Sophos Mobile Controldocs.sophos.com/esg/smc/7-0/admin/fr-fr/PDF/smc_7_a… · · 2017-03-0310.5 Configuration de SCEP ... 16.6 Configuration de la connexion VPN via l'app et des

Sophos Mobile ControlAide à l'administration

7Version du produit :

Table des matières

1 À propos de cette aide.......................................................................................................6

2 À propos de Sophos Mobile Control...................................................................................7

3 À propos de la console Sophos Mobile Control.................................................................9

3.1 Interface d'utilisation.............................................................................................9

3.2 Tableaux.............................................................................................................10

3.3 Conditions préalables.........................................................................................10

3.4 Rôles d'utilisateur...............................................................................................11

3.5 Connexion à la console Sophos Mobile Control.................................................12

3.6 Déconnexion de la console Sophos Mobile Control...........................................12

3.7 Changement de mot de passe...........................................................................12

3.8 Récupération du mot de passe...........................................................................12

4 Étapes essentielles pour l'administration d'appareils dans Sophos Mobile Control.........13

5 Tableau de bord................................................................................................................14

6 Rapports...........................................................................................................................15

7 Tâches..............................................................................................................................16

7.1 Surveillance des tâches......................................................................................16

8 Paramètres généraux.......................................................................................................20

8.1 Configuration des paramètres personnels..........................................................20

8.2 Configuration des stratégies de mot de passe...................................................21

8.3 Configuration des paramètres de l'app SMC......................................................22

8.4 Activation du service Baidu Cloud Push.............................................................22

8.5 Configuration des paramètres iOS.....................................................................23

8.6 Configuration de l'intervalle d'interrogation pour les appareils Windows............23

8.7 Configuration de la messagerie..........................................................................24

8.8 Configuration des coordonnées du contact technique.......................................24

8.9 Propriétés pour les clients..................................................................................24

9 Configuration du Portail libre-service...............................................................................26

9.1 Création de groupes du Portail libre-service à l'aide de la gestion interne des

utilisateurs............................................................................................................26

9.2 Configuration des paramètres du Portail libre-service........................................27

9.3 Paramètres du Portail libre-service disponibles..................................................28

9.4 Gestion des utilisateurs du Portail libre-service..................................................31

10 Configuration du système...............................................................................................36

10.1 Vérification de vos licences...............................................................................36

10.2 Certificats du service Apple Push Notification..................................................36

2

10.3 Configuration des destinations iOS AirPlay......................................................40

10.4 Licence Samsung Knox....................................................................................41

10.5 Configuration de SCEP....................................................................................41

10.6 Configuration de l'utilisateur.............................................................................42

11 Règles de conformité.....................................................................................................43

11.1 Création de règles de conformité.....................................................................43

11.2 Règles de conformité disponibles.....................................................................45

11.3 Assignation des règles de conformité aux groupes d'appareils........................49

11.4 Vérification de la conformité des appareils.......................................................50

12 Appareils........................................................................................................................51

12.1 Ajout d'appareils...............................................................................................51

12.2 Inscription des appareils...................................................................................53

12.3 Désinscription des appareils.............................................................................57

12.4 Gestion des appareils.......................................................................................58

12.5 Programme d’inscription d'appareils (DEP) Apple............................................63

13 Groupes d'appareils.......................................................................................................72

13.1 Création d'un groupe d'appareils......................................................................72

13.2 Suppression des groupes d'appareils...............................................................72

14 Profils et stratégies.........................................................................................................73

14.1 Création du profil ou de la stratégie..................................................................73

14.2 Importation des profils d'appareil iOS créés avec Apple Configurator.............74

14.3 Importation des profils d'enregistrement pour les apps iOS.............................75

14.4 Règles de complexité de mot de passe Windows Desktop..............................75

14.5 Support de Samsung Knox...............................................................................76

14.6 Espaces réservés dans les profils et stratégies...............................................76

14.7 Installation d'un profil sur les appareils.............................................................77

14.8 Assignation d'une stratégie aux appareils........................................................78

14.9 Suppression du profil........................................................................................78

14.10 Téléchargement des profils et stratégies........................................................78

14.11 Configuration des profils d'appareil Android...................................................79

14.12 Configuration des stratégies Android for Work...............................................97

14.13 Configuration des stratégies de conteneur Sophos pour Android................107

14.14 Configuration des stratégies de sécurité des mobiles (Sophos Mobile

Security).............................................................................................................117

14.15 Configuration des profils de conteneur Knox................................................117

14.16 Configuration des profils d'appareil iOS.......................................................122

14.17 Configuration des stratégies de conteneur Sophos pour iOS......................149

14.18 Configuration des stratégies Windows Mobile..............................................159

14.19 Configuration des stratégies Windows Desktop...........................................168

3

15 Séries de tâches...........................................................................................................174

15.1 Création d'une série de tâches.......................................................................174

15.2 Types de tâche Android disponibles...............................................................175

15.3 Types de tâche iOS disponibles......................................................................178

15.4 Duplication de séries de tâches......................................................................180

15.5 Transfert de séries de tâches aux appareils ou groupes d'appareils..............181

16 Apps.............................................................................................................................182

16.1 Ajout d'une app...............................................................................................182

16.2 Installation d'une app......................................................................................184

16.3 Désinstallation de l'app...................................................................................185

16.4 Apps administrées pour iOS...........................................................................185

16.5 Gestion des apps achetées avec le Programme d'achat en volume

d'Apple................................................................................................................186

16.6 Configuration de la connexion VPN via l'app et des paramètres pour les

apps iOS.............................................................................................................192

17 Groupes d'apps............................................................................................................194

17.1 Création d'un groupe d'apps...........................................................................194

17.2 Importation d'un groupe d'apps......................................................................195

18 Documents professionnels...........................................................................................196

18.1 Ajout de Documents professionnels...............................................................196

19 Android for Work...........................................................................................................198

19.1 Installation d'Android for Work........................................................................198

19.2 Configuration d'Android for Work....................................................................202

19.3 Gestion des utilisateurs Android for Work.......................................................203

19.4 Inscription d'appareils à Android for Work......................................................204

19.5 Verrouillage du profil professionnel.................................................................204

19.6 Suppression du profil professionnel de l'appareil...........................................204

19.7 Suppression du profil professionnel par l'utilisateur.......................................205

19.8 Apps professionnelles.....................................................................................205

20 Création d'administrateurs............................................................................................212

21 Envoi d'un message aux appareils...............................................................................213

22 Licence Advanced........................................................................................................214

23 Gestion de Sophos Mobile Security.............................................................................215

23.1 Configuration des paramètres antivirus pour Sophos Mobile Security...........215

23.2 Configuration des paramètres du filtrage Web pour Sophos Mobile

Security..............................................................................................................217

23.3 Définition des règles de conformité de Sophos Mobile Security....................218

23.4 Affichage des résultats du contrôle Sophos Mobile Security..........................218

24 Gestion des apps du conteneur Sophos......................................................................220

24.1 Réinitialisation du mot de passe du conteneur Sophos..................................221

4

24.2 Verrouillage et déverrouillage du conteneur Sophos......................................221

24.3 Synchronisation du jeu de clés professionnel.................................................222

25 Glossaire......................................................................................................................224

26 Support technique........................................................................................................226

27 Mentions légales..........................................................................................................227

5

1 À propos de cette aideCette aide vous explique comment utiliser la console Sophos Mobile Control.

Retrouvez plus de renseignements dans les documents ci-dessous :

■ Retrouvez plus de renseignements sur l'installation de Sophos Mobile Control dans leGuide d'installation de Sophos Mobile Control. Ce guide ne s'applique pas à la versionSaaS de Sophos Mobile Control.

■ Retrouvez plus de renseignements sur l'utilisation de la console Sophos Mobile Controlen tant que super administrateur pour la gestion des clients dans le Guide du superadministrateur de Sophos Mobile Control (anglais). ce guide ne s'applique pas à la versionSaaS de Sophos Mobile Control.

■ Retrouvez une description des étapes principales de configuration initiale dans le Guidede démarrage de Sophos Mobile Control et dans le Guide de démarrage de Sophos MobileControl as a Service.

■ Retrouvez plus de renseignements sur l'utilisation du Portail libre-service de Sophos MobileControl dans l'Aide à l'utilisation de Sophos Mobile Control.

Conventions respectées par le présent document

Les conventions suivantes sont utilisées dans cette aide :

■ Sauf mention contraire, Windows Mobile correspond aux éditions Windows 10 Mobile etMobile Entreprise et à Windows Phone 8.1.

■ Sauf mention contraire, Windows Desktop ou Windows 10 Desktop correspond aux éditionsProfessionnel, Entreprise, Éducation et Famille de Windows 10.

■ Sauf mention contraire, toutes les procédures supposent que vous êtes connecté à laconsole Sophos Mobile Control à l'aide d'un compte d'administrateur.

6

Sophos Mobile Control

https://www.sophos.com/fr-fr/medialibrary/PDFs/documentation/smc_7_ig_eng_installation.pdf

https://www.sophos.com/fr-fr/medialibrary/PDFs/documentation/smc_7_ag_eng_superadmin.pdf


https://www.sophos.com/fr-fr/medialibrary/PDFs/documentation/smc_7_sg_eng_startup.pdf




http://docs.sophos.com/esg/smc/7-0/ssp/fr-fr/desktop/index.htm

2 À propos de Sophos Mobile Control


Sophos Mobile Control est un outil de gestion d'appareils mobiles tels que les smartphones,les tablettes et les ordinateurs de bureau Windows 10. Sophos Mobile Control vous permetd'administrer les apps et leur sécurité afin de maintenir vos données professionnelles en toutesécurité.

Sophos Mobile Control comprend un serveur et un composant client.

Le serveur est le composant principal du produit Sophos Mobile Control. Il offre une interfaceWeb permettant d'administrer Sophos Mobile Control et de gérer les appareils inscrits.

Le client est une app qui doit être installée sur les appareils. Il est compatible avec l'installationet la configuration sans fil par le biais de l'interface du serveur Sophos Mobile Control.

Le Portail libre-service de Sophos Mobile Control vous permet de réduire la charge de travailde votre service informatique. En effet, vos utilisateurs sont en mesure d'inscrire eux-mêmesleurs appareils et d'effectuer d'autres tâches sans avoir à contacter le service d'assistance.

Sophos Mobile Control peut également être utilisé pour administrer les apps pour mobilesSophos Mobile Security, Sophos Secure Workspace et Sophos Secure Email. Pour cela,vous devez disposer d'une licence SMC Advanced.

Sophos Mobile Security

Sophos Mobile Security est une app de sécurité pour appareils Android. Grâce à la base dedonnées des SophosLabs mises à jour quasi instantanément, vos apps sont contrôléesautomatiquement dès que vous les installez. Cette fonction antivirus assure votre protectioncontre les logiciels malveillants vous évitant de subir des pertes de données et des coûtsimprévus.

Sophos Secure Workspace

Sophos Secure Workspace est une app pour appareils Android et iOS qui vous permet debénéficier d'un espace de travail sécurisé à partir duquel vous pouvez naviguer, gérer, modifier,partager, chiffrer et déchiffrer des documents se trouvant chez différents fournisseurs destockage ou distribués par votre entreprise. Cette app a été conçue pour empêcher touteperte de données en cas de vol de votre appareil ou si vous envoyez malencontreusementun document à un mauvais destinataire.

Les fichiers sont déchiffrés et peuvent être consultés en toute simplicité. Les fichiers transféréspar d'autres apps peuvent être chiffrés et soit être téléchargés sur l'un des fournisseurs destockage Cloud pris en charge, soit archivés localement dans Sophos Secure Workspace.

Grâce à Sophos Secure Workspace, vous pouvez lire les fichiers chiffrés par SafeGuardCloud Storage ou par SafeGuard Data Exchange.Tous deux sont des modules de SafeGuardEnterprise ou une de ses éditions.

Sophos Secure Workspace comprend également la fonction Navigateur professionnel. Il s'agitd'un navigateur Web qui vous offre un accès sécurisé aux pages intranet de votre entrepriseet aux autres pages autorisées par la stratégie Sophos Mobile Control.

7

Aide à l'administration

Sophos Secure Email

Sophos Secure Email est une app pour appareils Android et iOS qui met à votre dispositionun conteneur sécurisé vous permettant d'administrer vos emails, votre agenda et vos contacts.Toutes les données sont chiffrées et protégées à partir d'un accès tiers.

8


3 À propos de la console Sophos MobileControlLa console Sophos Mobile Control est l'instrument central permettant d'administrer les appareilsavec Sophos Mobile Control. Elle est l'interface Web du serveur utilisée pour l'administrationdes appareils. Grâce au portail Web, vous pouvez mettre en place une stratégie d'entreprisepour l'utilisation des appareils et l'appliquer à tous les appareils inscrits dans Sophos MobileControl.

Dans la console Sophos Mobile Control, vous pouvez :

■ Configurer le système (par exemple, les paramètres personnels ou les paramètres de laplate-forme).

■ Configurer les règles de conformité et définir les actions à prendre si les appareils ne sontplus conformes aux règles fixées. Retrouvez plus de renseignements à la section Règlesde conformité à la page 43.

■ Inscrire les appareils dans Sophos Mobile Control. Retrouvez plus de renseignements àla section Ajout d'appareils à la page 51.

■ Approvisionner les nouveaux appareils. Retrouvez plus de renseignements à la sectionInscription d'appareils à la page 53.

■ Installer les packages d'applications sur les appareils inscrits. Retrouvez plus derenseignements à la section Apps à la page 182.

■ Définir les profils et les stratégies de sécurité pour les appareils. Retrouvez plus derenseignements à la section Profils et stratégies à la page 73.

■ Créer des séries de tâches afin de regrouper plusieurs tâches et les transférer aux appareilsen une seule transaction. Retrouvez plus de renseignements à la section Séries de tâchesà la page 174.

■ Configurer les paramètres du Portail libre-service. Retrouvez plus de renseignements àla section Configuration du Portail libre-service à la page 26.

■ Effectuer les tâches administratives sur les appareils, par exemple, réinitialiser le mot depasse des appareils, verrouiller ou réinitialiser les appareils en cas de vol ou de perte,désinscrire les appareils. Retrouvez plus de renseignements à la section Gestion desappareils à la page 58.

■ Créer et voir des rapports. Retrouvez plus de renseignements à la section Rapports à lapage 15.

3.1 Interface d'utilisationL'interface d'utilisation de la console Sophos Mobile Control est composée d'un bandeaud'en-tête, d'un menu principal et de la fenêtre principale. La fenêtre principale affiche lesdifférentes pages de la console Sophos Mobile Control en fonction du menu sélectionné.

■ Bandeau d'en-tête

Le bandeau d'en-tête est composé de liens sur la partie droite :

■ Le nom de votre compte et le nom du client.

9


■ Le bouton Aide qui ouvre l'aide en ligne dans une fenêtre de navigation séparée.

■ Le bouton de Déconnexion qui vous déconnecte de la console Sophos Mobile Control.

■ Menu principal

Le menu principal sur la gauche vous permet d'accéder aux fonctions principales deSophos Mobile Control.

Remarque : le rôle d'administrateur qui vous a été assigné a un effet sur les actions quevous pouvez mener. Retrouvez plus de renseignements à la section Rôles de l'utilisateur àla page 11.

3.2 TableauxLa majorité des pages de la console Sophos Mobile Control sont affichées sous forme detableau.

Ces tableaux offrent des options de commande que vous pouvez utiliser.

Au-dessus du tableau :

■ Utilisez l'icône Afficher ou masquer des colonnes pour configurer les colonnes dutableau que vous souhaitez voir.

■ Saisissez du texte dans le champ Rechercher pour afficher uniquement les rangées dedonnées contenant ce texte dans les colonnes. Remarque : la recherche sur les colonnesde date est effectuée selon le format interne aaaa-mm-jj.

Dans le tableau :

■ Cliquez sur une en-tête de colonne pour trier les rangées du tableau en fonction de cettepropriété. Cliquez de nouveau pour inverser l'ordre de tri.

■ Cliquez sur le triangle bleu à côté du nom pour effectuer les actions sur cette entrée :Afficher, Modifier, Supprimer.

En dessous du tableau :

■ Utilisez les boutons de navigation pour afficher une page spécifique du tableau.

■ Utilisez l'icône Exporter pour exporter soit le tableau tout entier, sot la page en cours dansun fichier Microsoft Excel ou dans un fichier CSV (valeurs séparées par virgule). Si vousavez configuré un filtre de rangée, seules les rangées affichées seront exportées.

3.3 Conditions préalablesAvant d'utiliser la console Sophos Mobile Control :

■ Votre ordinateur doit être connecté à Internet et disposer d'un navigateur Internet. Retrouvezplus de renseignements sur les navigateurs pris en charge et sur les versionscorrespondantes dans les Notes de publication de Sophos Mobile Control.

■ Le super administrateur doit avoir créé un client (un « locataire » dont les appareils sontadministrés dans Sophos Mobile Control). Retrouvez plus de renseignements dans leGuide du super administrateur de Sophos Mobile Control (anglais).

Remarque : un client est prédéfini dans la version SaaS de Sophos Mobile Control. Lessuper administrateurs ne sont pas pris en charge sur la version SaaS de Sophos MobileControl.

10



■ Vous devez disposer d'un compte d'utilisateur Sophos Mobile Control et des codes d'accèscorrespondant pour vous connecter à la console Sophos Mobile Control. Les codes d'accèsnécessitent de remplir les champs Client, Utilisateur et Mot de passe. Retrouvez plus derenseignements à la section Connexion à la console Sophos Mobile Control à la page 12.

3.4 Rôles d'utilisateurLes utilisateurs de Sophos Mobile Control ont des rôles différents. Vous assignez ces rôleslorsque vous créez de nouveaux administrateurs. Retrouvez plus de renseignements à lasection Création d'administrateurs à la page 212.

La disponibilité des modules/fonctions dans la console Sophos Mobile Control dépend durôle utilisé.

Vous pouvez affecter les rôles suivants :

DescriptionRôle

Ce rôle dispose des droits pour effectuer toutes les actionsdisponibles.

Administrator

Ce rôle est autorisé à effectuer toutes les actions nécessaires àl'inscription et à l'administration d'un appareil mais ne peut pas

Limited Administrator

spécifier de paramètres essentiels et ne peut pas gérer d'autresadministrateurs.

Ce rôle peut afficher la liste des appareils et peut créer des rapports.Par exemple, un auditeur ou un employé qui a besoin d'informationssur les paramètres utilisés dans Sophos Mobile Control.

Reporting

Ce rôle est confié aux employés responsables du téléchargement,de la mise à jour ou de la suppression de documents distribués via

Content admin

la fonction Documents. Généralement ce rôle est assigné à unepersonne ne faisant pas partie du service informatique. Lesautorisations sont définies de manière à limiter la visibilité et l'accèsexclusivement au contenu du menu Documents.

Ce rôle a été conçu dans l'optique de fournir du support technique.Il dispose de droits limités (par exemple l'installation des packages

Helpdesk

logiciels). Ce rôle n'a pas accès aux fonctions vitales telles que ladéfinition des paramètres et la création, la suppression ou lamodification d'appareils, de groupes d'appareils, de packages et deprofils.

Ce rôle peut administrer les groupes d'apps. Un utilisateur classiquesera un administrateur qui accède à l'interface de services Web

App Group Administrator

Sophos Mobile Control pour créer, mettre à jour ou lire des groupesd'apps.

Si vous souhaitez créer d'autres rôles, veuillez contacter l'équipe du support de Sophos.

11


3.5 Connexion à la console Sophos Mobile Control1. Ouvrez l'adresse Web de la console Sophos Mobile Control dans votre navigateur Web.

2. Dans la boîte de dialogue de connexion, saisissez votre nom de client et vos codes d'accèsd'utilisateur (nom et mot de passe) et cliquez sur Connexion.

Le Tableau de bord du client apparaît.

Remarque : lorsque vous vous connectez à la console Sophos Mobile Control pour lapremière fois, vous êtes invité à changer de mot de passe.

Remarque : l'administrateur peut afficher des messages dans la boîte de dialogue deconnexion, pour informer, par exemple des prochaines mises à niveau ou des périodesd'interruption de service à venir. Cliquez sur le message pour voir tout le contenu.

3.6 Déconnexion de la console Sophos Mobile ControlPour vous déconnecter de la console Sophos Mobile Control, cliquez sur Déconnexion dansle bandeau d'en-tête.

3.7 Changement de mot de passeVous pouvez changer de mot de passe à tout moment de votre choix après vous être connectéà la console Sophos Mobile Control :

1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Général, puis surl'onglet Changement de mot de passe.

2. Saisissez votre ancien mot de passe, votre nouveau mot de passe et confirmez-le.

3. Cliquez sur Enregistrer.

3.8 Récupération du mot de passeEn cas d'oubli de votre mot de passe de connexion à la console Sophos Mobile Control, vousavez la possibilité de le réinitialiser.

1. Dans la boîte de dialogue de Connexion de la console Sophos Mobile Control, cliquezsur Mot de passe oublié ?

La boîte de dialogue Réinitialiser le mot de passe apparaît.

2. Saisissez les informations requises dans les champs Client et Utilisateur et cliquez surRéinitialiser le mot de passe.

Vous allez recevoir un email contenant un lien vous permettant de réinitialiser votre motde passe.

3. Cliquez sur le lien.

La boîte de dialogue Changer le mot de passe apparaît.

4. Saisissez un nouveau mot de passe, confirmez-le et cliquez sur Changer de mot depasse.

Votre mot de passe a été changé et vous êtes connecté à la console Sophos Mobile Control.

12


4 Étapes essentielles pour l'administrationd'appareils dans Sophos Mobile ControlSophos Mobile Control offre un large éventail de fonctions d'administration des appareilsmobiles selon le type d'appareils utilisés, les stratégies de sécurité de l'entreprise et sesexigences spécifiques.

Les étapes essentielles pour l'administration d'appareils à l'aide de Sophos Mobile Controlsont :

■ Configurer les règles de conformité pour les appareils. Retrouvez plus de renseignementsà la section Règles de conformité à la page 43.

■ Créer des groupes d'appareils. Retrouvez plus de renseignements à la section Créationd'un groupe d'appareils à la page 72.

Les groupes d'appareils sont utilisés pour diviser les appareils en catégories. Nous vousconseillons de regrouper les appareils. De cette manière, vous pourrez les gérer de manièreplus efficace en effectuant les tâches sur un groupe plutôt que sur chaque appareilindividuellement.

■ Inscrire et approvisionner des appareils. Retrouvez plus de renseignements aux sectionsAjout d'appareils à la page 51 et Inscription d'appareils à la page 53.

Les appareils peuvent être inscrits et approvisionnés par les administrateurs via la consoleSophos Mobile Control ou par les utilisateurs des appareils via le Portail libre-service.

■ Paramétrer les profils et les stratégies de sécurité pour les appareils. Retrouvez plus derenseignements à la section Profils et stratégies à la page 73.

■ Créer des séries de tâches. Retrouvez plus de renseignements à la section Séries detâches à la page 174.

■ Configurer les fonctions disponibles du Portail libre-service. Retrouvez plus derenseignements à la section Configuration du Portail libre-service à la page 26.

■ Créer ou mettre à jour des profils et paramètres de sécurité et les appliquer aux appareilsinscrits.

13


5 Tableau de bordRemarque : cette section s'applique au Tableau de bord de l'administrateur régulier. Pourle super administrateur, le Tableau de bord est utilisé pour administrer les clients. Retrouvezplus de renseignements dans le Guide du super administrateur de Sophos Mobile Control(anglais).

Le Tableau de bord personnalisable constitue la page de démarrage de Sophos MobileControl et permet d'accéder aux informations les plus importantes en un clin d'œil. Il estcomposé de différents widgets fournissant des informations sur :

■ Les appareils (tous les appareils ou les appareils par groupe).

■ L'état de conformité par plate-forme ou de tous les appareils.

■ L'état d'administration par plate-forme ou de tous les appareils.

■ L'état d'enregistrement au PLS.

■ Les versions de plate-forme utilisées

Un widget spécial Ajouter un appareil est également disponible pour lancer l'assistantd'inscription d'appareils. Retrouvez plus de renseignements à la section Utilisation de l'assistantd'inscription d'appareils pour assigner et inscrire de nouveaux appareils à la page 54.

Les options de personnalisation du Tableau de bord suivantes sont disponibles :

■ Pour ajouter un widget à la page, cliquez sur Ajouter un widget.

■ Pour supprimer un widget de la page, cliquez sur le bouton Fermer dans son en-tête.

■ Pour réinitialiser la page à l'affichage par défaut, cliquez sur Rétablir la disposition pardéfaut.

■ Réorganisez les widgets sur la page en les faisant glisser par leur en-tête.

14




6 RapportsSophos Mobile Control vous permet de créer différents rapports à partir des endroits suivants :

■ Appareils

■ Apps et documents

■ Violations de conformité

■ Malwares

Pour créer un rapport :

1. Sur le menu latéral, sous INFORMATION, cliquez sur Rapports et cliquez sur le nom durapport désiré.

2. Dans la boîte de dialogue Choisir le format, cliquez sur l'une des icônes disponibles poursélectionner le format de sortie désiré :

■ Cliquez sur pour exporter le rapport dans un fichier Microsoft Excel.■ Cliquez sur pour exporter le rapport dans un fichier CSV (valeurs séparées par

virgule).

Le rapport va être enregistré localement sur votre ordinateur à l'aide des paramètres detéléchargement de votre navigateur Web.

15


7 TâchesLa page Vue des tâches vous donne un aperçu de toutes les tâches créées et exécutées etaffiche leur état actuel.

Vous pouvez surveiller toutes vos tâches et intervenir en cas de problèmes. Par exemple,vous pouvez supprimer une tâche qui est impossible à accomplir et qui bloque l'appareil.

Pour supprimer une tâche, cliquez sur l'icône Supprimerapparaissant à côté de son nom.

Vous pouvez filtrer les tâches par Type et par État et les trier par nom d'appareil, nom depackage, nom de la personne les ayant créées et la date à laquelle elles sont planifiées.

7.1 Surveillance des tâchesLa console Sophos Mobile Control vous permet de surveiller toutes les tâches existantes pourles appareils.

■ La page Tâches vous indique toutes les tâches qui ont échoué, qui ne sont pas encoreterminées ainsi que celles qui ont été effectuées récemment. La page Vue des tâchesest actualisée automatiquement. Vous pouvez donc suivre l'évolution des états desdifférentes tâches.

■ La page Détails de la tâche vous donne des informations générales sur une tâche à partirde la page Tâches ou de la page Archive des tâches.

■ La page Archive des tâches affiche toutes les tâches.

7.1.1 Affichage des tâches non terminées, en échec et récemmentterminées

1. Sur le menu latéral, sous INFORMATION, cliquez sur Tâches.

2. Sur la page Vue des tâches, la colonne État indique l'état d'une tâche, par exemple Échectotal.

3. Dans le champ Intervalle de rafraîchissement (en sec.), vous pouvez sélectionner lafréquence à laquelle la page Vue des tâches est rafraîchie :

4. Retrouvez plus de renseignements sur une tâche en cliquant sur l'icône en forme de loupeAfficher correspondant à la tâche désirée.

La page Détails de la tâche apparaît. En plus des informations générales sur la tâche(par exemple le nom de l'appareil, le nom du package et le créateur), cette vue affiche lesétats passés d'une tâche spécifique y compris l'horodatage et les codes d'erreur. Si descommandes doivent être exécutées par l'appareil, un bouton Détails supplémentaire estdisponible sur la page Détails de la tâche.

5. S'il est disponible, cliquez sur Détails pour voir la commande devant être exécutée parl'appareil.

Les commandes envoyées à l'appareil font partie de la tâche. Elles sont exécutées parl'app SMC ou par le client MDM. Les résultats indiquant le succès ou l'échec sont transmisau serveur. S'il n'y a eu aucune erreur, le code d'erreur est « 0 ». En cas d'échec d'unecommande, le code d'erreur est affiché. Dans la majorité des cas, une description de lacause de l'échec de la commande est également affichée.

16


6. Pour retourner sur la page Détails de la tâche, cliquez sur Précédent.

7.1.2 Affichage de la vue Archive des tâches

1. Sur le menu latéral, sous INFORMATION, cliquez sur Tâches.

2. Sur la page Vue des tâches, cliquez sur Archive des tâches.

La page Archive des tâches apparaît. Elle affiche toutes les tâches terminées ou enéchec sur le système.

3. Cette page vous permet de :

■ Cliquer sur Recharger pour rafraîchir la page Archive des tâches.■ Supprimer une tâche de l'archive en cliquant sur l'icône Supprimer correspondant à

la tâche.■ Sélectionner plusieurs tâches et cliquez sur Supprimer la sélection pour les supprimer

de l'archive.

Pour retourner sur la page Vue des tâches, cliquez sur Tâches dans le menu latéral.

7.1.3 État des tâches

Le tableau suivant vous donne une vue générale de l'état des tâches indiqué sur les pagesVue des tâches et Archive des tâches.

Chaque état est associé à un code couleur qui indique la catégorie de l'état.

DescriptionÉtatCode couleur

La tâche a été créée.Accepté

Une nouvelle tentative d'exécution de la tâche seraeffectuée ultérieurement.

Sera réessayé

La tâche a été démarrée.Démarré

L'exécution de la tâche est en cours de préparation.En cours

L'exécution de la série de tâches est en cours depréparation.

Série de tâches en cours

L'app SMC a été notifiée.Notifié

L'app SMC a reçu le package et/ou les commandes.Commandes envoyées

L'app SMC a répondu et l'évaluation des résultats adémarré.

Évaluation des résultatsdémarrée

L'évaluation des résultats indique que les résultats descommandes n'ont pas encore tous été reçus.

Résultat incomplet

17


DescriptionÉtatCode couleur

Une action de l'utilisateur est en attente sur l'appareil.En attente de l'interaction del'utilisateur

La tâche attend que l'appareil soit déverrouillé (sur iOSuniquement).

L'appareil est verrouillé

Le package a été installé ou les commandes ont étéexécutées avec succès.

Remarque : pour l'approvisionnement initial de l'appSophos Mobile Control, la tâche doit se terminer avecl'état Installé.

Succès

L'app Sophos Mobile Control a été installée avec succès.L'appareil est maintenant approvisionné.

Installé

L'évaluation des résultats n'a pas pu être exécutée.Échec de l'évaluation desrésultats

Les commandes de la tâche n'ont pas pu toutes êtreexécutées avec succès.

Échec partiel de la tâche

La tâche sera redémarrée ultérieurement.Retardé

La tâche a échoué et une nouvelle tentative d'exécutionsera effectuée ultérieurement.

Échec (nouvelle mise en filed'attente)

La tâche a échoué et aucune autre tentative d'exécutionest en file d'attente.

Échec de la tâche

La tâche a échoué et il est impossible de réessayer.Échec total

La tâche fait partie d'une série de tâches et n'a pasencore été traitée.

Non démarré

Une session AirPlay a été demandée (sur iOSuniquement).

Session requise

Le serveur n'a aucune information sur l'état de la tâche.Inconnu

CatégorieCode couleur

Ouvrir

En cours

Succès

Échec

18


CatégorieCode couleur

Autre

19


8 Paramètres générauxLa page Paramètres généraux vous permet de configurer certains paramètres de base deSophos Mobile Control.

8.1 Configuration des paramètres personnelsPour utiliser la console Sophos Mobile Control de manière plus efficace, vous pouvezpersonnaliser l'interface utilisateur afin de n'afficher que les plates-formes sur lesquelles voustravaillez.

Remarque : la configuration des plates-formes vous permet uniquement de modifier la vuede l'utilisateur actuellement connecté. Vous ne pouvez pas désactiver de fonctions.

1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Général, puis surl'onglet Personnel.

20


2. Configurez les paramètres suivants :

DescriptionOption

Sélectionnez la langue que vous voulez utiliser dans SophosMobile Control.

Langue

Sélectionnez le fuseau horaire dans lequel les dates serontaffichées.

Fuseau horaire

Sélectionnez le système de mesure pour les unités de longueur(Métrique ou Impériale).

Système de mesure

Sélectionnez le nombre maximal de séries de lignes de tableauque vous souhaitez afficher par page.

Lignes par page dans lestableaux

Sélectionnez cette case pour voir toutes les informationsdisponibles sur l'appareil. Les onglets Propriétés personnaliséeset Propriétés internes seront ajoutés à la page Affichage del'appareil.

Afficher plus de détails surl'appareil

Sélectionnez les plates-formes que vous voulez administrer pourle client :

Plates-formes activées

Android

iOS

Windows Mobile (inclut les systèmes d'exploitation WindowsPhone 8.1 et Windows 10 Mobile)

Windows Desktop

L'interface utilisateur de la console Sophos Mobile Controls'ajustera en fonction de la plate-forme que vous sélectionnez.Seules les vues et fonctions correspondant à la plate-formesélectionnée seront affichées.

Remarque : la liste des plates-formes disponibles dépend desparamètres définis sur votre plate-forme à partir de la configurationdu super administrateur. Retrouvez plus de renseignements dansle Guide du super administrateur de Sophos Mobile Control(anglais).


8.2 Configuration des stratégies de mot de passePour appliquer la sécurité des mots de passe, configurez les stratégies de mot de passe pourles utilisateurs de la console et du Portail libre-service Sophos Mobile Control.

Remarque : les stratégies de mot de passe ne s'appliquent pas aux utilisateurs d'un annuaireLDAP externe. Retrouvez plus de renseignements sur la gestion des utilisateurs externesdans le Guide du super administrateur de Sophos Mobile Control (anglais).

1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Général, puis surStratégies de mot de passe.

21





2. Sous Règles, vous pouvez indiquer les conditions requises en terme de création d'un motde passe, notamment le nombre minimum de minuscules, de majuscules ou de chiffresqu'un mot de passe doit contenir pour être validé.

3. Sous Paramètres, configurez les paramètres suivants :

a) Intervalle de modification du mot de passe (en jours) : saisissez le nombre de joursde validité du mot de passe (entre 1 et 730) ou laissez le champ vide pour désactiverl'expiration du mot de passe.

b) Nombre d'anciens mots de passe ne pouvant pas être réutilisés : Sélectionnezune valeur entre 1 et 10 ou sélectionnez --- pour désactiver cette restriction.

c) Nombre maximal de tentatives ratées de connexion : Sélectionnez le nombre detentatives ratées de connexion autorisées avant le verrouillage du compte (entre 1 et10) ou sélectionnez --- pour autoriser un nombre illimité de tentatives ratées deconnexion.


8.3 Configuration des paramètres de l'app SMCL'onglet App SMC de la page Paramètres généraux vous permet de configurer les paramètresde l'app Sophos Mobile Control sur les appareils Android, iOS et Windows Mobile.

1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Général, puis surl'onglet App SMC.


DescriptionOption

Retirez le bouton Désinscrire de l'app Sophos Mobile Controlafin d'empêcher les utilisateurs de désinscrire leur appareil à l'aidede l'app.

Remarque : pour empêcher totalement la désinscription parl'utilisateur, désactivez également l'option Désinscrire l'appareildans les paramètres du Portail libre-service. Retrouvez plus derenseignements à la section Configuration des paramètres duPortail libre-service à la page 27.

Désactiver la désinscriptionvia l'app


8.4 Activation du service Baidu Cloud PushSophos Mobile Control utilise le service Google Cloud Messaging (GCM) pour envoyer desnotifications push aux appareils Android afin qu'ils entrent en contact avec le serveur SophosMobile Control. En Chine, il est fort probable que GCM ne fonctionne pas. Par conséquent,Sophos Mobile Control peut également utiliser le service de notification push chinois BaiduCloud Push.

Si vous gérez des appareils Android situés en Chine, veuillez activer le service Baidu CloudPush comme suit :

1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Général, puis surl'onglet Android.

22


2. Sous la section Service Baidu Cloud Push, sélectionnez Activer le service Baidu CloudPush.


Lorsque Baidu Cloud Push est activé, Sophos Mobile Control envoie toutes les notificationspush par le biais de GCM et de Baidu Cloud Push.

8.5 Configuration des paramètres iOSL'onglet iOS de la page Paramètres généraux vous permet de configurer les paramètresspécifiques aux appareils iOS.

1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Général, puis surl'onglet iOS.


DescriptionOption

Sélectionnez Activer afin de pouvoir désactiver le Verrouillaged'activation sur les appareils supervisés.

Lorsque cette option est sélectionnée, Sophos Mobile Controlrécupère un code de contournement lors de la synchronisationavec un appareil supervisé dont le verrouillage d'activation estopérationnel. Si nécessaire, vous pouvez lancer l'actionContournement du verrouillage d'activation à partir de la pageAffichage de l'appareil pour désactiver le verrouillage d'activationlorsque l'appareil doit être supprimé et redéployé.

Le verrouillage d'activation est une fonction de sécurité d'iOSpermettant d'empêcher la réactivation d'appareils perdus ou volés.Généralement, vous avez besoin de l'identifiant Apple et du motde passe pour désactiver le verrouillage d'activation. La fonctionde verrouillage d'activation vous permet de désactiver leverrouillage d'activation en fournissant uniquement le code decontournement.

Contournement duverrouillage d'activation

Sélectionnez Activer pour gérer les appareils iOS sous le nomconfiguré sur l'appareil.

Lorsque cette option est sélectionnée, le nom de l'appareil utilisépar Sophos Mobile Control est défini à chaque fois que l'appareilse synchronise avec Sophos Mobile Control.

Lorsque cette option n'est pas sélectionnée, vous devez définirle nom de l'appareil au moment de son inscription.

Synchronisation du nom del'appareil


8.6 Configuration de l'intervalle d'interrogation pour lesappareils WindowsSur les appareils Windows, vous pouvez configurer l'intervalle d'interrogation auquel le clientMDM Windows contactera le serveur Sophos Mobile Control. généralement, le serveur contacte

23


le client à l'aide des notifications push. L'interrogation est utilisée en tant que mesure desécurité en cas d'indisponibilité du service de notification push.

Remarque : dans la majorité des cas, vous pouvez utiliser les valeurs par défaut. L'utilisationd'intervalles de courte durée à un impact sur l'autonomie de la batterie et sur la consommationde données et impose une plus grande utilisation des ressources du serveur.

1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Général, puis surl'onglet Windows.

2. Sélectionnez les intervalles d'interrogation pour les différents systèmes d'exploitationWindows. Vous pouvez configurer les paramètres individuels pour les :

■ Appareils Windows 10 Mobile and Windows Phone 8.1.■ Appareils Windows 10 Desktop.


8.7 Configuration de la messagerieL'onglet Configuration de la messagerie vous permet de configurer les paramètres desemails que Sophos Mobile Control enverra aux utilisateurs.

1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Général, puis surl'onglet Configuration de la messagerie.

2. Dans la liste déroulante Langue, saisissez la langue dans laquelle l'email sera envoyé :

3. Dans le champ Nom de l'expéditeur, saisissez le nom sous lequel apparaîtra l'expéditeurde l'email.


8.8 Configuration des coordonnées du contact techniquePour assister vos utilisateurs en cas de questions ou de problèmes, vous pouvez leur fournirles coordonnées du support technique. Les informations que vous saisissez ici sont affichéesdans l'app Sophos Mobile Control et sur le Portail libre-service.

1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Général, puis surl'onglet Contact technique.

2. Saisissez les informations suivantes concernant le contact technique.


8.9 Propriétés pour les clientsVous pouvez définir des propriétés pour les clients.

Lorsque vous définissez une propriété sous le nom ma propriété, vous pouvez faireréférence à la valeur de la propriété dans les profils et stratégies en utilisant l'espace réservé%_CUSTPROP(ma propriété)_%. Par exemple, vous pouvez utiliser ceci pour faire référenceà un domaine spécifique au client.

Retrouvez plus de renseignements sur les espaces réservés aux profils et stratégies à lasection Espaces réservés dans les profils et stratégies à la page 76.

24


Pour définir une propriété pour le client :

1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Général, puis surl'onglet Propriétés client.

2. Cliquez sur Ajouter une propriété client.

3. Saisissez un Nom et une Valeur pour la nouvelle propriété.

4. Cliquez sur Appliquer pour ajouter la propriété.

5. Cliquez sur Enregistrer pour enregistrer les modifications des paramètres du client.

25


9 Configuration du Portail libre-serviceLe Portail libre-service vous permet de réduire la charge de travail de votre service informatiqueen laissant les utilisateurs inscrire eux-mêmes leurs propres appareils et effectuer les tâchessans avoir à contacter le service d'assistance.

Sur le menu latéral, vous pouvez configurer les paramètres d'utilisation du Portail libre-service.Par exemple :

■ Les plates-formes sur lesquelles les appareils peuvent être inscrits.

■ Les fonctions disponibles.

■ Les utilisateurs autorisés à accéder au Portail libre-service.

9.1 Création de groupes du Portail libre-service à l'aidede la gestion interne des utilisateursLes configurations du Portail libre-service sont appliquées aux groupes d'utilisateurs du Portaillibre-service. Grâce à la gestion interne des utilisateurs, vous pouvez créer des groupes duPortail libre-service et leur affecter des utilisateurs. Retrouvez plus de renseignements sur lagestion des utilisateurs à la section Gestion des utilisateurs du Portail libre-service à la page31.

Remarque : la gestion interne des utilisateurs est uniquement disponible pour un client sielle a été activée par le super administrateur. Retrouvez plus de renseignements dans leGuide du super administrateur de Sophos Mobile Control (anglais). Cette fonction n'est pasdisponible sur la version SaaS de Sophos Mobile Control. Les super administrateurs ne sontpas pris en charge sur la version SaaS de Sophos Mobile Control. Retrouvez plus derenseignements sur la manière de définir les méthodes de gestion des utilisateurs pour laversion SaaS de Sophos Mobile Control à la section Configuration de la gestion des utilisateursdu Portail libre-service à la page 31.

Pour créer un groupe du Portail libre-service :

1. Sur le menu latéral, sous GESTION, cliquez sur Utilisateurs.

La page Affichage des utilisateurs apparaît.

2. Cliquez sur Afficher les groupes d'utilisateur.

La page Afficher les groupes d'utilisateur apparaît.

3. Cliquez sur Créer un groupe.

La page Modification du groupe apparaît.

4. Dans le champ Nom, saisissez un nom pour le groupe d'utilisateurs du nouveau Portaillibre-service.


Le nouveau groupe d'utilisateurs du Portail libre-service apparaît sur la page Afficher lesgroupes d'utilisateur. Lorsque vous créez de nouveaux utilisateurs, vous pouvez les affecterà ce groupe. Lorsque vous définissez les paramètres du Portail libre-service, vous pouvezsélectionner le groupe auquel doivent être assignés les paramètres.

26



9.2 Configuration des paramètres du Portail libre-service1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration puis sur Portail

libre-service.

La page Portail libre-service apparaît.

2. Dans l'onglet Configuration, configurez les paramètres suivants :

a) Dans la liste champ Nombre maximal d'appareils, sélectionnez le nombre maximald'appareils qu'un utilisateur peut inscrire dans le Portail libre-service. Ceci permetd'assurer que le nombre de licences disponibles n'est pas dépassé.

b) Dans la liste Présélection du propriétaire de l'appareil, choisissez de classer lesnouveaux appareils en tant qu'appareils professionnels ou privés et si les utilisateurspeuvent modifier cette classification lorsqu'ils inscrivent leurs appareils avec le Portaillibre-service. Vous pouvez sélectionner l'un des paramètres suivants :

■ aucune présélection : le champ Propriétaire dans le Portail libre-service n'est pasrempli. Les utilisateurs peuvent sélectionner un type d'appareil.

■ professionnel présélectionné : Appareil professionnel est présélectionné dansle Portail libre-service. Les utilisateurs peuvent changer le paramètre sur Appareilpersonnel.

■ professionnel fixe : le type d'appareil ne peut pas être sélectionné. Société estaffiché dans la liste en tant que propriétaire.

■ privé présélectionné : Appareil personnel est présélectionné dans le Portaillibre-service. Les utilisateurs peuvent changer le paramètre sur Appareilprofessionnel.

■ privé fixe : le type d'appareil ne peut pas être sélectionné. Privé est affiché dansla liste en tant que propriétaire.

c) Sous Fonctionnalités disponibles, sélectionnez les fonctions qui doivent être misesà disposition des utilisateurs du Portail libre-service. Les fonctions prises en chargevarient selon la plate-forme de l'appareil. Retrouvez plus de renseignements à la sectionParamètres du Portail libre-service disponibles à la page 28.

3. Sous l'onglet Conditions générales d'utilisation, vous pouvez définir la stratégie desappareils mobiles, l'avis de non-responsabilité ou le texte de la charte à afficher commepremier écran lorsque l'utilisateur inscrit son appareil. Les utilisateurs doivent accepter letexte pour pouvoir continuer.

Les balises de mise en forme HTML sont prises en charge pour le texte. Le texte s'afficheen conséquence dans le navigateur approprié.

4. Sous l'onglet Texte de post-installation, configurez le texte à afficher dans le Portaillibre-service suite à l'installation automatique. Ce texte peut indiquer à l'utilisateur lesétapes suivantes à effectuer comme par exemple, procéder à la configuration du serveurdans l'app iOS ou à la configuration du client de messagerie Android.

Les balises de mise en forme HTML sont prises en charge pour le texte. Le texte s'afficheen conséquence dans le navigateur de votre choix.

5. Sous l'onglet Paramètres de groupe, configurez les paramètres du groupe. Par exemple,les groupes d'appareils auxquels seront ajoutés les appareils inscrits et la série de tâchesqui sera transférée sur les appareils.

27


Important : en raison de la complexité de la configuration des paramètres de groupe,nous vous conseillons de tester l'inscription d'appareils pour différents groupes d'utilisateursavant de déployer les paramètres à vos utilisateurs.

a) Cliquez sur Ajouter.

La page Modification des paramètres du groupe apparaît.

b) Saisissez un Nom pour le groupe de configuration du Portail libre-service.

c) Dans le champ Groupe de répertoires, saisissez le groupe du Portail libre-serviceque vous avez défini dans la gestion des utilisateurs internes ou le groupe de gestiondes utilisateurs externes avec le chemin LDAP complet ou avec des caractères deremplacement. Vous pouvez utiliser l'astérisque (*) en tant que premier, dernier ouunique caractère dans ce champ pour indiquer plusieurs groupes. Par exemple :saisissez Dev* pour indiquer tous les noms de groupe commençant parDev. Saisissez* pour indiquer tous les groupes disponibles.

d) Sélectionnez si les textes configurés dans les onglets Conditions généralesd'utilisation et Texte de post-installation sont affichés.

e) Dans les colonnes Package initial - appareils professionnels et Package initial -appareils privés, sélectionnez la série de tâches (pour Android et iOS) ou la stratégie(pour Windows Mobile et Windows Desktop) à exécuter sur les appareils professionnelset privés.

f) Dans la colonne Actif, sélectionnez les plates-formes disponibles dans le Portaillibre-service.

Veuillez sélectionner un package initial avant de sélectionner une plate-forme.

g) Dans la colonne Ajouter au groupe d'appareils, sélectionnez le groupe auquell'appareil doit être ajouté.

Remarque : sur le menu latéral, un groupe d'appareils par défaut (Default) estdisponible. Si vous n'avez pas encore défini vos propres groupes d'appareils, vousavez la possibilité d'ajouter vos appareils à ce groupe. Retrouvez plus derenseignements à la section Groupes d'appareils à la page 72.

h) Cliquez sur Appliquer.

6. La vue Portail libre-service apparaît. Cliquez sur Enregistrer.

Remarque : en tant que super administrateur, vous pouvez également définir le client pardéfaut pour la connexion des utilisateurs au Portail libre-service. Retrouvez plus derenseignements dans le Guide du super administrateur de Sophos Mobile Control (anglais).Veuillez noter que cette fonction n'est pas disponible sur la version SaaS de Sophos MobileControl. Les super administrateurs ne sont pas pris en charge sur la version SaaS de SophosMobile Control.

9.3 Paramètres du Portail libre-service disponiblesLe tableau suivant répertorie les fonctions du Portail libre-service que vous pouvez activerou désactiver conformément à ce qui est décrit à la section Configuration des paramètres duPortail libre-service à la page 27 et les plates-formes avec lesquelles une fonction estcompatible.

28



WindowsDesktop

WindowsMobile

iOSAndroidDescriptionParamètre

Cette fonction permet auxutilisateurs de géolocaliserles appareils perdus ouvolés.

Géolocaliserl'appareil

Cette fonction permet auxutilisateurs de verrouiller lesappareils perdus ou volés.

Verrouiller l'appareil

Cette fonction permet auxutilisateurs de reconfigurerleur appareil si SophosMobile Control a été

Reconfigurerl'appareil

supprimé et que l'appareil esttoujours inscrit.

Cette fonction permet auxutilisateurs d'afficher lesviolations de conformité surleurs appareils.

Afficher lesviolations deconformité

Cette fonction permet auxutilisateurs de synchronisermanuellement les appareilsavec le serveur Sophos

Rafraîchir lesdonnées

Mobile Control. Ceci s'avèreparticulièrement utile si, parexemple, l'appareil a étééteint pendant une longuepériode de temps et n'a doncpas été synchronisé avec leserveur. Dans ce cas, il sepeut que l'appareil ne soitpas conforme (selon lesrègles de conformitéconfigurés) et qu'il soitnécessaire de lesynchroniser avec le serveurpour qu'il soit de nouveauconforme.

Cette fonction permet auxutilisateurs de réinitialiserleur mot de passe dedéverrouillage de l'écran.

Réinitialiser le mot depasse

Pour les appareils Android etiOS, un mot de passetemporaire est affiché sur lePortail libre-service.L'appareil peut uniquementêtre déverrouillé avec ce motde passe. Suite audéverrouillage de leursappareils, les utilisateurspeuvent définir un nouveau

29


WindowsDesktop

WindowsMobile


mot de passe. Pour lesappareils iOS, le mot depasse est définitivementsupprimé. L'utilisateurdispose de 60 minutes pourdéfinir un nouveau mot depasse.

Cette fonction permet auxutilisateurs de réinitialiserleurs appareils inscrits auxparamètres d'usine en cas

Réinitialiser

de perte ou de vol. Toutesles données se trouvant surl'appareil seront supprimées.

Sur les appareils inscrits àAndroid for Work, seul leprofil professionnel estsupprimé. L'appareil n'estpas réinitialisé.

Cette fonction permet auxutilisateurs dedécommissionner lesappareils qu'ils n'utilisent

Désinscrire l'appareil

plus. Ceci peut s'avérerparticulièrement utile si, parexemple, le nombred'utilisateurs pouvants'inscrire au Portaillibre-service est limité ou siles utilisateurs reçoivent denouveaux appareils.

Cette fonction permet auxutilisateurs de supprimer toutappareil décommissionné.

Supprimer l'appareilnon administré

Cette fonction permet auxutilisateurs de réinitialiserleur mot de passe deProtection des apps sur les

Réinitialiser le mot depasse de laProtection des apps

appareils Android. Le mot depasse de la Protection desapps protège les appsdéfinies et doit être saisi àchaque fois qu'un utilisateurdémarre une de ces apps. Lemot de passe va êtresupprimé et l'utilisateur vadevoir en créer un nouveau.

30


WindowsDesktop

WindowsMobile


Cette fonction permet auxutilisateurs de réinitialiser lemot de passe du conteneurSophos. Le mot de passe du

Réinitialiser le mot depasse du conteneurSophos

conteneur Sophos doit êtresaisi à chaque fois qu'unutilisateur démarre l'une desapps du conteneur. Le motde passe va être supprimé etl'utilisateur va devoir en créerun nouveau.

