appareil vérifie automatiquement la présence demises à jour du firmware. Les utilisateurs ne

Autoriser les options de mise à jourautomatique du firmware

peuvent pas modifier ce paramètre dans lesparamètres de l’appareil.

L’appareil déchiffre uniquement la partition dedonnées au démarrage si les binaires et le noyau

Activer la vérification ODE Trusted Boot

sont des versions officielles, c’est-à-dire, sil’appareil n’est pas débloqué (rooted).

Si vous dessélectionnez cette case, l’appareildéchiffre toujours la partition de données audémarrage.

L’installation d’apps nécessitant les privilègesadministrateur sur l’appareil n’est pas autorisée.

Empêcher l’installation d’une autre appadministrateur

Les apps installées par Sophos Mobile ne sont pasaffectées.

L’activation des droits administrateur de l’appareilpour les apps n’est pas autorisée.

Empêcher l’activation d’une autre appd’administration

79


DescriptionOption

Le mode Common Criteria de l’appareil est activé.L’appareil satisfait aux conditions de sécurité

Autoriser le mode « Common Criteria »

établies par la norme Mobile Device FundamentalsProtection Profile (Profil de protection desfondamentaux des appareils mobiles).

Remarque : le mode Common Criteria estuniquement utilisé si les conditions suivantes sontremplies :

Le chiffrement d’appareils est activé.

Le chiffrement rapide est désactivé.

Le chiffrement du stockage externe est activé.

Un nombre maximal de tentatives ratées avantla réinitialisation de l’appareil est défini.

La révocation de certificat est activée.

L’historique du mot de passe est désactivé.

13.11.4 Configuration de la Protection des apps (profil d’appareil Android)La configuration de la Protection des apps vous permet de définir le format de mot de passeà utiliser pour protéger les apps.

Si la Protection des apps est utilisée, les utilisateurs doivent créer un mot de passe lorsqu’ilsdémarrent une app protégée pour la première fois. Suite à une tentative ratée de connexion,un délai de connexion est imposé.

Si la Protection des apps est activée sur un appareil, la commande Réinitialiser le mot depasse de la Protection des apps est disponible dans le menu Actions sur la page Affichagede l’appareil. L’utilisateur a également la possibilité de réinitialiser le mot de passe de laProtection des apps dans le portail libre-service Sophos Central.


Le niveau de complexité minimale requis pour lemot de passe qui sera créé par les utilisateurs.

Complexité du mot de passe

À la fin du délai de grâce, les apps protégéespeuvent uniquement être déverrouillées par motde passe.

Délai de grâce en minutes

Sélectionnez le groupe d’apps contenant les appsprotégées par mot de passe.

Retrouvez plus de renseignements sur la créationdes groupes d’apps à la section Groupes d’appsà la page 196.

Groupe d’apps

L’utilisateur peut utiliser son empreinte digitale pourdéverrouiller une app protégée.


80


13.11.5 Configuration du Contrôle des apps (profil d’appareil Android)La configuration du Contrôle des apps vous permet de définir les apps dont l’utilisation n’estpas autorisée. Vous pouvez, par exemple, utiliser cette fonction pour bloquer les appspréinstallées par le fabricant de l’appareil et qui ne peuvent pas être désinstallées.


Sélectionnez le groupe d’apps contenant les appsbloquées.


Groupe d’apps

13.11.6 Configuration d’Exchange ActiveSync (profil d’appareil Android)La configuration d’Exchange ActiveSync vous permet de définir les paramètres de l’utilisateurpour votre serveur Microsoft Exchange.


Le nom du compte.Nom du compte

L’adresse du serveur Microsoft Exchange.

Remarque : si vous utilisez le proxy SMC EAS,veuillez saisir l’URL du serveur proxy SMC.

Hôte d’Exchange ActiveSync

Le domaine de ce compte.Domaine

L’utilisateur de ce compte.

Si vous saisissez la variable %_USERNAME_%, leserveur la remplace par le nom de l’utilisateur encours.

Utilisateur

L’adresse électronique du compte.

Si vous saisissez la variable %_EMAILADDRESS_%,le serveur la remplace par l’adresse électronique encours.


Un nom d’expéditeur pour ce compte.


Expéditeur

81



Le mot de passe de ce compte.

Si vous ne remplissez pas ce champ, les utilisateursdevront saisir le mot de passe sur leurs appareils.

Mot de passe

La date à laquelle les emails sont synchronisés.

Seuls les emails compris dans la période indiquéesont synchronisés dans la boîte de réception surl’appareil.

Période de synchronisation

L’intervalle entre les processus de synchronisationde la messagerie.

Intervalle de synchronisation

Toutes les communications sont envoyées par SSL(Secure Socket Layer).

Nous vous conseillons de sélectionner cette option.

SSL

Le compte est utilisé en tant que compte demessagerie par défaut.

Compte par défaut

Autoriser tous les certificats lors des processus detransferts à partir du serveur de messagerie.

Autoriser tous les certificats

Le certificat du client pour la connexion àActiveSync.

Certificat du client

Autoriser le transfert d’emails.Autoriser le transfert d’emails

Autoriser l’utilisation du format HTML dans lesemails.

Autoriser l’utilisation du format HTML

La taille maximale d’un email (1, 3, 5, 10, Illimitée).Taille maximale des pièces jointes (Mo)

Les types de contenu à synchroniser.Synchroniser les types de contenu

Remarque : pour les appareils Sony jusqu’à la version 6.x d’Enterprise API, il est importantque les informations de l’utilisateur du compte Exchange ActiveSync correspondent àl’utilisateur assigné à l’appareil.

Sur ces appareils, le client SMC n’est pas en mesure d’envoyer l’identifiant ActiveSync auserveur Sophos Mobile Control. Lorsqu’un appareil contacte le proxy EAS de Sophos MobileControl pour la première fois, l’identifiant ActiveSync que le client de messagerie envoie n’estpas connu par Sophos Mobile. Pour vérifier les informations du compte, le proxy EAS deSophos Mobile Control recherche un appareil avec un identifiant ActiveSync inconnu et unutilisateur assigné qui correspond aux informations de l’utilisateur fournies par le client demessagerie. Si cet appareil est trouvé, l’identifiant ActiveSync est assigné à cet appareil etla demande d’email est transférée au serveur Exchange. Dans le cas contraire, la demandeest rejetée.

Retrouvez plus de renseignements dans l’article 121360 de la base de connaissances deSophos.

82


https://www.sophos.com/fr-fr/support/knowledgebase/121360.aspx


13.11.7 Configuration Wi-Fi (profil d’appareil Android)La configuration Wi-Fi vous permet d’indiquer les paramètres de connexion aux réseauxWi-Fi.


L’identifiant du réseau Wi-Fi.SSID

Le type de sécurité du réseau Wi-Fi :Type de sécurité

Aucun

WEP

WPA/WPA2 PSK

EAP/PEAP

EAP/TLS

EAP/TTLS

Si vous sélectionnez WEP ou WPA/WPA2 PSK,un champ Mot de passe apparaît. Saisissez lemot de passe adéquat.

Si vous sélectionnez l’un des paramètres EAP, leschamps Identité, Identité anonyme et Mot depasse apparaissent. Saisissez les informationsEAP requises.

Si vous sélectionnez EAP/PEAP ou EAP/TTLS,le champ Autorisation de la phase 2 apparaît enplus. Sélectionnez le type d’autorisation :

PAP

CHAP

MSCHAP

MSCHAPv2

Le nom ou l’adresse IP et le numéro de port d’unserveur proxy pour la connexion Wi-Fi.

Serveur proxy et port

13.11.8 Configuration VPN (profil d’appareil Android)La configuration VPN vous permet de définir les paramètres VPN pour les connexions réseau.


Le nom de la connexion affichée sur l’appareil.Nom de laconnexion

Le nom d’hôte ou l’adresse IP du serveur.Serveur

83



Le type de connexion VPN :Type de connexion

L2TP/IPsec (PSK)

Si vous sélectionnez ce type, les champs Utilisateur, Mot de passe etL2TP/IPsec (PSK) sont affichés. Saisissez le nom d’utilisateur et le mot depasse. Dans le champ L2TP/IPsec (PSK), saisissez la clé pré-partagéepour l’authentification.

L2TP/IPsec (Certificat)

Si vous sélectionnez ce type, les champs Certificat du client, Certificatracine, Utilisateur et Mot de passe sont affichés. Dans les champsCertificat du client et Certificat racine, sélectionnez les certificatsadéquats. Saisissez également le nom d’Utilisateur et le Mot de passeadéquat.

13.11.9 Configuration du Certificat racine (profil d’appareil Android)La configuration Certificat racine vous permet d’installer un certificat racine sur les appareils.

Dans le champ Fichier, naviguez jusqu’au certificat adéquat et cliquez sur Télécharger unfichier. Le nom du certificat apparaît dans le champ Nom du certificat. Saisissez un mot depasse pour le certificat sélectionné.

Remarque : le certificat que vous chargez ici est uniquement disponible pour ce profil. Sivous avez besoin de certificats pour d’autres profils ou stratégies, vous allez devoir les chargerde nouveau.

13.11.10 Configuration du certificat du client (profil d’appareil Android)La configuration Certificat du client vous permet d’installer un certificat du client sur lesappareils.



13.11.11 Configuration SCEP (profil d’appareil Android)La configuration SCEP permet d’autoriser les appareils à demander des certificats à uneAutorité de certification à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol).

Remarque : veuillez commencer par ajouter une configuration du Certificat racine pourcharger le certificat de l’Autorité de certification du serveur SCEP avant d’ajouter uneconfiguration du protocole SCEP.

84



L’adresse Web du serveur de l’Autorité decertification.

Utilisez la variable %_SCEPPROXYURL_% pourindiquer l’URL du serveur configurée sur l’ongletSCEP de la page Configuration du système.

URL

Le nom sous lequel le certificat va apparaître dansles boîtes de dialogue de sélection.

Il doit s’agir d’un nom facile à mémoriser pouridentifier le certificat. Par exemple, utilisez la même

Nom d’alias

valeur que dans le champ Objet mais sans lepréfixe CN=.

Le nom de l’entité (par exemple ; une personne ouun appareil) qui recevra le certificat.

Vous pouvez utiliser des espaces réservés pourles données de l’utilisateur ou les propriétés del’appareil.

Objet

La valeur que vous saisissez (remplacement desespaces réservés par des données) doit être unnom X.500 valable.

Par exemple :

Saisissez CN=%_USERNAME_% pour indiquerun utilisateur.

SaisissezCN=%_DEVPROP(numéro_série)_% pourindiquer un appareil.

Retrouvez plus de renseignements sur les espacesréservés disponibles à la section Espaces réservésdans les profils et stratégies à la page 67.

Cette option vous permet de configurer un autrenom de l’objet. Sélectionnez l’un des types d’autrenom de l’objet disponibles.

Type de l’autre nom de l’objet

Si vous avez sélectionné un type d’autre nom del’objet, saisissez sa valeur.

Valeur de l’autre nom de l’objet

Nom de connexion de l’utilisateur NT

L’adresse Web permettant de récupérer un motde passe de challenge à partir du serveur SCEP.

Utilisez la variable %_CACHALLENGE_% pourindiquer l’URL de challenge configurée sur l’ongletSCEP de la page Configuration du système.

Challenge

85



Le certificat de l’Autorité de certification.

Sélectionnez le certificat dans la liste. La listecontient tous les certificats que vous avez chargés

Certificat racine

dans la configuration du Certificat racine du profilactuel.

La taille de la clé publique dans le certificat émis.

Assurez-vous que la valeur indiquée correspondà la taille configurée sur le serveur SCEP.

Taille de la clé

Si vous sélectionnez cette case, la clé publiquepeut être utilisée en tant que signature numérique.

Utiliser en tant que signature numérique

Si vous sélectionnez cette case, la clé publiquepeut être utilisée pour le chiffrement de fichiers.

Utiliser pour le chiffrement

13.11.12 Configuration du nom du point d’accès (profil d’appareil Android)La configuration Nom du point d’accès vous permet d’indiquer le nom du point d’accès(APN) pour les appareils mobiles. Les configurations APN définissent la manière dont lesappareils se connectent au réseau mobile.

Important : nous vous conseillons de demander à votre opérateur quels sont les paramètresrequis. Si vous sélectionnez Utiliser en tant que Nom du point d’accès par défaut et queles paramètres sont incorrects, l’appareil ne pourra pas accéder aux données via les réseauxcellulaires.

Remarque : À l’exception du champ Nom du point d’accès, tous les paramètres sontfacultatifs et doivent uniquement être remplis si requis par votre opérateur de réseau mobile.


Le Nom du point d’accès que l’appareil mentionnelorsqu’il établit une connexion avec l’opérateur.

Il doit correspondre à un Nom du point d’accèsaccepté par l’opérateur. Dans le cas contraire, laconnexion ne pourra pas être établie.

APN

Un nom facultatif affiché sur l’appareil en plus duNom du point d’accès.

Nom convivial

L’adresse et le port du serveur HTTP utilisé pourle trafic Web.

Serveur proxy et port

Un nom d’utilisateur et un mot de passe pour laconnexion au Nom du point d’accès.

Nom d’utilisateur, Mot de passe de l’utilisateur

Le serveur de la passerelle WAP.Serveur

86



Multimedia Messaging Service Center (MMSC).MMSC

L’adresse et le port d’un serveur HTTP utilisé pourla établir la communication avec MMSC.

Serveur proxy MMS et port

MCC et MNC pour indiquer l’opérateur.

Le Nom du point d’accès est uniquement utilisépour cet opérateur.

MCC (Mobile Country Code), MNC (MobileNetwork Code)

La méthode d’authentification pour les connexionsPPP.

Type d’authentification

Les types de connexion de données pour lesquelsce Nom du point d’accès est utilisé.

Pour utiliser le Nom du point d’accès pour tous lestypes de données, saisissez * ou ne remplissezpas ce champ.

Type de Nom du point d’accès

La technologie d’accès radio (ou RAT pour RadioAccess Technology) utilisée par l’opérateur.

Support

Le protocole réseau pris en charge par l’opérateur.Protocole

Le protocole réseau pris en charge par l’opérateuren mode itinérant.

Protocole itinérant

Si cette option est sélectionnée, les appareilsutilisent ce Nom du point d’accès par défaut.

Une erreur est signalée lorsque vous essayez desélectionner cette option dans plusieursconfigurations du Nom du point d’accès.

Utiliser en tant que Nom du point d’accès pardéfaut

13.11.13 Configuration du Mode kiosque (profil d’appareil Android)La configuration du Mode kiosque vous permet de définir les restrictions pour les appareilsafin de les mettre en mode kiosque.

Cliquez sur Sélectionner la source et procédez de l’une des façons suivantes pour indiquerl’app qui sera démarrée lors du transfert du profil sur un appareil :

■ Sélectionnez Personnalisée et saisissez l’identifiant d’app.

■ Sélectionnez Liste des apps et sélectionnez une app dans la liste Identifiant d’app. Cetteliste contient toutes les apps que vous avez configurées sur la page Apps. Retrouvez plusde renseignements à la section Ajout d’une app à la page 185.

■ Sélectionnez Aucun pour configurer le mode kiosque sans indiquer d’app. Les restrictionsdu mode kiosque sont appliquées à l’appareil mais aucune app n’est démarrée.

Sous Options, dessélectionnez les fonctions matérielles et logicielles que vous souhaitezdésactiver dans le mode kiosque.

87


Lorsque le profil est transféré à l’appareil, l’app que vous avez indiquée est démarrée.Toutefois, si vous n’avez désactivé aucune fonction matérielle ou logicielle, l’utilisateur pourraquitter l’app et utiliser l’appareil normalement. Pour définir l’appareil en mode kiosque, veuillezdessélectionner les cases Autoriser le bouton Accueil et Autoriser le gestionnaire detâches.

Remarque :

■ L’app que vous indiquez doit être installée sur l’appareil. En cas contraire, les tâches detransfert demeureront à l’état incomplet jusqu’à ce que l’app soit installée. Pour installerl’app, créez une série de tâches contenant, par exemple, une tâche Installer l’app ettransférez cette série sur vos appareils.

■ si vous voulez indiquer une app pour les appareils Samsung Knox, assurez-vous qu’ils’agisse d’un lanceur d’apps. Ce type d’app et une alternative au bureau Android pardéfaut.

■ Pour les appareils Sony à partir de la version 9 de l’API d’entreprise, si vous dessélectionnezla case Autoriser l’augmentation du volume, Autoriser la baisse du volume ouAutoriser le mode Muet, tous les boutons de volume de l’appareil sont désactivés.

13.12 Configuration des stratégies Android pour lesentreprisesUne stratégie Android pour les entreprises vous permet de configurer les paramètres relatifsau profil professionnel d’un appareil.

Retrouvez plus de renseignements sur la création d’une stratégie Android pour les entreprisesà la section Création du profil ou de la stratégie à la page 63.

13.12.1 Configuration « Stratégies de mot de passe - Appareil » (stratégieAndroid pour les entreprises)La configuration Stratégies de mot de passe - Appareil vous permet de définir le formatminimal requis du mot de passe à utiliser pour le mot de passe de verrouillage de l’écran.








88




Mot de passe simple















Le temps au bout duquel l’appareil est verrouillélorsqu’il n’est pas utilisé. L’appareil peut êtredéverrouillé en saisissant le mot de passe.



89






Le nombre maximal de tentatives ratées de saisiedu mot de passe qu’il est possible d’effectuer avantque l’appareil soit réinitialisé.



















13.12.2 Configuration « Stratégies de mot de passe - Profil professionnel »(stratégie Android pour les entreprises)La configuration Stratégies de mot de passe - Profil professionnel vous permet de définirle format minimal requis du mot de passe à utiliser pour le profil professionnel. L’utilisateur

90


doit saisir ce mot de passe pour ouvrir une app professionnelle lorsque le profil professionnelest verrouillé.









Mot de passe simple











91



les utilisateurs sont autorisés à utiliser lesméthodes de reconnaissance biométrique peu

Reconnaissance biométrique faible

sécurisées, telle que la reconnaissance de visage,pour déverrouiller le profil professionnel.

Remarque : les méthodes de reconnaissancebiométrique peu sécurisées fournissent le mêmeniveau de sécurité que les codes confidentiels(PIN) à 3 chiffres. Un déverrouillage non autorisésur 1000 tentatives pourrait donc avoir lieu.





Le temps au bout duquel le profil professionnel estverrouillé lorsqu’il n’est pas utilisé. Le profil peutêtre déverrouillé en saisissant le mot de passe.






Le nombre maximal de tentatives ratées de saisiedu mot de passe qu’il est possible d’effectuer avantque le profil professionnel soit réinitialisé.






92















13.12.3 Configuration des restrictions (stratégie Android pour les entreprises)La configuration Restrictions vous permet de configurer les restrictions et paramètres associéspour les profils professionnels Android.

Sécurité


L’utilisateur peut faire des captures d’écran du contenudes apps professionnelles.


L’utilisateur peut installer ou supprimer des certificatsdans le profil professionnel.

Autoriser l’utilisateur à configurer lescodes d’accès

Les utilisateurs peuvent copier le texte à partir d’une appprofessionnelle et le coller dans une app personnelle.

La copie du texte du presse-papiers à partir d’une apppersonnelle dans une app professionnelle est toujourspossible.

Autoriser l’utilisation du presse-papiersdans les apps personnelles

L’utilisateur peut activer la fonction Smart Lock d’Androidqui déverrouille automatiquement l’appareil dans certainessituations.

Autoriser Smart Lock

93



Les apps professionnelles peuvent accéder aux fonctionsde géolocalisation de l’appareil.

Si cette case est dessélectionnée, les appsprofessionnelles ne peuvent pas accéder aux fonctions

Autoriser le partage d’emplacement

de géolocalisation de l’appareil, même si l’utilisateur aactivé le partage de la position géographique.

Les liens Web que l’utilisateur ouvre dans une appprofessionnelle peuvent également être ouverts par uneapp de navigation personnelle.

Autoriser l’ouverture des liens Web dansles apps personnelles

L’utilisateur peut activer les fonctions de débogage sousles Options de développement de l’appareil Android.

Autoriser le débogage

L’utilisateur peut utiliser le capteur d’empreinte digitalepour déverrouiller l’appareil.

Autoriser le déverrouillage de l’appareilpar empreinte digitale

L’app du téléphone personnel affiche le nom ducorrespondant en cas d’appels entrants passés par descontacts professionnels.

Autoriser les coordonnéesprofessionnelles pour les appelspersonnels

Les appareils Bluetooth connectés affichent le nom ducorrespondant en cas d’appels personnels entrantspassés par des contacts professionnels.

Autoriser les coordonnéesprofessionnelles pour les appareilsBluetooth

L’app du téléphone personnel inclut les résultats descoordonnées professionnelles lors de la rechercher denoms de correspondant.

Autoriser la rechercher de coordonnéesprofessionnelles dans le profil personnel

Comptes


L’utilisateur peut ajouter ou supprimer des comptes duprofil professionnel (par exemple ; des comptes d’app).

L’utilisateur ne peut pas supprimer le compte Google duprofil professionnel.

Autoriser la gestion des comptes

94


Réseau et communication


L’utilisateur peut envoyer des données à partir des appsprofessionnelles via Android Beam (transfert de donnéespar NFC).

Autoriser Android Beam

L’utilisateur peut utiliser des connexions VPN pour lesapps professionnelles.

Autoriser les réseaux privés virtuels(VPN)

Matériel


Les apps professionnelles peuvent accéder à l’appareilphoto.


Applications


L’utilisateur peut désinstaller les apps professionnelles.Autoriser la désinstallation d’apps

Si cette case est dessélectionnée, l’utilisateur peutuniquement installer les apps professionnelles à partir de

Autoriser l’installation d’apps provenantde sources inconnues

la boutique Google Play et pas à partir de sourcesinconnues ou par le pont Android (ADB ou Android DebugBridge).

Si cette case est dessélectionnée, l’utilisateur ne peutpas effectuer les tâches suivantes pour les appsprofessionnelles :

Autoriser la gestion des apps

Désinstaller les apps

Désactiver les apps

Arrêter les apps

Effacer le cache des apps

Effacer les données des apps

Effacer le paramètre Ouvrir par défaut

95



L’utilisateur peut désactiver le paramètre de sécurité deGoogle Analyser appareil pour détecter menaces desécurité.

Le paramètres est disponible dans les Paramètres sousGoogle > Sécurité > Google Play Protect.

Autoriser la désactivation des contrôlesde sécurité Google

Un message de support de l’entreprise que l’utilisateurvoit s’afficher lorsqu’une fonctionnalité a été désactivée.

Remarque : si vous saisissez plus de 200 caractères,le message risque de ne pas s’afficher complètement.

Message court

Texte supplémentaire au message court. ce texte s’affichelorsque l’utilisateur appuie sur Plus de renseignementssur les vues affichant le message court.

Remarque : ce texte est également affiché sur la vueAdministrateur de l’appareil d’Android de l’app SophosMobile Control.

Message long

13.12.4 Configuration de la Protection des apps (stratégie Android pour lesentreprises)La configuration de la Protection des apps vous permet de définir les conditions requisespour les mots de passe de protection des apps professionnelles (les apps installées sur leprofil professionnel).

Si la Protection des apps est utilisée, les utilisateurs doivent créer un mot de passe lorsqu’ilsdémarrent une app protégée pour la première fois. Suite à une tentative ratée de connexion,un délai de connexion est imposé.

Si la Protection des apps est activée sur un appareil, la commande Réinitialiser le mot depasse de la Protection des apps est disponible dans le menu Actions sur la page Affichagede l’appareil. L’utilisateur a également la possibilité de réinitialiser le mot de passe de laProtection des apps dans le portail libre-service Sophos Central.


Le niveau de complexité minimale requis pour lemot de passe qui sera créé par les utilisateurs.


À la fin du délai de grâce, les apps protégéespeuvent uniquement être déverrouillées par motde passe.


96



Sélectionnez le groupe d’apps contenant les appsprotégées par mot de passe.


Groupe d’apps

L’utilisateur peut utiliser son empreinte digitale pourdéverrouiller une app protégée.


13.12.5 Configuration du contrôle des apps (stratégie Android pour lesentreprises)La configuration du Contrôle des apps vous permet de définir les apps professionnelles dontl’utilisation n’est pas autorisée.


Sélectionnez le groupe d’apps contenant les appsbloquées.


Groupe d’apps

13.12.6 Configuration des Autorisations des apps (stratégie Android pour lesentreprises)La configuration Autorisations des apps vous permet de configurer la réponse à donnerlorsqu’une app professionnelle demande une autorisation pendant son exécution.


La réponse par défaut aux futures demandesd’autorisation pendant l’exécution des appsprofessionnelles :

Gestion des autorisations par défaut

Inviter : les apps invitent l’utilisateur à accorderl’autorisation.

Accepter automatiquement : toutes les demandesd’autorisation pendant l’exécution sontautomatiquement accordées.

Refuser automatiquement : toutes les demandesd’autorisation pendant l’exécution sontautomatiquement refusées.

L’utilisateur ne pourra pas changer les autorisations.

97



Vous pouvez accorder ou refuser certaines autorisationspendant l’exécution d’apps individuelles. Cliquez surAjouter et configurez les paramètres d’une app :

dans le champ Identifiant d’app, vous pouvez saisirl’identifiant interne de l’app.

Autorisations d’exécution des apps

Pour chaque autorisation pendant l’exécution,sélectionnez l’état d’accord désiré :

Sélectionnable l’utilisateur peut accorder ou refuserl’autorisation.

Accordé : l’autorisation est accordée et ne peut pasêtre refusée par l’utilisateur.

Refusé : l’autorisation est refusée et ne peut pas êtreaccordée par l’utilisateur.

13.12.7 Configuration d’Exchange ActiveSync (stratégie Android pour lesentreprises)









Utilisateur






Expéditeur

98





Mot de passe






SSL



Le certificat du client pour la connexion àActiveSync.

Certificat du client

13.12.8 Configuration du certificat racine (stratégie Android pour lesentreprises)La configuration Certificat racine vous permet d’installer un certificat racine sur les appareils.Ce certificat sera mis à disposition des apps professionnelles (les apps installées sur le profilprofessionnel).


Remarque : le certificat que vous téléchargez ici est uniquement disponible pour cettestratégie. Si vous avez besoin de certificats pour d’autres profils ou stratégies, vous allezdevoir les charger de nouveau.

13.12.9 Configuration du certificat du client (stratégie Android pour lesentreprises)La configuration Certificat du client vous permet d’installer un certificat du client sur lesappareils. Ce certificat sera mis à disposition des apps professionnelles (les apps installéessur le profil professionnel).



99


13.12.10 Configuration SCEP (stratégie Android pour les entreprises)La configuration SCEP permet d’autoriser les appareils à demander des certificats à uneAutorité de certification à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol).Ces certificats seront mis à disposition des apps professionnelles (les apps installées sur leprofil professionnel).





URL



Nom d’alias




Objet


Par exemple :








100






Challenge



Certificat racine




Taille de la clé





13.13 Configuration des stratégies de conteneur Sophospour AndroidUne stratégie de conteneur Sophos vous permet de configurer les paramètres associés auxapps du conteneur Sophos : Sophos Secure Email et Sophos Secure Workspace.

Retrouvez plus de renseignements sur la création d’une stratégie de conteneur à la sectionCréation du profil ou de la stratégie à la page 63.

13.13.1 Configuration Généralités (stratégie de conteneur Sophos pourAndroid)La configuration Généralités vous permet de définir les paramètres qui s’appliquent à toutesles apps du conteneur Sophos si applicable.


Les utilisateurs doivent saisir un mot de passesupplémentaire pour pouvoir démarrer une app du

Activer le mot de passe du conteneur Sophos

conteneur Sophos. Le mot de passe doit être définilorsque la première app du conteneur est démarrée

101



suite à l’application de la configuration. Ce mot depasse s’applique à toutes les apps du conteneur.

La complexité minimale requise pour le mot depasse du conteneur Sophos. Les mots de passe


très sécurisés sont toujours autorisés. Les motsde passe (une combinaison de caractèresnumériques et alphanumériques) sont toujoursconsidérés comme étant plus sûrs que les codesPIN (caractères numériques uniquement.

Toutes : les mots de passe du conteneurSophos n’ont pas de restrictions.

Code PIN à 4 chiffres


Mot de passe à 4 caractères




Les caractères utilisés dans les champs de saisiedu mot de passe ne sont pas affichéstemporairement lors de la saisie.

Toujours masquer les caractères dans leschamps de saisie du mot de passe

Le nombre de jours pendant lesquels un mot depasse peut être utilisé avant que les utilisateursne soient invités à le changer.

Durée de validité du mot de passe en jours

Le nombre de tentatives ratées de connexionautorisées avant verrouillage des apps du

Tentatives ratées de connexion avantverrouillage

conteneur. Une fois qu’elles sont verrouillées, unadministrateur devra les déverrouiller ou, s’ils sontautorisés, les utilisateurs pourront utiliser le portaillibre-service Sophos Central pour effectuer cetteopération.

L’utilisateur peut utiliser son empreinte digitale pourdéverrouiller l’app.

Autoriser l’empreinte digitale

La période de temps pendant laquelle aucun motde passe du conteneur Sophos ne doit être saisi


lorsque l’app du conteneur est de nouveau amenéeau premier plan.

Ce délai de grâce s’applique à toutes les apps duconteneur. Vous pouvez passer d’une app à uneautre pendant le délai de grâce sans avoir à saisirde mot de passe.

102



Lorsque l’appareil est verrouillé, le conteneurSophos est également verrouillé.

Si la case est dessélectionnée, le conteneur estverrouillé uniquement après expiration du délai degrâce.

Verrouiller au verrouillage de l’appareil

La période de temps pendant laquelle lesutilisateurs peuvent utiliser une app du conteneur

Dernière connexion au serveur

Sophos sans avoir à se connecter au serveurSophos Mobile.

Lorsque une app du conteneur Sophos est activéeet n’est pas en contact avec le serveur pendant lapériode de temps définie, un écran de verrouillageapparaît. Les utilisateurs peuvent uniquementdéverrouiller l’app en appuyant sur Réessayer surl’écran de verrouillage. L’app essaiera de seconnecter au serveur. Si la connexion peut êtreétablie, l’app est déverrouillée. En cas contraire,l’accès est refusé.

Sur accès : la connexion au serveur esttoujours requise et l’app est verrouillée lorsquele serveur n’est pas joignable.

1 heure : la connexion au serveur est requiselorsque l’app est active pendant au moins uneheure après la dernière connexion réussie auserveur.

3 heures

6 heures

12 heures

1 jour

3 jours

1 semaine

Aucune : un contact régulier n’est requis.

ce champ vous permet de définir la fréquence àlaquelle les utilisateurs peuvent démarrer l’une des

Accès hors ligne sans connexion au serveur

apps du conteneur Sophos sans nécessiter deconnexion au serveur.

Remarque : ce paramètre nécessite l’activationde la fonction de mot de passe du conteneurSophos.

Un compteur est mis à jour à chaque fois qu’unutilisateur saisit le mot de passe du conteneurSophos. Si le compteur dépasse le nombre fixé,le même écran de verrouillage que celui utilisépour le paramètre Dernière connexion au serveurapparaît. Le compteur est réinitialisé si uneconnexion au serveur Sophos Mobile est établie.

103



Illimité : aucune connexion au serveur n’estrequise.

0 : une connexion au serveur est requise pourdémarrer l’app.

1 : après un démarrage de l’app, la connexionau serveur est nécessaire.

3

5

10

20

L’exécution des apps de conteneur est autoriséesur les appareils débloqués.

Déblocage (root) autorisé

Contraintes d’utilisation des apps

Vous permet de définir les contraintes d’utilisation des apps du conteneur Sophos. Cliquez sur Ajouterpour saisir les contraintes.

Vous permet d’ajouter la latitude et la longitudeainsi qu’un rayon d’utilisation des apps duconteneur Sophos.

Géorepérage

Vous permet d’indiquer une période de temps àlaquelle les apps du conteneur Sophos peuvent

Limite de temps

être utilisées en précisant une heure de début etune heure de fin. Il est également possibled’indiquer les jours de la semaine auxquels lesapps peuvent être utilisées.

Vous permet d’indiquer les réseaux Wi-Fi auxquelsl’appareil doit être connecté afin d’utiliser les appsdu conteneur Sophos.

