Paramètres des appareils Android Entreprise pour autoriser ou restreindre les fonctionnalités avec Intune

Cet article décrit les différents paramètres que vous pouvez contrôler sur les appareils Android Entreprise. Dans votre solution de gestion des appareils mobiles, utilisez ces paramètres pour autoriser ou désactiver certaines fonctionnalités, pour exécuter les applications sur les appareils dédiés, pour contrôler la sécurité, et bien plus encore.

Cette fonctionnalité s’applique à :

  • Appareils Android Enterprise appartenant à l’utilisateur avec un profil professionnel (BYOD)
  • Profil professionnel Android Enterprise appartenant à l’entreprise (COPE)
  • Appareils Android Entreprise complètement gérés appartenant à l’entreprise (COBO)
  • Appareils Android Entreprise dédiés appartenant à l’entreprise (COSU)

Pour l’administrateur d’appareil Android, consultez Restrictions des appareils Android et Samsung Knox standard.

Avant de commencer

Créez un profil de restrictions des appareils Android Enterprise  :

  • Profil professionnel complètement managé, dédié et appartenant à l’entreprise
  • Appareils appartenant à l’utilisateur avec un profil professionnel

Profil professionnel complètement managé, dédié et appartenant à l’entreprise

Ces paramètres s’appliquent aux types d’inscription Android Enterprise pour lesquels Intune contrôle la totalité de l’appareil, par exemple, les appareils Android Enterprise avec profil professionnel complètement managés, dédiés et appartenant à l’entreprise.

Certains paramètres ne sont pas pris en charge par tous les types d’inscription. Pour savoir lesquels sont gérés selon le type d’inscription, consultez l’interface utilisateur. Chaque paramètre se trouve sous un titre indiquant les types d’inscription qui peuvent l’utiliser.

Consultez les en-têtes des paramètres de comptes et utilisateurs Android Enterprise et les types d’inscription auxquels ils s’appliquent dans Microsoft Intune et Endpoint Manager.

Pour les appareils appartenant à l’entreprise avec profil professionnel, certains paramètres s’appliquent uniquement au niveau du profil professionnel. Ces paramètres indiquent (au niveau du profil professionnel) dans leur nom. Pour les appareils complètement managés et dédiés, ces paramètres s’appliquent à tout le périphérique.

Consultez les paramètres de l’application Android Enterprise qui s’appliquent au niveau du profil professionnel appartenant à l’entreprise dans Microsoft Intune et Endpoint Manager.

Général

Appareils avec un profil professionnel complètement managés, dédiés et appartenant à l’entreprise

  • Capture d’écran (au niveau du profil professionnel)  : Bloquer empêche les captures d’écran sur l’appareil. Cela empêche également que le contenu soit affiché sur les écrans dépourvus de sortie vidéo sécurisée. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser l’utilisateur à faire une capture d’écran sous forme d’image.

  • Appareil photo (au niveau du profil professionnel)  : Bloquer empêche l’accès à l’appareil photo de l’appareil. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser l’accès à l’appareil photo.

    Intune gère uniquement l’accès à l’appareil photo de l’appareil. Il n’a pas accès aux images ou aux vidéos.

  • Stratégie d’autorisation par défaut (au niveau du profil professionnel)  : ce paramètre définit la stratégie d’autorisation par défaut pour les demandes d’autorisations d’exécution. Les options disponibles sont

    • Paramètre par défaut de l’appareil (par défaut) : utilise le paramètre par défaut de l’appareil.
    • Demander : les utilisateurs sont invités à approuver l’autorisation.
    • Accorder automatiquement : les autorisations sont automatiquement accordées.
    • Refuser automatiquement : les autorisations sont automatiquement refusées.
  • Changements de date et d’heure : Bloquer empêche les utilisateurs de régler manuellement la date et l’heure. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser les utilisateurs à définir la date et l’heure de l’appareil.

  • Démarrage sans échec : Bloquer empêche les utilisateurs de redémarrer l’appareil en mode sans échec. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser les utilisateurs à redémarrer l’appareil en mode sans échec.

  • Itinérance des services de données : Bloquer empêche l'itinérance des données sur le réseau de téléphonie mobile. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser l’itinérance des données quand l’appareil se trouve sur un réseau de téléphonie mobile.

  • Configuration du point d’accès Wi-Fi : Bloquer empêche les utilisateurs de créer ou de modifier des configurations Wi-Fi. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut permettre aux utilisateurs de modifier les paramètres Wi-Fi sur l’appareil.

  • Configuration Bluetooth : Bloquer empêche les utilisateurs de configurer le Bluetooth sur l’appareil. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser l’utilisation de Bluetooth sur l’appareil.

  • Connexion et accès aux points d’accès : Bloquer empêche la connexion et l’accès aux points d’accès mobiles. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser la connexion et l’accès aux points d’accès mobiles.

  • Transfert de fichiers USB : Bloquer empêche le transfert de fichiers via USB. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser le transfert de fichiers.

  • Support externe : Bloquer empêche l’utilisation ou la connexion d’un support externe sur l’appareil. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser les supports externes sur l’appareil.

  • Transmettre des données à l’aide de NFC (au niveau du profil professionnel)  : Bloquer empêche l’utilisation de la technologie NFC (Near Field Communication) pour transmettre des données à partir d’applications. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser l’utilisation de NFC pour partager des données entre les appareils.

  • Fonctionnalités de débogage : choisissez Autoriser pour permettre l’utilisation des fonctionnalités de débogage sur l’appareil. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut empêcher les utilisateurs d’utiliser les fonctionnalités de débogage sur l’appareil.

  • Réglage du microphone : Bloquer empêche les utilisateurs d’activer le microphone et d’en régler le volume. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut permettre aux utilisateurs d’utiliser et de régler le volume du microphone sur l’appareil.

  • E-mails de protection contre la réinitialisation aux paramètres d’usine : choisissez Adresses e-mail du compte Google. Entrez les adresses e-mail des administrateurs de l’appareil autorisés à déverrouiller l’appareil réinitialisé. Veillez à séparer les adresses e-mail par un point-virgule, par exemple admin1@gmail.com;admin2@gmail.com. Si aucune adresse e-mail n’est spécifiée, quiconque peut déverrouiller un appareil réinitialisé aux paramètres d’usine. Ces e-mails s’appliquent seulement quand une réinitialisation aux paramètres d’usine non demandée par l’utilisateur est exécutée, comme l’exécution d’une réinitialisation aux paramètres d’usine par le biais du menu de récupération.

    Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre.

  • Mise à jour système : choisissez une option pour définir la façon dont l’appareil traite les mises à jour à distance. Les options disponibles sont

    • Paramètre par défaut de l’appareil (par défaut) : utilise le paramètre par défaut de l’appareil.
    • Automatique : les mises à jour sont installées automatiquement, sans interaction de l’utilisateur. La définition de cette stratégie entraîne l’installation immédiate des mises à jour en attente.
    • Différé : les mises à jour sont reportées de 30 jours. À la fin des 30 jours, Android invite les utilisateurs à installer la mise à jour. Il est possible pour les fabricants ou les opérateurs d’appareils d’empêcher (exempter) le report des mises à jour de sécurité importantes. Une mise à jour exemptée affiche une notification système sur l’appareil des utilisateurs.
    • Fenêtre de maintenance : permet d’installer les mises à jour automatiquement durant une fenêtre de maintenance quotidienne définie dans Intune. L’installation est tentée quotidiennement pendant 30 jours, et cette opération peut échouer en raison d’un espace ou d’un niveau de batterie insuffisant. Après 30 jours, Android invite les utilisateurs à procéder à l’installation. Cette fenêtre est également utilisée pour installer les mises à jour des applications Play. Utilisez cette option pour les appareils dédiés, par exemple les bornes, car les applications de premier plan d’appareils mono-application dédiés peuvent être mises à jour.

Appareils complètement managés et dédiés

  • Changements du volume : Bloquer empêche les utilisateurs de modifier le volume de l’appareil et désactive le son du volume principal. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser l’utilisation des paramètres de volume sur l’appareil.

  • Réinitialisation aux paramètres d’usine : Bloquer empêche les utilisateurs de réinitialiser l’appareil aux paramètres d’usine. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut permettre aux utilisateurs d’utiliser ce paramètre sur l’appareil.

  • Barre d’état : Bloquer empêche l’accès à la barre d’état, y compris aux notifications et aux paramètres rapides. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser les utilisateurs à accéder à la barre d’état.

  • Changements des paramètres Wi-Fi : Bloquer empêche les utilisateurs de modifier les paramètres Wi-Fi créés par le propriétaire de l’appareil. Les utilisateurs peuvent créer leurs propres configurations Wi-Fi. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut permettre aux utilisateurs de modifier les paramètres Wi-Fi sur l’appareil.

  • Stockage USB : choisissez Autoriser pour accéder au stockage USB sur l’appareil. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut empêcher l’accès au stockage USB.

  • Trappe de secours du réseau : Activer autorise les utilisateurs à activer la fonctionnalité de trappe de secours du réseau. Si aucune connexion réseau n’est établie au démarrage de l’appareil, la trappe de secours vous demande de vous connecter temporairement à un réseau et d’actualiser la stratégie de l’appareil. Une fois la stratégie appliquée, le réseau temporaire est oublié et l’appareil continue de démarrer. Cette fonctionnalité connecte les appareils à un réseau si :

    • La dernière stratégie ne contient aucun réseau approprié.
    • L’appareil démarre dans une application en mode de verrouillage de tâche.
    • Les utilisateurs ne peuvent pas atteindre les paramètres de l’appareil.

    Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut empêcher les utilisateurs d’activer la fonctionnalité de trappe de secours du réseau sur l’appareil.

  • Fenêtres de notification : quand cette option a la valeur Désactiver, les notifications, notamment les toasts, les appels entrants, les appels sortants, les alertes système et les erreurs système, ne sont pas affichées sur l’appareil. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut afficher des notifications.

  • Ignorer les premiers conseils d’utilisation : Activer masque ou ignore les suggestions des applications qui dirigent vers des tutoriels, ou les conseils au démarrage de l’application. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut afficher ces suggestions au démarrage de l’application.

Appareils dédiés

  • Menu du bouton d’alimentation : Bloquer masque les options d’alimentation quand les utilisateurs maintiennent le bouton d’alimentation enfoncé en mode kiosque. Le masquage de ces options empêche les utilisateurs d’arrêter accidentellement ou délibérément des appareils. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, quand les utilisateurs maintiennent le bouton d’alimentation enfoncé sur un appareil, les options d’alimentation s’affichent, comme Redémarrer et Éteindre.

    Ce paramètre s’applique à :

    • Android 9.0 et ultérieur
  • Avertissements d’erreur système : Autoriser affiche les avertissements système à l’écran en mode kiosque, y compris les applications qui ne répondent pas. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut masquer ces avertissements. Quand l’un de ces événements se produit, le système force la fermeture de l’application.

    Ce paramètre s’applique à :

    • Android 9.0 et ultérieur
  • Fonctionnalités de navigation système activées : Autorisez les utilisateurs à accéder aux boutons d’accueil et de vue d’ensemble des appareils en mode kiosque. Les options disponibles sont les suivantes :

    • Non configuré (par défaut) : Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut désactiver les boutons d’accueil et de vue d’ensemble des appareils.
    • Bouton d’accueil uniquement : Les utilisateurs peuvent voir et sélectionner le bouton d’accueil. Ils ne peuvent pas voir ni sélectionner les boutons de vue d’ensemble.
    • Boutons d’accueil et de vue d’ensemble : Les utilisateurs peuvent voir et sélectionner les boutons d’accueil et de vue d’ensemble.

    Ce paramètre s’applique à :

    • Android 9.0 et ultérieur
  • Notifications et informations système : Autorisez les utilisateurs à accéder à la barre d’état des appareils et à recevoir des notifications à partir de la barre d’état en mode kiosque. Les options disponibles sont les suivantes :

    • Non configuré (par défaut) : Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut désactiver la barre d’état et les notifications dans la barre d’état.
    • Afficher les informations système dans la barre d’état de l’appareil : Les utilisateurs peuvent voir les informations système dans la barre d’état. Ils ne peuvent pas voir ni recevoir des notifications à partir de la barre d’état.
    • Afficher les notifications système et les informations système dans la barre d’état de l’appareil : Les utilisateurs peuvent voir les informations système et recevoir des notifications à partir de la barre d’état. Pour afficher les notifications, activez le bouton d’accueil de l’appareil à l’aide du paramètre Fonctionnalités de navigation système activées.

    Ce paramètre s’applique à :

    • Android 9.0 et ultérieur
  • Accès des utilisateurs finaux aux paramètres de l’appareil : Bloquer empêche les utilisateurs d’accéder à l’application Paramètres. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser les utilisateurs à accéder à l’application Paramètres.

    Ce paramètre s’applique à :

    • Android 9.0 et ultérieur

Sécurité système

  • Exiger l’analyse des menaces sur les applications : Exiger (par défaut) permet à Google Play Protect d’analyser les applications avant et après leur installation. S’il détecte une menace, il peut avertir les utilisateurs et leur recommander de supprimer l’application de l’appareil. Quand vous affectez la valeur Non configuré, Intune ne change pas ou ne met pas à jour ce paramètre. Par défaut, le système d’exploitation peut ne pas activer ni exécuter Google Play Protect pour analyser les applications.

Expérience de l’appareil

Utilisez ces paramètres pour configurer une expérience de Kiosque sur vos appareils dédiés ou pour personnaliser les expériences de l’écran d’accueil sur vos appareils complètement managés. Vous pouvez configurer des appareils pour exécuter une ou plusieurs applications. Quand un appareil est en mode plein écran, seules les applications que vous ajoutez sont disponibles.

Type de profil d’inscription : Sélectionnez un type de profil d’inscription pour démarrer la configuration de Microsoft Launcher ou de Microsoft Managed Home Screen sur vos appareils. Les options disponibles sont les suivantes :

  • Non configuré : Intune ne change pas ni ne met à jour ce paramètre. Par défaut, les utilisateurs peuvent voir l’écran d’accueil par défaut de l’appareil.

  • Appareil dédié : configurez une expérience de type Kiosque sur vos appareils dédiés. Avant de configurer ces paramètres, ajoutez et affectez les applications souhaitées sur les appareils.

    • Mode kiosque : choisissez si l’appareil exécute une ou plusieurs applications. Les options disponibles sont les suivantes :

      • Non configuré : Intune ne change pas ni ne met à jour ce paramètre.

      • Une seule application : les utilisateurs ne peuvent accéder qu’à une seule application sur l’appareil. Lors du démarrage de l’appareil, seule l’application spécifique démarre. Les utilisateurs ne peuvent pas ouvrir de nouvelles applications, ni changer l’application en cours d’exécution.

        • Sélectionner une application à utiliser en mode plein écran : sélectionnez l’application Google Play gérée dans la liste.

        Important

        Quand vous utilisez le mode plein écran mono-application, pour utiliser les applications de numéroteur/téléphone, activez les notifications système. Cette fonctionnalité est disponible sur les appareils Android exécutant la version 9.0 et ultérieure. Pour activer les notifications système, consultez Paramètres généraux pour les appareils dédiés (dans cet article).

      • Multi-application : les utilisateurs peuvent accéder à un ensemble limité d’applications sur l’appareil. Lors du démarrage de l’appareil, seules les applications que vous ajoutez s’exécutent. Vous pouvez également ajouter des liens web que les utilisateurs peuvent ouvrir. Quand la stratégie est appliquée, les utilisateurs voient des icônes pour les applications autorisées dans l’écran d’accueil.

        Important

        Pour les appareils multi-application dédiés, l’application Managed Home Screen à partir de Google Play doit être :

        L’application Managed Home Screen ne doit pas nécessairement figurer dans le profil de configuration, mais elle doit être ajoutée comme application. Lorsque l’application Managed Home Screen est ajoutée, toutes les autres applications que vous ajoutez au profil de configuration s’affichent sous forme d’icônes dans l’application Managed Home Screen.

        Quand vous utilisez le mode plein écran multi-application, pour utiliser les applications de numéroteur/téléphone, activez les notifications système. Cette fonctionnalité est disponible sur les appareils Android exécutant la version 9.0 et ultérieure. Pour activer les notifications système, consultez Paramètres généraux pour les appareils dédiés (dans cet article).

        Pour plus d’informations sur l’écran d’accueil géré, consultez Configuration de l’écran d’accueil géré Microsoft sur les appareils dédiés en mode plein écran multi-application.

        • Custom app layout (Présentation personnalisée des applications): L’option Activer vous permet de placer des applications et des dossiers à différents emplacements sur l’écran d’accueil géré. Quand vous affectez la valeur Non configuré, Intune ne change pas ou ne met pas à jour ce paramètre. Par défaut, les applications et les dossiers que vous ajoutez s’affichent par ordre alphabétique sur l’écran d’accueil.

          • Set Grid Size (Définir la taille du quadrillage) : Sélectionnez la taille de votre écran d’accueil. Une application ou un dossier occupe un emplacement sur la grille.

          • Écran d’accueil : sélectionnez le bouton Ajouter, puis choisissez une application dans la liste. Sélectionnez l’option Dossier pour créer un dossier, entrez le nom du dossier, puis ajoutez au dossier des applications à partir de la liste.

            Lorsque vous ajoutez des éléments, sélectionnez le menu contextuel pour supprimer des éléments, ou déplacez-les vers différents emplacements :

            Déplacez vos applications et dossiers vers différents emplacements sur des appareils Android Enterprise dédiés exécutés en mode multi-application dans Microsoft Intune et dans Endpoint Manager.

        • Ajouter : sélectionnez vos applications dans la liste.

          Si l’application Managed Home Screen n’est pas répertoriée, ajoutez-la à partir de Google Play. Veillez à attribuer l’application au groupe d’appareils créé pour vos appareils dédiés.

          Vous pouvez également ajouter à l’appareil d’autres applications Android et applications web créées par votre organisation. Veillez à attribuer l’application au groupe d’appareils créé pour vos appareils dédiés.

          Important

          Quand vous utilisez le mode multi-application, chaque application de la stratégie doit être une application requise et affectée aux appareils. Si une application n’est pas requise ou n’est pas affectée, les appareils risquent de bloquer les utilisateurs et afficher un message Contact your IT admin. This phone will be erased..