Cette fonction permet auxutilisateurs de reconfigurerune app Sophos MobileControl déjà installée.

Reconfigurer l'appSMC

9.4 Gestion des utilisateurs du Portail libre-serviceSophos Mobile Control vous offre différentes méthodes de gestion des utilisateurs du Portaillibre-service :

■ Gestion des utilisateurs internes : la gestion des utilisateurs internes vous permet decréer des utilisateurs en les ajoutant manuellement dans la console Sophos Mobile Controlou en les important à partir d'un fichier CSV.

■ Gestion des utilisateurs externes : grâce à la gestion externe des utilisateurs, vouspouvez affecter des appareils à des groupes et à des profils selon que leur utilisateur estmembre d'un répertoire externe.

La méthode de gestion des utilisateurs est spécifique au client. Pour les installations localesde Sophos Mobile Control, cette opération est définie par le super administrateur au momentde la création d'un client. Pour la version SaaS de Sophos Mobile Control, vous devez ladéfinir avant d'ajouter des utilisateurs. Retrouvez plus de renseignements à la sectionConfiguration de la gestion des utilisateurs du Portail libre-service à la page 31.

9.4.1 Configuration de la gestion des utilisateurs du Portail libre-service

Remarque : pour les installations locales de Sophos Mobile Control, la gestion des utilisateurspour le Portail libre-service est configurée par le super administrateur au moment de la créationdu client. Retrouvez plus de renseignements dans le Guide du super administrateur de SophosMobile Control (anglais).

1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration puis surConfiguration du système.

La page Configuration du système apparaît.

2. Allez dans l'onglet Configuration de l'utilisateur. Dans cet onglet, sélectionnez la sourcede données pour que les utilisateurs du Portail libre-service (PLS) soient administrés parSophos Mobile Control.

■ Aucun. PLS, profil utilisateur ou administrateur LDAP indisponible.

31


■ Sélectionnez Répertoire interne pour utiliser la gestion interne des utilisateurs (pourles utilisateurs du Portail libre-service de Sophos Mobile Control).

■ Sélectionnez Répertoire LDAP externe pour utiliser la gestion externe des utilisateurspour les utilisateurs du Portail libre-service de Sophos Mobile Control.

Cliquez sur Configurer le LDAP externe pour indiquer les détails du serveur. Retrouvezplus de renseignements à la section Configuration d'une connexion à l'annuaire externeà la page 32.


Si vous avez sélectionné Annuaire interne ou Annuaire LDAP externe, l'optionsélectionnée et l'option Aucun. PLS, profil utilisateur ou administrateur LDAPindisponible apparaissent dans l'onglet Configuration de l'utilisateur. Si vous souhaitezchanger votre sélection par la suite, sélectionnez Aucun. PLS, profil utilisateur ouadministrateur LDAP indisponible pour que toutes les options soient disponibles.

Remarque : il est impossible de modifier la configuration de la gestion des utilisateurstant que des appareils sont reliés au répertoire. Si vous essayez de changer la configurationalors que des appareils sont toujours connectés, vous verrez un message d'erreurapparaître.

9.4.1.1 Configuration d'une connexion à l'annuaire externeLorsque vous utilisez un annuaire LDAP externe pour gérer les comptes d'utilisateur pour laconsole et le Portail libre-service Sophos Mobile Control, veuillez configurer la connexion àl'annuaire afin que Sophos Mobile Control puisse récupérer les données de l'utilisateur àpartir du serveur LDAP. Pour les installations locales de Sophos Mobile Control, cette opérationest effectuée par le super administrateur au moment de la création du client.

Remarque : il n'y a pas de synchronisation entre le répertoire LDAP et Sophos Mobile Control.Sophos Mobile Control accède uniquement au répertoire LDAP pour consulter les informationssur l'utilisateur. Les modifications d'un compte d'utilisateur LDAP ne sont pas appliquées surla base de données Sophos Mobile Control et vice versa.

1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration dusystème, puis sur l'onglet Configuration de l'utilisateur.

2. Sélectionnez Annuaire LDAP externe.

3. Cliquez sur Configurer le LDAP externe pour indiquer les détails du serveur.

4. Sur la page Détails du serveur de l'assistant, configurez les paramètres suivants :

a) Sélectionnez le Type LDAP. Sophos Mobile Control prend en charge :

■ Active Directory

■ IBM Domino

■ NetIQ eDirectory

■ Red Hat Directory Server

■ Zimbra

b) Dans le champ URL principale, saisissez l'URL du serveur d'annuaire principal. Vouspouvez saisir l'adresse IP du serveur ou le nom du serveur. Sélectionnez SSL pourpouvoir l'utiliser pour la connexion au serveur. Dans la version SaaS de Sophos MobileControl, l'option SSL ne peut pas être dessélectionnée.

c) Facultatif - Dans le champ URL secondaire, saisissez l'URL d'un serveur d'annuairesutilisé si le serveur principal ne peut pas être joint. Vous pouvez saisir l'adresse IP du

32


serveur ou le nom du serveur. Sélectionnez SSL pour pouvoir l'utiliser pour la connexionau serveur. Dans la version SaaS de Sophos Mobile Control, l'option SSL ne peut pasêtre dessélectionnée.

d) Dans le champ Utilisateur, saisissez un compte pour les opérations de recherche dansle serveur d'annuaire. Sophos Mobile Control utilise les codes d'accès du compte pourse connecter au serveur d'annuaire.

Pour Active Directory, vous devez également saisir le domaine adéquat. Les formatspris en charge sont :

■ <domaine>\<nom d'utilisateur>

■ <nom d'utilisateur>@<domaine>.<code du domaine>

Remarque : pour des raisons de sécurité, nous vous conseillons d'indiquer un utilisateurdisposant uniquement des droits en lecture sur le serveur d'annuaire et pas des droitsen écriture.

e) Dans le champ Mot de passe, saisissez un mot de passe pour l'utilisateur.

Cliquez sur Suivant.

5. Sur la page Base de recherche, saisissez le nom unique de l'objet de la base de recherche.

L'objet de la base de recherche définit l'emplacement de l'annuaire externe à partir duquella recherche de l'utilisateur ou du groupe d'utilisateurs commence.

6. Sur la page Champs de recherche, indiquez les champs d'annuaire à utiliser à la placedes espaces réservés %_USERNAME_% et %_EMAILADDRESS_% dans les profils etdans les stratégies. Saisissez les noms de champs requis ou sélectionnez les dans leslistes Nom d'utilisateur et Email.

Remarque : les listes contiennent uniquement les fichiers configurés pour l'utilisateuractuellement connecté à l'annuaire LDAP conformément à ce qui est indiqué à l'étape 7.dci-dessus. Si, par exemple, un champ d'email n'a pas été configuré pour cet utilisateur,veuillez saisir manuellement la valeur requise dans le champ Email.

Dans le cas d'Active Directory, les mappages de champ suivants s'appliquent :

■ Nom d'utilisateur : sAMAccountName

■ Prénom : givenName

■ Nom : sn

■ Email : mail

7. Dans le champ Configuration du PLS, indiquez les utilisateurs autorisés à se connecterau Portail libre-service. Saisissez les informations adéquates dans le champ Groupe PLSà l'aide d'une des options suivantes :

■ Lorsque vous saisissez une astérisque *, tous les utilisateurs de l'annuaire authentifiéssont autorisés à se connecter au Portail libre-service.

■ Lorsque vous saisissez le nom d'un group défini sur le serveur d'annuaire, tous lesmembres de ce groupe sont autorisés à se connecter au Portail libre-service. Aprèsavoir saisi le nom du groupe, cliquez sur Résoudre le groupe pour résoudre le nomdu groupe en un nom unique.

■ Si vous ne renseignez pas ce champ, aucun utilisateur du serveur d'annuaire ne seraautorisé à se connecter au Portail libre-service. Utilisez cette option si vous voulezactiver la gestion des utilisateurs externes pour la console Sophos Mobile Control etpas pour le Portail libre-service.

Remarque :

33


Le groupe que vous indiquez ici n'a aucun rapport avec le groupe d'annuaires que vousdéfinissez sous l'onglet Paramètres de groupe de la page Portail libre-service. Cesparamètres vous permettent de définir des séries de tâches, les membres du groupeSophos Mobile Control et la disponibilité des plates-formes d'appareil pour chaque grouped'annuaires.

8. Cliquez sur Appliquer.

9. Dans l'onglet Configuration de l'utilisateur, cliquez sur Enregistrer.

9.4.2 Création d'utilisateurs du Portail libre-service à l'aide de la gestioninterne des utilisateurs

Condition préalable : la gestion interne des utilisateurs a été activée pour le client auquelvous êtes connecté. Pour les installations locales, le super administrateur utilise la gestiondes clients. Retrouvez plus de renseignements dans le Guide du super administrateur deSophos Mobile Control (anglais).

Cette fonction n'est pas disponible sur la version SaaS de Sophos Mobile Control. Les superadministrateurs ne sont pas pris en charge sur la version SaaS de Sophos Mobile Control.Retrouvez plus de renseignements sur la manière de définir les méthodes de gestion desutilisateurs pour la version SaaS de Sophos Mobile Control à la section Configuration de lagestion des utilisateurs du Portail libre-service à la page 31.


La page Affichage des utilisateurs apparaît.

2. Cliquez sur Créer un utilisateur.

La page Modification de l'utilisateur apparaît.

3. Sélectionnez la case Envoyer l'email de bienvenue.

4. Saisissez les informations suivantes :

a) Nom d'utilisateur

b) Prénom

c) Nom

d) Adresse électronique

e) Groupes (facultatif)

Cliquez sur Afficher pour voir tous les groupes d'utilisateurs disponibles et ensélectionner un.


Le nouvel utilisateur du Portail libre-service apparaît sur la page Affichage des utilisateurs.Un email de bienvenue est envoyé au nouvel utilisateur.

Lorsque vous cliquez sur le triangle bleu correspondant à l'utilisateur choisi, vous pouvez voirles informations lui correspondant (Afficher), Modifier ou Supprimer cet utilisateur.

Remarque : lorsque vous cliquez sur un nom d'utilisateur, la page Affichage de l'utilisateurapparaît. Cette page contient le bouton Renvoyer l'email de bienvenue que vous pouvezutiliser pour renvoyer l'email si l'utilisateur ne l'a pas reçu ou ne retrouve pas le premier emailenvoyé.

34




9.4.3 Importation d'utilisateurs du Portail libre-service à l'aide de la gestioninterne des utilisateurs

Condition préalable : la gestion interne des utilisateurs a été activée pour le client auquelvous êtes connecté.

■ Retrouvez plus de renseignements sur les installations locales de Sophos Mobile Controldans le Guide du super administrateur de Sophos Mobile Control (en anglais).

■ Pour la version SaaS de Sophos Mobile Control, retrouvez plus de renseignements à lasection Configuration de la gestion des utilisateurs du Portail libre-service à la page 31.

La gestion des utilisateurs internes vous permet d'ajouter de nouveaux utilisateurs du Portaillibre-service en important un fichier CSV encodé en UTF-8 pouvant contenir jusqu'à 500utilisateurs.

Remarque : utilisez un éditeur de texte pour modifier le fichier CSV. Si vous utilisez MicrosoftExcel, les valeurs saisies ne seront peut-être pas résolues correctement. Assurez-vous d'avoirenregistrer le fichier avec l'extension .csv.

Info : un modèle de fichier contenant les noms de colonne corrects et leur ordre est disponibleau téléchargement sur la page Importer les utilisateurs.

Pour importer les utilisateurs à partir d'un fichier CSV :

1. Sur le menu latéral, sous GESTION, cliquez sur Utilisateurs puis sur Importer lesutilisateurs.

2. Sur la page Importation des utilisateurs, sélectionnez Envoyer les emails de bienvenue.

3. Cliquez sur Télécharger un fichier et naviguez jusqu'au fichier CSV que vous avezpréparé.

Les entrées sont lues à partir du fichier et sont affichées sur la page.

4. Si le format des données est incorrect ou incohérent, le fichier ne pourra pas être importé.Dans ce cas, veuillez vérifier les messages d'erreur qui sont affichés à côté des entrées,corriger le contenu du fichier CSV et le télécharger de nouveau.

5. Cliquez sur Terminer pour créer les comptes d'utilisateur.

Les utilisateurs sont importés et apparaissent sur la page Affichage des utilisateurs. Ilsrecevront un email contenant leurs codes d'accès de connexion au Portail libre-service.

35



10 Configuration du système

10.1 Vérification de vos licencesSophos Mobile Control utilise un programme de licence par utilisateur. Une licence d'utilisateurest valide pour tous les appareils assignés à cet utilisateur. Les appareils qui ne sont pasassignés à un utilisateur nécessitent une licence pour chacun d'entre eux.

Vérifiez vos licences disponibles :

1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration dusystème.

2. Sur la page Configuration du système, cliquez sur l'onglet Licence.

Les informations suivantes apparaissent :

■ Nombre maximal de licences : nombre maximal d'utilisateurs d’appareils (et d'appareilsn'étant plus assignés) pouvant être administrés.

Si le super administrateur n'a pas défini de limites pour le client, le nombre de licencesest limitées par le nombre total pour le serveur Sophos Mobile Control.

■ Licences utilisées : nombre de licences utilisées.

■ Valide jusqu'au : date d'expiration de la licence.

Si vous avez des questions ou des doutes à propos des informations affichées sur la licence,veuillez contacter votre interlocuteur commercial Sophos.

Remarque : lorsque la licence approche sa date d'expiration, Sophos Mobile Control envoieplusieurs emails de rappel à tous les administrateurs 30 jours avant la date d'expiration.

10.2 Certificats du service Apple Push NotificationPour utiliser le protocole Mobile Device Management (MDM) intégré aux appareils iOS, SophosMobile Control doit utiliser le service de notification push d'Apple (APNs) pour permettre lacommunication avec les appareils.

Les certificats APNs sont valides pendant un an. Lorsque le certificat approche sa dated'expiration, Sophos Mobile Control envoie plusieurs emails de rappel aux administrateurs30 jours avant la date d'expiration.

Les sections suivantes décrivent les conditions à remplir et les étapes à effectuer pour accéderaux serveurs APNs avec votre propre certificat client.

10.2.1 Conditions requises

Pour pouvoir communiquer avec le service Apple Push Notification (APNs), le trafic TCPentrant et sortant des ports suivants doit être autorisé :

■ Le serveur Sophos Mobile Control doit se connecter à gateway.push.apple.com:2195TCP (17.0.0.0/8)

36


■ Chaque appareil iOS ayant uniquement un accès via Wi-Fi doit se connecter à*.push.apple.com:5223 TCP (17.0.0.0/8)

10.2.2 Création d'un certificat APNs

Cette procédure suppose que vous n'avez pas encore téléchargé de certificat du serviceApple Push Notification (APNs) dans Sophos Mobile Control.

Retrouvez plus de renseignements sur le renouvellement d'un certificat existant à la sectionRenouvellement d'un certificat APNs à la page 38.

Info : vous pouvez utiliser le même certificat sur plusieurs clients. Retrouvez plus derenseignements à la section Copie d'un certificat APNs dans un autre client à la page 39.

1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration dusystème, puis sur l'onglet iOS APNs.

La description présente sur cet onglet vous guide tout au long des étapes que vous devezeffectuer pour demander un certificat à Apple et pour le télécharger dans Sophos MobileControl.

2. À l'étape Télécharger la demande de signature du certificat, cliquez sur Téléchargerla demande de signature du certificat.

Cette opération enregistre le fichier de demande de signature du certificat apple.csrsur votre ordinateur local. Le fichier de demande de signature est spécifique au clientactuel.

3. Vous allez avoir besoin d'un identifiant Apple. Même si vous avez déjà un identifiant, nousvous conseillons d'en créer un nouveau que vous utiliserez avec Sophos Mobile Control.À l'étape Créer l'identifiant Apple, cliquez sur Créer un nouvel identifiant Apple.

Une page Web d'Apple va s'ouvrir sur laquelle vous pouvez créer un identifiant Apple pourvotre entreprise.

Remarque : conservez ces codes d'accès dans un endroit sûr et accessible à voscollègues. Votre entreprise va avoir besoin de ces codes d'accès pour renouveler lecertificat tous les ans.

4. Pour vos propres références, saisissez votre nouvel identifiant Apple dans le champIdentifiant Apple en haut de la page iOS APNs.

Lorsque vous renouvelez le certificat tous les ans, veuillez impérativement utiliser le mêmeIdentifiant Apple.

5. À l'étape Créer/Renouveler le certificat APNs, cliquez sur Apple Push CertificatesPortal.

La page « Apple Push Certificates Portal » s'ouvre.

6. Connectez-vous avec votre identifiant Apple et téléchargez le fichier de demande designature du certificat apple.csr.

7. Téléchargez le fichier de certificat APNs .pem et enregistrez-le sur votre ordinateur.

8. À l'étape Télécharger le certificat APNs, cliquez sur Télécharger le certificat et naviguezjusqu'au fichier .pem récupéré sur la page « Apple Push Certificates Portal ».

9. Cliquez sur Enregistrer pour ajouter le certificat APNs à Sophos Mobile Control.

Sophos Mobile Control va lire le certificat et afficher les informations sur le certificat dansl'onglet iOS APNs.

37


10.2.3 Renouvellement d'un certificat APNs

Cette procédure suppose que vous avez déjà téléchargé un certificat pour le service ApplePush Notification (APNs) dans Sophos Mobile Control, que celui-ci est sur le point d'expireret qu'il doit être renouvelé.

Retrouvez plus de renseignements sur la création et le téléchargement d'un certificat à lasection Création d'un certificat APNs à la page 37.

Important : sur le portail d'Apple, veuillez impérativement sélectionner le bon certificat APNsà renouveler. Si vous renouvelez le mauvais certificat, vous devrez inscrire de nouveau tousles appareils iOS.


2. À l'étape Télécharger la demande de signature du certificat, cliquez sur Téléchargerla demande de signature du certificat.

Cette opération enregistre le fichier de demande de signature du certificat apple.csrsur votre ordinateur local.

3. Ignorez l'étape Créer l'identifiant Apple. Cette étape est uniquement requise pour lacréation d'un premier certificat APNs pour Sophos Mobile Control.

4. À l'étape Créer/Renouveler le certificat APNs, cliquez sur Apple Push CertificatesPortal.

La page « Apple Push Certificates Portal » s'ouvre.

5. Ouvrez une session avec vos codes d'accès Apple. Cet identifiant doit impérativementêtre le même que celui que vous avez utilisé pour créer le premier certificat APNs.

6. Sur Apple Push Certificates Portal, cliquez sur Renew à côté du certificat Sophos MobileControl APNs.

7. Téléchargez le fichier de demande de signature du certificat apple.csr que vous aviezpréparé auparavant.

8. Téléchargez le fichier de certificat APNs .pem et enregistrez-le sur votre ordinateur.

9. À l'étape Télécharger le certificat APNs, cliquez sur Télécharger le certificat et naviguezjusqu'au fichier .pem récupéré sur la page « Apple Push Certificates Portal ».


11. Lorsque vous êtes connecté en tant que super administrateur, une boîte de dialoguesupplémentaire répertoriant tous les clients utilisant actuellement le même certificat APNsque le client super administrateur, c'est-à-dire un certificat avec le même attribut Sujet.

■ Cliquez sur Enregistrer pour tous les clients concernés pour renouveler le certificatAPNs pour tous ces clients.

■ Cliquez sur Enregistrer uniquement pour le client super administrateur pourrenouveler le certificat APNs pour le client super administrateur uniquement.

Important :

Si le message suivant apparaît, ceci signifie que vous n'êtes pas en train de renouveler lebon certificat :

« L'objet du nouveau certificat ne correspond pas à l'ancien. Si les appareils ont été configurés avec l'ancien certificat, veuillez les configurer de nouveau. Voulez-vous vraiment enregistrer vos modifications ? »

38


Ce message vous informe que vous êtes sur le point de créer un nouveau certificat APNsavec un identifiant différent. Si vous confirmez le message, tous les appareils iOS existantsne pourront plus être administrés et vous allez devoir les réinscrire.

Retrouvez plus de renseignements sur la sélection du bon certificat à la section Identificationdu certificat APNs à renouveler à la page 39.

10.2.4 Copie d'un certificat APNs dans un autre client

Vous pouvez copier un certificat du service Apple Push Notification (APNs) dans un autreclient sur la même installation ou sur une installation différente de Sophos Mobile Control.

Important : si un certificat APNs existe déjà dans l'emplacement de destination, la propriétéSujet du certificat que vous voulez copier doit être identique au Sujet du certificat existant. Sivous copiez le mauvais certificat, vous devrez réinscrire tous les appareils iOS du client.

Téléchargez le certificat à partir de l'emplacement d'origine :

1. Connectez-vous à la console Sophos Mobile Control en tant qu'administrateur du clientpour lequel vous voulez copier le certificat APNs.


3. Veuillez noter la valeur du Sujet affichée dans les informations sur le certificat.

4. Cliquez sur Télécharger le certificat en tant que fichier PKCS #12.

5. Dans la boîte de dialogue de confirmation, le mot de passe du fichier de certificat s'affiche.Veuillez noter le mot de passe et cliquez sur Télécharger.

Le fichier de certificat apple.csr va être enregistré sur votre ordinateur local.

Téléchargez le certificat à partir de l'emplacement de destination :

6. Connectez-vous à la console Sophos Mobile Control en tant qu'administrateur du clientpour lequel vous voulez télécharger le certificat.


8. Si un certificat APNs existe déjà, assurez-vous que la valeur du Sujet est identique à lavaleur du certificat que vous êtes sur le point de copier.

9. À l'étape Télécharger le certificat APNs, cliquez sur Télécharger le certificat et naviguezjusqu'au fichier apns_cert.p12 que vous avez téléchargé auparavant.

10. Saisissez le mot de passe et cliquez sur Appliquer.


10.2.5 Identification du certificat APNs à renouveler

Lorsque vous renouvelez votre certificat du service Apple Push Notification (APNs) pour leserveur Sophos Mobile Control comme décrit à la section Renouvellement d'un certificatAPNs à la page 38, veuillez sélectionner le bon certificat APNs à renouveler sur le portaild'Apple.

Cette section décrit comment identifier le certificat APNs qui a été téléchargé sur le serveurSophos Mobile Control.

Pour récupérer l'identifiant du certificat :

1. Connectez-vous à la console Sophos Mobile Control à l'aide d'un compte d’administrateurpour le client pour lequel le certificat doit être renouvelé.

39



3. Retrouvez les propriétés du certificat APNs téléchargé sous la section Contenu du magasinde clés d'Apple Push Notification.

4. Veuillez noter la valeur affichée dans le champ Sujet.

Il s'agit de l'identifiant de votre certificat APNs.

Pour identifier le certificat :

5. Utilisez votre navigateur pour ouvrir l'URL du portail Apple Push Certificates Portal,https://identity.apple.com/pushcert/.

Si vous rencontrez des problèmes avec certaines fonctions lors de la consultation du portaild'Apple avec Microsoft Internet Explorer, nous vous conseillons d'utiliser la dernière versionde Firefox, Opera, Chrome ou Safari à la place.

6. Connectez-vous avec l'Identifiant Apple que vous avez utilisé pour créer le premier certificatAPNs.

7. Dans la liste des certificats APNs, cliquez sur l'icône Info sur le certificat correspondantà l'entrée d'un certificat.

Les informations sur le certificat apparaissent.

8. Dans le champ Objet DN, recherchez la valeur affichée après UID=. Si elle correspondà l’identifiant que vous avez noté dans la console Sophos Mobile Control, vous avez trouvéle bon certificat.

10.2.6 Vérification de la connexion des appareils au service APNs

Les utilisateurs de l'app Sophos Mobile Control pour iOS peuvent vérifier si leurs appareilssont en mesure de se connecter au serveur du service APNs (Apple Push Notification service).

1. Dans l'app Sophos Mobile Control, appuyez sur l'icône Informations pour ouvrir la vueÀ propos de.

2. Appuyez sur Vérifier APNs.

L'app essaye de se connecter au serveur APNs d'Apple. Le temps de réponse du serveurdoit être de 5 secondes maximum.

Si l'app vous informe que le serveur APNs a été joint, l'appareil pourra recevoir des commandesde la part du serveur Sophos Mobile Control par le biais d'APNs.

Si l'app vous informe que le serveur APNs n'a pas pu être joint, votre réseau n'autorise pasla communication APNs et Sophos Mobile Control ne peut donc pas administrer les appareilsiOS. Pour corriger ce problème, assurez-vous que les Conditions requises à la page 36 sontremplies.

10.3 Configuration des destinations iOS AirPlayGrâce à Sophos Mobile Control, vous pouvez déclencher à distance la recopie vidéo AirPlayentre un appareil iOS et des destinations AirPlay prédéfinies (par exemple AppleTV).

Remarque : airPlay fonctionne uniquement sur les appareils du même réseau.

Vous pouvez définir les destinations pour la recopie vidéo AirPlay.

1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration puis surConfiguration du système et cliquez sur l'onglet iOS AirPlay.

40


https://identity.apple.com/pushcert/

2. Sous la section Destinations AirPlay, cliquez sur Créer une destination AirPlay.

La page Destination AirPlay apparaît.

3. Saisissez le Nom de l'appareil (obligatoire) et l'Adresse MAC (facultatif). Si nécessaire,saisissez le Mot de passe pour l'appareil de destination AirPlay.


L'appareil apparaît sous Destinations AirPlay sous l'onglet iOS AirPlay de la pageConfiguration du système.


Vous pouvez déclencher la recopie vidéo AirPlay entre un appareil iOS et cette destinationen cliquant sur Demander la recopie vidéo AirPlay à partir du menu Actions sur la pageAffichage de l'appareil correspondant à l'appareil de votre choix.

10.4 Licence Samsung KnoxSi votre entreprise a acheté une licence Samsung Knox Premium, veuillez saisir votre clé delicence, le nombre de licences et leur date d'expiration dans l'onglet Licence Samsung Knoxpour administrer le conteneur Knox sur vos appareils Knox avec Sophos Mobile Control.

10.5 Configuration de SCEPVous avez la possibilité de configurer le protocole SCEP (Simple Certificate EnrollmentProtocol) pour fournir des certificats. De cette manière, les appareils peuvent récupérer lescertificats à partir d'une Autorité de certification en utilisant SCEP.

Vous pouvez configurer tous les paramètres requis pour accéder au serveur de l'Autorité decertification en utilisant SCEP dans la console Sophos Mobile Control.

Vous pouvez définir les paramètres requis pour les appareils dans un Profil de l'appareilSCEP pour Android et iOS ou dans une stratégie pour Windows Mobile.

10.5.1 Conditions préalables

Pour pouvoir utiliser le protocole SCEP (Simple Certificate Enrollment Protocol), les conditionspréalables suivantes doivent être respectées :

■ Un serveur CA Windows compatible avec SCEP est présent dans l'environnement.

■ Les codes d'accès de connexion d'un utilisateur pouvant créer un code de challenge sontdisponibles.

■ Le serveur Sophos Mobile Control dispose de l'accès http ou https aux sites suivants :

■ https://VOTRE-SERVEUR-SCEP/CertSrv/MSCEP_ADMIN

■ https://VOTRE-SERVEUR-SCEP/CertSrv/MSCEP

10.5.2 Configuration de SCEP

1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration puis surConfiguration du système et cliquez sur l'onglet SCEP.

41


2. Veuillez fournir les informations suivantes :

a) Dans le champ URL du serveur SCEP, saisissezhttps://VOTRE-SERVEUR-SCEP/CertSrv/MSCEP.

b) Dans le champ URL de challenge, saisissezhttps://VOTRE-SERVEUR-SCEP/CertSrv/MSCEP_ADMIN.

Remarque : si vous utilisez un serveur Windows 2003 en tant que serveur SCEP,saisissez https://VOTRE-SERVEUR-SCEP/CertSrv/MSCEP.

c) Dans les champs Utilisateur et Mot de passe, saisissez les codes d'accès del'utilisateur qui pourra créer un code de challenge.

Remarque : dans le champ Utilisateur, saisissez un utilisateur qui dispose des droitsnécessaires pour enregistrer des certificats. Utilisez le format de connexion :nomutilisateur@domaine

d) Dans le champ Caractères de challenge, sélectionnez les types de caractères utiliséspour le mot de passe de challenge.

e) Dans le champ Longueur du challenge, acceptez la longueur par défaut.

f) Facultatif - Dessélectionnez l'option Utiliser le proxy HTTP si vous voulez que SophosMobile Control contourne le proxy HTTP lors de la connexion au serveur SCEP. Cetteoption est uniquement disponible si le proxy HTTP est activé.

En cas d'installation locale, le super administrateur peut configurer un proxy HTTP queSophos Mobile Control va utiliser pour les connexions HTTP et SSL sortantes. Retrouvezplus de renseignements dans le Guide du super administrateur de Sophos MobileControl (anglais).

Dans la version SaaS de Sophos Mobile Control, le proxy HTTP est toujours activé.


Sophos Mobile Control teste la connexion à votre serveur SCEP.

Pour déployer un profil avec SCEP, veuillez ajouter une configuration SCEP à un profild'appareil Android ou iOS ou à une stratégie Windows Mobile.

10.6 Configuration de l'utilisateurL'onglet Configuration de l'utilisateur vous permet de modifier les paramètres de gestiondes utilisateurs. Retrouvez plus de renseignements à la section Gestion des utilisateurs duPortail libre-service à la page 31 et dans le Guide du super administrateur de Sophos MobileControl (anglais).

42




11 Règles de conformitéLes règles de conformité vous permettent de :

■ Autoriser, interdire ou appliquer l'utilisation de certaines fonctions d'un appareil.

■ Définir les actions qui sont exécutées si une règle de conformité est enfreinte.

Vous pouvez créer différentes séries de règles de conformité et les assigner à des groupesd'appareils. Vous pouvez ainsi appliquer différents niveaux de sécurité à vos appareilsadministrés.

Info : si vous prévoyez de gérer des appareils professionnels et privés, nous vous conseillonsde définir des séries de règles distinctes au moins pour ces deux types d'appareils.

Remarque : deux règles de conformité prédéfinies sont disponibles. Elles sont basées surles normes de sécurité HIPAA et PCI DSS.

11.1 Création de règles de conformitéPour créer des règles de conformité :

1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Règles de conformité.

2. Sur la page Règles de conformité, cliquez sur Créer des règles de conformité.

3. Saisissez un Nom et, si vous le souhaitez, une Description pour la nouvelle série derègles de conformité.

La page Règles de conformité est composée d'onglets correspondant à chaque plate-formed'appareil activée pour le client. Répétez les étapes suivantes pour toutes les plates-formesrequises.

4. Assurez-vous que la case Activer la plate-forme est sélectionnée sur chaque onglet.

Si cette case n'est pas sélectionnée, la conformité des appareils de cette plate-forme nesera pas vérifiée.

5. Sous Règle, configurez les règles de conformité pour la plate-forme.

Chaque règle de conformité a un niveau de sévérité défini (élevée, moyenne, faible)représenté par l'icône bleue. Cet indice de sévérité vous aide à évaluer l'importance dechaque règle et à décider des actions à mettre en place si une de ces règles est enfreinte.

Si vous avez défini les groupes d'apps, vous pouvez les assigner aux règles de conformitéApps autorisées, Apps interdites et Apps obligatoires.

43


6. Sous Si la règle est enfreinte, vous pouvez indiquer les actions à prendre si la règle estenfreinte :

DescriptionOption

Interdire l'accès à la messagerie.

Cette action est uniquement possible si le super administrateura configuré une connexion au proxy EAS interne ou autonome.Retrouvez plus de renseignements dans le Guide du superadministrateur de Sophos Mobile Control (anglais).

Refuser l'email

Désactiver les apps Sophos Secure Workspace et Sophos SecureEmail. Ceci s'applique aux documents, à la messagerie et àl'accès Web administrés par ces apps.

Cette action peut uniquement être exécutée si vous avez activéune licence SMC Advanced.

cette option s'applique uniquement aux appareils Android et iOS.

Verrouiller le conteneur

Interdire l'accès au réseau.

Cette action est uniquement possible si le super administrateura configuré le contrôle d'accès réseau. Retrouvez plus derenseignements dans le Guide du super administrateur de SophosMobile Control (anglais).

Refuser le réseau

Envoyer les emails de conformité aux destinataires sélectionnés.

La liste des destinataires et l'horaire d'envoi est indiquécollectivement pour toutes les règles de conformité que vouscréez.Veuillez-vous reporter aux instructions plus bas dans cettesection.

Informer l'admin

Transférer une série de tâches spécifique à cet appareil.

Sélectionner une série de tâches dans la liste ou sélectionnerAucun pour ne transférer aucune série de tâches lorsque la règleest enfreinte.

Important : si elles sont utilisées de manière incorrecte, certainesséries de tâches risquent de configurer les appareils de manièreincorrecte ou même de les réinitialiser. Une connaissanceapprofondie du système est nécessaire pour assigner les bonnesséries de tâches aux règles de conformité.

Transférer une série detâches

7. Lorsque vous avez terminé de configurer les paramètres de toutes les plates-formesrequises, cliquez sur Enregistrer pour enregistrer la série de règles de conformité sousle nom que vous avez choisi.

La nouvelle série de règles apparaît sur la page Règles de conformité.

44






8. Si vous avez sélectionné l'action Informer l'admin pour l'une des règles de conformité,cliquez sur Paramètres de l'email de conformité pour indiquer les destinataires desemails de conformité et les heures auxquelles seront envoyés ces emails de conformité.

Vous pouvez indiquer les destinataires soit en saisissant le nom d'un administrateur, soiten saisissant une adresse électronique en cours de validité.

Remarque : ces paramètres s'appliquent généralement à toutes les règles de conformitépour lesquelles l'action Informer l'admin a été sélectionnée.

9. Cliquez sur Enregistrer pour enregistrer les paramètres de l'email de conformité.

11.2 Règles de conformité disponiblesLe tableau suivant vous indique les règles de conformité que vous pouvez sélectionner pourles plates-formes individuelles sous Règle dans les onglets Règles de conformité.

WindowsDesktop

WindowsMobile


Définit l'action qui seraeffectuée lorsque l'appareilne sera plus administré.

Administrationobligatoire

Saisissez la version minimumde l'app Sophos MobileControl qui a été installée surl'appareil.

Version minimum del'app SMC

Autorisez ou non lesappareils avec les droits root.

Remarque : pour lesappareils Sony à partir de la

Droits root autorisés

version 4 d'Enterprise API etpour les appareils Samsungjusqu'à la version 5.5 deKnox. Ceci inclut tous lesappareils classés sous lacatégorie non sécurisé parl'API MDM (par exemple ;parce que le chargeur dedémarrage est déverrouillé.

Autorisez ou non les apps àpartir de sources inconnues.

Apps provenant desources inconnuesautorisées

Autorisez ou non lacorrection du pont ADB(Android Debug Bridge).

Correction du pontAndroid (ADB)autorisée

Autorisez ou non lesappareils débridés.

Autoriser ledébridage

45


WindowsDesktop

WindowsMobile


Sélectionnez s'il estnécessaire d'utiliser un motde passe sur l'appareil outout autre mécanisme de

Mot de passeobligatoire

verrouillage de l'écran(modèle ou codeconfidentiel).

Sur Android, ceci inclut lestypes de verrouillaged'affichage Modèle, Codeconfidentiel et Mot de passemais pas Faire glisser.

Sélectionnez la version laplus ancienne du systèmed'exploitation autorisée.

Version minimum dusystèmed'exploitation

Sélectionnez la version laplus récente du systèmed'exploitation autorisée.

Version max. dusystèmed'exploitation

Indiquez l'intervalle maximalentre les opérations desynchronisation pour lesappareils.

Intervalle maximal desynchronisation

Indiquez l'intervalle maximalentre les opérations desynchronisation des appsiOS pour les appareils.

Intervalle maximal desynchronisation del'app SMC

Ce champ apparaîtuniquement si Sophos MobileSecurity est disponible pource client. Retrouvez plus de

Intervalle maximal decontrôle de SMSec

renseignements à la sectionAdministration de SophosMobile Security à la page 215.Dans ce champ, vous pouvezindiquer l'intervalle maximalde contrôle pour les contrôlesde présence de programmesmalveillants effectués parl'app Sophos Mobile Securitysur l'appareil.

Sophos Mobile Security doitavoir les droits sur l'appareilpour fonctionnercorrectement. L'utilisateur

Refus des droitsSMSec autorisés

doit accorder ces droitslorsque l'app est installée.

46


WindowsDesktop

WindowsMobile


Sélectionnez si le refus desdroits entraîne une violationde la conformité ou pas.

Ce champ apparaîtuniquement si Sophos MobileSecurity est disponible pource client.

Autorisez ou non les appsmalveillantes détectées.

Apps malveillantesautorisées


Autorisez ou non les appssuspectes détectées.

Apps suspectesautorisées


Autorisez ou non les appspotentiellement indésirables(PUA) sur les appareils.

Apps potentiellementindésirablesautorisées

Sélectionnez s'il estobligatoire de disposer duchiffrement sur les appareils.

À partir des appareilsAndroid 5, les utilisateurs

Chiffrement requis

doivent également activer leparamètre Exiger le codePIN pour démarrerl'appareil ou Exiger le motde passe pour démarrerl'appareil lors de laconfiguration du mode deverrouillage de l'écran.Retrouvez plus derenseignements dans l'article123947 de la base deconnaissances Sophos.

Autorisez ou non l'itinérancedes données sur lesappareils.

Itinérance desdonnées autorisée

47


http://www.sophos.com/fr-fr/support/knowledgebase/123947.aspx



WindowsDesktop

WindowsMobile


Ce paramètre est associé àla fonction Géolocaliser.Choisissez si l'utilisateur doitautoriser l'app Sophos Mobile

Autorisation requisepour lagéolocalisation

Control à récupérer lesdonnées de positiongéographique au moment del'installation afin d'être enconformité.

L'app Sophos Mobile Controldoit avoir les droits surl'appareil pour fonctionnercorrectement. L'utilisateur

Refus des droits SMCautorisés

doit accorder ces droitslorsque l'app est installée.

Sélectionnez si le refus desdroits entraîne une violationde la conformité ou pas.

Les services degéolocalisation doivent êtreactivés et l’app SophosMobile Control doit être

App peutgéolocaliser

autorisée pour pouvoir lesutiliser.

Pour Windows Mobile, cetterègle s’applique uniquementaux appareils WindowsPhone 8.1.

Sophos Mobile Security doitavoir l'autorisation d'accèsaux données d'utilisation afinde garantir que les apps

Autorisation requisepour le contrôle desprocessus

bloquées ne puissent pasêtre ouvertes et que les appsprotégées demanderont unmot de passe.

Sélectionnez si le refusd'accès aux donnéesd'utilisation entraîne uneviolation de la conformité oupas.

Vous pouvez indiquer soitApps autorisées soit Appsinterdites. Sélectionnezl'option désirée dans la

Apps autorisées /Apps interdites

première liste et sélectionnezle groupe d'apps contenantles apps qui doivent êtreautorisées ou interdites dans

48


WindowsDesktop

WindowsMobile


la seconde liste. Retrouvezplus de renseignements surla création des groupesd'apps à la section Groupesd'apps à la page 194.

Si vous indiquez Appsautorisées, seules les appsrépertoriées sont autorisées.Si d'autres apps sontdétectées, l'appareil ne seraplus conforme.

Remarque : les apps dusystème Android sontautomatiquement autorisées.

Si vous indiquez Appsinterdites, l'appareil ne seraplus conforme si ces appssont détectées.

Indiquez les apps qui doiventêtre installées. Sélectionnezle groupe d'apps contenantles apps obligatoires dans la

Apps obligatoires

liste. Retrouvez plus derenseignements sur lacréation des groupes d'appsà la section Groupes d'appsà la page 194.

Le paramètre protection entemps réel de WindowsDefender doit être activé.

Windows Defenderdoit être activé

L'appareil n'est pas conformelorsque Windows Defenderaffichent des alertes.

Windows Defenderdoit déclarer un étatpropre

Windows Defender doitutiliser les définitions despywares les plus récentes.

Définitions mises àjour de WindowsDefender requises

11.3 Assignation des règles de conformité aux groupesd'appareils1. Sur le menu latéral, sous GESTION, cliquez sur Groupes d'appareils.

La page Groupes d'appareils apparaît.

49


2. Cliquez sur le triangle bleu correspondant au groupe d'appareils auquel vous souhaitezassigner les règles de conformité et cliquez sur Modifier.

Un groupe d'appareil par défaut Default est toujours disponible. Retrouvez plus derenseignements sur la création de vos propres groupes d'appareils à la section Créationd'un groupe d'appareils à la page 72.

3. Sous Règles de conformité dans les champs Appareils professionnels et Appareilsprivés, sélectionnez les règles de conformité que vous voulez appliquer.


Les règles de conformité sélectionnées sont affichées sur la page Groupes d'appareils sousRègles de conformité (professionnelles) et Règles de conformité (privées).

11.4 Vérification de la conformité des appareilsAprès avoir configuré les règles de conformité, vous pouvez vérifier si les appareils inscritssont conformes aux règles définies.

1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Règles de conformité.

La page Règles de conformité apparaît.

2. Cliquez sur Vérifier maintenant.

Tous les appareils inscrits sont vérifiés afin de garantir leur conformité aux règles définiesdans les Règles de conformité. Les actions indiquées sont effectuées. Le graphique circulairedu Tableau de bord se met à jour en conséquence.

50


12 Appareils

12.1 Ajout d'appareilsVous pouvez ajouter les appareils dans Sophos Mobile Control de la manière suivante :

■ Ajouter des appareils manuellement. Retrouvez plus de renseignements à la section Ajoutd'un appareil à la page 51.

■ Importer les appareils à partir d'un fichier CSV (valeur séparée par virgules). Retrouvezplus de renseignements à la section Importation des appareils à la page 53.

■ Vous utilisez l'assistant d'inscription pour ajouter un appareil à Sophos Mobile Control, luiassigner un utilisateur, l'inscrire et transférer une série de tâches d'inscription. Retrouvezplus de renseignements à la section Utilisation de l'assistant d'inscription d'appareils pourassigner et inscrire de nouveaux appareils à la page 54.

■ Vous autorisez les utilisateurs à inscrire eux-mêmes leurs appareils par le biais du Portaillibre-service. Retrouvez plus de renseignements à la section Configuration du Portaillibre-service à la page 26. Ce portail permet de réduire la charge de travail du serviceinformatique en permettant aux utilisateurs d'effectuer certaines tâches sans assistance.Les appareils sont approvisionnés grâce à l'exécution de séries de tâches définies.Retrouvez plus de renseignements à la section Séries de tâches à la page 174.

Nous vous conseillons d'utiliser des groupes d'appareils pour faciliter l'administration desappareils. Retrouvez plus de renseignements à la section Groupes d'appareils à la page 72.

12.1.1 Ajout d'un appareil

Nous vous conseillons de créer un ou plusieurs groupes d'appareils avant d'ajouter votrepremier appareil dans Sophos Mobile Control.Vous pourrez ensuite assigner chaque appareilà un groupe d'appareils pour faciliter la gestion des appareils. Retrouvez plus derenseignements à la section Création d'un groupe d'appareils à la page 72.

Pour ajouter un nouvel appareil dans Sophos Mobile Control :

1. Sur le menu latéral, sous GESTION, cliquez sur Appareils.

La page Appareils apparaît.

2. Cliquez sur Ajouter et sélectionnez la plate-forme sous le menu Ajouter un appareilmanuellement.

La page Modification de l'appareil apparaît.

51


3. Sur la page Modification de l'appareil, indiquez les informations suivantes sur l'appareil :

a) Dans le champ Nom, saisissez un nom exclusif au nouvel appareil.

b) Dans le champ Description, saisissez une description pour le nouvel appareil.

c) Dans la liste du champ Propriétaire, sélectionnez Professionnel ou Privé.

d) Dans le champ Adresse électronique, saisissez une adresse électronique.

e) Dans le champ Numéro de téléphone, saisissez le numéro de téléphone du nouvelappareil. Saisissez le numéro de téléphone au format international, par exemple +3317 01 23 45 67.

f) Sous Groupe d'appareils, sélectionnez le groupe d'appareils auquel l'appareil va êtreaffecté.

Remarque : dans la console Web, un groupe d'appareils par défaut (Default) estdisponible. Si vous n'avez pas encore défini vos propres groupes d'appareils, vousavez la possibilité d'ajouter vos appareils à ce groupe. Retrouvez plus derenseignements sur la création de vos propres groupes d'appareils à la section Créationd'un groupe d'appareils à la page 72.

4. Pour assigner un utilisateur à l'appareil, cliquez sur l'icône Modifier l'assignation d'unutilisateur située près du champ Utilisateur puis, cliquez sur Assigner l'utilisateurà l'appareil. Retrouvez plus de renseignements à la section Assignation d'un utilisateurà un appareil à la page 61.

5. Pour ajouter des propriétés personnalisées à l'appareil, rendez-vous dans l'ongletPropriétés personnalisées et cliquez sur le bouton Ajouter une propriété personnalisée.Retrouvez plus de renseignements à la section Propriétés personnalisées pour les appareilsà la page 61.

6. Dès que toutes les informations nécessaires sur l'appareil sont saisies, cliquez surEnregistrer.

Le nouvel appareil est ajouté à Sophos Mobile Control et apparaît sur la page Appareils sousGESTION. Vous pouvez maintenant approvisionner et gérer l'appareil.

Remarque : pour les appareils iOS, lorsque vous avez configuré Sophos Mobile Controlpour synchroniser le nom de l'appareil avec l'appareil conformément aux instructions de lasection Configuration des paramètres iOS à la page 23, le nom que vous avez saisi dans lechamp Nom est remplacé par le nom configuré au cours de la synchronisation.

12.1.2 Duplication d'un appareil

Vous pouvez créer de nouveaux appareils dans Sophos Mobile Control en dupliquant lesappareils existants.

Remarque : vous pouvez uniquement dupliquer les appareils qui ne sont pas en cours demodification. Les doubles sont nommés « Copy of » plus le nom de l'original. Vous pouvezrenommer les appareils à votre guise.



2. Cliquez sur l'appareil que vous souhaitez dupliquer.

La page Affichage de l'appareil apparaît.

3. Cliquez sur Actions, puis sur Dupliquer cet appareil.

52


L'appareil est dupliqué et apparaît sur la page Appareils. Vous pouvez à présent modifierl'appareil dupliqué comme vous le souhaitez. Pour modifier l'appareil, cliquez sur le trianglebleu lui correspondant et cliquez sur Modifier.

12.1.3 Importation des appareils

Vous pouvez ajouter de nouveaux appareils en important un fichier CSV (valeurs séparéespar virgules) encodé en UTF-8 contenant jusqu'à 500 appareils.


Remarque : les utilisateurs mentionnés dans votre fichier CSV doivent déjà être disponiblesdans Sophos Mobile Control.

Info : un modèle de fichier contenant les noms de colonne corrects et leur ordre est disponibleau téléchargement sur la page Importer les appareils.

Pour importer les appareils à partir d'un fichier CSV :


2. Sur la page Appareils, cliquez sur Ajouter > Importer les appareils.

3. Sur la page Importer les appareils, cliquez sur Télécharger un fichier et naviguezjusqu'au fichier CSV que vous avez préparé.



5. Cliquez sur Terminer pour créer les appareils.

Les appareils répertoriés dans le fichier CSV sont importés et apparaissent sur la pageAppareils. Vous pouvez maintenant inscrire et configurer les appareils.

12.2 Inscription des appareilsAprès avoir ajouté de nouveaux appareils à la console Sophos Mobile Control, ceux-ci doiventêtre inscrits à Sophos Mobile Control. Les options suivantes sont disponibles :

■ Vous pouvez inscrire chaque appareil non administré à l'aide de la fonction Appareil.Retrouvez plus de renseignements à la section Inscription d'appareils individuels à la page54.

■ Vous pouvez utiliser l'assistant d'inscription pour ajouter un appareil à Sophos MobileControl, lui assigner un utilisateur, l'inscrire et transférer une série de tâches d'inscription.Retrouvez plus de renseignements à la section Utilisation de l'assistant d'inscriptiond'appareils pour assigner et inscrire de nouveaux appareils à la page 54.

Remarque : si nécessaire, vous pouvez utiliser l'assistant d'inscription d'appareils ou laméthode d'inscription automatique pour inscrire les appareils iOS sans identifiant Apple.Ceci peut, par exemple, s'avérer particulièrement utile pour préconfigurer l'appareil avantde le remettre à un utilisateur. Retrouvez plus de renseignements à la section Inscriptiondes appareils iOS sans identifiant Apple à la page 57.

53


Pour inscrire et configurer plusieurs appareils de manière plus efficace, nous vous conseillonsd'utiliser les méthodes suivantes :

■ Vous pouvez regrouper les tâches nécessaires à l'inscription d'appareils, appliquer lesstratégies requises et installer les applications requises (par exemple, les apps administréespour les appareils iOS). Retrouvez plus de renseignements à la section Séries de tâchesà la page 174.

■ Vous pouvez autoriser les utilisateurs à inscrire leurs appareils à l’aide du Portaillibre-service. Pour ce faire, vous devez inclure une série de tâches pour l'inscription lorsde la configuration des paramètres pour l'utilisation du Portail libre-service. Retrouvez plusde renseignements sur la création de séries de tâches pour l'inscription dans le Guide dedémarrage de Sophos Mobile Control ou dans le Guide de démarrage de Sophos MobileControl as a Service. Retrouvez plus de renseignements sur la sélection de la série detâches dans les paramètres du Portail libre-service à la section Configuration desparamètres du Portail libre-service à la page 27.

12.2.1 Inscription d'appareils individuels



2. Sélectionnez l'appareil de votre choix, cliquez sur Actions puis sur Inscrire.

Remarque : il est possible d'inscrire plusieurs appareils.

3. Cliquez sur Oui lorsque vous êtes invité à confirmer si vous voulez inscrire les appareilssélectionnés.

La tâche d'inscription commence et s'affiche sur la page Vue des tâches. Un email contenantles instructions d'inscription est envoyé à l'utilisateur.

12.2.2 Utilisation de l'assistant d'enregistrement d'appareils pour assigneret enregistrer de nouveaux appareils

Vous pouvez facilement inscrire de nouveaux appareils grâce à l'assistant d'inscriptiond'appareils. Il vous permet d'effectuer les tâches suivantes :

■ Ajouter un nouvel appareil dans Sophos Mobile Control.

■ Facultatif : assigner un utilisateur à un appareil.

■ Enregistrer l'appareil.

■ Facultatif : transférer une série de tâches sur cet appareil.

Pour démarrer l'assistant d'inscription d'appareils :

1. Sur le menu latéral, sous GESTION, cliquez sur Appareils puis sur Ajouter > Assistantd'inscription.

Info : vous avez également la possibilité de démarrer l'assistant à partir de la page duTableau de bord en cliquant sur le widget Ajouter un appareil.

2. Sur la page de l'assistant Saisir des paramètres de recherche de l'utilisateur, vouspouvez soit saisir les critères de recherche pour retrouver un utilisateur à qui l'appareil vaêtre assigné, soit sélectionner Ignorer l'assignation d'un utilisateur pour inscrire unappareil qui ne va pas encore être assigné à un utilisateur.

Cliquez sur Suivant pour continuer.

54






3. Lorsque vous avez saisi les critères de recherche, l'assistant affiche une liste des utilisateurscorrespondants.

Sélectionnez l'utilisateur requis et cliquez sur Suivant.

4. Sur la page Détails de l'appareil de l'assistant, configurez les paramètres suivants :

DescriptionOption

La plate-forme de l'appareil.Vous pouvez uniquement sélectionnerune plate-forme qui est activée pour le client auquel vous êtesconnecté.