L’appareil doit être connecté à l’un des réseauxfigurant dans la liste. Cependant, l’affichage d’un

Périmètre de connexion Wi-Fi

réseau particulier dans la liste des réseauxdisponibles ne suffit pas.

Important : nous vous déconseillons d’utiliseruniquement le périmètre de connexion Wi-Fi pourassurer votre sécurité. En effet, les identités Wi-Fipeuvent très facilement être usurpées.

13.13.2 Configuration de la Messagerie professionnelle (stratégie deconteneur Sophos pour Android)La configuration de la Messagerie professionnelle vous permet de définir les paramètresde l’utilisateur pour votre serveur Microsoft Exchange. Ces paramètres sont appliqués à l’appSophos Secure Email si elle est installée dans le conteneur Sophos.

104








Utilisateur


Si vous saisissez la variable %_EMAILADDRESS_%,le serveur la remplace par l’adresse électroniqueen cours.



L’adresse électronique qui sera utilisée pourcontacter le support.

Email du support

les utilisateurs sont autorisés à exporter lesnuméros de téléphone de leurs contacts Exchange

Exporter les contacts sur l’appareil

dans les contacts locaux de l’appareil afin depouvoir identifier les appels de leurs contactsprofessionnels.

Sophos Secure Email synchronise en permanenceles coordonnées.

Remarque : les coordonnées des contacts locauxsont automatiquement supprimées dans les casde figure suivants :

La configuration de la Messagerieprofessionnelle est supprimée de la stratégiede conteneur Sophos (nécessite leredémarrage de l’app Sophos Secure Email).

Le conteneur Sophos est supprimé del’appareil.

L’appareil est désinscrit de Sophos Mobile.

Sélectionnez les informations à afficher dans lesnotifications par email.

Ce paramètre affecte également les rappelsd’événements. Si vous sélectionnez Aucune

Détails de la notification

notification, les rappels d’événements sontdésactivés. Si vous sélectionnez toute autre valeur,les rappels d’événements sont activés et incluentla date, le lieu et le titre.

Les utilisateurs ne peuvent pas copier ou couperle texte à partir de l’app Sophos Secure Email.

Refuser la copie dans le presse-papiers

105



L’utilisateur ne peut pas faire de captures d’écranmontrant l’app Sophos Secure Email.

Interdire les captures d’écran

Les messages de taille supérieure à celle que voussélectionnez (notamment les pièces jointes) nesont pas récupérés à partir du serveur Exchange.

Taille maximale autorisée pour l’email

Les utilisateurs sont autorisés à voir ou partagerles pièces jointes.

Autoriser l’affichage/le partage

Sélectionnez si les pièces jointes seront visiblesdans toutes les apps ou uniquement dans les apps

Voir les pièces jointes

de conteneur Sophos Secure Workspace etSophos Secure Email.

Sélectionnez si les pièces jointes pourront êtrepartagées avec toutes les apps ou uniquement

Partager les pièces jointes

avec les apps de conteneur Sophos SecureWorkspace et Sophos Secure Email.

Cliquez sur Paramètres avancés pour configurerles paramètres qu’une future version de l’appSophos Secure Email pourrait utiliser.

Important : veuillez uniquement configurer cesparamètres si l’équipe du support Sophos vous ledemande.

Paramètres avancés

13.13.3 Configuration des Documents professionnels (stratégie de conteneurSophos pour Android)La configuration des Documents professionnels vous permet de définir les paramètres dela fonction Documents professionnels de l’app Sophos Secure Workspace.

Configurer les fournisseurs de stockage

Chaque fournisseur de stockage vous permet de définir séparément les paramètres suivants :


Le fournisseur de stockage est disponible dansl’app.

Activer

Les utilisateurs sont autorisés à ajouter des fichiersprovenant du fournisseur de stockage à la liste desFavoris de l’app pour une utilisation hors ligne.

Hors ligne

106



Les utilisateurs peuvent partager les fichierschiffrés avec d’autres apps via la fonction Ouvriravec.

Ouvrir avec (chiffré)

Les utilisateurs peuvent partager les fichiersdéchiffrés avec d’autres apps via la fonction Ouvriravec.

Ouvrir avec (déchiffré)

Les utilisateurs peuvent copier des parties d’undocument et les copier dans d’autres apps.

Presse-papiers

Paramètres du fournisseur d’entreprise

Pour le fournisseur WebDAV, également appelé le fournisseur d’entreprise, vous pouvezdéfinir les paramètres du serveur et les codes d’accès de connexion de manière centralisée.Ceux-ci ne peuvent pas être changés par les utilisateurs.

Les paramètres de codes d’accès que vous ne définissez pas de manière centralisée peuventêtre choisis par les utilisateurs sur les écrans de codes d’accès du fournisseur dans l’app.

Par exemple, vous pouvez définir le serveur et le compte d’utilisateur à utiliser de manièrecentralisée. Il n’est pas nécessaire de remplir le champ du mot de passe. Les utilisateursdevront connaître le mot de passe lorsqu’ils se connecteront au fournisseur de stockage.


Le nom du fournisseur qui s’affiche dans l’appSophos Secure Workspace.

Nom

Dans ce champ, saisissez :Serveur

L’URL du dossier racine sur le serveurWebDAV Documents professionnels.

L’URL du dossier racine sur le serveurWebDAV.

Veuillez utiliser le format suivant :https://serveur.entreprise.fr

Seul le protocole https est pris en charge.

Le nom d’utilisateur pour le serveur. Vous pouvezégalement utiliser la variable %_USERNAME_%.

Nom d’utilisateur

Le mot de passe du compte.Mot de passe

Le dossier de téléchargement du compte.Dossier de téléchargement

107


Autres paramètres


Cette option active la fonction Documentspermettant de distribuer en toute sécurité lesdocuments d’entreprise.

Activer les documents

La complexité minimale requise pour les phrasessecrètes des clés de chiffrement. Les phrasessecrètes très sécurisées sont toujours autorisées.

Vous pouvez sélectionner les paramètres suivants :

Complexité de la phrase secrète





L’utilisateur ne peut pas faire de captures d’écranmontrant l’app Sophos Secure Workspace.


13.13.4 Configuration du Navigateur professionnel (stratégie de conteneurSophos pour Android)La configuration du Navigateur professionnel vous permet de définir les paramètres de lafonction Navigateur professionnel de l’app Sophos Secure Workspace.

Le Navigateur professionnel vous permet d’accéder en toute sécurité aux pages intranet del’entreprise et à toutes les autres pages autorisées. Vous pouvez définir les domaines et lesfavoris d’un domaine.

Chaque favori appartient à un domaine bien précis. Lorsque vous ajoutez un favori, l’entréede domaine est créée automatiquement si elle n’existe pas.

Paramètres généraux


L’utilisateur ne peut pas faire de captures d’écranmontrant l’app Sophos Secure Workspace.


108


Paramètres du domaine


Le domaine que vous souhaitez autoriser.URL

Les utilisateurs peuvent copier/coller du texte àpartir du Navigateur professionnel vers d’autresapps.

Autoriser la fonction copier/coller

Les utilisateurs peuvent télécharger des piècesjointes ou les transférer vers d’autres apps.

Autoriser Ouvrir avec

Les utilisateurs peuvent enregistrer leurs mots depasse dans le Navigateur professionnel.

Autoriser l’enregistrement du mot de passe

Paramètres de favoris


Le nom du favori.Nom

L’adresse Web du favori.URL

13.13.5 Configuration du certificat du client (stratégie de conteneur Sophospour Android)La configuration Certificat du client vous permet d’installer un certificat du client sur lesappareils. Ce certificat sera mis à disposition des apps Sophos Secure Email et SophosSecure Workspace si elles sont installées dans le conteneur Sophos.



13.13.6 Configuration du Certificat racine (stratégie de conteneur Sophospour Android)La configuration Certificat racine vous permet d’installer un certificat racine sur les appareils.Ce certificat sera mis à disposition des apps Sophos Secure Email et Sophos SecureWorkspace si elles sont installées dans le conteneur Sophos.

109




13.13.7 Configuration SCEP (stratégie de conteneur Sophos pour Android)La configuration SCEP permet d’autoriser les appareils à demander des certificats à uneAutorité de certification à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol).Ces certificats sont disponibles dans l’app Sophos Secure Workspace si cette dernière estinstallée dans le conteneur Sophos.





URL



Nom d’alias




Objet


Par exemple :




110










Challenge



Certificat racine




Taille de la clé





13.14 Configuration des stratégies de sécurité des mobiles(Sophos Mobile Security)La stratégie de sécurité des mobiles vous permet de configurer les paramètres de l’appSophos Mobile Security.

Retrouvez plus de renseignements sur les stratégies de sécurité des mobiles aux sectionssuivantes :

Configuration des paramètres antivirus pour Sophos Mobile Security à la page 223Configuration des paramètres du filtrage Web pour Sophos Mobile Security à la page 225

13.15 Configuration des profils de conteneur KnoxUn profil de conteneur Knox vous permet de configurer les paramètres associés au conteneurKnox des appareils Samsung.

111


Retrouvez plus de renseignements sur la création d’un profil de conteneur à la section Créationdu profil ou de la stratégie à la page 63.

13.15.1 Configuration des Stratégies de mot de passe (profil de conteneurKnox)La configuration Stratégies de mot de passe vous permet de définir le format minimal dumot de passe du conteneur Knox sur les appareils Samsung.









Mot de passe simple










Le mot de passe doit contenir une combinaison delettres et de chiffres. Vous pouvez définir la

112



longueur minimale ainsi que le nombre minimal dechiffres, de lettres minuscules et majuscules et decaractères spéciaux à utiliser. Retrouvez plus derenseignements à ce sujet dans les deux tableauxci-dessous.





Le temps au bout duquel le conteneur Knox estverrouillé lorsqu’il n’est pas utilisé. Le conteneur


peut être déverrouillé en saisissant le mot depasse.





Le nombre maximal de tentatives ratées de saisiedu mot de passe qu’il est possible d’effectuer avantque le conteneur Knox soit réinitialisé.









113













Authentification biométrique


Si cette fonction est disponible sur l’appareil, l’utilisateurpeut utiliser l’authentification par empreinte digitale pourdéverrouiller le conteneur Knox.


Si cette fonction est disponible sur l’appareil, l’utilisateurpeut utiliser l’authentification par l’iris pour déverrouillerle conteneur Knox.

Autoriser l’authentification par l’iris

13.15.2 Configuration des Restrictions (profil de conteneur Knox)


L’utilisateur peut faire des captures d’écran du contenudes apps présentes dans le conteneur Samsung Knox.


Les apps présentes dans le conteneur Samsung Knoxont accès à l’appareil photo.


L’utilisateur peut copier le contenu du presse-papiers.Autoriser le Presse-papiers

114



La fonction Partager par utilisée par certaines apps estactivée.

Autoriser « Partager par »

Les apps présentes dans le conteneur Samsung Knoxont accès au microphone.

Autoriser le microphone

L’utilisateur doit se servir du clavier sécurisé.Appliquer l’utilisation du clavier sécurisé

L’utilisateur peut ajouter d’autres comptes de messagerieque les comptes configurés par un profil Sophos Mobile.

Autoriser l’ajout de nouveaux comptesde messagerie

Les apps personnelles ont accès aux données depuis leconteneur Samsung Knox.

Autoriser l’exportation de données

Les fichiers personnels peuvent être copiés ou déplacésdans le conteneur Samsung Knox.

Autoriser la copie de fichiers dans leconteneur

Les apps présentes dans le conteneur Samsung Knoxpeuvent utiliser les connexions Bluetooth.

Autoriser Bluetooth

Les apps se trouvant dans le conteneur Samsung Knoxpeuvent utiliser les connexions NFC (communication enchamp proche).

Autoriser NFC

Vous pouvez configurer soit les Apps autorisées soit lesApps interdites. Sélectionnez l’option désirée dans la


première liste et sélectionnez le groupe d’apps contenantles apps qui doivent être autorisées ou interdites dans laseconde liste.

L’installation d’apps déclenchée par le serveur SophosMobile n’est pas limitée par ce paramètre.

Retrouvez plus de renseignements sur la création desgroupes d’apps à la section Groupes d’apps à la page196.

13.15.3 Configuration d’Exchange ActiveSync (profil d’appareil Knox)







115





Utilisateur






Expéditeur



Mot de passe








SSL

Le compte est utilisé en tant que compte demessagerie par défaut.

Compte par défaut



Autoriser le transfert d’emails.Autoriser le transfert d’emails

Autoriser l’utilisation du format HTML dans lesemails.

Autoriser l’utilisation du format HTML

La taille maximale d’un email (1, 3, 5, 10, Illimitée).Taille maximale des pièces jointes (Mo)


116


13.16 Configuration des stratégies Android ThingsUne stratégie Android Things vous permet de configurer les différents aspects des appareilsAndroid Things. Actuellement, seuls les paramètres Wi-Fi sont compatibles.

Retrouvez plus de renseignements sur la création d’une stratégie Android Things à la sectionCréation du profil ou de la stratégie à la page 63.

13.16.1 Configuration Wi-Fi (stratégie Android Things)La configuration Wi-Fi vous permet d’indiquer les paramètres de connexion aux réseauxWi-Fi.




Aucun

WEP

WPA/WPA2

Si vous sélectionnez WEP ou WPA/WPA2, unchamp Mot de passe apparaît. Saisissez le motde passe adéquat.

13.17 Configuration des profils d’appareil iOSUn profil d’appareil iOS vous permet de configurer différentes options des appareils iOS(stratégies de mot de passe, restrictions ou paramètres Wi-Fi).

Retrouvez plus de renseignements sur la création d’un profil d’appareil à la section Créationdu profil ou de la stratégie à la page 63.

13.17.1 Configuration des Stratégies de mot de passe (profil d’appareil iOS)La configuration des Stratégies de mot de passe vous permet de définir les règles de motde passe pour les appareils.


Les utilisateurs sont autorisés à utiliser descaractères séquentiels ou répétés dans leur motde passe (par exemple 1111 ou abcde).

Accepter les valeurs simples

Les mots de passe doivent contenir au moins unelettre ou un chiffre.

Exiger des valeurs alphanumériques

117



Indique le nombre minimum de caractères qu’unmot de passe doit contenir.


Indique le nombre minimum de caractères nonalphanumériques (par exemple & ou !) qu’un motde passe doit contenir.

Nombre minimum de caractères complexes


Durée de validité maximale du mot de passe enjours


Ce champ vous permet d’indiquer la valeurmaximale que l’utilisateur peut configurer sur

Verrouillage automatique maximal (en minutes)

l’appareil. Le verrouillage automatique indique aubout de combien de temps (en minutes) l’appareildoit être verrouillé lorsqu’il n’est pas utilisé.

Ce champ vous permet d’indiquer combiend’anciens mots de passe sont mémorisés et

Historique du mot de passe

comparés avec les nouveaux. Lorsque l’utilisateurdéfinit un nouveau mot de passe, celui-ci n’estpas accepté s’il correspond à un ancien mot depasse déjà utilisé. Plage de valeur : 1 à 50 ou 0(aucun historique de mot de passe).

Ce champ vous permet d’indiquer la valeurmaximale que l’utilisateur peut configurer sur

Délai de grâce maximal avant verrouillage del’appareil

l’appareil. Le délai de grâce avant le verrouillagede l’appareil vous permet d’indiquer pendantcombien de temps l’appareil peut être déverrouillésuite à un verrouillage sans demande de mot depasse. Si vous sélectionnez Aucun, l’utilisateurpeut sélectionner l’un des intervalles disponibles.Si vous sélectionnez Immédiatement, lesutilisateurs doivent saisir un mot de passe àchaque fois qu’ils déverrouillent leur appareil.

Ce champ vous permet d’indiquer le nombremaximal de tentatives ratées de saisie du mot de

Nombre maximal de tentatives ratées avant laréinitialisation de l’appareil

passe qu’il est possible d’effectuer avant quel’appareil soit réinitialisé. Après six tentativesratées, l’utilisateur doit attendre pendant unmoment avant de pouvoir saisir de nouveau unmot de passe. Le délai d’attente augmente àchaque tentative ratée. Suite à l’échec de ladernière tentative, toutes les données et lesparamètres sont supprimés de l’appareil. Le délaid’attente commence à la sixième tentative. Parconséquent, si vous définissez cette valeur sur 6ou sur une valeur inférieure, il n’y a aucun délaid’attente et l’appareil est réinitialisé lorsque lalimite des tentatives autorisées est dépassée.

118


13.17.2 Configuration des Restrictions (profil d’appareil iOS)La configuration des Restrictions vous permet de définir les restrictions pour les appareils.

Appareil


Si cette case est dessélectionnée, la boutique App Storen’est plus disponible et l’icône disparaît de l’écran

Autoriser l’installation d’apps

d’Accueil. L’utilisateur ne peut pas installer ou mettre àjour les apps via la boutique App Store, iTunes ou viaApple Configurator.

Si cette case est dessélectionnée, la boutique App Storen’est plus disponible et l’icône disparaît de l’écran

Autoriser l’installation d’apps à partir del’interface de l’appareil

d’accueil. L’utilisateur peut toujours installer ou mettre àjour les apps via la boutique App Store ou iTunes.

Si cette case est dessélectionnée, l’appareil photo n’estplus disponible et l’icône de l’Appareil photo disparaît de

Autoriser l’utilisation de l’appareil photo

l’écran d’Accueil. L’utilisateur ne peut pas prendre dephotos, enregistrer de vidéos ou utiliser FaceTime.

L’utilisateur peut passer ou recevoir des appels vidéoFaceTime.

Autoriser FaceTime

L’utilisateur peut prendre des captures d’écran.Autoriser la capture d’écran

Si cette case est dessélectionnée, les appareils itinérantsse synchronisent uniquement lorsque l’utilisateur accèdeau compte.

Autoriser la synchronisation automatiquependant l’itinérance

Si cette case est dessélectionnée, l’utilisateur ne peutpas utiliser Siri, les commandes vocales ou le modedictée.

Autoriser Siri

Si cette case est dessélectionnée, l’utilisateur doitdéverrouiller son appareil en saisissant son mot de passeavant d’utiliser Siri.

Autoriser Siri lorsque l’appareil estverrouillé

Si cette case est dessélectionnée, Siri ne fait aucunedemande de contenu sur Internet.

Autoriser Siri à demander du contenusur Internet

Si cette case est dessélectionnée, le filtrage du langageexplicite de Siri n’est pas appliqué sur l’appareil.

Forcer le filtrage du langage explicite deSiri

119



si cette case est dessélectionnée, l’utilisateur ne peut pascomposer de numéros à l’aide des commandes vocaleslorsque l’appareil est verrouillé par mot de passe.

Remarque : si l’utilisateur n’a pas configuré un mot depasse sur l’appareil, la composition vocale est toujoursautorisée.

Autoriser la composition vocale pendantque l’appareil est verrouillé

Les notifications Passbook sont affichées lorsquel’appareil est verrouillé.

Autoriser Passbook pendant quel’appareil est verrouillé

L’utilisateur peut effectuer des achats intégrés.Autoriser les achats intégrés

Les utilisateurs doivent saisir leur mot de passed’identifiant Apple pour effectuer leurs achats.

Si cette case est dessélectionnée, un court délai de grâcepermet à l’utilisateur d’effectuer d’autres achats sans avoirà saisir de nouveau son mot de passe.

Obliger l’utilisateur à saisir le mot depasse iTunes Store pour tous les achats

L’utilisateur peut jouer à des jeux en mode multijoueursdans Game Center.

Autoriser les jeux multijoueurs

Si cette case est dessélectionnée, Game Center n’estplus disponible.

Autoriser l’utilisation de Game Center

L’utilisateur peut ajouter des amis à Game Center.Autoriser l’ajout d’amis dans GameCenter

Si cette case est dessélectionnée, les modifications del’app de Localiser mes amis ne sont plus possibles.

Autoriser la modification de Localisermes amis

Si cette case est dessélectionnée, le jumelage entre hôtesest désactivé à l’exception de l’hôte de supervision. Si

Autoriser le jumelage entre hôtes

aucun certificat de l’hôte de supervision n’est configuré,le jumelage est désactivé.

Si cette case est dessélectionnée, l’utilisateur ne peutpas jumeler l’appareil avec une Apple Watch. Toutjumelage avec une Apple Watch est annulé.

Autoriser le jumelage avec Apple Watch

Le partage de contenu avec AirDrop est activé.Autoriser AirDrop

Si cette case est dessélectionnée, le Centre de contrôlen’est plus disponible lorsque l’écran de l’appareil estverrouillé.

Autoriser le Centre de contrôle pendantle verrouillage de l’écran

Si cette case est dessélectionnée, le Centre denotifications n’est plus disponible lorsque l’écran del’appareil est verrouillé.

Autoriser le Centre de notificationspendant le verrouillage de l’écran

120



Si cette case est dessélectionnée, la vue Aujourd’hui n’estplus disponible lorsque l’écran de l’appareil est verrouillé.

Autoriser la vue Aujourd’hui pendant leverrouillage de l’écran

L’app Actualités est disponible.Autoriser les actualités

Les mises à jour directes des ICP sont possibles.Autoriser les mises à jour directes desICP

L’utilisateur peut acheter des livres dans iBooks.Autoriser l’accès à l’iBooks Store

Si cette case est dessélectionnée, l’accès aux livres aucontenu érotique par le biais de l’iBooks Store est interdit.

Autoriser l’accès aux livres au contenuérotique dans l’iBooks Store

L’utilisateur peut installer des profils de configuration.Autoriser l’installation des profils deconfiguration

L’utilisateur peut utiliser iMessage pour envoyer ourecevoir des SMS.

Autoriser l’utilisation d’iMessage

L’utilisateur peut supprimer des apps de l’appareil.Autoriser la suppression d’apps

Si cette case est dessélectionnée, l’option Effacercontenu et réglages dans le menu Réinitialiser n’estplus disponible.

Autoriser l’effacement du contenu et desréglages

Si cette case est dessélectionnée, Spotlight ne fournitplus de résultats de recherche sur Internet.

Autoriser la recherche sur Internet pourSpotlight

Si cette case est dessélectionnée, l’option Activer lesrestrictions dans le menu Réinitialiser n’est plusdisponible.

Autoriser l’activation de l’option derestrictions

L’utilisateur peut utiliser la fonctionnalité de Continuitéd’Apple nommée Handoff. La fonctionnalité Handoff

Autoriser Handoff

permet à l’utilisateur de commencer à travailler sur undocument, email ou message sur un appareil et decontinuer sur un autre appareil.

L’utilisateur peut changer le nom de l’appareil.Autoriser la modification du nom del’appareil

L’utilisateur peut changer le fond d’écran.Autoriser la modification du fond d’écran

L’utilisateur peut utiliser les raccourcis clavier.Autoriser les raccourcis clavier

L’utilisateur peut activer la dictée dans les paramètres duclavier.

Autoriser la dictée pour la saisie clavier

121



Si cette case est dessélectionnée, le téléchargementautomatique des apps achetées sur d’autres appareils

Autoriser le téléchargement automatiqued’apps

est désactivé. Les mises à jour des apps existantes nesont pas affectées.

L’utilisateur peut accéder à la bibliothèque Apple Music.Autoriser Apple Music

L’utilisateur peut accéder à Apple Music Radio.Autoriser Apple Music Radio

L’utilisateur peut modifier les paramètres Bluetooth.Autoriser la modification des paramètresBluetooth

Données de l’entreprise


Cette option limite l’ouverture des documents aux appsou comptes administrés par Sophos Mobile, (parexemple ; un compte de messagerie professionnelle).

Si Sophos Mobile est utilisé pour administrer le comptede messagerie des utilisateurs et que les apps installées

Autoriser le partage des documentsuniquement dans les apps/comptesadministrés

sur leurs appareils mobiles sont administrées par SophosMobile, les pièces jointes de ce compte de messagerieadministré pourront uniquement être ouvertes à l’aided’apps administrées.

De cette manière, vous pouvez empêcher l’ouverture dedocuments professionnels par des apps non administrées.

Cette option limite l’ouverture des documents aux appsou comptes administrés par Sophos Mobile, (parexemple ; un compte de messagerie privé).

Si Sophos Mobile n’est pas utilisé pour administrer lecompte de messagerie des utilisateurs et les apps

Autoriser le partage des documentsuniquement dans les apps/comptes nonadministrés

installées sur leurs appareils mobiles, les pièces jointesde ce compte de messagerie non administré pourrontuniquement être ouvertes à l’aide d’apps nonadministrées.

De cette manière, vous pouvez empêcher l’ouverture dedocuments personnels par des apps administrées.

AirDrop est considéré comme non administré.Forcer l’utilisation non administrée desdocuments AirDrop

Les apps administrées peuvent utiliser la synchronisationavec iCloud.

Autoriser les apps administrées à sesynchroniser avec iCloud

122



Les livres d’entreprise sont sauvegardés.Autoriser la sauvegarde des livresd’entreprise

Les notes et passages surlignés des livres d’entreprisesont synchronisés.

Autoriser la synchronisation despassages surlignés et des notes pourles livres d’entreprise

Applications


Si cette case est dessélectionnée, la boutique iTunesn’est plus disponible et l’icône disparaît de l’écran

Autoriser l’utilisation de l’iTunes Store

d’Accueil. L’utilisateur ne peut pas prévisualiser, acheterou télécharger de contenu.

Si cette case est dessélectionnée, le navigateur WebSafari n’est plus disponible et l’icône disparaît de l’écran

Autoriser l’utilisation de Safari

d’Accueil. L’utilisateur ne peut pas non plus ouvrir de clipsWeb.

Si cette case est dessélectionnée, Safari ne remplit pasautomatiquement les formulaires Web avec lesinformations saisies auparavant.

Activer le remplissage automatique

Le paramètre de sécurité Safari permettant d’avertirl’utilisateur lorsqu’il se trouve sur un site Web de phishingest toujours activé.

Forcer l’avertissement de fraude

Le blocage des fenêtres intempestives de Safari estactivé.

Bloquer les fenêtres intempestives

Les pages Web peuvent exécuter le code JavaScript surl’appareil.

Autoriser JavaScript dans le navigateur

Ce champ vous permet d’indiquer si Safari accepte lescookies.

Lorsque vous autorisez les cookies, vous pouvez indiquersi les cookies du site actuellement ouvert, ceux des sites

Accepter les cookies

visités auparavant ou ceux de tous les sites sontacceptés.

L’utilisateur peut changer l’utilisation des donnéescellulaires par app.

Autoriser la modification de l’utilisationdes données cellulaires par app

123



Vous pouvez indiquer soit Apps autorisées soit Appsinterdites. Sélectionnez l’option désirée dans la première


liste et sélectionnez le groupe d’apps contenant les appsqui doivent être autorisées ou interdites dans la secondeliste. Retrouvez plus de renseignements sur la créationdes groupes d’apps à la section Groupes d’apps à la page196.

iCloud


Les utilisateurs peuvent sauvegarder leurs appareils dansiCloud.

Autoriser la sauvegarde

Les utilisateurs peuvent conserver leurs documents dansiCloud.

Autoriser la synchronisation desdocuments

si cette case est dessélectionnée, l’utilisateur ne peut pasactiver le Flux de photos.

Remarque : si vous limitez le Flux de photos, les photosse trouvant dans le Flux de photos seront également

Autoriser Flux de photos

supprimées des appareils. S’il n’existe aucune autre copiede ces photos, elles seront perdues.

L’utilisateur peut utiliser la bibliothèque de photos iCloud.Autoriser la bibliothèque de photosiCloud

Les utilisateurs peuvent inviter d’autres utilisateurs àconsulter les flux de photos ainsi que les flux de photospartagés par d’autres utilisateurs.

Autoriser les flux de photos partagés

La fonction Trousseau de clés d’iCloud pour lasynchronisation des mots de passe sur différentsappareils iOS et macOS est disponible.

Autoriser la synchronisation dutrousseau iCloud

124


Sécurité et confidentialité


Si cette case est dessélectionnée, les informations dediagnostic iOS ne seront pas transmises à Apple.

Autoriser l’envoi des données dediagnostic à Apple

Si cette case est dessélectionnée, il ne sera pas demandéà l’utilisateur s’il veut accepter des certificats ne pouvantpas être vérifiés.

Ce paramètre s’applique à Safari et aux comptes decontacts de messagerie et de Calendrier.

Autoriser l’utilisateur à accepter descertificats TLS non approuvés

Les apps d’entreprise sont acceptées.Accepter les apps d’entreprise

L’utilisateur peut ajouter, changer ou supprimer le mot depasse de l’appareil.

Autoriser la modification du mot depasse

Si cette case est dessélectionnée, l’utilisateur ne peutpas modifier les comptes. Le menu Comptes n’est plusdisponible.

Autoriser la modification du compte

Si cette case est dessélectionnée, l’appareil ne peut pasêtre déverrouillé par Touch ID.

Autoriser le capteur Touch ID àdéverrouiller l’appareil

L’utilisation des apps de données d’utilisateurs anonymesne sont plus disponibles pour effectuer le suivi publicitaire.

Forcer le suivi publicitaire limité

Les utilisateurs doivent chiffrer les sauvegardes dansiTunes.

Forcer les copies de sauvegardechiffrées

Les appareils peuvent uniquement se connecter auxréseaux Wi-Fi qui ont été configurés par un profil SophosMobile.

Forcer la connexion aux réseaux Wi-Ficonfigurés

Classement du contenu


Si cette case est dessélectionnée, la musique et lesvidéos à contenu explicites seront masquées dans la

Autoriser la musique et les podcastsexplicites

boutique iTunes. Le contenu explicite est identifié par lesfournisseurs de contenu, comme par exemple, lesmaisons de disques, lorsqu’il est répertorié sur la boutiqueiTunes.

125


13.17.3 Configuration de l’itinérance/Borne Wi-Fi (profil d’appareil iOS)La configuration Itinérance/Borne Wi-Fi vous permet de définir les paramètres d’itinéranceet des bornes Wi-Fi.

Remarque : l’utilisateur peut modifier ces paramètres sur son appareil à tout moment.


La Voix à l’étranger n’est plus disponible.Activer Voix à l’étranger

Les Données à l’étranger ne sont plus disponibles.Activer Données à l’étranger

L’utilisateur peut configurer l’appareil afin del’utiliser en tant que point d’accès personnel.

Activer Partage de connexion

13.17.4 Configuration d’Exchange ActiveSync (profil d’appareil iOS)La configuration d’Exchange ActiveSync vous permet de définir les paramètres de l’utilisateurpour votre serveur Microsoft Exchange.









Utilisateur






Mot de passe

126








SSL

L’utilisateur peut transférer ses emails de ce comptevers un autre compte. Ceci permet également

Autoriser les déplacements

d’empêcher l’utilisation d’un autre compte pourrépondre ou transférer un message à partir de cecompte.

Le compte est inclus dans la synchronisation desadresses récemment utilisées avec d’autresappareils à l’aide d’iCloud.

Autoriser la synchronisation d’adressesrécentes

Le compte peut uniquement être utilisé pour envoyerdes messages à partir de l’app de messagerie. Il ne

Utiliser uniquement dans les messages

peut pas être sélectionné comme compte pourenvoyer des messages créés par d’autres appscomme par exemple Photos ou Safari.

Sélectionnez le certificat d’identité pour la connexionà ActiveSync.

La liste contient tous les certificats présents dans laconfiguration du Certificat du client du profil actuel.

Certificat d’identité

Compatible avec la norme de chiffrement S/MIME.Activer S/MIME

Les certificats utilisés pour la signature et lechiffrement des emails.

Pour sélectionner un certificat, vous devez d’abordle télécharger à partir de l’option de configurationCertificat du client du profil.

Certificat de signature

Certificat de chiffrement

L’utilisateur peut choisir de chiffrer ou non les emailsqu’il envoie.

Autoriser l’utilisateur à envoyer des emailschiffrés

13.17.5 Configuration Wi-Fi (profil d’appareil iOS)La configuration Wi-Fi vous permet d’indiquer les paramètres de connexion aux réseauxWi-Fi.

127




Connecter automatiquement au réseau cible.Connexion automatique

Le réseau cible n’est pas ouvert ou visible.Réseau masqué


Aucun

WEP (personnel)

WPA/WPA2 (personnel)

Tous (personnel)

WEP (entreprise)

WPA/WPA2 (entreprise)

Tous (entreprise)

Si vous sélectionnez un type de sécurité Personnel, unchamp Mot de passe apparaît. Saisissez le mot depasse adéquat.

