Windows 10 Mobile et gestion des périphériques mobiles
Ce guide offre une vue d’ensemble des technologies de gestion des applications et des périphériques mobiles au sein du système d’exploitation Windows 10 Mobile. Il décrit comment les systèmes de gestion des périphériques mobiles utilisent le client de gestion de périphérique intégré pour déployer, configurer, gérer et prendre en charge les téléphones et les petites tablettes exécutant Windows 10 Mobile.
Les appareils BYOD (c’est-à-dire les appareils personnels) et d’entreprise correspondent aux scénarios clés pris en charge par les fonctionnalités GPM de Windows 10 Mobile. Le système d’exploitation offre une approche flexible de l’enregistrement d’appareils à l’aide des services d’annuaire et GPM et les entreprises informatiques peuvent approvisionner des profils de configuration complets d’appareil en fonction de leurs besoins de contrôle et de sécurisation des données d’entreprise mobiles.
Windows 10 Mobile propose non seulement des paramètres de configuration plus complets et restrictifs que Windows Phone 8.1, mais fournit également des fonctionnalités permettant de déployer et de gérer les applications conçues sur la plateforme Windows universelle (UWP). Les entreprises peuvent distribuer des applications directement à partir du Windows Store ou à l’aide de leur système GPM. Ils peuvent contrôler et distribuer des applications cœur de métier personnalisées de la même manière.
Vue d’ensemble
Parallèlement au fait que les utilisateurs des organisations dépendent de plus en plus de leurs appareils mobiles, les téléphones et tablettes constituent de nouveaux défis inhabituels pour les services informatiques. Les services informatiques doivent être en mesure de déployer et de gérer rapidement des appareils et des applications mobiles pour la prise en charge des activités tout en équilibrant le besoin croissant de protection des données d’entreprise en raison des lois, des réglementations et de la cybercriminalité en constante évolution. Ces services doivent s’assurer que les applications et les données de ces appareils mobiles sont sécurisées, en particulier sur les appareils personnels. Windows 10 Mobile permet aux entreprises de relever ces défis en proposant un client GPM robuste, flexible et intégré. Les services informatiques peuvent utiliser le système GPM de leur choix pour gérer ce client.
Client GPM intégré
Le client GPM intégré est commun à toutes les éditions du système d’exploitation Windows 10, y compris aux versions de bureau, mobiles et IoT. Le client fournit une interface unique par le biais de laquelle vous pouvez gérer n’importe quel appareil exécutant Windows 10. Le client joue deux rôles importants : l’inscription des appareils dans un système GPM et la gestion des appareils.
Inscription des appareils Les utilisateurs peuvent s’inscrire dans le système GPM. Sur Windows 10, un utilisateur peut enregistrer un appareil à l’aide de Microsoft Azure Active Directory (Azure AD) et s’inscrire en même temps dans un système GPM pour que le système puisse gérer l’appareil, les applications qu’il exécute, et les données confidentielles qu’il contient. L’inscription établit l’autorité de gestion de l’appareil. Seule une autorité de gestion (ou inscription GPM) est possible à la fois, ce qui permet d’empêcher tout accès non autorisé aux appareils et permet de garantir leur stabilité et leur fiabilité.
Gestion des appareils. Le client GPM permet au système GPM de configurer des paramètres de stratégie, de déployer des applications et des mises à jour et d’effectuer d’autres tâches de gestion, comme parcourir à distance l’appareil. Le système GPM envoie des demandes de configuration et collecte l’inventaire par le biais du client GPM. Le client utilise les fournisseurs de services de configuration pour configurer et inventorier les paramètres. Un CSP est une interface permettant de lire, définir, modifier ou supprimer les paramètres de configuration d’un appareil. Ces paramètres sont mappés à des clés de registre ou des fichiers. (L’architecture de sécurité de Windows 10 Mobile empêche l’accès direct aux paramètres de registre et aux fichiers de système d’exploitation. Pour plus d’informations, voir le guide sur la sécurité Windows 10 Mobile.)
Le client GPM fait partie intégrante de Windows 10 Mobile. Par conséquent, toute application GPM personnalisée est inutile pour inscrire l’appareil ou autoriser un système GPM à le gérer. Tous les systèmes GPM ont accès de la même manière aux interfaces de programmation d’application (API) GPM Windows 10 Mobile. Vous pouvez par conséquent choisir Microsoft Intune ou un produit GPM tiers pour gérer des appareils Windows 10 Mobile. Pour plus d’informations sur les API de gestion des appareils Windows 10 Mobile, voir Gestion des périphériques mobiles.
Éditions de Windows 10 Mobile
Chaque appareil exécutant Windows 10 Mobile inclut toutes les fonctionnalités de sécurité et de gestion des appareils mobiles d’entreprise proposées par le client GPM. Microsoft propose aussi une édition Entreprise de Windows 10 Mobile, qui comprend trois fonctionnalités supplémentaires. Pour activer ces fonctionnalités, vous pouvez approvisionner un fichier de licence sans réinstaller le système d’exploitation :
**Possibilité de différer les mises à jour logicielles.**Windows 10 Mobile obtient les mises à jour logicielles directement à partir de Windows Update. Vous ne pouvez donc pas les gérer avant le déploiement. Par contre, Windows 10 Mobile Entreprise vous permet de gérer et de valider des mises à jour avant de les déployer.
Il n’y a aucune limite au nombre d’applications métiers auto-signées que vous pouvez déployer sur un seul appareil. Pour utiliser un système GPM afin de déployer des applications métiers directement sur des appareils, vous devez signer par chiffrement les packages logiciels à l’aide d’un certificat de signature de code généré par l’autorité de certification de votre entreprise. Vous pouvez déployer un maximum de 20 applications métiers auto-signées sur un appareil Windows 10 Mobile et plus de 20 si les appareils de votre organisation exécutent Windows 10 Mobile Entreprise.
Définition de la télémétrie au niveau Sécurité. Le niveau Sécurité de la télémétrie configure le système d’exploitation de manière à collecter uniquement les informations de télémétrie nécessaires pour maintenir la protection des appareils.
Remarque
Votre organisation peut choisir d’acheter un certificat de signature de code auprès de Verisign pour signer des applications cœur de métier ou utiliser Windows Store pour Entreprises pour obtenir des applications. Ces deux méthodes vous permettent de distribuer plus de 20 applications sur un seul appareil sans activer Windows 10 Mobile Entreprise sur cet appareil à l’aide de votre système GPM.