        • Lock Home Screen (Verrouiller l’écran d’accueil)  : L’option Activer empêche les utilisateurs de déplacer des icônes d’application et des dossiers. Ces éléments sont alors verrouillés et ne peuvent pas être glissés et déplacés vers d’autres emplacements de la grille. Quand vous affectez la valeur Non configuré, Intune ne change pas ou ne met pas à jour ce paramètre. Par défaut, les utilisateurs peuvent déplacer ces éléments.

        • Icône de dossier : sélectionnez la couleur et la forme de l’icône de dossier qui apparaît sur l’écran d’accueil géré. Les options disponibles sont les suivantes :

          • Non configuré
          • Rectangle thème sombre
          • Cercle thème sombre
          • Rectangle thème clair
          • Cercle thème clair
        • Taille de l’icône d’application et de dossier : sélectionnez la taille de l’icône de dossier qui apparaît sur l’écran d’accueil géré. Les options disponibles sont les suivantes :

          • Non configuré

          • Très petite

          • Petite

          • Moyenne

          • Grande

          • Très grande

            Selon la taille de l’écran, la taille réelle de l’icône peut être différente.

        • Orientation de l’écran : sélectionnez le sens dans lequel l’écran d’accueil géré apparaît sur les appareils. Les options disponibles sont les suivantes :

          • Non configuré
          • Portrait
          • Paysage
          • Rotation automatique
        • Badges des notifications d’application : si vous cliquez sur Activer, le nombre de nouvelles notifications et de notifications non lues s’affiche sur les icônes d’application. Quand vous affectez la valeur Non configuré, Intune ne change pas ou ne met pas à jour ce paramètre.

        • Bouton d’accueil virtuel : bouton de touche programmable qui renvoie les utilisateurs à Managed Home Screen, qui leur permet de basculer entre les applications. Les options disponibles sont les suivantes :

          • Non configuré (par défaut) : aucun bouton d’accueil n’est affiché. Les utilisateurs doivent utiliser le bouton Précédent pour basculer entre les applications.
          • Balayage vers le haut : un bouton d’accueil apparaît quand un utilisateur effectue un balayage vers le haut sur l’appareil.
          • Flottant : affiche un bouton d’accueil permanent et flottant sur l’appareil.
        • Quitter le mode kiosque : Activer autorise les administrateurs à quitter temporairement le mode kiosque pour mettre à jour l’appareil. Pour utiliser cette fonctionnalité, l’administrateur :

          1. continue à sélectionner le bouton Retour jusqu’à ce que le bouton Quitter le kiosque s’affiche ;
          2. sélectionne le bouton Quitter le kiosque et entre le code confidentiel Quitter le code de mode kiosque.
          3. Quand vous avez terminé, sélectionnez l’application Managed Home Screen. Cette étape verrouille à nouveau l’appareil en mode kiosque multi-application.

          Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut empêcher les administrateurs de suspendre le mode kiosque. Si l’administrateur continue de cliquer sur le bouton Retour et sélectionne le bouton Quitter le kiosque, un message indique qu’un code secret est requis.

        • Code permettant de quitter le mode kiosque  : entrez un code PIN numérique de 4 à 6 chiffres. L’administrateur utilise ce code PIN pour interrompre temporairement le mode kiosque.

        • Définir l’arrière-plan de l’URL personnalisée : entrez une URL pour personnaliser l’arrière-plan de l’appareil dédié. Par exemple, entrez http://contoso.com/backgroundimage.jpg.

          Notes

          Dans la plupart des cas, nous recommandons de commencer avec des images des tailles minimales suivantes :

          • Téléphone : 1080 x 1920 px
          • Tablette : 1920 x 1080 px

          Pour une expérience optimale et claire, il est conseillé de créer des composants d’images par appareil selon les caractéristiques de l’écran.

          Les écrans modernes affichent une densité supérieure de pixels et peuvent obtenir une définition d’image 2K/4K.

        • Raccourci vers le menu des paramètres : si vous cliquez sur Désactiver, le raccourci des paramètres gérés est masqué sur l’écran d’accueil géré. Les utilisateurs peuvent toujours effectuer un balayage vers le bas pour accéder aux paramètres. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le raccourci des paramètres managés est affiché sur les appareils. Les utilisateurs peuvent également effectuer un balayage vers le bas pour accéder à ces paramètres.

        • Accès rapide au menu de débogage : ce paramètre contrôle la manière dont les utilisateurs accèdent au menu de débogage. Les options disponibles sont les suivantes :

          • Activer : Les utilisateurs peuvent accéder plus facilement au menu de débogage. Plus précisément, ils peuvent effectuer un balayage vers le bas ou utiliser le raccourci des paramètres gérés. Comme toujours, ils ont la possibilité de continuer à sélectionner le bouton Précédent 15 fois.
          • Non configuré (par défaut) : Intune ne change pas ni ne met à jour ce paramètre. Par défaut, l’accès facile au menu de débogage est désactivé. Les utilisateurs doivent sélectionner le bouton Précédent 15 fois pour ouvrir ce menu.

          Le menu de débogage permet aux utilisateurs d’effectuer les actions suivantes :

          • Voir et charger les journaux de l’écran d’accueil géré
          • Ouvrir l’application Android Device Policy Manager de Google
          • Ouvrir l’application Microsoft Intune
          • Quitter le mode plein écran
        • Configuration Wi-Fi : Activer montre le contrôle Wi-Fi sur Managed Home Screen et permet aux utilisateurs de connecter l’appareil à différents réseaux Wi-Fi. L’activation de cette fonctionnalité active également l’emplacement de l’appareil. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut ne pas afficher le contrôle Wi-Fi sur Managed Home Screen. Il empêche les utilisateurs de se connecter aux réseaux Wi-Fi pendant l’utilisation de Managed Home Screen.

          • Liste verte Wi-Fi : créez une liste de noms de réseau sans fil valides, également appelés identificateurs SSID (Service Set Identifier). Les utilisateurs de l’écran d’accueil géré ne peuvent se connecter qu’aux SSID que vous avez entrés.

            Si le champ n’est pas renseigné, Intune ne change pas ou ne met pas à jour ce paramètre. Par défaut, tous les réseaux Wi-Fi disponibles sont autorisés.

            Importez un fichier .csv contenant la liste des identificateurs SSID valides.

            Exporter votre liste actuelle dans un fichier .csv.

          • SSID : vous pouvez également entrer les noms réseau Wi-Fi (SSID) auxquels les utilisateurs de l’écran d’accueil géré peuvent se connecter. Veillez à entrer des identificateurs SSID valides.

          Important

          Dans la version d’octobre 2020, l’API Managed Home Screen a été mise à jour pour être conforme aux conditions du Google Play Store. Les changements suivants affectent les stratégies de configuration Wi-Fi dans le Managed Home Screen :

          • Les utilisateurs ne peuvent pas activer ou désactiver les connexions Wi-Fi sur les appareils. Les utilisateurs peuvent passer d’un réseau Wi-Fi à un autre, mais ils ne peuvent pas activer ou désactiver le Wi-Fi.

          • Si un réseau Wi-Fi est protégé par un mot de passe, les utilisateurs doivent entrer le mot de passe. Une fois le mot de passe entré, le réseau configuré se connecte automatiquement. S’ils se déconnectent puis se reconnectent au réseau Wi-Fi, les utilisateurs devront peut-être entrer à nouveau le mot de passe.

          • Sur les appareils Android 11, lorsque les utilisateurs se connectent à un réseau avec le Managed Home Screen, ils sont invités à donner leur consentement. Cette invite provient d’Android et n’est pas spécifique au Managed Home Screen.

          • Sur les appareils Android 10, lorsque les utilisateurs se connectent à un réseau avec le Managed Home Screen, une notification leur demande de donner leur consentement. Donc, les utilisateurs ont besoin d’accéder à la barre d’état et aux notifications pour donner leur consentement. Pour activer les notifications système, consultez Paramètres généraux pour les appareils dédiés (dans cet article).

          • Sur les appareils Android 10, lorsque les utilisateurs se connectent à un réseau Wi-Fi protégé par mot de passe avec le Managed Home Screen, ils sont invités à entrer le mot de passe. Si l’appareil est connecté à un réseau instable, le réseau Wi-Fi change. Ce comportement se produit même quand les utilisateurs entrent le bon mot de passe.

        • Configuration Bluetooth : Activer montre le contrôle Bluetooth sur Managed Home Screen et permet aux utilisateurs d’appairer des appareils par Bluetooth. L’activation de cette fonctionnalité active également l’emplacement de l’appareil. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut ne pas afficher le contrôle Bluetooth sur Managed Home Screen. Il empêche les utilisateurs de configurer Bluetooth et d’appairer des appareils pendant l’utilisation de Managed Home Screen.

        • Accès à la lampe torche : Activer montre le contrôle de torche sur Managed Home Screen et permet aux utilisateurs d’activer ou de désactiver la torche. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut ne pas afficher le contrôle de torche sur Managed Home Screen. Il empêche les utilisateurs d’utiliser la torche pendant l’utilisation de Managed Home Screen.

        • Contrôle du volume du média : Activer montre le contrôle du volume du média sur Managed Home Screen et permet aux utilisateurs d’ajuster le volume du média de l’appareil à l’aide d’un curseur. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut ne pas afficher le contrôle du volume du média sur Managed Home Screen. Il empêche les utilisateurs de régler le volume multimédia de l’appareil pendant l’utilisation de Managed Home Screen, sauf si ses boutons physiques le permettent.