Si vous sélectionnez un type de sécurité Entreprise,les onglets Protocoles, Authentification et Fiabilitéapparaissent.

Dans l’onglet Protocoles, configurez les paramètressuivants :

Sous Types d’EAP acceptés, indiquez lesméthodes EAP à utiliser pour l’authentification.Selon les types sélectionnés sur cet onglet, lesvaleurs du champ Identité interne dans cet ongletpeuvent être sélectionnées.

Sous EAP-FAST, configurez les paramètres decodes d’accès protégé EAP-FAST.

Dans l’onglet Authentification, configurez lesparamètres d’authentification du client :

Dans le champ Utilisateur, saisissez le nomd’utilisateur pour la connexion au réseau Wi-Fi.

Sélectionnez Demander le mot de passe à chaqueconnexion si le mot de passe doit être demandépour chaque connexion et transféré avecl’authentification.

Dans le champ Mot de passe, saisissez le mot depasse adéquat.

Dans la liste Certificat d’identité, sélectionnez lecertificat pour la connexion au réseau Wi-Fi.

Remarque : le certificat à utiliser doit être indiquésous la configuration Certificat du client.

Dans le champ Identité externe, saisissezl’identifiant externe visible (pour TTLS, PEAP etEAP-FAST).

128



Dans l’onglet Fiabilité, configurez les paramètresd’authentification du serveur :

Sélectionnez les certificats approuvés dans la liste.

Remarque : veuillez indiquer les certificats dans uneconfiguration Certificat racine.

Dans cette liste, sélectionnez les paramètres du proxypour la connexion Wi-Fi :

Proxy

Aucun

Manuel

Automatique

Si vous sélectionnez Manuel, les champs Serveur etport, Authentification et Mot de passe apparaissent.Saisissez les informations du proxy requises. Si voussélectionnez Automatique, le champ URL du serveurproxy apparaît. Saisissez l’URL du serveur proxy.

13.17.6 Configuration VPN (profil d’appareil iOS)La configuration VPN vous permet de définir les paramètres VPN pour les connexions réseau.


Le nom de la connexion affichée sur l’appareil.Nom de connexion


Cisco AnyConnect

Cisco Legacy AnyConnect

IPsec (Cisco)

F5

Check Point

SSL personnalisé

Les différents champs d’entrée sont affichés sur lapage VPN en fonction du type de connexion quevous sélectionnez.

L’identifiant personnalisé au format DNS inverse.Identifiant (format de résolution DNS inverse)


Le compte de l’utilisateur pour l’authentification dela connexion.

Compte

129



Si votre fournisseur a précisé des propriétés deconnexion personnalisées, vous pouvez les saisirdans ce champ.

Pour saisir une propriété, cliquez sur Ajouter etsaisissez la Clé et la Valeur de la propriété dansla boîte de dialogue.

Données personnalisées

Tout le trafic est envoyé par VPN.Envoyer tout le trafic par VPN

Le groupe qui sera requis pour l’authentification dela connexion.

Groupe

Le type d’authentification de l’utilisateur pour laconnexion :

Authentification de l’utilisateur

Mot de passe

Si vous sélectionnez cette option, le champ Motde passe apparaît en dessous du champAuthentification de l’utilisateur. Saisissez lemot de passe pour l’authentification.

Certificat

Si vous sélectionnez cette option, le champCertificat apparaît en dessous du champAuthentification de l’utilisateur. Sélectionnezun certificat.

Le type d’authentification de l’appareil :Authentification de l’appareil

Clés (secret partagé)/Nom du groupe

Si vous sélectionnez cette option, les champsNom du groupe, Clés (secret partagé),Utiliser une authentification hybride etDemander le mot de passe sont affichés endessous du champ Authentification del’appareil. Saisissez les informationsd’authentification requises dans les champsNom du groupe et Clés (secret partagé).Sélectionnez Utiliser une authentificationhybride et Demander le mot de passe sinécessaire.

Certificat

Si vous sélectionnez cette option, les champsCertificat et Inclure le code PIN del’utilisateur sont affichés en dessous du champAuthentification de l’appareil. Sélectionnezle certificat requis dans la liste Certificat.Sélectionnez Inclure le code PIN del’utilisateur pour inclure le code PIN del’utilisateur à l’authentification de l’appareil.

130



Les paramètres proxy pour la connexion :Proxy

Aucun

Manuel

Si vous sélectionnez l’une de ces options, leschamps Serveur et port, Authentification etMot de passe apparaissent. Dans le champServeur et port, saisissez l’adresse et le portdu serveur proxy. Dans le champAuthentification, saisissez le nom d’utilisateurpour la connexion au serveur proxy. Dans lechamp Mot de passe, saisissez le mot depasse pour la connexion au serveur proxy.

Automatique

Si vous sélectionnez cette option, le champURL du serveur proxy apparaît. Saisissezl’URL du serveur avec le paramètre du proxydans ce champ.

Le type de connexion VPN.Type de fournisseur

Proxy de l’app : le trafic réseau est envoyé parun tunnel VPN au niveau de l’application.

Tunnel de paquets : le trafic réseau est envoyépar un tunnel VPN au niveau du réseau.

13.17.7 Configuration de la Connexion VPN via l’app (profil d’appareil iOS)La configuration Connexion VPN via l’app vous permet de définir les paramètres VPN pourchaque app.

Vous pouvez configurer les apps pour qu’elles se connectent automatiquement à VPN dèsqu’elles sont lancées.Vous avez, par exemple, la possibilité de vous assurer que les donnéestransmises par les apps administrées transitent par le biais du VPN.

Après avoir créé des configurations VPN via l’app, vous pouvez sélectionner une configurationsur la page Modification du package d’une app. Retrouvez plus de renseignements à lasection Configuration de la connexion VPN via l’app et des paramètres pour les apps iOS àla page 194.


Le nom de la connexion affichée sur l’appareil.Nom de connexion


Cisco AnyConnect

Cisco Legacy AnyConnect

131



F5

Check Point

SSL personnalisé

Les différents champs d’entrée sont affichés surla page VPN en fonction du type de connexion quevous sélectionnez.

L’identifiant personnalisé au format DNS inverse.Identifiant (format de résolution DNS inverse)


Le compte de l’utilisateur pour l’authentification dela connexion.

Compte

Si votre fournisseur a précisé des propriétés deconnexion personnalisées, vous pouvez les saisirdans ce champ.

Pour saisir une propriété, cliquez sur Ajouter etsaisissez la Clé et la Valeur de la propriété dansla boîte de dialogue.

Données personnalisées

Tout le trafic est envoyé par VPN.Envoyer tout le trafic par VPN

Le groupe qui sera requis pour l’authentificationde la connexion.

Groupe

Le type d’authentification de l’utilisateur pour laconnexion :

Authentification de l’utilisateur

Mot de passe

Si vous sélectionnez cette option, le champMot de passe apparaît en dessous du champAuthentification de l’utilisateur. Saisissez lemot de passe pour l’authentification.

Certificat

Si vous sélectionnez cette option, le champCertificat apparaît en dessous du champAuthentification de l’utilisateur. Sélectionnezun certificat.

Le type d’authentification de l’appareil :Authentification de l’appareil

Clés (secret partagé)/Nom du groupe

Si vous sélectionnez cette option, les champsNom du groupe, Clés (secret partagé),Utiliser une authentification hybride etDemander le mot de passe sont affichés endessous du champ Authentification del’appareil. Saisissez les informations

132



d’authentification requises dans les champsNom du groupe et Clés (secret partagé).Sélectionnez Utiliser une authentificationhybride et Demander le mot de passe sinécessaire.

Certificat

Si vous sélectionnez cette option, les champsCertificat et Inclure le code PIN del’utilisateur sont affichés en dessous duchamp Authentification de l’appareil.Sélectionnez le certificat requis dans la listeCertificat. Sélectionnez Inclure le code PINde l’utilisateur pour inclure le code PIN del’utilisateur à l’authentification de l’appareil.

Les paramètres proxy pour la connexion :Proxy

Aucun

Manuel


Automatique


Le type de connexion VPN.Type de fournisseur

Proxy de l’app : le trafic réseau est envoyépar un tunnel VPN au niveau de l’application.

Tunnel de paquets : le trafic réseau estenvoyé par un tunnel VPN au niveau duréseau.

Dans ce champ, vous pouvez saisir une liste dechaînes de domaine. Utilisez une nouvelle lignepour chaque chaîne de domaine.

Lorsqu’un domaine correspondant à l’une deschaînes de domaine est ouvert dans Safari ou dans

Domaines Safari

une autre navigateur, la connexion à VPN estdéclenchée.

133



La règle correspondant au comportement est lasuivante :

Les points au début ou à la fin de la chaînesont ignorés. Par exemple, la chaîne.exemple.com correspond aux mêmesdomaines que la chaîne exemple.com.

Chaque composant de chaîne doitcorrespondre à un composant de domaine toutentier. Par exemple, la chaîne exemple.comcorrespond au domaine www.exemple.commais pas à www.monexemple.com.

Les chaînes avec un seul composantcorrespondent uniquement à ce domainespécifique. Par exemple, la chaîne exemplecorrespond au domaine exemple mais pas àwww.exemple.com.

13.17.8 Configuration de l’Authentification unique (profil d’appareil iOS)La configuration Authentification unique vous permet de définir les paramètres d’une appà authentification unique ou d’une app tierce.


Un nom clair pour le compte.Nom

Le nom Kerberos principal.

Si vous ne saisissez aucune valeur, l’utilisateurdevra saisir le nom pendant l’installation du profil.

Nom Kerberos principal

Le nom du royaume Kerberos.

Veuillez saisir le nom en lettres majuscules.

Royaume

13.17.9 Configuration du Mode app unique (profil d’appareil iOS)La configuration Mode app unique vous permet de définir les paramètres du processus deverrouillage des appareils dans une seule app afin d’empêcher l’utilisation d’autres apps.

134



Sélectionnez la manière dont l’app doit être spécifiée pourle mode app unique :

Sélectionner la source

Liste des apps : Sélectionnez l’app dans la liste desapps iOS disponibles.

Personnalisée : saisissez manuellement l’identifiantdu package de l’app.

L’app du mode app unique.

Sélectionnez une app dans la liste ou saisissez unidentifiant du package.

Identifiant d’app

Les entrées tactiles ne sont plus disponibles.Désactiver l’écran tactile

La rotation de l’écran n’est plus possible.Désactiver la rotation

Les boutons de volume ne sont plus disponibles.Désactiver les boutons de volume

Le commutateur de la sonnerie n’est plus disponible.Désactiver le commutateur de lasonnerie

Le bouton de mise en veille n’est plus disponible.Désactiver le bouton Marche/Veille

La fonction Verrouillage automatique qui met l’appareil enveille après une période d’activité est désactivée.

Désactiver le verrouillage automatique

VoiceOver est disponible.Activer VoiceOver

La fonction Zoom est disponible.Activer Zoom

La fonction Inverser les couleurs est disponible.Activer Inverser les couleurs

AssistiveTouch est disponible.Activer AssistiveTouch

La fonction Énoncer la sélection est disponible.Activer Énoncer la sélection

La fonction Audio mono est disponible.Activer Audio mono

Les réglages de VoiceOver sont disponibles.VoiceOver

Le réglage du zoom est disponible.Zoom

Le réglage des couleurs est disponible.Inverser les couleurs

Le réglage d’AssistiveTouch est disponible.AssistiveTouch

135


13.17.10 Configuration du Web clip (profil d’appareil iOS)La configuration Web clip vous permet de définir les Web clips à ajouter à l’écran d’accueildes appareils des utilisateurs. Les Web clips offrent un accès rapide aux pages Web favorites.Vous pouvez également ajouter un Web clip avec, par exemple, le numéro de téléphone dusupport afin de fournir un moyen rapide d’appeler le service d’assistance.


Une description du Web clip.Description

L’adresse Web du serveur du Web clip.URL

Si cette case est dessélectionnée, l’utilisateur nepeut pas supprimer le Web clip. Le seul moyen de

Peut être supprimé

le supprimer de l’appareil sera de supprimer leprofil par le biais duquel il a été installé.

Le Web clip s’ouvre en plein écran sur l’appareil.Un Web clip affiché en plein écran ouvre l’URL entant qu’app Web.

Plein écran

Sélectionnez une image à utiliser comme icône duWeb Clip sur l’écran d’accueil. L’image doit être

Icône

au format PNG, GIF ou JPEG et d’une taillemaximale de 1 Mo.

L’image est coupée à la taille d’un carré etredimensionnée pour correspondre à la résolutionde l’écran. Pour des résultats optimaux, nous vousconseillons d’utiliser une taille d’image de 180 pxpar 180 px.

Remarque : lorsqu’une favicon est définie dansle code HTML d’une page Web, l’appareil peutafficher cette favicon en tant qu’icône Web Clip.Ceci se produit uniquement sur certaine pagesWeb selon la manière dont la favicon a étéconfigurée dans le code de la page Web.

13.17.11 Configuration du fond d’écran (profil d’appareil iOS)La configuration Fond d’écran vous permet de définir les images du fond d’écran de l’écrande verrouillage et/ou de l’écran d’accueil des appareils iOS.


Sélectionnez si l’image sera utilisée pour l’écran de verrouillage,pour l’écran d’accueil ou pour les deux.

Applicable à

136



Sélectionner une image PNG ou JPEG d’une taille maximale de5 Mo pour le fond d’écran.

iOS rogne et redimensionne l’image si nécessaire. Pour des résultatsoptimaux, veuillez utiliser les tailles d’image suivantes (en pixels) :

Image

640 × 1136 (iPhone 5)

750 × 1334 (iPhone 6/7)

1242 × 2208 (iPhone 6/7 Plus)

1536 × 2048 (iPad, iPad mini, iPad Air)

2048 × 2732 (iPad Pro)

Remarque : l’utilisateur peut changer le fond d’écran.

13.17.12 Configuration du nom du point d’accès (profil d’appareil iOS)La configuration Nom du point d’accès vous permet d’indiquer le nom du point d’accès(APN) pour les appareils iOS. Les configurations APN définissent la manière dont les appareilsse connectent au réseau mobile.

Remarque : la configuration Nom du point d’accès est abandonnée en faveur de laconfiguration Cellulaire. Retrouvez plus de renseignements à la section Configuration Cellulaire(profil d’appareil iOS) à la page 141.

Important : si ces paramètres sont incorrects, l’appareil ne pourra pas accéder aux donnéespar le biais du réseau de téléphonie mobile. Pour annuler les changements de paramètres,le profil doit être supprimé de l’appareil.


Le Nom du point d’accès que l’appareil mentionnelorsqu’il établit une connexion GPRS avecl’opérateur.


APN

Le nom d’utilisateur pour le point d’accès.

Remarque : le système iOS prend en charge lesnoms d’utilisateur APN composés d’un maximumde 64 caractères.

Nom d’utilisateur pour le point d’accès

Le mot de passe du point d’accès.

Remarque : le système iOS prend en charge lesmots de passe APN composés d’un maximum de64 caractères.

Mot de passe pour le point d’accès

L’adresse et le port du serveur proxy.Serveur proxy et port

137


13.17.13 Configuration du Filtre de contenu Web (profil d’appareil iOS)La configuration Filtre de contenu Web vous permet de définir les URL bloquées et autoriséesà l’aide de favoris.


Lorsque vous sélectionnez cette option, vouspouvez définir une liste des URL interdites d’accèssur les appareils.

Cliquez sur Suivant pour afficher la page Filtrede contenu Web. Cette page vous permetd’ajouter des URL individuelles.

URL bloquées

Utilisez une nouvelle ligne pour chaque URL.

Lorsque vous sélectionnez cette option, vouspouvez définir une liste d’URL autorisées avec

URL autorisées avec favoris

des favoris qui seront ajoutés au navigateur Safarisur les appareils. Tous les autres sites sontbloqués.

Cliquez sur Suivant pour afficher la page Filtrede contenu Web. Cliquez sur Ajouter pourajouter des URL individuelles en tant que signets.

Sur la page Filtre de contenu Web, utilisez cetteoption pour activer le filtre Apple et bloquer le

Bloquer le contenu pour adulte

contenu pour adultes. Par exemple, les pagesWeb contenant du langage vulgaire ou des propossexuels.

13.17.14 Configuration du Proxy HTTP global (profil d’appareil iOS)La configuration du Proxy HTTP global vous permet de définir un serveur proxy professionnel.


Sélectionnez les paramètres proxy pour laconnexion :

Proxy HTTP global

Manuel


138



Automatique


13.17.15 Configuration du Certificat racine (profil d’appareil iOS)La configuration Certificat racine vous permet d’installer un certificat racine sur les appareils.



13.17.16 Configuration du certificat du client (profil d’appareil iOS)La configuration Certificat du client vous permet d’installer un certificat du client sur lesappareils.



13.17.17 Configuration SCEP (profil d’appareil iOS)La configuration SCEP permet d’autoriser les appareils à demander des certificats à uneAutorité de certification à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol).




URL

Un nom intelligible pour l’Autorité de certification.Par exemple, le nom peut servir à faire la distinctionentre deux instances.

Nom du serveur CA

139




Vous pouvez utiliser des espaces réservés pour lesdonnées de l’utilisateur ou les propriétés del’appareil.

Objet

La valeur que vous saisissez (remplacement desespaces réservés par des données) doit être un nomX.500 valable.

Par exemple :

Saisissez CN=%_USERNAME_% pour indiquer unutilisateur.

Saisissez CN=%_DEVPROP(numéro_série)_%pour indiquer un appareil.


Cette option vous permet de configurer un autre nomde l’objet. Sélectionnez l’un des types d’autre nomde l’objet disponibles.





L’adresse Web permettant de récupérer un mot depasse de challenge à partir du serveur SCEP.

Utilisez la variable %_CACHALLENGE_% pour indiquerl’URL de challenge configurée sur l’onglet SCEP dela page Configuration du système.

Challenge

Le nombre de nouvelles tentatives si le serveurenvoie une réponse en attente.

Nouvelles tentatives

Le nombre de secondes écoulées entre lesnouvelles tentatives.

Délai avant la nouvelle tentative


Assurez-vous que la valeur indiquée correspond àla taille configurée sur le serveur SCEP.

Taille de la clé

Si vous sélectionnez cette case, la clé publique peutêtre utilisée en tant que signature numérique.


Si vous sélectionnez cette case, la clé publique peutêtre utilisée pour le chiffrement de fichiers.


140


13.17.18 Configuration des Domaines administrés (profil d’appareil iOS)La configuration des Domaines administrés vous permet de définir les domaines administréspour les appareils iOS.

Lorsque les domaines sont administrés, les fichiers téléchargés à partir de sites Webspécifiques dans Safari peuvent uniquement être ouverts par des apps administrées. Retrouvezplus de renseignements sur les apps administrées à la section Apps administrées pour iOSà la page 189.

Remarque : si une entrée de domaine Web administré contient un numéro de port, seulesles adresses indiquant ce numéro de port seront considérées comme administrées. Autrement,seuls les ports standard seront considérés administrés (port 80 pour http et 443 pour https).

13.17.19 Configuration Cellulaire (profil d’appareil iOS)La configuration Cellulaire vous permet de définir les paramètres du réseau cellulaire pourles appareils iOS.

Remarque : une configuration Cellulaire ne peut pas être installée sur un appareil si laconfiguration Nom du point d’accès est déjà installée.


PAP

CHAP

Authentification

Le Nom du point d’accès que l’appareil mentionnelorsqu’il établit une connexion GPRS avecl’opérateur.


APN

Le nom d’utilisateur pour le point d’accès.

Remarque : le système iOS prend en charge lesnoms d’utilisateur APN composés d’un maximumde 64 caractères.

Nom d’utilisateur pour le point d’accès

Le mot de passe du point d’accès.

Remarque : le système iOS prend en charge lesmots de passe APN composés d’un maximum de64 caractères.

Mot de passe pour le point d’accès

L’adresse et le port du serveur proxy.Serveur proxy et port

141


13.17.20 Configuration de CalDAV (profil d’appareil iOS)La configuration de CalDAV vous permet de configurer la synchronisation des données del’agenda avec un serveur CalDAV. Par exemple, il peut servir à synchroniser l’Agenda Googleavec un appareil iOS.


Le nom d’affichage du compte CalDAV sur l’appareil.Nom du compte

Le nom d’hôte ou l’adresse IP et, en option, le numéro duport du serveur CalDAV.

Par exemple, pour l’Agenda Google, saisissez :

Hôte et port du compte

calendar.google.com:443

Si requis par le serveur CalDAV, saisissez l’URL principaledes ressources de l’agenda.

Par exemple, pour synchroniser un autre agenda quel’agenda principal d’un compte Google, saisissez :

URL principale

https://apidata.googleusercontent.com/caldav/

v2/calendar_id/user

où calendar_id correspond à l’identifiant de l’agenda aveclequel vous voulez vous synchroniser. Dans l’application Webde Google Agenda, l’identifiant de l’agenda est affiché dansles paramètres de l’agenda. Retrouvez plus derenseignements dans l’Aide de Google Agenda.

Les codes d’accès au compte CalDAV.

Par exemple, pour Google Agenda, saisissez les codesd’accès du compte Google.

Nom d’utilisateur, Mot de passe

13.17.21 Configuration de CardDAV (profil d’appareil iOS)La configuration de CardDAV vous permet de configurer la synchronisation des données decontacts avec un serveur CardDAV. Par exemple, il peut servir à synchroniser Google Contactsavec un appareil iOS.


Le nom d’affichage du compte CardDAV sur l’appareil.Nom du compte

Le nom d’hôte ou l’adresse IP et, en option, le numéro duport du serveur CardDAV.

Par exemple, pour Google Contacts, saisissez :

Hôte et port du compte

google.com

142



Si requis par le serveur CardDAV, saisissez l’URL principaledes ressources de contacts.

Par exemple, l’API CardDAV de Google prend en chargel’URL principale suivante :

URL principale

https://www.googleapis.com/carddav/ v1/principals/[email protected]

où account_name correspond au nom du compte Google.

Les codes d’accès au compte CardDAV.

Par exemple, pour Google Contacts, saisissez les codesd’accès du compte Google.

Nom d’utilisateur, Mot de passe

13.17.22 Configuration IMAP/POP (profil d’appareil iOS)La configuration IMAP/POP vous permet d’ajouter un compte de messagerie IMAP ou POPà l’appareil iOS.


Le nom d’affichage du compte de messagerie sur l’appareil.Nom du compte

Le type de serveur de messagerie pour la messagerieentrante (soit IMAP soit POP).

Type de compte

Le nom d’affichage de l’utilisateur pour la messageriesortante.

Utilisez la variable %_USERNAME_% pour indiquer le nom del’utilisateur assigné à l’appareil.

Nom d’utilisateur affiché


Utilisez la variable %_EMAILADDRESS_% pour indiquerl’adresse électronique de l’utilisateur assigné à l’appareil.


L’utilisateur peut transférer ses emails de ce compte vers unautre compte. Ceci permet également d’empêcher l’utilisation

Autoriser les déplacements

d’un autre compte pour répondre ou transférer un messageà partir de ce compte.

Le compte est inclus à la synchronisation pour la liste desadresses les plus récentes.

Autoriser la synchronisationd’adresses récentes

Le compte peut uniquement être utilisé pour envoyer desmessages à partir de l’app de messagerie. Il ne peut pas être

Utiliser uniquement dans lesmessages

sélectionné comme compte pour envoyer des messagescréés par d’autres apps comme par exemple Photos ouSafari.

143



Autoriser Apple Mail Drop pour ce compte.Autoriser Mail Drop

Compatible avec la norme de chiffrement S/MIME.Activer S/MIME

Les certificats utilisés pour la signature et le chiffrement desemails.

Pour sélectionner un certificat, vous devez d’abord letélécharger à partir de l’option de configuration Certificat duclient du profil.

Certificat de signature

Certificat de chiffrement

L’utilisateur peut choisir de chiffrer ou non les emails qu’ilenvoie.

Autoriser l’utilisateur à envoyer desemails chiffrés

Messagerie entrante

Le nom d’hôte ou l’adresse IP et le numéro du port du serveurde messagerie entrante (serveur entrant).

Serveur et port de messagerie

Le nom d’utilisateur pour la connexion au serveur entrant.Nom d’utilisateur

La méthode d’authentification pour la connexion au serveurentrant.


Le mot de passe pour la connexion au serveur entrant (sinécessaire).

Mot de passe

Utiliser SSL (Secure Sockets Layer ) pour le transfert de lamessagerie entrante.

SSL

Messagerie sortante

Le nom d’hôte ou l’adresse IP et le numéro du port du serveurde messagerie sortante (serveur entrant).

Serveur et port de messagerie

Le nom d’utilisateur pour la connexion au serveur sortant.Nom d’utilisateur

La méthode d’authentification pour la connexion au serveursortant.


Le mot de passe pour la connexion au serveur sortant (sinécessaire).

Mot de passe

Utiliser le mot de passe indiqué pour la messagerie entrante.Utiliser le même mot de passe que lamessagerie entrante

Utiliser SSL (Secure Sockets Layer ) pour le transfert de lamessagerie sortante.

SSL

144


13.17.23 Configuration des Règles d’utilisation du réseau (profil d’appareiliOS)La configuration des Règles d’utilisation du réseau vous permet d’indiquer la manière dontles apps administrées vont être autorisées à utiliser les réseaux de données cellulaires.

Règles générales

Sous Règles pour toutes les apps administrées, indiquez les paramètres pour les appsadministrées.


Les apps administrées sont autorisés à utiliser lacommunication de données sur les réseaux cellulaires.

Autoriser les données cellulaires

Les apps administrées sont autorisées à utiliser lacommunication de données pendant que l’appareil est enmode itinérance sur un réseau cellulaire à l’étranger.

Autoriser les données à l’étranger

Exceptions

Les exceptions remplacent les règles générales. Utilisez Ajouter une exception pour définirles règles spécifiques à un groupe d’apps.


Sélectionnez un groupe d’apps contenant les appsadministrées auxquelles s’applique l’exception.

Groupe d’apps

Les apps administrées du groupe d’apps sélectionné sontautorisées à utiliser la communication de données sur lesréseaux cellulaires.

Autoriser les données cellulaires

Les apps administrées du groupe d’apps sélectionné sontautorisées à utiliser la communication de données pendant

Autoriser les données à l’étranger

que l’appareil est en mode itinérance sur un réseau cellulaireà l’étranger.

Remarque : vous ne pouvez pas définir plusieurs exceptions pour le même groupe d’apps.

145


13.18 Configuration des stratégies de conteneur Sophospour iOSUne stratégie de conteneur Sophos vous permet de configurer les paramètres associés auxapps du conteneur Sophos : Sophos Secure Email et Sophos Secure Workspace.

Retrouvez plus de renseignements sur la création d’une stratégie de conteneur à la sectionCréation du profil ou de la stratégie à la page 63.

13.18.1 Configuration Généralités (stratégie de conteneur Sophos pour iOS)La configuration Généralités vous permet de définir les paramètres qui s’appliquent à toutesles apps du conteneur Sophos si applicable.


Les utilisateurs doivent saisir un mot de passesupplémentaire pour pouvoir démarrer une app du

Activer le mot de passe du conteneur Sophos

conteneur Sophos. Le mot de passe doit être définilorsque la première app du conteneur est démarréesuite à l’application de la configuration. Ce mot depasse s’applique à toutes les apps du conteneur.

La complexité minimale requise pour le mot depasse du conteneur Sophos. Les mots de passe


très sécurisés sont toujours autorisés. Les motsde passe (une combinaison de caractèresnumériques et alphanumériques) sont toujoursconsidérés comme étant plus sûrs que les codesPIN (caractères numériques uniquement.

Toutes : les mots de passe du conteneurSophos n’ont pas de restrictions.







Les caractères utilisés dans les champs de saisiedu mot de passe ne sont pas affichéstemporairement lors de la saisie.

Toujours masquer les caractères dans leschamps de saisie du mot de passe

Le nombre de jours pendant lesquels un mot depasse peut être utilisé avant que les utilisateursne soient invités à le changer.

Durée de validité du mot de passe en jours

Le nombre de tentatives ratées de connexionautorisées avant verrouillage des apps du

Tentatives ratées de connexion avantverrouillage

conteneur. Une fois qu’elles sont verrouillées, un

146



administrateur devra les déverrouiller ou, s’ils sontautorisés, les utilisateurs pourront utiliser le portaillibre-service Sophos Central pour effectuer cetteopération.

L’utilisateur peut utiliser son empreinte digitale pourdéverrouiller l’app.

Autoriser l’empreinte digitale

La période de temps pendant laquelle aucun motde passe du conteneur Sophos ne doit être saisi


lorsque l’app du conteneur est de nouveau amenéeau premier plan.

Ce délai de grâce s’applique à toutes les apps duconteneur. Vous pouvez passer d’une app à uneautre pendant le délai de grâce sans avoir à saisirde mot de passe.

Lorsque l’appareil est verrouillé, le conteneurSophos est également verrouillé.

Si la case est dessélectionnée, le conteneur estverrouillé uniquement après expiration du délai degrâce.

Verrouiller au verrouillage de l’appareil

La période de temps pendant laquelle lesutilisateurs peuvent utiliser une app du conteneur

Dernière connexion au serveur

Sophos sans avoir à se connecter au serveurSophos Mobile.

Lorsque une app du conteneur Sophos est activéeet n’est pas en contact avec le serveur pendant lapériode de temps définie, un écran de verrouillageapparaît. Les utilisateurs peuvent uniquementdéverrouiller l’app en appuyant sur Réessayer surl’écran de verrouillage. L’app essaiera de seconnecter au serveur. Si la connexion peut êtreétablie, l’app est déverrouillée. En cas contraire,l’accès est refusé.

Sur accès : la connexion au serveur esttoujours requise et l’app est verrouillée lorsquele serveur n’est pas joignable.

1 heure : la connexion au serveur est requiselorsque l’app est active pendant au moins uneheure après la dernière connexion réussie auserveur.

3 heures

6 heures

12 heures

1 jour

3 jours

1 semaine

Aucune : un contact régulier n’est requis.

147



ce champ vous permet de définir la fréquence àlaquelle les utilisateurs peuvent démarrer l’une des

Accès hors ligne sans connexion au serveur

apps du conteneur Sophos sans nécessiter deconnexion au serveur.

Remarque : ce paramètre nécessite l’activationde la fonction de mot de passe du conteneurSophos.

Un compteur est mis à jour à chaque fois qu’unutilisateur saisit le mot de passe du conteneurSophos. Si le compteur dépasse le nombre fixé,le même écran de verrouillage que celui utilisépour le paramètre Dernière connexion au serveurapparaît. Le compteur est réinitialisé si uneconnexion au serveur Sophos Mobile est établie.

Illimité : aucune connexion au serveur n’estrequise.

0 : une connexion au serveur est requise pourdémarrer l’app.

1 : après un démarrage de l’app, la connexionau serveur est nécessaire.

3

5

10

20

L’exécution des apps de conteneur est autoriséesur les appareils débridés.

Débridage (jailbreak) autorisé

Contraintes d’utilisation des apps

Vous permet de définir les contraintes d’utilisation des apps du conteneur Sophos. Cliquez sur Ajouterpour saisir les contraintes.

Vous permet d’ajouter la latitude et la longitudeainsi qu’un rayon d’utilisation des apps duconteneur Sophos.

Géorepérage

Vous permet d’indiquer une période de temps àlaquelle les apps du conteneur Sophos peuvent

Limite de temps

être utilisées en précisant une heure de début etune heure de fin. Il est également possibled’indiquer les jours de la semaine auxquels lesapps peuvent être utilisées.

Vous permet d’indiquer les réseaux Wi-Fi auxquelsl’appareil doit être connecté afin d’utiliser les appsdu conteneur Sophos.

L’appareil doit être connecté à l’un des réseauxfigurant dans la liste. Cependant, l’affichage d’un

Périmètre de connexion Wi-Fi

148



réseau particulier dans la liste des réseauxdisponibles ne suffit pas.

Important : nous vous déconseillons d’utiliseruniquement le périmètre de connexion Wi-Fi pourassurer votre sécurité. En effet, les identités Wi-Fipeuvent très facilement être usurpées.

13.18.2 Configuration de la Messagerie professionnelle (stratégie deconteneur Sophos pour iOS)La configuration de la Messagerie professionnelle vous permet de définir les paramètresde l’utilisateur pour votre serveur Microsoft Exchange. Ces paramètres sont appliqués à l’appSophos Secure Email si elle est installée dans le conteneur Sophos.