Plate-forme

Un nom unique sous lequel l'appareil va être administré parSophos Mobile Control.

Nom

Une description de l'appareil (renseignement facultatif).Description

Un numéro de téléphone (renseignement facultatif). Saisissez lenuméro de téléphone au format international, par exemple +3317 01 23 45 67.

Numéro de téléphone

L'adresse électronique à laquelle les instructions d'enregistrementvont être envoyées.

Adresse électronique

Sélectionnez le propriétaire de l'appareil : soit Société soitEmployé.

Propriétaire

Sélectionnez le groupe d'appareils auquel l'appareil va êtreaffecté. Si vous n'avez pas encore créé de groupe d'appareils,vous pouvez sélectionner le groupe d'appareils Default (pardéfaut) qui est toujours disponible.

Groupe d'appareils

Lorsque vous êtes prêt, cliquez sur Suivant.

5. Sur la page de Sélection de la série de l'assistant, sélectionnez une série de tâches quiva être transférée à l'appareil après qu'il ait été enregistré ou sélectionnez Enregistrerl'appareil uniquement pour enregistrer l'appareil sans transférer de série de tâches.

Remarque : seules les séries de tâches contenant une tâche Inscrire sont affichées.

Lorsque vous êtes prêt, cliquez sur Suivant. L'appareil est ajouté à Sophos Mobile Control.

6. Sur la page Inscription de l'assistant, suivez les instructions d'installation de l'app SophosMobile Control sur l'appareil et terminez les opérations d'inscription et d'approvisionnement.

7. Lorsque l'opération d'enregistrement a réussi, cliquez sur Terminer pour fermer l'assistantd'enregistrement d'appareils.

Remarque :

■ Lorsque vous avez effectué toutes les sélections, vous pouvez fermer l'assistant sansavoir à attendre que le bouton Terminer apparaisse. Une tâche d'inscription est créée ettraitée en tâche de fond.

■ Si vous avez sélectionné une série de tâches à transférer sur l'appareil après l'inscription,vous pouvez suivre l'état de la tâche sur la page Vue des tâches. Retrouvez plus derenseignements à la section Affichage des tâches non terminées, en échec et récemmentterminées à la page 16.

55


■ Pour les appareils iOS, lorsque vous avez configuré Sophos Mobile Control poursynchroniser le nom de l'appareil avec l'appareil conformément aux instructions de lasection Configuration des paramètres iOS à la page 23, le nom que vous avez saisi dansle champ Nom est ignoré et c'est le nom configuré sur l'appareil qui est utilisé à la place.

12.2.3 Inscription automatique des appareils iOS

Vous pouvez configurer les appareils iOS pour qu'ils s'inscrivent automatiquement à SophosMobile Control au cours de l'activation de l'appareil. Vous allez devoir utiliser AppleConfigurator 2 pour assigner les appareils au serveur MDM de Sophos Mobile Control. Lorsqueles utilisateurs mettent en marche leurs appareils pour la première fois, l'assistant d'installationd'iOS démarre. Au cours de l'installation, les appareils sont inscrits automatiquement à SophosMobile Control.

Remarque : retrouvez une description détaillée d'Apple Configurator 2 dans l'Aide AppleConfigurator 2.

Pour configure l'inscription automatique des appareils iOS à Sophos Mobile Control :

1. L'étape de préparation à l'inscription automatique consiste à créer un groupe d'appareilsqui sera assigné aux appareils pendant la phase d'inscription automatique à Sophos MobileControl. Dans les propriétés du groupe d'appareils, sélectionnez l'option Activerl'inscription automatique d'iOS. Retrouvez plus de renseignements à la section Créationd'un groupe d'appareils à la page 72.

2. Notez l'URL qui s'affiche dans le champ URL d'inscription automatique du grouped'appareils.

Vous allez avoir besoin de cette URL pour configurer les appareils avec AppleConfigurator 2.

3. Connectez l'appareil iOS que vous voulez inscrire automatiquement au port USB d'un Macsur lequel Apple Configurator 2 est installé.

4. Dans Apple Configurator 2, utilisez l'Assistant préparation pour régler la configuration del'appareil.

5. Sélectionnez Inscription manuelle et saisissez l'URL d'inscription automatique du grouped'appareils.

6. Suivez les autres étapes de l'Assistant préparation. Vous avez également la possibilité deconfigurer les aspects suivants de l'activation de l'appareil :

■ Activer le mode de supervision de l'appareil.■ Configurer les ordinateurs hôtes auxquels l'appareil est autorisé à se connecter sans

utiliser de ports USB.■ Pour les appareils supervisés, veuillez générer ou choisir une « identité de supervision ».■ Désactiver les étapes de configuration de l'assistant d'installation d'iOS.

Après avoir terminé la configuration, remettez l'appareil à l'utilisateur. Lorsque l'utilisateurdémarrera mettra son appareil en marche pour la première fois, la configuration d'iOS etl'inscription à Sophos Mobile Control seront effectuées conformément à la configurationdéfinie.

Info : par défaut, Sophos Mobile Control gère les appareils inscrits automatiquement sousun nom composé de l'identifiant de l'appareil et du type de l'appareil. Autrement, SophosMobile Control peut utiliser le nom configuré sur l'appareil. Retrouvez plus de renseignementssur l'option Synchronisation du nom de l'appareil à la section Configuration des paramètresiOS à la page 23.

56


http://help.apple.com/configurator/

http://help.apple.com/configurator/

12.2.4 Inscription des appareils iOS sans identifiant Apple

Vous pouvez commencer par inscrire un appareil iOS dans Sophos Mobile Control sans avoirà l'associer à un identifiant Apple. Ceci peut, par exemple, s'avérer particulièrement utile pourpréconfigurer l'appareil avant de le remettre à un utilisateur.

La méthode d'inscription standard consiste à installer l'app Sophos Mobile Control sur l'appareil.L'app étant installée à partir de la boutique d'apps est uniquement accessible à l'aide d'unidentifiant Apple. Vous devez donc associer l'appareil à cet identifiant avant de commencerla procédure d'inscription.

Une autre méthode d'inscription consiste à inscrire un appareil iOS sans installer l'app SophosMobile Control. Il n'est donc pas nécessaire d'associer l'appareil à un identifiant Apple. Vouspouvez effectuer cette opération avec :

■ La méthode d'inscription automatique. Retrouvez plus de renseignements à la sectionInscription automatique des appareils iOS à la page 56.

■ L'assistant d'inscription d'appareils. Retrouvez plus de renseignements à la sectionUtilisation de l'assistant d'inscription d'appareils pour assigner et inscrire de nouveauxappareils à la page 54.

Dans l'assistant d'inscription d'appareils, procédez comme suit :

1. Sur la page Inscription, sélectionnez l'onglet Inscription sans identifiant Apple.2. Utilisez le navigateur Web de l'appareil pour ouvrir l'URL d'inscription. Un formulaire

d'inscription Sophos Mobile Control s'ouvre.3. Saisissez le token dans ce formulaire et cliquez sur Inscrire.4. Suivez les instructions sur l'appareil pour installer la série de tâches d'inscription.

12.3 Désinscription des appareilsVous pouvez désinscrire les appareils qui ne seront plus utilisés. Par exemple, si un utilisateurutilise un nouvel appareil. Ceci peut, par exemple, s'avérer particulièrement utile si le nombred'appareils que l'utilisateur est autorisé à inscrire dans le Portail libre-service est limité.


La page Appareils affiche tous les appareils inscrits dans Sophos Mobile Control pour ceclient.

2. Sélectionnez l'appareil de votre choix, cliquez sur Actions puis sur Désinscrire.

Un message apparaît vous demandant de confirmer si vous voulez désinscrire l'appareil.

Remarque : il est possible de sélectionner plusieurs appareils à désinscrire.

3. Cliquez sur Oui.

L'appareil est désinscrit. Cette opération a les effets suivants :

Appareils Android :

■ L'administrateur d'appareils du client Sophos Mobile Control est désactivé.

■ Les données de connexion du serveur et toutes les autres données reçues sont supprimées.

■ Les apps de conteneurs (Sophos Secure Workspace et Sophos Secure Email) et l'appSophos Mobile Security sont réinitialisées.

57


Appareils iOS :

■ Tous les profils sont supprimés.

■ Toutes les apps administrées sont supprimées.

■ Tous les certificats reçus via la gestion des appareils mobiles MDM sont supprimés.

■ Les apps de conteneurs (Sophos Secure Workspace et Sophos Secure Email) sontréinitialisées.

12.4 Gestion des appareilsSur le menu latéral, sous GESTION > Appareils et Groupes d'appareils, vous pouvez suivrel'état de tous les appareils et groupes d'appareils et pouvez effectuer de nombreuses tâchesadministratives. Après avoir ajouté des appareils à Sophos Mobile Control, vous pouvez parexemple :

■ Voir et modifier les détails de l'appareil.

■ Autoriser ou interdire l'accès à la messagerie aux appareils.

■ Verrouiller ou déverrouiller des appareils à distance.

■ Réinitialiser les mots de passe des appareils.

■ Réinitialiser l'appareil à distance en cas de perte ou de vol.

■ Décommissionner les appareils (Android et iOS).

■ Supprimer des appareils.

12.4.1 Affichage des appareils



2. Rendez-vous sur l'appareil concerné et cliquez sur son nom.

La page Affichage de l'appareil s'affiche pour l'appareil sélectionné.

Info :

Sur la page Appareils, vous pouvez afficher des informations supplémentaires en passantvotre curseur au-dessus de certains éléments :

■ Passez votre curseur sur l'icône « Non administré » d'un appareil pour afficher son étaten cours (Désinscrit ou Vérifié).

■ Passez votre curseur sur l'icône « Non conforme » d'un appareil pour afficher son niveaude sévérité (élevée, moyenne, faible).

12.4.1.1 Page Affichage de l'appareilLa page Affichage de l'appareil vous permet de consulter toutes les informations disponiblessur l'appareil de votre choix.

Dans la partie supérieure de la page, vous pouvez consulter rapidement les informations lesplus importantes sur les appareils.

58


Dans la partie inférieure de la page, les différents onglets contiennent des informationsdétaillées sur l'appareil. L'affichage de ces onglets et des informations dépend de la plate-formede l'appareil.

■ Profils (Android, iOS)

Affiche les profils (notamment les profils d'enregistrement) installés sur l'appareil.

L'onglet contient également des commandes d'installation ou de suppression de profils.

■ Stratégies

Affiche les stratégies assignées à l'appareil.

Dans cet onglet, le bouton Assigner une stratégie sert à assigner une stratégie surl'appareil.

■ Propriétés de l'appareil

Affiche les propriétés de l'appareil, par exemple les propriétés du modèle, le nom dumodèle, la version du système d'exploitation. Pour les appareils Android, les smartphonesdisposant des droits root sont détectés et la propriété correspondante apparaît dans cettevue. Pour les appareils iOS, les smartphones débridés sont détectés et la propriétécorrespondante apparaît dans cette vue.

■ Propriétés personnalisées

Affiche les propriétés personnalisées de l'appareil. Vous pouvez créer ces propriétésvous-même. Les propriétés personnalisées de l'appareil peuvent, par exemple, être utiliséesdans les espaces réservés en cas d'indisponibilité d'une connexion Active Directory.Lorsque vous modifiez un appareil, vous pouvez également ajouter des informationsspécifiques à l'utilisateur.

■ Propriétés internes

Affiche les propriétés internes de l'appareil, par exemple, trafic ActiveSync autorisé, IMEI.

■ Violations de conformité

Cet onglet s'affiche uniquement pour les appareils non conformes. Il affiche les violationsde conformité de l'appareil et les actions prises suite à cette violation.

Ces actions sont définies au cours de la configuration de la règle de conformité. Retrouvezplus de renseignements à la section Création de règles de conformité à la page 43.

■ Apps installées (Android, iOS)

Affiche les logiciels installés sur l'appareil.

Pour les appareils iOS, la colonne Administré dans l'onglet Apps installées indiquequelles apps sont administrées. Grâce à Sophos Mobile Control, vous pouvez pousserces apps sur les appareils iOS et les désinstaller de manière silencieuse.

Pour les appareils Android, Sophos Mobile Control est en mesure de faire la différenceentre les apps du système et les apps que l'utilisateur a installées sur l'appareil.

La colonne Taille indique l'espace disque utilisé par une app. La colonne Données indiquel'espace disque supplémentaire qu'utilise une app pour les données de l'utilisateur, lesconfigurations, etc.

Le bouton Installer l'app vous permet d'installer un logiciel sur l'appareil. Vous pouvezégalement supprimer les apps administrées de l'appareil iOS en cliquant sur l'icôneSupprimer correspondant à l'app.

59


■ Apps système (Android)

Affiche les apps du système Android sur l'appareil.

Remarque : les apps système ne peuvent pas être supprimées de l'appareil.

■ Apps Knox (Android)

Cet onglet affiche les apps installées par l'utilisateur dans le conteneur Samsung Knox.

■ Apps système Knox (Android)

Cet onglet affiche les apps système installées dans le conteneur Samsung Knox.

■ Résultats du contrôle (Android)

Cet onglet est uniquement disponible si la fonctionnalité Sophos Mobile Security estdisponible pour le client auquel vous êtes connecté. Il affiche les résultats du derniercontrôle Sophos Mobile Security effectué sur l'appareil. Sophos Mobile Security est uneapp de sécurité qui protège les appareils Android contre les apps malveillantes et aide lesutilisateurs à détecter les permissions des apps pouvant poser un risque pour la sécurité.Cette app peut être administrée par Sophos Mobile Control. Retrouvez plus derenseignements à la section Administration de Sophos Mobile Security à la page 215.

■ Certificats

Affiche les certificats utilisés sur l'appareil.

■ Tâches

Cet onglet affiche toutes les tâches qui ont échoué et qui ne sont pas encore terminéessur l'appareil ainsi que celles qui ont été effectuées récemment. Vous pouvez égalementvoir ces tâches ainsi que toutes les tâches effectuées sur d'autres appareils sur la pageVue des tâches. Retrouvez plus de renseignements à la section Surveillance des tâchesà la page 16.

Vous pouvez passer directement de la page Affichage de l'appareil à la page Modificationde l'appareil. Pour modifier l'appareil que vous êtes en train d'afficher, cliquez sur Modifier.

12.4.1.2 Utilisation du filtre étendu d'appareilsLe filtre étendu d'appareils vous permet de filtrer les listes d'appareils selon vos besoins.

Pour utiliser le filtre d'appareils :

1. Sur la page Appareils, cliquez sur le bouton Filtre étendu (icône en forme de loupe) dansle bandeau d'en-tête.

Le Filtre d'appareils : la boîte de dialogue filtre désactivé. apparaît.

2. Veuillez définir vos critères de filtrage.

3. Après avoir sélectionné les critères requis, cliquez sur Filtre.

Le filtre est activé et la liste des appareils est rechargée. L'icône en forme de loupe du bandeaud'en-tête change de couleur (du bleu au vert) pour indiquer que le filtre est activé. Réinitialisezle filtre en cliquant de nouveau sur le bouton Filtre étendu puis sur le bouton Réinitialiserdans la boîte de dialogue.

Remarque : pensez à réinitialiser les filtres manuellement lorsque vous n'en avez plus besoin.Autrement, les listes ou les rapports n'incluront pas les résultats attendus.

60


12.4.2 Modification des appareils



2. Cliquez sur le triangle bleu correspondant à l’appareil de votre choix et cliquez sur Modifier.

La page Modification de l'appareil s'affiche pour l'appareil sélectionné.

3. Effectuez les changements nécessaires (par exemple installez ou désinstallez un logicieldans l'onglet Apps installées) et cliquez sur Enregistrer.

Vos modifications sont appliquées à l'appareil modifié.

Remarque : les changements de propriétés s'appliquent uniquement lorsque vous cliquezsur Enregistrer. Si vous n'enregistrez pas vos modifications, elles ne s'appliqueront pas.

12.4.2.1 Assignation d'un utilisateur à un appareil1. Sur le menu latéral, sous GESTION, cliquez sur Appareils.

2. Sur la page Appareils, cliquez sur le triangle bleu correspondant à l'appareil de votrechoix et cliquez sur Modifier.

3. Sur la page Modification de l'appareil, cliquez sur l'icône Modifier l'assignation d'unutilisateur située près du champ Utilisateur et cliquez ensuite sur l'entrée de votrechoix dans la liste de sélection :

■ Pour assigner un utilisateur à un appareil auquel aucun utilisateur n'a encore étéassigné, cliquez sur Assigner un utilisateur à l'appareil.

■ Pour assigner un utilisateur différent à un appareil auquel un utilisateur a déjà étéassigné, cliquez sur Réassigner un utilisateur à l'appareil.

4. À l'étape Saisir des paramètres de recherche de l'utilisateur de la boîte de dialogued'assignation, saisissez le paramètre de recherche dans un ou plusieurs champs afin defiltrer la liste des utilisateurs qui sera affichée à l'étape suivante. Par exemple, saisissezle nom d'utilisateur complet ou une partie du nom.

5. À l'étape Sélectionner un utilisateur, sélectionnez l'utilisateur désiré et cliquez surAppliquer.

6. Sur la page Modification de l'appareil, cliquez sur Enregistrer.

12.4.2.2 Retrait d'assignation d'un utilisateur à un appareil1. Sur le menu latéral, sous GESTION, cliquez sur Appareils.

2. Sur la page Appareils, cliquez sur le triangle bleu correspondant à l'appareil de votrechoix et cliquez sur Modifier.

3. Sur la page Modification de l'appareil, cliquez sur l'icône Modifier l'assignation d'unutilisateur située près du champ Utilisateur et cliquez ensuite sur Retirer l'utilisateurassigné à l'appareil.

4. Dans la boîte de dialogue de confirmation, cliquez sur Oui.


12.4.2.3 Propriétés personnalisées pour les appareilsVous pouvez définir des propriétés personnalisées pour chaque appareil.

61


Lorsque vous définissez une propriété sous le nom ma propriété, vous pouvez faireréférence à la valeur de la propriété dans les profils et stratégies en utilisant l'espace réservé%_DEVPROP(ma propriété)_%. Par exemple, vous pouvez utiliser ceci pour faire référenceà un utilisateur assigné à un appareil.

Retrouvez plus de renseignements sur les espaces réservés aux profils et stratégies à lasection Espaces réservés dans les profils et stratégies à la page 76.

Remarque :

■ Vous ne pouvez pas créer de propriété personnalisée pour l'appareil sous le même nomqu'une propriété de l'appareil.

■ Lorsque vous dupliquez un appareil conformément aux instructions de la section Duplicationd'un appareil à la page 52, le nouvel appareil reçoit les propriétés personnalisées del'appareil d'origine.

■ Vous pouvez également définir les propriétés personnalisées du client de la même manièreque vous définissez les propriétés personnalisées de l'appareil. Retrouvez plus derenseignements à la section Propriétés pour les clients à la page 24.

Pour définir une propriété personnalisée pour l'appareil :

1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Général. Surl'onglet Personnel, assurez-vous que l'option Afficher plus de détails sur l'appareil estsélectionnée.



3. Cliquez sur le triangle bleu correspondant à l’appareil de votre choix et cliquez sur Modifier.

4. Sur la page Modification de l'appareil, rendez-vous dans l'onglet Propriétéspersonnalisées et cliquez sur Ajouter une propriété personnalisée.

5. Saisissez un Nom et une Valeur pour la nouvelle propriété personnalisée de l'appareil.

6. Cliquez sur Appliquer pour ajouter la propriété.

7. Cliquez sur Enregistrer pour enregistrer les modifications sur l'appareil.

12.4.2.4 Configuration de l'accès au réseauAvant de pouvoir configurer l'accès au réseau d'un appareil, le contrôle d'accès réseau (NAC)doit être activé dans Sophos Mobile Control.

Pour une installation locale, le super administrateur active NAC. Retrouvez plus derenseignements dans le Guide du super administrateur de Sophos Mobile Control (anglais).

Dans la version SaaS de Sophos Mobile Control, NAC est toujours activé.

Deux options sont disponibles pour configurer l'accès au réseau d'un appareil :

1. Allow or deny network access unconditionally.2. Disable network access when the device violates a compliance rule, enable network access

otherwise.

Remarque : Sophos Mobile Control ne contrôle pas l'accès au réseau lui-même. Ilcommunique un état Refuser le réseau qui peut être utilisé par un logiciel NAC externe telque Sophos UTM pour bloquer les communications réseau.

Pour configurer l'accès au réseau d'un appareil :


62



2. Sur la page Appareils, sélectionnez les appareils pour lesquels vous souhaitez définir lemode d'accès au réseau.

3. Cliquez sur Actions, puis sur Définir l'accès au réseau.

4. Sélectionnez le mode d'accès au réseau :

■ Autoriser : l'accès au réseau des appareils sélectionnés est autorisé.■ Refuser : l'accès au réseau des appareils sélectionnés est refusé.■ Mode Auto : l'accès au réseau des appareils sélectionnés est basé sur l'état de

conformité des appareils.

5. Cliquez sur Oui pour enregistrer vos modifications.

Retrouvez plus de renseignements sur la configuration de l'accès au réseau dans les règlesde conformité à la section Création de règles de conformité à la page 43.

12.4.3 Verrouillage de l'appareil

Vous pouvez verrouiller un appareil administré par Sophos Mobile Control. Cette opérationactive le verrouillage de l'écran.


2. Sur la page Appareils, cliquez sur le triangle bleu correspondant à l'appareil que vousvoulez verrouiller ou déverrouiller et cliquez sur Afficher.

3. Sur la page Affichage de l'appareil, cliquez sur Actions > Verrouiller.

Une tâche d'activation de l'écran de verrouillage est créée et transférée à l'appareil. L'utilisateurdoit saisir le mot de passe de son appareil (ou son code PIN ou le modèle, s'il est configuré)pour déverrouiller l'appareil.

Vous pouvez voir l'état de la tâche sur la page Vue des tâches.

12.5 Programme d’inscription d'appareils (DEP) AppleGrâce au Programme d’inscription d'appareils Apple (DEP), vous avez la possibilité d'acheterdes appareils iOS (et OS X) en volume afin de les distribuer dans votre entreprise. Leprogramme DEP simplifie le déploiement des appareils mobiles en offrant les fonctionssuivantes :

■ Processus d'activation configurable.

■ Activation sans fil du mode de supervision.

■ Configuration OTA (over-the-air).

■ Inscription automatique des appareils iOS dans Sophos Mobile Control au cours del'activation de l'appareil.

Info : retrouvez plus de renseignements sur le programme DEP en vous rendant sur le siteWeb d'Apple DEP http://www.apple.com/fr/business/programs/.

Étapes de préparation

Pour préparer la gestion des appareils DEP par Sophos Mobile Control, veuillez effectuer lesétapes suivantes une seule fois :

1. Sur le portail Web du Programme d’inscription d'appareils Apple, créez un serveur MDMvirtuel et créez un lien vers Sophos Mobile Control. Retrouvez plus de renseignements àla section Installation d'un serveur MDM virtuel à la page 64.

63


http://www.apple.com/fr/business/programs/

2. Dans Sophos Mobile Control, créez un ou plusieurs profils DEP qui contrôle divers attributsd'appareil spécifiques au Programme d’inscription d'appareils Apple (DEP). Avec le profilDEP, vous pouvez également personnaliser l'assistant d'installation d'iOS qui démarrelorsque l'appareil est mis en marche pour la première fois. Retrouvez plus derenseignements à la section Création d'un profil du Programme d’inscription d'appareils(DEP) à la page 65.

Étapes de déploiement

Lorsque vous achetez des appareils DEP, le processus de déploiement classique consisteà effectuer les étapes suivantes :

1. Acheter les appareils chez Apple ou auprès d'un revendeur agréé participant au Programmed’inscription d'appareils.

2. Sur le portail du Programme d’inscription d'appareils d'Apple, assigner les appareils auserveur MDM de Sophos Mobile Control. Retrouvez plus de renseignements à propos decette étape et de l'étape suivante à la section Déploiement des appareils du Programmed’inscription d'appareils (DEP) à la page 70.

3. Assigner un profil DEP aux appareils dans la console Sophos Mobile Control.4. Distribuer les appareils à vos utilisateurs.5. Lorsque les utilisateurs mettent en marche leurs appareils pour la première fois, l'assistant

d'installation personnalisée d'iOS démarre. Au cours de l'installation, les appareils sontinscrits dans Sophos Mobile Control et l'utilisateur est assigné à l'appareil.

6. Si nécessaire, vous avez la possibilité de transférer des séries de tâches supplémentairesaux appareils pour compléter leur approvisionnement.

12.5.1 Installation d'un serveur MDM virtuel

Condition préalable : cette procédure suppose que vous avez déjà procédé à l'inscriptiondans le Programme d’inscription d'appareils Apple (DEP) et créé un compte d'administrateurpour le portail Web du Programme d’inscription d'appareils Apple.

Remarque : retrouvez plus de renseignements sur l'inscription au Programme d’inscriptiond'appareils sur le site Web du Programme d’inscription d'appareils Apple surhttp://www.apple.com/fr/business/programs/ ou dans l'Aide des Programmes de déploiementApple.

Info : si vous vous êtes déjà inscrit au Programme d’achats en volume (VPP) d'Apple, vouspouvez utiliser le même identifiant Apple pour le Programme d’inscription d'appareils.

Pour utiliser le Programme d’inscription d'appareils Apple avec Sophos Mobile Control, vousdevez créer un serveur MDM virtuel sur le portail Web du Programme d’inscription d'appareilsApple et le relier au serveur Sophos Mobile Control. Ceci inclut une procédure de vérificationpour établir une connexion sécurisée entre Sophos Mobile Control et le service Web duProgramme d’inscription d'appareils Apple.

Pour créer un serveur MDM virtuel pour Sophos Mobile Control :

1. Connectez-vous à la console Sophos Mobile Control à l'aide d'un compte d'administrateurpour le client pour lequel vous voulez gérer les appareils du Programme d’inscriptiond'appareils.

2. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration dusystème, puis sur l'onglet Apple DEP.

64


http://www.apple.com/fr/business/programs/

https://help.apple.com/deployment/programs/


3. Cliquez sur télécharger la clé publique pour télécharger le fichier de la clé publique duProgramme d’inscription d'appareils Apple (DEP).

Le fichier va être enregistré localement sur votre ordinateur à l'aide des paramètres detéléchargement de votre navigateur Web.

4. Ouvrez le portail Web du Programme d’inscription d'appareils Applehttps://deploy.apple.com dans une nouvelle fenêtre de navigation.

Vous pouvez effectuer cette opération en cliquant sur le lien Portail Web du Programmed’inscription d'appareils Apple dans Sophos Mobile Control.

5. Connectez-vous au portail Web du Portail Web du Programme d’inscription d'appareilsApple à l'aide de l'identifiant Apple de votre entreprise.

6. Sur le portail, allez sur Programme d'inscription d'appareils > Gérer les serveurs etcliquez ensuite sur Ajouter un serveur MDM.

7. Saisissez un nom pour le serveur MDM, par exemple Sophos Mobile Control.

8. Téléchargez ensuite le fichier de la clé publique que vous avez téléchargée depuis SophosMobile Control.

9. Téléchargez ensuite le token du serveur.

À ce stade, vous pouvez vous déconnecter du portail Web du Programme d’inscriptiond'appareils Apple.

10. Sur l'onglet Apple DEP de Sophos Mobile Control, cliquez sur Télécharger un fichier etsélectionnez le token du serveur que vous avez téléchargé à partir du portail Web duProgramme d’inscription d'appareils Apple.

Les détails de votre serveur MDM virtuel sont affichés.

11. Cliquez sur Enregistrer pour enregistrer vos modifications.

Le token du serveur du Programme d’inscription d'appareils est valide pendant un an. Lorsquele token approche sa date d'expiration, Sophos Mobile Control envoie plusieurs emails derappel à tous les administrateurs du client concerné 30 jours avant la date d'expiration.

Important : lorsque vous créez un nouveau token du serveur sur le portail Web du Programmed’inscription d'appareils Apple, veuillez utiliser le même identifiant Apple que celui utilisé lorsde la création du premier token.

12.5.2 Création d'un profil du Programme d’inscription d'appareils (DEP)

Vous devez créer un Programme d’inscription d'appareils Apple (DEP) avant de pouvoir créerdes profils du Programme d’inscription d'appareils. Retrouvez plus de renseignements à lasection Installation d'un serveur MDM virtuel à la page 64.

Un profil du Programme d’inscription d'appareils est assigné à un appareil du Programmed’inscription d'appareils et fournit des informations au serveur Apple lorsque l'appareil estactivé. Ces informations inclut :

■ Le serveur MDM (c'est-à-dire Sophos Mobile Control) assigné pour administrer l'appareil.

■ Les options de configuration pour l'inscription dans Sophos Mobile Control.

■ Une liste d'hôtes sur lesquels le jumelage de l'appareil est autorisé.

■ Les options de personnalisation pour l'assistant d'installation d'iOS qui démarre lorsquel'appareil est mis en marche pour la première fois.

Si nécessaire, vous pouvez créer plusieurs profils du Programme d’inscription d'appareilsafin d'utiliser différents paramètres d'installation et d'inscription pour vos appareils duProgramme d’inscription d'appareils.

65


Pour créer un profil du Programme d’inscription d'appareils (DEP) :

1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration dusystème, puis sur l'onglet Profils Apple DEP.

2. Cliquez sur Ajouter.

3. Dans la boîte de dialogue Modification du profil du Programme d’inscriptiond'appareils, saisissez un nom et une description (facultative) du profil du Programmed’inscription d'appareils.

4. Facultatif - Dans la liste Groupe d'appareils, sélectionnez un groupe d'appareils qui seraassigné aux appareils lors de leur inscription à Sophos Mobile Control.

Retrouvez plus de renseignements sur les groupes d'appareils à la section Groupesd'appareils à la page 72.

Remarque : pour simplifier la gestion des appareils, nous vous conseillons d'utiliser ungroupe d'appareils distinct pour les appareils du Programme d’inscription d'appareils.

5. Facultatif - Dans la liste Série de tâches, sélectionnez une série de tâches qui seraassignée aux appareils lors de leur inscription à Sophos Mobile Control.

Cette liste inclut toutes les séries de tâches iOS ne contenant aucune tâche d'inscription.

Retrouvez plus de renseignements sur les séries de tâches à la section Séries de tâchesà la page 174.

66


6. Dans l'onglet Inscription, configurez les paramètres suivants :

DescriptionOption

Le mode de supervision est activé.Superviser l'appareil

L'utilisateur peut supprimer le profil d'inscription de Sophos MobileControl à l'aide de l'interface utilisateur iOS.

Cette option peut uniquement être dessélectionnée sur lesappareils supervisés.

L'utilisateur peut supprimerle profil MDM

Installez l'app Sophos Mobile Control sur l'appareil.

Si vous activez cette option, vous devez également désactiverl'option Ignorer l'identifiant Apple sur l'onglet Installation d'iOSafin de permettre à Sophos Mobile Control d'installer l'app à partirde la boutique d'apps.

Remarque : autrement, si vous êtes inscrit au Programmed’achats en volume (VPP) d'Apple, vous pouvez installer l'appSophos Mobile Control en tant qu'app du Programme d'achat envolume, même si l'appareil n'est pas associé à un identifiant Apple.Les appareils doivent être à l'état administré et utiliser iOS 9 ouune version supérieure. Retrouvez plus de renseignements à lasection Assignation automatique des apps du Programme d'achaten volume à la page 190.

Installer l'app SMC

L'utilisateur peut ignorer l'étape d'installation qui s'applique auprofil d'inscription de Sophos Mobile Control.

L'utilisateur peut ignorerl'assignation du profil MDM

Au cours du processus d'inscription dans Sophos Mobile Control,les utilisateurs doivent fournir leurs codes d'accès au Portaillibre-service. Ils sont ensuite assignés à l'appareil.

Utilisez cette option pour assigner automatiquement un utilisateurà l'appareil.

Assigner l'utilisateur àl'appareil

67


7. Sur l'onglet Installation d'iOS, vous pouvez désactiver les étapes de configuration del'assistant d'installation d'iOS qui démarre lorsque l'appareil est mis en marche pour lapremière fois.

Remarque : ces paramètres s'appliquent uniquement à l'installation d'iOS. Si vousdésactivez une étape de configuration, l'utilisateur sera toujours en mesure d'activer l'optionadéquate ultérieurement. Pour désactiver totalement une fonction, veuillez utiliser laconfiguration Restrictions. Retrouvez plus de renseignements à la section Configurationdes Restrictions (profil d'appareil iOS) à la page 123.

DescriptionOption

La page Apps et données n'est pas affichée. L'utilisateur ne peutpas restaurer les données à partir d'une sauvegarde iCloud ouiTunes, ni transférer de données à partir d'un appareil Android.

Ignorer les apps et données

Sur la page Apps et données, l'option Transférer les donnéesdepuis Android n'est pas disponible. L'utilisateur ne peut pastransférer les données à partir d'une appareil Android.

Cette option peut uniquement être activée lorsque l'option Ignorerles apps et données est également activée.

Désactiver « Transférer lesdonnées depuis Android »

La page Diagnostics n'est pas affichée. L'envoi de diagnosticset de données d'utilisation à Apple est désactivé.

Ignorer Diagnostics

La page Services de localisation n'est pas affichée. L'utilisateurne peut pas activer les services de localisation.

Ignorer les services delocalisation

La page Siri n'est pas affichée. L'utilisateur ne peut pas installerSiri.

Ignorer Siri

La page Zoom de l’écran n'est pas affichée. L'utilisateur ne peutpas changer le mode d'affichage de l'écran.

Ignorer Zoom de l’écran

La page Identifiant Apple n'est pas affichée. L'utilisateur ne peutpas se connecter avec son identifiant Apple pour accéder auxservices d'Apple.

Ignorer l'identifiant Apple

La page Apple Pay n'est pas affichée. L'utilisateur ne peut pasajouter les coordonnées d'une carte de crédit ou de paiementdans les boutiques ou dans les apps utilisant Apple Pay.

Ignorer Apple Pay

La page Touch ID n'est pas affichée. L'utilisateur ne peut pasutiliser l'empreinte digitale à la place d'un code d'accès pours'identifier.

Ignorer Touch ID

La page Créer un code d’accès n'est pas affichée. L'utilisateurne peut pas définir un code d'accès pour déverrouiller l'appareil.

Ignorer le code d’accès

La page Conditions générales n'est pas affichée.Ignorer les Conditionsgénérales

68


8. Sous l'onglet Informations du support, configurez les paramètres suivants :

DescriptionOption

Le nom du service ou du lieu associé au profil.

Ce nom est inclus dans les informations auxquelles l'utilisateura accès en cliquant sur À propos de la configuration au coursde la configuration de l'appareil.

Service

Le numéro de téléphone du support de votre entreprise.

Ce champ est pré-rempli avec les coordonnées du contact dusupport technique. Retrouvez plus de renseignements à la sectionConfiguration des coordonnées du contact technique à la page24.

Remarque : le numéro de téléphone est conservé en internedans le profil du Programme d’inscription d'appareils mais n'estpas mis à disposition de l’utilisateur de l’appareil.

Numéro de téléphone

L'adresse électronique du support de votre entreprise.

Ce champ est pré-rempli avec l'adresse électronique du contactdu support technique. Retrouvez plus de renseignements à lasection Configuration des coordonnées du contact technique àla page 24.

Remarque : l’adresse électronique est conservée en internedans le profil du Programme d’inscription d'appareils mais n'estpas mise à disposition de l’utilisateur de l’appareil.

Email

9. L'onglet Jumelage USB vous permet de configurer les ordinateurs hôtes auxquels l'appareilest autorisé à se connecter à l'aide de ports USB.

Cette option peut être utilisée pour synchroniser l'appareil avec iTunes ou pour le gérer àl'aide d'Apple Configurator.

■ Pour autoriser la connexion USB à tous les hôtes, sélectionnez Autoriser le jumelageUSB avec tous les hôtes.

■ Pour interdire la connexion USB ou la limiter à certains hôtes uniquement,dessélectionnez Autoriser le jumelage USB avec tous les hôtes puis téléchargezun fichier de certificat pour chaque hôte auquel l'appareil est autorisé à se connecter.

10. Lorsque vous avez configuré tous les onglets de la boîte de dialogue Modification duprofil du Programme d’inscription d'appareils, cliquez sur Appliquer pour enregistrerle profil du Programme d’inscription d'appareils.

11. Pour assigner le profil à tous les nouveaux appareils du Programme d’inscription d'appareilsauxquels aucun profil n'a été assigné manuellement, sélectionnez le dans la liste Le profilDEP par défaut assigné aux nouveaux appareils.

Lorsque vous sélectionnez Aucun, vous devez assigner manuellement un profil duProgramme d’inscription d'appareils aux nouveaux appareils du Programme d’inscriptiond'appareils conformément aux instructions de la section Déploiement des appareils duProgramme d’inscription d'appareils (DEP) à la page 70. Dans le cas contraire, les appareilsdu Programme d’inscription d'appareils ne seront pas inscrits dans Sophos Mobile Controllors de leur activation.

12. Cliquez sur Enregistrer pour enregistrer vos modifications.

69


12.5.3 Déploiement des appareils du Programme d’inscription d'appareils(DEP)

Effectuez cette procédure pour connecter vos appareils au Programme d’inscription d'appareilsApple (DEP) et les inscrire dans Sophos Mobile Control.

Vous pouvez gérer les appareils que vous avez acheté chez Apple ou auprès d'un fournisseurdu Programme d’inscription d'appareils agréé. Avant de connecter les appareils au Programmed’inscription d'appareils Apple, veuillez configurer le fournisseur de l'appareil sur le portail duProgramme d’inscription d'appareils Apple.

Remarque : dans un processus classique du Programme d’inscription d'appareils Apple,vous effectuez cette procédure avant de remettre les appareils à vos utilisateurs pour activationet utilisation.

Remarque : retrouvez une description détaillée du portail du Programme d’inscriptiond'appareils Apple dans l'Aide des Programmes de déploiement Apple.

Pour assigner vos appareils à Sophos Mobile Control puis leur assigner un profil du Programmed’inscription d'appareils :

1. Ouvrez le portail Web du programme de déploiement Apple https://deploy.apple.comdans votre navigateur Web et connectez-vous à l'aide de l'identifiant Apple de votreentreprise.

2. Sur le portail, allez dans Programme d'inscription d'appareils > Gérer les appareils.

3. Sous Choisir les appareils selon, sélectionnez vos nouveaux appareils par numéro desérie, numéro de commande ou téléchargez un fichier CSV incluant les numéros de sériede vos appareils.

Remarque : si vous avez acheté vos appareils auprès d'un revendeur, ceux-ci sont misà disposition sur le portail du Programme d’inscription d'appareils sous les 24 heuressuivant l'envoi de votre commande à Apple par le revendeur.

4. Sous Choisir une action, sélectionnez Attribuer au serveur puis sélectionnez le serveurMDM virtuel que vous avez installé pour Sophos Mobile Control conformément auxinstructions de la section Installation d'un serveur MDM virtuel à la page 64.

5. Cliquez sur OK pour procéder à l'assignation.

À ce stade, vous pouvez vous déconnecter du portail Web du Programme d’inscriptiond'appareils Apple.

Vous pouvez ignorer les étapes restantes si vous avez déjà configuré un profil du Programmed’inscription d'appareils par défaut conformément aux instructions de la section Création d'unprofil du Programme d’inscription d'appareils (DEP) à la page 65.

6. Connectez-vous à la console Sophos Mobile Control à l'aide d'un compte d'administrateurpour le client pour lequel vous voulez gérer les appareils du Programme d’inscriptiond'appareils.

7. Sur le menu latéral, sous GESTION, cliquez sur Appareils puis sur Apple DEP.

La page Appareils du Programme d’inscription d'appareils Apple contient une listede tous les appareils que vous avez assigné à Sophos Mobile Control sur le portail Webdu Programme d’inscription d'appareils Apple.

70



8. Si les appareils que vous venez d'assigner à Sophos Mobile Control ne figure pas danscette liste, cliquez sur Synchroniser avec le portail du Programme d’inscriptiond'appareils Apple.

Remarque : pour limiter la charge sur le serveur du Programme d’inscription d'appareilsApple, il est uniquement possible de procéder à des opérations répétées de synchronisationlorsque le temps d'attente est court.

9. Sélectionnez les nouveaux appareils et cliquez sur Actions > Assigner un profil.

10. Dans la boîte de dialogue de confirmation, sélectionnez le profil du Programme d’inscriptiond'appareils que vous voulez assigner aux appareils et cliquez sur OK.

Lorsque les appareils que vous avez acheté seront livrés à votre entreprise, vous pourrez lesremettre à vos utilisateurs. Aucune autre configuration n'est nécessaire. Lorsque les utilisateursmettront leurs appareils en marche pour la première fois, la configuration d'iOS et l'inscriptiondans Sophos Mobile Control seront effectuées conformément à la configuration définie dansle profil du Programme d’inscription d'appareils assigné.

Lorsque vous sélectionnez l'option du profil Assigner l'utilisateur à l'appareil comme indiquéà la section Création d'un profil du Programme d’inscription d'appareils (DEP) à la page 65,les utilisateurs sont assignés automatiquement à leur appareil.

12.5.4 Gestion des appareils du Programme d’inscription d'appareils

Les appareils du Programme d’inscription d'appareils sont administrés dans Sophos MobileControl de la même façon que le sont les appareils n'appartenant pas au Programmed’inscription d'appareils. Retrouvez plus de renseignements à la section Gestion des appareilsà la page 58.

En revanche seul le Programme d’inscription d'appareils permet d'assigner un profil duProgramme d’inscription d'appareils à un appareil. Le profil du Programme d’inscriptiond'appareils fournit des informations au serveur Apple lorsque l'appareil est activé. Retrouvezplus de renseignements à la section Création d'un profil du Programme d’inscription d'appareils(DEP) à la page 65.

Remarque : un profil du Programme d’inscription d'appareils est uniquement utilisé pourl'activation d'un appareil. La modification d'un profil du Programme d’inscription d'appareilsassigné n'aura donc aucun effet sur l'appareil tant qu'il n'aura pas été réinitialisé et réactivé.

Pour modifier le profil du Programme d’inscription d'appareils d'un appareil :

1. Sur le menu latéral, sous GESTION, cliquez sur Appareils puis sur Apple DEP.

La page Appareils du Programme d’inscription d'appareils Apple contient une listede tous les appareils que vous avez assigné à Sophos Mobile Control sur le portail Webdu Programme d’inscription d'appareils Apple.

2. Cliquez sur Synchroniser avec le portail du Programme d’inscription d'appareilsApple pour mettre à jour les informations du Programme d’inscription d'appareils.

Remarque : pour limiter la charge sur le serveur du Programme d’inscription d'appareilsApple, l'option Synchroniser avec le portail du Programme d’inscription d'appareilsApple est désactivée après la synchronisation et redevient disponible quelques minutesplus tard.

3. Sélectionnez les appareils auxquels vous voulez assigner un autre profil du Programmed’inscription d'appareils.

4. Cliquez sur Actions > Assigner un profil.

5. Dans la boîte de dialogue de confirmation, sélectionnez le profil du Programme d’inscriptiond'appareils que vous voulez assigner aux appareils et cliquez sur OK.

71


13 Groupes d'appareilsLes groupes d'appareils sont utilisés pour diviser les appareils en catégories. Ils vouspermettent de gérer les appareils de manière plus efficace en effectuant les tâches sur ungroupe plutôt que sur chaque appareil individuellement.

Un appareil appartient toujours et uniquement à un seul groupe d'appareils. Vous assignezun appareil à un groupe d'appareils lorsque vous l'ajoutez dans Sophos Mobile Control.

Info : regroupez les appareils par système d'exploitation. En effet, il est plus facile d'utiliserles groupes pour effectuer des tâches d'installation et des tâches spécifiques aux systèmesd'exploitation.

13.1 Création d'un groupe d'appareils1. Sur le menu latéral, sous GESTION, cliquez sur Groupes d'appareils puis sur Créer un

groupe d'appareils.

2. Sur la page Modification du groupe d'appareils, saisissez un Nom et une Descriptionpour le nouveau groupe d'appareils.

3. Sous la section Règles de conformité, dans les listes déroulantes Appareilsprofessionnels et Appareils privés, sélectionnez les règles de conformité que vousvoulez appliquer.


Remarque : les paramètres du groupe d'appareils incluent l'option Activer l'inscriptionautomatique d'iOS. Cette option vous permet d'inscrire les appareils iOS dans AppleConfigurator. Retrouvez plus de renseignements à la section Inscription automatique desappareils iOS à la page 56.

Le nouveau groupe d'appareils est créé et apparaît sur la page Groupes d'appareils.

13.2 Suppression des groupes d'appareils1. Sur le menu latéral, sous GESTION, cliquez sur Groupes d'appareils.

2. Sur la page Groupes d'appareils, cliquez sur le triangle bleu correspondant au groupeque vous souhaitez supprimer et cliquez sur Supprimer.

3. Dans la boîte de dialogue de confirmation, sélectionnez l'un des groupes d'appareilsrestants auquel les appareils du groupe d'appareils à supprimer seront réassignés.

Cette sélection n'est pas disponible lorsqu'il n' y a aucun appareil assigné au grouped'appareils.

4. Cliquez sur Oui pour supprimer le groupe d'appareils.

Remarque : lorsqu'il n'y a plus qu'un seul groupe d'appareils et que les appareils lui sontassignés, vous ne pouvez pas supprimer ce groupe d'appareils.

72


14 Profils et stratégies

Profils

Les profils sont des paramètres que vous définissez et installer sur un appareil ou sur ungroupe d'appareils.

Pour installer un profil sur un ou plusieurs appareils, Sophos Mobile Control crée une tâcheet l'exécute à l'heure indiquée. Lorsque vous mettez à jour un profil, veuillez de nouveaul'installer pour que les modifications apportées aux configurations soient appliquées surl'appareil.

Les types de profil suivants sont disponibles :

Configuration des profils d'appareil Android à la page 79Configuration des stratégies Android for Work à la page 97Configuration des profils de conteneur Knox à la page 117Configuration des profils d'appareil iOS à la page 122

Stratégies

Les profils sont des paramètres que vous définissez et que vous assignez ensuite à un appareilou à un groupe d'appareils. Vous pouvez uniquement assigner une stratégie de chaque typeà un appareil.

Si vous assignez une stratégie à un appareil, une opération de synchronisation est déclenchéeet les paramètres sont appliqués immédiatement. Les stratégies assignées sont mises à joursur l'appareil à chaque fois qu'un appareil se connecte au serveur Sophos Mobile Control.Par conséquent, lorsque vous mettez à jour une stratégie, vous n'avez pas besoin de laréappliquer explicitement à l'appareil.

Les types de stratégie suivants sont disponibles :

Configuration des stratégies de conteneur Sophos pour Android à la page 107Configuration des stratégies de sécurité des mobiles (Sophos Mobile Security) à la page117Configuration des stratégies de conteneur Sophos pour iOS à la page 149Configuration des stratégies Windows Mobile à la page 159Configuration des stratégies Windows Desktop à la page 168

14.1 Création du profil ou de la stratégieLes profils et stratégies sont composées d'une ou de plusieurs configurations. L'ajout dedifférentes options de configuration vous permettra de définir l'étendue du profil ou de lastratégie, c'est-à-dire, les emplacements administrés sur les appareils.

1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Profils et stratégies et cliquezsur la plate-forme pour laquelle vous souhaitez créer le profil ou la stratégie.

73


2. Sur la page Profils et stratégies, cliquez sur Créer. Si plusieurs types de profil ou destratégie sont disponibles pour la plate-forme, un menu s'ouvre lorsque vous cliquez surle bouton Créer vous permettant de sélectionner le type de votre choix.

Retrouvez une liste de tous les types de profil et de stratégie disponibles à la section Profilset stratégies à la page 73.

3. Saisissez un nom, une version et une description.

Les champs obligatoires sont identifiés par un astérisque rouge.

4. Pour les stratégies de conteneur Sophos, une configuration Généralités est obligatoireet automatiquement ajoutée à la stratégie. Sur la page Modification de la stratégie,cliquez sur Généralités pour ouvrir la configuration et effectuez les modificationsnécessaires.

5. Pour les stratégies Android for Work, une configuration Restrictions est obligatoire etautomatiquement ajoutée à la stratégie. Sur la page Modification de la stratégie, cliquezsur Restrictions pour ouvrir la configuration et effectuez les modifications nécessaires.

6. Pour ajouter d'autres options de configuration au profil ou à la stratégie, cliquez sur Ajouterune configuration et sélectionnez la configuration que vous voulez ajouter.

Remarque : les options de configuration prises en charge varient en fonction de la versiondu système d'exploitation ou des autres fonctions de l'appareil. Les conditions requisessont indiquées par une étiquette bleue.

7. Sur la page des paramètres de la configuration, indiquez les paramètres requis.

8. Facultatif - Répétez les étapes précédentes pour ajouter d'autres options de configuration.

9. Dès que toutes les options de configuration ont été ajoutées, cliquez sur Enregistrer.

Le profil ou la stratégie est créé(e). Retrouvez plus de renseignements sur la manière de lesappliquer aux appareils à la section Installation d'un profil sur les appareils à la page 77 ouAssignation d'une stratégie aux appareils à la page 78.

14.2 Importation des profils d'appareil iOS créés avec AppleConfiguratorVous pouvez importer des profils créés avec Apple Configurator dans Sophos Mobile Control.

Apple Configurator peut être téléchargé depuis l'App Store.

Remarque : veuillez importer les profils d'appareil en utilisant la même procédure que celleutilisée pour approvisionner les profils de vos apps iOS développées en interne. Lorsque voustéléchargez un fichier de profil, Sophos Mobile Control analyse son contenu afin de faire ladistinction entre les deux types de profil.

1. Après avoir créé un profil dans Apple Configurator, exportez-le (déchiffré et non signé) etenregistrez-le sur votre ordinateur.

2. Sur le menu latéral, sous CONFIGURATION, cliquez sur Profils et stratégies > AppleiOS.

3. Sur la page Profils et stratégies, cliquez sur Créer > Importer un profil.

La page Modification du profil apparaît.

4. Saisissez un nom, une description et une version (facultatif) pour le nouveau profil dansles champs adéquats.

5. Cliquez sur Télécharger un fichier et naviguez jusqu'au fichier enregistré sur votreordinateur, sélectionnez-le et cliquez sur Ouvrir.


74


Le profil est créé. Il peut être installé sur les appareils. Retrouvez plus de renseignements àla section Installation d'un profil sur les appareils à la page 77.

14.3 Importation des profils d'enregistrement pour les appsiOSLorsque vous développez vos propres apps iOS, vous créez des profils d'enregistrement afinque vos apps puissent être installées à partir d'un fichier IPA plutôt qu'à partir de la boutiqued'apps. Vous pouvez télécharger ces profils d'enregistrement sur le serveur Sophos MobileControl afin de pouvoir les distribuer ensuite sur vos appareils.

Retrouvez plus de renseignements sur les profils d'enregistrement sur iOS Developer Library.

Remarque : vous importez les profils d'enregistrement de la même manière que vous lefaites avec les profils d'appareil créés à l'aide de l'Apple Configurator. Lorsque vous téléchargezun fichier de profil, Sophos Mobile Control analyse son contenu afin de faire la distinctionentre les deux types de profil.

1. Après avoir généré un profil d'enregistrement sur votre environnement de développementiOS, enregistrez-le sur votre ordinateur.