        • Accès rapide aux informations sur l’appareil : si vous cliquez sur Activer, les utilisateurs ont la possibilité d’effectuer un balayage vers le bas pour voir les informations de l’appareil sur l’écran d’accueil géré, par exemple, le numéro de série, la marque et le numéro de modèle, et le niveau du kit SDK. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Les informations de l’appareil ne sont pas nécessairement affichées par défaut.

        • Mode écran de veille : Activer montre un écran de veille sur Managed Home Screen quand l’appareil est verrouillé ou dépasse le délai d’expiration. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut ne pas afficher d’écran de veille sur Managed Home Screen.

          Quand cette option est activée, configurez également :

          • Définir une image d’écran de veille personnalisée : entrez l’URL d’un fichier PNG, JPG, JPEG, GIF, BMP, WebP ou ICOimage personnalisé. Si vous n’entrez pas d’URL, l’image par défaut de l’appareil est utilisée, s’il en existe une.

            Par exemple, entrez :

            • http://www.contoso.com/image.jpg
            • www.contoso.com/image.bmp
            • https://www.contoso.com/image.webp

            Conseil

            Toute URL de ressource de fichier qui peut être transformée en bitmap est prise en charge.

          • Durée en secondes pendant laquelle l’appareil affiche l’écran de veille avant d’éteindre l’écran : choisissez la durée pendant laquelle l’appareil affiche l’écran de veille. Entrez une valeur comprise entre 0 et 9999999 secondes. La valeur par défaut est de 0 secondes. Quand il est laissé vide ou défini sur zéro (0), l’économiseur d’écran est actif jusqu’à ce qu’un utilisateur interagisse avec l’appareil.

          • Durée d’inactivité en secondes de l’appareil avant l’affichage de l’écran de veille : choisissez la durée d’inactivité de l’appareil avant de montrer l’écran de veille. Entrez une valeur comprise entre 1 et 9999999 secondes. La valeur par défaut est de 30 secondes. Vous devez entrer un nombre supérieur à zéro (0).

          • Détecter la présence d’un média avant de démarrer l’écran de veille : Activer (par défaut) ne montre pas l’écran de veille si l’audio ou la vidéo est en cours de lecture sur l’appareil. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut afficher l’écran de veille, même si l’audio ou la vidéo est en lecture.

  • Complètement managé : Configure l’application Microsoft Launcher sur les appareils complètement managés.

    • Désigner Microsoft Launcher comme lanceur par défaut : Activer définit Microsoft Launcher comme le lanceur par défaut de l’écran d’accueil. Si vous faites de Launcher le lanceur par défaut, les utilisateurs ne pourront pas utiliser un autre lanceur. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, Microsoft Launcher n’est pas utilisé comme le lanceur par défaut.

    • Configurer le papier peint personnalisé : Dans l’application Microsoft Launcher, si vous cliquez sur Activer, vous pouvez appliquer votre propre image comme papier peint de l’écran d’accueil, et choisir si les utilisateurs peuvent la modifier. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, l’appareil conserve son papier peint actuel.

      • Entrer l’URL de l’image de papier peint : entrez l’URL de votre image de papier peint. Cette image s’affiche sur l’écran d’accueil de l’appareil. Par exemple, entrez http://www.contoso.com/image.jpg.
      • Autoriser l’utilisateur à modifier le papier peint : si vous cliquez sur Activer, les utilisateurs ont la possibilité de modifier l’image de papier peint. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, les utilisateurs ne peuvent pas modifier le papier peint.
    • Activer le flux de lancement : si vous cliquez sur Activer, le flux de lancement est activé et affiche les calendriers, les documents et les activités récentes. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, ce flux n’est pas affiché.

      • Autoriser l’utilisateur à activer/désactiver le flux : si vous cliquez sur Activer, les utilisateurs ont la possibilité d’activer et de désactiver le flux de lancement. Ce paramètre n’est appliqué que la première fois que le profil est attribué. Les attributions de profils ultérieures ne l’imposent pas. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, les utilisateurs ne peuvent pas modifier les paramètres du flux de lancement.
    • Présence de la station d’accueil : la station d’accueil permet aux utilisateurs d’accéder rapidement à leurs applications et outils. Les options disponibles sont les suivantes :

      • Non configuré (par défaut) : Intune ne change pas ni ne met à jour ce paramètre.
      • Afficher : la station d’accueil est affichée sur les appareils.
      • Masquer : la station d’accueil est masquée. Les utilisateurs doivent effectuer un balayage vers le haut pour y accéder.
      • Disabled : la station d’accueil n’est pas affichée sur les appareils. Les utilisateurs ne peuvent pas l’afficher.
    • Autoriser l’utilisateur à changer la présence de la station d’accueil : si vous cliquez sur Activer, les utilisateurs ont la possibilité d’afficher ou de masquer la station d’accueil. Ce paramètre n’est appliqué que la première fois que le profil est attribué. Les attributions de profils ultérieures ne l’imposent pas. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, les utilisateurs ne sont pas autorisés à modifier la configuration de la station d’accueil.

    • Emplacement de la barre de recherche : choisissez où placer la barre de recherche. Les options disponibles sont les suivantes :

      • Non configuré (par défaut) : Intune ne change pas ni ne met à jour ce paramètre.
      • Haut : la barre de recherche s’affiche en haut des appareils.
      • Bas : la barre de recherche s’affiche en bas des appareils.
      • Masquer : la barre de recherche est masquée.

Mot de passe de l’appareil

Appareils avec un profil professionnel complètement managés, dédiés et appartenant à l’entreprise

  • Type de mot de passe requis : entrez le niveau de complexité du mot de passe requis et si les appareils biométriques peuvent être utilisés. Les options disponibles sont les suivantes :

    • Paramètre par défaut de l’appareil (par défaut) : La plupart des appareils n’exigent pas de mot de passe quand Paramètre par défaut de l’appareil est défini. Si vous voulez contraindre les utilisateurs à définir un code secret sur leur appareil, configurez ce paramètre avec une valeur plus sécurisée que Paramètre par défaut de l’appareil.

    • Mot de passe requis, sans restriction

    • Biométrie faible : Biométrie forte et faible (dirige sur le site web d’Android)

    • Numérique : le mot de passe ne doit comporter que des nombres, par exemple 123456789. Entrez également :

      • Longueur minimale du mot de passe : entrez la longueur minimale du mot de passe (entre 4 et 16 caractères).
    • Chiffres complexes : les chiffres répétés ou consécutifs (comme « 1111 » ou « 1234 ») ne sont pas autorisés. Entrez également :

      • Longueur minimale du mot de passe : entrez la longueur minimale du mot de passe (entre 4 et 16 caractères).
    • Alphabétique : des lettres de l’alphabet sont nécessaires. Les nombres et symboles ne sont pas nécessaires. Entrez également :

      • Longueur minimale du mot de passe : entrez la longueur minimale du mot de passe (entre 4 et 16 caractères).
    • Alphanumériques : inclut des lettres majuscules, minuscules et des caractères numériques. Entrez également :

      • Longueur minimale du mot de passe : entrez la longueur minimale du mot de passe (entre 4 et 16 caractères).
    • Alphanumérique avec symboles : inclut des lettres majuscules, minuscules, des caractères numériques, des signes de ponctuation et des symboles. Entrez également :

      • Longueur minimale du mot de passe : entrez la longueur minimale du mot de passe (entre 4 et 16 caractères).
      • Nombre de caractères obligatoires : entrez le nombre de caractères du mot de passe (entre 0 et 16 caractères).
      • Nombre de caractères minuscules obligatoires : entrez le nombre de caractères en minuscules du mot de passe (entre 0 et 16 caractères).
      • Nombre de caractères majuscules obligatoires : entrez le nombre de caractères en majuscules du mot de passe (entre 0 et 16 caractères).
      • Nombre de caractères obligatoires autres que des lettres : entrez le nombre de caractères non lettres (tout caractère hors lettres de l’alphabet) du mot de passe (entre 0 et 16 caractères).
      • Nombre de caractères numériques obligatoires : entrez le nombre de caractères numériques (1, 2, 3, etc.) du mot de passe (entre 0 et 16 caractères).
      • Nombre de symboles obligatoires : entrez le nombre de symboles (&, #, %, etc.) du mot de passe (entre 0 et 16 caractères).
  • Nombre de jours avant expiration du mot de passe : entrez le nombre de jours après lesquels l’utilisateur doit changer le mot de passe de l’appareil (de 1 à 365). Par exemple, entrez 90 pour que le mot de passe expire après 90 jours. Lorsque le mot de passe arrive à expiration, les utilisateurs sont invités à créer un mot de passe. Quand la valeur est vide, Intune ne change pas ou ne met pas à jour ce paramètre.

  • Nombre de mots de passe obligatoires avant que l’utilisateur puisse en réutiliser un : Utilisez ce paramètre pour empêcher les utilisateurs de créer des mots de passe déjà utilisés. entrez le nombre de mots de passe précédemment utilisés (de 1 à 24) qui ne peuvent pas être utilisés. Par exemple, entrez 5 pour que les utilisateurs ne puissent pas définir comme nouveau mot de passe leur mot de passe actuel ni l’un de leurs quatre mots de passe précédents. Quand la valeur est vide, Intune ne change pas ou ne met pas à jour ce paramètre.