Utilisateur


Si vous saisissez la variable %_EMAILADDRESS_%,le serveur la remplace par l’adresse électroniqueen cours.



L’adresse électronique qui sera utilisée pourcontacter le support.

Email du support

Le contenu des champs d’entrée est sécurisé. Leremplissage et la correction automatiques sont

Utiliser les champs de texte sécurisés

désactivés dans l’app Sophos Secure Email pourempêcher la mémorisation de tous mots àcaractère confidentiel sur l’appareil.

les utilisateurs sont autorisés à exporter lesnuméros de téléphone de leurs contacts Exchange

Exporter les contacts sur l’appareil

dans les contacts locaux de l’appareil afin depouvoir identifier les appels de leurs contactsprofessionnels.

149



Sophos Secure Email synchronise en permanenceles coordonnées.

Remarque : les coordonnées des contacts locauxsont automatiquement supprimées dans les casde figure suivants :

La configuration de la Messagerieprofessionnelle est supprimée de la stratégiede conteneur Sophos (nécessite leredémarrage de l’app Sophos Secure Email).

Le conteneur Sophos est supprimé del’appareil.

L’appareil est désinscrit de Sophos Mobile.

Sélectionnez les informations à afficher dans lesnotifications par email.

Ce paramètre affecte également les rappelsd’événements. Si vous sélectionnez Aucune

Détails de la notification

notification, les rappels d’événements incluentuniquement la date. Si vous sélectionnez touteautre valeur, les rappels d’événements incluent ladate, le lieu et le titre.

Les utilisateurs ne peuvent pas copier ou couperle texte à partir de l’app Sophos Secure Email.

Refuser la copie dans le presse-papiers

Sélectionnez si les pièces jointes pourront êtreouvertes dans toutes les apps ou uniquement dans

Ouvrir les pièces jointes

les apps de conteneur Sophos Secure Workspaceet Sophos Secure Email.

Les messages de taille supérieure à celle que voussélectionnez (notamment les pièces jointes) nesont pas récupérés à partir du serveur Exchange.

Taille maximale autorisée pour l’email

Cliquez sur Paramètres avancés pour configurerles paramètres qu’une future version de l’appSophos Secure Email pourrait utiliser.

Important : veuillez uniquement configurer cesparamètres si l’équipe du support Sophos vous ledemande.

Paramètres avancés

13.18.3 Configuration des Documents professionnels (stratégie de conteneurSophos pour iOS)

Configurer les fournisseurs de stockage

Chaque fournisseur de stockage vous permet de définir séparément les paramètres suivants :

150



Le fournisseur de stockage est disponible dansl’app.

Activer

Les utilisateurs sont autorisés à ajouter des fichiersprovenant du fournisseur de stockage à la liste desFavoris de l’app pour une utilisation hors ligne.

Hors ligne

Les utilisateurs peuvent partager les fichierschiffrés avec d’autres apps via la fonction Ouvriravec.

Ouvrir avec (chiffré)

Les utilisateurs peuvent partager les fichiersdéchiffrés avec d’autres apps via la fonction Ouvriravec.

Ouvrir avec (déchiffré)

Les utilisateurs peuvent copier des parties d’undocument et les copier dans d’autres apps.

Presse-papiers

Paramètres du fournisseur d’entreprise

Pour le fournisseur Egnyte ou WebDAV, également appelé le fournisseur d’entreprise, vouspouvez définir les paramètres du serveur et les codes d’accès de connexion de manièrecentralisée. Ceux-ci ne peuvent pas être changés par les utilisateurs.

Les paramètres de codes d’accès que vous ne définissez pas de manière centralisée peuventêtre choisis par les utilisateurs sur les écrans de codes d’accès du fournisseur dans l’app.

Par exemple, vous pouvez définir le serveur et le compte d’utilisateur à utiliser de manièrecentralisée. Il n’est pas nécessaire de remplir le champ du mot de passe. Les utilisateursdevront connaître le mot de passe lorsqu’ils se connecteront au fournisseur de stockage.


Le nom du fournisseur qui s’affiche dans l’appSophos Secure Workspace.

Nom

Dans ce champ, saisissez :Serveur

L’URL du dossier racine sur le serveurWebDAV Documents professionnels.

L’URL du dossier racine sur le serveur Egnyte.

L’URL du dossier racine sur le serveurWebDAV.

Veuillez utiliser le format suivant :https://serveur.entreprise.fr

151



Ce champ vous permet de saisir le nomd’utilisateur du serveur.

Nom d’utilisateur

Ce champ vous permet de saisir le mot de passedu compte.

Mot de passe

Ce champ vous permet de saisir le dossier detéléchargement du compte.

Dossier de téléchargement

Autres paramètres


Cette option active la fonction Documentspermettant de distribuer en toute sécurité lesdocuments d’entreprise.

Activer les documents

La complexité minimale requise pour les phrasessecrètes des clés de chiffrement. Les phrasessecrètes très sécurisées sont toujours autorisées.

Vous pouvez sélectionner les paramètres suivants :

Complexité de la phrase secrète





13.18.4 Configuration du Navigateur professionnel (stratégie de conteneurSophos pour iOS)La configuration du Navigateur professionnel vous permet de définir les paramètres de lafonction Navigateur professionnel de l’app Sophos Secure Workspace.

Le Navigateur professionnel vous permet d’accéder en toute sécurité aux pages intranet del’entreprise et à toutes les autres pages autorisées. Vous pouvez définir les domaines et lesfavoris d’un domaine.

Chaque favori appartient à un domaine bien précis. Lorsque vous ajoutez un favori, l’entréede domaine est créée automatiquement si elle n’existe pas.

152


Paramètres du domaine


Le domaine que vous souhaitez autoriser.URL

Les utilisateurs peuvent copier/coller du texte àpartir du Navigateur professionnel vers d’autresapps.

Autoriser la fonction copier/coller

Les utilisateurs peuvent télécharger des piècesjointes ou les transférer vers d’autres apps.

Autoriser Ouvrir avec

Les utilisateurs peuvent enregistrer leurs mots depasse dans le Navigateur professionnel.

Autoriser l’enregistrement du mot de passe

Paramètres de favoris


Le nom du favori.Nom

L’adresse Web du favori.URL

13.18.5 Configuration du certificat du client (stratégie de conteneur Sophospour iOS)La configuration Certificat du client vous permet d’installer un certificat du client sur lesappareils. Ce certificat sera mis à disposition des apps Sophos Secure Email et SophosSecure Workspace si elles sont installées dans le conteneur Sophos.



13.18.6 Configuration du Certificat racine (stratégie de conteneur Sophospour iOS)La configuration Certificat racine vous permet d’installer un certificat racine sur les appareils.Ce certificat sera mis à disposition des apps Sophos Secure Email et Sophos SecureWorkspace si elles sont installées dans le conteneur Sophos.

153




13.18.7 Configuration SCEP (stratégie de conteneur Sophos pour iOS)La configuration SCEP permet d’autoriser les appareils à demander des certificats à uneAutorité de certification à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol).Ces certificats sont disponibles dans l’app Sophos Secure Workspace si cette dernière estinstallée dans le conteneur Sophos.





URL



Nom d’alias




Objet


Par exemple :




154










Challenge



Certificat racine




Taille de la clé





13.19 Configuration des stratégies Windows MobileUne stratégie Windows Mobile vous permet de configurer différentes options des appareilsWindows Mobile (stratégies de mot de passe, restrictions ou paramètres Wi-Fi).

Retrouvez plus de renseignements sur la création d’une stratégie Windows Mobile à la sectionCréation du profil ou de la stratégie à la page 63.

13.19.1 Configuration des Stratégies de mot de passe (stratégie WindowsMobile)La configuration Stratégies de mot de passe vous permet de définir le format minimum dumot de passe pour les appareils.

155



Le type de mot de passe que les utilisateursdoivent définir :


Alphanumériques : le mot de passe doitcontenir à la fois des chiffres et des lettres.

Numériques : le mot de passe contientuniquement des chiffres.

Sur Windows Phone 8.1, Alphanumériques inclutles mots de passe contenant des chiffres et/ou deslettres.

Ceci définit les classes de caractères à utiliserdans un mot de passe alphanumérique.

Sur Windows 10 Mobile :

Complexité minimale des mots de passealphanumériques

1 : Non applicable (si sélectionné, 2 est utilisé)

2 : Chiffres et lettres minuscules obligatoires

3 : Chiffres, lettres minuscules et majusculesobligatoires

4 : Chiffres, lettres minuscules et majusculeset caractères spéciaux obligatoires

Sur Windows Phone 8.1, la valeur que voussélectionnez correspond au nombre de différentesclasses de caractères devant être utilisées dansun mot de passe. Les classes de caractères sont :

Chiffres

Lettres minuscules

Lettres majuscules

Caractères spéciaux

Les mots de passe peuvent être composé decaractères séquentiels ou répétés, par exempleabcde ou 1111.

Accepter les mots de passe simples



Le nombre maximal de tentatives ratées de saisiedu mot de passe de connexion qu’il est possibled’effectuer avant que l’appareil soit réinitialisé.

Saisissez une valeur entre 1 et 999 ousélectionnez 0 si vous ne voulez pas de restriction.

Nombre maximal de tentatives

Le temps (en minutes) au bout duquel l’appareildoit être verrouillé lorsqu’il n’est pas utilisé.L’utilisateur peut déverrouiller l’appareil.


Durée en minutes avant le verrouillage del’appareil

156





l’utilisateur définit un nouveau mot de passe,celui-ci n’est pas accepté s’il correspond à unancien mot de passe déjà utilisé.


Le nombre de jours après lesquels les utilisateursdoivent changer de mot de passe.



Les utilisateurs sont autorisés à définir le délai degrâce du mot de passe.

Autoriser un délai de grâce pour le mot depasse d’app

13.19.2 Configuration des Restrictions (stratégie Windows Mobile)La configuration des Restrictions vous permet de définir les restrictions pour les appareils.

Appareil


L’utilisateur ne peut plus accéder à la carte destockage. Ceci n’empêche pas les apps d’accéderà la carte de stockage.

Interdire la carte SD

Le chiffrement du stockage interne est activé.

Important : une fois que le chiffrement dustockage interne est activé, vous ne pouvez plusle désactiver par le biais d’une stratégie.

Interdire les appareils non chiffrés

Remarque : veuillez activer BitLocker surl’appareil avant d’appliquer la stratégie.

Aucune notification du centre de notifications n’estaffichée sur l’écran de verrouillage de l’appareil.

Interdire les notifications dans le centre denotifications lorsque l’écran du téléphone estverrouillé

Cette option empêche l’ajout de tous les types decompte de messagerie ainsi que des comptesExchange, Office 365 et Outlook.com.

Interdire l’ajout manuel de comptes demessagerie non Microsoft

157



Le compte Microsoft est le compte système utilisépour la synchronisation, la sauvegarde et laboutique d’apps.

Interdire la connexion de compte Microsoft

Le mode de développement de Windows estdésactivé.

Interdire le mode de développement

La boutique d’apps n’est pas accessible.Interdire la Boutique Windows

Le navigateur Microsoft Edge n’est plus disponible.Interdire le navigateur natif

Le paramètre de confidentialité Autoriser lesapplications à utiliser ma caméra est désactivé.

Interdire la caméra

La quantité de diagnostics Windows et de donnéesd’utilisation que les appareils sont autorisés àenvoyer.

Windows 10 :

Niveau de télémétrie

Complet : toutes les données nécessaires àl’identification et à l’analyse des problèmes.

Amélioré : les données sur l’utilisation et lesperformances de Windows et des apps.

Basique : une série limitée de donnéesessentielles à la compréhension dufonctionnement et de la configuration del’appareil.

Désactivé (Windows Phone 8.1uniquement) : non compatible avec lesappareils Windows 10. Si vous sélectionnezcette option, le niveau Basique est utilisé.

Remarque : les niveaux sont cumulatifs en partantdu niveau inférieur au niveau supérieur. Parexemple ; le niveau Amélioré inclut toutes lesdonnées du niveau Basique.

Info : retrouvez plus de renseignements sur lesniveaux télémétriques dans l’article de MicrosoftConfigurer la télémétrie Windows dans votreorganisation (lien externe).

Windows Phone 8.1 n’est pas compatible avec lesdifférents niveaux de télémétrie :

Complet, Amélioré, Basique : les utilisateurspeuvent activer ou désactiver la télémétrie.

Désactivé (Windows Phone 8.1uniquement) : aucune donnée télémétriquen’est envoyée.

158


https://technet.microsoft.com/fr-fr/itpro/windows/manage/configure-windows-telemetry-in-your-organization


Divers


Le bloc-notes n’est plus disponible.Interdire la fonction copier/coller

Cortana est désactivée.Interdire Cortana

L’utilisateur ne peut pas enregistrer un fichier entant que fichier Office sur l’appareil.

Interdire « Enregistrer sous » pour les fichiersOffice

Les captures d’écran sont désactivées.Interdire la capture d’écran

L’utilisateur ne peut pas partager les fichiers Office.Interdire le partage des fichiers Office

Les paramètres de l’appareil ne peuvent pas êtresynchronisés vers et à partir d’autres appareilsWindows.

Interdire « synchroniser les paramètres »

L’enregistrement vocal est désactivé.Interdire l’enregistrement vocal

Wi-Fi


Les connexions Wi-Fi sont désactivées.Interdire la connexion Wi-Fi

Le partage de connexion Internet est désactivé.Interdire le partage sur Internet

L’appareil ne se connectera pas automatiquementaux points d’accès Wi-Fi.

Interdire l’Assistant Wi-Fi (connexionautomatique aux points d’accès)

L’appareil n’enverra pas d’informations sur lesconnexions Wi-Fi.

Interdire le signalement de points d’accès

L’utilisateur ne peut pas configurer d’autresconnexions Wi-Fi que celles configurées parSophos Mobile.

Interdire la configuration manuelle

159


Connectivité


NFC (communication en champ proche) estdésactivée.

Interdire NFC

Bluetooth est désactivée.Interdire Bluetooth

La connexion USB entre l’appareil et un ordinateurpour synchroniser les fichiers ou utiliser les outils

Interdire la connexion USB

de développement à des fins de déploiement oude débogage d’apps est refusée. Ceci n’affectepas le chargement USB.

Itinérance et coûts


Les connexions de données sur les réseauxcellulaires étrangers sont désactivées.

Interdire la connexion de données en itinérance

Les connexions VPN sur les réseaux cellulairessont désactivées.

Interdire VPN sur les données cellulaires

Les connexions VPN sur les réseaux cellulairesétrangers sont désactivées.

Interdire VPN lors de l’itinérance sur lesdonnées cellulaires



Bing visuel ne conservera pas le contenu desimages capturées lors d’une recherche dans Bingvisuel.

Interdire Bing visuel pour archiver des imagesprovenant de la recherche visuelle Bing

La recherche ne peut pas utiliser les informationsde géolocalisation.

Interdire l’utilisation de la géolocalisation lorsde la recherche

L’utilisateur ne peut pas installer manuellement lescertificats racines et intermédiaires de l’autorité decertification.

Interdire l’installation manuelle de certificatsracine

160



Tous les paramètres privés de géolocalisation surl’appareil sont désactivés. Aucune app ne peut

Interdire la géolocalisation

utiliser le service de géolocalisation. Cette optionempêche également Sophos Mobile degéolocaliser l’appareil.

Le niveau de filtrage des résultats de la rechercheappliqué sur l’appareil :

Autorisation d’utilisation du Filtre adulte

Modéré : filtrage modéré du contenu pouradulte. Les résultats valides de la recherchene seront pas filtrés.

Strict : filtrage strict du contenu pour adulte.

Désinscription


L’utilisateur ne peut pas rétablir les paramètresd’usine de l’appareil via le panneau deconfiguration ou par combinaison de touches.

Interdire la réinitialisation du téléphone parl’utilisateur

L’utilisateur ne peut pas supprimer le compteprofessionnel.

Interdire la désinscription manuelle de MDM

13.19.3 Configuration d’Exchange ActiveSync (stratégie Windows Mobile)La configuration d’Exchange ActiveSync vous permet de définir les paramètres de l’utilisateurpour votre serveur Microsoft Exchange.







161





Utilisateur






Mot de passe








SSL


13.19.4 Configuration Wi-Fi (stratégie Windows Mobile)La configuration Wi-Fi vous permet d’indiquer les paramètres de connexion aux réseauxWi-Fi.


Dans ce champ, saisissez l’identifiant du réseauWi-Fi.

SSID

La connexion sera établie automatiquement.Connexion automatique


Sélectionnez le type de sécurité dans la liste. Sivous sélectionnez WPA (personnel) ou WPA2(personnel), vous devez indiquer un mot de passe.

Type de sécurité

162



Si vous sélectionnez Manuel dans la listedéroulante, vous devez indiquer un serveur et unport.

Proxy

13.19.5 Configuration des Restrictions d’apps (stratégie Windows Mobile)La configuration des Restrictions d’apps vous permet d’autoriser ou de bloquer des appsspécifiques sur les appareils.


Comprend une série d’apps individuelles que lesutilisateurs sont autorisés à installer et à utiliser

Apps autorisées

sur leur appareil. Les utilisateurs ne pourront pasinstaller ou utiliser les apps qui ne figurent pasdans cette liste.

Utilisez Apps autorisées lorsque vous savezquelle liste d’apps vous voulez autoriser et quevous voulez bloquer toutes les autres apps.

Comprend une série d’apps individuelles que lesutilisateurs ne sont pas autorisés à installer sur

Apps interdites

leur appareil. Les utilisateurs pourront installer lesapps qui ne figurent pas dans cette liste.

Utilisez Apps interdites lorsque vous savez quelleliste d’apps vous voulez bloquer et que vous voulezautoriser toutes les autres apps.

Sélectionnez le groupe d’apps qui contient la listedes apps que vous voulez autoriser ou bloquer.

Remarque : le groupe d’apps doit d’abord êtrecréé. Retrouvez plus de renseignements à lasection Groupes d’apps à la page 196.

Groupe d’apps

13.19.6 Configuration du Certificat racine (stratégie Windows Mobile)La configuration Certificat racine vous permet d’installer un certificat racine sur les appareils.



163


13.19.7 Configuration SCEP (stratégie Windows Mobile)La configuration SCEP permet d’autoriser les appareils à demander des certificats à uneAutorité de certification à l’aide du protocole SCEP (Simple Certificate Enrollment Protocol).


Une description de la configuration.Description



URL


Vous pouvez utiliser des espaces réservés pour lesdonnées de l’utilisateur ou les propriétés del’appareil.

Objet

La valeur que vous saisissez (remplacement desespaces réservés par des données) doit être un nomX.500 valable.

Par exemple :

Saisissez CN=%_USERNAME_% pour indiquer unutilisateur.

Saisissez CN=%_DEVPROP(numéro_série)_%pour indiquer un appareil.


Cette option vous permet de configurer une ouplusieurs valeurs « Autre nom de l’objet ».

Cliquez sur Ajouter et saisissez un type et unevaleur pour l’Autre nom de l’objet.

Autre nom de l’objet

L’adresse Web permettant de récupérer un mot depasse de challenge à partir du serveur SCEP.

Utilisez la variable %_CACHALLENGE_% pour indiquerl’URL de challenge configurée sur l’onglet SCEP dela page Configuration du système.

Challenge



Certificat racine


164



Le nombre de nouvelles tentatives si le serveurenvoie une réponse en attente.

Nouvelles tentatives

Le nombre de secondes écoulées entre lesnouvelles tentatives.

Délai avant la nouvelle tentative


Assurez-vous que la valeur indiquée correspond àla taille configurée sur le serveur SCEP.

Taille de la clé

Si vous sélectionnez cette case, la clé publique peutêtre utilisée en tant que signature numérique.


Si vous sélectionnez cette case, la clé publique peutêtre utilisée pour le chiffrement de fichiers.


Sélectionnez un ou plusieurs algorithmes dehachage pris en charge par le serveur SCEP.

Algorithme de hachage

Avertissement : nous déconseillonsl’utilisation de l’algorithme SHA-1 car il n’estpas considéré comme sécurisé.

13.19.8 Configuration IMAP/POP (stratégie Windows Mobile)La configuration IMAP/POP vous permet d’ajouter un compte de messagerie IMAP ou POP.


Le type de serveur de messagerie pour la messagerieentrante (soit IMAP soit POP).

Type de compte

Le nom d’affichage du compte de messagerie sur l’appareil.Nom du compte


Utilisez la variable %_EMAILADDRESS_% pour indiquerl’adresse électronique de l’utilisateur assigné à l’appareil.


Le nom d’affichage de l’utilisateur pour la messageriesortante.

Utilisez la variable %_USERNAME_% pour indiquer le nom del’utilisateur assigné à l’appareil.

Nom d’utilisateur affiché

Le nom d’utilisateur pour la connexion au serveur entrant.Nom d’utilisateur

165



La partie domaine des codes d’accès pour le serveur entrant(si nécessaire).

Domaine

Le mot de passe pour la connexion au serveur entrant (sinécessaire).

Mot de passe

Le nom d’hôte (ou l’adresse IP) et le numéro du port duserveur de messagerie entrante (serveur entrant).

Format : nom du serveur:numéro du port

Serveur de messagerie entrante

Vous n’avez pas besoin d’indiquer le numéro du port si leport par défaut est utilisé :

143 (IMAP)

993 (IMAP avec SSL)

110 (POP3)

995 (POP3 avec SSL)

Utiliser SSL (Secure Sockets Layer ) pour le transfert de lamessagerie entrante.

Utiliser SSL pour la messagerieentrante

Le nom d’hôte (ou l’adresse IP) et le numéro du port duserveur de messagerie sortante (serveur entrant).

Format : nom du serveur:numéro du port

Serveur de messagerie sortante

Utiliser SSL (Secure Sockets Layer ) pour le transfert de lamessagerie sortante.

Utiliser SSL pour la messageriesortante

Le serveur sortant exige l’authentification.

Les mêmes codes d’accès que ceux du serveur entrant sontutilisés comme indiqué dans les champs Nom d’utilisateur,Domaine et Mot de passe.

Authentification obligatoire pour laconnexion sortante


Seuls les emails compris dans la période indiquée sontsynchronisés dans la boîte de réception sur l’appareil.


L’intervalle de synchronisation automatique de la messagerie.Synchronisation automatique

13.20 Configuration des stratégies Windows DesktopUne stratégie Windows Desktop vous permet de configurer différentes options des appareilsWindows Desktop (stratégies de mot de passe, restrictions ou paramètres Wi-Fi).

Retrouvez plus de renseignements sur la création d’une stratégie Windows Desktop à lasection Création du profil ou de la stratégie à la page 63.

166


13.20.1 Configuration des Stratégies de mot de passe (stratégie WindowsDesktop)La configuration Stratégies de mot de passe vous permet de définir les règles de mot depasse pour les appareils.

Remarque : les règles de complexité des mots de passe (par ex. ; la longueur, le nombrede lettres majuscules et minuscules) pour les appareils Windows Desktop sont fixées et nepeuvent pas être définies par une stratégie Sophos Mobile. Retrouvez plus de renseignementsà la section Règles de complexité de mot de passe Windows Desktop à la page 65.

Remarque : les stratégies de mot de passe ne peuvent pas être assignées à des appareilsWindows Desktop dans les deux situations suivantes :

■ Des utilisateurs locaux sont configurés sur l’appareil en plus de l’utilisateur inscrit à SophosMobile.

■ Un ou plusieurs utilisateurs ne sont pas autorisés à modifier leur mot de passe.


Le nombre maximal de tentatives ratées de saisiedu mot de passe de connexion qu’il est possibled’effectuer avant que l’appareil soit réinitialisé.


Nombre maximal de tentatives

Le temps (en minutes) au bout duquel l’appareildoit être verrouillé lorsqu’il n’est pas utilisé.L’utilisateur peut déverrouiller l’appareil.


Durée en minutes avant le verrouillage del’appareil



l’utilisateur définit un nouveau mot de passe,celui-ci n’est pas accepté s’il correspond à unancien mot de passe déjà utilisé.


Le nombre de jours après lesquels les utilisateursdoivent changer de mot de passe.



13.20.2 Configuration des Restrictions (stratégie Windows Desktop)La configuration des Restrictions vous permet de définir les restrictions pour les appareils.

167


Appareil




Cette option empêche l’ajout de tous les types decompte de messagerie ainsi que des comptesExchange, Office 365 et Outlook.com.

Interdire l’ajout manuel de comptes demessagerie non Microsoft





Le paramètre Enregistrer les entrées deformulaire du navigateur Web Edge est désactivéet ne peut pas être activé par l’utilisateur.

Si cette case est dessélectionnée, le paramètreest activé et ne peut pas être désactivé parl’utilisateur.

Désactiver la saisie semi-automatique sur Edge

Les Outils de développement F12 du navigateurWeb Edge ne sont plus disponibles.

Désactiver les Outils de développement F12sur Edge

Le paramètre Bloquer les fenêtres contextuellesdu navigateur Web Edge est désactivé et ne peutpas être activé par l’utilisateur.


Désactiver le bloqueur de fenêtres publicitairessur Edge

Les sections concernées du Panneau deconfiguration Windows ne sont plus disponibles.

Désactiver les Paramètres de lectureautomatique

L’utilisateur ne peut pas modifier ces paramètresune fois que la stratégie a été assignée à l’appareil.

Remarque : la fonction Désactiver lesParamètres de lecture automatique ne s’applique

Désactiver les Paramètres de date et d’heure

Désactiver le Paramètre de languepas aux appareils connectés (par exemple, lestéléphones mobiles).

Désactiver les Paramètres d’alimentation et demise en veille

Désactiver les Options régionales

Désactiver les Paramètres de connexion

168



Désactiver les Paramètres VPN

Désactiver les Paramètres du lieu de travail

Désactiver les Paramètres de compte






Sécurité : informations requises pour assurerla protection de l’appareil avec les plusrécentes mises à jour de sécurité.

Remarque : les niveaux sont cumulatifs en partantdu niveau inférieur au niveau supérieur. Parexemple ; le niveau Amélioré inclut toutes lesdonnées des niveaux Basique et Sécurité.


Divers


Cortana est désactivée.Interdire Cortana

Les paramètres de l’appareil ne peuvent pas êtresynchronisés vers et à partir d’autres appareilsWindows.

Interdire « synchroniser les paramètres »

Le paramètre de notification de Windows Afficherdes conseils sur Windows est désactivé et n’estplus disponible.

Désactiver les conseils Windows

169




Wi-Fi





Connectivité





La recherche ne peut pas utiliser les informationsde géolocalisation.

Interdire l’utilisation de la géolocalisation lorsde la recherche

Désinscription


L’utilisateur ne peut pas supprimer le compteprofessionnel.

Interdire la désinscription manuelle de MDM

13.20.3 Configuration d’Exchange ActiveSync (stratégie Windows Desktop)La configuration d’Exchange ActiveSync vous permet de définir les paramètres de l’utilisateurpour votre serveur Microsoft Exchange.

Important : si vous utiliser plusieurs configurations pour créer des comptes ExchangeActiveSync, les appareils risquent uniquement de pouvoir récupérer les messages à partird’un seul compte. Ceci arrive généralement lorsque les comptes sont sur des serveursExchange ActiveSync différents et que différentes stratégies de boîtes de réception sont

170


définies sur ces serveurs. Les appareils Windows Desktop ne pouvant appliquer qu’une seulestratégie de boîte de réception, ils ne parviendront pas à se connecter aux comptes utilisantune stratégie différente.

Remarque : Windows autorise l’utilisateur à refuser toutes les modifications que vous apportezà la configuration d’Exchange ActiveSync.









Utilisateur






Mot de passe








SSL


171


13.20.4 Configuration Wi-Fi (stratégie Windows Desktop)



SSID




Type de sécurité

13.20.5 Configuration du Certificat racine (stratégie Windows Desktop)La configuration Certificat racine vous permet d’installer un certificat racine sur les appareils.



13.21 Configuration des stratégies Windows IoTUne stratégie Windows IoT vous permet de configurer différentes options des appareilsWindows IoT (stratégies de mot de passe, restrictions ou paramètres Wi-Fi).

Retrouvez plus de renseignements sur la création d’une stratégie Windows IoT à la sectionCréation du profil ou de la stratégie à la page 63.

13.21.1 Configuration des restrictions (stratégie Windows IoT)La configuration Restrictions vous permet de définir les restrictions pour les appareils.

Appareil




172







Le paramètre Enregistrer les entrées deformulaire du navigateur Web Edge est désactivéet ne peut pas être activé par l’utilisateur.


Désactiver la saisie semi-automatique sur Edge

Le paramètre Bloquer les fenêtres contextuellesdu navigateur Web Edge est désactivé et ne peutpas être activé par l’utilisateur.


Désactiver le bloqueur de fenêtres publicitairessur Edge






Sécurité : informations requises pour assurerla protection de l’appareil avec les plusrécentes mises à jour de sécurité.

Remarque : les niveaux sont cumulatifs en partantdu niveau inférieur au niveau supérieur. Parexemple ; le niveau Amélioré inclut toutes lesdonnées des niveaux Basique et Sécurité.


173




Wi-Fi





Connectivité



13.21.2 Configuration Wi-Fi (stratégie Windows IoT)La configuration Wi-Fi vous permet d’indiquer les paramètres de connexion aux réseauxWi-Fi.



SSID




Type de sécurité

13.21.3 Configuration du certificat racine (stratégie Windows IoT)La configuration Certificat racine vous permet d’installer un certificat racine sur les appareils.


174



175


14 Séries de tâchesL’utilisation des séries de tâches vous permet de regrouper plusieurs tâches en une seuletransaction.Vous pouvez donc regrouper toutes les tâches nécessaires afin de disposer d’unappareil inscrit et configuré :

■ Inscrire l’appareil.

■ Appliquer les stratégies requises.

■ Installer les apps requises (par exemple, les apps administrées pour les appareils iOS)

■ Appliquer les profils requis.

Vous pouvez également inclure les commandes de réinitialisation dans les séries de tâchesafin de réinitialiser automatiquement les appareils non conformes (par exemple, les appareilsdébridés ou disposant des droits root). Retrouvez plus de renseignements à la sectionStratégies de conformité à la page 28.

Les séries de tâches sont disponibles pour les plates-formes suivantes :

■ Android

■ Apple iOS

14.1 Création d’une série de tâches1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Séries de tâches puis

sélectionnez Android ou Apple iOS.

2. Sur la page Séries de tâches, cliquez sur Créer une série de tâches.

La page Modification de la série de tâches apparaît.

3. Saisissez un nom, et si vous le souhaitez, une description pour la nouvelle série de tâchesdans les champs adéquats.

La version est automatiquement mise à jour à chaque fois que vous enregistrez la sériede tâches.

4. Facultatif - Sélectionnez Sélectionnable pour les actions de conformité pour transférerla série de tâches sur un appareil lorsqu’il enfreint une règle de conformité. Retrouvez plusde renseignements à la section Stratégies de conformité à la page 28.

Remarque : cette option est désactivée si vous modifiez une série de tâches déjà existantequi est utilisée en tant qu’action de mise en conformité.

5. Facultatif - Sélectionnez Ignorer les échecs d’installation d’apps pour continuer à traiterla série de tâches même en cas d’échec de l’installation de l’app.

6. Sur le menu latéral, sous CONFIGURATION, cliquez sur Séries de tâches puissélectionnez Android ou Apple iOS.

7. Cliquez sur Créer une tâche.

8. Sélectionnez le type de tâche et cliquez sur Suivant.

La vue suivante dépend du type de tâche que vous avez sélectionnée. Dans chaque vue,vous pouvez indiquer les noms explicites que vous voulez donner à vos tâches. Ces nomsde tâches sont affichés au cours de l’installation sur le portail libre-service Sophos Central.

176


9. Suivez les étapes de l’assistant pour ajouter la tâche requise et cliquez sur Appliquerpour créer la tâche.

Retrouvez une description des types de tâches disponibles aux sections Types de tâcheAndroid disponibles à la page 177 et Types de tâche iOS disponibles à la page 180.

10. Facultatif - Ajoutez d’autres tâches à la série de tâches.

Remarque : pour les séries de tâches Android, vous ne pouvez pas combiner les tâchesAndroid et Android pour les entreprises. Par exemple, vous ne pouvez pas utiliser la mêmesérie de tâches pour installer un profil d’appareil Android et une app professionnelle Android.