Pour activer Windows 10 Mobile Entreprise sur n’importe quel appareil Windows 10 Mobile, utilisez le système GPM de votre société ou un package d’approvisionnement pour injecter une licence dans l’appareil. Vous pouvez télécharger une licence Windows 10 Mobile Entreprise à partir du portail de prise en charge d’entreprise.
Gestion du cycle de vie
Windows 10 Mobile prend en charge le cycle de vie de gestion des appareils de bout en bout pour permettre aux sociétés de contrôler leurs appareils, leurs données et leurs applications. Les systèmes GPM complets utilisent le client GPM intégré pour gérer les appareils tout au long de leur cycle de vie, comme l’illustre la Figure 1. La suite de ce guide décrit les fonctionnalités de gestion des applications et des appareils mobiles du système d’exploitation par le biais de chaque phase du cycle de vie, montrant comment les systèmes GPM utilisent les fonctionnalités spécifiques.
.png "Figure 1")
Figure 1. Cycle de vie de gestion des appareils
Déploiement de l’appareil
Cette étape comprend l’enregistrement initial et la configuration de l’appareil, notamment son inscription à l’aide d’un système GPM. Parfois, les entreprises préinstallent des applications. Les principaux facteurs de déploiement des appareils et des contrôles mis en place reposent sur la possession de l’appareil et son utilisation par l’utilisateur. Ce guide couvre deux scénarios :
Les entreprises permettent aux utilisateurs de personnaliser leurs appareils, car ils en sont propriétaires ou parce que la stratégie de la société ne nécessite pas de contrôle strict (définis en tant qu’appareils personnels dans ce guide).
Les sociétés n’autorisent pas les utilisateurs à personnaliser leurs appareils ou limitent leur personnalisation généralement parce que l’organisation en est propriétaire et en raison de considérations de sécurité élevées (définis comme appareils d’entreprise dans ce guide).
Souvent, les employés peuvent choisir des appareils parmi une liste de modèles pris en charge, ou les sociétés proposent des appareils préconfigurés ou démarrés à l’aide d’une configuration de base.
Microsoft recommande Azure AD Join ainsi que l’inscription et la gestion GPM pour les appareils d’entreprise et Azure AD Registration, ainsi que l’inscription et la gestion GPM pour les appareils personnels.
Scénarios de déploiement
La plupart des organisations prennent en charge les scénarios relatifs aux appareils d’entreprise et personnels. L’infrastructure de ces scénarios est similaire, mais le processus de déploiement et les stratégies de configuration diffèrent. Le tableau 1 décrit les caractéristiques des scénarios relatifs aux appareils personnels et d’entreprise. L’activation d’un appareil doté d’une identité d’organisation est propre à Windows 10 Mobile.
Tableau 1. Caractéristiques des scénarios relatifs aux appareils personnels et d’entreprise.
| Appareils personnels | Appareils d’entreprise | |
| Propriété | Utilisateur | Organisation |
| Utilisation principale | Personnelle | Professionnelle |
| Déploiement | L’identité principale figurant sur l’appareil est une identité personnelle. Un compte Microsoft est l’option par défaut pour Windows 10 Mobile. | L’identité principale figurant sur l’appareil est une identité d’organisation. Un compte Azure AD est l’option par défaut pour Windows 10 Mobile. |
Gestion des identités
Les personnes ne peuvent utiliser qu’un seul compte pour activer un appareil, c’est pourquoi il est impératif que votre organisation contrôle le compte activé en premier. Le compte que vous choisissez déterminera qui contrôle l’appareil et influe sur les fonctionnalités de gestion. La liste suivante décrit l’impact de l’identité des utilisateurs sur la gestion (le tableau 2 récapitule ces considérations) :
Identité personnelle. Dans ce scénario, les employés utilisent leur compte Microsoft pour activer l’appareil. Ensuite, ils utilisent leur compte Azure AD (identité d’organisation) pour enregistrer l’appareil dans Azure AD et l’inscrire à l’aide de la solution GPM de la société. Vous pouvez appliquer des stratégies pour protéger et stocker des applications et des données d’entreprise sur les appareils, conçues pour empêcher toute perte de propriété intellectuelle. Toutefois, les utilisateurs conservent un contrôle total sur leurs activités personnelles, telles que le téléchargement et l’installation d’applications et de jeux.
Identité d’organisation. Dans ce scénario, les employés utilisent leur compte Azure AD pour enregistrer l’appareil sur Azure AD et l’inscrire automatiquement à l’aide de la solution GPM de l’entreprise. Dans ce cas, les sociétés peuvent bloquer l’utilisation personnelle des appareils. L’utilisation des identités d’organisation pour initialiser des appareils permet aux entreprises de contrôler totalement les appareils et d’empêcher leur personnalisation.
Tableau 2. Identité personnelle par rapport à l’identité d’entreprise
| Identité personnelle | Identité d’entreprise | |
| Premier compte sur l’appareil | Compte Microsoft | Compte Azure AD |
| Connexion de l’appareil | Les utilisateurs ne peuvent pas se connecter aux appareils à l’aide d’informations d’identification Azure AD, même s’ils les ajoutent après l’activation initiale avec un compte Microsoft. | Les utilisateurs peuvent déverrouiller les appareils avec un compte Azure AD. Les organisations peuvent empêcher l’ajout d’une identité personnelle. |
| Paramètres utilisateur et itinérance des données sur les appareils | L’itinérance des paramètres utilisateur et d’application s’effectue sur les appareils activés avec la même identité personnelle via un compte OneDrive personnel. | Windows 10 Mobile ne prend actuellement pas en charge l’itinérance des paramètres utilisateur et d’application via le cloud de l’entreprise. Il peut bloquer l’itinérance des paramètres de cloud personnels. |
| Possibilité de bloquer l’utilisation d’une identité personnelle sur l’appareil | Non | Oui |
| Niveau de contrôle | L’organisation peut appliquer la plupart* des stratégies restrictives aux appareils, mais ne peut pas supprimer le compte Microsoft de ces dernières. Les utilisateurs d’appareils peuvent récupérer un contrôle total sur leurs appareils en les désinscrivant de la solution GPM de l’organisation. Remarque*La fonctionnalité GPM sur les appareils personnels peut être limitée à l’avenir. |
Les organisations sont libres d’appliquer aux appareils les stratégies restrictives requises par les normes en matière de stratégie et les réglementations de conformité exigent et d’empêcher l’utilisateur de désinscrire l’appareil de l’entreprise. |
Configuration requise pour l’infrastructure
Dans les deux scénarios, l’infrastructure et les outils essentiels au déploiement et à la gestion d’appareils Windows 10 Mobile incluent un abonnement Azure AD et un système GPM.