  • Nombre d’échecs de connexion avant réinitialisation de l’appareil : entrez le nombre de mots de passe incorrects autorisés avant réinitialisation de l’appareil (de 4 à 11). Quand la valeur est vide, Intune ne change pas ou ne met pas à jour ce paramètre.

    Notes

    Les utilisateurs sur appareils complètement managés et appartenant à l’entreprise avec profil professionnel ne sont pas invités à définir un mot de passe. Les paramètres sont obligatoires, mais les utilisateurs peuvent ne pas être notifiés. Les utilisateurs doivent définir le mot de passe manuellement. La stratégie apparaît comme étant en échec tant que l’utilisateur n’a pas défini de mot de passe conforme à vos exigences.

    Sur les appareils dédiés exécutant OS 9 et ultérieur, les utilisateurs sont invités à définir un mot de passe si l’appareil est configuré avec le mode kiosque mono- ou multi-application. Les écrans forcent et guident les utilisateurs à créer un mot de passe conforme avant de les laisser continuer à utiliser l’appareil.

    Sur les appareils dédiés exécutant OS 8 et antérieur, ou sur les appareils dédiés qui n’utilisent pas le mode kiosque, les utilisateurs ne sont informés d’aucune obligation de définir un mot de passe. Les utilisateurs doivent définir le mot de passe manuellement. La stratégie apparaît comme étant en échec tant que l’utilisateur n’a pas défini de mot de passe conforme à vos exigences.

  • Désactivé sur l’écran de verrouillage : Lorsque l’appareil est verrouillé, choisissez les fonctionnalités qui ne peuvent pas être utilisées. Par exemple, quand l’option Sécuriser l’appareil photo est cochée, la fonctionnalité appareil photo est désactivée sur l’appareil. Toutes les fonctionnalités non cochées sont activées sur l’appareil.

    Ces fonctionnalités sont disponibles pour les utilisateurs lorsque l’appareil est verrouillé. Les utilisateurs ne verront pas les fonctionnalités vérifiées ni ne pourront y accéder.

    • Sur les appareils de profil professionnel appartenant à l’entreprise, seuls les notifications non rédigées, agents de confiance et déverrouillage par empreinte digitale peuvent être désactivés.
    • Si les utilisateurs désactivent le paramètre Utiliser un verrou sur leur appareil, la désactivation du déverrouillage par empreinte digitale et celle des agents de confiance s’appliquent au niveau du profil professionnel appartenant à l’entreprise. Si les utilisateurs activent le paramètre Utiliser un verrou, la désactivation du déverrouillage par empreinte digitale et la désactivation des agents de confiance s’appliquent au niveau de l’appareil.

Appareils complètement managés et dédiés

  • Désactiver l’écran de verrouillage : Désactiver empêche l’utilisation de toutes les fonctionnalités de verrouillage d’écran Keyguard. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, lorsque l’appareil est en mode de verrouillage d’écran, le système d’exploitation peut autoriser toutes les fonctionnalités Keyguard, telles que l’appareil photo, le déverrouillage par empreinte digitale et bien plus encore.

Paramètres d’alimentation

Appareils avec un profil professionnel complètement managés, dédiés et appartenant à l’entreprise

  • Délai avant verrouillage de l’écran (au niveau du profil professionnel)  : entrez la durée maximale qu’un utilisateur peut définir pour le délai avant que l’appareil soit verrouillé. Par exemple, si vous affectez la valeur 10 minutes à ce paramètre, les utilisateurs peuvent définir une durée allant de 15 secondes à 10 minutes. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre.

Appareils complètement managés et dédiés

  • Écran actif quand l’appareil est branché : choisissez quelles sources d’alimentation permettent de maintenir l’écran actif lorsque l’appareil est branché.

Utilisateurs et comptes

Appareils avec un profil professionnel complètement managés, dédiés et appartenant à l’entreprise

  • Ajouter de nouveaux utilisateurs : Bloquer empêche les utilisateurs d’ajouter de nouveaux utilisateurs. Chaque utilisateur dispose d’un espace personnel sur l’appareil, regroupant les écrans d’accueil personnalisés ainsi que les comptes, applications et paramètres. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser les utilisateurs à ajouter d’autres utilisateurs à l’appareil.

Appareils complètement managés et dédiés

  • Suppression d’utilisateurs : Bloquer empêche les utilisateurs de supprimer des utilisateurs. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut permettre aux utilisateurs de supprimer d’autres utilisateurs de l’appareil.
  • Comptes Google personnels : Bloquer empêche les utilisateurs d’ajouter leur compte Google personnel à l’appareil. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut permettre aux utilisateurs d’ajouter leur compte Google personnel.
  • L’utilisateur peut configurer les informations d’identification : Bloquer empêche les utilisateurs de configurer des certificats attribués à des appareils, même des appareils qui ne sont pas associés à un compte d’utilisateur. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut permettre aux utilisateurs de configurer ou de changer leurs informations d’identification quand ils y accèdent dans le magasin de clés.

Appareils dédiés

  • Changements de compte : Bloquer empêche les utilisateurs de mettre à jour ou de modifier des comptes en mode kiosque. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut permettre aux utilisateurs de mettre à jour les comptes d’utilisateur sur l’appareil.

Applications

  • Autoriser l’installation à partir de sources inconnues : Autoriser permet aux utilisateurs d’activer les Sources inconnues. Ce paramètre permet aux applications d’être installées à partir de sources inconnues, y compris celles ne provenant pas de Google Play Store. Il permet aux utilisateurs de charger indépendamment des applications sur l’appareil à l’aide d’autres moyens que Google Play Store. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut empêcher les utilisateurs d’activer les Sources inconnues.

  • Mises à jour automatiques d’applications (au niveau du profil professionnel)  : Les appareils vérifient les mises à jour des applications quotidiennement. choisissez à quel moment installer les mises à jour automatiques. Les options disponibles sont les suivantes :

    • Non configuré : Intune ne change pas ni ne met à jour ce paramètre.
    • Choix de l’utilisateur : le système d’exploitation peut appliquer cette option par défaut. Les utilisateurs peuvent définir leurs préférences dans l’application Google Play gérée.
    • Jamais : les mises à jour ne sont jamais installées. Cette option n’est pas recommandée.
    • Wi-Fi uniquement : les mises à jour sont installées uniquement quand l’appareil est connecté à un réseau Wi-Fi.
    • Toujours : les mises à jour sont installées quand elles sont disponibles.
  • Autoriser l’accès à toutes les applications dans Google Play Store : Si cette option est définie sur Autoriser, les utilisateurs ont accès à toutes les applications dans Google Play Store. Ils ne peuvent pas accéder aux applications clientes qui ne leur sont pas attribuées. Pour plus d’informations sur l’exclusion d’utilisateurs et de groupes d’applications spécifiques, consultez Inclure et exclure des affectations d’applications.

    Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut :

    • Afficher uniquement les applications approuvées dans le Google Play Store géré, ou celles qui sont requises.
    • Désinstaller les applications qui ont été installées en dehors du Google Play Store géré.

Si vous souhaitez activer le chargement latéral, définissez les paramètres Autoriser l’installation à partir de sources inconnues et Autoriser l’accès à toutes les applications dans Google Play Store sur Autoriser.

Connectivité

Appareils avec un profil professionnel complètement managés, dédiés et appartenant à l’entreprise

  • VPN AlwaysOn (au niveau du profil professionnel)  : Activer fait en sorte que le client VPN se connecte et se reconnecte automatiquement au réseau VPN. Les connexions VPN Always on restent connectées. Ou, se connecter immédiatement quand les utilisateurs verrouillent leur appareil, que l’appareil redémarre ou que le réseau sans fil change.

    Choisissez Non configuré pour désactiver en permanence la fonctionnalité VPN Always On pour tous les clients VPN.

    Important

    Veillez à ne déployer qu’une seule stratégie VPN AlwaysOn sur un seul appareil. Le déploiement de plusieurs stratégies VPN AlwaysOn sur un seul appareil n’est pas pris en charge.

  • Client VPN : choisissez un client VPN qui prend en charge AlwaysOn. Les options disponibles sont les suivantes :

    • Cisco AnyConnect
    • Accès F5
    • Palo Alto Networks GlobalProtect
    • Pulse Secure
    • Personnalisé
      • ID de package : entrez l’ID de package de l’application dans le Google Play Store. Par exemple, si l’URL de l’application dans le Play Store est https://play.google.com/store/details?id=com.contosovpn.android.prod, l’ID de package est com.contosovpn.android.prod.

    Important

    • Le client VPN que vous choisissez doit être installé sur l’appareil et doit prendre en charge le VPN par application dans les profils professionnels appartenant à l’entreprise. Sinon, une erreur se produit.
    • Vous devez approuver l’application cliente VPN dans le Google Play Store géré, la synchroniser avec Intune et la déployer sur l’appareil. Une fois l’opération effectuée, l’application est installée dans le profil professionnel appartenant à l’entreprise de l’utilisateur.
    • Vous devez néanmoins toujours configurer le client VPN avec un profil VPN ou via un profil de configuration d’application.
    • Il peut exister des problèmes connus liés à l’utilisation du VPN par application avec un accès F5 pour Android 3.0.4. Pour plus d’informations, consultez les notes de publication de F5 Access for Android 3.0.4 sur le site F5.
  • Mode de verrouillage : Activer force l’ensemble du trafic réseau à utiliser le tunnel VPN. Si aucune connexion au VPN n’est établie, l’appareil n’a pas d’accès réseau. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut permettre au trafic de passer par le tunnel VPN ou le réseau mobile.