Info : vous pouvez modifier l’ordre des tâches à l’aide des flèches de tri à droite de laliste des tâches.

11. Après avoir ajouté toutes les tâches requises à la série de tâches, cliquez sur Enregistrersur la page Modification de la série de tâches.

La série de tâches est prête à être transférée. Elle apparaît sur la page Séries de tâches.

Remarque : lorsque vous modifiez une série de tâches déjà existante utilisée en tant quePackage initial dans les paramètres du Portail libre-service, la tâche d’inscription ne peutpas être supprimée. Retrouvez plus de renseignements à la section Configuration desparamètres du Portail libre-service à la page 17.

14.2 Types de tâche Android disponiblesLes types de tâche suivants sont disponibles pour les séries de tâches Android :

Inscrire

Lorsque cette tâche est transférée sur les appareils, un email d’inscription est envoyé àl’adresse email associée à chaque appareil. L’utilisateur doit effectuer les étapes décritesdans l’email pour inscrire son appareil.

Lorsque cette tâche est transférée sur un appareil déjà inscrit, l’email d’inscription n’est pasenvoyé.

Inscrire le conteneur Sophos



Installer le profil / Assigner une stratégie

Sélectionnez un profil ou une stratégie dans la liste des profils et stratégies disponibles.Retrouvez plus de renseignements sur l’ajout de profils ou de stratégies à la section Profilset stratégies à la page 63.

Lorsque cette tâche est transférée sur les appareils, le profil est installé ou la stratégie estassignée de manière transparente pour l’utilisateur.

177


En général, vous pouvez ajouter plusieurs tâches de ce type à une série de tâches. Vouspouvez uniquement ajouter une seule tâche de type Stratégie de conteneur Sophos ouStratégie de sécurité des mobiles à une série de tâches.

Supprimer le profil

Dans Sélectionner la source, sélectionnez les Profils puis sélectionnez un profil dans laliste.

En plus des profils disponibles sur le serveur Sophos Mobile, la liste inclut des profils utiliséssur les appareils administrés.

Vous pouvez également supprimer un profil ne figurant pas dans la liste. SélectionnezIdentifiant et saisissez l’identifiant du profil que vous voulez supprimer des appareils.

Lorsque cette tâche est transférée sur les appareils, le profil est supprimé de manièretransparente pour l’utilisateur.

vous pouvez ajouter plusieurs tâches de ce type à une série de tâches.

Remarque : vous ne pouvez pas supprimer directement une stratégie de conteneur Sophosou une stratégie de sécurité des mobiles (Sophos Mobile Security) des appareils. Veuillezutiliser l’action Désinscrire le conteneur Sophos ou Désinscrire SMSec. Cette opérationva également supprimer les stratégies associées de l’appareil.

Installer l’app

Sélectionnez une app dans la liste des apps disponibles. Retrouvez plus de renseignementssur l’ajout d’apps à la liste à la section Ajout d’une app à la page 185.

Lorsque cette tâche est transférée sur les appareils, l’utilisateur reçoit une notification sur sonappareil lui indiquant que Sophos Mobile veut installer l’app. L’utilisateur peut appuyer surOK pour démarrer l’opération ou sur Pas maintenant pour être informé de nouveau aprèsune courte période de temps.

Si l’utilisateur appuie sur OK et appuie sur Annuler dans la boîte de dialogue Android, latâche échoue.

Si l’app est déjà installée sur un appareil qui reçoit la tâche, elle est mise à jour.

Vous pouvez ajouter plusieurs tâches de ce type à une série de tâches.

Installer l’app professionnelle Android

Ce type de tâche est disponible si vous avez configuré Android pour les entreprises.

Sélectionnez une app dans la liste des apps professionnelles disponibles. Retrouvez plus derenseignements sur l’ajout d’apps à la liste à la section Modification d’une app professionnelleà la page 209.

La tâche d’installation est transmise au service Google. Google gère ensuite l’installation del’app sur l’appareil. Sur la page Vue des tâches, l’état de la tâche indique Succès lorsqu’ellea bien été transmise à Google.


Vous avez également la possibilité d’installer des apps professionnelles à partir de la pageApps Android professionnelles. Retrouvez plus de renseignements à la section Installationd’une app professionnelle à la page 211.

178


Retrouvez plus de renseignements sur la désinstallation d’une app professionnelle desappareils à la section Désinstallation d’une app professionnelle à la page 212.

Supprimer l’app

Dans Sélectionner la source, sélectionnez Apps pour sélectionner une app à supprimer dela liste des apps disponibles.

En plus des apps disponibles sur le serveur Sophos Mobile, la liste inclut des apps utiliséessur les appareils administrés à l’exception des apps du système Android et des appspréinstallées par le fabricant de l’appareil.

Vous pouvez également supprimer une app ne figurant pas dans la liste. SélectionnezIdentifiant et saisissez le nom du package de l’app que vous voulez supprimer des appareils.Si vous sélectionnez App du conteneur Knox, l’app sera supprimée du conteneur SamsungKnox.

Lorsque cette tâche est transférée sur les appareils, l’utilisateur reçoit une notification sur sonappareil lui indiquant que Sophos Mobile veut supprimer l’app. L’utilisateur peut appuyer surOK pour démarrer l’opération ou sur Pas maintenant pour être informé de nouveau aprèsune courte période de temps.

Si l’utilisateur appuie sur OK et appuie sur Annuler dans la boîte de dialogue Android, latâche échoue.

Si l’app n’est pas installée sur un appareil qui reçoit la tâche, aucune notification n’apparaît.


Envoyer un message

Saisissez le texte à afficher en clair sur les appareils.

Lorsque cette tâche est transférée sur les appareils, le texte du message est affiché dans lafenêtre de notification. L’utilisateur peut afficher les anciens messages sur la page Messagesde l’app Sophos Mobile Control.


Désinscrire

Lorsque cette tâche est transférée sur les appareils, ces derniers sont désinscrits de SophosMobile. Retrouvez plus de renseignements à la section Désinscription des appareils à la page44. L’utilisateur de l’appareil n’a pas besoin de confirmer l’opération.

Vous ne pouvez pas ajouter une tâche Désinscrire et Réinitialiser dans la même série detâches.

Réinitialiser

Lorsque cette tâche est transférée sur les appareils, ces derniers sont réinitialisés sur leursparamètres d’usine. L’utilisateur de l’appareil n’a pas besoin de confirmer l’opération.

Important : il est conseillé d’utiliser ce type de tâche avec précaution. Toutes les donnéessur les appareils recevant cette tâches sont supprimées sans qu’il soit demandé à l’utilisateurde confirmer l’opération.

179


Remarque : lorsqu’une tâche Réinitialiser est transférée sur un appareil dont le profilprofessionnel est administré par Sophos Mobile, seul le profil professionnel et toutes les appsprofessionnelles sont supprimées.


Conteneur Knox : verrouiller

Lorsque cette tâche est transférée sur un appareil Samsung compatible avec Samsung Knox,le conteneur Knox est verrouillé.

Conteneur Knox : déverrouiller

Lorsque cette tâche est transférée sur un appareil Samsung compatible avec Samsung Knox,le conteneur Knox est déverrouillé.

Conteneur Knox : réinitialiser le mot de passe

Lorsque cette tâche est transférée sur un appareil Samsung compatible avec Samsung Knox,le mot de passe du conteneur Knox est réinitialisé. L’utilisateur doit créer un nouveau mot depasse pour déverrouiller le conteneur Knox.

Conteneur Knox : supprimer

Lorsque cette tâche est transférée sur un appareil Samsung compatible avec Samsung Knox,le conteneur Knox (notamment la configuration du conteneur) est supprimé.

Déclencher le contrôle SMSec

Lorsque cette tâche est transférée sur les appareils, l’app Sophos Mobile Security estdéclenchée en tâche de fond et effectue le contrôle à la recherche de malwares et d’appspotentiellement indésirables (PUA).

Pour effectuer cette tâche, Sophos Mobile Security doit être administrée à partir de SophosMobile et une stratégie de sécurité des mobiles (Mobile Security) soit être assignée à l’appareil.Retrouvez plus de renseignements à la section Gestion de Sophos Mobile Security à la page223.

Si Sophos Mobile Security n’est pas administrée par Sophos Mobile sur un appareil qui reçoitla tâche (c’est-à-dire si la stratégie de sécurité des mobiles n’est pas assignée à l’appareil),l’état de la tâche continue d’afficher Sera réessayé.

14.3 Types de tâche iOS disponiblesLes types de tâche suivants sont disponibles pour les séries de tâches iOS :

180


Inscrire



Inscrire le conteneur Sophos



Installer le profil / Assigner une stratégie

Sélectionnez un profil ou une stratégie dans la liste des profils et stratégies disponibles.Retrouvez plus de renseignements sur l’ajout de profils ou de stratégies à la section Profilset stratégies à la page 63.

Lorsque cette tâche est transférée sur les appareils, le profil est installé ou la stratégie estassignée de manière transparente pour l’utilisateur.

En général, vous pouvez ajouter plusieurs tâches de ce type à une série de tâches. Vouspouvez uniquement ajouter une seule tâche de type Stratégie de conteneur Sophos ouStratégie de sécurité des mobiles à une série de tâches.

Supprimer le profil

Dans Sélectionner la source, sélectionnez les Profils puis sélectionnez un profil dans laliste.


Vous pouvez également supprimer un profil ne figurant pas dans la liste. SélectionnezIdentifiant et saisissez l’identifiant du profil que vous voulez supprimer des appareils.

Lorsque cette tâche est transférée sur les appareils, le profil est supprimé de manièretransparente pour l’utilisateur.

vous pouvez ajouter plusieurs tâches de ce type à une série de tâches.

Remarque : vous ne pouvez pas supprimer directement une stratégie de conteneur Sophosdes appareils. Veuillez utiliser l’action Désinscrire le conteneur Sophos. Cette opérationva également supprimer la stratégie associée de l’appareil.

Installer le profil d’approvisionnement

Sélectionnez un profil d’enregistrement de l’app dans la liste des profils disponibles. Retrouvezplus de renseignements sur l’ajout de profils à la liste à la section Importation des profilsd’enregistrement pour les apps iOS à la page 65.

181


Lorsque cette tâche est transférée sur les appareils, le profil d’enregistrement est installé demanière transparente pour l’utilisateur.

Supprimer le profil d’approvisionnement

Dans Sélectionner la source, sélectionnez les Profils puis sélectionnez un profild’enregistrement dans la liste.


Vous pouvez également supprimer un profil d’enregistrement ne figurant pas dans la liste.Sélectionnez Identifiant et saisissez l’identifiant du profil que vous voulez supprimer desappareils.

Lorsque cette tâche est transférée sur les appareils, le profil d’enregistrement est suppriméde manière transparente pour l’utilisateur.

Reconfigurer l’app SMC

Lorsque la tâche est transférée à l’appareil, l’utilisateur est invité à lire le code QR ou à saisirles informations de configuration manuellement. Cette opération reconnecte une app SophosMobile Control déjà installée au serveur.

Remarque : cette tâche doit être précédée par une tâche Installer l’app pour l’app SophosMobile Control.

Installer l’app

Sélectionnez une app dans la liste des apps disponibles. Retrouvez plus de renseignementssur l’ajout d’apps à la liste à la section Ajout d’une app à la page 185.

Lorsque cette tâche est transférée sur les appareils, l’utilisateur reçoit une notification sur sonappareil lui indiquant que Sophos Mobile veut installer l’app. L’utilisateur peut appuyer surInstaller pour démarrer l’opération ou sur Annuler pour refuser l’installation.

Si l’utilisateur refuse l’installation, la tâche échoue.

Si l’app est déjà installée sur un appareil qui reçoit la tâche, elle est mise à jour.


Supprimer l’app

Dans Sélectionner la source, sélectionnez Apps pour sélectionner une app à supprimer dela liste des apps disponibles.

En plus des apps disponibles sur le serveur Sophos Mobile, la liste inclut des apps utiliséessur les appareils administrés à l’exception des apps du système iOS.

Vous pouvez également supprimer une app ne figurant pas dans la liste. SélectionnezIdentifiant et saisissez l’identifiant du package de l’app que vous voulez supprimer desappareils.

Lorsque cette tâche est transférée sur les appareils, l’app est supprimée de manièretransparente pour l’utilisateur.


182


Installer la dernière mise à jour iOS

Lorsque la tâche est transférée aux appareils, la dernière mise à jour disponible du logicieliOS est installée. Selon le modèle d’appareil iOS, différentes mises à jour pourraient êtreinstallées.

Vous pouvez uniquement mettre à jour le logiciel iOS sur les appareils suivants :

■ Appareils supervisés à partir d’iOS 10.3

■ Appareils Apple DEP supervisés

Pour les autres appareils, la tâche échouera.

Envoyer un message

Saisissez le texte à afficher en clair sur les appareils.

Lorsque cette tâche est transférée sur les appareils, le texte du message est affiché dans lafenêtre de notification. L’utilisateur peut afficher les anciens messages sur la page Messagesde l’app Sophos Mobile Control.


Désinscrire

Lorsque cette tâche est transférée sur les appareils, ces derniers sont désinscrits de SophosMobile. Retrouvez plus de renseignements à la section Désinscription des appareils à la page44. L’utilisateur de l’appareil n’a pas besoin de confirmer l’opération.


Réinitialiser

Lorsque cette tâche est transférée sur les appareils, ces derniers sont réinitialisés sur leursparamètres d’usine. L’utilisateur de l’appareil n’a pas besoin de confirmer l’opération.

Important : il est conseillé d’utiliser ce type de tâche avec précaution. Toutes les donnéessur les appareils recevant cette tâches sont supprimées sans qu’il soit demandé à l’utilisateurde confirmer l’opération.


14.4 Duplication de séries de tâchesLa création d’une série de tâches peut être longue à effectuer. Vous avez donc la possibilitéde dupliquer des séries de tâches déjà créées. Cette fonction s’avère particulièrement utilesi plusieurs longues séries de tâches composées de tâches similaires sont nécessaires. Ainsi,vous n’avez besoin d’ajouter ou de supprimer qu’un petit nombre de tâches.

183


Remarque : les séries de tâches peuvent uniquement être dupliquées si vous ne modifiezpas la série au même moment. Les copies sont nommées « Copy of » plus le nom de l’original.Vous pouvez renommer les séries à votre guise.

1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Séries de tâches puissélectionnez Android ou Apple iOS.

La page Séries de tâches apparaît.

2. Cliquez sur le triangle bleu correspondant à la série de tâches que vous souhaitez dupliqueret cliquez sur Dupliquer.

La série de tâches est dupliquée et apparaît sur la page Séries de tâches. Vous pouvez àprésent modifier la série de tâches dupliquée comme vous le souhaitez. Pour modifier la sériede tâches, cliquez sur le triangle bleu lui correspondant et cliquez sur Modifier.

14.5 Transfert de séries de tâches aux appareils ou groupesd’appareils1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Séries de tâches puis

sélectionnez Android ou Apple iOS.

La page Séries de tâches apparaît.

2. Cliquez sur le triangle bleu correspondant à la tâche de votre choix et cliquez surTransférer.



■ Sélectionner les appareils individuels sur lesquels vous voulez transférer la série detâches.

■ Cliquez sur Sélectionner les groupes d’appareils pour ouvrir la page Sélectionnerles groupes d’appareils et sélectionnez un ou plusieurs groupes d’appareils surlesquels transférer la série de tâches.

4. Après avoir fait votre sélection, cliquez sur Suivant.

La page Définir la date d’exécution apparaît.

5. Sous Date planifiée, sélectionnez Maintenant ou indiquez une date et une heured’exécution de cette tâche.


La page Vue des tâches apparaît.

La série de tâches est transférée aux appareils sélectionnés à l’heure et à la date indiquées.

184


15 AppsVous configurez les apps dans Sophos Mobile pour qu’elles soient disponibles à l’installationdans la console Sophos Mobile (effectuée par l’administrateur) ou dans l’app Sophos MobileControl (effectuée par l’utilisateur).

La gestion des apps est disponible pour les plates-formes suivantes :

■ Android

■ Apple iOS

■ Windows Mobile

Vous pouvez mettre une app à disposition dans Sophos Mobile d’une des manières suivantes :

■ Téléchargez le package de l’app sur le serveur Sophos Mobile. Cette option n’est pasdisponible sur les apps Windows Mobile ou sur les appareils sur lesquels Sophos Mobileadministre uniquement le conteneur Sophos.

■ Vous fournissez un lien vers l’app dans la boutique d’apps adéquate.

Retrouvez plus de renseignements sur les deux options à la section Ajout d’une app à la page185.

Pour installer une app sur un appareil, créez une série de tâches contenant la tâche Installerl’app. Pour les appareils Android et iOS, vous pouvez créer ces séries de tâches directementà partir de la page Apps. Retrouvez plus de renseignements à la section Installation de l’appà la page 187.

Remarque : pour pouvoir installer les packages de l’app stockés sur le serveur SophosMobile (à la différence de l’installation à partir de la boutique d’apps), les conditions suivantesdoivent être respectées :

■ Sur Android, le paramètre de sécurité Sources inconnues doit être activé sur les appareils.Si vous essayez d’installer un fichier APK lorsque le paramètre Sources inconnues estdésactivé, l’app Sophos Mobile Control redirige l’utilisateur sur la page depuis laquelle ilpourra activer le paramètre. Cette restriction ne s’applique pas aux appareils avec LGGATE, Samsung Knox ou Sony Enterprise API.

■ Sur iOS, l’installation des apps à partir des fichiers IPA est uniquement possible pour lesapps développées en interne. Lorsque l’app est prête à être distribuée, veuillez créer unprofil d’enregistrement pour l’app et la mettre à disposition sur les appareils soit en l’ayantinstallée séparément auparavant soir en l’ayant incluse au fichier IPA de l’app.Vous pouvezutiliser Sophos Mobile pour distribuer les profils d’enregistrement sur vos appareils iOS.Retrouvez plus de renseignements à la section Importation des profils d’enregistrementpour les apps iOS à la page 65. Retrouvez plus de renseignements sur les profilsd’enregistrement sur iOS Developer Library.

15.1 Ajout d’une appVous pouvez rendre une app disponible à l’installation soit en téléchargeant le package decette app soit en mettant à disposition un lien vers cette app dans la boutique d’apps adéquate.

1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Apps et sélectionnez laplate-forme sur laquelle vous souhaitez ajouter l’app.

185


2. Sur la page Apps, cliquez sur Ajouter une app et sélectionnez :

■ Package Android ou Package iOS pour ajouter l’app en téléchargeant le fichier APK(pour les apps Android) ou le fichier IPA (pour les apps iOS).

■ Lien Android, Lien iOS ou Lien Windows Mobile pour ajouter l’app en mettant àdisposition un lien vers cette app dans la boutique d’apps adéquate.

Sur la page suivante, veuillez configurer les détails de l’app.

Remarque : pour les liens iOS, vous pouvez cliquer sur Rechercher dans iTunes pourrechercher l’app dans la base de données iTunes. Lorsque vous sélectionnez une app dansla liste des résultats de la recherche, les champs adéquats de la page Modification du lieniOS seront remplis automatiquement avec les valeurs provenant d’iTunes.

3. Dans le champ Nom, saisissez le nom de la nouvelle app.

4. Facultatif - Dans le champ Version, saisissez une version des packages d’app qui seraaffichée dans la boutique des apps d’entreprise.

Pour les liens vers les apps, la version affichée est celle de Google Play Store ou del’App Store. Dans la boutique des apps d’entreprise, cette version est remplacée par laversion actuelle de la boutique d’apps.

5. Facultatif - dans le champ Identifiant d’app, vous pouvez saisir l’identifiant interne del’app.

Ne renseignez pas ce champ si vous ne connaissez pas le nom exact de l’identifiant. Dansla majorité des cas, Sophos Mobile lit la valeur de l’app et remplit ce champautomatiquement.

6. Facultatif - Dans le champ Catégorie d’app, saisissez un nom de catégorie comme parexemple Conseillée.

Lorsque vous mettez une app à disposition dans la boutique Enterprise App Storeconformément aux instructions ci-dessous, l’app apparaîtra sous ce nom dans une section.

7. Vous pouvez mettre l’app à disposition dans la boutique Enterprise App Store afin quel’utilisateur puisse l’installer. Cliquez sur Afficher près du champ Disponible pour lesgroupes d’appareils et sélectionnez un ou plusieurs groupes d’appareils pour lesquelsl’app figurera dans la boutique Enterprise App Store.

8. Pour les appareils iOS, lorsque vous sélectionnez Installation administrée de SMCpermet d’installer l’app en tant qu’app administrée.

Certains paramètres du profil d’appareil sont uniquement disponibles pour les appsadministrées.

Remarque : le paramètre Installation administrée de SMC affecte uniquement les appsinstallées par l’utilisateur à partir de la boutique d’apps d’entreprise. Les apps que vousinstallez à partir de la console Sophos Mobile sont toujours administrées.

Retrouvez plus de renseignements sur les apps administrées à la section Apps administréespour iOS à la page 189.

9. Facultatif - Dans le champ Description, saisissez une description qui sera affichée dansla boutique des apps d’entreprise.

Remarque : vous pouvez utiliser l’espace réservé %_appstoretext_% partout où vousle souhaitez dans la description. Dans la boutique des apps d’entreprise, il sera remplacépar la description actuelle de l’app issue de Google Play ou de l’App Store.

10. Cliquez sur le bouton Afficher du champ Systèmes d’exploitation et sélectionnez lesversions du système d’exploitation auquel l’app doit s’appliquer.

186


11. Pour les appareils Samsung Knox, lorsque vous sélectionnez Installer dans le conteneurKnox, l’app sera installée dans le conteneur Knox.

Cette option est uniquement disponible lorsqu’une clé de licence Samsung Knox Premiumconfigurée sur la page Configuration du système.

12. Configurez la provenance de l’app.

■ Pour les liens vers les apps, saisissez l’URL de l’app à partir de la boutique d’appsadéquates dans le champ Lien.

Pour déterminer l’URL, cliquez sur le lien se trouvant en-dessous du champ Lien pourouvrir la boutique d’app dans un nouvel onglet de votre explorateur et rendez-vous surla page de l’app. Copiez ensuite l’URL à partir de la barre d’adresse de l’onglet dunavigateur et copiez la dans le champ Lien.

■ Pour les packages d’app, cliquez sur Télécharger un fichier pour télécharger l’appsur le serveur Sophos Mobile. Naviguez jusqu’au fichier APK (pour les apps Android)ou jusqu’au fichier IPA (pour les apps iOS) et cliquez sur Ouvrir.

13. Lorsque vous avez configuré les détails de l’app, cliquez sur Enregistrer pour enregistrerles paramètres de l’app et revenir sur la page Apps.

L’app est prête à être installée. Elle apparaît sur la page Apps. Si vous avez configuré lachamp Disponible pour les groupes d’appareils, l’app apparaît également dans la boutiqueEnterprise App Store de l’app Sophos Mobile Control à partir de laquelle les utilisateurspeuvent l’installer. Le processus d’installation nécessite peu ou pas d’intervention de la partde l’utilisateur.

Remarque : sur les appareils sur lesquels Sophos Mobile administre uniquement le conteneurSophos, les apps que vous ajoutez en téléchargeant le fichier APK (pour les apps Android)ou le fichier IPA (pour les apps iOS) ne sont pas disponibles.

15.2 Installation de l’appRemarque : cette section s’applique uniquement aux appareils Android et iOS.

Remarque : Cette section ne s’applique pas aux apps Android professionnelles. Retrouvezplus de renseignements sur l’installation des apps professionnelles à la section Installationd’une app professionnelle à la page 211.

Remarque : cette section ne s’applique pas aux appareils sur lesquels Sophos Mobileadministre uniquement le conteneur Sophos.

Lorsque vous avez ajouté une app dans Sophos Mobile conformément aux instructions dela section Ajout d’une app à la page 185, vous pouvez l’installer manuellement sur les appareilsou groupes d’appareils sélectionnés.

1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Apps puis sur Android ou AppleiOS.

2. Sur la page Apps, cliquez sur le triangle bleu correspondant à l’app de votre choix etcliquez sur Installer.

3. Sélectionnez les appareils sur lesquels vous voulez installer l’app. Procédez de l’une desmanières suivantes :

■ Sélectionnez chaque appareil individuellement.■ Cliquez sur Sélectionner les groupes d’appareils et sélectionnez un ou plusieurs


Lorsque vous êtes prêt, cliquez sur Suivant.

187


4. Sur la page Définir la date d’exécution, indiquez la date à laquelle l’app sera installée :

■ Sélectionnez Maintenant pour une exécution immédiate.■ Sélectionnez Date et saisissez une date et une heure pour l’exécution planifiée.


L’app sélectionnée est installée sur les appareils sélectionnés à l’heure indiquée.

Remarque : sur les appareils suivants, les apps administrées sont installées silencieusement,c’est-à-dire sans qu’aucune intervention de l’utilisateur ne soit requise.

■ Appareils iOS supervisés

■ Appareils Android à partir de Samsung Knox Standard SDK 5.1

■ Appareils Android avec LG GATE

■ Appareils Android à partir de la version 8 de Sony Enterprise API

Info : vous pouvez voir l’état de la tâche d’installation sur la page Vue des tâches.

Info : vous pouvez également installer une app en utilisant l’une des options suivantes :

■ Pour installer une app sur un seul appareil : Sur la page Affichage de l’appareil del’appareil, sélectionnez l’onglet Apps installées et cliquez sur Installer l’app.

■ Pour installer une app sur plusieurs appareils : Sur la page Appareils, sélectionnez lesappareils et cliquez sur Actions > Installer l’app.

■ Pour installer une app sur un ou plusieurs appareils dans le cadre d’une série de tâches :Ajoutez une tâche Installer l’app à la série de tâches et transférez-la aux appareils ougroupes d’appareils requis.

15.3 Désinstallation de l’appRemarque : cette section s’applique uniquement aux appareils Android et iOS.

Remarque : Cette section ne s’applique pas aux apps Android professionnelles. Retrouvezplus de renseignements sur la désinstallation des apps professionnelles à la sectionDésinstallation d’une app professionnelle à la page 212.

Remarque : cette section ne s’applique pas aux appareils sur lesquels Sophos Mobileadministre uniquement le conteneur Sophos.

Lorsque vous avez ajouté une app dans Sophos Mobile conformément aux instructions dela section Ajout d’une app à la page 185, vous pouvez la désinstaller manuellement sur lesappareils ou groupes d’appareils sélectionnés.

1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Apps puis sur Android ou AppleiOS.

2. Sur la page Apps, cliquez sur Désinstaller.

3. Sélectionnez les appareils desquels vous voulez désinstaller l’app. Procédez de l’une desmanières suivantes :




4. Sur la page Sélectionner une app, sélectionnez l’app requise.

188


5. Sur la page Définir la date d’exécution, indiquez la date à laquelle l’app sera désinstallée :



L’app sélectionnée est désinstallée des appareils sélectionnés à l’heure indiquée.

Les apps administrées sur les appareils iOS supervisés sont désinstallées silencieusement,c’est-à-dire sans aucune intervention de l’utilisateur.

Info : vous pouvez également choisir de suivre la procédure de désinstallation de l’app d’unseul appareil. Ouvrez la page Affichage de l’appareil et dans l’onglet Apps installées,cliquez sur la corbeille correspondant au nom de l’app.

15.4 Apps administrées pour iOSPour les apps iOS que vous ajoutez à Sophos Mobile, vous pouvez choisir d’installer l’apppour qu’elle soit administrée ou non administrée sur les appareils de l’utilisateur.

Les apps administrées ont les caractéristiques suivantes :

■ Lorsque les utilisateurs sélectionnent une app administrée dans la boutique d’appsd’entreprise, une tâche d’installation est créée et traitée dans Sophos Mobile. Inversement,lorsque les utilisateurs sélectionnent une app non administrée, ils sont redirigés vers l’AppStore d’Apple pour installer l’app depuis cet emplacement.

■ Vous pouvez désinstaller les apps administrées dans la console Sophos Mobile. Enrevanche, ceci n’est pas possible pour les apps non administrées.

■ Sur les appareils iOS supervisés, les apps administrées sont installées et désinstalléessans qu’aucune intervention de l’utilisateur ne soit requise.

■ Certains paramètres des profils d’appareil iOS sont uniquement disponibles pour les appsadministrées.

■ Lorsqu’un appareil iOS est désinscrit de Sophos Mobile, toutes les apps administrées sontautomatiquement supprimées de l’appareil. Les apps non administrées demeurent surl’appareil.

Les règles suivantes déterminent si une app est installée pour être administrée ou nonadministrée :

■ Les apps que vous installez à partir de la console Sophos Mobile sont toujours administrées.

■ Les apps que l’utilisateur installe à partir de l’App Store sont toujours non administrées.

■ Les apps que l’utilisateur installe à partir de la boutique d’apps d’entreprise sontadministrées si vous avez activé le paramètre Installation administrée de SMC dans lespropriétés de l’app conformément aux instructions de la section Ajout d’une app à la page185.

Pour vérifier l’état d’une app sur un appareil, ouvrez la page Affichage de l’appareil de cetappareil et allez dans l’onglet Apps installées. Retrouvez plus de renseignements à la sectionPage Affichage de l’appareil à la page 46.

Info : si un utilisateur a installé une app non administrée, vous pouvez la convertir en appadministrée. Pour cela, configurez l’app dans Sophos Mobile en tant qu’app administrée etcréez une tâche d’installation pour cette app. L’app étant déjà installée, elle ne sera pasréinstallée. En revanche, son état va passer de non administré à administré.

189


15.5 Gestion des apps du Programme d’achat en volumed’AppleGrâce au Programme d’achat en volume d’Apple, vous avez la possibilité d’acheter des appsiOS en volume afin de les distribuer dans votre entreprise.

Dès que vous avez passé votre commande par l’intermédiaire du Programme d’achat envolume d’Apple, vous pouvez télécharger un sToken (token de services) contenant les licencesdes apps que vous avez achetées.

Sophos Mobile vous permet de distribuer les licences incluses dans le sToken aux utilisateursen les invitant à devenir des utilisateurs agréés du Programme d’achat en volume d’Apple.Lorsque les utilisateurs ont accepté leur invitation, ils deviennent des utilisateurs du Programmed’achat en volume agréés et vous pouvez leur assigner les apps du Programme d’achat envolume. Les utilisateurs peuvent installer les apps du Programme d’achat en volume assignéessur leurs appareils à l’aide d’iTunes.

Vous pouvez également assigner des apps du Programme d’achat en volume aux appareils.Vous n’avez pas besoin d’inviter les appareils au Programme d’achat en volume.Vous installezune app du Programme d’achat en volume sur un appareil avec Sophos Mobile.

Retrouvez plus de renseignements sur l’inscription au Programme d’achat en volume d’Appleet sur son utilisation sur http://www.apple.com/fr/business/vpp/.

Retrouvez plus de renseignements sur la manière d’assigner les apps du Programme d’achaten volume aux utilisateurs ou aux appareils aux sections Assignation automatique des appsdu Programme d’achat en volume à la page 192 et Assignation manuelle des apps duProgramme d’achat en volume à la page 193.

15.5.1 Création d’un sToken du Programme d’achat en volume

Pour fournir des licences pour les apps achetées via le Programme d’achat en volume d’Appledans Sophos Mobile, veuillez créer un sToken (token de services).

1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration dusystème.

2. Sur la page Configuration du système, cliquez sur l’onglet Apple VP.

3. Cliquez sur le lien du Portail du Programme d’achat en volume iTunes.

Le portail Web du Programme d’achat en volume va s’ouvrir dans une nouvelle fenêtrede navigation.

4. Sur cette page, sélectionnez Entreprise.

5. Sur la page Connexion au Store Entreprises, saisissez votre identifiant Apple et votremot de passe.

6. Allez sur la page Résumé de votre compte et cliquez sur Télécharger un jeton.

Le sToken est généré et enregistré sur votre ordinateur local dans un fichier texte avecl’extension .vpptoken en utilisant les paramètres de téléchargement de votre navigateurWeb.

7. Facultatif - Déplacez le fichier sToken à un emplacement accessible à partir de la consoleSophos Mobile.

190


http://www.apple.com/fr/business/vpp/

8. Retournez dans l’onglet Apple VPP de la console Sophos Mobile, cliquez sur Téléchargerun fichier, sélectionnez le fichier sToken et cliquez ensuite sur Ouvrir.