Azure AD est un service d’annuaire basé sur le cloud qui offre des fonctionnalités de gestion des accès et de l’identité. Vous pouvez l’intégrer à des répertoires sur site existants pour créer une solution hybride. Azure AD existe en trois éditions : la version gratuite, de base et Premium (voir Éditions d’Azure Active Directory). Toutes les éditions prennent en charge l’enregistrement d’appareils Azure AD, toutefois l’édition Premium est requise pour activer l’inscription automatique GPM et l’accès conditionnel basé sur l’état de l’appareil. Les organisations qui utilisent Microsoft Office 365 ou Intune utilisent déjà Azure AD.
Remarque
La plupart des fournisseurs GPM leaders du secteur prennent déjà en charge l’intégration à Azure AD ou y travaillent. Vous trouverez les fournisseurs GPM prenant en charge Azure AD dans Azure Marketplace.
Les utilisateurs peuvent inscrire des appareils Windows 10 Mobile dans des systèmes GPM tiers sans recourir à un compte d’organisation Azure AD. (Par défaut, Intune utilise Azure AD et inclut une licence). Si votre organisation n’utilise pas Azure AD, vous devez vous servir d’une identité personnelle pour activer des appareils et permettre des scénarios courants, tels que le téléchargement d’applications depuis le Windows Store.
Plusieurs systèmes GPM prenant en charge Windows 10 Mobile sont disponibles. La plupart prennent en charge des scénarios de déploiement d’appareils personnels et d’entreprise. Microsoft propose Intune, qui fait partie de Enterprise Mobility Suite, et un système GPM basé sur le cloud chargé de gérer les appareils distants. Comme Office 365, Intune utilise Azure AD pour la gestion de l’identité, afin que les employés utilisent les mêmes informations d’identification pour inscrire les appareils dans Intune ou se connecter à Office 365. Intune prend en charge les appareils qui exécutent d’autres systèmes d’exploitation, tels qu’iOS et Android, pour proposer une solution GPM complète.
Vous pouvez également intégrer Intune à System Center Configuration Manager pour obtenir une console unique dans laquelle gérer tous les appareils dans le cloud et locaux. Pour plus d’informations, voir Gérer les appareils mobiles avec Configuration Manager et Microsoft Intune. Pour obtenir des recommandations sur le choix entre une installation Intune autonome et l’intégration d’Intune à System Center Configuration Manager, voir Choose between Intune by itself or integrating Intune with System Center Configuration Manager (Choisir entre Intune seul ou intégré à System Center Configuration Manager.
Outre Intune, d’autres fournisseurs GPM prennent en charge Windows 10 Mobile. Actuellement, les systèmes GPM suivants prennent en charge Windows 10 et Windows 10 Mobile : AirWatch, Citrix, Lightspeed Systems, Matrix42, MobileIron, SAP, SOTI, et Symantec.
Tous les fournisseurs GPM disposent d’un accès équivalent aux API GPM Windows 10. L’étendue de l’implémentation de ces API dépend du fournisseur. Contactez votre fournisseur GPM préféré pour déterminer son niveau de prise en charge.
Remarque
Bien que cela ne soit pas abordé dans ce guide, vous pouvez utiliser Exchange ActiveSync (EAS) pour gérer des appareils mobiles au lieu d’un système GPM complet. EAS est disponible dans Microsoft Exchange Server 2010 ou version ultérieure et Office 365.
En outre, Microsoft a récemment ajouté des fonctionnalités GPM avec Intune à Office 365. GPM pour Office 365 prend en charge les appareils mobiles, tels que ceux exécutant Windows 10 Mobile, iOS et Android. GPM pour Office 365 offre un sous-ensemble de fonctionnalités de gestion proposées par Intune, y compris la possibilité d’effacer un appareil à distance, d’empêcher un appareil d’accéder à la messagerie Exchange Server et de configurer des stratégies d’appareil (par exemple, les exigences liées à un code secret). Pour plus d’informations sur fonctionnalités GPM pour Office 365, voir Vue d’ensemble de la gestion des appareils mobiles pour Office 365.
Approvisionnement
L’approvisionnement est une nouvelle fonction de Windows 10 qui utilise le client GPM dans Windows 10 Mobile. Vous pouvez créer un package d’approvisionnement d’exécution pour appliquer des paramètres, des profils et des ressources de fichier à un appareil exécutant Windows 10.
Pour aider les utilisateurs lors de l’inscription au système GPM, utilisez un package d’approvisionnement. Pour ce faire, utilisez le Concepteur de configuration et d’acquisition d’images Windows pour créer un package d’approvisionnement et l’installer sur l’appareil.
Les utilisateurs peuvent effectuer une inscription GPM en libre-service reposant sur les scénarios de déploiement suivants :
Appareils d’entreprise. Lors de la première utilisation, vous pouvez demander à l’utilisateur de sélectionner Cet appareil appartient à mon organisation et de connecter l’appareil à Azure AD et au système GPM.
Appareil personnel. L’utilisateur active l’appareil avec un compte Microsoft. Vous pouvez toutefois lui demander d’enregistrer l’appareil avec Azure AD et de s’inscrire dans Intune. Pour ce faire, dans Windows 10 Mobile, l’utilisateur clique sur Paramètres, sur Comptes, puis sur Accès professionnel.
Pour automatiser l’inscription GPM, utilisez les packages d’approvisionnement comme suit :
Appareils d’entreprise. Vous pouvez créer un package d’approvisionnement et l’appliquer à un appareil avant la livraison à l’utilisateur ou demander à l’utilisateur d’appliquer le package durant la première utilisation. Après l’application du package d’approvisionnement, le processus OOBE choisit automatiquement le chemin d’accès de l’entreprise et demande à l’utilisateur d’inscrire l’appareil à Azure AD et de l’enregistrer dans le système GPM.
Appareil personnel. Vous pouvez créer un package d’approvisionnement et le mettre à disposition des utilisateurs souhaitant inscrire leur appareil personnel dans l’entreprise. L’utilisateur inscrit l’appareil dans le système GPM de l’entreprise pour poursuivre la configuration en appliquant le package d’approvisionnement. Pour ce faire, dans Windows 10 Mobile, l’utilisateur clique sur Paramètres, sur Comptes, puis sur Approvisionnement.
Distribuez des packages d’approvisionnement sur des appareils en les publiant à un emplacement facilement accessible (par exemple, une pièce jointe ou une page web). Vous pouvez signer par chiffrement ou chiffrer des packages d’approvisionnement et obliger l’utilisateur à saisir un mot de passe afin de les appliquer.