2. Sur le menu latéral, sous CONFIGURATION, cliquez sur Profils et stratégies > AppleiOS.

3. Sur la page Profils et stratégies, cliquez sur Créer > Importer un profil.

La page Modification du profil apparaît.

4. Saisissez un nom, une description et une version (facultatif) pour le nouveau profil dansles champs adéquats.

5. Cliquez sur Télécharger un fichier et naviguez jusqu'au fichier enregistré sur votreordinateur, sélectionnez-le et cliquez sur Ouvrir.


Le profil est créé. Il peut être installé sur les appareils. Retrouvez plus de renseignements àla section Installation d'un profil sur les appareils à la page 77.

14.4 Règles de complexité de mot de passe WindowsDesktoples règles de complexité des mots de passe (par ex. ; la longueur, le nombre de lettresmajuscules et minuscules) pour les appareils Windows Desktop sont fixées et ne peuventpas être définies par une stratégie Sophos Mobile Control. Différentes règles s'appliquentaux comptes locaux et aux comptes Microsoft

Comptes locaux■ Le mot de passe ne doit pas contenir le nom du compte de l'utilisateur ou plus de deux

caractères consécutifs du nom complet de l'utilisateur.

■ Le mot de passe doit être composé d'au moins 6 caractères.

■ Le mot de passe doit être composé de caractères appartenant au moins à trois des quatrecatégories suivantes :

■ Lettres majuscules A-Z (alphabet romain)

75


■ Lettres minuscules A-Z (alphabet romain)

■ Chiffres de 0 à 9

■ Caractères spéciaux (!, $, #, %, etc.)

Comptes Microsoft■ Le mot de passe doit être composé d'au moins 8 caractères.

■ Le mot de passe doit être composé de caractères appartenant au moins à deux des quatrecatégories suivantes :




■ Caractères spéciaux (!, $, #, %, etc.)

14.5 Support de Samsung KnoxVous pouvez administrer les appareils Samsung Knox à l'aide de Sophos Mobile Control.

Remarque : l'administration des appareils Samsung Knox nécessite l'utilisation d'une cléde licence Knox Premium qui doit être saisie sous la section Configuration du systèmede Sophos Mobile Control.

Retrouvez plus de renseignements sur la configuration du conteneur Knox des appareilsSamsung à la section Configuration des profils de conteneur Knox à la page 117.

Retrouvez plus de renseignements sur l'installation des apps dans un conteneur SamsungKnox à la section Ajout d'une app à la page 182.

Pour administrer vos appareils Samsung Knox, vous pouvez créer des séries de tâches poureffectuer les actions suivantes :

■ Conteneur Knox : verrouiller

■ Conteneur Knox : déverrouiller

■ Conteneur Knox : réinitialiser le mot de passe

■ Conteneur Knox : supprimer (supprime le conteneur et toutes les options de configurationassociées de l'appareil)

Retrouvez plus de renseignements sur la création d'une série de tâches pour un appareilSamsung Knox à la section Création d'une série de tâches à la page 174.

14.6 Espaces réservés dans les profils et stratégiesLes profils et stratégies peuvent contenir des espaces réservés qui seront remplacés par desdonnées au moment de l'exécution de la tâche. Les espaces réservés suivants peuvent êtreutilisés dans les profils :

■ Les espaces réservés pour les données des utilisateurs sont :

■ %_EMAILADDRESS_%

■ %_USERNAME_%

76


■ Espaces réservés pour les propriétés de l'appareil :

■ %_DEVPROP(nom propriété)_%

nom propriété peut soit être une propriété standard soit une propriété personnaliséede l'appareil. Retrouvez plus de renseignements à la section Propriétés personnaliséespour les appareils à la page 61.

■ Espaces réservés pour les propriétés du client :

■ %_CUSTPROP(nom propriété)_%

Retrouvez plus de renseignements à la section Propriétés pour les clients à la page24.

14.7 Installation d'un profil sur les appareils1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Profils et stratégies puis cliquez

sur les plates-formes d'appareils prenant en charge les profils :

■ Android■ Apple iOS

La page Profils et stratégies de la plate-forme sélectionnée apparaît.

2. Cliquez sur le triangle bleu correspondant au profil à installer et cliquez sur Installer.

La page Sélection des appareils apparaît.


■ Sélectionnez individuellement les appareils sur lesquels vous voulez installer le profil.■ Cliquez sur Sélectionner les groupes d'appareils et sélectionnez un ou plusieurs

groupes d'appareils.

4. Après avoir fait votre sélection, cliquez sur Suivant.

La page Définir la date d'exécution apparaît.

5. Sous Date planifiée, sélectionnez Maintenant ou indiquez une Date et une Heured'exécution de la tâche.

6. Cliquez sur Terminer.

La Vue des tâches apparaît.

Le profil est installé sur les appareils sélectionnés à l'heure et à la date indiquées.

Remarque : vous pouvez également installer un profil en utilisant l'une des options suivantes :

■ Créez une série de tâches avec la tâche Installer le profil / Assigner une stratégie ettransférez-la aux appareils ou groupes d'appareils requis.

■ Sur la page Affichage de l'appareil, sélectionnez l'onglet Profils et cliquez sur Installerle profil.

77


14.8 Assignation d'une stratégie aux appareils1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Profils et stratégies puis cliquez

sur les plates-formes d'appareils prenant en charge les stratégies :

■ Android■ Apple iOS■ Windows Mobile■ Windows Desktop


2. Cliquez sur le triangle bleu correspondant à la stratégie à assigner et cliquez sur Assigner.

La page Sélection des appareils apparaît.


■ Sélectionner les appareils individuels auxquels vous voulez assigner la stratégie.■ Cliquer sur Sélectionner les groupes d'appareils et sélectionnez un ou plusieurs

groupes d'appareils auxquels assigner la stratégie.

4. Après avoir fait votre sélection, cliquez sur Terminer.

La stratégie est assignée aux appareils sélectionnés et une opération de synchronisation desappareils sélectionnés est déclenchée.

Remarque : vous pouvez également assigner une stratégie en utilisant l'une des optionssuivantes :

■ Créez une série de tâches avec la tâche Installer le profil / Assigner une stratégie ettransférez-la aux appareils ou groupes d'appareils requis.

■ Sur la page Affichage de l'appareil, sélectionnez l'onglet Stratégies et cliquez surAssigner une stratégie.

Remarque : les stratégies ne peuvent pas être supprimées de l'appareil. Pour désactiverune stratégie, veuillez assigner une stratégie différente à cet appareil.

14.9 Suppression du profilVeuillez utiliser l'une des procédures suivantes pour supprimer un profil des appareils :

■ Sur la page Affichage de l'appareil, sélectionnez l'onglet Profils. Cliquez sur le trianglebleu correspondant au profil que vous voulez supprimer et cliquez sur Supprimer.

■ Créez une série de tâches avec la tâche Supprimer le profil et transférez-la aux appareilsou groupes d'appareils requis.

14.10 Téléchargement des profils et stratégiesVous pouvez télécharger les profils et stratégies que vous avez configurés dans la consoleSophos Mobile Control. Ceci est particulièrement utile si, par exemple, vous devezcommuniquer les paramètres définis au support de Sophos.

1. Sur le menu latéral, allez dans Profils et stratégies et cliquez sur la plate-forme d'unappareil.


78


2. Cliquez sur le nom du profil ou de la stratégie de votre choix.

La page Affichage du profil ou Affichage de la stratégie apparaît.

3. Cliquez sur Télécharger.

Le profil ou la stratégie est enregistré localement sur votre ordinateur comme suit :

■ Les profils iOS sont enregistrés en tant que fichiers XML Plist avec l'extension.mobileconfig.

■ Les profils Android sont enregistrés en tant que fichiers XML avec l'extension.smcprofile.

■ Les stratégies Android et iOS sont enregistrées en tant que fichiers JSON.

■ Les stratégies Windows Mobile sont enregistrées en tant que fichiers XML avec l'extension.windowsphoneconfig.

■ Les stratégies Windows Desktop sont enregistrées en tant que fichiers XML avec l'extension.windowsdesktopconfig.

14.11 Configuration des profils d'appareil AndroidUn profil d'appareil Android vous permet de configurer différentes options des appareilsAndroid (stratégies de mot de passe, restrictions ou paramètres Wi-Fi).

Retrouvez plus de renseignements sur la création d'un profil d'appareil à la section Créationd'un profil ou d'une stratégie à la page 73.

14.11.1 Configuration des Stratégies de mot de passe (profil d'appareilAndroid)La configuration des Stratégies de mot de passe vous permet de définir les règles de mot depasse pour les appareils.

Remarque : les paramètres pris en charge varient en fonction de la version du systèmed'exploitation ou des autres fonctions de l'appareil. L'étendue est indiquée par une étiquettebleue dans Sophos Mobile Control.

Type de mot de passe

Lorsque vous sélectionnez la configuration Stratégies de mot de passe, la liste Type demot de passe apparaît. Cette liste vous permet de sélectionner le type de mot de passe quevous voulez définir :

DescriptionParamètre/Champ

Les utilisateurs doivent définir un mode dedéverrouillage de l'écran. Ils peuvent choisir un

Aléatoire

mode de déverrouillage de l'écran de type Modèle,Code PIN ou Mot de passe. Aucune autrerestriction n'est imposée.

79



Les utilisateurs doivent définir un mode dedéverrouillage de l'écran de type Mot de passe.

Alphabétique

L'utilisation de chiffre est autorisée mais le mot depasse doit contenir au moins une lettre. Vouspouvez définir la longueur minimale. Retrouvezplus de renseignements à ce sujet dans le tableauci-dessous.

Les utilisateurs doivent définir un mode dedéverrouillage de l'écran de type Code PIN ou Mot

Code PIN

de passe. Vous pouvez définir la longueurminimale. Retrouvez plus de renseignements à cesujet dans le tableau ci-dessous.


Alphanumérique

Le mot de passe doit contenir une combinaison delettres et de chiffres. Vous pouvez définir lalongueur minimale. Retrouvez plus derenseignements à ce sujet dans le tableauci-dessous.


Complexe

Le mot de passe doit contenir une combinaison delettres et de chiffres. Vous pouvez définir lalongueur minimale ainsi que le nombre minimal dechiffres, de lettres minuscules et majuscules et decaractères spéciaux à utiliser. Retrouvez plus derenseignements à ce sujet dans les deux tableauxci-dessous.

Si vous sélectionnez Alphabétique, Code PIN, Alphanumérique ou Complexe, les champssuivants apparaissent :


Le nombre minimum de caractères qu'un mot depasse doit contenir.

Longueur minimum du mot de passe

Le temps (en secondes) au bout duquel l'appareildoit être verrouillé lorsqu'il n'est pas utilisé.

Délai d'attente avant la demande du mot depasse

L'appareil peut être déverrouillé en saisissant lemot de passe.

Demande aux utilisateurs de changer leur mot depasse dans l'intervalle indiqué. Plage de valeur :

Durée de validité maximale du mot de passeen jours

80



0 (aucun changement de mot de passe requis) à730 jours.

Le nombre maximal de tentatives ratées de saisiedu mot de passe qu'il est possible d'effectuer avantque l'appareil soit réinitialisé.

Nombre maximal de tentatives ratées avant laréinitialisation de l'appareil

Le nombre d'anciens mots de passe mémoriséset comparés avec les nouveaux. Lorsque

Longueur minimum de l'historique

l'utilisateur définit un nouveau mot de passe,celui-ci n'est pas accepté s'il correspond à unancien mot de passe déjà utilisé. Plage de valeur :1 à 5 ou aucune.

Si vous sélectionnez Complexe, les champs supplémentaires suivants s'affichent :


Le nombre minimum de lettres qu'un mot de passedoit contenir.

Nombre minimum de lettres

Le nombre minimum de lettres minuscules qu'unmot de passe doit contenir.

Nombre minimum de lettres minuscules

Le nombre minimum de lettres majuscules qu'unmot de passe doit contenir.

Nombre minimum de lettres majuscules

Le nombre minimum de caractères nonalphabétiques (par exemple & ou !) qu'un mot depasse doit contenir.

Nombre minimum de caractères nonalphabétiques

Le nombre minimum de chiffres qu'un mot depasse doit contenir.

Nombre minimum de chiffres

Le nombre minimum de caractères spéciaux (parexemple !"§$%&/()=,.-;:_@<>) qu'un mot de passedoit contenir.

Nombre minimum de caractères spéciaux

14.11.2 Configuration des Restrictions (profil d'appareil Android)La configuration des Restrictions vous permet de définir les restrictions pour les appareils.

81


Sécurité


L'utilisateur doit chiffrer ses appareils.Forcer le chiffrement

Lorsque le profil est installé sur un appareil, l'utilisateurdoit chiffrer la carte SD.

Remarque : sur certains types d'appareils, les utilisateurspeuvent choisir d'annuler le chiffrement. Ils verront un

Forcer le chiffrement de la carte SD

message de rappel la prochaine fois qu'ils connecterontune carte SD.

Si cette case est dessélectionnée, les options dechiffrement rapide ne sont plus disponibles dans lesparamètres de l'appareil.

Autoriser le chiffrement rapide

Si cette case est dessélectionnée, l'utilisateur ne peut pasréinitialiser son appareil aux paramètres d'usine.

Autoriser le rétablissement desparamètres d’usine

Si cette case est dessélectionnée, l'utilisateur ne peut paschanger les options de développement.

Autoriser les options de développement

Si cette case est dessélectionnée, l'utilisateur ne peut pasdémarrer son appareil en mode sans échec.

Autoriser le mode sécurisé

Si cette case est dessélectionnée, le débogage USB estdésactivé.

Remarque : si la case Autoriser le débogage USB estdessélectionnée sur les appareils Sony à partir de la

Autoriser le débogage USB

version 9 de l'API d'entreprise, toutes les options dedéveloppement sont indisponibles.

Si cette case est dessélectionnée, tous les types de misesà jour du firmware (OTA, téléchargement, etc.) sontdésactivés.

Autoriser la récupération du firmware

Si cette case est dessélectionnée, l'utilisateur ne peut pascréer de sauvegardes du système. La sauvegarde Google

Autoriser la sauvegarde

est désactivée. D'autres méthodes de sauvegarde (parexemple les sauvegardes Sophos Mobile Control) sonttoujours disponibles.

Si cette case est dessélectionnée, l'utilisateur ne peut paschanger les paramètres de l'appareil. Selon les appareilsindividuels, l'icône des paramètres est supprimé.

Autoriser les modifications deparamètres

82



Si cette case est dessélectionnée, l'utilisateur ne peut pascopier de contenu dans le presse-papiers.

Remarque : ce paramètre s'applique uniquement auxappareils Android à partir de la version 4.2.2.

Autoriser le Presse-papiers

Permet à l'utilisateur de copier le contenu dupresse-papiers entre les apps.

Si cette case est dessélectionnée, chaque app a sonpropre presse-papiers.

Activer le Presse-papiers partagé

Ce paramètre est uniquement disponible si voussélectionnez Autoriser le Presse-papiers.

Si cette case est dessélectionnée, l'utilisateur ne peut pasprendre de capture d'écran.

Autoriser la capture d'écran

Si cette case est dessélectionnée, l'utilisateur ne peut passélectionner l'option App de localisation fictive disponiblesous les Options de développement de l'appareil Android.

Autoriser les positions GPS factices

Si cette case est dessélectionnée, les mises à jour OTA(over-the-air) du firmware sont désactivées.

Autoriser les mises à jour OTA dufirmware

Si cette case est dessélectionnée, l'utilisateur ne peut pasenregistrer de son.

Autoriser l'enregistrement audio

Si cette case est dessélectionnée, l'utilisateur ne peut pasenregistrer de vidéos. Il peut prendre des photos et liredes vidéos en streaming.

Autoriser l'enregistrement vidéo

Si cette case est dessélectionnée, les options deverrouillage de l'activation ne sont plus disponibles dansles paramètres de l'appareil.

Autoriser le verrouillage de l'activation

Si cette case est dessélectionnée, l'app Samsung S Beamn'est plus disponible.

Autoriser S Beam

Si cette case est dessélectionnée, l'app Samsung S Voicen'est plus disponible.

Autoriser S Voice

Si cette case est dessélectionnée, la fonction Partagerpar est désactivée.

Autoriser « Partager par »

83


Comptes


Si cette case est dessélectionnée, le supportmulti-utilisateurs est désactivé. Les utilisateurs ou les

Autoriser le mode multi-utilisateurs

apps ne peuvent pas créer de comptes d'utilisateursupplémentaires.

Si cette case est dessélectionnée, l'utilisateur ne peut pasajouter de comptes de messagerie.

La création de compte via un profil d'appareil est toujourspossible.

Autoriser l'ajout de nouveaux comptesde messagerie

Si cette case est dessélectionnée, l'utilisateur ne peut passupprimer le compte Google de l'appareil.

Autoriser la suppression du compteGoogle

Si cette case est dessélectionnée, les comptes Googlene sont pas synchronisés automatiquement. L'utilisateur

Autoriser la synchronisationautomatique des comptes Google

est toujours en mesure de synchroniser ses comptesmanuellement à partir de certaines apps comme Gmail.

Réseau et communication


Si cette case est dessélectionnée, l'utilisateur ne peut pasactiver le mode Avion.

Autoriser le mode Avion

Si cette case est dessélectionnée, la synchronisationpendant l'itinérance est désactivée.

Autoriser la synchronisation pendantl'itinérance

Seuls les appels d'urgence sont autorisés.Tous les autresappels seront bloqués.

Autoriser uniquement les appelsd'urgence

La synchronisation automatique des données estdésactivée lorsque l'appareil est en mode itinérant. Tous

Forcer la synchronisation manuellependant l'itinérance

les comptes configurés sont affectés (par exemple ;Google ou Exchange).

L'utilisateur ne peut pas désactiver les données cellulaires.Forcer la connexion aux donnéesmobiles

Si cette case est dessélectionnée, l'utilisateur ne peut pasenvoyer de SMS.

Autoriser les SMS

84



Si cette case est dessélectionnée, les connexions auxdonnées mobiles pendant l'itinérance sont désactivées.

Autoriser la connexion aux donnéesmobiles pendant l'itinérance

Si cette case est dessélectionnée, les appels vocauxpendant l'itinérance sont désactivés.

Autoriser les appels vocaux pendantl'itinérance

Si cette case est dessélectionnée, l'utilisateur ne peut pasdéfinir une limite de données mobiles.

Autoriser la définition de limite desdonnées mobiles

Si cette case est dessélectionnée, l'utilisateur ne peut pasutiliser de connexions VPN.

Autoriser les réseaux privés virtuels(VPN)

Si cette case est dessélectionnée, le transfert de donnéesvia une connexion Wi-Fi directe est désactivé.

Autoriser la connexion Wi-Fi directe

Si cette case est dessélectionnée, le transfert de donnéesvia Android Beam est désactivé. Ceci inclut égalementl'app Samsung S Beam.

Autoriser Android Beam

Si cette case est dessélectionnée, le transfert de donnéesvia Miracast est désactivé.

Autoriser la stratégie Miracast

Si cette case est dessélectionnée, la connexion Bluetoothest désactivée.

Autoriser Bluetooth

Si cette case est dessélectionnée, la communication NFCest désactivée.

Autoriser NFC

Si cette case est dessélectionnée, la connexion Wi-Fi estdésactivée.

Autoriser la connexion Wi-Fi

Partage de connexion Wi-Fi


Si cette case est dessélectionnée, le partage deconnexion Internet est désactivé. Ceci inclut le partagede connexion Internet via Wi-Fi, USB et Bluetooth.

Remarque : si cette case est dessélectionnée, lesparamètres Autoriser le partage de connexion Wi-Fi,

Autoriser le partage de connexionInternet

Autoriser la connexion USB et Autoriser la connexionBluetooth ne fonctionnent plus.

85



Si cette case est dessélectionnée, le partage deconnexion Wi-Fi (point d'accès Wi-Fi) est désactivé.

Autoriser le partage de connexion Wi-Fi

Si cette case est dessélectionnée, le partage deconnexion USB est désactivé.

Autoriser la connexion USB

Si cette case est dessélectionnée, le partage deconnexion Bluetooth est désactivé.

Autoriser la connexion Bluetooth

L'utilisateur peut configurer les paramètres du pointd'accès Wi-Fi.

Autoriser la configuration de laconnexion Wi-Fi

Matériel


Si cette case est dessélectionnée, l'appareil photo n’estplus disponible.

Autoriser l'appareil photo

Les informations du GPS sont utilisées pour géolocaliserl'appareil.

Forcer le GPS pour les demandes degéolocalisation

Si cette case est dessélectionnée, les cartes SD sontinutilisables sur les appareils.

Autoriser la carte SD

Si cette case est dessélectionnée, l'utilisateur ne peut pasdéplacer les apps du stockage interne sur la carte SD.

Autoriser le déplacement d'apps sur lacarte SD

Si cette case est dessélectionnée, il n'est plus possibled'écrire sur les cartes SD déchiffrées.

Autoriser l'écriture sur la carte SD

Si cette case est dessélectionnée, le microphone n’estplus disponible.

Autoriser le microphone

Le mode de stockage de masse sur USB et les lecteursmultimédia USB ne sont plus disponibles sur l'appareil.

Autoriser USB

Si cette case est dessélectionnée, le protocole MTP(Media Transfer Protocol) n'est plus disponible. Android

Autoriser le lecteur média USB

utilise MTP pour le transfert de fichiers par USB. Parconséquent, tout transfert de fichiers par USB sera bloqué.

86


Applications


Si cette case est dessélectionnée, l'utilisateur ne peut pasinstaller d'apps.

Autoriser l'installation d'apps

Si cette case est dessélectionnée, l'utilisateur ne peut pasdésinstaller d'apps.

Autoriser la désinstallation d'apps

Si cette case est dessélectionnée, l'utilisateur ne peut pasinstaller de fichiers APK signés.

Autoriser l'installation d'apps nonsignées

Si cette case est dessélectionnée, l'app Google Play n'estplus disponible sur l'appareil.

Remarque : ce paramètre s'applique uniquement auxappareils Android à partir de la version 4.2.2.

Autoriser Play Store

Si cette case est dessélectionnée, l'utilisateur peutuniquement installer les apps à partir de l'app de laboutique Google Play.

Autoriser les apps provenant de sourcesinconnues

Si cette case est dessélectionnée, le navigateur natif n’estplus disponible. Les apps des navigateurs tiers ne sontpas affectées.

Autoriser le navigateur natif

Si cette case est dessélectionnée, les apps ne peuventpas envoyer de rapport de pannes.

Autoriser les rapports de pannes desapps

Si cette case est dessélectionnée, l'utilisateur ne peut paschanger le fond d’écran.

Autoriser le changement de fond d'écran

Si cette case est dessélectionnée, l'appareil photo n’estplus disponible lorsque l'écran est verrouillé.

Autoriser l'appareil photo pendant leverrouillage de l'écran

Si cette case est dessélectionnée, les widgets ne sontplus disponibles lorsque l'écran est verrouillé.

Autoriser les widgets pendant leverrouillage de l'écran

Par défaut, un appareil Samsung Knox affiche lescoordonnées du contact lorsque l'utilisateur reçoit un appeld'un contact Knox pendant qu'il est en mode personnel.

Si cette case est dessélectionnée, les coordonnées ducontact Knox ne sont pas affichées en mode personnel.

Autoriser les coordonnées Knox pourles appels personnels

L'utilisateur peut activer la saisie semi-automatique dansles paramètres du navigateur Android d'origine. Si cette

Autoriser la saisie semi-automatiquedans le navigateur

option est activée, les pages Web peuvent fournir dessuggestions lorsque l'utilisateur remplit un formulaire.

87



Si cette case est dessélectionnée, la saisiesemi-automatique est désactivée et le paramètre dunavigateur est indisponible.

L'utilisateur peut activer les cookies dans les paramètresdu navigateur Android d'origine. Si cette option est activée,

Autoriser les cookies dans le navigateur

les pages Web peuvent enregistrer des cookies surl'appareil.

Si cette case est dessélectionnée, les cookies sontdésactivés et le paramètre du navigateur est indisponible.

L'utilisateur peut activer JavaScript dans les paramètresdu navigateur Android d'origine. Si cette option est activée,

Autoriser JavaScript dans le navigateur

les pages Web peuvent exécuter le code JavaScript surl'appareil.

Si cette case est dessélectionnée, JavaScript estdésactivé et le paramètre du navigateur est indisponible.

L'utilisateur peut activer les fenêtres intempestives dansles paramètres du navigateur Android d'origine. Si cette

Autoriser les fenêtres intempestives surle navigateur

option est activée, les pages Web peuvent ouvrir desnouvelles fenêtres de navigateur.

Si cette case est dessélectionnée, les fenêtresintempestives sont désactivées et le paramètre dunavigateur est indisponible.

L'utilisateur peut changer les paramètres de date etd'heure.

Autoriser la modification des paramètresde date et d'heure

Vous pouvez configurer soit les Apps autorisées soit lesApps interdites. Sélectionnez l'option désirée dans la

Apps autorisées / Apps interdites

première liste et sélectionnez le groupe d'apps contenantles apps qui doivent être autorisées ou interdites dans laseconde liste.

L'installation d'apps déclenchée par le serveur SophosMobile Control n'est pas limitée par ce paramètre.

Retrouvez plus de renseignements sur la création desgroupes d'apps à la section Groupes d'apps à la page194.

14.11.3 Configuration des Restrictions Knox Premium (profil d'appareilAndroid)La configuration des Restrictions Knox Premium vous permet de définir les restrictions pourles appareils Samsung Knox. Ces restrictions s'appliquent à l'appareil et non pas au conteneurKnox.

88


DescriptionOption

L'appareil vérifie automatiquement la présence demises à jour du firmware. Les utilisateurs ne

Autoriser les options de mise à jourautomatique du firmware

peuvent pas modifier ce paramètre dans lesparamètres de l'appareil.

L'appareil déchiffre uniquement la partition dedonnées au démarrage si les binaires et le noyau

Activer la vérification ODE Trusted Boot

sont des versions officielles, c'est-à-dire, sil'appareil n'est pas débloqué (rooted).

Si vous dessélectionnez cette case, l'appareildéchiffre toujours la partition de données audémarrage.

L'installation d'apps nécessitant les privilègesadministrateur sur l'appareil n'est pas autorisée.

Empêcher l'installation d'une autre appadministrateur

Les apps installées par Sophos Mobile Control nesont pas affectées.

L'activation des droits administrateur de l'appareilpour les apps n'est pas autorisée.

Empêcher l'activation d'une autre appd'administration

Le mode Common Criteria de l'appareil est activé.L'appareil satisfait aux conditions de sécurité

Autoriser le mode « Common Criteria »

établies par la norme Mobile Device FundamentalsProtection Profile (Profil de protection desfondamentaux des appareils mobiles).

Remarque : le mode Common Criteria estuniquement utilisé si les conditions suivantes sontremplies :

Le chiffrement d'appareils est activé.

Le chiffrement rapide est désactivé.

Le chiffrement du stockage externe est activé.

Un nombre maximal de tentatives ratées avantla réinitialisation de l'appareil est défini.

La révocation de certificat est activée.

L'historique du mot de passe est désactivé.

14.11.4 Configuration de la Protection des apps (profil d'appareil Android)La configuration de la Protection des apps vous permet de définir le format de mot de passeà utiliser pour protéger les apps.

Si la Protection des apps est utilisée, les utilisateurs doivent créer un mot de passe lorsqu'ilsdémarrent une app protégée pour la première fois. Suite à une tentative ratée de connexion,un délai de connexion est imposé.

Si la Protection des apps est activée sur un appareil, la commande Réinitialiser le mot depasse de la Protection des apps est disponible dans le menu Actions sur la page Affichage

89


de l'appareil. L'utilisateur a également la possibilité de réinitialiser le mot de passe de laProtection des apps dans le Portail libre-service.


Le niveau de complexité minimale requis pour lemot de passe qui sera créé par les utilisateurs. Parexemple, Mot de passe à 6 caractères.

Complexité du mot de passe

À la fin du délai de grâce, les apps protégéespeuvent uniquement être déverrouillées par motde passe.

Délai de grâce en minutes

Sélectionnez le groupe d'apps contenant les appsprotégées par mot de passe.

Retrouvez plus de renseignements sur la créationdes groupes d'apps à la section Groupes d'appsà la page 194.

Groupe d'apps

14.11.5 Configuration du Contrôle des apps (profil d'appareil Android)La configuration du Contrôle des apps vous permet de définir les apps dont l'utilisation n'estpas autorisée. Vous pouvez, par exemple, utiliser cette fonction pour bloquer les appspréinstallées par le fabricant de l'appareil et qui ne peuvent pas être désinstallées.


Sélectionnez le groupe d'apps contenant les appsbloquées.


Groupe d'apps

14.11.6 Configuration d'Exchange ActiveSync (profil d'appareil Android)La configuration d'Exchange ActiveSync vous permet de définir les paramètres de l'utilisateurpour votre serveur Microsoft Exchange.


Le nom du compte.Nom du compte

L'adresse du serveur Microsoft Exchange.

Remarque : si vous utilisez le proxy SMC EAS,veuillez saisir l'URL du serveur proxy SMC.

Hôte d'Exchange ActiveSync

90



Le domaine de ce compte.Domaine

L'utilisateur de ce compte.

Si vous saisissez la variable %_USERNAME_%, leserveur la remplace par le nom de l'utilisateur encours.

Utilisateur

L'adresse électronique du compte.

Si vous saisissez la variable %_EMAILADDRESS_%,le serveur la remplace par l'adresse électronique encours.


Un nom d'expéditeur pour ce compte.


Expéditeur

Le mot de passe de ce compte.

Si vous ne remplissez pas ce champ, les utilisateursdevront saisir le mot de passe sur leurs appareils.

Mot de passe

Le jour et l'heure auxquels les emails sontsynchronisés.

Si vous sélectionnez une période de temps, seulsles emails compris dans la période indiquée sont

Période de synchronisation

synchronisés dans la boîte de réception surl'appareil.

L'intervalle entre les processus de synchronisationde la messagerie.

Intervalle de synchronisation

Toutes les communications sont envoyées par SSL(Secure Socket Layer).

Nous vous conseillons de sélectionner cette option.

SSL

Le compte est utilisé en tant que compte demessagerie par défaut.

Compte par défaut

Autoriser tous les certificats lors des processus detransferts à partir du serveur de messagerie.

Autoriser tous les certificats

Le certificat du client pour la connexion àActiveSync.

Certificat du client

Autoriser le transfert d'emails.Autoriser le transfert d'emails

91



Autoriser l'utilisation du format HTML dans lesemails.

Autoriser l'utilisation du format HTML

La taille maximale d'un email (1, 3, 5, 10, Illimitée).Taille maximale des pièces jointes (Mo)

Les types de contenu à synchroniser.Synchroniser les types de contenu

Remarque :

Pour les appareils Sony jusqu'à la version 6.x d'Enterprise API, il est important que lesinformations de l'utilisateur du compte Exchange ActiveSync correspondent à l'utilisateurassigné à l'appareil.

Sur ces appareils, le client SMC n'est pas en mesure d'envoyer l'identifiant ActiveSync auserveur Sophos Mobile Control. Lorsqu'un appareil contacte le proxy EAS de Sophos MobileControl pour la première fois, l'identifiant ActiveSync que le client de messagerie envoie n'estpas connu par Sophos Mobile Control. Pour vérifier les informations du compte, le proxy EASde Sophos Mobile Control recherche un appareil avec un identifiant ActiveSync inconnu etun utilisateur assigné qui correspond aux informations de l'utilisateur fournies par le client demessagerie. Si cet appareil est trouvé, l'identifiant ActiveSync est assigné à cet appareil etla demande d'email est transférée au serveur Exchange. Dans le cas contraire, la demandeest rejetée.

Retrouvez plus de renseignements dans l'article 121360 de la base de connaissances deSophos.

14.11.7 Configuration Wi-Fi (profil d'appareil Android)La configuration Wi-Fi vous permet d'indiquer les paramètres de connexion aux réseaux Wi-Fi.


L'identifiant du réseau Wi-Fi.SSID

Le type de sécurité du réseau Wi-Fi :Type de sécurité

Aucun

WEP

WPA/WPA2

EAP/PEAP

EAP/TLS

EAP/TTLS

Si vous sélectionnez WEP ou WPA/WPA2, unchamp Mot de passe apparaît. Saisissez le motde passe adéquat.

Si vous sélectionnez l'un des paramètres EAP, leschamps Identité, Identité anonyme et Mot depasse apparaissent. Saisissez les informationsEAP requises.

92


https://www.sophos.com/fr-fr/support/knowledgebase/121360.aspx

https://www.sophos.com/fr-fr/support/knowledgebase/121360.aspx


Si vous sélectionnez EAP/PEAP ou EAP/TTLS,le champ Autorisation de la phase 2 apparaît enplus. Sélectionnez le type d'autorisation :

PAP

CHAP

MSCHAP

MSCHAPv2

14.11.8 Configuration VPN (profil d'appareil Android)La configuration VPN vous permet de définir les paramètres VPN pour les connexions réseau.


Le nom de la connexion affichée sur l'appareil.Nom de laconnexion

Le nom d'hôte ou l'adresse IP du serveur.Serveur

Le type de connexion VPN :Type de connexion

L2TP/IPsec (PSK)

Si vous sélectionnez ce type, les champs Utilisateur, Mot de passe etL2TP/IPsec (PSK) sont affichés. Saisissez le nom d'utilisateur et le mot depasse. Dans le champ L2TP/IPsec (PSK), saisissez la clé pré-partagéepour l'authentification.

L2TP/IPsec (Certificat)

Si vous sélectionnez ce type, les champs Certificat du client, Certificatracine, Utilisateur et Mot de passe sont affichés. Dans les champsCertificat du client et Certificat racine, sélectionnez les certificatsadéquats. Saisissez également le nom d'Utilisateur et le Mot de passeadéquat.

14.11.9 Configuration du Certificat racine (profil d'appareil Android)La configuration du certificat racine vous permet de charger un certificat racine sur lesappareils.

Dans le champ Fichier, naviguez jusqu'au certificat adéquat et cliquez sur Télécharger unfichier. Le nom du certificat apparaît dans le champ Nom du certificat.

Remarque : le certificat que vous chargez ici est uniquement disponible pour ce profil. Sivous avez besoin de certificats pour d'autres profils, vous allez devoir les charger de nouveau.

93


14.11.10 Configuration du certificat du client (profil d'appareil Android)La configuration du certificat du client vous permet d’installer un certificat du client sur lesappareils Android.

Dans le champ Fichier, naviguez jusqu'au certificat adéquat et cliquez sur Télécharger unfichier. Le nom du certificat apparaît dans le champ Nom du certificat. Saisissez un Motde passe pour le certificat sélectionné.


14.11.11 Configuration SCEP (profil d'appareil Android)La configuration SCEP permet d'autoriser les appareils à demander des certificats à uneAutorité de certification à l'aide du protocole SCEP (Simple Certificate Enrollment Protocol).

Remarque : veuillez commencer par ajouter une configuration du Certificat racine pourcharger le certificat de l'Autorité de certification du serveur SCEP avant d'ajouter uneconfiguration du protocole SCEP.


L'adresse Web du serveur de l'Autorité decertification.

Utilisez la variable %_SCEPPROXYURL_% pourindiquer l'URL du serveur configurée sur l'ongletSCEP de la page Configuration du système.

URL

Le nom sous lequel le certificat va apparaître dansles boîtes de dialogue de sélection.

Il doit s'agir d'un nom facile à mémoriser pouridentifier le certificat. Par exemple, utilisez la même

Nom d'alias

valeur que dans le champ Objet mais sans lepréfixe CN=.

Le nom de l'entité (par exemple ; une personne ouun appareil) qui recevra le certificat.

Vous pouvez utiliser des espaces réservés pourles données de l'utilisateur ou les propriétés del'appareil.

Objet

La valeur que vous saisissez (remplacement desespaces réservés par des données) doit être unnom X.500 valable.

Par exemple :

Saisissez CN=%_USERNAME_% pour indiquerun utilisateur.

SaisissezCN=%_DEVPROP(numéro_série)_% pourindiquer un appareil.

94



Retrouvez plus de renseignements sur les espacesréservés disponibles à la section Espaces réservésdans les profils et stratégies à la page 76.

Cette option vous permet de configurer un autrenom de l'objet. Sélectionnez l'un des types d'autrenom de l'objet disponibles.

Type de l'autre nom de l'objet

Si vous avez sélectionné un type d'autre nom del'objet, saisissez sa valeur.

Valeur de l'autre nom de l'objet

Nom de connexion de l'utilisateur NT

L'adresse Web permettant de récupérer un motde passe de challenge à partir du serveur SCEP.

Utilisez la variable %_CACHALLENGE_% pourindiquer l'URL de challenge configurée sur l'ongletSCEP de la page Configuration du système.

Challenge

Le certificat de l'Autorité de certification.

Sélectionnez le certificat dans la liste. La listecontient tous les certificats que vous avez chargés

Certificat racine

dans la configuration du Certificat racine du profilactuel.

La taille de la clé publique dans le certificat émis.

Assurez-vous que la valeur indiquée correspondà la taille configurée sur le serveur SCEP.

Taille de la clé

Si vous sélectionnez cette case, la clé publiquepeut être utilisée en tant que signature numérique.

Utiliser en tant que signature numérique

Si vous sélectionnez cette case, la clé publiquepeut être utilisée pour le chiffrement de fichiers.

Utiliser pour le chiffrement

14.11.12 Configuration du nom du point d'accès (profil d'appareil Android)La configuration Nom du point d'accès vous permet d'indiquer le nom du point d'accès (APN)pour les appareils mobiles. Les configurations APN définissent la manière dont les appareilsse connectent au réseau mobile.

Important : nous vous conseillons de demander à votre opérateur quels sont les paramètresrequis. Si vous sélectionnez Utiliser en tant que Nom du point d'accès par défaut et queles paramètres sont incorrects, l'appareil ne pourra pas accéder aux données via les réseauxcellulaires.

Remarque : À l'exception du champ Nom du point d'accès, tous les paramètres sontfacultatifs et doivent uniquement être remplis si requis par votre opérateur de réseau mobile.

95



Le Nom du point d'accès que l'appareil mentionnelorsqu'il établit une connexion avec l'opérateur.

Il doit correspondre à un Nom du point d'accèsaccepté par l'opérateur. Dans le cas contraire, laconnexion ne pourra pas être établie.

Nom du point d'accès

Un nom facultatif affiché sur l'appareil en plus duNom du point d'accès.

Nom convivial

L'adresse et le port du serveur HTTP utilisé pourle trafic Web.

Serveur proxy et port

Un nom d'utilisateur et un mot de passe pour laconnexion au Nom du point d'accès.

Nom d'utilisateur, Mot de passe de l'utilisateur

Le serveur de la passerelle WAP.Serveur

Multimedia Messaging Service Center (MMSC).MMSC

L'adresse et le port d'un serveur HTTP utilisé pourla établir la communication avec MMSC.

Serveur proxy MMS et port

MCC et MNC pour indiquer l'opérateur.

Le Nom du point d'accès est uniquement utilisépour cet opérateur.

MCC (Mobile Country Code), MNC (MobileNetwork Code)

La méthode d'authentification pour les connexionsPPP.

Type d'authentification

Les types de connexion de données pour lesquelsce Nom du point d'accès est utilisé.

Pour utiliser le Nom du point d'accès pour tous lestypes de données, saisissez * ou ne remplissezpas ce champ.

Type de Nom du point d'accès

La technologie d'accès radio (ou RAT pour RadioAccess Technology) utilisée par l'opérateur.

Support

Le protocole réseau pris en charge par l'opérateur.Protocole

Le protocole réseau pris en charge par l'opérateuren mode itinérant.

Protocole itinérant

Si cette option est sélectionnée, les appareilsutilisent ce Nom du point d'accès par défaut.

Une erreur est signalée lorsque vous essayez desélectionner cette option dans plusieursconfigurations du Nom du point d'accès.

Utiliser en tant que Nom du point d'accès pardéfaut

96


14.11.13 Configuration du Mode kiosque (profil d'appareil Android)La configuration du Mode kiosque vous permet de définir les restrictions pour les appareilsafin de les mettre en mode kiosque.

Cliquez sur Sélectionner la source et procédez de l'une des façons suivantes pour indiquerl'app qui sera démarrée lors du transfert du profil sur un appareil :

■ Sélectionnez Personnalisée et saisissez l'identifiant d'app.

■ Sélectionnez Liste des apps et sélectionnez une app dans la liste Identifiant d'app. Cetteliste contient toutes les apps que vous avez configurées sur la page Apps. Retrouvez plusde renseignements à la section Ajout d'une app à la page 182.

■ Sélectionnez Aucun pour configurer le mode kiosque sans indiquer d'app. Les restrictionsdu mode kiosque sont appliquées à l'appareil mais aucune app n'est démarrée.

Sous Options, dessélectionnez les fonctions matérielles et logicielles que vous souhaitezdésactiver dans le mode kiosque.

Lorsque le profil est transféré à l'appareil, l'app que vous avez indiquée est démarrée.Toutefois, si vous n'avez désactivé aucune fonction matérielle ou logicielle, l'utilisateur pourraquitter l'app et utiliser l'appareil normalement. Pour définir l'appareil en mode kiosque, veuillezdessélectionner les cases Autoriser le bouton Accueil et Autoriser le gestionnaire detâches.

Remarque :

■ L'app que vous indiquez doit être installée sur l'appareil. En cas contraire, les tâches detransfert demeureront à l'état incomplet jusqu'à ce que l'app soit installée. Pour installerl'app, créez une série de tâches contenant, par exemple, une tâche Installer l'app ettransférez cette série sur vos appareils.

■ si vous voulez indiquer une app pour les appareils Samsung Knox, assurez-vous qu'ils'agisse d'un lanceur d'apps. Ce type d'app et une alternative au bureau Android pardéfaut.

■ Pour les appareils Sony à partir de la version 9 de l'API d'entreprise, si vous dessélectionnezla case Autoriser l'augmentation du volume, Autoriser la baisse du volume ouAutoriser le mode Muet, tous les boutons de volume de l'appareil sont désactivés.

14.12 Configuration des stratégies Android for WorkUne stratégie Android for Work vous permet de configurer les paramètres relatifs au profilprofessionnel d'un appareil.

Retrouvez plus de renseignements sur la création d'une stratégie Android for Work à la sectionCréation d'un profil ou d'une stratégie à la page 73.

14.12.1 Configuration des Stratégies de mot de passe (stratégie Android forWork)La configuration des Stratégies de mot de passe vous permet de définir les règles de mot depasse du profil professionnel.

Remarque : les paramètres pris en charge varient en fonction de la version du systèmed'exploitation ou des autres fonctions de l'appareil. L'étendue est indiquée par une étiquettebleue dans Sophos Mobile Control.

97






Aléatoire



Alphabétique



Code PIN



Alphanumérique



Complexe



98






























99


14.12.2 Configuration des Restrictions (stratégie Android for Work)La configuration des Restrictions vous permet de configurer les restrictions et paramètresassociés pour Android for Work.

Sécurité


L'utilisateur peut faire des captures d'écran du contenudes apps professionnelles.


L'utilisateur peut installer ou supprimer des certificatsdans le profil professionnel.

Autoriser l'utilisateur à configurer lescodes d'accès

Les utilisateurs peuvent copier le texte à partir d’une appprofessionnelle et le coller dans une app personnelle.

La copie du texte du presse-papiers à partir d'une apppersonnelle dans une app professionnelle est toujourspossible.

Autoriser l'utilisation du presse-papiersdans les apps personnelles

L'utilisateur peut activer la fonction Smart Lock d'Androidqui déverrouille automatiquement l'appareil dans certainessituations.

Autoriser Smart Lock

Les apps professionnelles peuvent accéder aux fonctionsde géolocalisation de l'appareil.

Si cette case est dessélectionnée, les appsprofessionnelles ne peuvent pas accéder aux fonctions

Autoriser le partage d'emplacement

de géolocalisation de l'appareil, même si l'utilisateur aactivé le partage de la position géographique.

Les liens Web que l'utilisateur ouvre dans une appprofessionnelle peuvent également être ouverts par uneapp de navigation personnelle.

Autoriser l'ouverture des liens Web dansles apps personnelles

L'utilisateur peut activer les fonctions de débogage sousles Options de développement de l'appareil Android.

Autoriser le débogage

L'utilisateur peut utiliser le capteur d'empreinte digitalepour déverrouiller l'appareil.

Autoriser le déverrouillage de l'appareilpar empreinte digitale

100


Comptes


L'utilisateur peut ajouter ou supprimer des comptes duprofil professionnel (par exemple ; des comptes d'app).

L'utilisateur ne peut pas supprimer le compte Google duprofil professionnel.

Autoriser la gestion des comptes

Réseau et communication


L'utilisateur peut envoyer des données à partir des appsprofessionnelles via Android Beam (transfert de donnéespar NFC).

Autoriser Android Beam

L'utilisateur peut utiliser des connexions VPN pour lesapps professionnelles.

Autoriser les réseaux privés virtuels(VPN)

Matériel


Les apps professionnelles peuvent accéder à l'appareilphoto.


Applications


L'utilisateur peut désinstaller les apps professionnelles.Autoriser la désinstallation d'apps

Si cette case est dessélectionnée, l'utilisateur peutuniquement installer les apps professionnelles à partir de

Autoriser l'installation d'apps provenantde sources inconnues

la boutique Google Play et pas à partir de sourcesinconnues ou par le pont Android (ADB ou Android DebugBridge).

101



Si cette case est dessélectionnée, l'utilisateur ne peut paseffectuer les tâches suivantes pour les appsprofessionnelles :

Autoriser la gestion des apps

Désinstaller les apps

Désactiver les apps

Arrêter les apps

Effacer le cache des apps

Effacer les données des apps

Effacer le paramètre Ouvrir par défaut

Un message de support de l'entreprise que l'utilisateurvoit s'afficher lorsqu'une fonctionnalité a été désactivée.

Remarque : si vous saisissez plus de 200 caractères,le message risque de ne pas s'afficher complètement.

Message court

Texte supplémentaire au message court. Ce texte s'affichelorsque l'utilisateur appuie sur Plus de renseignementssur les vues affichant le message court.

Remarque : ce texte est également affiché sur la vueAdministrateur de l'appareil d'Android de l'app SophosMobile Control.

Message long

14.12.3 Configuration de la Protection des apps (stratégie Android for Work)La configuration de la Protection des apps vous permet de définir les conditions requises pourles mots de passe de protection des apps professionnelles (les apps installées sur le profilprofessionnel).

Si la Protection des apps est utilisée, les utilisateurs doivent créer un mot de passe lorsqu'ilsdémarrent une app protégée pour la première fois. Suite à une tentative ratée de connexion,un délai de connexion est imposé.

Si la Protection des apps est activée sur un appareil, la commande Réinitialiser le mot depasse de la Protection des apps est disponible dans le menu Actions sur la page Affichagede l'appareil. L'utilisateur a également la possibilité de réinitialiser le mot de passe de laProtection des apps dans le Portail libre-service.


Le niveau de complexité minimale requis pour lemot de passe qui sera créé par les utilisateurs. Parexemple, Mot de passe à 6 caractères.


102



À la fin du délai de grâce, les apps protégéespeuvent uniquement être déverrouillées par motde passe.


Sélectionnez le groupe d'apps contenant les appsprotégées par mot de passe.


Groupe d'apps

14.12.4 Configuration du contrôle des apps (stratégie Android for Work)La configuration du Contrôle des apps vous permet de définir les apps professionnelles dontl'utilisation n'est pas autorisée.


Sélectionnez le groupe d'apps contenant les appsbloquées.


Groupe d'apps

14.12.5 Configuration des autorisations des apps (stratégie Android for Work)La configuration des autorisations des apps vous permet de configurer la réponse à donnerlorsqu'une app professionnelle demande une autorisation pendant son exécution.


La réponse par défaut aux futures demandesd'autorisation pendant l'exécution des appsprofessionnelles :

Gestion des autorisations par défaut

Inviter : les apps invitent l'utilisateur à accorderl'autorisation.

Accepter automatiquement : toutes les demandesd'autorisation pendant l'exécution sontautomatiquement accordées.

Refuser automatiquement : toutes les demandesd'autorisation pendant l'exécution sontautomatiquement refusées.

L'utilisateur ne pourra pas changer les autorisations.

103



Vous pouvez accorder ou refuser certaines autorisationspendant l'exécution d'apps individuelles. Cliquez surAjouter et configurez les paramètres d'une app :

dans le champ Identifiant d'app, vous pouvez saisirl'identifiant interne de l'app.

Autorisations runtime des apps

Pour chaque autorisation pendant l'exécution,sélectionnez l'état d'accord désiré :

Sélectionnable l'utilisateur peut accorder ou refuserl'autorisation.

Accordé : l'autorisation est accordée et ne peut pasêtre refusée par l'utilisateur.

Refusé : l'autorisation est refusée et ne peut pas êtreaccordée par l'utilisateur.

14.12.6 Configuration d'Exchange ActiveSync (stratégie Android for Work)La configuration d'Exchange ActiveSync vous permet de définir les paramètres de l'utilisateurpour votre serveur Microsoft Exchange. Ces paramètres sont appliqués à l’app Gmail dansle profil professionnel.









Utilisateur






Expéditeur

104





Mot de passe







SSL



Le certificat du client pour la connexion àActiveSync.

Certificat du client

14.12.7 Configuration du certificat racine (stratégie Android for Work)La configuration du certificat racine vous permet d’installer un certificat racine sur les appareils.Ce certificat sera mis à disposition des apps professionnelles (les apps installées sur le profilprofessionnel).



14.12.8 Configuration du certificat du client (stratégie Android for Work)La configuration du certificat du client vous permet d’installer un certificat du client sur lesappareils Android. Ce certificat sera mis à disposition des apps professionnelles (les appsinstallées sur le profil professionnel).



14.12.9 Configuration SCEP (stratégie Android for Work)La configuration SCEP permet d'autoriser les appareils à demander des certificats à uneAutorité de certification à l'aide du protocole SCEP (Simple Certificate Enrollment Protocol).

105


Ces certificats seront mis à disposition des apps professionnelles (les apps installées sur leprofil professionnel).





URL



Nom d'alias




Objet


Par exemple :









106





Challenge



Certificat racine




Taille de la clé





14.13 Configuration des stratégies de conteneur Sophospour AndroidUne stratégie de conteneur Sophos vous permet de configurer les paramètres associés auxapps du conteneur Sophos : Sophos Secure Email et Sophos Secure Workspace.

Retrouvez plus de renseignements sur la création d'une stratégie de conteneur Sophos à lasection Création d'un profil ou d'une stratégie à la page 73.

14.13.1 Configuration Généralités (stratégie de conteneur Sophos pourAndroid)La configuration Généralités vous permet de définir les paramètres qui s'appliquent à toutesles apps du conteneur Sophos si applicable.


Les utilisateurs doivent saisir un mot de passesupplémentaire pour pouvoir démarrer une app du

Activer le mot de passe du conteneur Sophos

conteneur Sophos. Le mot de passe doit être définilorsque la première app du conteneur est démarréesuite à l'application de la configuration. Ce mot depasse s'applique à toutes les apps du conteneur.

107



La complexité minimale requise pour le mot depasse du conteneur Sophos. Les mots de passe


très sécurisés sont toujours autorisés. Les motsde passe (une combinaison de caractèresnumériques et alphanumériques) sont toujoursconsidérés comme étant plus sûrs que les codesPIN (caractères numériques uniquement.

Toutes : les mots de passe du conteneurSophos n'ont pas de restrictions.