Sophos Mobile lit le fichier et remplit les champs Entreprise et Expire le à partir desinformations du sToken.

9. Dans la liste Assigner automatiquement les apps VPP à l’installation, vous pouvezconfigurer l’assignation automatique des apps du Programme d’achat en volume d’Apple(VPP). Retrouvez plus de renseignements à la section Assignation automatique des appsdu Programme d’achat en volume à la page 192.

10. Facultatif - Remplissez les champs restants sur l’onglet Apple VPP.

Dans le champ Pays, saisissez votre code pays à deux lettres, par exemple US pour lesÉtats-Unis.


15.5.2 Invitation d’utilisateurs au Programme d’achat en volume d’Apple

Veuillez créer un sToken avant d’inviter des utilisateurs au Programme d’achat en volumed’Apple. Retrouvez plus de renseignements à la section Création d’un sToken du Programmed’achat en volume à la page 190.

1. Sur le menu latéral, sous GESTION, cliquez sur Utilisateurs.

2. Sur la page Affichage des utilisateurs, vous pouvez inviter les utilisateurs individuellementou tous les utilisateurs au Programme d’achat en volume d’Apple.

■ Pour inviter tous les utilisateurs :

1. Cliquez sur Inviter des utilisateurs au Programme d’achat en volume d’Appleen haut de la page Affichage des utilisateurs.

2. Cliquez sur Oui dans la boîte de dialogue de confirmation.

■ Pour inviter un seul utilisateur :

1. Cliquez sur le nom d’utilisateur de votre choix.2. Sur la page Affichage de l’utilisateur, cliquez sur Inviter un utilisateur au

Programme d’achat en volume.3. Cliquez sur Oui dans la boîte de dialogue de confirmation.

Sophos Mobile envoie un email d’invitation à tous les utilisateurs concernés.

Les utilisateurs doivent cliquer sur le lien dans leur email d’invitation pour connecter leurcompte Apple iTunes au Programme d’achat en volume d’Apple. Ils pourront ensuite installeret utiliser les apps dont les licences ont été fournies par votre entreprise.

15.5.3 Gestion des utilisateurs du Programme d’achat en volume d’Apple

Lorsque vous avez créé un sToken du Programme d’achat en volume d’Apple conformémentaux instructions de la section Création d’un sToken du Programme d’achat en volume à lapage 190, la page Affichage de l’utilisateur de chaque utilisateur affichera une sectionProgramme d’achat en volume d’Apple.

191


Cette section vous permet d’effectuer les tâches suivantes pour afficher ou modifier l’état duProgramme d’achat en volume d’Apple de l’utilisateur :

■ Afficher l’état de l’utilisateur du Programme d’achat en volume d’Apple. Il peut s’agir de :

■ Non enregistré : l’utilisateur n’a pas été invité au Programme d’achat en volumed’Apple.

■ Enregistré : l’utilisateur a été invité au Programme d’achat en volume d’Apple maisn’a pas connecté son compte Apple iTunes au Programme d’achat en volume d’Apple.

■ Associé : l’utilisateur a connecté son compte Apple iTunes au Programme d’achat envolume d’Apple et peut installer les apps du Programme d’achat en volume.

■ Afficher les apps du Programme d’achat en volume d’Apple que l’utilisateur a installé.

■ Inviter l’utilisateur au Programme d’achat en volume d’Apple en cliquant sur Inviter unutilisateur au Programme d’achat en volume.

Dans la majorité des cas, un email avec un lien d’invitation est envoyé à l’utilisateur. Si lecompte de l’utilisateur ne contient pas d’adresse électronique, un lien d’invitation est affichédans une boîte de dialogue.

■ Envoyer un autre email d’invitation si l’utilisateur n’a pas reçu ou a perdu l’email originalen cliquant sur Renvoyer l’email d’invitation.

■ Désabonner l’utilisateur du Programme d’achat en volume d’Apple en cliquant surSupprimer l’abonnement au Programme d’achat en volume.

15.5.4 Assignation automatique des apps du Programme d’achat en volume

Par défaut, les apps que vous avez achetées sur le Programme d’achat en volume d’Apple(VPP) sont automatiquement assignées à l’appareil sur lequel l’app est installée. Si l’appareilne prend pas en charge l’assignation des apps du Programme d’achat en volume, l’app estassignée à l’utilisateur qui est assigné à l’appareil.

Remarque : pour pouvoir prendre en charge l’assignation des apps du Programme d’achaten volume, l’appareil doit être à l’état administré.

Vous pouvez inverser l’ordre de priorité et privilégier l’assignation à l’utilisateur à l’assignationà l’appareil. Vous pouvez également désactiver l’assignation automatique et assigner lesapps du Programme d’achat en volume manuellement. Retrouvez plus de renseignementsà ce sujet à la section Assignation manuelle des apps du Programme d’achat en volume à lapage 193.

1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration dusystème.

2. Sur la page Configuration du système, cliquez sur l’onglet Apple VP.

3. Dans la liste Assigner automatiquement les apps VPP à l’installation, sélectionnezl’option désirée :

■ Préférablement à l’appareil : si l’appareil est compatible, l’app du Programme d’achaten volume est assignée à l’appareil. Autrement, le Programme d’achat en volume estassigné à l’utilisateur qui est assigné à l’appareil.

■ Préférablement à l’utilisateur : L’app du Programme d’achat en volume est assignéeà l’utilisateur qui est assigné à l’appareil.

■ Désactivé : les apps du Programme d’achat en volume ne sont pas assignéesautomatiquement. Si vous sélectionnez cette option, les apps du Programme d’achaten volume doivent être assignées manuellement.

192


15.5.5 Assignation manuelle des apps du Programme d’achat en volume

Cette section décrit l’assignation manuelle de chacune des apps du Programme d’achat envolume. Par défaut, les apps que vous avez achetées sur le Programme d’achat en volumed’Apple (VPP) sont automatiquement assignées à l’appareil sur lequel l’app est installée.Retrouvez plus de renseignements à la section Assignation automatique des apps duProgramme d’achat en volume à la page 192.

Vous pouvez assigner aux utilisateurs ou aux appareils des apps que vous avez achetéesvia le Programme d’achat en volume (VPP). Après avoir assigné une app du Programmed’achat en volume aux utilisateurs associés au Programme d’achat en volume d’Apple, ceux-cipeuvent l’installer sur tous les appareils iOS associés à leur Identifiant Apple. Après avoirassigné une app du Programme d’achat en volume aux appareils, vous pouvez la déployersur les appareils via Sophos Mobile.

Pour assigner une app du Programme d’achat en volume aux utilisateurs ou aux appareils :

1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Apps > Apple iOS.

La page Apps s’ouvre et affiche une liste de toutes les apps que vous avez ajoutées àSophos Mobile.

2. Pour ajouter des apps que vous avez achetées via le Programme d’achat en volume à laliste des apps, cliquez sur Importation d’apps du Programme d’achat en volume.

Cette opération va récupérer les informations sur l’app à partir du serveur du Programmed’achat en volume d’Apple et va créer des entrées d’app dans Sophos Mobile si nécessaire.

3. Cliquez sur le triangle bleu correspondant à l’app du Programme d’achat en volume auque vous souhaitez assigner aux utilisateurs ou aux appareils et cliquez sur Modifier.

Info : les apps du Programme d’achat en volume sont identifiées par une encoche dansla colonne Programme d’achat en volume.

4. Sur la page Modification du lien iOS, cliquez sur le bouton Afficher situé à côté del’option Licences du Programme d’achat en volume.

La boîte de dialogue Licences du Programme d’achat en volume s’ouvre.

5. Pour assigner une app à un ou plusieurs utilisateurs, cliquez sur Utilisateurs duProgramme d’achat en volume et sélectionnez les utilisateurs requis.

La liste contient tous les utilisateurs qui sont enregistrés ou associés au Programme d’achaten volume d’Apple.

6. Pour assigner une app à un ou plusieurs appareils, cliquez sur Appareils et sélectionnezles appareils requis.

La liste contient tous les appareils iOS à l’état Administré.

7. Cliquez sur Appliquer pour confirmer les modifications et fermer la boîte de dialogueLicences du Programme d’achat en volume.

8. Par défaut, les apps du Programme d’achat en volume ne sont assignées à aucun grouped’appareils. Pour assigner une app à un ou plusieurs appareils, cliquez sur Afficher prèsdu champ Disponible pour les groupes d’appareils et sélectionnez un ou plusieursgroupes d’appareils pour lesquels l’app figurera dans la boutique Enterprise App Store.

9. Par défaut, les apps du Programme d’achat en volume sont installées sous l’état administrésur les appareils des utilisateurs. Pour installer une app qui ne sera pas administrée,dessélectionnez la case Installation administrée par Sophos Mobile.

Retrouvez plus de renseignements sur les apps administrées à la section Apps administréespour iOS à la page 189.

193


10. Cliquez sur Enregistrer pour enregistrer vos modifications et pour synchroniser l’assignationde l’app avec le serveur du Programme d’achat en volume d’Apple.

Info : pour annuler les modifications que vous avez apportées dans la boîte de dialogueLicences du Programme d’achat en volume, cliquez sur Appliquer pour fermer la boîtede dialogue et cliquez sur Précédent pour quitter la page Modification du lien iOS sansenregistrer les modifications dans la base de données.

Pour installer l’app assignée sur un appareil :

■ Dès que l’app a été assignée aux utilisateurs, elle est répertoriée dans la liste de la vueAchats de l’app iTunes sur leurs appareils. Les utilisateurs peuvent l’installer depuis cetemplacement.

■ Dès que l’app est assignée aux appareils, vous pouvez l’installer via Sophos Mobile.Retrouvez plus de renseignements à la section Installation de l’app à la page 187.

Pour retirer l’assignation d’une app :

■ Ouvrez la boîte de dialogue Licences du Programme d’achat en volume comme expliquéprécédemment et effacez la sélection des utilisateurs ou appareils requis.

Remarque : l’état des apps du Programme d’achat en volume étant administré par le serveurdu Programme d’achat en volume d’Apple, vous allez devoir patienter quelque temps avantde voir les modifications que vous avez apportées dans Sophos Mobile sur les appareils.

15.5.6 Synchronisation des informations sur la licence du Programmed’achat en volume

Pour des raisons de performances, Sophos Mobile conserve une copie locale des informationssur la licence du Programme d’achat en volume. vous pouvez forcer Sophos Mobile àsynchroniser ses données du Programme d’achat en volume avec le serveur du Programmed’achat en volume d’Apple.

Remarque : vous avez uniquement besoin de synchroniser les données du Programmed’achat en volume si les informations sur la licence d’une app affichées sont incorrectes.

1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration dusystème, puis sur l’onglet Apple VPP.

2. Cliquez sur Effacer le cache du VPP.

Sophos Mobile rejette les informations du Programme d’achat en volume local et synchroniseles données avec le serveur du Programme d’achat en volume d’Apple.

Remarque : retrouvez plus de renseignements sur l’affichage des informations sur la licenced’une app du Programme d’achat en volume à la section Assignation manuelle des apps duProgramme d’achat en volume à la page 193.

15.6 Configuration de la connexion VPN via l’app et desparamètres pour les apps iOSPour les apps iOS, vous pouvez configurer une connexion VPN utilisée au démarrage del’app. Vous pouvez également configurer les paramètres de l’app qui sera déployée surl’appareil pendant l’installation de l’app.

194



■ Pour pouvoir sélectionner une connexion VPN via l’app, veuillez définir une configurationConnexion VPN via l’app dans un profil de configuration iOS. Retrouvez plus derenseignements à la section Configuration de la Connexion VPN via l’app (profil d’appareiliOS) à la page 131.

■ Pour pouvoir définir les paramètres, vous devez connaître le paramètre requis et le typede paramètre.

1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Apps puis sur Apple iOS.

2. Sur la page Apps, cliquez sur le triangle bleu correspondant à l’app de votre choix etcliquez sur Modifier.

3. Sur la page Modification du lien iOS ou Modification du package iOS, cliquez surAfficher dans le champ Paramètres et VPN.

4. Sur la page Modification des paramètres et de VPN, sélectionnez la configuration requiseà partir de la liste déroulante Connexion VPN via l’app pour définir le réseau VPN àlaquelle l’app est supposée se connecter.

5. Pour ajouter des paramètres personnalisés, cliquez sur Créer un paramètre.

6. Dans la boîte de dialogue Paramètre de configuration, procédez de la manière suivante :

a) Dans le champ Paramètre, saisissez le paramètre requis (par exemple SMC_URL).

b) Dans le champ Valeur, saisissez la valeur du paramètre requise (par exemplesmc.sophos.com).

c) Dans la liste Type, sélectionnez le type de paramètre : String, Bool, Integer ou Real.

d) Cliquez sur Appliquer.

La série de paramètres personnalisés s’affiche sur la page Modification desparamètres et de VPN.

7. Sur la page Modification des paramètres et de VPN, cliquez sur Appliquer.


La connexion VPN via l’app sélectionnée sera utilisée dès que l’app se connectera à VPN.Les paramètres seront communiqués aux appareils lors de l’installation de l’app.

195


16 Groupes d’appsSophos Mobile vous permet de créer des groupes d’apps afin de définir une liste d’apps pourles profils, les stratégies et les stratégies de conformité.

Les groupes d’apps sont utilisés dans les paramètres suivants :

■ La configuration de la Protection des apps des profils d’appareil Android.

■ La configuration du Contrôle des apps des profils d’appareil Android.

■ La configuration des Restrictions des profils d’appareil Android, des profils d’appareil iOSet des profils de conteneur Knox.

■ La configuration des Restrictions d’app des stratégies Windows Mobile.

■ Les stratégies de conformité pour définir des listes d’apps autorisés, interdites etobligatoires.

16.1 Création d’un groupe d’apps1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Groupes d’apps et sélectionnez

la plate-forme sur laquelle vous souhaitez créer le groupe.

2. Sur la page Groupes d’apps, cliquez sur Créer un groupe d’apps.

3. Sur la page Modification du groupe d’apps, saisissez un Nom pour le nouveau grouped’apps et cliquez sur Ajouter une app.

4. Dans la boîte de dialogue Modification de l’app, vous pouvez soit sélectionner une appà partir d’une liste, soit saisir les données d’app personnalisées.

■ Pour sélectionner une app dans la liste, cliquez sur Liste des apps et sélectionnezune app dans la liste de toutes les apps qui sont actuellement installées sur les appareilsadministrés pour la plate-forme que vous avez sélectionnée.

■ Pour saisir les données d’app personnalisées d’une app Android, cliquez surPersonnaliser et configurer les informations suivantes :

■ Nom de l’app : un nom arbitraire utilisé pour identifier l’app.

■ Identifiant : le nom du package de l’app. Le nom du package peut être récupéré àpartir de l’URL de l’app dans Google Play. Par exemple, pour l’app Android deSophos Mobile Control, l’URL de Google Play estplay.google.com/store/apps/details?id=com.sophos.mobilecontrol.client.android etle nom du package est com.sophos.mobilecontrol.client.android.

■ Pour saisir les données d’app personnalisées d’une app iOS, cliquez sur Personnaliseret configurer les informations suivantes :


■ Identifiant : l’identifiant du package de l’app.

196


■ Pour saisir les données d’app personnalisées d’une app Windows Mobile, cliquez surPersonnaliser et configurer les informations suivantes :


■ Lien : l’URL de l’app dans la Boutique Windows. Par exemple, L’URL de l’appWindows de Sophos Mobile Control dans la Boutique Windows estwww.microsoft.com/fr-fr/store/apps/mobile-control/9nblggh0g04v.

■ GUID : si vous connaissez le GUID de l’app, vous pouvez le saisir à la place dulien. Autrement, ne remplissez pas ce champ.

5. Après avoir sélectionné une app dans la liste ou saisi des données d’app personnalisées,cliquez sur Ajouter pour l’ajouter au groupe d’apps.

6. Facultatif - ajoutez plus d’apps au groupe d’apps.

7. Lorsque vous êtes prêt, cliquez sur Enregistrer pour enregistrer le groupe d’apps.

16.2 Importation d’un groupe d’appsVous pouvez créer un groupe d’apps en important un fichier CSV (valeurs séparées parvirgules) encodé en UTF-8 contenant jusqu’à 10 000 apps.

Remarque : utilisez un éditeur de texte pour modifier le fichier CSV. Si vous utilisez MicrosoftExcel, les valeurs saisies ne seront peut-être pas résolues correctement. Assurez-vous d’avoirenregistrer le fichier avec l’extension .csv.

Info : un modèle de fichier contenant les noms de colonne corrects et leur ordre est disponibleau téléchargement sur la page Importer les apps.

Pour importer les apps à partir d’un fichier CSV et les ajouter à un groupe d’apps :

1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Groupes d’apps et sélectionnezla plate-forme sur laquelle vous souhaitez créer le groupe.

2. Sur la page Groupes d’apps, cliquez sur Créer un groupe d’apps.

3. Sur la page Modification du groupe d’apps, saisissez un Nom pour le nouveau grouped’apps et cliquez sur Importer les apps.

4. Sur la page Importer les apps, cliquez sur Télécharger un fichier et naviguez jusqu’aufichier CSV que vous avez préparé.

Les entrées sont lues à partir du fichier et sont affichées sur la page.

5. Si le format des données est incorrect ou incohérent, le fichier ne pourra pas être importé.Dans ce cas, veuillez vérifier les messages d’erreur qui sont affichés à côté des entrées,corriger le contenu du fichier CSV et le télécharger de nouveau.

6. Cliquez sur Terminer pour ajouter les apps au groupe d’apps.

7. Sur la page Modification du groupe d’apps, cliquez sur Enregistrer.

197


17 Documents professionnelsRemarque : cette fonction nécessite une licence de type Mobile Advanced.

Dans Sophos Mobilel, vous pouvez télécharger les fichiers que vous souhaitez distribuer surles appareils de vos utilisateurs.

■ Les documents gérés dans Sophos Mobile sont automatiquement ajoutés dansl’emplacement de stockage Documents professionnels dans Sophos Secure Workspace.

■ Vous pouvez assigner une catégorie à chaque document à partir des Documentsprofessionnels.

■ Les documents se trouvant dans Documents professionnels sont en lecture seule.

■ Si Sophos Secure Workspace n’est pas administrée par Sophos Mobile, l’emplacementde stockage Documents professionnels n’est pas disponible.

Pour distribuer les documents professionnels

1. Installez l’app Sophos Secure Workspace sur les appareils. Retrouvez plus derenseignements à la section Apps à la page 185.

2. Assignez une stratégie de conteneur Sophos avec une configuration Documentsprofessionnels.

3. Téléchargez les documents dans Sophos Mobile.

17.1 Ajout de Documents professionnelsRemarque : cette fonction nécessite une licence de type Mobile Advanced.

Pour distribuer des documents sur les appareils :

1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Documents.

La page Documents apparaît.

2. Cliquez sur Ajouter un document.

La page Modifier un document apparaît.

3. Dans la champ Catégorie, saisissez la catégorie sous laquelle le document est affichéchez le fournisseur de stockage Documents professionnels sur l’appareil.

Si vous ne remplissez pas ce champ, le fichier sera affiché dans le dossier racine dufournisseur de stockage Documents professionnels.

198


4. Pour définir les paramètres du document :

■ Sélectionnez l’option Copier dans le Presse-papiers pour autoriser les utilisateurs àcopier le document dans le Presse-papiers.

■ Sélectionnez l’option Partager un document pour autoriser les utilisateurs à partagerle document.

■ Sélectionnez Utiliser le document hors ligne pour permettre aux utilisateurs d’ajouterle document à la liste des Favoris.

Lorsqu’un document non chiffré dans les Documents professionnels est ajouté à laliste des Favoris, la copie locale est conservée sous forme chiffrée. Lorsque le partagedu document est autorisé, le fichier est automatiquement déchiffré avant d’être transférévers d’autres apps. Si vous dessélectionnez la case Utiliser le document hors ligne,les copies locales seront automatiquement supprimées à la prochaine synchronisation.

5. Cliquez sur le bouton Afficher situé à côté de Groupes assignés et sélectionnez le groupeautorisé à accéder au document.

6. Saisissez une Description pour le document.

7. Cliquez sur Télécharger un fichier et naviguez jusqu’au document. Sélectionnez-le etcliquez sur Ouvrir.

8. Répétez cette étape pour chaque document que vous voulez distribuer.

Le document est ajouté à la liste des documents. Il est distribué aux utilisateurs qui peuventle consulter dans l’app Sophos Secure Workspace.

199


18 Android pour les entreprisesAndroid inclut une fonctionnalité vous permettant, à vous et à vos utilisateurs, de séparer lesdonnées personnelles des données professionnelles sur les appareils Android. Elle estnommée Android pour les entreprises (anciennement Android for Work).

Android pour les entreprises permet différents modes de déploiement. Sophos Mobile Utilisele scénario de déploiement Appareil personnel :

■ Les utilisateurs créent un profil professionnel sur leurs appareils.

■ Sophos Mobile gère le contenu du profil professionnel.

■ Toutes les apps du profil professionnel, notamment l’app Sophos Mobile Control, sontidentifiées par un badge représentant un porte-documents.

■ Les utilisateurs doivent sélectionner la version de l’app Google Play Store indiquée parun badge pour installer les apps professionnelles à partir de Google Play Store géré.

■ Vous pouvez configurer le contenu et l’agencement de Google Play Store géré à l’aide deSophos Mobile.

Remarque : Sophos Mobile est compatible avec la création de profils professionnels pourles appareils à partir d’Android 6.

Liens associésAide d’Android pour les entreprises (lien externe)

18.1 Installer Android pour les entreprisesVeuillez installer Android pour les entreprises pour votre entreprise.

Vous pouvez choisir entre deux scénarios différents :

Scénario Compte Google Play administré

Il s’agit de la méthode la plus simple pour installer Android pour les entreprises pour votreentreprise.

■ Sophos Mobile vous guide tout au long de la procédure d’installation d’Android pour lesentreprises.

■ Si nécessaire, vous pouvez créer plusieurs comptes Android pour les entreprises pourvotre organisation.

■ Sophos Mobile Gère le cycle de vie complet du compte d’utilisateur.

Retrouvez plus de renseignements à la section Installation d’Android pour les entreprises(scénario Compte Google Play géré) à la page 201.

200


https://support.google.com/work/android#topic=6151012

Scénario Domaine Google administré

Utilisez cette méthode si vous avez déjà un Domaine Google administré ou si vous voulezgérer les comptes de vos utilisateurs Android pour les entreprises sans Sophos Mobile.

■ Vous enregistrez un domaine Google géré auprès de Google et prouvez qu’il vousappartient.

■ Vous reliez Sophos Mobile en tant qu’EMM (Enterprise Mobility Management) tiers à votredomaine Google géré.

■ Sophos Mobile crée les comptes d’utilisateur nécessaires. Sophos Mobile ne gère pas lecycle de vie du compte.

Retrouvez plus de renseignements à la section Installation d’Android pour les entreprises(scénario Domaine Google géré) à la page 201.

18.1.1 Installation d’Android pour les entreprises (scénario Compte GooglePlay géré)

Pour installer Android pour les entreprises dans le cadre du scénario Compte Google Playgéré, Sophos Mobile vous guide tout au long de la procédure d’installation d’Android pour lesentreprises :

1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration dusystème , puis sur l’onglet Android pour les entreprises.

2. Cliquez sur Configurer.

3. Sélectionnez Scénario « Compte Google Play administré » et cliquez sur Suivant.

4. Sélectionnez Enregistrer un compte.

Vous allez être redirigé vers un site Web de Google à partir duquel vous pourrez enregistrervotre entreprise à Android pour les entreprises.

5. Connectez-vous au site Web de Google avec votre compte Google.

Remarque : nous vous conseillons de créer un nouveau compte Google.

6. Sur le site Web de Google, suivez les étapes d’enregistrement de votre entreprise.

Info : lorsque vous indiquez le nom de votre entreprise, veuillez inclure le terme SMC (parexemple ; Nom de mon entreprise (SMC). Les propriétés du compte ne mentionnentaucune information sur le compte connecté à Sophos Mobile.

Après avoir effectué les étapes d’enregistrement, le site Web de Google vous redirige versSophos Mobile.

7. Dans Sophos Mobile, cliquez sur Finaliser l’installation pour terminer la procédured’enregistrement.

Cette opération termine la procédure d’installation d’Android pour les entreprises pour votreentreprise.

18.1.2 Installation d’Android pour les entreprises (scénario Domaine Googlegéré)

Pour installer Android pour les entreprises dans le cadre du scénario Domaine Google géré,vous :

201


1. Enregistrez un Domaine Google géré auprès de Google.2. Créez un compte de service d’entreprise et configurez les API nécessaires pour

communiquer avec les services Google.3. Reliez Sophos Mobile en tant qu’EMM (Enterprise Mobility Management) tiers à votre

domaine Google géré.

18.1.2.1 Enregistrement d’un domaine auprès de GoogleLa première phase de la procédure d’installation d’Android pour les entreprises consiste àenregistrer votre domaine auprès de Google (domaine Google géré), de créer un administrateurde domaine (compte Google géré) et de vérifier que vous être propriétaire du domaine.

Remarque : si vous avez déjà un domaine Google géré, par exemple, si vous êtes inscrit àG Suite (anciennement Google Apps), vous pouvez ignorer cette section.

1. Cliquez sur le lien suivanthttps://www.google.com/a/signup/?enterprise_product=ANDROID_WORK pour vousinscrire à un domaine Google géré.

2. Remplissez le formulaire avec les informations demandées.

■ Sous À propos de votre entreprise, saisissez le domaine qui sera utilisé en tant quedomaine Google géré dans le champ Adresse du domaine professionnel. Parexemple, vous pouvez utiliser le domaine de votre serveur Sophos Mobile.

■ Sous Votre compte administrateur Google, saisissez les codes d’accès d’un nouveaudomaine administrateur.

Remarque : notez les codes d’accès car vous en aurez besoin ultérieurement lors dela procédure d’installation.

3. Cliquez sur le bouton pour créer le compte d’administrateur de domaine.

La console Google Admin s’ouvre.

4. Dans la console d’administration Google, démarrez la procédure pour vérifier que vousêtes le propriétaire de ce domaine.

Suivez les instructions de Google pour vérifier votre domaine.

Une fois qu’il a été vérifié que vous êtes le propriétaire du domaine, vous allez recevoir untoken de connexion de votre domaine Google géré à votre fournisseur EMM tiers, c’est-à-direSophos Mobile.

Veuillez ensuite créer un compte de service Google et configurer les API Googlecorrespondantes. Retrouvez plus de renseignements à la section Configuration du comptede service Google à la page 202.

18.1.2.2 Configuration du compte de service GoogleLa seconde phase de la procédure d’installation d’Android pour les entreprises consiste àcréer et à configurer un compte de service Google.

Condition préalable : vous avez un compte d’administrateur de domaine pour votre domaineGoogle géré.

Un compte de service Google est un type spécial de compte Google pour une application.Ce compte est utilisé par Sophos Mobile pour communiquer avec les API Google.

Créez un projet :

1. Cliquez sur le lien suivant https://console.developers.google.com/apis/library pour ouvrirla console Google API. Connectez-vous à l’aide des codes d’accès de votre compted’administrateur de domaine.

202


https://www.google.com/a/signup/?enterprise_product=ANDROID_WORK

https://console.developers.google.com/apis/library

2. Dans la barre d’en-tête de la console Google API, cliquez sur Project > Créer un projet.

Si vous avez déjà un projet, la barre d’en-tête affiche le nom du projet à la place de Project.

3. Dans la boîte de dialogue Nouveau projet, saisissez un nom de projet, par exempleAndroid pour les entreprises et cliquez sur Créer.

Activez les API nécessaires :

4. Sur le menu latéral, cliquez sur Bibliothèque et saisissez admin sdk dans le champ derecherche.

5. Dans la liste des résultats, cliquez sur Admin SDK.

6. En haut de la page Admin SDK, cliquez sur Activer.

7. Répétez les trois étapes précédentes pour Google Play EMM API :

a) Sur le menu latéral, cliquez sur Bibliothèque et saisissez emm dans le champ derecherche.

b) Dans liste des résultats de la recherche, cliquez sur Google Play EMM API.

c) En haut de la page Google Play EMM API, cliquez sur Activer.

Créez un compte de service :

8. Sur la page Google Play EMM API, cliquez sur Créer des identifiants.

9. Sur la page Ajouter des identifiants au projet, cliquez sur le lien compte de servicesous la première étape.

10. Sur la page Comptes de service, cliquez sur Créer un compte de service.

11. Sur la boîte de dialogue Créer un compte de service, saisissez les paramètres suivants :

a) Dans le champ Nom de compte de service, saisissez un nom pour le compte deservice, par exemple, Android pour les entreprises.

b) Sélectionnez Indiquer une nouvelle clé privée puis, sélectionnez JSON.

c) Sélectionnez Activer la délégation G Suite au niveau du domaine.

d) Dans Nom du produit pour l’écran d’autorisation, saisissez par exemple Androidpour les entreprises.

Lorsque vous cliquez sur Créer, la clé privée de compte de service est générée etenregistrée sur votre ordinateur dans un fichier JSON.

Remarque : placez le fichier JSON dans un emplacement sécurisé. Vous devez associerSophos Mobile à votre domaine Google géré.

Configurer l’accès à l’API :

12. Cliquez sur le lien suivant https://admin.google.com pour ouvrir la console d’administrationGoogle et connectez-vous à l’aide des codes d’accès de votre compte d’administrateurde domaine.

13. Cliquez sur Sécurité, puis sur Paramètres avancés.

Info : vous allez peut être devoir cliquer sur Plus d’éléments pour afficher Paramètresavancés.

14. Cliquez sur Gérer l’accès au client API.

203


https://admin.google.com

15. Ouvrez le fichier JSON dans un éditeur de texte et copiez la valeur client_id dans lechamp Nom du client.

Par exemple, si votre fichier JSON contient un ligne

"client_id": "123456789",

saisissez 123456789 dans le champ Nom du client.

16. Dans le champ Un ou plusieurs champs d’application d’API, saisissez les deux URLsuivantes séparées par des virgules :

https://www.googleapis.com/auth/admin.directory.user,https://www.googleapis.com/auth/androidenterprise

17. Cliquez sur Autoriser.

Vous pouvez associer Sophos Mobile à votre domaine Google géré. Retrouvez plus derenseignements à la section Association de Sophos Mobile à votre domaine à la page 204.

18.1.2.3 Association de Sophos Mobile à votre domaineLa troisième phase de la procédure d’installation d’Android pour les entreprises consiste àassocier Sophos Mobile à votre domaine Google géré.


■ vous avez un compte d’administrateur de domaine pour votre domaine Google géré.

■ Vous avez fait vérifié que vous êtes bien propriétaire du domaine.

■ Vous avez activé les API Google.

■ Vous avez créé un compte de service Google.

1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration dusystème , puis sur l’onglet Android pour les entreprises.

2. Cliquez sur Configurer.

3. Sélectionnez Scénario « Domaine Google administré » et cliquez sur Suivant.

4. Dans la boîte de dialogue qui s’ouvre, configurez les paramètres suivants :

Votre domaine Google géré a été vérifié parGoogle.

Domaine professionnel

Le nom de votre compte d’administrateur dedomaine. Il s’agit de l’administrateur que vousavez créé lorsque vous avez enregistré votredomaine auprès de Google.

Administrateur du domaine

Le token que vous avez reçu de Google aprèsavoir fait vérifié que vous êtes bien propriétairedu domaine.

Vous pouvez voir le token lorsque vous vousconnectez à la console d’administration Google(https://admin.google.com) à l’aide de vos codesd’accès d’administrateur de domaine et naviguezjusqu’à Sécurité > Gérer le fournisseur EMMpour Android.

Token EMM

204



5. Cliquez sur Télécharger un fichier et naviguez jusqu’au fichier JSON que vous aveztéléchargé sur Google lors de la création du compte de service.

Le fichier JSON sélectionné doit avoir l’extension .json.

6. Cliquez sur Lier.

Sophos Mobile contacte le service Web de Google pour se lier en tant que fournisseur EMMà votre domaine Google géré.

La dernière phase de la procédure d’installation d’Android pour les entreprises consiste àconfigurer les paramètres EMM de Google. Retrouvez plus de renseignements à la sectionConfiguration des paramètres EMM à la page 205.