Voir Générer et déployer un package d’approvisionnement pour en savoir plus sur la création de packages d’approvisionnement.
Configuration d’appareil
Les sections suivantes décrivent les fonctionnalités de configuration d’appareil du client GPM Windows 10 Mobile intégré. Ce client propose les fonctionnalités à n’importe quel système GPM compatible avec Windows 10. Les paramètres configurables sont les suivants :
Comptes de messagerie
Restrictions de compte
Restrictions de verrouillage d’appareil
Restrictions matérielles
Gestion des certificats
Wi-Fi
Proxy
Réseau privé virtuel (VPN)
Profils de nom de points d’accès
Prévention des fuites de données
Gestion du stockage
Remarque
Bien que tous les paramètres GPM décrits dans cette section soient disponibles dans Windows 10 Mobile, tous les systèmes GPM ne les affichent pas dans leur interface utilisateur. En outre, les noms peuvent varier selon les systèmes GPM. Pour en savoir plus, consultez la documentation relative à votre système GPM.
Comptes de messagerie
Vous pouvez utiliser votre système GPM d’entreprise pour gérer les comptes de messagerie d’entreprise. Définissez des profils de compte de messagerie dans le système GPM, puis déployez-les sur des appareils. Vous pouvez normalement déployer ces paramètres immédiatement après l’inscription, quel que soit le scénario.
Cette fonctionnalité s’étend aux systèmes de messagerie utilisant EAS. Le Tableau 3 répertorie les paramètres que vous pouvez configurer dans les profils de messagerie EAS.
Tableau 3. Paramètres Windows 10 Mobile pour les profils de messagerie EAS
| Paramètre | Description |
|---|---|
| Adresse de messagerie | Adresse de messagerie associée au compte EAS. |
| Domaine | Nom de domaine de l’instance Exchange Server |
| Nom du compte | Nom convivial pour le compte de messagerie de l’appareil |
| Mot de passe | Mot de passe du compte de messagerie |
| Nom du serveur | Nom du serveur qui utilise le compte de messagerie |
| Nom d’utilisateur | Nom d’utilisateur du compte de messagerie |
| Filtre d’âge calendrier | Âge des éléments de calendrier à synchroniser avec l’appareil (par exemple, synchronisation des éléments de calendrier dans les 7 derniers jours) |
| Journalisation | Niveau de journalisation des diagnostics |
| Type de corps du courrier | Type de format du corps du courrier : texte, HTML, RTF ou MIME (Multipurpose Internet Mail Extensions) |
| Troncation HTML de courrier | Taille maximale d’un message électronique au format HTML avant que le message ne soit synchronisé sur l’appareil (tout e-mail au format HTML dépassant cette taille est automatiquement tronqué.) |
| Troncation de texte brut de courrier | Taille maximale d’un message électronique au format HTML avant que le message ne soit synchronisé sur l’appareil (tout e-mail au format texte dépassant cette taille est automatiquement tronqué.) |
| Planification | Planification de la synchronisation du courrier électronique entre l’instance Exchange Server et l’appareil |
| Utiliser SSL | Établit si Secure Sockets Layer (SSL) est requis lors de la synchronisation |
| Filtre d’âge de courrier | Âge des messages à synchroniser avec l’appareil (par exemple, synchronisation des messages des 7 derniers jours) |
| Types de contenus | Type de contenu synchronisé (par exemple, e-mail, contacts, calendrier, éléments de tâche) |
Le Tableau 4 répertorie les paramètres que vous pouvez configurer dans les autres profils de messagerie.
Tableau 4 Paramètres Windows 10 Mobile pour les autres profils de messagerie
| Paramètre | Description |
|---|---|
| Nom d’ouverture de session de l’utilisateur | Nom d’ouverture de session de l’utilisateur du compte de messagerie |
| Authentification sortante requise | Indique si le serveur sortant requiert une authentification |
| Mot de passe | Mot de passe du compte du champ Nom d’ouverture de session de l’utilisateur |
| Domaine | Nom de domaine du compte du champ Nom d’ouverture de session de l’utilisateur |
| Jours à télécharger | Quantité de messages électroniques (mesurée en jours) à télécharger à partir du serveur |
| Serveur entrant | Nom du serveur entrant et numéro de port, où le format de la valeur est server_name:port_number (le numéro de port est facultatif.) |
| Envoyer et recevoir la planification | Durée (en minutes) entre les mises à jour des envois et réceptions d’e-mail |
| Taille de pièce jointe maximale IMAP4 | Taille maximale des pièces jointes pour les comptes IMAP4 (Internet Message Access Protocol version 4) |
| Nom d’affichage de l’e-mail envoyé | Nom de l’expéditeur affiché sur un e-mail envoyé |
| Serveur sortant | Nom du serveur sortant et numéro de port, où le format de la valeur est server_name:port_number (le numéro de port est facultatif.) |
| Adresse de réponse | Adresse électronique de réponse de l’utilisateur |
| Nom du service de messagerie | Nom du service de messagerie |
| Type de service de messagerie | Le type de service de messagerie (par exemple, POP3, IMAP4). |
| Taille de message de réception maximale | Taille maximale (en octets) des messages récupérés à partir du serveur de courrier entrant (les messages dépassant cette taille sont tronqués pour se conformer à la taille maximale). |
| Action de suppression de message | Manière dont les messages sont supprimés sur le serveur (les messages peuvent être supprimés définitivement ou envoyés vers la Corbeille.) |
| Utiliser le réseau cellulaire uniquement | Indique si le compte doit être utilisé uniquement avec des connexions cellulaires et non Wi-Fi |
| Types de contenus à synchroniser | Types de contenus pris en charge pour la synchronisation (en d’autres termes, messages électroniques, contacts, éléments de calendrier) |
| Serveur de synchronisation du contenu | Nom du serveur de synchronisation du contenu, s’il est différent du serveur de messagerie |
| Serveur de synchronisation du calendrier | Nom du serveur de synchronisation du calendrier, s’il est différent du serveur de messagerie |
| Le serveur de contact requiert SSL | Indique si le serveur de contact requiert une connexion SSL |
| Le serveur de calendrier requiert SSL | Indique si le serveur de calendrier requiert une connexion SSL |
| Planification de la synchronisation des éléments de contact | Planification de la synchronisation des éléments de contact |
| Planification de la synchronisation des éléments de calendrier | Planification de la synchronisation des éléments de calendrier |
| Autre compte de messagerie SMTP | Nom d’affichage associé à un autre compte de messagerie SMTP d’un utilisateur |
| Autre nom de domaine SMTP | Nom de domaine de l’autre compte de messagerie de l’utilisateur |
| Autre compte SMTP activé | Indique si l’autre compte SMTP de l’utilisateur est activé |
| Autre mot de passe SMTP | Mot de passe de l’autre compte SMTP de l’utilisateur |
| Les serveurs entrants et sortants requièrent SSL | Groupe de propriétés indiquant si les serveurs de messagerie entrants et sortants utilisent SSL |
Restrictions de compte
Sur un appareil d’entreprise enregistré avec Azure AD et inscrit dans le système GPM, vous pouvez contrôler si les utilisateurs peuvent utiliser un compte Microsoft ou ajouter d’autres comptes de messagerie grand public. Le Tableau 5 répertorie les paramètres que vous pouvez utiliser pour gérer des comptes sur des appareils Windows 10 Mobile.