Appareils complètement managés et dédiés

  • Proxy global recommandé : Activer ajoute un proxy global aux appareils. Quand ce paramètre est activé, le trafic HTTP et HTTPS, y compris certaines applications sur l’appareil, utilisent le proxy que vous entrez. Ce proxy est seulement une recommandation. Il est possible que certaines applications n’utilisent pas le proxy. Non configuré (par défaut) n’ajoute pas de proxy global recommandé.

    Pour plus d’informations sur cette fonctionnalité, consultez setRecommendedGlobalProxy (ouvre un site Android).

    Quand ce paramètre est activé, entrez également le Type de proxy. Les options disponibles sont les suivantes :

    • Direct : entrez manuellement les détails du serveur proxy, notamment :

      • Hôte : entrez le nom d’hôte ou l’adresse IP de votre serveur proxy. Par exemple, entrez proxy.contoso.com ou 127.0.0.1.
      • Numéro de port : entrez le numéro de port TCP utilisé par votre serveur proxy. Par exemple, entrez 8080.
      • Hôtes exclus : entrez une liste de noms d’hôtes ou d’adresses IP qui n’utiliseront pas le proxy. Cette liste peut inclure un caractère générique astérisque (*) et plusieurs hôtes séparés par des points-virgules (;) sans espace. Par exemple, entrez 127.0.0.1;web.contoso.com;*.microsoft.com.
    • Configuration automatique du proxy : entrez l’URL PAC vers un script de configuration automatique de proxy. Par exemple, entrez https://proxy.contoso.com/proxy.pac.

      Pour plus d’informations sur les fichiers PAC, consultez Fichier de configuration automatique de proxy (PAC) (ouvre un site non-Microsoft).

    Pour plus d’informations sur cette fonctionnalité, consultez setRecommendedGlobalProxy (ouvre un site Android).

Mot de passe de profil professionnel

Ces paramètres s’appliquent aux profils professionnels appartenant à l’entreprise.

  • Type de mot de passe requis : entrez le niveau de complexité du mot de passe requis et si les appareils biométriques peuvent être utilisés. Les options disponibles sont les suivantes :

    • Paramètre par défaut de l’appareil

    • Mot de passe requis, sans restriction

    • Biométrie faible : Biométrie forte et faible (dirige sur le site web d’Android)

    • Numérique : le mot de passe ne doit comporter que des nombres, par exemple 123456789. Entrez également :

      • Longueur minimale du mot de passe : entrez la longueur minimale du mot de passe (entre 4 et 16 caractères).
    • Chiffres complexes : les chiffres répétés ou consécutifs (comme « 1111 » ou « 1234 ») ne sont pas autorisés. Entrez également :

      • Longueur minimale du mot de passe : entrez la longueur minimale du mot de passe (entre 4 et 16 caractères).
    • Alphabétique : des lettres de l’alphabet sont nécessaires. Les nombres et symboles ne sont pas nécessaires. Entrez également :

      • Longueur minimale du mot de passe : entrez la longueur minimale du mot de passe (entre 4 et 16 caractères).
    • Alphanumériques : inclut des lettres majuscules, minuscules et des caractères numériques. Entrez également :

      • Longueur minimale du mot de passe : entrez la longueur minimale du mot de passe (entre 4 et 16 caractères).
    • Alphanumérique avec symboles : inclut des lettres majuscules, minuscules, des caractères numériques, des signes de ponctuation et des symboles. Entrez également :

      • Longueur minimale du mot de passe : entrez la longueur minimale du mot de passe (entre 4 et 16 caractères).
      • Nombre de caractères obligatoires : entrez le nombre de caractères du mot de passe (entre 0 et 16 caractères).
      • Nombre de caractères minuscules obligatoires : entrez le nombre de caractères en minuscules du mot de passe (entre 0 et 16 caractères).
      • Nombre de caractères majuscules obligatoires : entrez le nombre de caractères en majuscules du mot de passe (entre 0 et 16 caractères).
      • Nombre de caractères obligatoires autres que des lettres : entrez le nombre de caractères non lettres (tout caractère hors lettres de l’alphabet) du mot de passe (entre 0 et 16 caractères).
      • Nombre de caractères numériques obligatoires : entrez le nombre de caractères numériques (1, 2, 3, etc.) du mot de passe (entre 0 et 16 caractères).
      • Nombre de symboles obligatoires : entrez le nombre de symboles (&, #, %, etc.) du mot de passe (entre 0 et 16 caractères).
  • Nombre de jours avant expiration du mot de passe : entrez le nombre de jours après lesquels l’utilisateur doit changer le mot de passe de l’appareil (de 1 à 365). Par exemple, entrez 90 pour que le mot de passe expire après 90 jours. Lorsque le mot de passe arrive à expiration, les utilisateurs sont invités à créer un mot de passe. Quand la valeur est vide, Intune ne change pas ou ne met pas à jour ce paramètre.

  • Nombre de mots de passe obligatoires avant que l’utilisateur puisse en réutiliser un : Utilisez ce paramètre pour empêcher les utilisateurs de créer des mots de passe déjà utilisés. entrez le nombre de mots de passe précédemment utilisés (de 1 à 24) qui ne peuvent pas être utilisés. Par exemple, entrez 5 pour que les utilisateurs ne puissent pas définir comme nouveau mot de passe leur mot de passe actuel ni l’un de leurs quatre mots de passe précédents. Quand la valeur est vide, Intune ne change pas ou ne met pas à jour ce paramètre.

  • Nombre d’échecs de connexion avant réinitialisation de l’appareil : entrez le nombre de mots de passe incorrects autorisés avant réinitialisation de l’appareil (de 4 à 11). 0 (zéro) peut désactiver la fonctionnalité de réinitialisation de l’appareil. Quand la valeur est vide, Intune ne change pas ou ne met pas à jour ce paramètre.

    Notes

    Il n’est pas demandé de définir un mot de passe sur les appareils complètement managés, dédiés et appartenant à l’entreprise avec profil professionnel. Les paramètres sont obligatoires, mais les utilisateurs peuvent ne pas être notifiés. Les utilisateurs doivent définir le mot de passe manuellement. La stratégie apparaît comme étant en échec tant que l’utilisateur n’a pas défini de mot de passe conforme à vos exigences.

Profil personnel

  • Appareil photo : Bloquer empêche l’accès à l’appareil photo pendant l’utilisation personnelle. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser l’utilisation de l’appareil photo dans le profil personnel.
  • Capture d’écran : Bloquer empêche les captures d’écran pendant l’utilisation personnelle. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut permettre aux utilisateurs d’obtenir des captures d’écran ou des visuels dans le profil personnel.
  • Autoriser les utilisateurs à activer l’installation d’applications à partir de sources inconnues dans le profil personnel : Sélectionnez Autoriser pour permettre aux utilisateurs d’installer des applications à partir de sources inconnues dans le profil personnel. Les utilisateurs peuvent alors installer des applications à partir de sources autres que le Google Play Store. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut empêcher les utilisateurs d’installer des applications à partir de sources inconnues dans le profil personnel.

Appareils appartenant à l’utilisateur avec un profil professionnel

Ces paramètres s’appliquent aux appareils Android Enterprise appartenant à l’utilisateur avec un profil professionnel (BYOD).

Paramètres des appareils appartenant à l’utilisateur avec profil professionnel

  • Copier-coller les données entre le profil professionnel et le profil personnel : Bloquer empêche tout copier-coller entre les applications professionnelles et personnelles. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut permettre aux utilisateurs de partager des données par copier-coller dans les applications du profil personnel.

  • Partage de données entre profils professionnels et personnels : Choisissez cette option pour autoriser les applications du profil professionnel appartenant à l’utilisateur à partager des données avec les applications du profil personnel. Par exemple, vous pouvez contrôler les actions de partage dans les applications, notamment l’option Partager dans l’application de navigateur Chrome. Ce paramètre ne s’applique pas au comportement du Presse-papiers pour les opérations de type copier/coller. Les options disponibles sont les suivantes :

    • Paramètre par défaut de l’appareil : comportement de partage par défaut de l’appareil, qui varie en fonction de la version Android.
      • Sur les appareils qui exécutent Android 6.0 et ultérieur, le partage du profil professionnel appartenant à l’utilisateur avec le profil personnel est bloqué. Toutefois, le partage du profil personnel avec le profil professionnel appartenant à l’utilisateur est autorisé.
      • Sur les appareils Android 6.0 (et versions antérieures), le partage entre le profil professionnel détenu par l’utilisateur et le profil personnel est bloqué dans les deux sens.
    • Les applications du profil professionnel peuvent gérer une demande de partage venant d’un profil personnel : Cette option active la fonctionnalité Android intégrée qui autorise le partage des données entre le profil personnel et le profil professionnel appartenant à l’utilisateur. Lorsque cette option est activée, une demande de partage à partir d’une application du profil personnel peut partager des données avec les applications associées au profil professionnel appartenant à l’utilisateur. Ce paramètre est le comportement par défaut des appareils Android exécutant des versions antérieures à 6.0.
    • Aucune restriction sur le partage : Ce paramètre permet le partage dans les deux sens au-delà de la limite du profil professionnel appartenant à l’utilisateur. Lorsque vous sélectionnez ce paramètre, les applications du profil professionnel appartenant à l’utilisateur peuvent partager des données avec des applications sans badge du profil personnel. Ce paramètre autorise le partage entre les applications gérées du profil professionnel appartenant à l’utilisateur et les applications situées du côté non géré de l’appareil. Vous devez donc utiliser ce paramètre avec précaution.
  • Notifications du profil professionnel quand l’appareil est verrouillé : Bloquer empêche l’affichage des notifications, notamment les toasts, les appels entrants, les appels sortants, les alertes système et les erreurs système, sur les appareils verrouillés. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut afficher des notifications.