18.1.2.4 Configuration des paramètres EMMLa dernière phase de la procédure d’installation d’Android pour les entreprises consiste àconfigurer les paramètres EMM de Google.

Condition préalable : vous avez associé Sophos Mobile à votre domaine Google géré.

1. Cliquez sur le lien suivant https://admin.google.com pour ouvrir la console d’administrationGoogle et connectez-vous à l’aide des codes d’accès de votre compte d’administrateurde domaine.

2. Cliquez sur Sécurité puis sur Gérer le fournisseur EMM pour Android.

Info : vous allez peut être devoir cliquer sur Plus d’éléments pour afficher Gérer lefournisseur EMM pour Android.

3. Sous Paramètres généraux, sélectionnez Appliquer les règles EMM sur les appareilsAndroid.

Cette opération termine la procédure d’installation d’Android pour les entreprises pour votreentreprise.

18.2 Configuration d’Android pour les entreprisesPour permettre à vos utilisateurs de créer un profil professionnel leurs appareils, vous devezeffectuer les tâches de configuration suivantes :

1. Créez une stratégie Android pour les entreprises et configurez au moins un paramètredans les Restrictions. Retrouvez plus de renseignements à la section Configuration desstratégies Android pour les entreprises à la page 88.

2. Créez une série de tâches qui sera transférée sur un appareil lorsqu’un utilisateur inscriraun appareil sur le portail libre-service Sophos Central. La série de tâches doit au moinscontenir une tâche Inscrire et une tâche Installer le profil / Assigner une stratégie pourune stratégie Android pour les entreprises. Vous pouvez utiliser des séries de tâchesdifférentes pour les appareils professionnels et personnels. Retrouvez plus derenseignements à la section Création d’une série de tâches à la page 176.

3. Lors de l’installation du Portail libre-service, sélectionnez la série de tâches en tant quepackage initial pour les appareils professionnels et personnels. Retrouvez plus derenseignements à la section Configuration de la création d’un profil professionnel Androidà la page 205.

18.2.1 Configuration de la création d’un profil professionnel AndroidVos utilisateurs créent un profil professionnel dans le portail libre-service Sophos Centraldans le cadre de la procédure d’inscription à Sophos Mobile. Dans Sophos Mobile, vousconfigurez les séries de tâches transférées sur les appareils.

205



Conditions préalables

■ Vous avez configuré Android pour les entreprises.

■ Vous avez créé une série de tâches pour l’inscription de l’appareil. La série de tâches doitau moins contenir une tâche Inscrire et une tâche Installer le profil / Assigner unestratégie pour une stratégie Android pour les entreprises. Vous pouvez utiliser desséries de tâches différentes pour les appareils professionnels et personnels.

1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Portaillibre-service, puis sur l’onglet Paramètres de groupe.

2. Cliquez sur le triangle bleu correspondant au groupe du Portail libre-service pour lequelvous souhaitez configurer l’inscription de l’appareil et cliquez sur Modifier. Ou créez unnouveau groupe.

Le groupe du Portail libre-service doit être configuré pour la plate-forme Android.

Retrouvez plus de renseignements sur le Portail libre-service à la section Configurationdes paramètres du Portail libre-service à la page 17.

3. Dans l’une des colonnes Package initial - appareils professionnels et Package initial- appareils privés, vous devez au moins sélectionner une série de tâches à exécuter surles appareils professionnels et privés.


5. Dans l’onglet Paramètres de groupe, cliquez sur Enregistrer.

18.3 Gestion des utilisateurs pour Android pour lesentreprises (scénario Domaine Google géré)Remarque : cette section décrit la gestion des comptes d’utilisateur Google si vous avezcréé un compte Android pour les entreprises à l’aide d’un scénario Domaine Google géré.

Pour le scénario Compte Google Play géré, Sophos Mobile gère les comptes Google de vosutilisateurs de manière transparente.

Un utilisateur doit avoir un Compte Google géré pour pouvoir créer un profil professionnel.Ce compte est connecté au domaine que vous avez enregistré dans Google.

Les noms de compte ont un format semblable à une adresse email, par exempleutilisateur@votre_domaine_Google_géré.

Lorsqu’un utilisateur inscrit un appareil dans le portail libre-service Sophos Central, SophosMobile vérifie qu’un compte Google géré existe déjà sur le serveur Google pour l’utilisateur.Pour cette opération, la partie gauche de l’adresse électronique de l’utilisateur indiquée dansSophos Mobile est combinée au nom de votre domaine Google géré. Si aucun compte de cenom existe, Sophos Mobile le crée.

Exemple : si l’adresse électronique de l’utilisateur dans Sophos Mobile estutilisateur@votre_entreprise.fr et que votre domaine Google géré estvotre_domaine_Google_géré, Sophos Mobile recherche un compte nomméutilisateur@votre_domaine_Google_géré sur le serveur Google.

Hormis la création d’un compte Google géré pour l’utilisateur au cours de la procédured’inscription, Sophos Mobile ne gère pas le cycle de vie du compte. Si vous supprimez lecompte d’utilisateur dans Sophos Mobile, le compte Google géré de l’utilisateur n’est passupprimé.

Vous pouvez gérer les comptes pour votre Domaine Google géré à partir de la consoled’administration Google. Si nécessaire, vous pouvez créer des comptes à partir de votrerépertoire LDAP à l’aide de Google Apps Directory Sync (GADS).

206


Liens associésConsole d’administration Google (lien externe)À propos de Google Apps Directory Sync (lien externe)

18.4 Création d’un profil professionnelVos utilisateurs créent un profil professionnel au cours de l’inscription de l’appareil à SophosMobile dans le portail libre-service Sophos Central.

Vous pouvez supprimer le profil professionnel dans la console Sophos Mobile, par exemple,pour supprimer les données professionnelles de l’appareil en cas de perte ou de vol.

18.5 Verrouillage du profil professionnelVous pouvez verrouiller ou déverrouiller le profil professionnel dans la console Sophos Mobile.Lorsque le profil professionnel est verrouillé, les apps professionnelles ne sont plus disponibleset aucune notification ne s’affiche pour les apps professionnelles.

Info : les utilisateurs peuvent verrouiller le profil professionnel à partir du panneau Paramètresrapides de l’appareil (par exemple ; lorsqu’ils sont en congés).


2. Cliquez sur le triangle bleu correspondant à l’appareil sur lequel vous voulez verrouillerou déverrouiller le profil professionnel et cliquez sur Afficher.

3. Cliquez sur Actions > Définir l’accès au conteneur Sophos.

4. Sélectionnez les autorisations d’accès.

■ Refuser : le profil professionnel est verrouillé. Les utilisateurs ne peuvent plus accéderaux apps ou données depuis le profil professionnel.

■ Autoriser : le profil professionnel est déverrouillé.■ Mode Auto : le profil professionnel est verrouillé si l’appareil enfreint une règle de

conformité contenant l’action Verrouiller le conteneur. Il s’agit du comportement pardéfaut si vous n’avez pas défini d’autorisation d’accès.

5. Cliquez sur Oui.

L’appareil est synchronisé avec le serveur Sophos Mobile. Une fois l’opération terminée, leparamètre est appliqué à l’appareil.

Info : pour verrouiller tout l’appareil et non pas le profil professionnel uniquement, veuillezutiliser Actions > Verrouiller.

18.6 Suppression du profil professionnel de l’appareilVous pouvez supprimer le profil professionnel dans la console Sophos Mobile pour supprimerles données professionnelles de l’appareil en cas de perte ou de vol.

Lorsque vous supprimez le profil professionnel de l’appareil, toutes les apps professionnelles,notamment l’app Sophos Mobile Control, sont également supprimées. Dans la console consoleSophos Mobile, l’appareil apparaît sous l’état Désinscrit.


2. Cliquez sur le triangle bleu correspondant à l’appareil sur lequel vous voulez supprimerle profil professionnel et cliquez sur Afficher.

3. Cliquez sur Actions > Suppression du profil professionnel Android.

207



https://support.google.com/a/answer/106368

Une tâche de suppression du profil professionnel est créée et transférée à l’appareil. Vouspouvez voir l’état de la tâche sur la page Vue des tâches.

Remarque : si l’utilisateur a déjà supprimé le profil professionnel manuellement, la tâcheéchoue car l’appareil ne peut plus la recevoir.

Pour recréer le profil professionnel, l’utilisateur doit recommencer la procédure d’inscriptiondans le portail libre-service Sophos Central.

18.7 Suppression du profil professionnel par l’utilisateurIl se peut que l’utilisateur supprime le profil professionnel de son appareil soit accidentellementsoit intentionnellement. Sophos Mobile n’est pas en mesure de détecter si la suppression estaccidentelle ou intentionnelle. L’appareil continue d’apparaître sous l’état Administré (Androidpour les entreprises).

Une fois que l’utilisateur a supprimé le profil professionnel, l’appareil ne peut plus sesynchroniser avec le serveur Sophos Mobile.

Info : vous pouvez utiliser le rapport Appareils non synchronisés au cours des 7 derniersjours pour identifier les appareils potentiellement affectés.

Si le profil professionnel a été supprimé accidentellement, il peut être réinscrit de la manièresuivante :

1. Vous supprimez l’appareil de Sophos Mobile.2. L’utilisateur recommence la procédure d’inscription dans le portail libre-service Sophos

Central.

18.8 Apps professionnellesLes apps professionnelles sont des apps qui peuvent être installée sur un profil professionnel.

Vous utilisez Google Play géré pour sélectionner les apps professionnelles mises à dispositionde vos utilisateurs. Vos utilisateurs installent ces apps à l’aide de l’app de la boutique GooglePlay géré sur leur profil professionnel.

Veuillez effectuer les tâches suivantes dans Google Play géré et dans Sophos Mobile pourmettre les apps professionnelles à disposition de vos utilisateurs :

1. Dans Google Play géré, vous sélectionnez les apps pour votre entreprise. Procédez dela manière suivante :■ Approuvez l’app.■ Achetez les licences de l’app.■ Acceptez les autorisations de l’app.

Retrouvez plus de renseignements à la section Validation d’une app professionnelle à lapage 209.

2. Dans Sophos Mobile, vous configurez l’app. Procédez de la manière suivante :■ Définissez l’emplacement de l’app professionnelle dans l’app Google Play Store gérée

sur l’appareil de l’utilisateur.■ Lorsque possible sur les apps, configurez les paramètres personnalisés des apps.■ Pour les apps payantes, assignez aux utilisateurs une licence de l’app.

208


Retrouvez plus de renseignements à la section Modification d’une app professionnelle àla page 209.

18.8.1 Validation d’une app professionnelle

1. Ouvrez Google Play géré (https://play.google.com/work) et connectez-vous avec un compted’administrateur à votre domaine Google géré.

2. Sélectionnez l’app que vous voulez mettre à disposition de vos utilisateurs.

3. Cliquez soit sur Approuver (pour les apps gratuites) ou sur Acheter (pour les appspayantes).

Remarque : les apps professionnelles payantes sont actuellement uniquement disponiblesaux États-Unis et au Canada.

4. Si certaines autorisations sont requises par l’app, veuillez les accepter au nom de votreentreprise.

Lorsque vos utilisateurs installent l’app, ils ne leur est pas demandé d’accorder cesautorisations.

5. Pour les apps payantes, saisissez le nombre de licences et le mode de paiement.

Remarque : en cas d’erreur lors de l’achat d’une app, vérifiez dans la consoled’administration Google que les services de paiement Google sont activés pour votredomaine ou votre compte.

À ce stade, l’app est approuvée pour votre domaine mais les utilisateurs ne sont pas encoreen mesure de l’installer. Veuillez effectuer l’opération d’allocation dans Sophos Mobile.Retrouvez plus de renseignements à la section Modification d’une app professionnelle à lapage 209.

Remarque : si une mise à jour de votre app professionnelle inclut des autorisations d’appsupplémentaires, veuillez les accepter avant que vos utilisateurs puissent installer la mise àjour. Dans le menu Google Play, cliquez sur Mises à jour pour voir et approuver les misesà jour en attente.

Liens associésGoogle Play géré (lien externe)Console d’administration Google (lien externe)Aide de Google Play géré (lien externe)

18.8.2 Modification d’une app professionnelle

Après avoir approuvé une app dans Google Play géré, veuillez configurer l’app dans SophosMobile afin de la rendre disponible à vos utilisateurs.

1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Apps > Android.

2. Sur la page Apps, cliquez sur Apps professionnelles Android.

La page Apps professionnelles Android s’ouvre et affiche une liste de toutes les appsprofessionnelles que vous avez approuvées dans Google Play géré.

3. Cliquez sur Récupérer la liste d’apps à partir de Google pour synchroniser lesmodifications que vous avez effectuées dans Google Play géré. Suite à la synchronisation,les utilisateurs pourront installer les apps à l’aide de l’app de la boutique Google Playgérée sur leur profil professionnel.

209


https://play.google.com/work

https://play.google.com/work


https://support.google.com/googleplay/work

4. Cliquez sur le triangle bleu correspondant à l’app de votre choix et cliquez sur Modifier.

5. Sur la page Modifier l’app professionnelle Android, configurez les paramètres demanière adéquate. Retrouvez plus de renseignements à la section Paramètres de l’appprofessionnelle à la page 210.


7. Sur la page Apps professionnelles Android, cliquez sur Envoyer la configuration àGoogle pour envoyer les informations mises à jour d’agencement et de configuration del’app à Google.

Remarque : si vous ignorez cette étape, la configuration de l’app sera uniquementconservée localement dans Sophos Mobile. Elle ne sera pas transférée au serveur Googleet ne sera donc pas disponible pour vos utilisateurs.

Suite à la synchronisation des données sur le serveur Google, l’app professionnelle estdisponible dans la boutique Google Play géré sur le profil professionnel. Les apps gratuitessont accessibles par tous vos utilisateurs tandis que les apps payantes sont uniquementaccessibles par les utilisateurs auxquels une licence a été assignée.

18.8.3 Paramètres de l’app professionnelle


Le nom de l’app externe affiché dans Google Playgéré.

Titre

Le nom interne de l’app.Identifiant produit

Le type de tarif :Tarifs

Gratuit

Gratuit avec les achats intégrés

Payé

Type de distributionPublic (hébergé par Google) : app estdisponible au grand public dans Google Playgéré.

Privé (hébergé par Google) : app que vousavez développée et qui est uniquementaccessible aux utilisateurs appartenant à votredomaine Google géré. Le fichier APK a ététéléchargé dans Google Play géré.

Privé (auto-hébergé) : semblable à Privé(hébergé par Google) sauf que le fichier APKest installé à partir de votre serveur local.Google Play géré est uniquement utilisé pourgérer la distribution.

210



L’adresse Web de l’app dans Google Play géré etdans Google Play.

Cliquez sur le lien pour ouvrir cette page dans unenouvelle fenêtre de navigation.

URL de Google Play administrée, URL deGoogle Play

La page sur laquelle l’app apparaîtra dans l’appGoogle Play de l’utilisateur.

Les valeurs sont préconfigurées par Sophos Mobileet ne peuvent pas être modifiées.

Page

Le nom d’une catégorie sous laquelle l’appapparaîtra dans l’app Google Play Store del’utilisateur.

Lors de la saisie, une liste de catégoriescorrespondantes s’affiche. Si vous saisissez unecatégorie qui n’existe pas, celle-ci est créée.

Catégorie d’app

Cliquez sur Afficher à côte des Licences pourvoir ou modifier le nombre de licences utilisées ou

Licences

restantes pour l’app ainsi que les utilisateursauxquels est assignée une licence.

Ce paramètre est uniquement disponible pour lesapps payantes.

Cliquez sur Paramètres de l’app pour voir oumodifier les paramètres spécifiques à l’app.

Retrouvez plus de renseignements sur lesparamètres disponibles dans la documentationfournie par le développeur de l’app.

Paramètres de l’app

Ce paramètre est uniquement disponible si l’appoffre la configuration gérée.

Info : vous pouvez utiliser les espaces réservés%_USERNAME_% et %_EMAILADDRESS_% et lesremplacer par le nom et l’adresse électronique del’utilisateur.

18.8.4 Installation d’une app professionnelle

Après avoir approuvé une app professionnelle dans Google Play géré et avoir assigné leslicences de l’app à vos utilisateurs, vous pouvez installer l’app sur les appareils ou groupesd’appareils sélectionnés.

Remarque : les utilisateurs pourront installer les apps approuvées à l’aide de l’app de laboutique Google Play géré sur leur profil professionnel.

1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Apps > Android.


3. Cliquez sur le triangle bleu correspondant à l’app de votre choix et cliquez sur Installer.

211


4. Sélectionnez les appareils sur lesquels vous voulez installer l’app. Procédez de l’une desmanières suivantes :




5. Sur la page Définir la date d’exécution, indiquez la date à laquelle l’app sera installée :



La tâche d’installation est transmise au service Google. Google gère ensuite l’installation del’app sur l’appareil. Sur la page Vue des tâches, l’état de la tâche indique Succès lorsqu’ellea bien été transmise à Google.

18.8.5 Désinstallation d’une app professionnelle

Vous pouvez désinstaller une app professionnelle des appareils ou groupes d’appareilssélectionnés.

1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Apps puis sur Android.


3. Sur la page Apps professionnelles Android, cliquez sur Désinstaller.

4. Sélectionnez les appareils desquels vous voulez désinstaller l’app. Procédez de l’une desmanières suivantes :




5. Sur la page Sélectionner une app, sélectionnez l’app requise.

6. Sur la page Définir la date d’exécution, indiquez la date à laquelle l’app sera désinstallée :



Une tâche de désinstallation de l’app es transmise au service Google. Google gère ensuitela désinstallation de l’app de l’appareil. Sur la page Vue des tâches, l’état de la tâche indiqueSuccès lorsqu’elle a bien été transmise à Google.

Info : vous pouvez également choisir de suivre la procédure de désinstallation de l’app d’unseul appareil. Ouvrez la page Affichage de l’appareil et dans l’onglet Apps installées,cliquez sur la corbeille correspondant au nom de l’app.

18.8.6 Licences des apps professionnelles

L’assignation aux utilisateurs de licences pour les apps professionnelles payantes vous permetde définir les apps qui sont mises à leur disposition.

Vous assignez uniquement les licences des apps professionnelles payantes aux utilisateurs.Les apps gratuites que vous avez approuvées dans Google Play sont automatiquement mises

212


à disposition de tous vos utilisateurs suite à la synchronisation de la liste des apps entreGoogle et Sophos Mobile.

Configurez l’assignation de la licence sur la page Modifier l’app professionnelle Android.Retrouvez plus de renseignements à la section Modification d’une app professionnelle à lapage 209.

Info : vous n’avez pas besoin d’assigner une licence en cas d’installation d’une app lancéepar l’administrateur. Lorsque vous installez une app professionnelle conformément auxinstructions de la section Installation d’une app professionnelle à la page 211, une licenceissue du groupe de licences que vous avez achetées sera automatiquement assignée auxutilisateurs.

18.8.7 Agencement de Google Play pour les entreprises

Vous pouvez définir l’emplacement de chaque app professionnelle dans l’app Google PlayStore pour les entreprises sur l’appareil de l’utilisateur.

Les éléments d’agencement configurables sont les Pages et les Catégories.

■ Les Pages sont des vues nommées défilant verticalement. Les pages et leurs noms sontprédéfinis par Sophos Mobile.

■ Les Catégories sont des sous-sections nommées d’une page défilant horizontalementque vous définissez. Les catégories sont également appelées clusters dans ladocumentation Google.

■ Chaque catégorie est spécifique à une certaine page et chaque app apparaît sous unecertaine catégorie.

■ Les pages ne contenant aucune app ne sont pas affichées.

■ Vous pouvez configurer jusqu’à 30 catégories par page et jusqu’à 100 apps par catégorie.

Vous définissez la page et, facultativement, la catégorie pour chaque app affichée dans l’appGoogle Play Store pour les entreprises sur l’appareil de l’utilisateur. Par défaut, les apps sontplacées sur une page nommée Autre.

Vous configurez l’agencement de la page de la boutique sur la page Modifier l’appprofessionnelle Android. Retrouvez plus de renseignements à la section Modification d’uneapp professionnelle à la page 209.

18.8.8 Apps professionnelles configurables

Une app professionnelle peut offrir une configuration gérée. Cette fonction est incluse par ledéveloppeur d’apps et vous permet de configurer les paramètres personnalisés de l’app.

Si une app prend en charge la configuration gérée, une note Cette application propose laconfiguration gérée est affichée sur la page de l’app dans Google Play géré.

Vous configurez les paramètres de l’app sur la page Modifier l’app professionnelle Android.Retrouvez plus de renseignements à la section Modification d’une app professionnelle à lapage 209.

213


18.8.9 Applications professionnelles privées et auto-hébergées

Toutes les apps professionnelles que vous souhaitez mettre à disposition de vos utilisateursdoivent être accessibles sur Google Play géré.

■ Apps professionnelles publiques : apps accessibles à tous les utilisateurs disposantd’un compte Google géré.

■ Apps professionnelles privées : apps que vous avez développées et qui sont uniquementaccessibles aux utilisateurs appartenant au domaine Google géré.

■ Apps professionnelles auto-hébergées : apps privées pour lesquelles le fichier APKpeut être trouvé sur un serveur appartenant à votre entreprise et non pas sur le serveurGoogle. Toutefois, les métadonnées de la boutique d’apps des apps auto-hébergéesdoivent être chargées sur Google afin que l’app puisse être disponible sur Google Playgéré.

Retrouvez plus de renseignements sur les apps professionnelles privées sur Android in theenterprise developer information (lien externe).

214


https://developer.android.com/work/index.html

https://developer.android.com/work/index.html

19 Envoi d’un message aux appareilsRemarque : cette section ne s’applique pas aux appareils Windows Desktop ou Windows IoT.

Vous pouvez envoyer un message personnalisé aux appareils administrés.



2. Sélectionnez un ou plusieurs appareils, cliquez sur Actions puis sur Envoyer un message.

3. Dans la boîte de dialogue Saisir un message, saisissez le message que vous voulezenvoyer.

Le message ne doit pas dépasser 500 caractères.


215


20 Proxy EAS autonomeVous pouvez configurer un proxy EAS pour contrôler l’accès de vos appareils administrés àun serveur de messagerie. Le trafic de messagerie de vos appareils administrés est acheminépar le biais de ce proxy. Vous pouvez bloquer l’accès de ces appareils à la messagerie si,par exemple, un appareil enfreint une règle de conformité.

Les appareils doivent être configurés pour utiliser le proxy EAS en tant que serveur demessagerie pour les emails entrants et sortants. Le proxy EAS transfère uniquement le traficvers le serveur de messagerie si l’appareil est déclaré dans Sophos Mobile et qu’il respecteles stratégies mises en place. Un plus haut niveau de sécurité est ainsi garanti car il n’estpas nécessaire d’accéder au serveur de messagerie via Internet et que seuls les appareilssont autorisés (s’ils sont configurés correctement, par exemple en respectant les consignesen matière de code secret) à y accéder. Vous pouvez également configurer le proxy EASpour bloquer l’accès à des appareils spécifiques.

Le proxy EAS autonome est téléchargé et installé séparément de Sophos Mobile. Ilcommunique avec le serveur Sophos Mobile par le biais d’une interface Web HTTPS.

Fonctions■ Compatible avec de nombreux serveurs de messagerie Microsoft Exchange ou IBM Notes

Traveler. Vous pouvez configurer une instance du proxy EAS par serveur de messagerie.

■ Compatible avec l’équilibrage de charge. Vous pouvez configurer plusieurs instances deserveurs proxy EAS autonomes sur plusieurs ordinateurs, puis utiliser un mécanismed’équilibre de charge pour distribuer les demandes du client sur ceux-ci.

■ Compatible avec l’authentification du certificat client.Vous pouvez sélectionner un certificatà partir d’une autorité de certification (AC) depuis laquelle les certificats client doiventprovenir.

■ Compatible avec le contrôle d’accès à la messagerie avec PowerShell. Dans ce cas defigure, le service du proxy EAS communique avec le serveur de messagerie par le biaisde PowerShell afin de contrôler l’accès à la messagerie de vos appareils administrés. Letrafic de messagerie transite directement des appareils vers le serveur de messagerie etn’est pas acheminé par un proxy. Retrouvez plus de renseignements à la section Installationdu contrôle d’accès à la messagerie avec PowerShell à la page 220.

Remarque : pour les appareils non iOS, les fonctionnalités de filtrage du proxy EAS autonomesont limitées en raison des caractéristiques spécifiques du protocole IBM Notes Traveler. Lesclients Traveler sur les appareils non iOS n’envoient pas l’identifiant de l’appareil à chaquedemande. Les demandes effectuées sans identifiant d’appareil sont toujours transférées auserveur Traveler. Toutefois, le proxy EAS n’est pas en mesure de vérifier si l’appareil estautorisé.

20.1 Téléchargement du programme d’installation duserveur proxy EAS1. Connectez-vous à Sophos Central Admin.

2. Sur le menu latéral, sous Mes produits, cliquez sur Mobile.

216


3. Sur le menu latéral de la vue Mobile sous PARAMÈTRES, cliquez sur Configuration >Configuration du système, puis sur l’onglet Proxy EAS.

4. Sous Externe, cliquez sur le lien pour télécharger le programme d’installation du proxyEAS.

Le fichier du programme d’installation est enregistré localement sur votre ordinateur.

20.2 Installation d’un proxy EAS autonomeCondition préalable :

■ Tous les serveurs de messagerie nécessaires sont accessibles. Le programme d’installationdu proxy EAS ne configurera pas les connexions aux serveurs qui ne sont pas disponibles.

■ Vous êtes un administrateur sur l’ordinateur sur lequel vous installez le proxy EAS.

Remarque : le Guide de déploiement du serveur Sophos Mobile (anglais) contient desschémas d’intégration du proxy EAS autonome à l’infrastructure de votre entreprise. Nousvous conseillons de lire ces informations avant d’installer et de déployer le proxy EASautonome.

1. Exécutez Sophos Mobile Control EAS Proxy Setup.exe pour démarrer l’assistantSophos Mobile Control EAS Proxy - Setup Wizard.

2. Sur la page Choose Install Location, sélectionnez le dossier de destination et cliquezsur Install pour commencer l’installation.

Une fois l’installation terminée, l’assistant Sophos Mobile Control EAS Proxy -Configuration Wizard démarre automatiquement et vous guide tout au long des étapesde configuration.

3. Dans la boîte de dialogue SMC Server configuration, saisissez l’URL du serveur SMCauquel va se connecter le proxy EAS.

Veuillez également sélectionner Use SSL for incoming connections (Clients to EASProxy) pour sécuriser la communication entre les clients et le proxy EAS.

Vous avez également la possibilité de sélectionner Use client certificates forauthentication si vous voulez que les clients utilisent un certificat en plus des codesd’accès du proxy EAS pour l’authentification. La sécurité de la connexion bénéficiera ainsid’un niveau supplémentaire de sécurité.

Sélectionnez Allow all certificates si votre serveur Sophos Mobile présente différentscertificats au proxy EAS. Par exemple, s’il y a plusieurs instances du serveur sur unéquilibreur de charge et que chacune de ces instances utilise un certificat différent. Lorsquecette option est sélectionnée, le proxy EAS accepte tous les certificats provenant du serveurSophos Mobile.

Important : l’option Allow all certificates réduit le niveau de sécurité de la communicationavec le serveur. Aussi, nous vous conseillons vivement de la sélectionner uniquement sielle est requise par votre environnement réseau.

217


https://www.sophos.com/fr-fr/medialibrary/PDFs/documentation/smc_71_dgeng.pdf

4. Si vous avez sélectionné Use SSL for incoming connections (Clients to EAS Proxy)à l’étape précédente, la page Configure server certificate s’ouvre. Cette page vouspermet de créer ou d’importer un certificat pour bénéficier de l’accès sécurisé (HTTPS)au proxy EAS.

Remarque : vous pouvez télécharger l’assistant « SSL Certificate Wizard » à partir deMySophos et l’utiliser pour demander votre certificat SSL pour le proxy EAS de SophosMobile.

Retrouvez plus de renseignements sur le téléchargement du logiciel Sophos dans l’article111195 de la base de connaissances Sophos.

■ Si vous n’avez pas encore de certificat approuvé, sélectionnez Create self-signedcertificate.

■ Si vous avez un certificat approuvé, cliquez sur Import a certificate from a trustedissuer et sélectionnez l’une des options suivantes dans la liste :

■ PKCS12 with certificate, private key and certificate chain (intermediate andCA)

■ Separate files for certificate, private key, intermediate and CA certificate

5. Sur la page suivante, saisissez les informations sur le certificat selon le type de certificatque vous avez sélectionné.

Remarque : pour un certificat auto-signé, vous devez indiquer un serveur qui est accessibleà partir des appareils client.

6. Si vous avez sélectionné Use client certificates for authentication à l’étape précédente,la page SMC client authentication configuration s’ouvre. Sur cette page, vous pouvezsélectionner un certificat à partir d’une autorité de certification (AC) depuis laquelle lescertificats client doivent provenir.

Lorsqu’un client essaye de se connecter, le proxy EAS vérifie si le certificat client provientde l’autorité de certification que vous avez indiquée ici.

7. Sur la page EAS Proxy instance setup, configurez une ou plusieurs instances proxyEAS.

■ Instance type: sélectionnez EAS proxy.■ Instance name: un nom pour identifier l’instance.■ Server port : le port du proxy EAS pour le trafic de messagerie entrant. Si vous avez

configuré plusieurs instances de proxy, chacune d’entre elles doit impérativementutiliser un port différent.

■ Require client certificate authentication: les clients de messagerie doivents’authentifier lors de la connexion au proxy EAS.

■ ActiveSync server: le nom ou l’adresse IP du serveur auquel l’instance du proxy vase connecter.

■ SSL: la communication entre l’instance du proxy et le serveur ActiveSync est sécuriséepar SSL.

■ Autoriser les demandes d’abonnements au service web Exchange depuis SecureEmail : sélectionnez cette option pour permettre à l’app Sophos Secure Email sur iOSde s’abonner aux notifications push via les services Web Exchange. Les notificationspush informent l’appareil de la présence de messages pour Sophos Secure Email.

Remarque : par défaut et pour des raisons de sécurité, le proxy EAS bloque toutesles demandes au serveur Exchange de l’interface du service web Exchange. Si voussélectionnez cette case, les demandes d’abonnement sont autorisées.Toutes les autresdemandes sont bloquées.

218




■ Enable Traveler client access : sélectionnez uniquement cette case pour autoriserl’accès au client IBM Notes Traveler sur les appareils non iOS.

8. Après avoir saisi les informations sur l’instance, cliquez sur Add pour ajouter l’instance àla liste Instances.

Pour chaque instance de proxy, le programme d’installation va créer un certificat que vousdevrez télécharger sur le serveur Sophos Mobile. Après avoir cliqué sur Add, une fenêtres’ouvre et affiche un message d’instructions de téléchargement du certificat.

9. Dans la fenêtre du message, cliquez sur OK.

Une boîte de dialogue va s’ouvrir et afficher le dossier dans lequel le certificat a été créé.

Remarque : vous pouvez également ouvrir la boîte de dialogue en sélectionnant l’instanceadéquate et en cliquant sur le lien Export config and upload to SMC de la page EASProxy instance setup.

10. Notez le nom du dossier du certificat. Vous allez avoir besoin de cette information lorsquevous allez téléchargé le certificat dans Sophos Mobile.

11. Facultatif - Cliquez de nouveau sur Add pour configure des instances supplémentairesdu proxy EAS.

12. Lorsque vous avez configuré toutes les instances du proxy EAS requises, cliquez surNext.

Les ports du serveur que vous avez saisis seront testés et les règles entrantes du pare-feuWindows seront configurées.

13. Sur la page Allowed mail user agents, vous pouvez indiquer les agents utilisateurs dela messagerie (applications clientes de messagerie) qui sont autorisés à se connecter auproxy EAS. Si un client se connecte au proxy EAS à l’aide d’une application de messageriequi n’a pas été indiquée, la demande sera rejetée.

■ Sélectionnez Allow all mail user agents pour définir aucune restriction.■ Sélectionnez Only allow the specified mail user agents puis sélectionnez un agent

utilisateur de la messagerie dans la liste. Cliquez sur Add pour ajouter l’entrée à laliste des agents autorisés. Répétez cette opération pour tous les agents utilisateurs dela messagerie autorisés à se connecter au proxy EAS.