Tableau 5. Paramètres de gestion de compte Windows 10 Mobile
| Paramètre | Description |
|---|---|
| Autoriser un compte Microsoft | Indique si les utilisateurs sont autorisés à ajouter un compte Microsoft sur l’appareil après l’inscription GPM et à utiliser ce compte pour l’authentification de connexion et les services, tels que l’achat d’applications dans le Windows Store ou les services de consommateurs basés sur le cloud, comme Xbox ou Groove. Si un appareil a été activé avec un compte Microsoft, le système GPM ne sera pas en mesure d’empêcher l’utilisation de ce compte. |
| Autoriser l’ajout de comptes autres que Microsoft | Indique si les utilisateurs sont autorisés à ajouter des comptes de messagerie autre que des comptes Microsoft après l’inscription GPM. Si Autoriser un compte Microsoft est appliqué, l’utilisateur ne peut pas utiliser de compte Microsoft. |
| Autoriser « Votre compte » | Indique si les utilisateurs sont en mesure de modifier la configuration de compte dans le volet E-mail et comptes de Paramètres. |
Restrictions de verrouillage d’appareil
Il est recommandé de verrouiller un appareil lorsqu’il n’est pas en cours d’utilisation. Microsoft recommande de sécuriser les appareils Windows 10 Mobile et d’implémenter une stratégie de verrouillage d’appareil. Un verrouillage de l’appareil par mot de passe ou code confidentiel est une pratique recommandée pour la sécurisation des applications et des données des appareils. Windows Hello est le nom donné à la nouvelle option de connexion biométrique qui permet aux utilisateurs d’utiliser leur visage, leur iris ou leurs empreintes digitales pour déverrouiller leur appareil compatible, prise en charge par Windows 10.
Remarque
Outre les restrictions de verrouillage d’appareil abordées dans cette section, Windows 10 prend en charge Microsoft Passport for Work, qui vous permet d’accéder à des applications et services sans mot de passe.
Le Tableau 6 répertorie les paramètres GPM de Windows 10 Mobile que vous pouvez utiliser pour configurer des restrictions de verrouillage d’appareil.
Tableau 6. Restrictions de verrouillage d’appareil Windows 10 Mobile
| Paramètre | Description |
|---|---|
| Mot de passe d’appareil activé | Indique si les utilisateurs sont tenus d’utiliser un mot de passe de verrouillage d’appareil Remarque
|
| Autoriser un mot de passe simple d’appareil | Indique si les utilisateurs peuvent utiliser un mot de passe simple (par exemple, 1111 ou 1234) |
| Mot de passe alphanumérique d’appareil requis | Indique si les utilisateurs doivent utiliser un mot de passe alphanumérique. Si ce paramètre est configuré, Windows invite l’utilisateur à entrer un mot de passe complexe à partir d’un clavier d’appareil complet. Si ce paramètre n’est pas configuré, l’utilisateur sera en mesure d’entrer un code confidentiel numérique au clavier. |
| Nombre minimal de caractères complexes du mot de passe de l’appareil | Nombre de types d’éléments de mot de passe (en d’autres termes, les lettres majuscules, les lettres minuscules, les numéros ou les signes de ponctuation) requis pour la création de mots de passe forts |
| Expiration du mot de passe de l’appareil | Nombre de jours avant expiration d’un mot de passe (Les données biométriques n’expirent pas.) |
| Historique du mot de passe de l’appareil | Nombre de mots de passe conservés par Windows 10 Mobile dans l’historique des mots de passe (Les utilisateurs ne peuvent pas réutiliser les mots de passe figurant dans l’historique pour créer de nouveaux mots de passe.) |
| Longueur minimale du mot de passe de l’appareil | Nombre minimal de caractères requis pour créer de nouveaux mots de passe |
| Durée d’inactivité maximale avant verrouillage de l’appareil | Nombre de minutes d’inactivité avant le verrouillage des appareils. Mot de passe requis pour le déverrouillage d’un mot de passe |
| Autoriser la sortie du mode inactif sans mot de passe | Indique si les utilisateurs doivent s’authentifier à nouveau lorsque leur appareil sort d’un état de veille avant la fin de la durée d’inactivité |
| Nombre maximal de tentatives de saisie du mot de passe de l’appareil | Nombre d’échecs d’authentification autorisés avant qu’un appareil ne soit effacé (une valeur nulle désactive la fonctionnalité de réinitialisation de l’appareil.) |
| Délai d’expiration de l’écran de verrouillage | Nombre de minutes avant l’expiration de l’écran de verrouillage (Cette stratégie influe sur la gestion de l’alimentation de l’appareil.) |
| Autoriser la configuration utilisateur du délai d’expiration de l’écran lorsque l’écran est verrouillé | Indique si les utilisateurs peuvent configurer manuellement le délai d’expiration de l’écran lorsque l’écran de l’appareil est verrouillé (Windows 10 Mobile ne tient pas compte du paramètre Délai d’expiration de l’écran lorsque l’écran est verrouillé si vous désactivez ce paramètre.) |
Restrictions matérielles
Les appareils Windows 10 Mobile utilisent une technologie de pointe qui comprend des fonctionnalités matérielles courantes, telles que des appareils photo, des capteurs GPS, des microphones, des haut-parleurs, des radios NFC, des emplacements de cartes de stockage, des interfaces USB, des interfaces Bluetooth, des radios cellulaires et le Wi-Fi. Vous pouvez également utiliser les restrictions matérielles pour contrôler la disponibilité de ces fonctionnalités. Le Tableau 7 répertorie les paramètres GPM pris en charge par Windows 10 Mobile pour configurer les restrictions matérielles.
Remarque
Certaines de ces restrictions matérielles assurent la connectivité et permettent de protéger les données. La protection des données d’entreprise est actuellement en cours de test dans le cadre de certains programmes d’évaluation client.