  • Autorisations des applications par défaut : Définit la stratégie d’autorisation par défaut de toutes les applications incluses dans le profil professionnel appartenant à l’utilisateur. À compter d’Android 6, les utilisateurs sont invités à accorder certaines autorisations requises par les applications quand l’application est lancée. Ce paramètre de stratégie vous permet de décider si les utilisateurs sont invités à accorder des autorisations pour toutes les applications du profil professionnel appartenant à l’utilisateur. Par exemple, vous pouvez affecter au profil professionnel appartenant à l’utilisateur une application qui nécessite un accès à un emplacement. Normalement, cette application invite les utilisateurs à approuver ou à refuser l’accès à la position pour l’application. Utilisez cette stratégie pour accorder automatiquement les autorisations sans invite, refuser automatiquement les autorisations sans invite, ou laisser l’utilisateur décider. Les options disponibles sont les suivantes :

    • Paramètre par défaut de l’appareil
    • Demander
    • Accorder automatiquement
    • Refuser automatiquement

    Vous pouvez également utiliser une stratégie de configuration des applications pour accorder des autorisations à des applications individuelles (Applications > Stratégies de configuration des applications).

  • Ajouter et supprimer des comptes : Bloquer empêche les utilisateurs d’ajouter ou de supprimer manuellement des comptes dans le profil professionnel appartenant à l’utilisateur. Par exemple, quand vous déployez l’application Gmail dans un profil professionnel appartenant à l’utilisateur Android, vous pouvez empêcher les utilisateurs d’ajouter ou de supprimer des comptes dans ce profil professionnel appartenant à l’utilisateur. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser l’ajout de comptes dans le profil professionnel appartenant à l’utilisateur.

    Notes

    Il n’est pas possible d’ajouter des comptes Google à des appareils appartenant à l’utilisateur dotés d’un profil professionnel.

  • Partage de contacts via Bluetooth : Activer permet de partager les contacts des appareils appartenant à l’utilisateur avec profil professionnel, et d’y accéder, à partir d’un autre appareil, notamment un véhicule, appairé par Bluetooth. L’activation de ce paramètre peut permettre à certains appareils Bluetooth de mettre en cache des contacts professionnels à la première connexion. La désactivation de cette stratégie après un jumelage/une synchronisation initiale ne supprime pas toujours les contacts professionnels d’un appareil Bluetooth.

    Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut ne pas partager les contacts professionnels.

    Ce paramètre s’applique à :

    • Appareils appartenant à l’utilisateur avec profil professionnel Android 6.0 et ultérieur
  • Capture d’écran : Bloquer empêche les captures d’écran sur l’appareil dans le profil professionnel appartenant à l’utilisateur. Cela empêche également que le contenu soit affiché sur les écrans dépourvus de sortie vidéo sécurisée. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser les captures d’écran.

  • Afficher l’ID d’appelant du contact professionnel dans le profil personnel : Bloquer n’affiche pas le numéro d’appelant du contact professionnel dans le profil personnel. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut afficher les détails de l’appelant du contact professionnel.

    Ce paramètre s’applique à :

    • Appareils appartenant à l’utilisateur avec profil professionnel Android 6.0 et ultérieur
  • Rechercher des contacts professionnels à partir du profil personnel : Bloquer empêche les utilisateurs de rechercher des contacts professionnels dans des applications du profil personnel. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser la recherche de contacts professionnels dans le profil personnel.

  • Appareil photo : Bloquer empêche l’accès à l’appareil photo de l’appareil dans le profil professionnel appartenant à l’utilisateur. L’appareil photo dans le profil personnel n’est pas affectée par ce paramètre. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser l’accès à l’appareil photo.

  • Autoriser les widgets dans les applications du profil professionnel : Activer permet aux utilisateurs de placer les widgets exposés par des applications sur l’écran d’accueil. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut désactiver cette fonctionnalité.

    Par exemple, Outlook est installé sur les profils professionnels qui appartiennent à vos utilisateurs. Quand ce paramètre est défini sur Activer, les utilisateurs peuvent placer le widget Agenda sur l’écran d’accueil de l’appareil.

  • Exiger le mot de passe du profil professionnel : Exiger force une stratégie de mot de passe qui s’applique uniquement aux applications dans le profil professionnel appartenant à l’utilisateur. Par défaut, les utilisateurs peuvent utiliser les deux codes PIN définis séparément. Ou bien, les utilisateurs peuvent combiner les codes PIN dans le plus fort des deux. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser les utilisateurs à utiliser des applications professionnelles sans entrer de mot de passe.

    Ce paramètre s’applique à :

    • Appareils appartenant à l’utilisateur avec profil professionnel Android 7.0 et ultérieur

    Configurez également :

    • Longueur minimale du mot de passe : entrez la longueur minimale du mot de passe (entre 4 et 16 caractères).

    • Nombre maximal de minutes d’inactivité avant le verrouillage du profil professionnel : entrez la durée pendant laquelle les appareils doivent être inactifs avant que l’écran ne soit automatiquement verrouillé. Les utilisateurs doivent entrer leurs informations d’identification pour rétablir l’accès. Par exemple, entrez 5 pour verrouiller l’appareil après cinq minutes d’inactivité. Quand la valeur est vide ou Non configuré, Intune ne change pas ou ne met pas à jour ce paramètre.

      Sur les appareils, les utilisateurs ne peuvent pas définir une valeur de temps supérieure à la durée configurée dans le profil. Les utilisateurs peuvent définir une valeur de temps inférieure. Par exemple, si le profil est défini sur 15 minutes, les utilisateurs peuvent définir la valeur sur 5 minutes. Les utilisateurs ne peuvent pas définir la valeur sur 30 minutes.

    • Nombre d’échecs de connexion avant réinitialisation de l’appareil : Entrez le nombre autorisé de mots de passe incorrects avant réinitialisation du profil professionnel appartenant à l’utilisateur sur l’appareil (entre 4 et 11). 0 (zéro) peut désactiver la fonctionnalité de réinitialisation de l’appareil. Quand la valeur est vide, Intune ne change pas ou ne met pas à jour ce paramètre.

    • Expiration du mot de passe (en jours) : entrez le nombre de jours qui peuvent s’écouler avant que le mot de passe de l’utilisateur ne doive être modifié (de 1 à 365).

    • Type de mot de passe requis : entrez le niveau de complexité du mot de passe requis et si les appareils biométriques peuvent être utilisés. Les options disponibles sont les suivantes :

      • Paramètre par défaut de l’appareil
      • Sécurité biométrique faible : Biométrie forte et faible (dirige sur le site web d’Android)
      • Obligatoire
      • Au moins numérique : comprend les caractères numériques, tels que 123456789.
      • Chiffres complexes : les chiffres répétés ou consécutifs (comme 1111 ou 1234) ne sont pas autorisés.
      • Au moins alphabétique : comprend les lettres de l’alphabet. Les nombres et symboles ne sont pas nécessaires.
      • Au moins alphanumérique : inclut des lettres majuscules, minuscules et des caractères numériques.
      • Au moins alphanumérique avec des symboles : inclut des lettres majuscules, minuscules, des caractères numériques, des signes de ponctuation et des symboles.
    • Empêcher la réutilisation des mots de passe précédents : Utilisez ce paramètre pour empêcher les utilisateurs de créer des mots de passe déjà utilisés. entrez le nombre de mots de passe précédemment utilisés (de 1 à 24) qui ne peuvent pas être utilisés. Par exemple, entrez 5 pour que les utilisateurs ne puissent pas définir comme nouveau mot de passe leur mot de passe actuel ni l’un de leurs quatre mots de passe précédents. Quand la valeur est vide, Intune ne change pas ou ne met pas à jour ce paramètre.

    • Déverrouillage du visage : Bloquer empêche les utilisateurs de déverrouiller le profil professionnel appartenant à l’utilistaeur en utilisant la reconnaissance faciale de l’appareil. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser les utilisateurs à déverrouiller l’appareil à l’aide de la reconnaissance faciale.

    • Déverrouillage par empreinte digitale : Bloquer empêche les utilisateurs de déverrouiller le profil professionnel appartenant à l’utilistaeur en utilisant le lecteur d’empreintes digitales de l’appareil. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser les utilisateurs à déverrouiller l’appareil à l’aide d’une empreinte digitale.