Code PIN à 4 chiffres


Mot de passe à 4 caractères




Le nombre de jours pendant lesquels un mot depasse peut être utilisé avant que les utilisateursne soient invités à le changer.

Durée de validité du mot de passe en jours

Le nombre de tentatives ratées de connexionautorisées avant verrouillage des apps du

Tentatives ratées de connexion avantverrouillage

conteneur. Une fois que les apps sont verrouillées,un administrateur devra les déverrouiller ou, s'ilssont autorisés, les utilisateurs peuvent utiliser lePortail libre-service pour effectuer cette opération.

L'utilisateur peut utiliser son empreinte digitale pourdéverrouiller l'app.

Autoriser l'empreinte digitale

La période de temps pendant laquelle aucun motde passe du conteneur Sophos ne doit être saisi


lorsque l'app du conteneur est de nouveau amenéeau premier plan.

Ce délai de grâce s'applique à toutes les apps duconteneur. Vous pouvez passer d'une app à uneautre pendant le délai de grâce sans avoir à saisirde mot de passe.

Vous avez le choix entre 1, 2, 5, 10 et 15 minutes.

Lorsque l'appareil est verrouillé, le conteneurSophos est également verrouillé.

Si la case est dessélectionnée, le conteneur estverrouillé uniquement après expiration du délai degrâce.

Verrouiller au verrouillage de l'appareil

La période de temps pendant laquelle lesutilisateurs peuvent utiliser une app du conteneur

Dernière connexion au serveur

108



Sophos sans avoir à se connecter au serveurSophos Mobile Control.

Lorsque une app du conteneur Sophos est activéeet n'est pas en contact avec le serveur pendant lapériode de temps définie, un écran de verrouillageapparaît. Les utilisateurs peuvent uniquementdéverrouiller l'app en appuyant sur Réessayer surl'écran de verrouillage. L’app essaiera de seconnecter au serveur. Si la connexion peut êtreétablie, l'app est déverrouillée. En cas contraire,l'accès est refusé.

Sur accès : la connexion au serveur esttoujours requise et l'app est verrouillée lorsquele serveur n'est pas joignable.

1 heure : la connexion au serveur est requiselorsque l'app est active pendant au moins uneheure après la dernière connexion réussie auserveur.

3 heures

6 heures

12 heures

1 jour

3 jours

1 semaine

Aucune : un contact régulier n'est requis.

Ce champ vous permet de définir la fréquence àlaquelle les utilisateurs peuvent démarrer l'une des

Accès hors ligne sans connexion au serveur

apps du conteneur Sophos sans nécessiter deconnexion au serveur.

Remarque : ce paramètre nécessite l'activationde la fonction de mot de passe du conteneurSophos.

Un compteur est mis à jour à chaque fois qu'unutilisateur saisit le mot de passe du conteneurSophos. Si le compteur dépasse le nombre fixé,le même écran de verrouillage que celui utilisépour le paramètre Dernière connexion au serveurapparaît. Le compteur est réinitialisé si uneconnexion au serveur Sophos Mobile Control estétablie.

Illimité : aucune connexion au serveur n'estrequise.

0 : une connexion au serveur est requise pourdémarrer l'app.

1 : après un démarrage de l'app, la connexionau serveur est nécessaire.

3

5

109



10

20

L'exécution des apps de conteneur est autoriséesur les appareils débloqués.

Déblocage (root) autorisé

Contraintes d'utilisation des apps

Vous permet de définir les contraintes d'utilisation des apps du conteneur Sophos. Cliquez sur Ajouterpour saisir les contraintes.

Vous permet d'ajouter la latitude et la longitudeainsi qu'un rayon d'utilisation des apps duconteneur Sophos.

Géorepérage

Vous permet d'indiquer une période de temps àlaquelle les apps du conteneur Sophos peuvent

Limite de temps

être utilisées en précisant une heure de début etune heure de fin. Il est également possibled'indiquer les jours de la semaine auxquels lesapps peuvent être utilisées.

Vous permet d'indiquer les réseaux Wi-Fi auxquelsl'appareil doit être connecté afin d'utiliser les appsdu conteneur Sophos.

L'appareil doit être connecté à l'un des réseauxfigurant dans la liste. Cependant, l'affichage d'un

Périmètre de connexion Wi-Fi

réseau particulier dans la liste des réseauxdisponibles ne suffit pas.

Important : nous vous déconseillons d'utiliseruniquement le périmètre de connexion Wi-Fi pourassurer votre sécurité. En effet, les identités Wi-Fipeuvent très facilement être usurpées.

14.13.2 Configuration de la Messagerie professionnelle (stratégie deconteneur Sophos pour Android)La configuration de la Messagerie professionnelle vous permet de définir les paramètres del'utilisateur pour votre serveur Microsoft Exchange. Ces paramètres sont appliqués à l'appSophos Secure Email si elle est installée dans le conteneur Sophos.





110





Utilisateur


Si vous saisissez la variable %_EMAILADDRESS_%,le serveur la remplace par l'adresse électroniqueen cours.



L'adresse électronique qui sera utilisée pourcontacter le support.

Email du support

Les utilisateurs sont autorisés à exporter lescontacts Exchange à l'aide d'un numéro de

Exporter les contacts sur l'appareil

téléphone dans le répertoire de contacts local del'appareil. Sophos Secure Email continue à lessynchroniser. Seuls les noms et les numéros detéléphone seront exportés afin de permettre àl'utilisateur d'identifier ses contacts professionnelslors d'un appel entrant. Veuillez noter que mêmeaprès une réinitialisation à distance de l'appSophos Secure Email, les informations seronttoujours présentes dans l'archive locale del'appareil.

Ce paramètre contrôle l'affichage des notificationspar email et des rappels d'événement dans SophosSecure Email.

Lorsque vous sélectionnez la case :

Afficher les paramètres de la notification

L'utilisateur peut activer ou désactiver lesnotifications par email.

Les rappels d'événements sont activés.

Lorsque vous dessélectionnez la case :

Les notifications par email et les rappelsd'événements sont désactivés.

Remarque : si vous pensez que les notificationsaffichées sur un appareil perdu ou voléreprésentent un risque pour la sécurité, vouspouvez dessélectionner cette case.

Si vous sélectionnez cette case, les boutonsEnregistrer et Afficher s'affichent sous la pièce

Ouvrir les pièces jointes

jointe. Enregistrer transfère la pièce jointe àSophos Secure Workspace tandis qu'Afficherouvre le fichier dans Sophos Secure Email. SiSophos Secure Email ne peut pas ouvrir le fichier,

111



les utilisateurs peuvent sélectionner où ils veulenttransférer le fichier.

Si vous dessélectionnez cette case, la pièce jointene peut pas être ouverte ou transférée à d'autresapps.

Cliquez sur Ajouter pour configurer les paramètresqu'une future version de l'app Sophos SecureEmail pourrait utiliser.

Important : veuillez uniquement configurer cesparamètres si l'équipe du support Sophos vous ledemande.

Ajouter

14.13.3 Configuration des Documents professionnels (stratégie de conteneurSophos pour Android)La configuration des Documents professionnels vous permet de définir les paramètres de lafonction Documents professionnels de l'app Sophos Secure Workspace.

Configurer les fournisseurs de stockage

Chaque fournisseur de stockage vous permet de définir séparément les paramètres suivants :


Le fournisseur de stockage est disponible dansl'app.

Activer

Les utilisateurs sont autorisés à ajouter des fichiersprovenant du fournisseur de stockage à la liste desFavoris de l'app pour une utilisation hors ligne.

Hors ligne

Les utilisateurs peuvent partager les fichierschiffrés avec d'autres apps via la fonction Ouvriravec.

Ouvrir avec (chiffré)

Les utilisateurs peuvent partager les fichiersdéchiffrés avec d'autres apps via la fonction Ouvriravec.

Ouvrir avec (déchiffré)

Les utilisateurs peuvent copier des parties d'undocument et les copier dans d'autres apps.

Presse-papiers

112


Paramètres du fournisseur d'entreprise

Pour le fournisseur WebDAV, également appelé le fournisseur d'entreprise, vous pouvezdéfinir les paramètres du serveur et les codes d'accès de connexion de manière centralisée.Ceux-ci ne peuvent pas être changés par les utilisateurs.

Les paramètres de codes d'accès que vous ne définissez pas de manière centralisée peuventêtre choisis par les utilisateurs sur les écrans de codes d'accès du fournisseur dans l'app.

Par exemple, vous pouvez définir le serveur et le compte d'utilisateur à utiliser de manièrecentralisée. Il n'est pas nécessaire de remplir le champ du mot de passe. Les utilisateursdevront connaître le mot de passe lorsqu'ils se connecteront au fournisseur de stockage.


Le nom du fournisseur qui s'affiche dans l'appSophos Secure Workspace.

Nom

Dans ce champ, saisissez :Serveur

L'URL du dossier racine sur le serveurWebDAV Documents professionnels.

L'URL du dossier racine sur le serveurWebDAV.

Veuillez utiliser le format suivant :https://serveur.entreprise.fr

Seul le protocole https est pris en charge.

Le nom d'utilisateur pour le serveur. Vous pouvezégalement utiliser la variable %_USERNAME_%.

Nom d'utilisateur

Le mot de passe du compte.Mot de passe

Le dossier de téléchargement du compte.Dossier de téléchargement

Autres paramètres


Cette option active la fonction Documentspermettant de distribuer en toute sécurité lesdocuments d'entreprise.

Activer les documents

113



La complexité minimale requise pour les phrasessecrètes des clés de chiffrement. Les phrasessecrètes très sécurisées sont toujours autorisées.

Vous pouvez sélectionner les paramètres suivants :

Complexité de la phrase secrète





14.13.4 Configuration du Navigateur professionnel (stratégie de conteneurSophos pour Android)La configuration du Navigateur professionnel vous permet de définir les paramètres de lafonction Navigateur professionnel de l'app Sophos Secure Workspace.

Le Navigateur professionnel vous permet d'accéder en toute sécurité aux pages intranet del'entreprise et à toutes les autres pages autorisées. Vous pouvez définir les domaines et lesfavoris d'un domaine.

Chaque favori appartient à un domaine bien précis. Lorsque vous utilisez Ajouter un favoripour définir un favori, l’entrée de domaine est créée automatiquement si elle n'existe pas.

Paramètres du domaine


Le domaine que vous souhaitez autoriser.URL

Les utilisateurs peuvent copier/coller du texte àpartir du Navigateur professionnel vers d'autresapps.

Autoriser la fonction copier/coller

Les utilisateurs peuvent télécharger des piècesjointes ou les transférer vers d'autres apps.

Autoriser Ouvrir avec

Les utilisateurs peuvent enregistrer leurs mots depasse dans le Navigateur professionnel.

Autoriser l'enregistrement du mot de passe

114


Paramètres de favoris


Le nom du favori.Nom

L'adresse Web du favori.URL

14.13.5 Configuration du certificat du client (stratégie de conteneur Sophospour Android)La configuration du certificat du client vous permet d’installer un certificat du client sur lesappareils. Ce certificat sera mis à disposition des apps Sophos Secure Email et SophosSecure Workspace si elles sont installées dans le conteneur Sophos.



14.13.6 Configuration du Certificat racine (stratégie de conteneur Sophospour Android)La configuration du certificat racine vous permet de charger un certificat racine sur lesappareils. Ce certificat sera mis à disposition des apps Sophos Secure Email et SophosSecure Workspace si elles sont installées dans le conteneur Sophos.



14.13.7 Configuration SCEP (stratégie de conteneur Sophos pour Android)La configuration SCEP permet d'autoriser les appareils à demander des certificats à uneAutorité de certification à l'aide du protocole SCEP (Simple Certificate Enrollment Protocol).Ces certificats sont disponibles dans l'app Sophos Secure Workspace si cette dernière estinstallée dans le conteneur Sophos.


115





URL



Nom d'alias




Objet


Par exemple :











Challenge

116





Certificat racine




Taille de la clé





14.14 Configuration des stratégies de sécurité des mobiles(Sophos Mobile Security)La stratégie de sécurité des mobiles vous permet de configurer les paramètres de l'app SophosMobile Security.

Retrouvez plus de renseignements sur les stratégies de sécurité des mobiles aux sectionssuivantes :

Configuration des paramètres antivirus pour Sophos Mobile Security à la page 215Configuration des paramètres du filtrage Web pour Sophos Mobile Security à la page 217

14.15 Configuration des profils de conteneur KnoxUn profil de conteneur Knox vous permet de configurer les paramètres associés au conteneurKnox des appareils Samsung.

Retrouvez plus de renseignements sur la création d'un profil de conteneur Knox à la sectionCréation d'un profil ou d'une stratégie à la page 73.

14.15.1 Configuration des Stratégies de mot de passe (profil de conteneurKnox)



117




Aléatoire



Alphabétique



Code PIN



Alphanumérique



Complexe








118


























119


Authentification biométrique


Si cette fonction est disponible sur l'appareil, l'utilisateurpeut utiliser l'authentification par empreinte digitale pourdéverrouiller le conteneur Knox.

Autoriser l'authentification par empreintedigitale

Si cette fonction est disponible sur l'appareil, l'utilisateurpeut utiliser l'authentification par l'iris pour déverrouillerle conteneur Knox.

Autoriser l'authentification par l'iris

14.15.2 Configuration des Restrictions (profil de conteneur Knox)


L'utilisateur peut faire des captures d'écran du contenudes apps présentes dans le conteneur Samsung Knox.


Les apps présentes dans le conteneur Samsung Knoxont accès à l'appareil photo.


L'utilisateur peut copier le contenu du presse-papiers.Autoriser le Presse-papiers

La fonction Partager par utilisée par certaines apps estactivée.

Autoriser « Partager par »

Les apps présentes dans le conteneur Samsung Knoxont accès au microphone.

Autoriser le microphone

L'utilisateur doit se servir du clavier sécurisé.Appliquer l'utilisation du clavier sécurisé

L'utilisateur peut ajouter d'autres comptes de messagerieque les comptes configurés par un profil Sophos MobileControl.

Autoriser l'ajout de nouveaux comptesde messagerie

Les apps personnelles ont accès aux données depuis leconteneur Samsung Knox.

Autoriser l'exportation de données

Les fichiers personnels peuvent être copiés ou déplacésdans le conteneur Samsung Knox.

Autoriser la copie de fichiers dans leconteneur

Vous pouvez configurer soit les Apps autorisées soit lesApps interdites. Sélectionnez l'option désirée dans la


première liste et sélectionnez le groupe d'apps contenantles apps qui doivent être autorisées ou interdites dans laseconde liste.

120



L'installation d'apps déclenchée par le serveur SophosMobile Control n'est pas limitée par ce paramètre.

Retrouvez plus de renseignements sur la création desgroupes d'apps à la section Groupes d'apps à la page194.

14.15.3 Configuration d'Exchange ActiveSync (profil d'appareil Knox)









Utilisateur






Expéditeur



Mot de passe





121







SSL

Le compte est utilisé en tant que compte demessagerie par défaut.

Compte par défaut



Autoriser le transfert d'emails.Autoriser le transfert d'emails

Autoriser l'utilisation du format HTML dans lesemails.

Autoriser l'utilisation du format HTML

La taille maximale d'un email (1, 3, 5, 10, Illimitée).Taille maximale des pièces jointes (Mo)


14.16 Configuration des profils d'appareil iOSUn profil d'appareil iOS vous permet de configurer différentes options des appareils iOS(stratégies de mot de passe, restrictions ou paramètres Wi-Fi).

Retrouvez plus de renseignements sur la création d'un profil d'appareil à la section Créationd'un profil ou d'une stratégie à la page 73.

14.16.1 Configuration des Stratégies de mot de passe (profil d'appareil iOS)La configuration des Stratégies de mot de passe vous permet de définir les règles de mot depasse pour les appareils.


Les utilisateurs sont autorisés à utiliser descaractères séquentiels ou répétés dans leur motde passe (par exemple 1111 ou abcde).

Accepter les valeurs simples

Les mots de passe doivent contenir au moins unelettre ou un chiffre.

Exiger des valeurs alphanumériques

Indique le nombre minimum de caractères qu'unmot de passe doit contenir.


122



Indique le nombre minimum de caractères nonalphanumériques (par exemple & ou !) qu'un motde passe doit contenir.

Nombre minimum de caractères complexes


Durée de validité maximale du mot de passe enjours


Ce champ vous permet d'indiquer la valeurmaximale que l'utilisateur peut configurer sur

Verrouillage automatique (en minutes)

l'appareil. Le verrouillage automatique indique aubout de combien de temps (en minutes) l'appareildoit être verrouillé lorsqu'il n'est pas utilisé.

Ce champ vous permet d'indiquer combiend'anciens mots de passe sont mémorisés et

Historique du mot de passe

comparés avec les nouveaux. Lorsque l'utilisateurdéfinit un nouveau mot de passe, celui-ci n'est pasaccepté s'il correspond à un ancien mot de passedéjà utilisé. Plage de valeur : 1 à 50 ou 0 (aucunhistorique de mot de passe).

Ce champ vous permet d'indiquer la valeurmaximale que l'utilisateur peut configurer sur

Délai de grâce maximal avant verrouillage del’appareil

l'appareil. Le délai de grâce avant le verrouillagede l'appareil vous permet d'indiquer pendantcombien de temps l'appareil peut être déverrouillésuite à un verrouillage sans demande de mot depasse. Si vous sélectionnez Aucun, l'utilisateurpeut sélectionner l'un des intervalles disponibles.Si vous sélectionnez Immédiatement, lesutilisateurs doivent saisir un mot de passe àchaque fois qu'ils déverrouillent leur appareil.

Ce champ vous permet d'indiquer le nombremaximal de tentatives ratées de saisie du mot de


passe qu'il est possible d'effectuer avant quel'appareil soit réinitialisé. Après six tentativesratées, l'utilisateur doit attendre pendant unmoment avant de pouvoir saisir de nouveau unmot de passe. Le délai d'attente augmente àchaque tentative ratée. Suite à l'échec de ladernière tentative, toutes les données et lesparamètres sont supprimés de l'appareil. Le délaid'attente commence à la sixième tentative. Parconséquent, si vous définissez cette valeur sur 6ou sur une valeur inférieure, il n'y a aucun délaid'attente et l'appareil est réinitialisé lorsque lalimite des tentatives autorisées est dépassée.

14.16.2 Configuration des Restrictions (profil d'appareil iOS)La configuration des Restrictions vous permet de définir les restrictions pour les appareils.

123


Appareil


Si cette case est dessélectionnée, la boutique App Storen'est plus disponible et l'icône disparaît de l'écran

Autoriser l'installation d'apps

d'Accueil. L'utilisateur ne peut pas installer ou mettre àjour les apps via la boutique App Store, iTunes ou viaApple Configurator.

Si cette case est dessélectionnée, la boutique App Storen'est plus disponible et l'icône disparaît de l'écran

Autoriser l'installation d'apps à partir del'interface de l'appareil

d'Accueil. L'utilisateur peut toujours installer ou mettre àjour les apps via la boutique App Store ou iTunes.

Si cette case est dessélectionnée, l'appareil photo n’estplus disponible et l'icône de l'Appareil photo disparaît de

Autoriser l'utilisation de l'appareil photo

l'écran d'Accueil. L'utilisateur ne peut pas prendre dephotos, enregistrer de vidéos ou utiliser FaceTime.

L'utilisateur peut passer ou recevoir des appels vidéoFaceTime.

Autoriser FaceTime

L'utilisateur peut prendre des captures d'écran.Autoriser la capture d'écran

Si cette case est dessélectionnée, les appareils itinérantsse synchronisent uniquement lorsque l'utilisateur accèdeau compte.

Autoriser la synchronisation automatiquependant l'itinérance

Si cette case est dessélectionnée, l'utilisateur ne peutpas utiliser Siri, les commandes vocales ou le modedictée.

Autoriser Siri

Si cette case est dessélectionnée, l'utilisateur doitdéverrouiller son appareil en saisissant son mot de passeavant d'utiliser Siri.

Autoriser Siri lorsque l'appareil estverrouillé

Si cette case est dessélectionnée, Siri ne fera aucunedemande de contenu sur Internet.

Autoriser Siri à demander du contenusur Internet

Si cette case est dessélectionnée, le filtrage du langageexplicite de Siri n’est pas appliqué sur l'appareil.

Forcer le filtrage du langage explicite deSiri

Si cette case est dessélectionnée, l'utilisateur ne peutpas composer de numéros à l'aide des commandesvocales lorsque l'appareil est verrouillé par mot de passe.

Remarque : si l'utilisateur n'a pas configuré un mot depasse sur l'appareil, la composition vocale est toujoursautorisée.

Autoriser la composition vocale pendantque l'appareil est verrouillé

124



Les notifications Passbook sont affichées lorsquel'appareil est verrouillé.

Autoriser Passbook pendant quel'appareil est verrouillé

L'utilisateur peut effectuer des achats intégrés.Autoriser les achats intégrés

Les utilisateurs doivent saisir leur mot de passed'identifiant Apple pour effectuer leurs achats.

Si cette case est dessélectionnée, un court délai de grâcepermet à l'utilisateur d'effectuer d'autres achats sans avoirà saisir de nouveau son mot de passe.

Obliger l'utilisateur à saisir le mot depasse iTunes Store pour tous les achats

L'utilisateur peut jouer à des jeux en mode multijoueursdans Game Center.

Autoriser les jeux multijoueurs

Si cette case est dessélectionnée, Game Center n’estplus disponible.

Autoriser l'utilisation de Game Center

L'utilisateur peut ajouter des amis à Game Center.Autoriser l’ajout d’amis dans GameCenter

Si cette case est dessélectionnée, les modifications del'app de Localiser mes amis ne sont plus possibles.

Autoriser la modification de Localisermes amis

Si cette case est dessélectionnée, le jumelage entre hôtesest désactivé à l'exception de l'hôte de supervision. Si

Autoriser le jumelage entre hôtes

aucun certificat de l'hôte de supervision n’est configuré,le jumelage est désactivé.

Si cette case est dessélectionnée, l'utilisateur ne peutpas jumeler l'appareil avec une Apple Watch. Toutjumelage avec une Apple Watch est annulé.

Autoriser le jumelage avec Apple Watch

Le partage de contenu avec AirDrop est activé.Autoriser AirDrop

Si cette case est dessélectionnée, le Centre de contrôlen’est plus disponible lorsque l'écran de l’appareil estverrouillé.

Autoriser le Centre de contrôle pendantle verrouillage de l'écran

Si cette case est dessélectionnée, le Centre denotifications n’est plus disponible lorsque l'écran del’appareil est verrouillé.

Autoriser le Centre de notificationspendant le verrouillage de l'écran

Si cette case est dessélectionnée, la vue Aujourd’hui n’estplus disponible lorsque l'écran de l’appareil est verrouillé.

Autoriser la vue Aujourd'hui pendant leverrouillage de l'écran

L'app Actualités est disponible.Autoriser les actualités

125



Les mises à jour directes des ICP sont possibles.Autoriser les mises à jour directes desICP

L'utilisateur peut acheter des livres dans iBooks.Autoriser l'accès à l’iBooks Store

Si cette case est dessélectionnée, l'accès aux livres aucontenu érotique par le biais de l'iBooks Store est interdit.

Autoriser l'accès aux livres au contenuérotique dans l’iBooks Store

L'utilisateur peut installer des profils de configuration.Autoriser l'installation des profils deconfiguration

L'utilisateur peut utiliser iMessage pour envoyer ourecevoir des SMS.

Autoriser l'utilisation d'iMessage

L'utilisateur peut supprimer des apps de l'appareil.Autoriser la suppression d'apps

Si cette case est dessélectionnée, l'option Effacercontenu et réglages dans le menu Réinitialiser n'est plusdisponible.

Autoriser l'effacement du contenu et desréglages

Si cette case est dessélectionnée, Spotlight ne fournitplus de résultats de recherche sur Internet.

Autoriser la recherche sur Internet pourSpotlight

Si cette case est dessélectionnée, l'option Activer lesrestrictions dans le menu Réinitialiser n'est plusdisponible.

Autoriser l'activation de l'option derestrictions

L'utilisateur peut utiliser la fonctionnalité de Continuitéd'Apple nommée Handoff. La fonctionnalité Handoff

Autoriser Handoff

permet à l'utilisateur de commencer à travailler sur undocument, email ou message sur un appareil et decontinuer sur un autre appareil.

L'utilisateur peut changer le nom de l'appareil.Autoriser la modification du nom del'appareil

L'utilisateur peut changer le fond d'écran.Autoriser la modification du fond d'écran

L'utilisateur peut utiliser les raccourcis clavier.Autoriser les raccourcis clavier

Si cette case est dessélectionnée, le téléchargementautomatique des apps achetées sur d'autres appareils

Autoriser le téléchargement automatiqued'apps

est désactivé. Les mises à jour des apps existantes nesont pas affectées.

L'utilisateur peut accéder à la bibliothèque Apple Music.Autoriser Apple Music

L'utilisateur peut accéder à Apple Music Radio.Autoriser Apple Music Radio

126



L'utilisateur peut modifier les paramètres Bluetooth.Autoriser la modification des paramètresBluetooth

Données de l'entreprise


Ce paramètre vous permet de limiter l'ouverture dedocuments avec des apps/comptes (par exemple un

Autoriser le partage des documentsuniquement dans les apps/comptesadministrés compte de messagerie professionnel) administrés par

Sophos Mobile Control.

si Sophos Mobile Control est utilisé pour administrer lecompte de messagerie des utilisateurs ainsi que les appssur leurs appareils mobiles, les pièces jointes de cecompte de messagerie administré pourront uniquementêtre ouvertes à l'aide d'apps administrées. De cettemanière, vous pouvez empêcher l'ouverture de documentsprofessionnels par des apps non administrées.

Ce paramètre vous permet de limiter l'ouverture dedocuments avec des apps/comptes (par exemple un

Autoriser le partage des documentsuniquement dans les apps/comptes nonadministrés compte de messagerie professionnel) non gérés par

Sophos Mobile Control.

si Sophos Mobile Control n’est pas utilisé pour administrerle compte de messagerie des utilisateurs ainsi que lesapps sur leurs appareils mobiles, les pièces jointes de cecompte de messagerie non administré pourrontuniquement être ouvertes à l'aide d'apps nonadministrées. De cette manière, vous pouvez empêcherl'ouverture de documents personnels par des appsadministrées.

AirDrop est considéré comme non administré.Forcer l'utilisation non administrée desdocuments AirDrop

Les apps administrées peuvent utiliser la synchronisationavec iCloud.

Autoriser les apps administrées à sesynchroniser avec iCloud

Les livres d'entreprise sont sauvegardés.Autoriser la sauvegarde des livresd’entreprise

Les notes et passages surlignés des livres d'entreprisesont synchronisés.

Autoriser la synchronisation despassages surlignés et des notes pourles livres d’entreprise

127


Applications


Si cette case est dessélectionnée, la boutique iTunesn'est plus disponible et l'icône disparaît de l'écran

Autoriser l’utilisation de l'iTunes Store

d'Accueil. L'utilisateur ne peut pas prévisualiser, acheterou télécharger de contenu.

Si cette case est dessélectionnée, le navigateur WebSafari n'est plus disponible et l'icône disparaît de l'écran

Autoriser l’utilisation de Safari

d'Accueil. L'utilisateur ne peut pas non plus ouvrir de clipsWeb.

Si cette case est dessélectionnée, Safari ne remplit pasautomatiquement les formulaires Web avec lesinformations saisies auparavant.

Activer le remplissage automatique

Le blocage des fenêtres intempestives de Safari estactivé.

Bloquer les fenêtres intempestives

Les pages Web peuvent exécuter le code JavaScript surl'appareil.

Autoriser JavaScript dans le navigateur

Ce champ vous permet d'indiquer si les cookies serontacceptés :

Accepter les cookies

Toujours

Jamais

Des sites visités

L'utilisateur peut changer l'utilisation des donnéescellulaires par app.

Autoriser la modification de l'utilisationdes données cellulaires par app

Vous pouvez indiquer soit Apps autorisées soit Appsinterdites. Sélectionnez l'option désirée dans la première


liste et sélectionnez le groupe d'apps contenant les appsqui doivent être autorisées ou interdites dans la secondeliste. Retrouvez plus de renseignements sur la créationdes groupes d'apps à la section Groupes d'apps à la page194.

128


iCloud


Les utilisateurs peuvent sauvegarder leurs appareils dansiCloud.

Autoriser la sauvegarde

Les utilisateurs peuvent conserver leurs documents dansiCloud.

Autoriser la synchronisation desdocuments

Si cette case est dessélectionnée, l'utilisateur ne peutpas activer le Flux de photos.

Remarque : si vous installez un profil de configurationqui limite l'utilisation du Flux de photos, les photos se

Autoriser Flux de photos

trouvant dans le flux seront supprimées de l'appareil. Lesphotos ne seront pas envoyées à partir de la pelliculevers le Flux de photos. S'il n'existe aucune autre copiede ces photos, elles seront perdues.

L'utilisateur peut utiliser la bibliothèque de photos iCloud.Autoriser la bibliothèque de photosiCloud

Les utilisateurs peuvent inviter d'autres utilisateurs àconsulter les flux de photos ainsi que les flux de photospartagés par d'autres utilisateurs.

Autoriser les flux de photos partagés

La fonction Trousseau de clés d'iCloud pour lasynchronisation des mots de passe sur différentsappareils iOS et OS X est disponible.

Autoriser la synchronisation dutrousseau de clés

Sécurité et confidentialité


Si cette case est dessélectionnée, les informations dediagnostic iOS ne seront pas transmises à Apple.

Autoriser l’envoi des données dediagnostic à Apple

Si cette case est dessélectionnée, il ne sera pas demandéà l'utilisateur s'il veut accepter des certificats ne pouvant

Autoriser l’utilisateur à accepter descertificats TLS non approuvés

pas être vérifiés. Ce paramètre s'applique à Safari et auxcomptes de contacts de messagerie et de Calendrier.

Les apps d'entreprise sont acceptées.Accepter les apps d'entreprise

129



L'utilisateur peut ajouter, changer ou supprimer le mot depasse de l'appareil.

Autoriser la modification du mot depasse

Si cette case est dessélectionnée, l'utilisateur ne peutpas modifier les comptes. Le menu Comptes n’est plusdisponible.

Autoriser la modification du compte

Si cette case est dessélectionnée, l'appareil ne peut pasêtre déverrouillé par Touch ID.

Autoriser le capteur Touch ID àdéverrouiller l'appareil

L'utilisation des apps de données d'utilisateurs anonymesne sont plus disponibles pour effectuer le suivi publicitaire.

Forcer le suivi publicitaire limité

Les utilisateurs doivent chiffrer les sauvegardes dansiTunes.

Forcer les copies de sauvegardechiffrées

Classement du contenu


Si cette case est dessélectionnée, la musique et lesvidéos à contenu explicites seront masquées dans la

Autoriser la musique et les podcastsexplicites

boutique iTunes. Le contenu explicite est identifié par lesfournisseurs de contenu, comme par exemple, lesmaisons de disques, lorsqu'il est répertorié sur la boutiqueiTunes.

14.16.3 Configuration des Paramètres d'itinérance/Partage de connexion(profil d'appareil iOS)La configuration des Paramètres d'itinérance/Partage de connexion vous permet de définirles paramètres de connexion aux points d'accès itinérants et personnels.

Remarque : l'utilisateur peut modifier ces paramètres sur son appareil à tout moment.


La Voix à l’étranger n’est plus disponible.Activer Voix à l'étranger

Les Données à l’étranger ne sont plus disponibles.Activer Données à l'étranger

L'utilisateur peut configurer l'appareil afin del'utiliser en tant que point d'accès personnel.

Activer Partage de connexion

130


14.16.4 Configuration d'Exchange ActiveSync (profil d'appareil iOS)La configuration d'Exchange ActiveSync vous permet de définir les paramètres de l'utilisateurpour votre serveur Microsoft Exchange.









Utilisateur






Mot de passe







SSL

L'utilisateur peut transférer ses emails de ce comptevers un autre compte. Ceci permet également

Autoriser les déplacements

d'empêcher l'utilisation d'un autre compte pourrépondre ou transférer un message à partir de cecompte.

Le compte est inclus dans la synchronisation desadresses récemment utilisées avec d'autresappareils à l'aide d'iCloud.

Autoriser la synchronisation d'adressesrécentes

131



Le compte peut uniquement être utilisé pour envoyerdes messages à partir de l'app de messagerie. Il ne

Utiliser uniquement dans les messages

peut pas être sélectionné comme compte pourenvoyer des messages créés par d'autres appscomme par exemple Photos ou Safari.

Sélectionnez le certificat d'identité pour la connexionà ActiveSync.

La liste contient tous les certificats présents dans laconfiguration du Certificat du client du profil actuel.

Certificat d'identité

14.16.5 Configuration Wi-Fi (profil d'appareil iOS)La configuration Wi-Fi vous permet d'indiquer les paramètres de connexion aux réseaux Wi-Fi.


L'identifiant du réseau Wi-Fi.SSID

Connecter automatiquement au réseau cible.Connexion automatique

Le réseau cible n'est pas ouvert ou visible.Réseau masqué

Le type de sécurité du réseau Wi-Fi :Type de sécurité

Aucun

WEP

WPA/WPA2

Tous (personnel)

WEP professionnel

WPA/WPA2 professionnel

Tous (entreprise)

Si vous sélectionnez WEP, WPA/WPA2 ou Tous(personnel), un champ Mot de passe apparaît.Saisissez le mot de passe adéquat.

Si vous sélectionnez WEP professionnel, WPA/WPA2professionnel ou Tous (entreprise), les ongletsProtocoles, Authentification et Fiabilité sont affichés.

Dans l'onglet Protocoles, configurez les paramètressuivants :

Sous Types d'EAP acceptés, indiquez lesméthodes EAP à utiliser pour l'authentification.Selon les types sélectionnés ici, les valeurs duchamp Identité interne dans cet onglet peuventêtre sélectionnées.

132



Sous EAP-FAST, configurez les paramètres decodes d'accès protégé EAP-FAST.

Dans l'onglet Authentification, configurez lesparamètres d'authentification du client :

Dans le champ Utilisateur, saisissez le nomd'utilisateur pour la connexion au réseau Wi-Fi.

Sélectionnez Demander le mot de passe à chaqueconnexion si le mot de passe doit être demandépour chaque connexion et transféré avecl'authentification.

Dans le champ Mot de passe, saisissez le mot depasse adéquat.

Dans la liste Certificat d'identité, sélectionnez lecertificat pour la connexion au réseau Wi-Fi.

Remarque : le certificat à utiliser doit être indiquésous la configuration Certificat du client.

Dans le champ Identité externe, saisissezl'identifiant externe visible (pour TTLS, PEAP etEAP-FAST).

Dans l'onglet Fiabilité, configurez les paramètresd'authentification du serveur :

Sélectionnez les certificats approuvés dans la liste.

Remarque : veuillez indiquer les certificats dans uneconfiguration Certificat racine.

Dans cette liste, sélectionnez les paramètres du proxypour la connexion Wi-Fi :

Proxy

Aucun

Manuel

Automatique

Si vous sélectionnez Manuel, les champs Serveur etport, Authentification et Mot de passe apparaissent.Saisissez les informations du proxy requises. Si voussélectionnez Automatique, le champ URL du serveurproxy apparaît. Saisissez l'URL du serveur proxy.

14.16.6 Configuration VPN (profil d'appareil iOS)La configuration VPN vous permet de définir les paramètres VPN pour les connexions réseau.


Le nom de la connexion affichée sur l'appareil.Nom de la connexion

133




Cisco AnyConnect

IPSec (Cisco)

F5

Check Point

SSL personnalisé

Les différents champs d'entrée sont affichés sur lapage VPN en fonction du type de connexion quevous sélectionnez.

L'identifiant personnalisé au format DNS inverse.Identifiant (format de résolution DNS inverse)(type de connexion SSL personnalisé)

Le nom d'hôte ou l'adresse IP du serveur.Serveur (tous les types de connexion)

Le compte de l'utilisateur pour l'authentification dela connexion.

Compte (tous les types de connexion)

Si votre fournisseur a précisé des propriétés deconnexion personnalisées, vous pouvez les saisirdans ce champ.

Pour saisir une propriété, cliquez sur Ajouter etsaisissez la Clé et la Valeur de la propriété dansla boîte de dialogue.

Données personnalisées (type de connexionSSL personnalisé)

Tout le trafic est envoyé par VPN.Envoyer tout le trafic par VPN

Le groupe qui sera requis pour l'authentification dela connexion.

Groupe (type de connexion Cisco AnyConnect)

Sélectionnez le type d'authentification de l'utilisateurpour la connexion :

Authentification de l'utilisateur (types deconnexion Cisco AnyConnect, F5, SSLpersonnalisé)

Si vous sélectionnez Mot de passe, un champMot de passe apparaît en dessous du champAuthentification de l'utilisateur. Saisissez lemot de passe pour l'authentification.

Si vous sélectionnez Certificat, un champCertificat apparaît en dessous du champAuthentification de l'utilisateur. Sélectionnezun certificat.

Le type d'authentification de l'appareil :Authentification de l'appareil (type de connexionIPSec (Cisco))

Clés (secret partagé)/Nom du groupe

Si vous sélectionnez cette option, les champsNom du groupe, Clés (secret partagé),Utiliser une authentification hybride etDemander le mot de passe sont affichés en

134



dessous du champ Authentification del'appareil. Saisissez les informationsd'authentification requises dans les champsNom du groupe et Clés (secret partagé).Sélectionnez Utiliser une authentificationhybride et Demander le mot de passe sinécessaire.

Certificat

Si vous sélectionnez cette option, les champsCertificat et Inclure le code PIN del'utilisateur sont affichés en dessous du champAuthentification de l'appareil. Sélectionnezle certificat requis dans la liste Certificat.Sélectionnez Inclure le code PIN del'utilisateur pour inclure le code PIN del'utilisateur à l'authentification de l'appareil.

Les paramètres proxy pour la connexion :Proxy (tous les types de connexion)

Aucun

Manuel

Si vous sélectionnez l'une de ces options, leschamps Serveur et port, Authentification etMot de passe apparaissent. Dans le champServeur et port, saisissez l'adresse et le portdu serveur proxy. Dans le champAuthentification, saisissez le nom d'utilisateurpour la connexion au serveur proxy. Dans lechamp Mot de passe, saisissez le mot depasse pour la connexion au serveur proxy.

Automatique

Si vous sélectionnez cette option, le champURL du serveur proxy apparaît. Saisissezl'URL du serveur avec le paramètre du proxydans ce champ.

14.16.7 Configuration de la Connexion VPN via l’app (profil d'appareil iOS)La configuration de la Connexion VPN via l’app vous permet de définir les paramètres VPNpour la prise en charge de la fonction iOS « Connexion VPN via l’app ».

Vous pouvez configurer les apps pour qu'elles se connectent automatiquement à VPN dèsqu'elles sont lancées.Vous avez, par exemple, la possibilité de vous assurer que les donnéestransmises par les apps administrées transitent par le biais du VPN.

Après avoir créé des configurations VPN via l'app, vous pouvez sélectionner une configurationsur la page Modification du package d'une app. Retrouvez plus de renseignements à lasection Configuration de la connexion VPN via l'app et des paramètres pour les apps iOS àla page 192.

135



Le nom de la connexion affichée sur l'appareil.Nom de la connexion


Cisco AnyConnect

F5

Check Point

SSL personnalisé

Les différents champs d'entrée sont affichés surla page VPN en fonction du type de connexion quevous sélectionnez.

L'identifiant personnalisé au format DNS inverse.Identifiant (format de résolution DNS inverse)(type de connexion SSL personnalisé)

Le nom d'hôte ou l'adresse IP du serveur.Serveur (tous les types de connexion)

Le compte de l'utilisateur pour l'authentification dela connexion.

Compte (tous les types de connexion)

Si votre fournisseur a précisé des propriétés deconnexion personnalisées, vous pouvez les saisirdans ce champ.

Pour saisir une propriété, cliquez sur Ajouter etsaisissez la Clé et la Valeur de la propriété dansla boîte de dialogue.

Données personnalisées (type de connexion SSLpersonnalisé)

Ce champ vous permet de saisir le groupe qui serarequis pour l'authentification de la connexion.

Groupe (type de connexion Cisco AnyConnect)

Tout le trafic est envoyé par VPN.Envoyer tout le trafic par VPN

Sélectionnez le type d'authentification del'utilisateur pour la connexion dans cette liste :

Authentification de l'utilisateur (types deconnexion Cisco AnyConnect, F5, SSLpersonnalisé)

Mot de passe

Si vous sélectionnez cette option, le champMot de passe apparaît en dessous du champAuthentification de l'utilisateur. Saisissez lemot de passe pour l'authentification.

Certificat

Si vous sélectionnez cette option, le champCertificat apparaît en dessous du champAuthentification de l'utilisateur. Sélectionnezun certificat.

136



Sélectionnez le type d'authentification de l'appareildans cette liste :

Authentification de l'appareil (type de connexionIPSec (Cisco))

Clés (secret partagé)/Nom du groupe

Si vous sélectionnez cette option, les champsNom du groupe, Clés (secret partagé),Utiliser une authentification hybride etDemander le mot de passe sont affichés endessous du champ Authentification del'appareil. Saisissez les informationsd'authentification requises dans les champsNom du groupe et Clés (secret partagé).Sélectionnez Utiliser une authentificationhybride et Demander le mot de passe sinécessaire.

Certificat

Si vous sélectionnez cette option, les champsCertificat et Inclure le code PIN del'utilisateur sont affichés en dessous duchamp Authentification de l'appareil.Sélectionnez le certificat requis dans la listeCertificat. Sélectionnez Inclure le code PINde l'utilisateur pour inclure le code PIN del'utilisateur à l'authentification de l'appareil.

Sélectionnez les paramètres proxy pour laconnexion dans cette liste :

Proxy (tous les types de connexion)

Aucun

Manuel


Automatique


Le type de connexion VPN.Type de fournisseur

Proxy de l’app : le trafic réseau est envoyépar un tunnel VPN au niveau de l’application.

137



Tunnel de paquets : le trafic réseau estenvoyé par un tunnel VPN au niveau duréseau.

Dans ce champ, vous pouvez saisir une liste dechaînes de domaine.

Lorsqu'un domaine correspondant à l'une deschaînes de domaine est ouvert dans Safari ou dans

Domaines Safari

une autre navigateur, la connexion à VPN estdéclenchée.

Utilisez une nouvelle ligne pour chaque chaîne dedomaine.

La règle correspondant au comportement est lasuivante :

Les points au début ou à la fin de la chaînesont ignorés. Par exemple, la chaîne.exemple.com correspond aux mêmesdomaines que la chaîne exemple.com.

Chaque composant de chaîne doitcorrespondre à un composant de domaine toutentier. Par exemple, la chaîne exemple.comcorrespond au domaine www.exemple.commais pas à www.monexemple.com.

Les chaînes avec un seul composantcorrespondent uniquement à ce domainespécifique. Par exemple, la chaîne exemplecorrespond au domaine exemple mais pas àwww.exemple.com.

14.16.8 Configuration de l'Authentification unique (profil d'appareil iOS)La configuration de l'authentification unique vous permet de définir les paramètres d'une appà authentification unique ou d'une app tierce.


Un nom clair pour le compte.Nom

Le nom Kerberos principal.

Si vous ne saisissez aucune valeur, l'utilisateurdevra saisir le nom pendant l'installation du profil.

Nom Kerberos principal

Le nom du royaume Kerberos.

Veuillez saisir le nom en lettres majuscules.

Royaume

138


14.16.9 Configuration du Mode app unique (profil d'appareil iOS)La configuration du Mode app unique vous permet de définir les paramètres du mode uniquequi verrouille les appareils dans une seule app afin d’empêcher l’utilisation d'autres apps.


Sélectionnez la manière dont l'app doit être spécifiée pourle mode app unique :

Sélectionner la source

Liste des apps : sélectionnez l'app dans une liste desapps iOS disponibles pour le client.

Personnalisée : saisissez manuellement l'identifiantdu package de l'app.

L'app du mode app unique.

Sélectionnez une app dans la liste ou saisissez unidentifiant du package.

Identifiant d'app

Les entrées tactiles ne sont plus disponibles.Désactiver l'écran tactile

La rotation de l'écran n'est plus possible.Désactiver la rotation

Les boutons de volume ne sont plus disponibles.Désactiver les boutons de volume

Le commutateur de la sonnerie n'est plus disponible.Désactiver le commutateur de lasonnerie

Le bouton de mise en veille n'est plus disponible.Désactiver le bouton Marche/Veille

La fonction Verrouillage automatique qui met l'appareil enveille après une période d'activité est désactivée.

Désactiver le verrouillage auto

VoiceOver est disponible.Activer VoiceOver

La fonction Zoom est disponible.Activer Zoom

La fonction Inverser les couleurs est disponible.Activer Inverser les couleurs

AssistiveTouch est disponible.Activer AssistiveTouch

La fonction Énoncer la sélection est disponible.Activer Énoncer la sélection

La fonction Audio mono est disponible.Activer Audio mono

Les réglages de VoiceOver sont disponibles.VoiceOver

Le réglage du zoom est disponible.Zoom

Le réglage des couleurs est disponible.Inverser les couleurs

139



Le réglage d'AssistiveTouch est disponible.AssistiveTouch

14.16.10 Configuration du Web clip (profil d'appareil iOS)La configuration du Web clip vous permet de définir les Web clips à ajouter à l'écran d'Accueildes appareils des utilisateurs. Les Web clips offrent un accès rapide aux pages Web favorites.Vous pouvez également ajouter un Web clip avec, par exemple, le numéro de téléphone dusupport afin de fournir un moyen rapide d'appeler le service d'assistance.


Une description du Web clip.Description

L'adresse Web du serveur du Web clip.URL

Si cette case est dessélectionnée, l'utilisateur nepeut pas supprimer le Web clip. Le seul moyen de

Peut être supprimé

le supprimer de l'appareil sera de supprimer leprofil par le biais duquel il a été installé.

Le Web clip s'ouvre en plein écran sur l'appareil.Un Web clip affiché en plein écran ouvre l'URL entant qu'app Web.

Plein écran

14.16.11 Configuration du nom du point d'accès (profil d'appareil iOS)La configuration Nom du point d'accès vous permet d'indiquer le nom du point d'accès (APN)pour les appareils iOS. Les configurations APN définissent la manière dont les appareils seconnectent au réseau mobile.

Remarque : la configuration du Nom du point d'accès est abandonnée en faveur de laconfiguration des Données cellulaires. Retrouvez plus de renseignements à la sectionConfiguration des données cellulaires (profil d'appareil iOS) à la page 144

Important : si ces paramètres sont incorrects, l'appareil ne pourra pas accéder aux donnéespar le biais du réseau de téléphonie mobile. Pour annuler les changements de paramètres,le profil doit être supprimé de l'appareil.


Le Nom du point d'accès que l'appareil mentionnelorsqu'il établit une connexion GPRS avecl'opérateur.



140



Le nom d'utilisateur pour le point d'accès.

Remarque : le système iOS prend en charge lesnoms d'utilisateur APN composés d'un maximumde 64 caractères.

Nom d'utilisateur pour le point d'accès

Le mot de passe du point d'accès.

Remarque : le système iOS prend en charge lesmots de passe APN composés d'un maximum de64 caractères.

Mot de passe pour le point d'accès

L'adresse et le port du serveur proxy.Serveur proxy et port

14.16.12 Configuration du Filtre de contenu Web (profil d'appareil iOS)La configuration du Filtre de contenu Web vous permet de définir les URL interdites etautorisées à l'aide de favoris.


Lorsque vous sélectionnez cette option, vouspouvez définir une liste des URL interdites d'accèssur les appareils.

Cliquez sur Suivant pour afficher la pageSélection du type de filtre de contenu Web.

URL interdites

Cette page vous permet d'ajouter des URLindividuelles.

Utilisez une nouvelle ligne pour chaque URL.

Lorsque vous sélectionnez cette option, vouspouvez définir une liste d'URL autorisées avec

URL autorisées avec favoris

des favoris qui seront ajoutés au navigateur Safarisur les appareils. Tous les autres sites sontbloqués.

Cliquez sur Suivant pour afficher la page Filtrede contenu Web. Cliquez sur Ajouter pourajouter des URL individuelles en tant que signets.

14.16.13 Configuration du Proxy HTTP global (profil d'appareil iOS)La configuration du Proxy HTTP global vous permet de définir un serveur proxy professionnel.

141



Sélectionnez les paramètres proxy pour laconnexion :

Proxy HTTP global

Manuel


Automatique


14.16.14 Configuration du Certificat racine (profil d'appareil iOS)La configuration du certificat racine vous permet d’installer un certificat racine sur les appareils.



14.16.15 Configuration du certificat du client (profil d'appareil iOS)La configuration du certificat du client vous permet d’installer un certificat du client sur lesappareils iOS.



14.16.16 Configuration SCEP (profil d'appareil iOS)La configuration SCEP permet d'autoriser les appareils à demander des certificats à uneAutorité de certification à l'aide du protocole SCEP (Simple Certificate Enrollment Protocol).

142





URL

Un nom intelligible pour l'Autorité de certification.Par exemple, le nom peut servir à faire la distinctionentre deux instances.

Nom du serveur CA


Vous pouvez utiliser des espaces réservés pour lesdonnées de l'utilisateur ou les propriétés del'appareil.

Objet

La valeur que vous saisissez (remplacement desespaces réservés par des données) doit être un nomX.500 valable.

Par exemple :

Saisissez CN=%_USERNAME_% pour indiquer unutilisateur.

Saisissez CN=%_DEVPROP(numéro_série)_%pour indiquer un appareil.


Cette option vous permet de configurer un autre nomde l'objet. Sélectionnez l'un des types d'autre nomde l'objet disponibles.





L'adresse Web permettant de récupérer un mot depasse de challenge à partir du serveur SCEP.

Utilisez la variable %_CACHALLENGE_% pour indiquerl'URL de challenge configurée sur l'onglet SCEP dela page Configuration du système.

Challenge

Le nombre de nouvelles tentatives si le serveurenvoie une réponse en attente.

Nouvelles tentatives

Le nombre de secondes écoulées entre lesnouvelles tentatives.

Délai avant la nouvelle tentative

143




Assurez-vous que la valeur indiquée correspond àla taille configurée sur le serveur SCEP.

Taille de la clé

Si vous sélectionnez cette case, la clé publique peutêtre utilisée en tant que signature numérique.


Si vous sélectionnez cette case, la clé publique peutêtre utilisée pour le chiffrement de fichiers.


14.16.17 Configuration des Domaines administrés (profil d'appareil iOS)La configuration des Domaines administrés vous permet de définir les domaines administréspour les appareils iOS.

Lorsque les domaines sont administrés, les fichiers téléchargés à partir de sites Webspécifiques dans Safari peuvent uniquement être ouverts par les apps qui ont été déployéessur l'appareil à l'aide de MDM.

Vous pouvez saisir les Domaines de messagerie et les Domaines Web administrés. Saisissezun domaine par ligne.

Remarque : si une entrée de domaine Web administré contient un numéro de port, seulesles adresses indiquant ce numéro de port seront considérées comme administrées. Autrement,seuls les ports standard seront considérés administrés (port 80 pour http et 443 pour https).

14.16.18 Configuration Cellulaire (profil d'appareil iOS)La configuration Cellulaire vous permet de définir les paramètres du réseau cellulaire pourles appareils iOS.

Remarque : une configuration cellulaire ne peut pas être installée sur un appareil si laconfiguration APN est déjà installée.


PAP

CHAP

Authentification

Le Nom du point d'accès que l'appareil mentionnelorsqu'il établit une connexion GPRS avecl'opérateur.