14. Sur la page Sophos Mobile Control EAS Proxy - Configuration Wizard finished, cliquezsur Finish pour fermer l’assistant de configuration et retourner dans l’assistant d’installation.

15. Dans l’assistant d’installation, assurez-vous que la case Start Sophos Mobile ControlEAS Proxy server now est sélectionnée et cliquez sur Finish pour terminer la configurationet démarrer le proxy EAS de Sophos Mobile pour la première fois.

Pour terminer la configuration du proxy EAS, téléchargez les certificats qui ont été créés pourchaque instance du proxy dans Sophos Mobile :

16. Connectez-vous à Sophos Central Admin.



19. Sous Externe, cliquez sur Télécharger un fichier. Téléchargez le certificat créé parl’assistant d’installation pour la connexion PowerShell.

Si vous avez créé plusieurs instances, répétez cette opération pour tous les certificatsd’instance.


21. Dans Windows, ouvrez la boîte de dialogue Services et redémarrez le service EASProxy.

219


Cette opération termine l’installation initiale du proxy EAS autonome.

Remarque : chaque jour, les entrées de journal du proxy EAS sont déplacées dans unnouveau fichier en utilisant le format EASProxy.log.aaaa-mm-jj. Ces fichiers journauxquotidiens ne sont pas supprimés automatiquement et peuvent entraîner des problèmesd’espace disque au bout d’un certain temps. Nous vous conseillons dont de mettre en placeun processus qui déplacera les fichiers journaux vers un emplacement de sauvegarde.

20.3 Installation du contrôle d’accès à la messagerie avecPowerShellVous pouvez établir une connexion PowerShell à un serveur Exchange ou Office 365. Cecisignifie que le service du proxy EAS communique avec le serveur de messagerie par le biaisde PowerShell afin de contrôler l’accès à la messagerie de vos appareils administrés. Letrafic de messagerie est directement acheminé des appareils vers le serveur de messagerie.Il n’est pas acheminé par le biais d’un proxy.

Le recours à PowerShell présente les avantages suivants :

■ Les appareils communiquent directement avec le serveur Exchange.

■ Vous n’avez pas besoin d’ouvrir un port sur votre serveur pour le trafic de messagerieentrant à partir de vos appareils administrés.

Les serveurs de messagerie compatibles sont :

■ Exchange Server 2010



■ Office 365 avec Exchange Online plan

Pour créer une communication PowerShell :

1. Configurez PowerShell.2. Créez un compte de service sur le serveur Exchange ou dans Office 365. Ce compte est

utilisé par Sophos Mobile pour exécuter les commandes PowerShell.3. Créez une ou plusieurs instances de connexion PowerShell vers Exchange ou Office 365.4. Téléchargez des certificats de l’instance dans Sophos Mobile.

Configuration de PowerShell

1. Sur l’ordinateur sur lequel vous allez installer le proxy EAS, ouvrez Windows PowerShellen tant qu’administrateur et saisissez :

PS C:\Windows\system32> Set-ExecutionPolicy RemoteSigned

Remarque : si PowerShell n’est pas disponible, veuillez l’installer conformément auxinstructions de l’article de Microsoft Installation de Windows PowerShell (lien externe).

2. Si vous voulez connecter un serveur Exchange local, ouvrez Windows PowerShell en tantqu’administrateur sur cet ordinateur et saisissez la même commande qu’auparavant :

PS C:\Windows\system32> Set-ExecutionPolicy RemoteSigned

Remarque : cette étape n’est pas nécessaire sur Office 365.

Création d’un compte de service

220


https://msdn.microsoft.com/fr-fr/powershell/scripting/setup/installing-windows-powershell

3. Connectez-vous à la console d’administration adéquate.

■ Pour Exchange Server 2010 : Console de gestion Exchange■ Pour Exchange Server 2013/2016 : Centre d’administration Exchange■ Pour Office 365 : Centre d’administration Office 365

4. Créez un compte de service. Ce compte est utilisé en tant que compte de service parSophos Mobile pour exécuter les commandes PowerShell.

■ Utilisez un nom d’utilisateur tel que smc_powershell pour identifier le but du compte.

■ Désactivez le paramètre pour vous assurer que l’utilisateur change son mot de passeà sa prochaine connexion.

■ Retirez toute licence Office 365 qui était automatiquement assignée au nouveau compte.Les comptes de service ne nécessite pas de licence.

5. Créez un nouveau groupe de rôles et assignez lui les autorisations adéquates.

■ Utilisez un nom de groupe de rôles tel que smc_powershell.

■ Ajoutez les rôles Mail Recipients et Organization Client Access.

■ Ajoutez le compte de service en tant que membre.

Création des connexions PowerShell

6. Utilisez l’assistant d’installation de la même manière que pour installer un proxy EASautonome. À l’étape de l’assistant EAS Proxy instance setup, configurez les paramètressuivants :

■ Instance type: sélectionnez PowerShell Exchange/Office 365.■ Instance name: un nom pour identifier l’instance.■ Exchange server: le nom ou l’adresse IP du serveur Exchange (pour une installation

locale du serveur Exchange) ou outlook.office365.com (pour Office 365). N’incluezpas de préfixe https:// ou de suffixe /powershell. Ceux-ci seront ajoutésautomatiquement.

■ Allow all certificates: le certificat que le serveur Exchange produit n’est pas vérifié.Utilisez ceci si, par exemple, vous avez un certificat auto-signé installé sur votre serveurExchange. L’option Allow all certificates réduit le niveau de sécurité de lacommunication avec le serveur. Aussi, nous vous conseillons vivement de la sélectionneruniquement si elle est requise par votre environnement réseau.

■ Autoriser les demandes d’abonnements au service web Exchange depuis SecureEmail : sélectionnez cette option pour permettre à l’app Sophos Secure Email sur iOSde s’abonner aux notifications push via les services Web Exchange. Les notificationspush informent l’appareil de la présence de messages pour Sophos Secure Email.

Remarque : par défaut et pour des raisons de sécurité, le proxy EAS bloque toutesles demandes au serveur Exchange de l’interface du service web Exchange. Si voussélectionnez cette case, les demandes d’abonnement sont autorisées.Toutes les autresdemandes sont bloquées.

■ Service account: le nom du compte d’utilisateur que vous avez créé dans la consoled’administration Exchange ou Office 365.

■ Mot de passe : le mot de passe du compte d’utilisateur.

7. Cliquez sur Add pour ajouter l’instance à la liste Instances.

8. Facultatif : répétez les étapes précédentes pour établir des connexions PowerShell surd’autres serveurs Exchange ou Office 365.

9. Effectuez toutes les étapes de l’assistant d’installation comme indiqué à la sectionInstallation d’un proxy EAS autonome à la page 217.

221


Télécharger les certificats

10. Connectez-vous à Sophos Central Admin.



13. Sous Externe, cliquez sur Télécharger un fichier. Téléchargez le certificat créé parl’assistant d’installation pour la connexion PowerShell.

Si vous avez créé plusieurs instances, répétez cette opération pour tous les certificatsd’instance.



Cette opération conclut la création des connexions PowerShell. Le trafic de messagerie entreun appareil administré et les serveurs Exchange ou Office 365 est bloqué si l’appareil enfreintune règle de conformité. Vous pouvez bloquer un appareil individuel en paramétrant le moded’accès à la messagerie pour cet appareil sur Deny.

Remarque : selon la configuration de votre serveur Exchange, les appareils reçoivent unenotification lorsque leur accès à la messagerie est bloqué.

20.4 Configuration d’une connexion au serveur proxy EASautonomePour configurer la connexion entre Sophos Mobile et le proxy EAS autonome, veuilleztélécharger le certificat du serveur proxy EAS dans Sophos Mobile. Ce certificat a été créélorsque vous avez configuré l’instance du proxy EAS.

Retrouvez plus de renseignements sur l’installation et la configuration du proxy EAS autonomeà la section Proxy EAS autonome à la page 216.

Important : si le service proxy EAS est démarré avant que vous ayez téléchargé le certificat,Sophos Mobile refuse la connexion au serveur et le service ne démarre pas.

Pour télécharger le certificat du serveur proxy EAS autonome :

1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration dusystème, puis sur l’onglet Proxy EAS.

2. Sous la section Externe, cliquez sur Télécharger un fichier et naviguez jusqu’au fichierde certificat.

Si vous avez créé plusieurs instances du proxy EAS, répétez cette opération pour tousles certificats d’instance.



222


21 Gestion de Sophos Mobile SecurityRemarque : cette fonction nécessite l’utilisation d’une licence Mobile Security ou d’unelicence Mobile Advanced.

Sophos Mobile Security est une app de sécurité qui protège les appareils Android contre lesapps malveillantes et aide les utilisateurs à détecter les permissions des apps pouvant poserun risque pour la sécurité. Sa fonction de filtrage du Web vous permet de filtrer les sites Webpar catégorie et de bloquer le contenu inapproprié.

La console Sophos Mobile vous permet d’administrer l’app Sophos Mobile Security sur lesappareils inscrits à Sophos Mobile de la manière suivante :

■ Vous pouvez configurer à distance et de manière centralisée les paramètres de l’appSophos Mobile Security.

■ Assurez-vous que l’app Sophos Mobile Security est installée et procédez aux contrôlesconformément aux intervalles que vous avez définis.Vous pouvez définir ceci comme unerègle de conformité.

■ Vous pouvez déclencher les contrôles pour des appareils spécifiques.

■ Vous pouvez voir les résultats du contrôle pour les appareils.

Retrouvez plus de renseignements sur Sophos Mobile Security dans l’Aide de Sophos MobileSecurity.

21.1 Configuration des paramètres antivirus pour SophosMobile SecurityCondition préalable : vous avez activé une licence Mobile Security.

1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Profils et stratégies puis surAndroid.

La page Profils et stratégies apparaît.

2. Cliquez sur Créer et sélectionnez Stratégie de sécurité des mobiles.

La page Modification de la stratégie apparaît.

3. Saisissez un nom pour le nouveau profil.

4. Dans le champ Description, saisissez une description pour le profil.

5. Cliquez sur Ajouter une configuration.

La page Configurations disponibles apparaît.

6. Sélectionnez Antivirus et cliquez sur Suivant.

La vue des paramètres de la configuration apparaît.

7. Allez dans l’onglet Antivirus.

8. Sous Général, vous pouvez sélectionner les options suivantes :

a) Dans le champ Mode de contrôle Cloud, indiquez quand Sophos Mobile Security doitrechercher les dernières informations sur les programmes malveillants. Sélectionnez

223


l’une des options suivantes pour définir quand l’app doit utiliser une recherche dans leCloud :

■ Toujours

■ Pas pendant l’itinérance

■ Wi-Fi uniquement

Avec ce paramètre, vous pouvez contrôler le trafic de données de l’app. Si vousparamétrez l’option Mode de contrôle Cloud sur Wi-Fi uniquement, la recherchedans le Cloud sera seulement effectuée lorsque l’appareil disposera d’une connexionWi-Fi valide. Si vous paramétrez l’option Mode de contrôle Cloud sur Pas pendantl’itinérance, aucune recherche dans le Cloud ne sera effectuée si l’appareil est enitinérance sur un réseau étranger.

b) Dans la liste Intervalle du contrôle planifié, sélectionnez la fréquence des contrôles.

Si vous sélectionnez Quotidiennement pendant la recharge, un contrôle est effectuélorsque l’appareil est branché sur secteur pendant plus de 30 minutes.

9. Sous Cibles, vous pouvez sélectionner les options suivantes :

a) Sélectionnez Contrôler les apps système pour inclure les apps système aux contrôles.

Les apps système ne sont pas contrôlées par défaut car elles sont protégées par lesystème d’exploitation Android et ne peuvent donc pas être supprimées par l’utilisateur.Vous pouvez également activer le contrôle des apps système ici.

b) Sélectionnez Contrôler le stockage pour contrôler la présence de menaces dans tousles fichiers sur le stockage partagé en interne, la carte SD et les appareils USBconnectés en plus d’appliquer le contrôle par défaut de toutes les apps installées.

10. Sous PUA, vous pouvez effectuer les actions suivantes :

a) Sélectionnez Détecter les PUA pour contrôler la présence d’applications potentiellementindésirables.

Les applications potentiellement indésirables (PUA) sont des apps qui ne sont pasmalveillantes mais dont la présence sur les réseaux d’entreprise est généralementconsidérée comme inappropriée. Les PUA sont classées sous le nom d’adware (logicielpublicitaire), dialer (composeur de numéros), moniteur système, outils d’administrationà distance et outils de piratage. Toutefois, il peut arriver que certains utilisateursconsidèrent comme nécessaire l’utilisation d’apps classées dans la catégorie PUA.

Si vous sélectionnez cette option, Sophos Mobile Security va détecter les PUA pendantles contrôles et avertir l’utilisateur de l’appareil de leur présence.

b) Sélectionnez Autoriser l’utilisateur à approuver les PUA pour autoriser les utilisateursà approuver les apps même si elles ont été identifiées en tant que PUA. L’utilisateurpeut également choisir de les ignorer. Dans les contrôles à venir, ces apps ne serontpas affichées comme des PUA.

11. Sous Apps de faible réputation, indiquez comment traiter ces apps. Le classement deces apps se fait en fonction des données de Sophos Live Protection. Sous Mode, vouspouvez effectuer les actions suivantes :

a) Sélectionnez Autoriser pour désactiver le contrôle des apps de mauvaise réputation.

b) Sélectionnez Avertir pour afficher un avertissement sur l’appareil lorsqu’une app defaible réputation est détectée. Les utilisateurs peuvent ensuite choisir comment traiter

224


l’app. Ils peuvent l’ajouter à une liste d’apps autorisées afin de ne plus recevoir d’autresavertissements en cas de détection de cette app.

c) Sélectionnez Bloquer afin d’empêcher le démarrage d’apps de faible réputation. Unavertissement va apparaître mais l’utilisateur ne pourra pas démarrer l’app.

12. Sous Live Protection, vous pouvez effectuer les actions suivantes :

a) Assurez-vous que la case Notification de contrôle est sélectionnée pour recevoir lesnotifications de contrôle.

b) Sélectionnez Surveiller le stockage pour contrôler toute modification dans le stockagepartagé en interne, sur la carte SD et sur les périphériques USB connectés Lorsquede nouveaux fichiers sont stockés dans ces emplacements, ils sont contrôlés.

13. Si les résultats de votre contrôle incluent les apps qui devraient être autorisées à démarrer,vous pouvez les ajouter à la liste des apps autorisées. Les apps de cette liste seronttoujours autorisées à démarrer. Ces apps ne seront pas signalées.

Pour identifier une app de ce type, vous pouvez utiliser les résultats du contrôle de SophosMobile Security. Retrouvez plus de renseignements à la section Affichage des résultatsdu contrôle Sophos Mobile Security à la page 226. Avant d’autoriser ces apps à démarrersur les appareils, veuillez les ajouter à un groupe d’apps conformément aux instructionsde la section Groupes d’apps à la page 196.

14. Pour ajouter des apps autorisées, sélectionnez le groupe d’apps contenant les appsautorisées.


21.2 Configuration des paramètres du filtrage Web pourSophos Mobile SecurityCondition préalable : vous avez activé une licence Mobile Security.

L’app Sophos Mobile Security vous protège contre toute navigation sur des sites malveillantset au contenu indésirable ou illégal.

Remarque : le filtrage Web fonctionne uniquement avec le navigateur Web Android ouGoogle Chrome.

1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Profils et stratégies puis surAndroid.

La page Profils et stratégies apparaît.

2. Cliquez sur Créer et sélectionnez Stratégie de sécurité des mobiles.

La page Modification de la stratégie apparaît.

3. Saisissez un nom pour le nouveau profil.

4. Dans le champ Description, saisissez une description pour le profil.

5. Cliquez sur Ajouter une configuration.

La page Configurations disponibles apparaît.

6. Sélectionnez Filtrage Web et cliquez sur Suivant.

La page Filtrage Web apparaît.

7. Dans le champ Filtrer les sites Web malveillants, configurez l’accès aux sites Webmalveillants.

225


8. Sous Filtrer les sites Web par catégorie, configurez l’accès aux sites Web en fonctionde leur catégorie.

Les sites Web sont classés par catégorie en fonction des données collectées par lesSophosLabs. Ces données sont constamment mises à jour.

9. Sous Exceptions de site Web, vous pouvez définir les :

a) Domaines autorisés : ajoutez les domaines ou adresses IP autorisés même s’ilsappartiennent à une catégorie bloquée.

b) Domaines bloqués : ajoutez les domaines ou adresses IP bloqués même s’ilsappartiennent à une catégorie autorisée.

Vous pouvez insérer les noms de domaine et les adresses IP. Exemples : www.entreprise.fr,*.entreprise.fr, 10.2.0.1, 10.2.0.1/24


Les utilisateurs ne peuvent pas changer les paramètres que vous avez défini dans SophosMobile.

21.3 Définition des règles de conformité de Sophos MobileSecurityCondition préalable : vous avez activé une licence Mobile Security.

Vous pouvez configurer les règles de conformité associées à Sophos Mobile Security.

1. Ajoutez une nouvelle stratégie de conformité ou ouvrez-en une existante pour la modifier.Retrouvez plus de renseignements à la section Stratégies de conformité à la page 28.

2. Allez dans l’onglet Android.

3. Dans le champ Intervalle maximal de contrôle de SMSec, vous pouvez indiquer l’intervallemaximal de contrôle pour les contrôles de présence de programmes malveillants effectuéspar l’app Sophos Mobile Security.

4. Dans la liste Refus des droits SMSec autorisés, sélectionnez si le refus des autorisationsrequises entraîne une violation de la conformité.

5. Dans la liste Apps malveillantes autorisées, sélectionnez si les apps malveillantes sontautorisées ou non.

6. Dans la liste Apps suspectes autorisées, sélectionnez si les apps suspectes détectéessont autorisées ou non.

7. Dans la liste Apps potentiellement indésirables autorisées, sélectionnez si les PUA(apps potentiellement indésirables) sont autorisées ou non.

8. Dès que tous les paramètres requis ont été configurés, cliquez sur Enregistrer.

21.4 Affichage des résultats du contrôle Sophos MobileSecurityRemarque : cette fonction nécessite une licence de type Mobile Advanced.


2. Cliquez sur le triangle bleu correspondant à l’appareil de votre choix et cliquez sur Modifierou sur son nom.

La page Affichage de l’appareil ou Modification de l’appareil apparaît.

226


3. Allez dans l’onglet Résultats du contrôle.

L’onglet affiche les résultats du contrôle effectué par Sophos Mobile Security. Les packagesnon sains comme, par exemple, les apps potentiellement indésirables, apparaissent dansle tableau ci-dessous. Sous Nom de la menace, cliquez sur les liens pour voir lesinformations supplémentaires des SophosLabs sur la menace.

4. Dans l’onglet Violations de conformité, vous pouvez voir les violations de conformitéassociées aux résultats du contrôle. Les violations affichées dépendent des règles deconformité de Sophos Mobile Security.

21.4.1 Création d’une liste d’autorisation pour les PUA et apps de faibleréputation

Remarque : cette fonction nécessite une licence de type Mobile Advanced.

Utilisez les résultats du contrôle de l’app Sophos Mobile Security pour créer une liste d’appsautorisées.


2. Cliquez sur le triangle bleu correspondant à l’appareil pour lesquels vous voulez utiliserles résultats du contrôle et cliquez sur Modifier.

3. Allez dans l’onglet Résultats du contrôle.

Les packages corrompus sont affichés dans un tableau. La colonne Nom de la menaceindique si le package affiché est une app de mauvaise réputation, une PUA ou unprogramme malveillant. Cliquez sur les liens pour voir les informations supplémentairesqu’ont les SophosLabs sur la menace.

Une icône en forme d’encoche bleue à gauche du nom du package permet d’identifier lespackages dans lesquels des apps de faible réputation et les PUA ont été détectées. Seulesces apps peuvent être ajoutées à la liste des apps autorisées.

4. Cliquez sur l’icône en forme d’encoche bleue pour ajouter l’app à la liste des appsautorisées.

5. Dans la boîte de dialogue, cliquez sur Oui pour confirmer l’opération.

L’app est ajoutée à la liste des apps autorisées.

6. Répétez cette étape pour toutes les apps que vous voulez ajouter.

7. Vous pouvez afficher la liste en allant sous Paramètres et en cliquant sur Général.

8. Cliquez sur Afficher la liste d’autorisation.

Toutes les apps ajoutées sont affichées. Les apps de cette liste seront autorisées àdémarrer sur tous les appareils administrés. Les apps ne seront plus signalées.

Lorsque vous cliquez sur Effacer la liste d’autorisation, toutes les entrées de la listesont supprimées.

227


22 Conteneur SophosRemarque : cette fonction nécessite une licence de type Mobile Advanced.

Le conteneur Sophos est un emplacement logique d’un appareil contenant les apps SophosSecure Workspace, Sophos Secure Email et Sophos Mobile Security lorsqu’elles sontadministrées par Sophos Mobile.

Le conteneur Sophos est compatible avec les plates-formes suivantes :

■ Android

■ iOS

22.1 Configuration de l’inscription d’un conteneur SophosRemarque : cette fonction nécessite une licence de type Mobile Advanced.

Pour inscrire des appareils à Sophos Mobile à l’aide d’un type d’inscription Conteneur Sophos,vous devez effectuer les étapes de configuration suivantes. Vous devez effectuer cetteopération pour chaque plate-forme (Android, iOS) sur laquelle vous souhaitez utiliserl’inscription d’un conteneur Sophos.

1. Créez une stratégie de conteneur. Retrouvez plus de renseignements aux sectionsConfiguration des stratégies de conteneur Sophos pour Android à la page 101 etConfiguration des stratégies de conteneur Sophos pour iOS à la page 146.

2. Utilisez cette stratégie de conteneur dans une série de tâches.

La série de tâches doit au moins contenir une tâche Inscrire le conteneur Sophos etune tâche Installer le profil / Assigner une stratégie. Retrouvez plus de renseignementsà la section Création d’une série de tâches à la page 176.

3. Utilisez cette série de tâches en tant que package initial pour les inscriptions dans le portaillibre-service Sophos Central :

Dans les paramètres du Portail libre-service, dans l’onglet Paramètres de groupe,sélectionnez la série de tâches dans le champ Package initial - appareils professionnelsou Package initial - appareils personnels. Retrouvez plus de renseignements à la sectionConfiguration des paramètres du Portail libre-service à la page 17.

22.2 Licence AdvancedLorsque vous activez une licence Mobile Advanced, vous pouvez gérer l’app Sophos SecureWorkspace et l’app Sophos Secure Email avec Sophos Mobile. Retrouvez plus derenseignements à la section Gestion des apps du conteneur Sophos à la page 229.

Après avoir reçu votre clé de licence, vous allez devoir activer la licence.

Activation d’une licence Mobile Advanced

Dans Sophos Central Admin, cliquez sur votre nom de compte (en haut à droite de l’interface),sélectionnez Licence et saisissez votre clé de licence dans le champ Code d’activation.

228


22.3 Gestion des apps du conteneur SophosRemarque : cette fonction nécessite une licence de type Mobile Advanced.

Pour une meilleure séparation des données sur les appareils administrés, , Sophos Mobilemet à disposition les apps du conteneur Sophos dans Sophos Secure Email et Sophos SecureWorkspace :

■ Sophos Secure Email est une app pour appareils Android et iOS qui met à votre dispositionun conteneur sécurisé vous permettant d’administrer vos emails, votre agenda et voscontacts.

■ Sophos Secure Workspace est une app pour appareils Android et iOS qui permet auxutilisateurs d’accéder aux fichiers chiffrés stockés dans le Cloud. Les fichiers sont déchiffréset peuvent être consultés en toute simplicité. Les fichiers chiffrés peuvent être fournis pard’autres apps et téléchargés dans l’un des emplacements de stockage Cloud pris encharge. Vous pouvez également choisir d’archiver les documents localement sur l’app.

Grâce à Sophos Secure Workspace, vous pouvez lire les fichiers chiffrés par SafeGuardCloud Storage ou par SafeGuard Data Exchange. Tous deux sont des modules deSafeGuard Enterprise ou une de ses éditions. Ils vous permettent de chiffrer les fichiersà l’aide de la clé locale. Ces clés locales sont issues d’une phrase secrète saisie par unutilisateur.Vous pouvez uniquement déchiffrer un fichier lorsque vous savez quelle phrasesecrète a été utilisée pour chiffrer le fichier.

Le conteneur Sophos fournit :

■ Des règles de mot de passe définies de manière centralisée

■ Des règles de mot de passe pour toutes les apps du conteneur

■ L’authentification unique pour toutes les apps du conteneur

■ Les paramètres documentaire de Sophos Secure Workspace

■ Les paramètres de navigateur de Sophos Secure Workspace

■ Les paramètres Sophos Secure Email

Vous pouvez administrer les apps Sophos avec Sophos Mobile de la manière suivante :

■ Vous pouvez configurer à distance et de manière centralisée les paramètres des apps duconteneur Sophos sur tous les appareils administrés dans Sophos Mobile. Retrouvez plusde renseignements aux sections Configuration des stratégies de conteneur Sophos pourAndroid à la page 101 et Configuration des stratégies de conteneur Sophos pour iOS à lapage 146.

■ Les stratégies de conformité vous permettent de vous assurer que les apps du conteneurSophos sont installées sur les appareils.

■ Vous pouvez activer la distribution sécurisée des documents en utilisant le fournisseur destockage Documents professionnels. Retrouvez plus de renseignements à la sectionDocuments professionnels à la page 198.

Remarque : pour administrer les apps du conteneur Sophos, celles-ci doivent être distribuéespar Sophos Mobile. Si les utilisateurs disposent déjà d’une version non administrée de SophosSecure Workspace sur leurs appareils, ils doivent d’abord la désinstaller et installer la versionadministrée.

Retrouvez plus de renseignements sur Sophos Secure Workspace dans l’Aide de SophosSecure Workspace.

229


22.4 Réinitialisation du mot de passe du conteneur SophosRemarque : cette fonction nécessite une licence de type Mobile Advanced.

Remarque : cette section s’applique aux appareils auxquels une stratégie de conteneurSophos est assignée.

Vous pouvez réinitialiser le mot de passe du conteneur Sophos. Ceci s’avère par exempleutile lorsque les utilisateurs oublient leur mot de passe. Si vous réinitialisez un mot de passedu conteneur Sophos, l’utilisateur sera invité à créer un nouveau mot de passe de conteneur.



2. Cliquez sur l’appareil pour lequel vous souhaitez réinitialiser le mot de passe du conteneurSophos.

La page Affichage de l’appareil apparaît.

3. Cliquez sur Actions.

Le menu Actions apparaît.

4. Cliquez sur Réinitialiser le mot de passe du conteneur Sophos.

5. Dans la boîte de dialogue, cliquez sur Oui pour confirmer l’opération.

Le mot de passe du conteneur Sophos est réinitialisé. L’utilisateur doit saisir un nouveau motde passe du conteneur Sophos.

22.5 Verrouillage et déverrouillage du conteneur SophosRemarque : cette fonction nécessite une licence de type Mobile Advanced.

Remarque : cette section s’applique aux appareils auxquels une stratégie de conteneurSophos est assignée.

Vous pouvez verrouiller ou déverrouiller le conteneur Sophos, c’est-à-dire, que vous pouvezdéfinir les autorisations d’accès aux apps du conteneur Sophos et aux données du conteneurSophos.


2. Sur la page Appareils, cliquez sur le triangle bleu correspondant à l’appareil sur lequelvous voulez verrouiller ou déverrouiller le conteneur Sophos et cliquez sur Afficher.

3. Sur la page Affichage de l’appareil, cliquez sur Actions > Définir l’accès au conteneurSophos.

4. Dans la boîte de dialogue de définition des autorisations d’accès, sélectionnez l’une desoptions suivantes :

■ Refuser : le conteneur Sophos est verrouillé. Les utilisateurs ne pourront plus l’utiliser.■ Autoriser : le conteneur Sophos est déverrouillé.■ Mode Auto : Le conteneur Sophos est verrouillé tant que l’appareil enfreint une règle

de conformité pour laquelle Verrouiller le conteneur est activé. Il s’agit ducomportement par défaut si vous n’avez pas défini d’autorisation d’accès.

5. Cliquez sur Oui.

L’appareil est déclenché pour se synchroniser avec le serveur Sophos Mobile. Lors del’opération de synchronisation, le paramètre est appliqué à l’appareil.

230


23 Glossaire

L’appareil à administrer (par exemple un smartphone, une tabletteou un appareil Windows 10).

Appareil

Le processus d’installation de l’app Sophos Mobile Control sur unappareil.

Approvisionnement

Un répertoire d’apps hébergé sur le serveur Sophos Mobile.L’administrateur peut utiliser la console Sophos Mobile pour ajouter

Boutique EnterpriseApp Store

des apps dans la boutique Enterprise App Store. Les utilisateurspeuvent utiliser l’app Sophos Mobile Control pour installer cesapps sur leurs appareils.

L’app Sophos Mobile Control installée sur les appareils administréspar Sophos Mobile.

Client Sophos Mobile

L’enregistrement d’un appareil dans Sophos Mobile.Inscription

La licence Mobile Advanced vous permet d’administrer les appsSophos Mobile Security, Sophos Secure Workspace et SophosSecure Email avec Sophos Mobile.

Licence MobileAdvanced

L’interface Web qui permet aux utilisateurs d’inscrire leurs propresappareils et d’effectuer les tâches sans avoir à contacter le serviced’assistance.

Portail libre-serviceSophos Central

Vous créez un package pour regrouper plusieurs tâches sous lamême transaction. Vous pouvez regrouper toutes les tâchesnécessaires afin de disposer d’un appareil inscrit et opérationnel.

Série de tâches

Abréviation de Sophos Mobile Security.SMSec

L’interface Web utilisée pour administrer les appareils.Sophos Central Admin

Une app de sécurité pour les appareils Android. Pour administrercette app avec Sophos Mobile, une licence Mobile Advanced doitêtre activée.

Sophos MobileSecurity

Une app pour appareils Android et iOS qui vous fait bénéficier d’unconteneur sécurisé vous permettant d’administrer vos emails, votre

Sophos Secure Email

agenda et vos contacts. Pour administrer cette app avec SophosMobile, une licence Mobile Advanced doit être activée.

Une app pour appareils Android et iOS qui vous permet debénéficier d’un espace de travail sécurisé à partir duquel vous

Sophos SecureWorkspace

pouvez naviguer, gérer, modifier, partager, chiffrer et déchiffrerdes documents se trouvant chez différents fournisseurs destockage ou distribués par votre entreprise. Pour administrer cette

231


app avec Sophos Mobile, une licence Mobile Advanced doit êtreactivée.

232


24 Support techniqueVous bénéficiez du support technique des produits Sophos de l’une des manières suivantes :

■ Rendez-vous sur le forum Sophos Community en anglais sur community.sophos.com/ etrecherchez d’autres utilisateurs rencontrant le même problème que le vôtre.

■ Rendez-vous sur la base de connaissances du support de Sophos surwww.sophos.com/fr-fr/support.aspx.

■ Téléchargez la documentation des produits surwww.sophos.com/fr-fr/support/documentation.aspx.

■ Ouvrez un incident support surhttps://secure2.sophos.com/fr-fr/support/contact-support/support-query.aspx.

233


https://community.sophos.com

https://www.sophos.com/fr-fr/support.aspx

https://www.sophos.com/fr-fr/support/documentation.aspx

https://secure2.sophos.com/fr-fr/support/contact-support/support-query.aspx

25 Mentions légalesCopyright © 2011-2017 Sophos Limited. Tous droits réservés.

Aucune partie de cette publication ne peut être reproduite, stockée dans un système derecherche documentaire ou transmise, sous quelque forme ou par quelque moyen que cesoit, électronique, mécanique, photocopie, enregistrement ou autre sauf si vous possédezune licence valide, auquel cas vous pouvez reproduire la documentation conformément auxtermes de cette licence ou si vous avez le consentement préalable écrit du propriétaire ducopyright.

Sophos est une marque déposée de Sophos Limited et de Sophos Group. Tous les autresnoms de produits et d’entreprises mentionnés dans ce document sont des marques ou desmarques déposées de leurs propriétaires respectifs.

Dernière mise à jour : 20170821

234