Tableau 7. Restrictions matérielles Windows 10 Mobile
| Paramètre | Description |
|---|---|
| Autoriser NFC | Indique si la radio NFC est activée |
| Autoriser la connexion USB | Indique si la connexion USB est activée (ce paramètre n’affecte pas le chargement USB) |
| Autoriser le Bluetooth | Indique si les utilisateurs peuvent activer et utiliser la radio Bluetooth sur leurs appareils |
| Autoriser la publicité Bluetooth | Indique si l’appareil peut agir en tant que source pour les annonces publicitaires Bluetooth et être détectable sur d’autres appareils |
| Autoriser le mode détectable Bluetooth | Indique si l’appareil peut détecter d’autres appareils (par exemple, casques) |
| Liste des services Bluetooth autorisés | Liste des services et des profils Bluetooth auxquels l’appareil peut se connecter |
| Définir le nom de l’appareil Bluetooth local | Nom de l’appareil Bluetooth local |
| Autoriser le Wi-Fi | Indique si la radio Wi-Fi est activée |
| Autoriser la connexion automatique aux points d’accès Wi-Fi Sense | Indique si l’appareil peut se connecter automatiquement aux points d’accès Wi-Fi et aux réseaux domestiques des amis partagés par le biais de Wi-Fi Sense |
| Autoriser la configuration manuelle Wi-Fi | Indique si les utilisateurs peuvent se connecter manuellement aux réseaux Wi-Fi ne figurant pas dans la liste du système GPM des réseaux Wi-Fi configurés |
| Mode de balayage WLAN | Indique le mode de balayage des réseaux Wi-Fi (Ce paramètre dépend du matériel.) |
| Autoriser l’appareil photo | Indique si l’appareil photo est activé |
| Autoriser la carte de stockage | Indique si la carte de stockage est activée |
| Autoriser l’enregistrement vocal | Indique si l’utilisateur peut utiliser le microphone pour créer des enregistrements vocaux |
| Autoriser le service de localisation | Indique si l’appareil peut utiliser le capteur GPS ou d’autres méthodes pour déterminer un emplacement afin que les applications puissent utiliser des informations de localisation |
Gestion des certificats
La gestion des certificats peut être difficile pour les utilisateurs. Toutefois, les certificats sont omniprésent pour diverses utilisations, y compris, l’authentification des comptes, l’authentification Wi-Fi, ainsi que le chiffrement VPN et SSL de contenu web. Bien que les utilisateurs puissent gérer manuellement les certificats sur les appareils, il est recommandé d’utiliser votre système GPM pour gérer ces certificats tout au long de leur cycle de vie, de l’inscription à la révocation en passant par le renouvellement. Vous pouvez utiliser les fichiers de certificats SCEP (Protocole d’inscription de certificats simple) et PFX (Échange d’informations personnelles) pour installer des certificats sur Windows 10 Mobile. La gestion de certificats par le biais des systèmes SCEP et GPM est entièrement transparente pour les utilisateurs et ne nécessite aucune intervention utilisateur. Elle permet d’améliorer la productivité de l’utilisateur et de réduire les appels au support technique. Votre système GPM permet de déployer automatiquement ces certificats dans les magasins de certificats de l’appareil après son inscription. Le Tableau 8 répertorie les paramètres SCEP fournis par le client GPM dans Windows 10 Mobile.
Tableau 8. Paramètres d’inscription de certificat SCEP Windows 10 Mobile
| Paramètre | Description |
|---|---|
| URL de serveur d’inscription de certificat | Serveurs d’inscription de certificat (pour indiquer plusieurs URL de serveur, séparez-les par des points-virgules [;]) |
| Stimulation d’inscription SCEP | Stimulation d’inscription SCEP codée en base 64 |
| Identificateurs d’objet pour utilisation de clés étendue | Identificateurs d’objet (OID) pour une utilisation de clés étendue. |
| Utilisation de la clé | Bits d’utilisation de la clé du certificat au format décimal |
| Nom du sujet | Nom du sujet du certificat. |
| Stockage de clé privée | Indique où stocker la clé privée (en d’autres termes, le module de plateforme sécurisée [TPM], un fournisseur de stockage de clés de logiciel [KSP] ou le KSP de Microsoft Passport) |
| Délai avant nouvelle tentative en attente | Délai d’attente avant une nouvelle tentative de l’appareil lorsque le serveur SCEP renvoie un état en attente |
| Nombre de nouvelles tentatives en attente | Nombre de nouvelles tentatives d’un appareil, lorsque le serveur SCEP renvoie un état en attente |
| Nom du modèle | OID du nom du modèle de certificat |
| Longueur de la clé privée | La longueur de la clé privée (en d’autres termes, les bits 1 024, 2 048 ou 4 096 ; Microsoft Passport prend en charge uniquement la longueur de clé 2 048) |
| Algorithme de hachage du certificat | Famille de l’algorithme de hachage (en d’autres termes, SHA-1, SHA-2, SHA-3 : les familles d’algorithme de hachage sont séparées par des signes plus [+]) |
| Empreinte numérique d’autorité de certification racine | Empreinte numérique de l’autorité de certification racine |
| Autre nom de l’objet | Autre nom de l’objet du certificat (utilisez des points-virgules pour séparer plusieurs noms d’objet.) |
| Période de validité | Unité de mesure relative à la période pendant laquelle le certificat est considéré comme valide (en d’autres termes, jours, mois ou années) |
| Unités de la période de validité | Nombre d’unités de temps correspondant à la durée de validité du certificat (À utiliser avec le paramètre Période de validité. Par exemple, si ce paramètre est 3 et la Période de validité est Années, le certificat est valable pendant 3 ans.) |
| Texte personnalisé à afficher dans l’invite de saisie du code confidentiel de Microsoft Passport | Texte personnalisé à afficher sur l’invite de saisie du code confidentiel de Microsoft Passport lors de l’inscription du certificat |
| Empreinte numérique | Empreinte numérique du certificat actuel, en cas de réussite de l’inscription du certificat |
Outre la gestion de certificats SCEP, Windows 10 Mobile prend en charge le déploiement de certificats PFX. Le Tableau 9 répertorie les paramètres de déploiement de certificat PFX Windows 10 Mobile.