144



Le nom d'utilisateur pour le point d'accès.

Remarque : le système iOS prend en charge lesnoms d'utilisateur APN composés d'un maximumde 64 caractères.

Nom d'utilisateur pour le point d'accès

Le mot de passe du point d'accès.

Remarque : le système iOS prend en charge lesmots de passe APN composés d'un maximum de64 caractères.

Mot de passe pour le point d'accès

L'adresse et le port du serveur proxy.Serveur proxy et port

14.16.19 Configuration de CalDAV (profil d'appareil iOS)La configuration de CalDAV vous permet de configurer la synchronisation des données del'agenda avec un serveur CalDAV. Par exemple, il peut servir à synchroniser l'Agenda Googleavec un appareil iOS.


Le nom d'affichage du compte CalDAV sur l'appareil.Nom du compte

Le nom d'hôte ou l'adresse IP et, en option, le numéro duport du serveur CalDAV.

Par exemple, pour l'Agenda Google, saisissez :

Hôte et port du compte

calendar.google.com:443

Si requis par le serveur CalDAV, saisissez l'URL principaledes ressources de l'agenda.

Par exemple, pour synchroniser un autre agenda quel'agenda principal d'un compte Google, saisissez :

URL principale

https://apidata.googleusercontent.com/caldav/

v2/calendar_id/user

où calendar_id correspond à l'identifiant de l'agenda aveclequel vous voulez vous synchroniser. Dans l'application Webde Google Agenda, l'identifiant de l'agenda est affiché dansles paramètres de l'agenda. Retrouvez plus derenseignements dans l'Aide de Google Agenda.

Les codes d'accès au compte CalDAV.

Par exemple, pour Google Agenda, saisissez les codesd'accès du compte Google.

Nom d'utilisateur, Mot de passe

145


14.16.20 Configuration de CardDAV (profil d'appareil iOS)La configuration de CardDAV vous permet de configurer la synchronisation des données decontacts avec un serveur CardDAV. Par exemple, il peut servir à synchroniser Google Contactsavec un appareil iOS.


Le nom d'affichage du compte CardDAV sur l'appareil.Nom du compte

Le nom d'hôte ou l'adresse IP et, en option, le numéro duport du serveur CardDAV.

Par exemple, pour Google Contacts, saisissez :

Hôte et port du compte

google.com

Si requis par le serveur CardDAV, saisissez l'URL principaledes ressources de contacts.

Par exemple, l'API CardDAV de Google prend en chargel'URL principale suivante :

URL principale

https://www.googleapis.com/carddav/ v1/principals/[email protected]

où account_name correspond au nom du compte Google.

Les codes d'accès au compte CardDAV.

Par exemple, pour Google Contacts, saisissez les codesd'accès du compte Google.

Nom d'utilisateur, Mot de passe

14.16.21 Configuration IMAP/POP (profil d'appareil iOS)La configuration IMAP/POP vous permet d'ajouter un compte de messagerie IMAP ou POPà l'appareil iOS.


Le nom d'affichage du compte de messagerie sur l'appareil.Nom du compte

Le type de serveur de messagerie pour la messagerieentrante.

Peut être soit IMAP ou POP.

Type de compte

Le nom d'affichage de l'utilisateur pour la messageriesortante.

Vous pouvez utiliser la variable %_USERNAME_%. Le serveurla remplacera par le nom de l'utilisateur saisi.

Nom d'utilisateur affiché

146




Vous pouvez utiliser la variable %_EMAILADDRESS_%. Leserveur la remplacera par l'adresse email saisie.


L'utilisateur peut transférer ses emails de ce compte vers unautre compte. Ceci permet également d'empêcher l'utilisation

Autoriser les déplacements

d'un autre compte pour répondre ou transférer un messageà partir de ce compte.

Le compte est inclus à la synchronisation pour la liste desadresses les plus récentes.

Autoriser la synchronisationd'adresses récentes

Le compte peut uniquement être utilisé pour envoyer desmessages à partir de l'app de messagerie. Il ne peut pas être

Utiliser uniquement dans lesmessages

sélectionné comme compte pour envoyer des messagescréés par d'autres apps comme par exemple Photos ouSafari.

Autoriser Apple Mail Drop pour ce compte.Autoriser Mail Drop

Compatible avec la norme de chiffrement S/MIME.Activer S/MIME

Les certificats utilisés pour la signature et le chiffrement desemails.

Pour sélectionner un certificat, vous devez d'abord letélécharger à partir de l'option de configuration Certificat duclient du profil.

Certificat de signature

Certificat de chiffrement

L'utilisateur peut choisir de chiffrer ou non les emails qu'ilenvoie.

Autoriser l'utilisateur à envoyer desemails chiffrés

Messagerie entrante

Le nom d'hôte ou l'adresse IP et le numéro du port du serveurde messagerie entrante (serveur entrant).

Serveur et port de messagerie

Le nom d'utilisateur pour la connexion au serveur entrant.Nom d'utilisateur

La méthode d'authentification pour la connexion au serveurentrant.


Le mot de passe pour la connexion au serveur entrant (sinécessaire).

Mot de passe

Utiliser SSL (Secure Sockets Layer ) pour le transfert de lamessagerie entrante.

SSL

Messagerie sortante

147



Le nom d'hôte ou l'adresse IP et le numéro du port du serveurde messagerie sortante (serveur entrant).

Serveur et port de messagerie

Le nom d'utilisateur pour la connexion au serveur sortant.Nom d'utilisateur

La méthode d'authentification pour la connexion au serveursortant.


Le mot de passe pour la connexion au serveur sortant (sinécessaire).

Mot de passe

Utiliser le mot de passe indiqué pour la messagerie entrante.Utiliser le même mot de passe que lamessagerie entrante

Utiliser SSL (Secure Sockets Layer ) pour le transfert de lamessagerie sortante.

SSL

14.16.22 Configuration des Règles d'utilisation du réseau (profil d'appareil iOS)La configuration des Règles d'utilisation du réseau vous permet d'indiquer la manière dontles apps administrées vont être autorisées à utiliser les réseaux de données cellulaires.

Règles générales

Sous Règles pour toutes les apps administrées, indiquez les paramètres pour les appsadministrées.


Les apps administrées sont autorisés à utiliser lacommunication de données sur les réseaux cellulaires.

Autoriser les données cellulaires

Les apps administrées sont autorisées à utiliser lacommunication de données pendant que l'appareil est enmode itinérance sur un réseau cellulaire à l'étranger.

Autoriser les données à l'étranger

Exceptions

Les exceptions remplacent les règles générales. Utilisez Ajouter une exception pour définirles règles spécifiques à un groupe d'apps.

148



Sélectionnez un groupe d'apps contenant les appsadministrées auxquelles s'applique l'exception.

Groupe d'apps

Les apps administrées du groupe d'apps sélectionné sontautorisées à utiliser la communication de données sur lesréseaux cellulaires.

Autoriser les données cellulaires

Les apps administrées du groupe d'apps sélectionné sontautorisées à utiliser la communication de données pendant

Autoriser les données à l'étranger

que l'appareil est en mode itinérance sur un réseau cellulaireà l'étranger.

Remarque : vous ne pouvez pas définir plusieurs exceptions pour le même groupe d'apps.

14.17 Configuration des stratégies de conteneur Sophospour iOSUne stratégie de conteneur Sophos vous permet de configurer les paramètres associés auxapps du conteneur Sophos : Sophos Secure Email et Sophos Secure Workspace.

Retrouvez plus de renseignements sur la création d'une stratégie de conteneur Sophos à lasection Création d'un profil ou d'une stratégie à la page 73.

14.17.1 Configuration Généralités (stratégie de conteneur Sophos pour iOS)La configuration Généralités vous permet de définir les paramètres qui s'appliquent à toutesles apps du conteneur Sophos si applicable.


Les utilisateurs doivent saisir un mot de passesupplémentaire pour pouvoir démarrer une app du

Activer le mot de passe du conteneur Sophos

conteneur Sophos. Le mot de passe doit être définilorsque la première app du conteneur est démarréesuite à l'application de la configuration. Ce mot depasse s'applique à toutes les apps du conteneur.

La complexité minimale requise pour le mot depasse du conteneur Sophos. Les mots de passe


très sécurisés sont toujours autorisés. Les motsde passe (une combinaison de caractèresnumériques et alphanumériques) sont toujoursconsidérés comme étant plus sûrs que les codesPIN (caractères numériques uniquement.

Toutes : les mots de passe du conteneurSophos n'ont pas de restrictions.


149








Le nombre de jours pendant lesquels un mot depasse peut être utilisé avant que les utilisateursne soient invités à le changer.

Durée de validité du mot de passe en jours

Le nombre de tentatives ratées de connexionautorisées avant verrouillage des apps du

Tentatives ratées de connexion avantverrouillage

conteneur. Une fois que les apps sont verrouillées,un administrateur devra les déverrouiller ou, s'ilssont autorisés, les utilisateurs peuvent utiliser lePortail libre-service pour effectuer cette opération.

L'utilisateur peut utiliser son empreinte digitale pourdéverrouiller l'app.

Autoriser l'empreinte digitale

La période de temps pendant laquelle aucun motde passe du conteneur Sophos ne doit être saisi


lorsque l'app du conteneur est de nouveau amenéeau premier plan.

Ce délai de grâce s'applique à toutes les apps duconteneur. Vous pouvez passer d'une app à uneautre pendant le délai de grâce sans avoir à saisirde mot de passe.

Vous avez le choix entre 1, 2, 5, 10 et 15 minutes.

Lorsque l'appareil est verrouillé, le conteneurSophos est également verrouillé.

Si la case est dessélectionnée, le conteneur estverrouillé uniquement après expiration du délai degrâce.

Verrouiller au verrouillage de l'appareil

La période de temps pendant laquelle lesutilisateurs peuvent utiliser une app du conteneur

Dernière connexion au serveur

Sophos sans avoir à se connecter au serveurSophos Mobile Control.

Lorsque une app du conteneur Sophos est activéeet n'est pas en contact avec le serveur pendant lapériode de temps définie, un écran de verrouillageapparaît. Les utilisateurs peuvent uniquementdéverrouiller l'app en appuyant sur Réessayer surl'écran de verrouillage. L’app essaiera de seconnecter au serveur. Si la connexion peut êtreétablie, l'app est déverrouillée. En cas contraire,l'accès est refusé.

150



Sur accès : la connexion au serveur esttoujours requise et l'app est verrouillée lorsquele serveur n'est pas joignable.

1 heure : la connexion au serveur est requiselorsque l'app est active pendant au moins uneheure après la dernière connexion réussie auserveur.

3 heures

6 heures

12 heures

1 jour

3 jours

1 semaine

Aucune : un contact régulier n'est requis.

Ce champ vous permet de définir la fréquence àlaquelle les utilisateurs peuvent démarrer l'une des

Accès hors ligne sans connexion au serveur

apps du conteneur Sophos sans nécessiter deconnexion au serveur.

Remarque : ce paramètre nécessite l'activationde la fonction de mot de passe du conteneurSophos.

Un compteur est mis à jour à chaque fois qu'unutilisateur saisit le mot de passe du conteneurSophos. Si le compteur dépasse le nombre fixé,le même écran de verrouillage que celui utilisépour le paramètre Dernière connexion au serveurapparaît. Le compteur est réinitialisé si uneconnexion au serveur Sophos Mobile Control estétablie.

Illimité : aucune connexion au serveur n'estrequise.

0 : une connexion au serveur est requise pourdémarrer l'app.

1 : après un démarrage de l'app, la connexionau serveur est nécessaire.

3

5

10

20

L'exécution des apps de conteneur est autoriséesur les appareils débridés.

Débridage (jailbreak) autorisé

Contraintes d'utilisation des apps

Vous permet de définir les contraintes d'utilisation des apps du conteneur Sophos. Cliquez sur Ajouterpour saisir les contraintes.

151



Vous permet d'ajouter la latitude et la longitudeainsi qu'un rayon d'utilisation des apps duconteneur Sophos.

Géorepérage

Vous permet d'indiquer une période de temps àlaquelle les apps du conteneur Sophos peuvent

Limite de temps

être utilisées en précisant une heure de début etune heure de fin. Il est également possibled'indiquer les jours de la semaine auxquels lesapps peuvent être utilisées.

Vous permet d'indiquer les réseaux Wi-Fi auxquelsl'appareil doit être connecté afin d'utiliser les appsdu conteneur Sophos.

L'appareil doit être connecté à l'un des réseauxfigurant dans la liste. Cependant, l'affichage d'un

Périmètre de connexion Wi-Fi

réseau particulier dans la liste des réseauxdisponibles ne suffit pas.

Important : nous vous déconseillons d'utiliseruniquement le périmètre de connexion Wi-Fi pourassurer votre sécurité. En effet, les identités Wi-Fipeuvent très facilement être usurpées.

14.17.2 Configuration de la Messagerie professionnelle (stratégie deconteneur Sophos pour iOS)La configuration de la Messagerie professionnelle vous permet de définir les paramètres del'utilisateur pour votre serveur Microsoft Exchange. Ces paramètres sont appliqués à l'appSophos Secure Email si elle est installée dans le conteneur Sophos.







Utilisateur


Si vous saisissez la variable %_EMAILADDRESS_%,le serveur la remplace par l'adresse électroniqueen cours.


152




L'adresse électronique qui sera utilisée pourcontacter le support.

Email du support

Le contenu des champs d'entrée est sécurisé. Leremplissage et la correction automatiques sont

Utiliser les champs de texte sécurisés

désactivés dans l'app Sophos Secure Email pourempêcher la mémorisation de tous mots àcaractère confidentiel sur l'appareil.

Les utilisateurs sont autorisés à exporter lescontacts Exchange à l'aide d'un numéro de

Exporter les contacts sur l'appareil

téléphone dans le répertoire de contacts local del'appareil. Sophos Secure Email continue à lessynchroniser. Seuls les noms et les numéros detéléphone seront exportés afin de permettre àl'utilisateur d'identifier ses contacts professionnelslors d'un appel entrant. Veuillez noter que mêmeaprès une réinitialisation à distance de l'appSophos Secure Email, les informations seronttoujours présentes dans l'archive locale del'appareil.

Cette option contrôle l'affichage des notificationspar email et des rappels d'événement dans l'appSophos Secure Email.

Lorsque vous sélectionnez l'option :

Afficher les infos sur la notification

Les notifications par email sont affichées avecle nom de l'expéditeur et l'objet.

Les rappels d'événements sont affichés avecl'heure, le lieu et le titre.

Lorsque vous dessélectionnez l'option :

Les notifications par email sont désactivées.

Les rappels d'événements sont affichés avecl'heure uniquement.

Remarque : si vous pensez que les notificationsaffichées sur un appareil perdu ou voléreprésentent un risque pour la sécurité, vouspouvez les désactiver.

Les utilisateurs ne peuvent pas copier ou couperle texte à partir de l'app Sophos Secure Email.

Refuser la copie dans le presse-papiers

L'utilisateur peut enregistrer les pièces jointes oules ouvrir dans d'autres apps.

Autoriser les observateurs externes

Si nécessaire, sélectionnez la taille maximaleautorisée pour l'email pour l'app Sophos SecureEmail dans la liste.

Taille maximale autorisée pour l'email

153



Si vous sélectionnez cette option, les boutonsEnregistrer et Afficher seront affichés sous la

Ouvrir les pièces jointes

pièce jointe. Enregistrer transfère la pièce jointeà Sophos Secure Workspace tandis qu'Afficherouvre le fichier dans Sophos Secure Email. SiSophos Secure Email ne peut pas ouvrir le fichier,les utilisateurs peuvent sélectionner où ils veulenttransférer le fichier.

Si vous dessélectionnez cette option, la pièce jointene peut pas être ouverte ou transférée versd'autres apps.

Cliquez sur Ajouter pour configurer les paramètresqu'une future version de l'app Sophos SecureEmail pourrait utiliser.

Important : veuillez uniquement configurer cesparamètres si l'équipe du support Sophos vous ledemande.

Ajouter

14.17.3 Configuration des Documents professionnels (stratégie de conteneurSophos pour iOS)

Configurer les fournisseurs de stockage

Chaque fournisseur de stockage vous permet de définir séparément les paramètres suivants :


Le fournisseur de stockage est disponible dansl'app.

Activer

Les utilisateurs sont autorisés à ajouter des fichiersprovenant du fournisseur de stockage à la liste desFavoris de l'app pour une utilisation hors ligne.

Hors ligne

Les utilisateurs peuvent partager les fichierschiffrés avec d'autres apps via la fonction Ouvriravec.

Ouvrir avec (chiffré)

Les utilisateurs peuvent partager les fichiersdéchiffrés avec d'autres apps via la fonction Ouvriravec.

Ouvrir avec (déchiffré)

Les utilisateurs peuvent copier des parties d'undocument et les copier dans d'autres apps.

Presse-papiers

154


Paramètres du fournisseur d'entreprise

Pour le fournisseur Egnyte ou WebDAV, également appelé le fournisseur d'entreprise, vouspouvez définir les paramètres du serveur et les codes d'accès de connexion de manièrecentralisée. Ceux-ci ne peuvent pas être changés par les utilisateurs.

Les paramètres de codes d'accès que vous ne définissez pas de manière centralisée peuventêtre choisis par les utilisateurs sur les écrans de codes d'accès du fournisseur dans l'app.

Par exemple, vous pouvez définir le serveur et le compte d'utilisateur à utiliser de manièrecentralisée. Il n'est pas nécessaire de remplir le champ du mot de passe. Les utilisateursdevront connaître le mot de passe lorsqu'ils se connecteront au fournisseur de stockage.


Le nom du fournisseur qui s'affiche dans l'appSophos Secure Workspace.

Nom

Dans ce champ, saisissez :Serveur

L'URL du dossier racine sur le serveurWebDAV Documents professionnels.

L'URL du dossier racine sur le serveur Egnyte.

L'URL du dossier racine sur le serveurWebDAV.

Veuillez utiliser le format suivant :https://serveur.entreprise.fr

Ce champ vous permet de saisir le nomd'utilisateur du serveur.

Nom d'utilisateur

Ce champ vous permet de saisir le mot de passedu compte.

Mot de passe

Ce champ vous permet de saisir le dossier detéléchargement du compte.

Dossier de téléchargement

Autres paramètres


Cette option active la fonction Documentspermettant de distribuer en toute sécurité lesdocuments d'entreprise.

Activer les documents

155



La complexité minimale requise pour les phrasessecrètes des clés de chiffrement. Les phrasessecrètes très sécurisées sont toujours autorisées.

Vous pouvez sélectionner les paramètres suivants :

Complexité de la phrase secrète





14.17.4 Configuration du Navigateur professionnel (stratégie de conteneurSophos pour iOS)La configuration du Navigateur professionnel vous permet de définir les paramètres de lafonction Navigateur professionnel de l'app Sophos Secure Workspace.

Le Navigateur professionnel vous permet d'accéder en toute sécurité aux pages intranet del'entreprise et à toutes les autres pages autorisées. Vous pouvez définir les domaines et lesfavoris d'un domaine.

Chaque favori appartient à un domaine bien précis. Lorsque vous utilisez Ajouter un favoripour définir un favori, l’entrée de domaine est créée automatiquement si elle n'existe pas.

Paramètres du domaine


Le domaine que vous souhaitez autoriser.URL

Les utilisateurs peuvent copier/coller du texte àpartir du Navigateur professionnel vers d'autresapps.

Autoriser la fonction copier/coller

Les utilisateurs peuvent télécharger des piècesjointes ou les transférer vers d'autres apps.

Autoriser Ouvrir avec

Les utilisateurs peuvent enregistrer leurs mots depasse dans le Navigateur professionnel.

Autoriser l'enregistrement du mot de passe

156


Paramètres de favoris


Le nom du favori.Nom

L'adresse Web du favori.URL

14.17.5 Configuration du certificat du client (stratégie de conteneur Sophospour iOS)La configuration du certificat du client vous permet d’installer un certificat du client sur lesappareils. Ce certificat sera mis à disposition des apps Sophos Secure Email et SophosSecure Workspace si elles sont installées dans le conteneur Sophos.



14.17.6 Configuration du Certificat racine (stratégie de conteneur Sophospour iOS)La configuration du certificat racine vous permet de charger un certificat racine sur lesappareils. Ce certificat sera mis à disposition des apps Sophos Secure Email et SophosSecure Workspace si elles sont installées dans le conteneur Sophos.



14.17.7 Configuration SCEP (stratégie de conteneur Sophos pour iOS)La configuration SCEP permet d'autoriser les appareils à demander des certificats à uneAutorité de certification à l'aide du protocole SCEP (Simple Certificate Enrollment Protocol).Ces certificats sont disponibles dans l'app Sophos Secure Workspace si cette dernière estinstallée dans le conteneur Sophos.


157





URL



Nom d'alias




Objet


Par exemple :











Challenge

158





Certificat racine




Taille de la clé





14.18 Configuration des stratégies Windows MobileUne stratégie Windows Mobile vous permet de configurer différentes options des appareilsWindows Mobile (stratégies de mot de passe, restrictions ou paramètres Wi-Fi).

Retrouvez plus de renseignements sur la création d'une stratégie Windows Mobile à la sectionCréation d'un profil ou d'une stratégie à la page 73.

14.18.1 Configuration des Stratégies de mot de passe (stratégie WindowsMobile)La configuration des Stratégies de mot de passe vous permet de définir les règles de mot depasse pour les appareils.


Sélectionnez le type de mot de passe que vousvoulez définir :


Alphanumérique

Alphanumérique ou numérique

Les mots de passe peuvent être composé decaractères séquentiels ou répétés, par exempleabcde ou 1111.

Accepter les mots de passe simples



159



Le nombre maximal de tentatives ratées de saisiedu mot de passe de connexion qu'il est possibled'effectuer avant que l'appareil soit réinitialisé.

Saisissez une valeur entre 1 et 999 ousélectionnez 0 si vous ne voulez pas de restriction.

Nombre maximal de tentatives

Le temps (en minutes) au bout duquel l'appareildoit être verrouillé lorsqu'il n'est pas utilisé.L'utilisateur peut déverrouiller l'appareil.


Durée en minutes avant le verrouillage del'appareil



l'utilisateur définit un nouveau mot de passe,celui-ci n'est pas accepté s'il correspond à unancien mot de passe déjà utilisé.


Le nombre de jours après lesquels les utilisateursdoivent changer de mot de passe.



Le nombre minimum de caractères nonalphanumériques (par exemple & ou !) qu'un motde passe doit contenir.

Nombre minimum de groupes de caractèresdifférents

Les utilisateurs sont autorisés à définir le délai degrâce du mot de passe.

Autoriser un délai de grâce pour le mot depasse d'app

14.18.2 Configuration des Restrictions (stratégie Windows Mobile)La configuration des Restrictions vous permet de définir les restrictions pour les appareils.

Appareil


L'utilisateur ne peut plus accéder à la carte destockage. Ceci n'empêche pas les apps d'accéderà la carte de stockage.

Interdire la carte SD

160



Le chiffrement du stockage interne est activé.

Important : une fois que le chiffrement dustockage interne est activé, vous ne pouvez plusle désactiver par le biais d'une stratégie.

Interdire les appareils non chiffrés

Remarque : veuillez activer BitLocker surl'appareil avant d'appliquer la stratégie.

Aucune notification du centre de notifications n'estaffichée sur l'écran de verrouillage de l'appareil.

Interdire les notifications dans le centre denotifications lorsque l'écran du téléphone estverrouillé

Cette option empêche l'ajout de tous les types decompte de messagerie ainsi que des comptesExchange, Office 365 et Outlook.com.

Interdire l'ajout manuel de comptes demessagerie non Microsoft

Le compte Microsoft est le compte système utilisépour la synchronisation, la sauvegarde et laboutique d'apps.

Interdire la connexion de compte Microsoft

Le mode de développement de Windows estdésactivé.

Interdire le mode de développement

La boutique d'apps n'est pas accessible.Interdire la Boutique Windows

Le navigateur Microsoft Edge n'est plus disponible.Interdire le navigateur natif

Le paramètre de confidentialité Autoriser lesapplications à utiliser ma caméra est désactivé.

Interdire la caméra

Sélectionnez l'envoi de diagnostics et de donnéestélémétriques par l'appareil :

Télémétrie

Autorisée

Autorisée sauf pour les demandes dedonnées secondaires

Non autorisée

Divers


Le bloc-notes n’est plus disponible.Interdire la fonction copier/coller

161



Cortana est désactivée.Interdire Cortana

L'utilisateur ne peut pas enregistrer un fichier entant que fichier Office sur l'appareil.

Interdire « Enregistrer sous » pour les fichiersOffice

Les captures d'écran sont désactivées.Interdire la capture d'écran

L'utilisateur ne peut pas partager les fichiers Office.Interdire le partage des fichiers Office

Les paramètres de l'appareil ne peuvent pas êtresynchronisés vers et à partir d'autres appareilsWindows.

Interdire « synchroniser les paramètres »

L'enregistrement vocal est désactivé.Interdire l'enregistrement vocal

Wi-Fi


Les connexions Wi-Fi sont désactivées.Interdire la connexion Wi-Fi

Le partage de connexion Internet est désactivé.Interdire le partage sur Internet

L'appareil ne se connectera pas automatiquementaux points d'accès Wi-Fi.

Interdire l'Assistant Wi-Fi (connexionautomatique aux points d'accès)

L'appareil n'enverra pas d'informations sur lesconnexions Wi-Fi.

Interdire le signalement de points d'accès

L'utilisateur ne peut pas configurer d'autresconnexions Wi-Fi que celles configurées parSophos Mobile Control.

Interdire la configuration manuelle

Connectivité


La communication en champ proche (NFC ou NearField Communication) est désactivée.

Interdire NFC

Bluetooth est désactivée.Interdire Bluetooth

162



La connexion USB entre l'appareil et un ordinateurpour synchroniser les fichiers ou utiliser les outils

Interdire la connexion USB

de développement à des fins de déploiement oude débogage d'applications est refusée. Cecin'affecte pas le chargement USB.

Itinérance et coûts


Les connexions de données sur les réseauxcellulaires étrangers sont désactivées.

Interdire la connexion de données en itinérance

Les connexions VPN sur les réseaux cellulairessont désactivées.

Interdire VPN sur les données cellulaires

Les connexions VPN sur les réseaux cellulairesétrangers sont désactivées.

Interdire VPN lors de l'itinérance sur lesdonnées cellulaires



Bing visuel ne conservera pas le contenu desimages capturées lors d'une recherche dans Bingvisuel.

Interdire Bing visuel pour archiver des imagesprovenant de la recherche visuelle Bing

La recherche ne peut pas utiliser les informationsde géolocalisation.

Interdire l'utilisation de la géolocalisation lorsde la recherche

L'utilisateur ne peut pas installer manuellement lescertificats racines et intermédiaires de l'autorité decertification.

Interdire l'installation manuelle de certificatsracine

Tous les paramètres privés de géolocalisation surl'appareil sont désactivés. Aucune app ne peut

Interdire la géolocalisation

utiliser le service de géolocalisation. Cette optionempêche également Sophos Mobile Control degéolocaliser l'appareil.

163



Le niveau de filtrage des résultats de la rechercheappliqué sur l'appareil :

Autorisation d'utilisation du Filtre adulte

Modéré : filtrage modéré du contenu pouradulte. Les résultats valides de la recherchene seront pas filtrés.

Strict : filtrage strict du contenu pour adulte.

Désinscription


L'utilisateur ne peut pas rétablir les paramètresd'usine de l'appareil via le panneau deconfiguration ou par combinaison de touches.

Interdire la réinitialisation du téléphone parl'utilisateur

L'utilisateur ne peut pas supprimer le compteprofessionnel.

Interdire la désinscription manuelle de MDM

14.18.3 Configuration d'Exchange ActiveSync (stratégie Windows Mobile)La configuration d'Exchange ActiveSync vous permet de définir les paramètres de l'utilisateurpour votre serveur Microsoft Exchange.









Utilisateur

164








Mot de passe









SSL


14.18.4 Configuration Wi-Fi (stratégie Windows Mobile)La configuration Wi-Fi vous permet d'indiquer les paramètres de connexion aux réseaux Wi-Fi.


Dans ce champ, saisissez l'identifiant du réseauWi-Fi.

SSID

La connexion sera établie automatiquement.Connexion automatique


Sélectionnez le type de sécurité dans la listedéroulante. Que vous sélectionniez WPA-PSK ouWPA2-PSK, vous devez indiquer un mot de passe.

Type de sécurité

Si vous sélectionnez Manuel dans la listedéroulante, vous devez remplir les champs Serveuret port.

Proxy

165


14.18.5 Configuration des Restrictions d'apps (stratégie Windows Mobile)La configuration des Restrictions d'apps vous permet d'autoriser ou de bloquer des appsspécifiques sur les appareils.


Comprend une série d'apps individuelles que lesutilisateurs sont autorisés à installer et à utiliser

Apps autorisées

sur leur appareil. Les utilisateurs ne pourront pasinstaller ou utiliser les apps qui ne figurent pasdans cette liste.

Utilisez Apps autorisées lorsque vous savezquelle liste d'apps vous voulez autoriser et quevous voulez bloquer toutes les autres apps.

Comprend une série d'apps individuelles que lesutilisateurs ne sont pas autorisés à installer sur

Apps interdites

leur appareil. Les utilisateurs pourront installer lesapps qui ne figurent pas dans cette liste.

Utilisez Apps interdites lorsque vous savez quelleliste d'apps vous voulez bloquer et que vous voulezautoriser toutes les autres apps.

Sélectionnez le Groupe d'apps qui contient la listedes apps que vous voulez autoriser ou bloquer.

Remarque : le groupe d'apps doit d'abord êtrecréé. Retrouvez plus de renseignements à lasection Groupes d'apps à la page 194.

Groupe d'apps

14.18.6 Configuration du Certificat racine (stratégie Windows Mobile)La configuration du certificat racine vous permet d’installer un certificat racine sur les appareils.



14.18.7 Configuration SCEP (stratégie Windows Mobile)La configuration SCEP permet d'autoriser les appareils à demander des certificats à uneAutorité de certification à l'aide du protocole SCEP (Simple Certificate Enrollment Protocol).


Une description de la configuration.Description

166





URL


Vous pouvez utiliser des espaces réservés pour lesdonnées de l'utilisateur ou les propriétés del'appareil.

Objet

La valeur que vous saisissez (remplacement desespaces réservés par des données) doit être un nomX.500 valable.

Par exemple :

Saisissez CN=%_USERNAME_% pour indiquer unutilisateur.

Saisissez CN=%_DEVPROP(numéro_série)_%pour indiquer un appareil.


Cette option vous permet de configurer une ouplusieurs valeurs « Autre nom de l'objet ».

Cliquez sur Ajouter et saisissez un type et unevaleur pour l'Autre nom de l'objet.

Autre nom de l'objet

L'adresse Web permettant de récupérer un mot depasse de challenge à partir du serveur SCEP.

Utilisez la variable %_CACHALLENGE_% pour indiquerl'URL de challenge configurée sur l'onglet SCEP dela page Configuration du système.

Challenge



Certificat racine


Le nombre de nouvelles tentatives si le serveurenvoie une réponse en attente.

Nouvelles tentatives

Le nombre de secondes écoulées entre lesnouvelles tentatives.

Délai avant la nouvelle tentative

167




Assurez-vous que la valeur indiquée correspond àla taille configurée sur le serveur SCEP.

Taille de la clé

Si vous sélectionnez cette case, la clé publique peutêtre utilisée en tant que signature numérique.


Si vous sélectionnez cette case, la clé publique peutêtre utilisée pour le chiffrement de fichiers.


Sélectionnez un ou plusieurs algorithmes dehachage pris en charge par le serveur SCEP.

Algorithme de hachage

14.19 Configuration des stratégies Windows DesktopUne stratégie Windows Desktop vous permet de configurer différentes options des appareilsWindows Desktop (stratégies de mot de passe, restrictions ou paramètres Wi-Fi).

Retrouvez plus de renseignements sur la création d'une stratégie Windows Desktop à lasection Création d'un profil ou d'une stratégie à la page 73.

14.19.1 Configuration des Stratégies de mot de passe (stratégie WindowsDesktop)La configuration des Stratégies de mot de passe vous permet de définir les règles de mot depasse pour les appareils.

Remarque : les règles de complexité des mots de passe (par ex. ; la longueur, le nombrede lettres majuscules et minuscules) pour les appareils Windows Desktop sont fixées et nepeuvent pas être définies par une stratégie Sophos Mobile Control. Retrouvez plus derenseignements à la section Règles de complexité de mot de passe Windows Desktop à lapage 75.

Remarque : les stratégies de mot de passe ne peuvent pas être assignées à un appareilWindows Desktop si d'autres utilisateurs locaux ont été configurés sur l'appareil (en plus del'utilisateur inscrit dans Sophos Mobile Control) et si au moins l'un d'entre eux n'est pas autoriséà changer de mot de passe.


Le nombre maximal de tentatives ratées de saisiedu mot de passe de connexion qu'il est possibled'effectuer avant que l'appareil soit réinitialisé.


Nombre maximal de tentatives

168



Le temps (en minutes) au bout duquel l'appareildoit être verrouillé lorsqu'il n'est pas utilisé.L'utilisateur peut déverrouiller l'appareil.


Durée en minutes avant le verrouillage del'appareil



l'utilisateur définit un nouveau mot de passe,celui-ci n'est pas accepté s'il correspond à unancien mot de passe déjà utilisé.


Le nombre de jours après lesquels les utilisateursdoivent changer de mot de passe.



14.19.2 Configuration des Restrictions (stratégie Windows Desktop)La configuration des Restrictions vous permet de définir les restrictions pour les appareils.

Appareil


L'utilisateur ne peut plus accéder à la carte destockage. Ceci n'empêche pas les apps d'accéderà la carte de stockage.

Interdire la carte SD

Cette option empêche l'ajout de tous les types decompte de messagerie ainsi que des comptesExchange, Office 365 et Outlook.com.

Interdire l'ajout manuel de comptes demessagerie non Microsoft

Le mode de développement de Windows estdésactivé.

Interdire le mode de développement

Le paramètre de confidentialité Autoriser lesapplications à utiliser ma caméra est désactivé.

Interdire la caméra

169



Le paramètre Enregistrer les entrées deformulaire du navigateur Web Edge est désactivéet ne peut pas être activé par l'utilisateur.

Si cette case est dessélectionnée, le paramètreest activé et ne peut pas être désactivé parl'utilisateur.

Désactiver la saisie semi-automatique sur Edge

Les Outils de développement F12 du navigateurWeb Edge ne sont plus disponibles.

Désactiver les Outils de développement F12sur Edge

Le paramètre Bloquer les fenêtres contextuellesdu navigateur Web Edge est désactivé et ne peutpas être activé par l'utilisateur.

Si cette case est dessélectionnée, le paramètreest activé et ne peut pas être désactivé parl'utilisateur.

Désactiver le bloqueur de fenêtres publicitairessur Edge

Les sections concernées du Panneau deconfiguration Windows ne sont plus disponibles.

Désactiver les Paramètres de lectureautomatique

L'utilisateur ne peut pas modifier ces paramètresune fois que la stratégie a été assignée à l'appareil.

Remarque : la fonction Désactiver lesParamètres de lecture automatique ne s'applique

Désactiver les Paramètres de date et d’heure

Désactiver le Paramètre de languepas aux appareils connectés (par exemple, lestéléphones mobiles).

Désactiver les Paramètres d’alimentation et demise en veille

Désactiver les Options régionales

Désactiver les Paramètres de connexion

Désactiver les Paramètres VPN

Désactiver les Paramètres du lieu de travail

Désactiver les Paramètres de compte

Sélectionnez l'envoi de diagnostics et de donnéestélémétriques par l'appareil :

Télémétrie

Autorisée

Autorisée sauf pour les demandes dedonnées secondaires

Non autorisée

170


Divers


Cortana est désactivée.Interdire Cortana

Les paramètres de l'appareil ne peuvent pas êtresynchronisés vers et à partir d'autres appareilsWindows.

Interdire « synchroniser les paramètres »

Le paramètre de notification de Windows Afficherdes conseils sur Windows est désactivé et n'estplus disponible.

Désactiver les conseils Windows

Wi-Fi


Le partage de connexion Internet est désactivé.Interdire le partage sur Internet

L'appareil ne se connectera pas automatiquementaux points d'accès Wi-Fi.

Interdire l'Assistant Wi-Fi (connexionautomatique aux points d'accès)

Connectivité


Bluetooth est désactivée.Interdire Bluetooth



La recherche ne peut pas utiliser les informationsde géolocalisation.

Interdire l'utilisation de la géolocalisation lorsde la recherche

171


Désinscription


L'utilisateur ne peut pas supprimer le compteprofessionnel.

Interdire la désinscription manuelle de MDM

14.19.3 Configuration d'Exchange ActiveSync (stratégie Windows Desktop)La configuration d'Exchange ActiveSync vous permet de définir les paramètres de l'utilisateurpour votre serveur Microsoft Exchange.

Important : si vous utiliser plusieurs configurations pour créer des comptes ExchangeActiveSync, les appareils risquent uniquement de pouvoir récupérer les messages à partird'un seul compte. Ceci arrive généralement lorsque les comptes sont sur des serveursExchange ActiveSync différents et que différentes stratégies de boîtes de réception sontdéfinies sur ces serveurs. Les appareils Windows Desktop ne pouvant appliquer qu'une seulestratégie de boîte de réception, ils ne parviendront pas à se connecter aux comptes utilisantune stratégie différente.









Utilisateur






Mot de passe

172











SSL


14.19.4 Configuration Wi-Fi (stratégie Windows Desktop)


Dans ce champ, saisissez l'identifiant du réseauWi-Fi.

SSID

La connexion sera établie automatiquement.Connexion automatique


14.19.5 Configuration du Certificat racine (stratégie Windows Desktop)La configuration du certificat racine vous permet d’installer un certificat racine sur les appareils.



173


15 Séries de tâchesL'utilisation des séries de tâches vous permet de regrouper plusieurs tâches en une seuletransaction.Vous pouvez donc regrouper toutes les tâches nécessaires afin de disposer d'unappareil inscrit et configuré :

■ Inscrire l'appareil.

■ Appliquer les stratégies requises.

■ Installer les applications requises (par exemple, les apps administrées pour les appareilsiOS)

■ Appliquer les profils requis.

Vous pouvez également inclure les commandes de réinitialisation dans les séries de tâchesafin de réinitialiser automatiquement les appareils non conformes (par exemple, les appareilsdébridés ou disposant des droits root). Retrouvez plus de renseignements à la section Règlesde conformité à la page 43.

15.1 Création d'une série de tâches1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Séries de tâches puis

sélectionnez Android ou Apple iOS.

2. Sur la page Séries de tâches, cliquez sur Créer une série de tâches.

La page Modification de la série de tâches apparaît.

3. Saisissez un nom (obligatoire), une version et une description pour la nouvelle série detâches dans les champs adéquats.

4. Lorsque vous sélectionnez l'option Sélectionnable pour les actions de conformité, lasérie de tâches peut être transférée sur un appareil lorsque cet appareil enfreint une règlede conformité. Retrouvez plus de renseignements à la section Règles de conformité à lapage 43.

Remarque : cette option sera désactivée si vous modifiez une série de tâches déjàexistante qui est utilisée en tant qu'action de mise en conformité.

5. Sur le menu latéral, sous CONFIGURATION, cliquez sur Séries de tâches puissélectionnez Android ou Apple iOS.

6. Cliquez sur Créer une tâche.

7. Sélectionnez le type de tâche et cliquez sur Suivant.

La vue suivante dépend du type de tâche que vous avez sélectionnée. Dans chaque vue,vous pouvez indiquer les noms explicites que vous voulez donner à vos tâches. Ces nomsde tâches sont affichés au cours de l'installation sur le Portail libre-service.

8. Suivez les étapes de l'assistant pour ajouter la tâche requise et cliquez sur Appliquerpour créer la tâche.

Retrouvez une description des types de tâches disponibles aux sections Types de tâcheAndroid disponibles à la page 175 et Types de tâche iOS disponibles à la page 178.

9. Facultatif - Ajoutez d'autres tâches à la série de tâches.

Info : vous pouvez modifier l'ordre des tâches à l'aide des flèches de tri à droite de la listedes tâches.

174


10. Après avoir ajouté toutes les tâches requises à la série de tâches, cliquez sur Enregistrersur la page Modification de la série de tâches.

La série de tâches est prête à être transférée. Elle apparaît sur la page Séries de tâches.

Remarque : lorsque vous modifiez une série de tâches déjà existante utilisée en tant quePackage initial dans les paramètres du Portail libre-service, la tâche d'inscription ne peutpas être supprimée. Retrouvez plus de renseignements à la section Configuration desparamètres du Portail libre-service à la page 27.

15.2 Types de tâche Android disponiblesLes types de tâche suivants sont disponibles pour les séries de tâches Android :

Inscrire

Lorsque cette tâche est transférée sur les appareils, un email d'inscription est envoyé àl'adresse email associée à chaque appareil. L'utilisateur doit effectuer les étapes décritesdans l'email pour inscrire son appareil.

Lorsque cette tâche est transférée sur un appareil déjà inscrit, l'email d'inscription n'est pasenvoyé.

Installer le profil / Assigner une stratégie

Sélectionnez un profil ou une stratégie dans la liste des profils et stratégies disponibles.Retrouvez plus de renseignements sur l'ajout de profils ou de stratégies à la section Profilset stratégies à la page 73.

Lorsque cette tâche est transférée sur les appareils, le profil est installé ou la stratégie estassignée de manière transparente pour l'utilisateur.

Vous pouvez ajouter plusieurs tâches de ce type à une série de tâches.

Supprimer le profil

Dans Sélectionner la source, sélectionnez les Profils puis sélectionnez un profil dans laliste.

En plus des profils disponibles sur le serveur Sophos Mobile Control, la liste inclut des profilsutilisés sur les appareils administrés.

Vous pouvez également supprimer un profil ne figurant pas dans la liste. SélectionnezIdentifiant et saisissez l'identifiant du profil que vous voulez supprimer des appareils.

Lorsque cette tâche est transférée sur les appareils, le profil est supprimé de manièretransparente pour l'utilisateur.


Remarque : vous ne pouvez pas supprimer directement une stratégie de conteneur Sophosou une stratégie de sécurité des mobiles (Sophos Mobile Security) des appareils. Veuillezutiliser l'action Désinscrire le conteneur Sophos ou Désinscrire SMSec. Cette opérationva également supprimer les stratégies associées de l'appareil.

175


Installer une app

Sélectionnez une app dans la liste des apps disponibles. Retrouvez plus de renseignementssur l'ajout d'apps à la liste à la section Ajout d'une app à la page 182.

Lorsque cette tâche est transférée sur les appareils, l'utilisateur reçoit une notification sur sonappareil lui indiquant que Sophos Mobile Control veut installer l'app. L'utilisateur peut appuyersur OK pour démarrer l'opération ou sur Pas maintenant pour être informé de nouveau aprèsune courte période de temps.

Si l'utilisateur appuie sur OK et appuie sur Annuler dans la boîte de dialogue Android, latâche échoue.

Si l'app est déjà installée sur un appareil qui reçoit la tâche, elle est mise à jour.


Installer l'app Android for Work

Ce type de tâche est disponible si vous avez configuré Android for Work pour le client.

Sélectionnez une app dans la liste des apps professionnelles disponibles. Retrouvez plus derenseignements sur l'ajout d'apps à la liste à la section Modification d'une app professionnelleà la page 206.

La tâche d'installation est transmise au service Google. Google gère ensuite l'installation del'app sur l'appareil. Sur la page Vue des tâches, l'état de la tâche indique Succès lorsqu'ellea bien été transmise à Google.


Vous avez également la possibilité d'installer des apps professionnelles à partir de la pageApps Android for Work. Retrouvez plus de renseignements à la section Installation d'uneapp professionnelle à la page 209.

Retrouvez plus de renseignements sur la désinstallation d'une app professionnelle desappareils à la section Désinstallation d'une app professionnelle à la page 209.

Supprimer l'app

Dans Sélectionner la source, sélectionnez Apps pour sélectionner une app à supprimer dela liste des apps disponibles.

En plus des apps disponibles sur le serveur Sophos Mobile Control, la liste inclut des appsutilisées sur les appareils administrés à l'exception des apps du système Android et des appspréinstallées par le fabricant de l'appareil.

Vous pouvez également supprimer une app ne figurant pas dans la liste. SélectionnezIdentifiant et saisissez le nom du package de l'app que vous voulez supprimer des appareils.Si vous sélectionnez App du conteneur Knox, l'app sera supprimée du conteneur SamsungKnox.

Lorsque cette tâche est transférée sur les appareils, l'utilisateur reçoit une notification sur sonappareil lui indiquant que Sophos Mobile Control veut supprimer l'app. L'utilisateur peutappuyer sur OK pour démarrer l'opération ou sur Pas maintenant pour être informé denouveau après une courte période de temps.

Si l'utilisateur appuie sur OK et appuie sur Annuler dans la boîte de dialogue Android, latâche échoue.

176


Si l'app n'est pas installée sur un appareil qui reçoit la tâche, aucune notification n'apparaît.


Envoyer un message

Saisissez le texte à afficher en clair sur les appareils.

Lorsque cette tâche est transférée sur les appareils, le texte du message est affiché dans lafenêtre de notification. L'utilisateur peut afficher les anciens messages sur la page Messagesde l'app Sophos Mobile Control.


Désinscrire

Lorsque cette tâche est transférée sur les appareils, ces derniers sont désinscrits de SophosMobile Control. Retrouvez plus de renseignements à la section Désinscription des appareilsà la page 57. L'utilisateur de l'appareil n'a pas besoin de confirmer l'opération.

Vous ne pouvez pas ajouter une tâche Désinscrire et Réinitialiser dans la même série detâches.

Réinitialiser

Lorsque cette tâche est transférée sur les appareils, ces derniers sont réinitialisés sur leursparamètres d'usine. L'utilisateur de l'appareil n'a pas besoin de confirmer l'opération.

Important : il est conseillé d'utiliser ce type de tâche avec précaution. Toutes les donnéessur les appareils recevant cette tâches sont supprimées sans qu'il soit demandé à l'utilisateurde confirmer l'opération.

Remarque : lorsqu'une tâche Réinitialiserest transférée sur un appareil inscrit à Androidfor Work, seul le profil professionnel et toutes les apps professionnelles sont supprimées.


Conteneur Knox : verrouiller

Lorsque cette tâche est transférée sur un appareil Samsung compatible avec Samsung Knox,le conteneur Knox est verrouillé.

Si la tâche est transférée sur un appareil incompatible avec Samsung Knox, la tâche échoue.

Conteneur Knox : déverrouiller

Lorsque cette tâche est transférée sur un appareil Samsung compatible avec Samsung Knox,le conteneur Knox est déverrouillé.


177


Conteneur Knox : réinitialiser le mot de passe

Lorsque cette tâche est transférée sur un appareil Samsung compatible avec Samsung Knox,le mot de passe du conteneur Knox est réinitialisé. L'utilisateur doit créer un nouveau mot depasse pour déverrouiller le conteneur Knox.


Conteneur Knox : supprimer

Lorsque cette tâche est transférée sur un appareil Samsung compatible avec Samsung Knox,le conteneur Knox (notamment la configuration du conteneur) est supprimé.


Déclencher le contrôle SMSec

Lorsque cette tâche est transférée sur les appareils, l'app Sophos Mobile Security estdéclenchée en tâche de fond et effectue le contrôle à la recherche de malwares et d'appspotentiellement indésirables (PUA).

Pour effectuer cette tâche, Sophos Mobile Security doit être administrée à partir de SophosMobile Control et une stratégie de sécurité des mobiles (Mobile Security) soit être assignéeà l'appareil. Retrouvez plus de renseignements à la section Gestion de Sophos Mobile Securityà la page 215.

Si Sophos Mobile Security n'est pas administrée par Sophos Mobile Control sur un appareilqui reçoit la tâche (c'est-à-dire si la stratégie de sécurité des mobiles n'est pas assignée àl'appareil), l'état de la tâche continue d'afficher Sera réessayé.

15.3 Types de tâche iOS disponiblesLes types de tâche suivants sont disponibles pour les séries de tâches iOS :

Inscrire

Lorsque cette tâche est transférée sur les appareils, un email d'inscription est envoyé àl'adresse email associée à chaque appareil. L'utilisateur doit effectuer les étapes décritesdans l'email pour inscrire son appareil.

Lorsque cette tâche est transférée sur un appareil déjà inscrit, l'email d'inscription n'est pasenvoyé.

Installer le profil / Assigner une stratégie

Sélectionnez un profil ou une stratégie dans la liste des profils et stratégies disponibles.Retrouvez plus de renseignements sur l'ajout de profils ou de stratégies à la section Profilset stratégies à la page 73.

Lorsque cette tâche est transférée sur les appareils, le profil est installé ou la stratégie estassignée de manière transparente pour l'utilisateur.


178


Supprimer le profil

Dans Sélectionner la source, sélectionnez les Profils puis sélectionnez un profil dans laliste.


Vous pouvez également supprimer un profil ne figurant pas dans la liste. SélectionnezIdentifiant et saisissez l'identifiant du profil que vous voulez supprimer des appareils.

Lorsque cette tâche est transférée sur les appareils, le profil est supprimé de manièretransparente pour l'utilisateur.


Remarque : vous ne pouvez pas supprimer directement une stratégie de conteneur Sophosdes appareils. Veuillez utiliser l'action Désinscrire le conteneur Sophos. Cette opérationva également supprimer la stratégie associée de l'appareil.

Installer le profil d'approvisionnement

Sélectionnez un profil d'enregistrement de l'app dans la liste des profils disponibles. Retrouvezplus de renseignements sur l'ajout de profils à la liste à la section Importation des profilsd'enregistrement pour les apps iOS à la page 75.

Lorsque cette tâche est transférée sur les appareils, le profil d'enregistrement est installé demanière transparente pour l'utilisateur.

Supprimer le profil d'approvisionnement

Dans Sélectionner la source, sélectionnez les Profils puis sélectionnez un profild'enregistrement dans la liste.


Vous pouvez également supprimer un profil d'enregistrement ne figurant pas dans la liste.Sélectionnez Identifiant et saisissez l'identifiant du profil que vous voulez supprimer desappareils.

Lorsque cette tâche est transférée sur les appareils, le profil d'enregistrement est suppriméde manière transparente pour l'utilisateur.

Installation d'une app

Sélectionnez une app dans la liste des apps disponibles. Retrouvez plus de renseignementssur l'ajout d'apps à la liste à la section Ajout d'une app à la page 182.

Lorsque cette tâche est transférée sur les appareils, l'utilisateur reçoit une notification sur sonappareil lui indiquant que Sophos Mobile Control veut installer l'app. L'utilisateur peut appuyersur Installer pour démarrer l'opération ou sur Annuler pour refuser l'installation.

Si l'utilisateur refuse l'installation, la tâche échoue.

Si l'app est déjà installée sur un appareil qui reçoit la tâche, elle est mise à jour.


179


Supprimer l'app

Dans Sélectionner la source, sélectionnez Apps pour sélectionner une app à supprimer dela liste des apps disponibles.

En plus des apps disponibles sur le serveur Sophos Mobile Control, la liste inclut des appsutilisées sur les appareils administrés à l'exception des apps du système iOS.

Vous pouvez également supprimer une app ne figurant pas dans la liste. SélectionnezIdentifiant et saisissez l'identifiant du package de l'app que vous voulez supprimer desappareils.

Lorsque cette tâche est transférée sur les appareils, l'app est supprimée de manièretransparente pour l'utilisateur.