    • Déverrouillage par iris : Bloquer empêche les utilisateurs de déverrouiller le profil professionnel appartenant à l’utilistaeur en utilisant le lecteur d’iris de l’appareil. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser les utilisateurs à déverrouiller l’appareil à l’aide du lecteur d’iris.

    • Smart Lock et autres agents de confiance : Bloquer empêche Smart Lock ou d’autres agents de confiance d’ajuster les paramètres d’écran de verrouillage sur les appareils compatibles. Si les appareils se trouvent dans un emplacement approuvé, cette fonctionnalité, également connue sous le nom d’agent de confiance, vous permet de désactiver ou de contourner le mot de passe de l’écran de verrouillage de l’appareil. Par exemple, contournez le mot de passe du profil professionnel appartenant à l’utilisateur quand les appareils sont connectés à un appareil Bluetooth spécifique ou à proximité d’une étiquette NFC. Utilisez ce paramètre pour empêcher les utilisateurs de configurer Smart Lock.

      Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre.

Mot de passe

Ces paramètres de mot de passe s’appliquent aux appareils appartenant à l’utilisateur avec profil professionnel.

  • Longueur minimale du mot de passe : entrez la longueur minimale du mot de passe (entre 4 et 16 caractères).

  • Nombre maximal de minutes d’inactivité avant le verrouillage de l’appareil : entrez la durée pendant laquelle les appareils doivent être inactifs avant que l’écran ne soit automatiquement verrouillé. Les utilisateurs doivent entrer leurs informations d’identification pour rétablir l’accès. Par exemple, entrez 5 pour verrouiller l’appareil après cinq minutes d’inactivité. Quand la valeur est vide ou Non configuré, Intune ne change pas ou ne met pas à jour ce paramètre.

    Sur les appareils, les utilisateurs ne peuvent pas définir une valeur de temps supérieure à la durée configurée dans le profil. Les utilisateurs peuvent définir une valeur de temps inférieure. Par exemple, si le profil est défini sur 15 minutes, les utilisateurs peuvent définir la valeur sur 5 minutes. Les utilisateurs ne peuvent pas définir la valeur sur 30 minutes.

  • Nombre d’échecs de connexion avant réinitialisation de l’appareil : Entrez le nombre autorisé de mots de passe incorrects avant réinitialisation du profil professionnel appartenant à l’utilisateur sur l’appareil (entre 4 et 11). 0 (zéro) peut désactiver la fonctionnalité de réinitialisation de l’appareil. Quand la valeur est vide, Intune ne change pas ou ne met pas à jour ce paramètre.

  • Expiration du mot de passe (en jours) : entrez le nombre de jours après lesquels l’utilisateur doit changer le mot de passe de l’appareil (de 1 à 365). Par exemple, entrez 90 pour que le mot de passe expire après 90 jours. Lorsque le mot de passe arrive à expiration, les utilisateurs sont invités à créer un mot de passe. Quand la valeur est vide, Intune ne change pas ou ne met pas à jour ce paramètre.

  • Type de mot de passe requis : entrez le niveau de complexité du mot de passe requis et si les appareils biométriques peuvent être utilisés. Les options disponibles sont les suivantes :

    • Paramètre par défaut de l’appareil
    • Sécurité biométrique faible : Biométrie forte et faible (dirige sur le site web d’Android)
    • Obligatoire
    • Au moins numérique : comprend les caractères numériques, tels que 123456789.
    • Chiffres complexes : les chiffres répétés ou consécutifs (comme 1111 ou 1234) ne sont pas autorisés.
    • Au moins alphabétique : comprend les lettres de l’alphabet. Les nombres et symboles ne sont pas nécessaires.
    • Au moins alphanumérique : inclut des lettres majuscules, minuscules et des caractères numériques.
    • Au moins alphanumérique avec des symboles : inclut des lettres majuscules, minuscules, des caractères numériques, des signes de ponctuation et des symboles.
  • Empêcher la réutilisation des mots de passe précédents : Utilisez ce paramètre pour empêcher les utilisateurs de créer des mots de passe déjà utilisés. entrez le nombre de mots de passe précédemment utilisés (de 1 à 24) qui ne peuvent pas être utilisés. Par exemple, entrez 5 pour que les utilisateurs ne puissent pas définir comme nouveau mot de passe leur mot de passe actuel ni l’un de leurs quatre mots de passe précédents. Quand la valeur est vide, Intune ne change pas ou ne met pas à jour ce paramètre.

  • Déverrouillage par empreinte digitale : Bloquer empêche les utilisateurs de déverrouiller l’appareil en utilisant le lecteur d’empreintes digitales. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser les utilisateurs à déverrouiller l’appareil à l’aide d’une empreinte digitale.

  • Déverrouillage du visage : Bloquer empêche les utilisateurs de déverrouiller l’appareil en utilisant la reconnaissance faciale. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser les utilisateurs à déverrouiller l’appareil à l’aide de la reconnaissance faciale.

  • Déverrouillage par iris : Bloquer empêche les utilisateurs de déverrouiller l’appareil en utilisant le lecteur d’iris. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser les utilisateurs à déverrouiller l’appareil à l’aide du lecteur d’iris.

  • Smart Lock et autres agents de confiance : Bloquer empêche Smart Lock ou d’autres agents de confiance d’ajuster les paramètres d’écran de verrouillage sur les appareils compatibles. Si les appareils se trouvent dans un emplacement approuvé, cette fonctionnalité, également connue sous le nom d’agent de confiance, vous permet de désactiver ou de contourner le mot de passe de l’écran de verrouillage de l’appareil. Par exemple, contournez le mot de passe du profil professionnel appartenant à l’utilisateur quand les appareils sont connectés à un appareil Bluetooth spécifique ou à proximité d’une étiquette NFC. Utilisez ce paramètre pour empêcher les utilisateurs de configurer Smart Lock.

    Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre.

Sécurité système

  • Exiger l’analyse des menaces sur les applications : l’option Exiger applique la règle indiquant que le paramètre Vérifier les applications est activé pour les profils professionnels et personnels. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre.

    Ce paramètre s’applique à :

    • Appareils appartenant à l’utilisateur avec profil professionnel Android 8 (Oreo) et ultérieur
  • Empêcher les installations d’applications à partir de sources inconnues dans le profil personnel : Par défaut, les appareils Android Enterprise appartenant à l’utilisateur avec profil professionnel ne peuvent pas installer d’applications à partir de sources autres que le Play Store. Ce paramètre permet aux administrateurs de contrôler davantage les installations d’applications provenant de sources inconnues. Bloquer empêche les installations d’applications à partir de sources autres que Google Play Store dans le profil personnel. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser les installations d’applications provenant de sources inconnues dans le profil personnel. Par essence, les appareils appartenant à l’utilisateur avec profil professionnel sont à double profil :

    • Appareils appartenant à l’utilisateur avec profil professionnel managé par GPM.
    • Un profil personnel qui est isolé de la gestion MDM.

Connectivité

  • VPN AlwaysOn : Activer indiquer à un client VPN de se connecter et de se reconnecter automatiquement au réseau VPN. Les connexions VPN Always on restent connectées. Ou, se connecter immédiatement quand les utilisateurs verrouillent leur appareil, que l’appareil redémarre ou que le réseau sans fil change.

    Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut désactiver le VPN Always on pour tous les clients VPN.

    Important

    Veillez à ne déployer qu’une seule stratégie VPN Always On sur un seul appareil. Le déploiement de plusieurs stratégies VPN Always On sur un seul appareil n’est pas pris en charge.

  • Client VPN : choisissez un client VPN qui prend en charge AlwaysOn. Les options disponibles sont les suivantes :

    • Cisco AnyConnect
    • Accès F5
    • Palo Alto Networks GlobalProtect
    • Pulse Secure
    • Personnalisé
      • ID de package : entrez l’ID de package de l’application dans le Google Play Store. Par exemple, si l’URL de l’application dans le Play Store est https://play.google.com/store/details?id=com.contosovpn.android.prod, l’ID de package est com.contosovpn.android.prod.

    Important

    • Le client VPN que vous choisissez doit être installé sur l’appareil. Il doit également prendre en charge le VPN par application sur les appareils appartenant à l’utilisateur avec profil professionnel. Sinon, une erreur se produit.
    • Vous devez approuver l’application cliente VPN dans le Google Play Store géré, la synchroniser avec Intune et la déployer sur l’appareil. Après cela, l’application est installée sur les appareils appartenant à l’utilisateur avec profil professionnel.
    • Il peut exister des problèmes connus liés à l’utilisation du VPN par application avec un accès F5 pour Android 3.0.4. Pour plus d’informations, consultez les notes de publication de F5 Access for Android 3.0.4 sur le site F5.
  • Mode de verrouillage : Activer force l’ensemble du trafic réseau à utiliser le tunnel VPN. Si aucune connexion au VPN n’est établie, l’appareil n’a pas d’accès réseau.

    Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut permettre au trafic de passer par le tunnel VPN ou le réseau mobile.

Étapes suivantes

Attribuer le profil et suivre son état.

Vous pouvez également créer des profils plein écran pour des appareils Android et Windows 10 dédiés.

Configurer et résoudre les problèmes liés aux appareils Android Enterprise dans Microsoft Intune.