Tableau 9. Paramètres de déploiement de certificat PFX Windows 10 Mobile
| Paramètre | Description |
|---|---|
| Stockage de clé privée | Indique où stocker la clé privée (en d’autres termes, le module de plateforme sécurisée, un fournisseur de stockage de clés de logiciel ou le KSP de Microsoft Passport) |
| Nom du conteneur Microsoft Passport | Identificateur de locataire Azure AD à partir duquel Microsoft Passport est dérivé, requis uniquement si vous sélectionnez KSP de Microsoft Passport dans Stockage de clé privée |
| Paquet PFX | Paquet PFX avec les certificats exportés et chiffrés certificats et les clés au format Binary64 |
| Mot de passe de paquet PFX | Mot de passe qui protège l’objet blob PFX spécifié dans Paquet PFX |
| Chiffrement du mot de passe de paquet PFX | Indique si le système GPM chiffre le mot de passe du certificat PFX avec le certificat GPM |
| Exportation de la clé privée PFX | Indique si la clé privée PFX peut être exportée |
| Empreinte numérique | Empreinte numérique du certificat PFX installé |
Utilisez le paramètre Autoriser l’installation manuelle de certificats racines pour empêcher les utilisateurs d’installer manuellement de manière intentionnelle ou accidentelle des certificats d’autorité de certification racines et intermédiaires.
Remarque
Pour diagnostiquer les problèmes liés aux certificats sur les appareils Windows 10 Mobile, utilisez l’application Certificats gratuite dans le Windows Store. Cette application Windows 10 Mobile, vous permet d’effectuer les actions suivantes :
Afficher une synthèse de tous les certificats personnels.
Afficher les détails des certificats individuels.
Afficher les certificats utilisés pour l’authentification VPN, Wi-Fi et de messagerie.
Identifier les certificats ayant potentiellement expiré.
Vérifier le chemin d’accès du certificat et confirmer que vous détenez les certificats d’autorité de certification racines et intermédiaires.
Afficher les clés de certificat stockées dans le module de plateforme sécurisée de l’appareil.
Wi-Fi
Les gens utilisent le Wi-Fi autant, voire plus que les données cellulaires, sur leurs appareils mobiles. La plupart des réseaux Wi-Fi nécessitent des certificats et d’autres informations complexes pour visant à limiter et à sécuriser l’accès des utilisateurs. Ces informations Wi-Fi avancées sont difficiles à configurer pour les utilisateurs standard. Toutefois, vous pouvez utiliser votre système GPM pour configurer intégralement les paramètres Wi-Fi sans intervention de l’utilisateur.
Le Tableau 10 répertorie les paramètres de profil de connexion Wi-Fi Windows 10 Mobile. Utilisez les informations de ce tableau pour vous aider à créer des profils de connexion Wi-Fi dans votre système GPM.
Tableau 10. Paramètres de profil de connexion Wi-Fi Windows 10 Mobile.
| Paramètre | Description |
|---|---|
| SSID | Nom sensible à la casse du réseau Wi-Fi (Identificateur SSID [Service Set Identifier]) |
| Type de sécurité | Type de sécurité utilisé par le réseau Wi-Fi ; peut être un des types d’authentification suivants :
|
| Chiffrement de l’authentification | Type de chiffrement de l’authentification utilisé ; peut être une des méthodes de chiffrement suivantes :
|
| Extensible Authentication Protocol Transport Layer Security (EAP-TLS) | Les types de sécurité WPA-Enterprise 802.11 et WPA2-Enterprise 802.11 peuvent utiliser le protocole EAP-TLS avec des certificats pour l’authentification |
| Protocole PEA avec Protocole CHAP (Challenge Handshake Authentication Protocol) Microsoft version 2 (PEAP-MSCHAPv2) | Les types de sécurité WPA-Enterprise 802.11 et WPA2-Enterprise 802.11 peuvent utiliser le protocole PEAP-MSCHAPv2 avec un nom d’utilisateur et un mot de passe pour l’authentification |
| Clé partagée | Les types de sécurité WPA-Personal 802.11 et WPA2-Personal 802.11 peuvent utiliser une clé partagée pour l’authentification. |
| Proxy | Configuration de tout réseau proxy requis par la connexion Wi-Fi (pour spécifier le serveur proxy, utilisez son nom de domaine complet [FQDN], une adresse IPv4 [Internet Protocol version 4, une adresse IPv6 [IP version 6], ou une adresse IPvFuture.) |
| Désactiver les contrôles de connectivité Internet | Indique si la connexion Wi-Fi doit vérifier la connectivité Internet |
| URL d’autoconfiguration du Proxy | URL qui indique le fichier d’autoconfiguration du proxy |
| Activer le protocole WPAD (Web Proxy Auto-Discovery) | Indique si le protocole WPAD est activé |
Le Tableau 11 répertorie les paramètres Windows 10 Mobile de gestion de la connectivité Wi-Fi.
Tableau 11. Paramètres de connectivité Wi-Fi Windows 10 Mobile.
| Paramètre | Configuration |
|---|---|
| Autoriser la connexion automatique aux points d’accès Wi-Fi Sense | Indique si l’appareil détecte automatiquement les réseaux Wi-Fi et s’y connecte |
| Autoriser la configuration manuelle Wi-Fi | Indique si l’utilisateur peut configurer manuellement les paramètres Wi-Fi |
| Autoriser le Wi-Fi | Indique si le matériel Wi-Fi est activé |
| Mode de balayage WLAN | Mode de balayage des réseaux Wi-Fi de l’appareil |
Proxy
Les applications s’exécutant sur Windows 10 Mobile (par exemple, Microsoft Edge) peuvent utiliser des connexions proxy pour accéder au contenu Internet. Toutefois, les connexions Wi-Fi sur l’intranet d’entreprise utilisent plus généralement des connexions proxy. Vous pouvez définir plusieurs proxys dans Windows 10 Mobile.
Remarque
Windows 10 Mobile prend également en charge les fichiers d’autoconfiguration de proxy (PAC), qui peuvent configurer automatiquement les paramètres du proxy. Le protocole WPAD (Web Proxy Auto-Discovery Protocol) permet aux applications d’utiliser le protocole DHCP (Dynamic Host Configuration Protocol). Le système DNS (Domain Name System) recherche le fichier PAC.
Le Tableau 12 répertorie les paramètres Windows 10 Mobile des connexions proxy.