Envoyer un message

Saisissez le texte à afficher en clair sur les appareils.

Lorsque cette tâche est transférée sur les appareils, le texte du message est affiché dans lafenêtre de notification. L'utilisateur peut afficher les anciens messages sur la page Messagesde l'app Sophos Mobile Control.


Désinscrire

Lorsque cette tâche est transférée sur les appareils, ces derniers sont désinscrits de SophosMobile Control. Retrouvez plus de renseignements à la section Désinscription des appareilsà la page 57. L'utilisateur de l'appareil n'a pas besoin de confirmer l'opération.


Réinitialiser

Lorsque cette tâche est transférée sur les appareils, ces derniers sont réinitialisés sur leursparamètres d'usine. L'utilisateur de l'appareil n'a pas besoin de confirmer l'opération.

Important : il est conseillé d'utiliser ce type de tâche avec précaution. Toutes les donnéessur les appareils recevant cette tâches sont supprimées sans qu'il soit demandé à l'utilisateurde confirmer l'opération.


15.4 Duplication de séries de tâchesLa création d'une série de tâches peut être longue à effectuer. Vous avez donc la possibilitéde dupliquer des séries de tâches déjà créées. Cette fonction s'avère particulièrement utilesi plusieurs longues séries de tâches composées de tâches similaires sont nécessaires. Ainsi,vous n'avez besoin d'ajouter ou de supprimer qu'un petit nombre de tâches.

180


Remarque : les séries de tâches peuvent uniquement être dupliquées si vous ne modifiezpas la série au même moment. Les copies sont nommées « Copy of » plus le nom de l'original.Vous pouvez renommer les séries à votre guise.

1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Séries de tâches puissélectionnez Android ou Apple iOS.

La page Séries de tâches apparaît.

2. Cliquez sur le triangle bleu correspondant à la série de tâches que vous souhaitez dupliqueret cliquez sur Dupliquer.

La série de tâches est dupliquée et apparaît sur la page Séries de tâches. Vous pouvez àprésent modifier la série de tâches dupliquée comme vous le souhaitez. Pour modifier la sériede tâches, cliquez sur le triangle bleu lui correspondant et cliquez sur Modifier.

15.5 Transfert de séries de tâches aux appareils ou groupesd'appareils1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Séries de tâches puis

sélectionnez Android ou Apple iOS.

La page Séries de tâches apparaît.

2. Cliquez sur le triangle bleu correspondant à la tâche de votre choix et cliquez surTransférer.

La page Sélectionner les appareils apparaît.


■ Sélectionner les appareils individuels sur lesquels vous voulez transférer la série detâches.

■ Cliquez sur Sélectionner les groupes d'appareils pour ouvrir la page Sélectionnerles groupes d'appareils et sélectionnez un ou plusieurs groupes d'appareils surlesquels transférer la série de tâches.

4. Après avoir fait votre sélection, cliquez sur Suivant.

La page Définir la date d'exécution apparaît.

5. Sous Date planifiée, sélectionnez Maintenant ou indiquez une Date et une Heured'exécution de cette tâche.


La Vue des tâches apparaît.

La série de tâches est transférée aux appareils sélectionnés à l'heure et à la date indiquées.

181


16 AppsVous configurer les apps dans Sophos Mobile Control pour qu'elles soient disponibles pourl'installation via la console Sophos Mobile Control (effectuée par l'administrateur) ou par lebiais de l'app Sophos Mobile Control (effectuée par l'utilisateur).

Vous pouvez mettre une app à disposition dans Sophos Mobile Control d'une des manièressuivantes :

■ Téléchargez le package de l'app sur le serveur Sophos Mobile Control. Cette option n'estpas disponible sur les apps Windows Mobile.

■ Vous fournissez un lien vers l'app dans la boutique d'apps adéquate.

Retrouvez plus de renseignements sur les deux options à la section Ajout d'une app à la page182.

Pour installer une app sur un appareil, créez une série de tâches contenant la tâche Installerl'app. Pour les appareils Android et iOS, vous pouvez créer ces séries de tâches directementà partir de la page Apps. Retrouvez plus de renseignements à la section Installation d'uneapp à la page 184.

Remarque :

Pour pouvoir installer les packages de l'app stockés sur le serveur Sophos Mobile Control (àla différence de l'installation à partir de la boutique d'apps), les conditions suivantes doiventêtre respectées :

■ Sur Android, le paramètre de sécurité Sources inconnues doit être activé sur les appareils.Si vous essayez d'installer un fichier APK lorsque le paramètre Sources inconnues estdésactivé, l'app Sophos Mobile Control redirige l'utilisateur sur la page depuis laquelle ilpourra activer le paramètre. Cette restriction ne s'applique pas aux appareils avec LGGATE, Samsung Knox ou Sony Enterprise API.

■ Sur iOS, l'installation des apps à partir des fichiers IPA est uniquement possible pour lesapps développées en interne. Lorsque l'app est prête à être distribuée, veuillez créer unprofil d'enregistrement pour l'app et la mettre à disposition sur les appareils soit en l'ayantinstallée séparément auparavant soir en l'ayant incluse au fichier IPA de l'app.Vous pouvezutiliser Sophos Mobile Control pour distribuer les profils d'enregistrement sur vos appareilsiOS. Retrouvez plus de renseignements à la section Importation des profils d'enregistrementpour les apps iOS à la page 75. Retrouvez plus de renseignements sur les profilsd'enregistrement sur iOS Developer Library.

16.1 Ajout d'une appVous pouvez rendre une app disponible à l'installation soit en téléchargeant le package decette app soit en mettant à disposition un lien vers cette app dans la boutique d'apps adéquate.

1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Apps et sélectionnez laplate-forme sur laquelle vous souhaitez ajouter l'app.

2. Sur la page Apps, cliquez sur Ajouter une app et sélectionnez :

■ Package Android ou Package iOS pour ajouter l'app en téléchargeant le fichier APK(pour les apps Android) ou le fichier IPA (pour les apps iOS).

■ Lien Android, Lien iOS ou Lien Windows Mobile pour ajouter l'app en mettant àdisposition un lien vers cette app dans la boutique d'apps adéquate.

182


Sur la page suivante, veuillez configurer les détails de l'app.

Remarque : pour les liens iOS, vous pouvez cliquer sur Rechercher dans iTunes pourrechercher l'app dans la base de données iTunes. Lorsque vous sélectionnez une app dansla liste des résultats de la recherche, les champs adéquats de la page Modification du lieniOS seront remplis automatiquement avec les valeurs provenant d'iTunes.

3. Saisissez un Nom pour la nouvelle app.

4. Facultatif - Pour les packages d'app, veuillez saisir une Version qui est disponible dansla Boutique d'apps d'entreprise.

Pour les liens vers les apps, la version affichée est celle de Google Play Store ou del'App Store. Dans la boutique des apps d'entreprise, cette version est remplacée par laversion actuelle de la boutique d'apps.

5. Facultatif - dans le champ Identifiant d'app, vous pouvez saisir l'identifiant interne del'app.

Ne renseignez pas ce champ si vous ne connaissez pas le nom exact de l'identifiant. Dansla majorité des cas, Sophos Mobile Control lit la valeur de l'app et remplit ce champautomatiquement.

6. Facultatif - Dans le champ Catégorie d'app, saisissez un nom de catégorie comme parexemple Conseillée.

Lorsque vous mettez une app à disposition dans la boutique Enterprise App Storeconformément aux instructions ci-dessous, l'app apparaîtra sous ce nom dans une section.

7. Vous pouvez mettre l'app à disposition dans la boutique Enterprise App Store afin quel'utilisateur puisse l'installer. Cliquez sur Afficher près du champ Disponible pour lesgroupes d'appareils et sélectionnez un ou plusieurs groupes d'appareils pour lesquelsl'app figurera dans la boutique Enterprise App Store.

8. Pour les appareils iOS, lorsque vous sélectionnez Installation administrée de SMCpermet d'installer l'app en tant qu'app administrée.

Certains paramètres du profil d'appareil sont uniquement disponibles pour les appsadministrées.

Remarque : le paramètre Installation administrée de SMC affecte uniquement les appsinstallées par l'utilisateur à partir de la boutique d'apps d'entreprise. Les apps que vousinstallez à partir de la console Sophos Mobile Control sont toujours administrées.

Retrouvez plus de renseignements sur les apps administrées à la section Apps administréespour iOS à la page 185.

9. Facultatif - Dans le champ Description, saisissez une description qui sera affichée dansla boutique des apps d'entreprise.

Remarque : vous pouvez utiliser l'espace réservé %_appstoretext_% partout où vousle souhaitez dans la description. Dans la boutique des apps d'entreprise, il sera remplacépar la description actuelle de l'app issue de Google Play ou de l'App Store.

10. Cliquez sur le bouton Afficher du champ Systèmes d'exploitation et sélectionnez lesversions du système d'exploitation auquel l'app doit s'appliquer.

11. Pour les appareils Samsung Knox, lorsque vous sélectionnez Installer dans le conteneurKnox, l'app sera installée dans le conteneur Knox.

Cette option est uniquement disponible lorsqu'une clé de licence Samsung Knox Premiumconfigurée sur la page Configuration du système.

183


12. Configurez la provenance de l'app.

■ Pour les liens vers les apps, saisissez l'URL de l'app à partir de la boutique d'appsadéquates dans le champ Lien.

Pour déterminer l'URL, cliquez sur le lien se trouvant en-dessous du champ Lien pourouvrir la boutique d'app dans un nouvel onglet de votre explorateur et rendez-vous surla page de l'app. Copiez ensuite l'URL à partir de la barre d'adresse de l'onglet dunavigateur et copiez la dans le champ Lien.

■ Pour les packages d'app, cliquez sur Télécharger un fichier pour télécharger l'appsur le serveur Sophos Mobile Control. Naviguez jusqu'au fichier APK (pour les appsAndroid) ou jusqu'au fichier IPA (pour les apps iOS) et cliquez sur Ouvrir.

Remarque :

La taille du fichier du package ne doit pas dépasser une certaine limite.

Pour les installations locales, votre super administrateur défini la limite à ne pasdépasser. Pour la version SaaS de Sophos Mobile Control, cette limite est fixée à100 Mo par package.

13. Lorsque vous avez configuré les détails de l'app, cliquez sur Enregistrer pour enregistrerles paramètres de l'app et revenir sur la page Apps.

L'app est prête à être installée. Elle apparaît sur la page Apps. Si vous avez configuré lachamp Disponible pour les groupes d'appareils, l'app apparaît également dans la boutiqueEnterprise App Store de l'app Sophos Mobile Control à partir de laquelle les utilisateurspeuvent l'installer. Le processus d'installation nécessite peu ou pas d'intervention de la partde l'utilisateur.

16.2 Installation d'une appRemarque : cette section s'applique uniquement aux appareils Android et iOS.

Lorsque vous avez ajouté une app dans Sophos Mobile Control conformément aux instructionsde la section Ajout d'une app à la page 182, vous pouvez l'installer manuellement sur lesappareils ou groupes d'appareils sélectionnés.

1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Apps puis sur Android ou AppleiOS.

2. Sur la page Apps, cliquez sur le triangle bleu correspondant à l'app de votre choix etcliquez sur Installer.

3. Sélectionnez les appareils sur lesquels vous voulez installer l'app. Procédez de l'une desmanières suivantes :

■ Sélectionnez chaque appareil individuellement.■ Cliquez sur Sélectionner les groupes d'appareils et sélectionnez un ou plusieurs



4. Sur la page Définir la date d'exécution, indiquez la date à laquelle l'app sera installée :

■ Sélectionnez Maintenant pour une exécution immédiate.■ Sélectionnez Date et saisissez une date et une heure pour l'exécution planifiée.


L'app sélectionnée est installée sur les appareils sélectionnés à l'heure indiquée.

184


Sur les appareils iOS supervisés et sur les appareils Android sur lesquels l'app SophosSamsung est installée, les apps sont installées silencieusement, c'est-à-dire sans aucuneintervention de l'utilisateur.

16.3 Désinstallation de l'appRemarque : cette section s'applique uniquement aux appareils Android et iOS.

Lorsque vous avez ajouté une app dans Sophos Mobile Control conformément aux instructionsde la section Ajout d'une app à la page 182, vous pouvez la désinstaller manuellement desappareils ou groupes d'appareils sélectionnés.

1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Apps puis sur Android ou AppleiOS.

2. Sur la page Apps, cliquez sur Désinstaller.

3. Sélectionnez les appareils desquels vous voulez désinstaller l'app. Procédez de l'une desmanières suivantes :




4. Sur la page Sélectionner une app, sélectionnez l'app requise.

5. Sur la page Définir la date d'exécution, indiquez la date à laquelle l'app sera désinstallée :



L'app sélectionnée est désinstallée des appareils sélectionnés à l'heure indiquée.

Les apps administrées sur les appareils iOS supervisés sont désinstallées silencieusement,c'est-à-dire sans aucune intervention de l'utilisateur.

Info : vous pouvez également choisir de suivre la procédure de désinstallation de l'app d'unseul appareil décrite ci-dessous : Ouvrez la page Affichage de l'appareil et dans l'ongletApps installées, cliquez sur la corbeille correspondant au nom de l'app.

16.4 Apps administrées pour iOSPour les apps iOS que vous ajoutez à Sophos Mobile Control, vous pouvez choisir d'installerl'app pour qu'elle soit administrée ou non administrée sur les appareils de l'utilisateur.

Les apps administrées ont les caractéristiques suivantes :

■ Lorsque les utilisateurs sélectionnent une app administrée dans la boutique d'appsd'entreprise, une tâche d'installation est créée et traitée dans Sophos Mobile Control.Inversement, lorsque les utilisateurs sélectionnent une app non administrée, ils sontredirigés vers l'App Store d'Apple pour installer l'app depuis cet emplacement.

■ Vous pouvez désinstaller les apps administrées directement depuis la console SophosMobile Control. En revanche, ceci n'est pas possible pour les apps non administrées.

■ Sur les appareils iOS supervisés, les apps administrées sont installées et désinstalléessans qu'aucune intervention de l'utilisateur ne soit requise.

185


■ Certains paramètres des profils d'appareil iOS sont uniquement disponibles pour les appsadministrées.

■ Lorsqu'un appareil iOS est désinscrit de Sophos Mobile Control, toutes les appsadministrées sont automatiquement supprimées de l'appareil. Les apps non administréesdemeurent sur l'appareil.

Les règles suivantes déterminent si une app est installée pour être administrée ou nonadministrée :

■ Les apps que vous installez à partir de la console Sophos Mobile Control sont toujoursadministrées.

■ Les apps que l'utilisateur installe à partir de l'App Store sont toujours non administrées.

■ Les apps que l'utilisateur installe à partir de la boutique d'apps d'entreprise sontadministrées si vous avez activé le paramètre Installation administrée de SMC dans lespropriétés de l'app conformément aux instructions de la section Ajout d'une app à la page182.

Pour vérifier l'état d'une app sur un appareil, ouvrez la page Affichage de l'appareil de cetappareil et allez dans l'onglet Apps installées. Retrouvez plus de renseignements à la sectionPage Affichage de l'appareil à la page 58.

Info : si un utilisateur a installé une app non administrée, vous pouvez la convertir en appadministrée. Pour cela, configurez l'app dans Sophos Mobile Control en tant qu'app administréeet créez une tâche d'installation pour cette app. L'app étant déjà installée, elle ne sera pasréinstallée. En revanche, son état va passer de non administré à administré.

16.5 Gestion des apps achetées avec le Programme d'achaten volume d'AppleGrâce au Programme d’achat en volume d'Apple, vous avez la possibilité d'acheter des appsiOS en volume afin de les distribuer dans votre entreprise.

Dès que vous avez passé votre commande par l’intermédiaire du Programme d’achat envolume d'Apple, vous pouvez télécharger un sToken (token de services) contenant les licencesdes apps que vous avez achetées.

Sophos Mobile Control vous permet de distribuer les licences incluses dans le sToken auxutilisateurs en les invitant à devenir des utilisateurs agréés du Programme d'achat en volumed'Apple. Lorsque les utilisateurs ont accepté leur invitation, ils deviennent des utilisateurs duProgramme d'achat en volume agréés et vous pouvez leur assigner les apps du Programmed'achat en volume. Les utilisateurs peuvent installer les apps du Programme d'achat en volumeassignées sur leurs appareils à l'aide d'iTunes.

Vous pouvez également assigner les apps du Programme d'achat en volume aux appareilsà partir d'iOS 9. Vous n'avez pas besoin d'inviter les appareils au Programme d'achat envolume. Vous installez une app du Programme d'achat en volume sur un appareil via SophosMobile Control.

La procédure d'invitation des utilisateurs à devenir des utilisateurs du Programme d'achat envolume agréés varie selon que vous utilisiez la gestion des utilisateurs internes ou externesde Sophos Mobile Control. Les instructions de les sections suivantes abordent les deux casde figure.

Retrouvez plus de renseignements sur la gestion des utilisateurs internes et externes dansle Guide du super administrateur de Sophos Mobile Control (anglais).

186



Retrouvez plus de renseignements sur l'inscription au Programme d’achat en volume d'Appleet sur son utilisation sur http://www.apple.com/fr/business/vpp/.

Retrouvez plus de renseignements sur la manière d'assigner les apps du Programme d'achaten volume aux utilisateurs ou aux appareils aux sections Assignation automatique des appsdu Programme d'achat en volume à la page 190 et Assignation manuelle des apps duProgramme d'achat en volume à la page 190.

16.5.1 Création d'un sToken du Programme d'achat en volume

Pour fournir des licences pour les apps achetées via le Programme d'achat en volume d'Appledans Sophos Mobile Control, veuillez créer un sToken (token de services).


2. Sur la page Configuration du système, cliquez sur l'onglet Apple VP.

3. Cliquez sur le lien du Portail du Programme d’achat en volume iTunes.

Le portail Web du Programme d’achat en volume va s'ouvrir dans une nouvelle fenêtrede navigation.

4. Sur cette page, sélectionnez Entreprise.

5. Sur la page Connexion au Store Entreprises, saisissez votre identifiant Apple et votremot de passe.

6. Allez sur la page Résumé de votre compte et cliquez sur Télécharger un jeton.

Le sToken est généré et enregistré sur votre ordinateur local dans un fichier texte avecl'extension .vpptoken en utilisant les paramètres de téléchargement de votre navigateurWeb.

7. Facultatif - Déplacez le fichier sToken à un emplacement accessible à partir de la consoleSophos Mobile Control.

8. Retournez dans l'onglet Apple VPP de la console Sophos Mobile Control, cliquez surTélécharger un fichier, sélectionnez le fichier sToken et cliquez ensuite sur Ouvrir.

Sophos Mobile Control lit le fichier et remplit les champs Entreprise et Expire le à partirdes informations du sToken.

9. Dans la liste Assigner automatiquement les apps VPP à l'installation, vous pouvezconfigurer l'assignation automatique des apps du Programme d'achat en volume d'Apple(VPP). Retrouvez plus de renseignements à la section Assignation automatique des appsdu Programme d'achat en volume à la page 190.

10. Facultatif - Remplissez les champs restants sur l'onglet Apple VPP.

Dans le champ Pays, saisissez votre code pays à deux lettres, par exemple US pour lesÉtats-Unis.


Remarque : lorsque le sToken approche sa date d'expiration, Sophos Mobile Control envoieplusieurs emails de rappel à tous les administrateurs du client concerné 30 jours avant ladate d'expiration.

187


http://www.apple.com/fr/business/vpp/

16.5.2 Invitation d'utilisateurs au Programme d'achat en volume d'Apple

Veuillez créer un sToken avant d'inviter des utilisateurs au Programme d'achat en volumed'Apple. Retrouvez plus de renseignements à la section Création d'un sToken du Programmed'achat en volume à la page 187.


2. Sur la page Affichage des utilisateurs, vous pouvez inviter les utilisateurs individuellementou tous les utilisateurs au Programme d'achat en volume d'Apple.

■ Pour inviter tous les utilisateurs :

1. Cliquez sur Inviter des utilisateurs au Programme d'achat en volume d'Appleen haut de la page Affichage des utilisateurs.

2. Cliquez sur Oui dans la boîte de dialogue de confirmation.

■ Pour inviter un seul utilisateur :

1. Cliquez sur le nom d'utilisateur de votre choix.2. Sur la page Affichage de l'utilisateur, cliquez sur Inviter un utilisateur au

Programme d'achat en volume.3. Cliquez sur Oui dans la boîte de dialogue de confirmation.

■ Pour inviter un seul utilisateur lorsque vous utilisez la gestion des utilisateurs externeset que l'utilisateur n'a pas encore inscrit d'appareils :

1. Cliquez sur Rechercher et inviter un utilisateur au Programme d'achat en volumed'Apple en haut de la page Affichage des utilisateurs.

2. Dans la boîte de dialogue Rechercher un utilisateur, recherchez l'utilisateur soitpar nom soit par adresse électronique.

3. Dans la liste de résultats de la recherche, sélectionnez l'utilisateur que vous voulezinviter au Programme d'achat en volume d'Apple.


Sophos Mobile Control envoie un email d'invitation à tous les utilisateurs concernés.

Les utilisateurs doivent cliquer sur le lien dans leur email d'invitation pour connecter leurcompte Apple iTunes au Programme d'achat en volume d'Apple. Ils pourront ensuite installeret utiliser les apps dont les licences ont été fournies par votre entreprise.

Remarque :

Lorsque vous utilisez la gestion des utilisateurs externes et que vous invitez tous les utilisateursau Programme d'achat en volume d'Apple, les utilisateurs n'ayant pas d'adresse électroniqueassignée sont enregistrés au Programme d'achat en volume d'Apple mais ne reçoivent pasde lien pour connecter leur compte Apple iTunes au Programme d'achat en volume d'Apple.

Retrouvez plus de renseignements sur la manière de procéder au processus d'enregistrementau Programme d'achat en volume dans ce cas de figure à la section Invitation des utilisateurssans adresse électronique au Programme d'achat en volume d'Apple à la page 188.

16.5.3 Invitation des utilisateurs sans adresse électronique au Programmed'achat en volume d'Apple

Condition préalable : cette procédure nécessite l'utilisation d'un compte super administrateuret donc ne s'applique pas à la version SaaS de Sophos Mobile Control.

188


Lorsque vous invitez des utilisateurs à partir d'un annuaire d'utilisateurs externes auProgramme d'achat en volume d'Apple conformément aux instructions de la section, Invitationd'utilisateurs au Programme d'achat en volume d'Apple à la page 188, les utilisateurs n'ayantpas d'adresse électronique assignée seront enregistrés au Programme d'achat en volumed'Apple mais ne recevront pas de lien pour connecter leur compte Apple iTunes au Programmed'achat en volume d'Apple.

Dans ce cas, effectuez les étapes suivantes pour terminer le processus d'enregistrement auProgramme d'achat en volume d'Apple.

1. En tant que super administrateur de Sophos Mobile Control, téléchargez les fichiersjournaux du serveur.

Retrouvez plus de renseignements dans le Guide du super administrateur de SophosMobile Control (anglais).

2. Identifiez les comptes d'utilisateur affectés dans les fichiers journaux.

3. Sur le menu latéral de la console Sophos Mobile Control sous GESTION, cliquez surUtilisateurs.

4. Sur la page Affichage des utilisateurs, cliquez sur l'un des noms d'utilisateur affectés.

5. Sur la page Affichage de l'utilisateur, cliquez sur Afficher le lien d'invitation.

Pour les utilisateurs externes sans adresse électronique, cette fonction n'envoie pas d'emaild'invitation mais affiche le lien d'invitation dans une boîte de dialogue.

6. Copiez le lien figurant dans cette boîte de dialogue et communiquez le à l'utilisateur.

7. Répétez cette procédure pour tous les utilisateurs affectés.

Les utilisateurs doivent cliquer sur ce lien pour connecter leur compte Apple iTunes auProgramme d'achat en volume d'Apple.

16.5.4 Gestion des utilisateurs du Programme d'achat en volume d'Apple

Lorsque vous avez créé un sToken du Programme d'achat en volume d'Apple conformémentaux instructions de la section Création d'un sToken du Programme d'achat en volume à lapage 187, la page Affichage de l'utilisateur de chaque utilisateur affichera une sectionProgramme d'achat en volume d'Apple.

Cette section vous permet d'effectuer les tâches suivantes pour afficher ou modifier l'état duProgramme d'achat en volume d'Apple de l'utilisateur :

■ Afficher l'état de l'utilisateur du Programme d'achat en volume d'Apple. Il peut s'agir de :

■ Non enregistré : l'utilisateur n'a pas été invité au Programme d'achat en volume d'Apple.

■ Enregistré : l'utilisateur a été invité au Programme d'achat en volume d'Apple maisn'a pas connecté son compte Apple iTunes au Programme d'achat en volume d'Apple.

■ Associé : l'utilisateur a connecté son compte Apple iTunes au Programme d'achat envolume d'Apple et peut installer les apps du Programme d'achat en volume.

■ Afficher les apps du Programme d'achat en volume d'Apple que l'utilisateur a installé.

■ Inviter l'utilisateur au Programme d'achat en volume d'Apple en cliquant sur Inviter unutilisateur au Programme d'achat en volume.

Dans la majorité des cas, un email avec un lien d'invitation est envoyé à l'utilisateur. Si lecompte de l'utilisateur ne contient pas d'adresse électronique, un lien d'invitation est affichédans une boîte de dialogue.

■ Envoyer un autre email d'invitation si l'utilisateur n'a pas reçu ou a perdu l'email originalen cliquant sur Renvoyer l'email d'invitation.

189




■ Désabonner l'utilisateur du Programme d'achat en volume d'Apple en cliquant surSupprimer l'abonnement au Programme d'achat en volume.

16.5.5 Assignation automatique des apps du Programme d'achat en volume

Par défaut, les apps que vous avez achetées sur le Programme d'achat en volume d'Apple(VPP) sont automatiquement assignées à l'appareil sur lequel l'app est installée. Si l'appareilne prend pas en charge l'assignation des apps du Programme d'achat en volume, l'app estassignée à l'utilisateur qui est assigné à l'appareil.

Remarque : pour pouvoir prendre en charge l'assignation des apps du Programme d'achaten volume, l'appareil doit être à l'état administré et utiliser iOS 9 ou version supérieure.

Vous pouvez inverser l'ordre de priorité et privilégier l'assignation à l'utilisateur à l'assignationà l'appareil. Vous pouvez également désactiver l'assignation automatique et assigner lesapps du Programme d'achat en volume manuellement. Retrouvez plus de renseignementsà ce sujet à la section Assignation manuelle des apps du Programme d'achat en volume à lapage 190.

L'assignation automatique des apps du Programme d'achat en volume est configurée parclient.


2. Sur la page Configuration du système, cliquez sur l'onglet Apple VP.

3. Dans la liste Assigner automatiquement les apps VPP à l'installation, sélectionnezl'option désirée :

■ Préférablement à l'appareil : si l'appareil est compatible, l'app du Programme d'achaten volume est assignée à l'appareil. Autrement, le Programme d'achat en volume estassigné à l'utilisateur qui est assigné à l'appareil. Si aucun utilisateur n'est assigné àl'appareil, l'assignation de l'app échoue.

■ Préférablement à l'utilisateur : si un utilisateur est assigné à l'appareil, l'app duProgramme d'achat en volume est assignée à cet utilisateur. Autrement, l'app estassignée à l'appareil. Si l'appareil ne la prend pas en charge, l'assignation des appséchouera.

■ Désactivé : les apps du Programme d'achat en volume ne sont pas assignéesautomatiquement. Si vous sélectionnez cette option, les apps du Programme d'achaten volume doivent être assignées manuellement.

16.5.6 Assignation manuelle des apps du Programme d'achat en volume

Cette section décrit l'assignation manuelle de chacune des apps du Programme d'achat envolume. Par défaut, les apps que vous avez achetées sur le Programme d'achat en volumed'Apple (VPP) sont automatiquement assignées à l'appareil sur lequel l'app est installée.Retrouvez plus de renseignements à la section Assignation automatique des apps duProgramme d'achat en volume à la page 190.

Vous pouvez assigner aux utilisateurs ou aux appareils des apps que vous avez achetéesvia le Programme d'achat en volume (VPP). Après avoir assigné une app du Programmed'achat en volume aux utilisateurs associés au Programme d'achat en volume d'Apple, ceux-cipeuvent l'installer sur tous les appareils iOS associés à leur Identifiant Apple. Après avoirassigné une app du Programme d'achat en volume aux appareils, vous pouvez la déployersur les appareils via Sophos Mobile Control.

190


Pour assigner une app du Programme d'achat en volume aux utilisateurs ou aux appareils :

1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Apps > Apple iOS.

La page Apps s'ouvre et affiche une liste de toutes les apps que vous avez ajoutées àSophos Mobile Control.

2. Pour ajouter des apps que vous avez achetées via le Programme d'achat en volume à laliste des apps, cliquez sur Importation d'apps du Programme d'achat en volume.

Cette opération va récupérer les informations sur l'app à partir du serveur du Programmed'achat en volume d'Apple et va créer des entrées d'app dans Sophos Mobile Control sinécessaire.

3. Cliquez sur le triangle bleu correspondant à l'app du Programme d'achat en volume auque vous souhaitez assigner aux utilisateurs ou aux appareils et cliquez sur Modifier.

4. Sur la page Modification du lien iOS, cliquez sur le bouton Afficher situé à côté del'option Licences du Programme d'achat en volume.

La boîte de dialogue Licences du Programme d'achat en volume s'ouvre.

5. Pour assigner une app à un ou plusieurs utilisateurs, cliquez sur Utilisateurs duProgramme d'achat en volume et sélectionnez les utilisateurs requis.

La liste contient tous les utilisateurs qui sont enregistrés ou associés au Programme d'achaten volume d'Apple.

6. Pour assigner une app à un ou plusieurs appareils, cliquez sur Appareils et sélectionnezles appareils requis.

La liste contient tous les appareils à partir d'iOS 9 à l'état Administré.

7. Cliquez sur Appliquer pour confirmer les modifications et fermer la boîte de dialogueLicences du Programme d'achat en volume.

8. Cliquez sur Enregistrer pour enregistrer vos modifications et pour synchroniser l'assignationde l'app avec le serveur du Programme d'achat en volume d'Apple.

Info : pour annuler les modifications que vous avez apportées dans la boîte de dialogueLicences du Programme d'achat en volume, cliquez sur Appliquer pour fermer la boîtede dialogue et cliquez sur Précédent pour quitter la page Modification du lien iOS sansenregistrer les modifications dans la base de données.

Pour installer l'app assignée sur un appareil :

■ Dès que l'app a été assignée aux utilisateurs, elle est répertoriée dans la liste de la vueAchats de l'app iTunes sur leurs appareils. Les utilisateurs peuvent l'installer depuis cetemplacement.

■ Dès que l'app est assignée aux appareils, vous pouvez l'installer via Sophos Mobile Control.Retrouvez plus de renseignements à la section Installation d'une app à la page 184.

Pour retirer l'assignation d'une app :

■ Ouvrez la boîte de dialogue Licences du Programme d'achat en volume comme expliquéprécédemment et effacez la sélection des utilisateurs ou appareils requis.

Remarque : l'état des apps du Programme d'achat en volume étant administré par le serveurdu Programme d'achat en volume d'Apple, vous allez devoir patienter quelque temps avantde voir les modifications que vous avez apportées dans Sophos Mobile Control sur lesappareils.

191


16.5.7 Synchronisation des informations sur la licence du Programmed'achat en volume

Pour des raisons de performances, Sophos Mobile Control conserve une copie locale desinformations sur la licence du Programme d'achat en volume. Vous pouvez forcer SophosMobile Control à synchroniser ses données du Programme d'achat en volume avec le serveurdu Programme d'achat en volume d'Apple.

Remarque : vous avez uniquement besoin de synchroniser les données du Programmed'achat en volume si les informations sur la licence d'une app affichées sont incorrectes.

1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration dusystème, puis sur l'onglet Apple VPP.

2. Cliquez sur Effacer le cache du VPP.

Sophos Mobile Control rejette les informations du Programme d'achat en volume local etsynchronise les données avec le serveur du Programme d'achat en volume d'Apple.

Remarque : retrouvez plus de renseignements sur l'affichage des informations sur la licenced'une app du Programme d'achat en volume à la section Assignation manuelle des apps duProgramme d'achat en volume à la page 190.

16.6 Configuration de la connexion VPN via l'app et desparamètres pour les apps iOSPour les apps iOS, vous pouvez sélectionner une connexion VPN via l’app pour prendre encharge la fonction iOS Connexion VPN via l’app. Cette fonction permet de configurer lesapps pour qu'elles se connectent automatiquement à VPN dès qu'elles sont lancées. Vouspouvez également configurer les paramètres de l'app qui sera déployée sur l'appareil pendantl'installation de l'app.

Conditions préalables :

■ Pour pouvoir sélectionner une connexion VPN via l'app, veuillez définir une configurationConnexion VPN via l’app dans un profil de configuration iOS. Retrouvez plus derenseignements à la section Configuration de la Connexion VPN via l’app (profil d'appareiliOS) à la page 135.

■ Pour pouvoir définir les paramètres, vous devez connaître le paramètre requis et le typede paramètre.

1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Apps puis sur Apple iOS.

2. Sur la page Apps, cliquez sur le triangle bleu correspondant à l'app de votre choix etcliquez sur Modifier.

3. Sur la page Modification du lien iOS ou Modification du package iOS, cliquez surAfficher dans le champ Paramètres et VPN.

4. Sur la page Modification des paramètres et de VPN, sélectionnez la configuration requiseà partir de la liste déroulante Connexion VPN via l’app pour définir le réseau VPN àlaquelle l'app est supposée se connecter.

5. Pour ajouter des paramètres administrés, cliquez sur Créer un paramètre.

192


6. Dans la boîte de dialogue Paramètre de configuration, procédez de la manière suivante :

a) Dans le champ Paramètre, saisissez le paramètre requis (par exemple SMC_URL).

b) Dans le champ Valeur, saisissez la valeur du paramètre requise (par exemplesmc.sophos.com).

c) Dans la liste Type, sélectionnez le type de paramètre : String, Bool, Integer ou Real.

d) Cliquez sur Appliquer.

La série de paramètres administrés s'affiche sur la page Modification des paramètreset de VPN.

7. Sur la page Modification des paramètres et de VPN, cliquez sur Appliquer.


La connexion VPN via l'app sélectionnée sera utilisée dès que l'app se connectera à VPN.Les paramètres seront communiqués aux appareils lors de l'installation de l'app.

193


17 Groupes d'appsSophos Mobile Control vous permet de créer des groupes d'apps afin de définir une listed'apps pour les profils, les stratégies et les règles de conformité.

Les groupes d'apps sont utilisés dans les paramètres suivants :

■ La configuration de la Protection des apps des profils d'appareil Android.

■ La configuration du Contrôle des apps des profils d'appareil Android.

■ La configuration des Restrictions des profils d'appareil Android, des profils d'appareil iOSet des profils de conteneur Knox.

■ La configuration des Restrictions d'app des stratégies Windows Mobile.

■ Les règles de conformité pour définir des listes d'apps autorisés, interdites et obligatoires.

17.1 Création d'un groupe d'apps1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Groupes d'apps et sélectionnez

la plate-forme sur laquelle vous souhaitez créer le groupe.

2. Sur la page Groupes d'apps, cliquez sur Créer un groupe d'apps.

3. Sur la page Modification du groupe d'apps, saisissez un Nom pour le nouveau grouped'apps et cliquez sur Ajouter une app.

4. Dans la boîte de dialogue Modification de l'app, vous pouvez soit sélectionner une appà partir d'une liste, soit saisir les données d'app personnalisées.

■ Pour sélectionner une app dans la liste, cliquez sur Liste des apps et sélectionnezune app dans la liste de toutes les apps qui sont actuellement installées sur les appareilsadministrés pour la plate-forme que vous avez sélectionnée.

■ Pour saisir les données d'app personnalisées d'une app Android, cliquez surPersonnaliser et configurer les informations suivantes :

■ Nom de l'app : un nom arbitraire utilisé pour identifier l'app.

■ Identifiant : le nom du package de l'app. Le nom du package peut être récupéré àpartir de l'URL de l'app dans Google Play. Par exemple, pour l'app Android deSophos Mobile Control, l'URL de Google Play esthttps://play.google.com/store/apps/details?id=com.sophos.mobilecontrol.client.androidet le nom du package est com.sophos.mobilecontrol.client.android.

■ Pour saisir les données d'app personnalisées d'une app iOS, cliquez sur Personnaliseret configurer les informations suivantes :


■ Identifiant : l'identifiant du package de l'app.

194


■ Pour saisir les données d'app personnalisées d'une app Windows Mobile, cliquez surPersonnaliser et configurer les informations suivantes :


■ Lien : l'URL de l'app dans la Boutique Windows. Par exemple, L'URL de l'appWindows de Sophos Mobile Control dans la Boutique Windows esthttps://www.microsoft.com/fr-fr/store/apps/mobile-control/9nblggh0g04v.

■ GUID : si vous connaissez le GUID de l'app, vous pouvez le saisir à la place dulien. Autrement, ne remplissez pas ce champ.

5. Après avoir sélectionné une app dans la liste ou saisi des données d'app personnalisées,cliquez sur Ajouter pour l'ajouter au groupe d'apps.

6. Facultatif - ajoutez plus d'apps au groupe d'apps.

7. Lorsque vous êtes prêt, cliquez sur Enregistrer pour enregistrer le groupe d'apps.

17.2 Importation d'un groupe d'appsVous pouvez créer un groupe d'apps en important un fichier CSV (valeurs séparées parvirgules) encodé en UTF-8 contenant jusqu'à 10 000 apps.


Info : un modèle de fichier contenant les noms de colonne corrects et leur ordre est disponibleau téléchargement sur la page Importer les apps.

Pour importer les apps à partir d'un fichier CSV et les ajouter à un groupe d'apps :

1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Groupes d'apps et sélectionnezla plate-forme sur laquelle vous souhaitez créer le groupe.

2. Sur la page Groupes d'apps, cliquez sur Créer un groupe d'apps.

3. Sur la page Modification du groupe d'apps, saisissez un Nom pour le nouveau grouped'apps et cliquez sur Importer les apps.

4. Sur la page Importer les apps, cliquez sur Télécharger un fichier et naviguez jusqu'aufichier CSV que vous avez préparé.



6. Cliquez sur Terminer pour ajouter les apps au groupe d'apps.

7. Sur la page Modification du groupe d'apps, cliquez sur Enregistrer.

195


18 Documents professionnelsRemarque : cette fonction nécessite l'utilisation d'une licence SMC Advanced.

Dans Sophos Mobile Control, vous pouvez télécharger les fichiers que vous souhaitez distribuersur les appareils de vos utilisateurs.

■ Les documents gérés dans Sophos Mobile Control sont automatiquement ajoutés dansl'emplacement de stockage Documents professionnels de Sophos Secure Workspace.

■ Dans l'emplacement de stockage Documents professionnels sur l'appareil, la Catégoriepouvant être définie pour chaque document est indiquée sous la forme d'un dossier.

■ Si Sophos Secure Workspace n'est pas administré par Sophos Mobile Control,l'emplacement de stockage Documents professionnels n'est pas visible.

■ Les documents dans Documents professionnels sont en lecture seule. Ils ne peuventpas être modifiés dans Sophos Secure Workspace, ni téléchargés à nouveau.

Pour distribuer les documents professionnels

1. Installez l'app Sophos Secure Workspace sur les appareils. Retrouvez plus derenseignements à la section Apps à la page 182.

2. Assignez une stratégie de conteneur Sophos avec une configuration Documentsprofessionnels.

3. Téléchargez les documents dans Sophos Mobile Control

18.1 Ajout de Documents professionnelsCondition préalable : vous avez activé une licence SMC Advanced.

Pour distribuer des documents sur les appareils :

1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Documents.

La page Documents apparaît.

2. Cliquez sur Ajouter un document.

La page Modifier un document apparaît.

3. Saisissez une catégorie pour le document.

■ La Catégorie correspond au nom du dossier dans lequel le document est affiché dansl'emplacement de stockage Documents professionnels sur l'appareil.

■ Plusieurs fichiers peuvent avoir la même Catégorie.

■ Si vous ne remplissez pas ce champ, le fichier sera affiché dans le dossier racine desDocuments professionnels.

196


4. Pour définir les paramètres du document :

■ Sélectionnez l'option Copier dans le Presse-papiers pour autoriser les utilisateurs àcopier le document dans le Presse-papiers.

■ Sélectionnez l'option Partager un document pour autoriser les utilisateurs à partagerle document.

■ Sélectionnez Utiliser le document hors ligne pour autoriser les utilisateurs à créerun Favori pour le document.

Lorsqu'un document en clair provenant des Documents professionnels est ajoutéen tant que Favori, il est stocké et chiffré dans l'app Sophos Secure Workspace.Lorsque le partage du document est autorisé, le fichier favori chiffré est automatiquementdéchiffré avant d'être transféré vers d'autres apps. Si vous décochez la case Utiliserle document hors ligne et que les utilisateurs disposent déjà de copies hors connexion,le fichier stocké dans les Favoris de Sophos Secure Workspace sur les appareilsadministrés sera automatiquement supprimé à la prochaine synchronisation.

5. Cliquez sur le bouton Afficher situé à côté de Groupes assignés et sélectionnez le groupeautorisé à accéder au document.

6. Saisissez une Description pour le document.

7. Cliquez sur Télécharger un fichier et naviguez jusqu'au document. Sélectionnez-le etcliquez sur Ouvrir.

La taille du fichier du document ne doit pas dépasser une certaine limite.

Pour les installations locales, votre super administrateur défini la limite à ne pas dépasser.Pour la version SaaS de Sophos Mobile Control, cette limite est fixée à 5 Mo par document.

8. Répétez cette étape pour chaque document que vous voulez distribuer.

Le document est ajouté à la liste des documents. Il est distribué aux utilisateurs qui peuventle consulter dans l'app Sophos Secure Workspace.

197


19 Android for WorkAndroid for Work est un programme de Google permettant de séparer les données personnellesdes données professionnelles sur un appareil Android.

Si vous avez inscrit votre entreprise à Android for Work, vous pouvez configurer SophosMobile Control en tant que fournisseur EMM (Enterprise Mobility Management) tiers pourvotre domaine Android for Work.

Android for Work permet différents modes de déploiement. Sophos Mobile Control utilise lemode BYOD (bring your own device) :

■ Les utilisateurs doivent créer un profil professionnel sur leurs appareils.

■ Le profil professionnel sera relié au profil de l'appareil principal, c'est-à-dire, le profilpersonnel afin que le contenu soit disponible sur le profil personnel.

■ Sophos Mobile Control gère le contenu du profil professionnel. Il s'enregistre en tant quepropriétaire du profil.

■ Lorsqu'un appareil est inscrit à Android for Work, toutes les apps présentes dans le profilprofessionnel, notamment l'app Sophos Mobile Control, sont identifiées par un badgereprésentant un porte-documents.

■ Les utilisateurs doivent sélectionner la version de l'app Google Play Store indiquée parun badge pour installer les apps professionnelles à partir de Google Play for Work.

■ Vous pouvez configurer le contenu et l'agencement de Google Play for Work à l'aide deSophos Mobile Control.

Liens associésCentre d'aide Android for Work (lien externe)

19.1 Installation d'Android for WorkVeuillez commencer par installer Android for Work pour un client afin d'activer les fonctionsd'Android for Work.

1. Enregistrez un domaine Android for Work auprès de Google.2. Créez un compte de service d'entreprise et configurez les API nécessaires pour

communiquer avec les services Google.3. Liez Sophos Mobile Control à votre domaine Android for Work.

19.1.1 Enregistrement d'un domaine auprès de GoogleLa première phase de la procédure d'installation d'Android for Work consiste à enregistrervotre domaine auprès de Google (domaine Google géré), de créer un administrateur dedomaine (compte Google géré) et de vérifier que vous être propriétaire du domaine.

198


https://support.google.com/work/android#topic=6151012

Remarque : si vous avez déjà un domaine Google géré, par exemple, si vous êtes inscrit àG Suite (anciennement Google Apps), vous pouvez ignorer cette section. Activez Android forWork pour votre domaine à partir de la console d'administration Google.

1. Cliquez sur le lien suivanthttps://www.google.com/a/signup/?enterprise_product=ANDROID_WORK&hl=fr pour vousinscrire à Android for Work.

2. Remplissez le formulaire avec les informations demandées.

■ Sous À propos de votre entreprise, saisissez le domaine qui sera utilisé en tant quedomaine Google géré dans Adresse du domaine professionnel. Par exemple, vouspouvez utiliser le domaine de votre serveur Sophos Mobile Control.

Remarque : si vous voulez configurer Android for Work pour plusieurs clients dansSophos Mobile Control, vous devez utiliser un domaine individuel pour chaque client.

■ Sous Votre compte administrateur Google, saisissez les codes d'accès d'un nouveaudomaine administrateur.

Remarque : notez les codes d'accès car vous en aurez besoin ultérieurement lors dela procédure d'installation.

3. Cliquez sur le bouton pour créer le compte d'administrateur de domaine.

La page d'installation d'Android for Work va s'ouvrir dans la console d'administrationGoogle.

Info : vous pouvez également accéder à cette page manuellement : Ouvrez l'adresseWeb suivante https://admin.google.com et connectez-vous à l'aide des codes d'accès del'administrateur de domaine que vous avez créé.

4. Dans la console d'administration Google, démarrez la procédure pour vérifier que vousêtes le propriétaire de ce domaine.

Suivez les instructions de Google pour vérifier votre domaine.

Une fois qu'il a été vérifié que vous êtes le propriétaire du domaine, vous allez recevoir untoken de connexion de votre domaine Android for Work à votre fournisseur EMM tiers,c'est-à-dire Sophos Mobile Control.

Veuillez ensuite créer un compte de service Google et configurer les API correspondantespour Android for Work. Retrouvez plus de renseignements à la section Configuration ducompte de service Google à la page 199.

19.1.2 Configuration du compte de service GoogleLa seconde phase de la procédure d'installation d'Android for Work consiste à créer et àconfigurer un compte de service Google.

Condition préalable : vous avez un compte d'administrateur de domaine pour votre domaineAndroid for Work.

Un compte de service Google est un type spécial de compte Google pour une application.Ce compte est utilisé par Sophos Mobile Control pour communiquer avec l'API de GoogleAndroid for Work.

Créez un projet :

1. Cliquez sur le lien suivant https://console.developers.google.com/apis/library pour ouvrirla console Google API. Connectez-vous à l'aide des codes d'accès de votre compted'administrateur de domaine.

199


https://www.google.com/a/signup/?enterprise_product=ANDROID_WORK&hl=fr

https://admin.google.com

https://console.developers.google.com/apis/library

2. Dans la barre d'en-tête de la console Google API, cliquez sur Project > Créer un projet.

Si vous avez déjà un projet, la barre d'en-tête affiche le nom du projet à la place de Project.

3. Dans la boîte de dialogue Nouveau projet, saisissez un nom de projet, par exempleAndroid for Work et cliquez sur Créer.

Activez les API nécessaires :

4. Sur le menu latéral, cliquez sur Bibliothèque et saisissez admin sdk dans le champ derecherche.

5. Dans la liste des résultats, cliquez sur Admin SDK.

6. En haut de la page Admin SDK, cliquez sur Activer.

7. Cliquez de nouveau sur Bibliothèque et répétez les trois étapes précédentes pour GooglePlay EMM API.

Cette fois-ci, recherchez emm.

Créez un compte de service :

8. Sur la page Google Play EMM API, cliquez sur Accéder à "Identifiants".

9. Sur la page Ajouter des identifiants au projet, cliquez sur le lien compte de servicesous la première étape.

10. Sur la page Comptes de service, cliquez sur Créer un compte de service.

11. Sur la boîte de dialogue Créer un compte de service, saisissez les paramètres suivants :

a) Dans le champ Nom de compte de service, saisissez un nom pour le compte deservice, par exemple, Android for Work.

b) Sélectionnez Indiquer une nouvelle clé privée puis, sélectionnez JSON.

c) Sélectionnez Activer la délégation G Suite au niveau du domaine.

d) Dans Nom du produit pour l'écran d'autorisation, saisissez par exemple Androidfor Work.

Lorsque vous cliquez sur Créer, la clé privée de compte de service est générée etenregistrée sur votre ordinateur dans un fichier JSON.

Remarque : placez le fichier JSON dans un emplacement sécurisé. Vous allez en avoirbesoin pour lier Sophos Mobile Control à votre domaine Android for Work.

Configurer l'accès à l'API :

12. Cliquez sur le lien suivant https://admin.google.com pour ouvrir la console d'administrationGoogle et connectez-vous à l'aide des codes d'accès de votre compte d'administrateurde domaine.

13. Cliquez sur Sécurité, puis sur Paramètres avancés.

Info : vous allez peut être devoir cliquer sur Plus d'éléments pour afficher Paramètresavancés.

14. Cliquez sur Gérer l'accès au client API.

15. Ouvrez le fichier JSON dans un éditeur de texte et copiez la valeur client_id dans lechamp Nom du client.

Par exemple, si votre fichier JSON contient un ligne

"client_id": "123456789",

saisissez 123456789 dans le champ Nom du client.

200



16. Dans le champ Un ou plusieurs champs d'application d'API, saisissez les deux URLsuivantes séparées par des virgules :

https://www.googleapis.com/auth/admin.directory.user,https://www.googleapis.com/auth/androidenterprise

17. Cliquez sur Autoriser.

Vous pouvez maintenant lier Sophos Mobile Control à votre domaine Android for Work.Retrouvez plus de renseignements à la section Liaison de Sophos Mobile Control à votredomaine à la page 201.

19.1.3 Liaison de Sophos Mobile Control à votre domaineLa troisième phase de la procédure d'installation d'Android for Work consiste à lier SophosMobile Control à votre domaine Android for Work.


■ vous avez un compte d'administrateur de domaine pour votre domaine Android for Work.

■ Vous avez fait vérifié que vous êtes bien propriétaire du domaine.

■ Vous avez activé les API d'Android for Work.

■ Vous avez créé un compte de service pour Android for Work.

1. Connectez-vous à la console Sophos Mobile Control. Utilisez un compte d'administrateurpour le client sur lequel vous souhaitez installer Android for Work.

2. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Général, puis surl'onglet Android.

3. Sous Android for Work, cliquez sur Configurer.

4. Dans la boîte de dialogue qui s'ouvre, configurez les paramètres suivants :

Votre domaine Android for Work vérifié parGoogle.

Domaine professionnel

Le nom de votre compte d'administrateur dedomaine. Il s'agit de l'administrateur que vousavez créé lorsque vous avez enregistré votredomaine Android for Work auprès de Google.

Administrateur du domaine

Le token que vous avez reçu de Google aprèsavoir fait vérifié que vous êtes bien propriétairedu domaine.

Vous pouvez voir le token lorsque vous vousconnectez à la console d'administration Google(https://admin.google.com) à l'aide de vos codesd'accès d'administrateur de domaine et naviguezjusqu'à Sécurité > Paramètres Android forWork.

Token EMM

5. Cliquez sur Télécharger un fichier et naviguez jusqu'au fichier JSON que vous aveztéléchargé sur Google lors de la création du compte de service pour Android for Work.

6. Cliquez sur Lier.

7. Sur l'onglet Android, cliquez sur Enregistrer.

201



Sophos Mobile Control contacte le service Web de Google pour se lier en tant que fournisseurEMM à votre domaine Android for Work.

La dernière phase de la procédure d'installation d'Android for Work consiste à configurer lesparamètres Google EMM. Retrouvez plus de renseignements à la section Configuration desparamètres EMM à la page 202.

19.1.4 Configuration des paramètres EMMLa dernière phase de la procédure d'installation d'Android for Work consiste à configurer lesparamètres Google EMM.

Condition préalable : vous avez lié Sophos Mobile Control à votre domaine Android forWork.

1. Cliquez sur le lien suivant https://admin.google.com pour ouvrir la console d'administrationGoogle et connectez-vous à l'aide des codes d'accès de votre compte d'administrateurde domaine.

2. Cliquez sur Sécurité puis sur Gérer le fournisseur EMM pour Android.

Info : vous allez peut être devoir cliquer sur Plus d'éléments pour afficher Gérer lefournisseur EMM pour Android.

3. Sous Paramètres généraux, sélectionnez Appliquer les règles EMM sur les appareilsAndroid.

La procédure d'installation d'Android for Work est maintenant terminée.

19.2 Configuration d'Android for WorkPour permettre à vos utilisateurs d'inscrire leurs appareils à Android for Work, vous devezeffectuer les tâches de configuration suivantes :

1. Créez une stratégie Android for Work et configurez au moins un paramètre dans lesRestrictions. Retrouvez plus de renseignements à la section Configuration des stratégiesAndroid for Work à la page 97.

2. Créez une série de tâches qui sera transférée à un appareil lorsqu'un utilisateur s'inscriraà Android for Work sur le Portail libre-service. La série de tâches doit au moins contenirune tâche Inscrire et Installer le profil / Assigner une stratégie pour une stratégieAndroid for Work. Vous pouvez utiliser des séries de tâches différentes pour les appareilsprofessionnels et privés. Retrouvez plus de renseignements à la section Création d'unesérie de tâches à la page 174.

3. Lors de la configuration du Portail libre-service, décidez si l'inscription à Android for Workest facultative ou obligatoire lorsque les utilisateurs inscrivent un appareil à Sophos MobileControl. Retrouvez plus de renseignements à la section Configuration de l'inscription d'unappareil à Android for Work à la page 202.

19.2.1 Configuration de l'inscription d'un appareil à Android for WorkVos utilisateurs inscrivent leurs appareils à Android for Work par le biais du Portail libre-service.Dans Sophos Mobile Control, vous décidez si l'inscription à Android for Work est facultativeou obligatoire et configurez les séries de tâches à transférer sur les appareils.

Conditions préalables

■ Vous avez configuré Android for Work pour le client.

202



■ Vous avez créé une série de tâches pour l'inscription de l'appareil à Android for Work. Lasérie de tâches doit au moins contenir une tâche Inscrire et Installer le profil / Assignerune stratégie pour une stratégie Android for Work. Vous pouvez utiliser des séries detâches différentes pour les appareils professionnels et privés.

1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Portaillibre-service, puis sur l'onglet Paramètres de groupe.

2. Cliquez sur le triangle bleu correspondant au groupe du Portail libre-service pour lequelvous souhaitez configurer l'inscription de l'appareil à Android for Work et cliquez surModifier. Ou créez un nouveau groupe.

Le groupe du Portail libre-service doit être configuré pour la plate-forme Android.

Retrouvez plus de renseignements sur le Portail libre-service à la section Configurationdes paramètres du Portail libre-service à la page 27.

3. Dans l'une des colonnes Package initial - appareils professionnels et Package initial- appareils privés, vous devez au moins sélectionner une série de tâches à exécuter surles appareils professionnels et privés.

4. Indiquez si l'inscription est requise ou pas sous les colonnes Android for Work - appareilsprofessionnels et Android for Work - appareils privés.

■ Facultatif : les utilisateurs peuvent choisir de s'inscrire à Android for Work lors del'inscription de leurs appareils à Sophos Mobile Control.

■ Obligatoire : l'inscription à Android for Work est obligatoire.


6. Dans l'onglet Paramètres de groupe, cliquez sur Enregistrer.

19.3 Gestion des utilisateurs Android for WorkUn utilisateur doit avoir un Compte Google géré pour inscrire un appareil à Android for Work.Ce compte Android for Work est connecté au domaine que vous avez enregistré dans Google.

Les noms de compte Android for Work ont un format semblable à une adresse email, parexemple utilisateur@votre_domaine_android_for_work.

Lorsqu'un utilisateur inscrit un appareil dans Android for Work sur le portail libre-service,Sophos Mobile Control vérifie si un compte Android for Work existe déjà pour l'utilisateur surle serveur Google. Pour cette opération, la partie gauche de l'adresse électronique del'utilisateur indiquée dans Sophos Mobile Control est combiné au nom de votre domaineAndroid for Work. Si aucun compte de ce nom existe, Sophos Mobile Control le crée.

Exemple : si l'adresse électronique de l'utilisateur dans Sophos Mobile Control estutilisateur@votre_entreprise.fr et que votre domaine Android for Work estvotre_domaine_android_for_work, Sophos Mobile Control recherche un compte nomméutilisateur@votre_domaine_android_for_work sur le serveur Google.

Hormis la création d'un compte Android for Work au cours de la procédure d'inscription,Sophos Mobile Control ne gère pas le cycle de vie du compte. Si vous supprimez le compted'utilisateur dans Sophos Mobile Control, le compte Android for Work de l'utilisateur n'est passupprimé.

Vous pouvez gérer les comptes Android for Work de votre domaine à partir de la consoled'administration Google. Si nécessaire, vous pouvez créer des comptes Android for Work àpartir de votre répertoire LDAP à l'aide de Google Apps Directory Sync (GADS).

Liens associés

203


Console d'administration Google (lien externe)À propos de Google Apps Directory Sync (lien externe)

19.4 Inscription d'appareils à Android for WorkVos utilisateurs inscrivent leurs appareils à Android for Work pendant la procédure d'inscriptionà Sophos Mobile Control par le biais du Portail libre-service. L'inscription à Android for Workpar le biais de la console Sophos Mobile Control est impossible.

Toutefois, vous avez la possibilité de désinscrire l'appareil d'un utilisateur d'Android for Workavec la console Sophos Mobile Control si, par exemple, vous voulez supprimer des donnéesprofessionnelles en cas de perte ou de vol de l'appareil.

Remarque : Sophos Mobile Control est compatible avec l'inscription des appareils à Androidfor Work à partir de la version 6 d'Android.

19.5 Verrouillage du profil professionnelSur les appareils inscrits sur Android for Work, vous pouvez verrouiller ou déverrouiller votreprofil professionnel. Lorsque le profil professionnel est verrouillé, les apps professionnellesne sont plus disponibles et aucune notification ne s'affiche pour les apps professionnelles.

Info : les utilisateurs peuvent verrouiller le profil professionnel à partir du panneau Paramètresrapides de l'appareil (par exemple ; lorsqu'ils sont en congés).


2. Cliquez sur le triangle bleu correspondant à l'appareil sur lequel vous voulez verrouillerou déverrouiller le profil professionnel et cliquez sur Afficher.

3. Cliquez sur Actions > Définir l'accès au conteneur Sophos.

4. Sélectionnez les autorisations d'accès.

■ Refuser : le profil professionnel est verrouillé. Les utilisateurs ne peuvent plus accéderaux apps ou données depuis le profil professionnel.

■ Autoriser : le profil professionnel est déverrouillé.■ Mode Auto : le profil professionnel est verrouillé si l'appareil enfreint un règle de

conformité contenant l'action Verrouiller le conteneur. Il s'agit du comportement pardéfaut si vous n'avez pas défini d'autorisation d'accès.

5. Cliquez sur Oui.

L'appareil est synchronisé avec le serveur Sophos Mobile Control. Une fois l'opération terminée,le paramètre est appliqué à l'appareil.

19.6 Suppression du profil professionnel de l'appareilVous pouvez supprimer le profil professionnel sur les appareils inscrits sur Android for Work.Par exemple, pour supprimer les données professionnelles de l'appareil en cas de perte oude vol.

Lorsque vous supprimez le profil professionnel de l'appareil, toutes les apps professionnelles,notamment l'app Sophos Mobile Control, sont également supprimées. Dans la console SophosMobile Control, l'appareil apparaît sous l'état Désinscrit.


204



https://support.google.com/a/answer/106368

2. Cliquez sur le triangle bleu correspondant à l'appareil sur lequel vous voulez supprimer leprofil professionnel et cliquez sur Afficher.

3. Cliquez sur Actions > Effacer Android for Work.

Une tâche de suppression du profil professionnel est créée et transférée à l'appareil. Vouspouvez voir l'état de la tâche sur la page Vue des tâches.

Remarque : si l'utilisateur a déjà supprimé le profil professionnel manuellement, la tâcheéchoue car l'appareil ne peut plus la recevoir.

Pour réinscrire l'appareil à Android for Work, l'utilisateur doit recommencer la procédured'inscription dans le Portail libre-service.

19.7 Suppression du profil professionnel par l'utilisateurIl se peut que l'utilisateur supprime le profil professionnel de son appareil soit accidentellementsoit intentionnellement. Sophos Mobile Control n'est pas en mesure de détecter si lasuppression est accidentelle ou intentionnelle. L'appareil continue d'apparaître sous l'étatAdministré (Android for Work).

Une fois que l'utilisateur a supprimé le profil professionnel, l'appareil ne peut plus sesynchroniser avec le serveur Sophos Mobile Control.

Info : vous pouvez utiliser le rapport Appareils non synchronisés au cours des 7 derniersjours pour identifier les appareils potentiellement affectés.

Si le profil professionnel a été supprimé par accident, vous pouvez réinscrire l'appareil àAndroid for Work :

1. Veuillez d'abord supprimer l'appareil de Sophos Mobile Control.2. L'utilisateur recommencera ensuite la procédure d'inscription sur le Portail libre-service.

19.8 Apps professionnellesLes apps professionnelles sont des apps compatibles avec Android for Work.

Vous utilisez Google Play for Work pour sélectionner les apps professionnelles mises àdisposition de vos utilisateurs d'Android for Work. Vos utilisateurs installent ces apps à l'aidede l'app de la boutique Google Play sur leur profil professionnel.

Veuillez effectuer les tâches suivantes dans Google Play for Work et dans Sophos MobileControl pour mettre les apps professionnelles à disposition de vos utilisateurs :

1. Dans Google Play for Work, sélectionnez les apps pour votre domaine Android for Work.Procédez de la manière suivante :■ Approuvez l'app.■ Achetez les licences de l'app.■ Acceptez les autorisations de l'app.

Retrouvez plus de renseignements à la section Validation d'une app professionnelle à lapage 206.

2. Dans Sophos Mobile Control, vous allez devoir configurer l'app. Procédez de la manièresuivante :■ Définissez l'emplacement de l'app professionnelle dans l'app Google Play Store sur

l'appareil de l'utilisateur.

205


■ Lorsque possible sur les apps, configurez les paramètres personnalisés des apps.■ Pour les apps payantes, assignez aux utilisateurs une licence de l'app.

Retrouvez plus de renseignements à la section Modification de l'app professionnelle à lapage 206.

19.8.1 Validation d'une app professionnelle

1. Ouvrez la boutique Google Play for Work (https://play.google.com/work) et connectez-vousavec votre compte d'administrateur Google.

2. Dans la boutique Google Play for Work, sélectionnez l'app que vous souhaitez mettre àdisposition de vos utilisateurs.

3. Cliquez soit sur Approuver (pour les apps gratuites) ou sur Acheter (pour les appspayantes).

Remarque : les apps payantes pour Android for Work sont actuellement uniquementdisponibles aux États-Unis et au Canada.

4. Si certaines autorisations sont requises par l'app, veuillez les accepter au nom de votreentreprise.

Lorsque vos utilisateurs installent l'app, ils ne leur est pas demandé d'accorder cesautorisations.

5. Pour les apps payantes, saisissez le nombre de licences et le mode de paiement.

Remarque : en cas d'erreur lors de l'achat d'une app, vérifiez dans la consoled'administration Google que les services de paiement Google sont activés pour votredomaine ou votre compte.

À ce stade, l'app est approuvée pour votre domaine mais les utilisateurs ne sont pas encoreen mesure de l'installer.Veuillez effectuer l'opération d'allocation dans Sophos Mobile Control.Retrouvez plus de renseignements à la section Modification de l'app professionnelle à la page206.

Remarque : si une mise à jour de votre app professionnelle inclut des autorisations d'appsupplémentaires, veuillez les accepter avant que vos utilisateurs puissent installer la mise àjour. Dans le menu Google Play for Work, cliquez sur Mises à jour pour voir et approuverles mises à jour en attente.

Liens associésGoogle Play for Work (lien externe)Console d'administration Google (lien externe)Centre d'aide de Google Play for Work (lien externe)

19.8.2 Modification d'une app professionnelle

Après avoir approuvé une app dans la boutique Google Play for Work, veuillez configurerl'app dans Sophos Mobile Control afin de la rendre disponible à vos utilisateurs d'Android forWork.

1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Apps puis sur Android.

2. Sur la page Apps, cliquez sur Apps Android for Work.

La page Apps Android for Work s'ouvre et affiche une liste de toutes les appsprofessionnelles que vous avez approuvées dans la boutique Google Play for Work.

206


https://play.google.com/work

https://play.google.com/work


https://support.google.com/googleplay/work

3. Cliquez sur Récupérer la liste d'apps à partir de Google pour synchroniser lesmodifications que vous avez effectuées dans la boutique Google Play for Work. Suite àla synchronisation, les utilisateurs pourront installer les apps à l'aide de l'app de la boutiqueGoogle Play sur leur profil professionnel.

4. Cliquez sur le triangle bleu correspondant à l'app de votre choix et cliquez sur Modifier.

5. Utilisez les champs Page et Catégorie d'app pour indiquer l'emplacement de l'app dansla boutique Google Play sur les appareils des utilisateurs :

a) Dans la liste Page, sélectionnez la page sur laquelle l'app va apparaître. Les élémentsde la liste sont préconfigurés par Sophos Mobile Control et ne peuvent pas être modifiés.

b) Dans le champ Catégorie d'app, saisissez le nom d'une catégorie dans laquelle l'appva apparaître.

Lors de la saisie dans le champ Catégorie d'app, une liste de catégoriescorrespondantes s'affiche. Si vous saisissez une catégorie qui n'existe pas, celle-ci estcréée.

6. Pour les apps payantes, la page Modifier l'app Android for Work affiche le champLicences. Cliquez sur Afficher à côté du champ Licences pour voir ou modifier lesinformations sur la licence de l'app.

Veuillez patienter quelques secondes pendant que Sophos Mobile Control récupère lesinformations sur la licence à partir de Google.

a) Dans la boîte de dialogue Licences, vous pouvez voir le nombre de licences utiliséeset restantes pour l'app ainsi que les utilisateurs Android for Work auxquels la licenceest assignée.

b) Sélectionnez les utilisateurs pour leur assigner une licence de l'app ou dessélectionnezles utilisateurs pour leur retirer la licence d'utilisation. Cliquez sur Appliquer pour fermerla boîte de dialogue Licences.

7. Si l'app permet une configuration gérée, la page Modifier l'app Android for Work afficheun bouton Paramètres de l'app. Cliquez sur ce bouton pour voir ou modifier les paramètresde l'app disponibles.

Retrouvez plus de renseignements sur les paramètres disponibles dans la documentationfournie par le développeur de l'app.

8. Sur la page Modifier l'app Android for Work, cliquez sur Enregistrer pour enregistrervos modifications.

9. Sur la page Apps Android for Work, cliquez sur Envoyer la configuration à Googlepour envoyer les informations mises à jour d'agencement et de configuration de l'app àGoogle.

Remarque : si vous ignorez cette étape, la configuration de l'app sera uniquementconservée localement dans Sophos Mobile Control. Elle ne sera pas transférée au serveurGoogle et ne sera donc pas disponible pour vos utilisateurs.

Suite à la synchronisation des données sur le serveur Google, l'app professionnelle estdisponible dans la boutique Google Play sur le profil professionnel. Les apps gratuites sontaccessibles par tous vos utilisateurs tandis que les apps payantes sont uniquement accessiblespar les utilisateurs auxquels une licence a été assignée.

207


19.8.3 Paramètres de l'app professionnelle


Le nom de l'app externe affiché dans la boutiqueGoogle Play for Work.

Titre

Le nom interne de l'app.Identifiant produit

Le type de tarif :Tarifs

Gratuit

Gratuit avec les achats intégrés

Payé

Type de distributionPublic (hébergé par Google) : app estdisponible au grand public dans Google Playfor Work.

Privé (hébergé par Google) : app que vousavez développée et qui est uniquementaccessible aux utilisateurs appartenant à votredomaine Android for Work. Le fichier APK aété chargé dans Google Play for Work.

Privé (auto-hébergé) : semblable à Privé(hébergé par Google) sauf que le fichier APKest installé à partir de votre serveur local.Google Play for Work est uniquement utilisépour gérer la distribution.

L'adresse Web de l'app dans Google Play for Worket dans Google Play.

Cliquez sur le lien pour ouvrir cette page dans unenouvelle fenêtre de navigation.

URL de Google Play for Work, URL de GooglePlay

La page sur laquelle l'app apparaîtra dans l'appGoogle Play de l'utilisateur.

Les valeurs sont préconfigurées par Sophos MobileControl et ne peuvent pas être modifiées.

Page

Le nom d'une catégorie sous laquelle l'appapparaîtra dans l'app Google Play Store del'utilisateur.

Catégorie d'app

Cliquez sur Afficher à côté du champ Licencespour voir ou modifier les informations sur la licencede l'app.

Ce paramètre est uniquement disponible pour lesapps payantes.

Licences

208



Cliquez sur Paramètres de l'app pour voir oumodifier les paramètres spécifiques à l'app.

Retrouvez plus de renseignements sur lesparamètres disponibles dans la documentationfournie par le développeur de l'app.

Paramètres de l'app

Ce paramètre est uniquement disponible si l'appoffre la configuration gérée.

19.8.4 Installation d'une app professionnelle

Après avoir approuvé une app professionnelle dans Google Play for Work et avoir assignéles licences de l'app à vos utilisateurs, vous pouvez installer l'app sur les appareils ou groupesd'appareils sélectionnés.

Remarque : les utilisateurs pourront installer les apps approuvées à l'aide de l'app de laboutique Google Play sur leur profil professionnel.



3. Cliquez sur le triangle bleu correspondant à l'app de votre choix et cliquez sur Installer.

4. Sélectionnez les appareils sur lesquels vous voulez installer l'app. Procédez de l'une desmanières suivantes :




5. Sur la page Définir la date d'exécution, indiquez la date à laquelle l'app sera installée :



La tâche d'installation est transmise au service Google. Google gère ensuite l'installation del'app sur l'appareil. Sur la page Vue des tâches, l'état de la tâche indique Succès lorsqu'ellea bien été transmise à Google.

19.8.5 Désinstallation d'une app professionnelle

Vous pouvez désinstaller une app professionnelle des appareils ou groupes d'appareilssélectionnés.



3. Sur la page Apps Android for Work, cliquez sur Désinstaller.

4. Sélectionnez les appareils desquels vous voulez désinstaller l'app. Procédez de l'une desmanières suivantes :

■ Sélectionnez chaque appareil individuellement.

209


■ Cliquez sur Sélectionner les groupes d'appareils et sélectionnez un ou plusieursgroupes d'appareils.


5. Sur la page Sélectionner une app, sélectionnez l'app requise.

6. Sur la page Définir la date d'exécution, indiquez la date à laquelle l'app sera désinstallée :



Une tâche de désinstallation de l'app es transmise au service Google. Google gère ensuitela désinstallation de l'app de l'appareil. Sur la page Vue des tâches, l'état de la tâche indiqueSuccès lorsqu'elle a bien été transmise à Google.

Info : vous pouvez également choisir de suivre la procédure de désinstallation de l'app d'unseul appareil. Ouvrez la page Affichage de l'appareil et dans l'onglet Apps installées,cliquez sur la corbeille correspondant au nom de l'app.

19.8.6 Licences des apps professionnelles

L'assignation aux utilisateurs de licences pour les apps professionnelles payantes vous permetde définir les apps qui sont mises à leur disposition.

Vous assignez uniquement les licences des apps professionnelles payantes aux utilisateurs.Les apps gratuites que vous avez approuvées dans Google Play for Work sontautomatiquement mises à disposition de tous vos utilisateurs suite à la synchronisation de laliste des apps entre Google et Sophos Mobile Control.

Info : vous n'avez pas besoin d'assigner une licence en cas d'installation d'une app lancéepar l’administrateur. Lorsque vous installez une app professionnelle conformément auxinstructions de la section Installation d'une app professionnelle à la page 209, une licenceissues du groupe de licences que vous avez achetées sera automatiquement assignée auxutilisateurs.

Vous configurez l'assignation de la licence sur la page Modifier l'app Android for Work.Retrouvez plus de renseignements à la section Modification de l'app professionnelle à la page206.

19.8.7 Agencement de Google Play for Work

Vous pouvez définir l'emplacement de chaque app professionnelle dans l'app Google PlayStore sur l'appareil de l'utilisateur.

Les éléments d'agencement configurables sont les Pages et les Catégories.

■ Les Pages sont des vues nommées défilant verticalement. Les pages et leurs noms sontprédéfinis par Sophos Mobile Control.

■ Les Catégories sont des sous-sections nommées d'une page défilant horizontalementque vous définissez. Les catégories sont également appelées clusters dans ladocumentation Google.

■ Chaque catégorie est spécifique à une certaine page et chaque app apparaît sous unecertaine catégorie.

■ Les pages ne contenant aucune app ne sont pas affichées.

■ Vous pouvez configurer jusqu'à 30 catégories par page et jusqu'à 100 apps par catégorie.

210


Vous définissez la page et, facultativement, la catégorie pour chaque app affichée dans l'appGoogle Play Store sur l'appareil de l'utilisateur. Par défaut, les apps sont placées sur unepage nommée Autre.

Vous configurez l'agencement de la page de la boutique sur la page Modifier l'app Androidfor Work. Retrouvez plus de renseignements à la section Modification de l'app professionnelleà la page 206.

19.8.8 Apps professionnelles configurables

Une app professionnelle peut offrir une configuration gérée. Cette fonction est incluse par ledéveloppeur d'apps et vous permet de configurer les paramètres personnalisés de l'app.

Si une app prend en charge la configuration gérée, une note Cette application propose laconfiguration gérée est affichée sur la page de l'app dans Google Play for Work.

Vous configurez les paramètres de l'app sur la page Modifier l'app Android for Work.Retrouvez plus de renseignements à la section Modification de l'app professionnelle à la page206.

19.8.9 Applications professionnelles privées et auto-hébergées

Toutes les apps professionnelles que vous souhaitez mettre à disposition de vos utilisateursdoivent être accessibles à partir de Google Play for Work.

■ Apps professionnelles publiques : apps accessibles à tous les utilisateurs disposantd'un compte Google Play for Work.

■ Apps professionnelles privées : apps que vous avez développées et qui sont uniquementaccessibles aux utilisateurs appartenant à votre domaine.

■ Apps professionnelles auto-hébergées : apps privées dont le fichier APK (AndroidApplication Package) se trouve sur un serveur appartenant à votre entreprise et non passur le serveur Google. Toutefois, les métadonnées de la boutique d'apps des appsauto-hébergées doivent être chargées sur Google afin que l'app puisse être disponiblesur Google Play for Work.

Retrouvez plus de renseignements sur les apps professionnelles privées sur les pages WebDéveloppeurs d'Android for Work (lien externe).

211


https://developer.android.com/work/index.html

20 Création d'administrateurs1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Administrateurs

pour ouvrir la page Affichage des administrateurs et cliquez sur Créer un administrateur.

2. Sur la page Modification de l'administrateur, configurez les informations du comptepour l'administrateur.

■ Lorsque l'Annuaire LDAP externe est utilisé en tant qu'annuaire d'utilisateurs pour leclient, vous pouvez cliquer sur Rechercher un utilisateur avec LDAP pour sélectionnerun compte LDAP déjà existant.

■ Si vous n'utilisez pas d'annuaire d'utilisateurs externes, saisissez les données adéquatesdans les champs Nom de connexion, Prénom, Nom, Adresse électronique et Motde passe.

Le mot de passe que vous indiquez est un mot de passe à usage unique. Lorsquel'administrateur se connecte pour la première fois, il est invité à le changer.

Remarque : le Nom de connexion accepte uniquement les caractères suivants :




■ Caractères spéciaux !._-#

3. Dans le champ Rôle, saisissez l'un des rôles disponibles.

Le rôle définit le type de droits d'accès à Sophos Mobile Control dont disposera le nouveladministrateur. Retrouvez plus de renseignements à la section Rôles de l'utilisateur à lapage 11.

4. Cliquez sur Enregistrer pour créer le compte d'administrateur.

Le nouvel administrateur est créé et apparaît sur la page Affichage des administrateurs.Envoyez les codes d'accès de l'utilisateur (utilisateur, client et mot de passe à usage unique)au nouvel utilisateur. Le nouvel utilisateur va pouvoir se connecter à la console Sophos MobileControl et va être invité à changer son mot de passe.

212


21 Envoi d'un message aux appareilsVous pouvez envoyer un message personnalisé aux appareils administrés.

Remarque : vous ne pouvez pas envoyer de messages aux appareils Windows Desktop.



2. Sélectionnez un ou plusieurs appareils, cliquez sur Actions puis sur Envoyer un message.

3. Dans la boîte de dialogue Saisir un message, saisissez le message que vous voulezenvoyer.

Le message ne doit pas dépasser 500 caractères. Le nombre de caractères restantsdisponibles est affiché sous le champ du texte.


213


22 Licence AdvancedLorsque vous activez une licence SMC Advanced, vous pouvez utiliser les fonctionssupplémentaires suivantes :

■ Gérer les apps Sophos Secure Workspace et Sophos Secure Email. Retrouvez plus derenseignements à la section Gestion des apps du conteneur Sophos à la page 220.

■ Pour les appareils Android, vous pouvez gérer l'app Sophos Mobile Security. Retrouvezplus de renseignements à la section Gestion de Sophos Mobile Security à la page 215.

Après avoir reçu votre clé de licence, vous allez devoir activer la licence.

Activer une licence SMC Advanced pour les installations locales

Pour les installations locales de Sophos Mobile Control, les licences sont gérées par le superadministrateur dans la gestion des clients. Retrouvez plus de renseignements dans le Guidedu super administrateur de Sophos Mobile Control (anglais).

Activer une licence SMC Advanced pour la version SaaS de SophosMobile Control

Dans la console Sophos Mobile Control, allez dans PARAMÈTRES > Configuration >Configuration du système > Licence et saisissez votre clé de licence dans le champ Cléde licence Advanced.

214




23 Gestion de Sophos Mobile SecurityRemarque : cette fonction nécessite l'utilisation d'une licence SMC Advanced.

Sophos Mobile Security est une app de sécurité qui protège les appareils Android contre lesapps malveillantes et aide les utilisateurs à détecter les permissions des apps pouvant poserun risque pour la sécurité. Sa fonction de filtrage du Web vous permet de filtrer les sites Webpar catégorie et de bloquer le contenu inapproprié.

Vous pouvez administrer l'app Sophos Mobile Security sur les appareils inscrits à SophosMobile Control de la manière suivante :

■ Vous pouvez configurer à distance et de manière centralisée les paramètres de l'appSophos Mobile Security sur tous les appareils administrés dans la console Sophos MobileControl.

■ Assurez-vous que l'app Sophos Mobile Security est installée sur les appareils et procédezaux contrôles conformément aux intervalles que vous avez définis. Vous pouvez définirceci comme une règle de conformité.

■ Vous pouvez déclencher les contrôles pour des appareils spécifiques.

■ Vous pouvez voir les résultats du contrôle des appareils dans la console Sophos MobileControl.

Retrouvez plus de renseignements sur Sophos Mobile Security dans l'Aide de Sophos MobileSecurity.

23.1 Configuration des paramètres antivirus pour SophosMobile SecurityCondition préalable : vous avez activé une licence SMC Advanced.

1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Profils et stratégies puis surAndroid.

La page Profils et stratégies apparaît.

2. Cliquez sur Créer et sélectionnez Stratégie de sécurité des mobiles.

La page Modification de la stratégie apparaît.

3. Saisissez un Nom et une Version pour le nouveau profil.

4. Dans le champ Description, saisissez une description pour le profil.

5. Cliquez sur Ajouter une configuration.

La page Configurations disponibles apparaît.

6. Sélectionnez Antivirus et cliquez sur Suivant.

La vue des paramètres de la configuration apparaît.

7. Allez dans l'onglet Antivirus.

8. Sous Général, vous pouvez sélectionner les options suivantes :

a) Dans le champ Mode de contrôle Cloud, indiquez quand Sophos Mobile Security doitrechercher les dernières informations sur les programmes malveillants. Sélectionnez

215


l'une des options suivantes pour définir quand l'app doit utiliser une recherche dans leCloud :

■ Toujours

■ Pas pendant l'itinérance

■ Wi-Fi uniquement

Avec ce paramètre, vous pouvez contrôler le trafic de données de l'app. Si vousparamétrez Mode de contrôle Cloud sur Wi-Fi uniquement, la recherche dans leCloud sera seulement effectuée lorsque l'appareil disposera d'une connexion Wi-Fivalide. Si vous paramétrez Mode de contrôle Cloud sur Pas pendant l'itinérance,aucune recherche dans le Cloud ne sera effectuée si l'appareil est en itinérance surun réseau étranger.

b) Dans la liste Intervalle du contrôle planifié, sélectionnez la fréquence des contrôles.

9. Sous Cibles, vous pouvez sélectionner les options suivantes :

a) Sélectionnez Contrôler les apps système pour inclure les apps système aux contrôles.

Les apps système ne sont pas contrôlées par défaut car elles sont protégées par lesystème d'exploitation Android et ne peuvent donc pas être supprimées par l'utilisateur.Vous pouvez également activer le contrôle des apps système ici.

b) Sélectionnez Contrôler les cartes SD, USB…, pour contrôler tous les fichiers sur lescartes SD, les clés USB et autres périphériques de stockage externes en plus d'effectuerle contrôle par défaut de toutes les apps installées.

10. Sous PUA, vous pouvez effectuer les actions suivantes :

a) Sélectionnez Détecter les PUA pour contrôler la présence d'applications potentiellementindésirables.

Les applications potentiellement indésirables (PUA) sont des apps qui ne sont pasmalveillantes mais dont la présence sur les réseaux d'entreprise est généralementconsidérée comme inappropriée. Les PUA sont classées sous le nom d'adware (logicielpublicitaire), dialer (composeur de numéros), moniteur système, outils d'administrationà distance et outils de piratage. Toutefois, il peut arriver que certains utilisateursconsidèrent comme nécessaire l'utilisation d'apps classées dans la catégorie PUA.

Si vous sélectionnez cette option, Sophos Mobile Security va détecter les PUA pendantles contrôles et avertir l'utilisateur de l’appareil de leur présence.

b) Sélectionnez Autoriser l'utilisateur à approuver les PUA pour autoriser les utilisateursà approuver les apps même si elles ont été identifiées en tant que PUA. L'utilisateurpeut également choisir de les ignorer. Dans les contrôles à venir, ces apps ne serontpas affichées comme des PUA.

11. Sous Apps de faible réputation, indiquez comment traiter ces apps. Le classement deces apps se fait en fonction des données de la Protection Live Sophos. Sous Mode, vouspouvez effectuer les actions suivantes :

a) Sélectionnez Autoriser pour désactiver le contrôle des apps de mauvaise réputation.

b) Sélectionnez Avertir pour afficher un avertissement sur l'appareil lorsqu'une app defaible réputation est détectée. Les utilisateurs peuvent ensuite choisir comment traiterl'app. Ils peuvent l'ajouter à une liste d'apps autorisées afin de ne plus recevoir d'autresavertissements en cas de détection de cette app.

c) Sélectionnez Bloquer afin d'empêcher le démarrage d'apps de faible réputation. Unavertissement va apparaître mais l'utilisateur ne pourra pas démarrer l'app.

216


12. Sous Live Protection, vous pouvez effectuer les actions suivantes :

a) Assurez-vous que l'option Notification de contrôle est sélectionnée pour recevoir lesnotifications de contrôle.

b) Sélectionnez Surveiller la carte SD pour surveiller toutes modifications sur la carteSD. Si de nouveaux fichiers sont stockés sur la carte, ils sont contrôlés.

13. Si les résultats de votre contrôle incluent les apps qui devraient être autorisées à démarrer,vous pouvez les ajouter à la liste des apps autorisées. Les apps de cette liste seronttoujours autorisées à démarrer. Ces apps ne seront pas signalées.

Pour identifier une app de ce type, vous pouvez utiliser les résultats du contrôle de SophosMobile Security. Retrouvez plus de renseignements à la section Affichage des résultatsdu contrôle Sophos Mobile Security à la page 218. Avant d'autoriser ces apps à démarrersur les appareils, veuillez les ajouter à un Groupe d'apps conformément aux instructionsde la section Groupes d'apps à la page 194.

14. Pour ajouter des apps autorisées, sélectionnez le Groupe d'apps contenant les appsautorisées.


23.2 Configuration des paramètres du filtrage Web pourSophos Mobile SecurityCondition préalable : vous avez activé une licence SMC Advanced.

L'app Sophos Mobile Security vous protège contre toute navigation sur des sites malveillantset au contenu indésirable ou illégal.

Remarque : le filtrage Web fonctionne uniquement avec le navigateur Web Android ouGoogle Chrome.

1. Sur le menu latéral, sous CONFIGURATION, cliquez sur Profils et stratégies puis surAndroid.

La page Profils et stratégies apparaît.

2. Cliquez sur Créer et sélectionnez Stratégie de sécurité des mobiles.

La page Modification de la stratégie apparaît.

3. Saisissez un Nom et une Version pour le nouveau profil.

4. Dans le champ Description, saisissez une description pour le profil.

5. Cliquez sur Ajouter une configuration.

La page Configurations disponibles apparaît.

6. Sélectionnez Filtrage Web et cliquez sur Suivant.

La page Filtrage Web apparaît.

7. Dans le champ Filtrer les sites Web malveillants, veuillez indiquer si vous souhaitezAutoriser l'accès aux sites Web malveillants ou Avertir l'utilisateur à propos des sitesWeb malveillants ou Bloquer ces sites.

217


8. Sous Filtrer les sites Web par catégorie, veuillez indiquer pour chaque catégorie si voussouhaitez Autoriser l'accès aux sites Web de cette catégorie, Avertir l'utilisateur contretout contenu potentiellement malveillant, indésirable ou illégal ou Bloquer les sites Webde cette catégorie.

Les sites Web sont classés par catégorie en fonction des données collectées par lesSophosLabs. Ces données sont constamment mises à jour.

9. Sous Exceptions de site Web, vous pouvez définir les :

a) Domaines autorisés : ajoutez les domaines ou adresses IP autorisés même s'ilsappartiennent à une catégorie bloquée.

b) Domaines bloqués : ajoutez les domaines ou adresses IP bloqués même s'ilsappartiennent à une catégorie autorisée.

Vous pouvez insérer les noms de domaine et les adresses IP. Exemples : www.entreprise.fr,*.entreprise.fr, 10.2.0.1, 10.2.0.1/24


Les utilisateurs ne peuvent pas changer les paramètres que vous avez défini dans SophosMobile Control.

23.3 Définition des règles de conformité de Sophos MobileSecurityCondition préalable : vous avez activé une licence SMC Advanced.

Vous pouvez configurer les règles de conformité associées à Sophos Mobile Security.

1. Ajoutez une nouvelle règle de conformité ou ouvrez-en une existante pour la modifier.Retrouvez plus de renseignements à la section Règles de conformité à la page 43.

2. Allez dans l'onglet Android.

3. Dans le champ Intervalle maximal de contrôle de SMSec, vous pouvez indiquer l'intervallemaximal de contrôle pour les contrôles de présence de programmes malveillants effectuéspar l'app Sophos Mobile Security.

4. Dans la liste Refus des droits SMSec autorisés, sélectionnez si le refus des autorisationsrequises entraîne une violation de la conformité.

5. Dans la liste Apps malveillantes autorisées, sélectionnez si les apps malveillantes sontautorisées ou non.

6. Dans la liste Apps suspectes autorisées, sélectionnez si les apps suspectes détectéessont autorisées ou non.

7. Dans la liste Apps potentiellement indésirables autorisées, sélectionnez si les PUA(apps potentiellement indésirables) sont autorisées ou non.

8. Dès que tous les paramètres requis ont été configurés, cliquez sur Enregistrer.

23.4 Affichage des résultats du contrôle Sophos MobileSecurityCondition préalable : vous avez activé une licence SMC Advanced.



218


2. Cliquez sur le triangle bleu correspondant à l'appareil de votre choix et cliquez sur Modifierou sur son nom.

La page Affichage de l'appareil ou Modification de l'appareil apparaît.

3. Allez dans l'onglet Résultats du contrôle.

L'onglet affiche les résultats du contrôle effectué par Sophos Mobile Security. Les packagesnon sains comme, par exemple, les apps potentiellement indésirables, apparaissent dansle tableau ci-dessous. Sous Nom de la menace, cliquez sur les liens pour voir lesinformations supplémentaires des SophosLabs sur la menace.

4. Dans l'onglet Violations de conformité, vous pouvez voir les violations de conformitéassociées aux résultats du contrôle. Les violations affichées dépendent des règles deconformité de Sophos Mobile Security.

23.4.1 Création d'une liste d'autorisation pour les PUA et apps de faibleréputation

Utilisez les résultats du contrôle pour créer une liste d'apps autorisées. Cette liste sera validepour tous les appareils Android sur lesquels l'app Sophos Mobile Security est installée sur leclient auquel vous êtes connecté.

1. Allez sous l'onglet Résultats du contrôle de l'un des appareils contrôlés.

Les packages corrompus sont affichés dans un tableau. La colonne Nom de la menaceindique si le package affiché est une app de mauvaise réputation, une PUA ou unprogramme malveillant. Cliquez sur les liens pour voir les informations supplémentairesqu'ont les SophosLabs sur la menace.

Une icône en forme d'encoche bleue à gauche du nom du package permet d'identifier lespackages dans lesquels des apps de faible réputation et les PUA ont été détectées. Seulesces apps peuvent être ajoutées à la liste des apps autorisées.

2. Cliquez sur l'icône en forme d'encoche bleue pour ajouter l'app à la liste des appsautorisées.

3. Dans la boîte de dialogue, cliquez sur Oui pour confirmer l'opération.

L'app est ajoutée à la liste des apps autorisées.

4. Répétez cette étape pour toutes les apps que vous voulez ajouter.

5. Vous pouvez afficher la liste en allant sous Paramètres et en cliquant sur Général.

6. Cliquez sur Afficher la liste d'autorisation.

Toutes les apps ajoutées sont affichées. Les apps de cette liste seront autorisées àdémarrer sur tous les appareils administrés. Les apps ne seront plus signalées.

Lorsque vous cliquez sur Effacer la liste d'autorisation, toutes les entrées de la listesont supprimées.

219


24 Gestion des apps du conteneur SophosRemarque : cette fonction nécessite l'utilisation d'une licence SMC Advanced.

Pour une meilleure séparation des données sur les appareils administrés, Sophos MobileControl met à disposition les apps du conteneur Sophos dans Sophos Secure Email et SophosSecure Workspace :

■ Sophos Secure Email est une app pour appareils Android et iOS qui met à votre dispositionun conteneur sécurisé vous permettant d'administrer vos emails, votre agenda et voscontacts.

■ Sophos Secure Workspace est une app pour appareils Android et iOS qui permet auxutilisateurs d'accéder aux fichiers chiffrés stockés dans le Cloud. Les fichiers sont déchiffréset peuvent être consultés en toute simplicité. Les fichiers chiffrés peuvent être fournis pard'autres apps et téléchargés dans l'un des emplacements de stockage Cloud pris encharge. Vous pouvez également choisir d'archiver les documents localement sur l'app.

Grâce à Sophos Secure Workspace, vous pouvez lire les fichiers chiffrés par SafeGuardCloud Storage ou par SafeGuard Data Exchange. Tous deux sont des modules deSafeGuard Enterprise ou une de ses éditions. Ils vous permettent de chiffrer les fichiersà l'aide de la clé locale. Ces clés locales sont issues d'une phrase secrète saisie par unutilisateur.Vous pouvez uniquement déchiffrer un fichier lorsque vous savez quelle phrasesecrète a été utilisée pour chiffrer le fichier.

Le conteneur Sophos fournit :

■ Des règles de mot de passe définies de manière centralisée

■ Des règles de mot de passe pour toutes les apps du conteneur

■ L'authentification unique pour toutes les apps du conteneur

■ Les paramètres documentaire de Sophos Secure Workspace

■ Les paramètres de navigateur de Sophos Secure Workspace

■ Les paramètres Sophos Secure Email

Vous pouvez administrer les apps Sophos avec Sophos Mobile Control de la manière suivante :

■ Vous pouvez configurer à distance et de manière centralisée les paramètres des apps duconteneur Sophos sur tous les appareils administrés dans Sophos Mobile Control.Retrouvez plus de renseignements à la section Configuration des stratégies de conteneurSophos pour Android à la page 107 et Configuration des stratégies de conteneur Sophospour iOS à la page 149.

■ Vous pouvez vous assurer que les apps du conteneur Sophos sont installées sur lesappareils. Vous pouvez définir ceci comme une règle de conformité.

■ Vous pouvez activer la distribution sécurisée des documents en utilisant le fournisseur destockage Documents professionnels. Retrouvez plus de renseignements à la sectionDocuments professionnels à la page 196.

■ Vous pouvez activer la synchronisation du jeu de clés professionnel entre l'app SophosSecure Workspace et Sophos SafeGuard Enterprise. Cette opération permet d'avoir lesclés disponibles dans le jeu de clés SafeGuard de l'utilisateur à disposition dans le jeu declés Sophos Secure Workspace. Retrouvez plus de renseignements à la section Activationde la synchronisation du jeu de clés professionnel à la page 222.

220


Remarque : pour administrer les apps du conteneur Sophos, celles-ci doivent être distribuéesà l'aide de Sophos Mobile Control. Si les utilisateurs disposent déjà d'une version nonadministrée de Sophos Secure Workspace sur leurs appareils, ils doivent d'abord la désinstalleret installer la version administrée.

Retrouvez plus de renseignements sur Sophos Secure Workspace dans l'Aide de SophosSecure Workspace.

24.1 Réinitialisation du mot de passe du conteneur SophosCondition préalable : vous avez activé une licence SMC Advanced.

Remarque : cette section s'applique aux appareils auxquels une stratégie de conteneurSophos est assignée.

Vous pouvez réinitialiser le mot de passe du conteneur Sophos. Ceci s'avère par exempleutile lorsque les utilisateurs oublient leur mot de passe. Si vous réinitialisez un mot de passedu conteneur Sophos, l'utilisateur sera invité à créer un nouveau mot de passe de conteneur.



2. Cliquez sur l'appareil pour lequel vous souhaitez réinitialiser le mot de passe du conteneurSophos.

La page Affichage de l'appareil apparaît.

3. Cliquez sur Actions.

Le menu Actions apparaît.

4. Cliquez sur Réinitialiser le mot de passe du conteneur Sophos.

5. Dans la boîte de dialogue, cliquez sur Oui pour confirmer l'opération.

Le mot de passe du conteneur Sophos est réinitialisé. L'utilisateur doit saisir un nouveau motde passe du conteneur Sophos.

24.2 Verrouillage et déverrouillage du conteneur SophosCondition préalable : vous avez activé une licence SMC Advanced.

Remarque : cette section s'applique aux appareils auxquels une stratégie de conteneurSophos est assignée.

Vous pouvez verrouiller ou déverrouiller le conteneur Sophos, c'est-à-dire, que vous pouvezdéfinir les autorisations d'accès aux apps du conteneur Sophos et aux données du conteneurSophos.


2. Sur la page Appareils, cliquez sur le triangle bleu correspondant à l'appareil sur lequelvous voulez verrouiller ou déverrouiller le conteneur Sophos et cliquez sur Afficher.

3. Sur la page Affichage de l'appareil, cliquez sur Actions > Définir l'accès au conteneurSophos.

4. Dans la boîte de dialogue de définition des autorisations d'accès, sélectionnez l'une desoptions suivantes :

■ Refuser : le conteneur Sophos est verrouillé. Les utilisateurs ne pourront plus l'utiliser.■ Autoriser : le conteneur Sophos est déverrouillé.

221


■ Mode Auto : Le conteneur Sophos est verrouillé tant que l'appareil enfreint une règlede conformité pour laquelle Verrouiller le conteneur est activé. Il s'agit ducomportement par défaut si vous n'avez pas défini d'autorisation d'accès.

5. Cliquez sur Oui.

L'appareil est déclenché pour se synchroniser avec le serveur Sophos Mobile Control. Lorsde l'opération de synchronisation, le paramètre est appliqué à l'appareil.

24.3 Synchronisation du jeu de clés professionnelLa synchronisation du jeu de clés professionnel ajoute les fonctions suivantes à l'app SophosSecure Workspace :

■ Les clés disponibles dans le jeu de clés SafeGuard Enterprise de l'utilisateur sontdisponibles dans le jeu de clés de Sophos Secure Workspace (jeu de clés SSW).

■ Les utilisateurs de l'app peuvent alors utiliser les clés pour déchiffrer et voir les documentsou pour chiffrer des documents.

■ Les utilisateurs peuvent continuer à utiliser les clés locales qui étaient disponibles dansleur jeu de clés SSW même lorsque vous avez activé la synchronisation du jeu de clés.

■ Les utilisateurs ne peuvent pas créer de nouvelles clés locales.

■ Pour des raisons de sécurité, les clés dans le jeu de clés SafeGuard sont supprimées d'unappareil lorsque le conteneur Sophos est verrouillé.

24.3.1 Activation de la synchronisation du jeu de clés professionnel


■ Vous devez utiliser Sophos SafeGuard Enterprise 8.0.

■ Vous avez configuré la gestion des utilisateurs externes pour le Portail libre-service enutilisant la même base de données d'utilisateurs Active Directory que celle configuréedans SafeGuard Enterprise.

■ Sophos Secure Workspace est administrée par Sophos Mobile Control. Pour cela, vousdevez disposer d'une licence SMC Advanced.

Pour activer la synchronisation du jeu de clés professionnel, vous devez établir la connexionentre Sophos Mobile Control et Sophos SafeGuard Enterprise comme suit :

1. Sur le menu latéral, sous PARAMÈTRES, cliquez sur Configuration > Configuration dusystème, puis sur l'onglet SGN.

2. Cliquez sur le lien du Certificat pour télécharger le certificat du serveur Sophos MobileControl.

3. Ouvrez SafeGuard Management Center et allez dans Outils > Outil de package deconfiguration.

4. Dans l'onglet Serveurs, cliquez sur Ajouter, naviguez jusqu'au fichier de certificat etcliquez sur OK. Ne modifiez pas le champ Nom du serveur.

5. Facultatif - Sélectionnez Récupération par mobile pour activer la synchronisation desclés de récupération BitLocker et FileVault avec l'app Sophos Secure Workspace.

6. Dans l'onglet Packages du client administré, configurez les paramètres suivants :

■ Dans le champ Nom du package de configuration, sélectionnez Client administré(par défaut).

■ Dans le champ Serveur principal, sélectionnez votre serveur SGN.

222


■ Dans le champ Chiffrement du transport, sélectionnez SSL.

7. Cliquez sur Créer un package de configuration.

8. Sur l'onglet SGN de la console Sophos Mobile Control, cliquez sur Télécharger un fichierpour télécharger sur Sophos Mobile Control le package de configuration que vous avezcréé dans SafeGuard Management Center.

9. Cliquez sur Enregistrer pour enregistrer les paramètres d'intégration de SafeGuard.

223


25 Glossaire

L'appareil à administrer (par exemple un smartphone, une tabletteou un appareil Windows 10).

Appareil

Le processus d'installation de l'app Sophos Mobile Control sur unappareil.

Approvisionnement

Un répertoire d'apps hébergé sur le serveur Sophos Mobile Control.L'administrateur peut utiliser la console Sophos Mobile Control

Boutique EnterpriseApp Store.

pour ajouter des apps dans la boutique Enterprise App Store. Lesutilisateurs peuvent utiliser l'app Sophos Mobile Control pourinstaller ces apps sur leurs appareils.

Le locataire qui gère les appareils.Client

L'app Sophos Mobile Control installée sur l'appareil administré.Client Sophos MobileControl

L'interface Web utilisée pour administrer les appareils.Console SophosMobile Control

L'enregistrement d'un appareil dans Sophos Mobile Control.Enregistrement

La licence SMC Advanced vous permet d'administrer les appsSophos Mobile Security, Sophos Secure Workspace et SophosSecure Email avec Sophos Mobile Control.

Licence SMCAdvanced

L'interface Web qui permet aux utilisateurs d'inscrire leurs propresappareils et d'effectuer les tâches sans avoir à contacter le serviced'assistance.

Portail libre-service

Abréviation de Sophos Mobile SecuritySMSec

Une app de sécurité pour les appareils Android. Pour administrercette app avec Sophos Mobile Control, une licence SMC Advanceddoit être activée.

Sophos MobileSecurity

Une app pour appareils Android et iOS qui vous fait bénéficier d'unconteneur sécurisé vous permettant d'administrer vos emails, votre

Sophos Secure Email

agenda et vos contacts. Pour administrer cette app avec SophosMobile Control, une licence SMC Advanced doit être activée.

Une app pour appareils Android et iOS qui vous permet debénéficier d'un espace de travail sécurisé à partir duquel vous

Sophos SecureWorkspace

pouvez naviguer, gérer, modifier, partager, chiffrer et déchiffrerdes documents se trouvant chez différents fournisseurs destockage ou distribués par votre entreprise. Pour administrer cette

224


app avec Sophos Mobile Control, une licence SMC Advanced doitêtre activée.

Vous créez un package pour regrouper plusieurs tâches sous lamême transaction. Vous pouvez regrouper toutes les tâches

Série de tâches

nécessaires afin de disposer d'un appareil enregistré etopérationnel.

225


26 Support techniqueVous bénéficiez du support technique des produits Sophos de l'une des manières suivantes :

■ Rendez-vous sur le forum Sophos Community en anglais sur community.sophos.com/ etrecherchez d'autres utilisateurs rencontrant le même problème que le vôtre.

■ Rendez-vous sur la base de connaissances du support de Sophos surwww.sophos.com/fr-fr/support.aspx.

■ Téléchargez la documentation des produits surwww.sophos.com/fr-fr/support/documentation.aspx.

■ Ouvrez un incident support surhttps://secure2.sophos.com/fr-fr/support/contact-support/support-query.aspx.

226


http://community.sophos.com

http://www.sophos.com/fr-fr/support.aspx

http://www.sophos.com/fr-fr/support/documentation.aspx

https://secure2.sophos.com/fr-fr/support/contact-support/support-query.aspx

27 Mentions légalesCopyright © 2011-2017 Sophos Limited. Tous droits réservés.

Aucune partie de cette publication ne peut être reproduite, stockée dans un système derecherche documentaire ou transmise, sous quelque forme ou par quelque moyen que cesoit, électronique, mécanique, photocopie, enregistrement ou autre sauf si vous possédezune licence valide, auquel cas vous pouvez reproduire la documentation conformément auxtermes de cette licence ou si vous avez le consentement préalable écrit du propriétaire ducopyright.

Sophos est une marque déposée de Sophos Limited et de Sophos Group. Tous les autresnoms de produits et d'entreprises mentionnés dans ce document sont des marques ou desmarques déposées de leurs propriétaires respectifs.

Dernière mise à jour : 20170223

227