Tableau 12. Paramètres de connexion proxy Windows 10 Mobile
| Paramètres | Configuration |
|---|---|
| Nom du proxy | Nom unique de la connexion proxy |
| ID de proxy | Identificateur unique pour la connexion proxy |
| Nom | Nom convivial de la connexion proxy |
| Adresse du serveur | Adresse du serveur proxy, qui peut être le nom de domaine complet ou l’adresse IP du serveur |
| Type d’adresse IP | Type d’adresse IP qui identifie le serveur proxy, qui peut être une des valeurs suivantes :
|
| Type de connexion proxy | Type de connexion du serveur proxy, qui peut être une des valeurs suivantes :
|
| Ports | Informations de port pour la connexion proxy ; comprend les paramètres suivants :
|
| Référence de configuration | Informations de référence de connexion pour la connexion proxy. La société détermine les informations de ce paramètre facultatif. |
VPN
En plus du Wi-Fi, les utilisateurs utilisent souvent un réseau privé virtuel pour accéder de manière sécurisée aux applications et ressources de l’intranet de leur société situées derrière un pare-feu. Windows 10 Mobile prend en charge plusieurs fournisseurs VPN outre les réseaux privés virtuels natifs Microsoft (par exemple, le protocole PPTP [Point to Point Tunneling Protocol], L2TP [Layer 2 Tunneling Protocol] et IKEv2 [Internet Key Exchange Protocol version 2]), comprenant les éléments suivants :
IKEv2
Sécurité IP
Connexions VPN SSL (qui nécessitent un plug-in téléchargeable issu du fournisseur de serveur VPN)
Vous pouvez configurer Windows 10 Mobile de manière à utiliser également les connexions VPN déclenchées automatiquement. Vous définissez une connexion VPN pour chaque application nécessitant une connectivité intranet. Quand les utilisateurs basculent entre les applications, le système d’exploitation établit automatiquement la connexion VPN pour l’application. Si l’appareil perd la connexion VPN, Windows 10 Mobile se reconnecte automatiquement au réseau privé virtuel sans intervention de l’utilisateur.
Dans la mesure où le réseau privé virtuel est toujours actif, Windows 10 Mobile peut également démarrer automatiquement une connexion VPN lorsqu’un utilisateur se connecte. Le réseau privé virtuel reste connecté jusqu’à ce que l’utilisateur le déconnecte manuellement.
La prise en charge de la GPM pour les connexions VPN dans Windows 10 Mobile inclut l’approvisionnement et la mise à jour des profils de connexion VPN et l’association de connexions VPN aux applications. Vous pouvez créer et approvisionner des profils de connexion VPN, puis les déployer sur des appareils gérés qui exécutent Windows 10 Mobile. Le Tableau 13 répertorie les champs Windows 10 Mobile des profils de connexion VPN.
Tableau 13 Paramètres de profil de connexion VPN Windows 10 Mobile.
| Paramètre | Description |
|---|---|
| Profil de protocole VPN natif | Informations de configuration indiquant lorsque le réseau privé virtuel utilise les protocoles VPN Windows 10 Mobile natifs (par exemple, IKEv2, PPTP ou L2TP) ; comprend les paramètres suivants :
|
| Profil de plug-in VPN | Plug-ins VPN basés sur le Windows Store pour la connexion VPN, ; comprend les paramètres suivants :
|
| Connexion toujours active | Indique si le réseau privé virtuel se connecte à la connexion de l’utilisateur et reste connecté jusqu’à ce que l’utilisateur mette un terme manuellement à la connexion VPN. |
| Liste du déclencheur d’application | Liste des applications qui démarrent automatiquement la connexion VPN. Chaque déclencheur d’application de la liste comprend les paramètres suivants :
|
| Suffixes DNS | Liste de suffixes DNS séparés par des virgules pour la connexion VPN. Tous les suffixes DNS de cette liste sont automatiquement ajoutés à la Liste de recherche de suffixes DNS. |
| Profil VPN de verrouillage | Indique si cette connexion VPN est un profil de verrouillage. Un profil VPN de verrouillage a les caractéristiques suivantes :
Vous devez supprimer un profil VPN de verrouillage avant de pouvoir ajouter, supprimer ou connecter d’autres profils VPN. |
| Règles de table de stratégie de résolution de noms | Liste des règles de table de stratégie de résolution de noms pour la connexion VPN. Chaque règle de la liste comprend les paramètres suivants :
|
| Proxy | Toute prise en charge de proxy post-connexion requise pour la connexion VPN ; comprend les paramètres suivants :
|
| Mémoriser les informations d’identification | Indique si la connexion VPN met en cache les informations d’identification. |
| Liste de l’itinéraire | Liste des itinéraires à ajouter à la table de routage de la connexion VPN. Chaque itinéraire de la liste comprend les paramètres suivants :
|
| Liste de filtres de trafic | Liste des règles de trafic qui définissent le trafic qui peut être envoyé via la connexion VPN. Chaque règle de la liste comprend les paramètres suivants :
|
| Détection de réseaux approuvés | Une liste de réseaux approuvés séparés par des virgules qui empêchent le réseau privé virtuel de se connecter quand l’intranet est directement accessible. |
Le Tableau 14 répertorie les paramètres Windows 10 Mobile de gestion des connexions VPN. Ces paramètres vous permettent de gérer les réseaux VPN sur des connexions de données cellulaires pour réduire les coûts liés à l’itinérance ou aux forfaits de données.
Tableau 14. Paramètres de gestion VPN Windows 10 Mobile
| Paramètre | Description |
|---|---|
| Autoriser le VPN | Indique si les utilisateurs peuvent modifier les paramètres VPN. |
| Autoriser le VPN sur cellulaire | Indique si les utilisateurs peuvent établir des connexions VPN sur les réseaux cellulaires |
| Autoriser le VPN sur cellulaire lors de l’itinérance | Indique si les utilisateurs peuvent établir des connexions VPN sur les réseaux cellulaires lors de l’itinérance |
Profils APN
Un APN définit les chemins d’accès réseau pour la connectivité des données cellulaires. En règle générale, vous ne définissez qu’un APN pour un appareil en collaboration avec un opérateur mobile, toutefois, vous pouvez définir plusieurs APN si votre société utilise plusieurs opérateurs mobiles.
Un APN fournit une connexion privée au réseau d’entreprise qui n’est pas disponible à d’autres sociétés sur le réseau de l’opérateur mobile. Les entreprises d’Europe et d’Asie-Pacifique utilisent les APN, tandis qu’ils sont peu courants aux États-Unis.
Vous pouvez définir et déployer des profils APN dans des systèmes GPM qui configurent la connectivité des données cellulaires pour Windows 10 Mobile. Les appareils exécutant Windows 10 Mobile ne peuvent avoir qu’un seul profil APN. Le Tableau 15 répertorie les paramètres GPM pris en charge par Windows 10 Mobile pour les profils APN.
Tableau 15. Paramètres de profil APN Windows 10 Mobile
| Paramètre | Description |
|---|---|
| Nom APN | Nom APN |
| Type de connexion IP | Type de connexion défini sur une des valeurs suivantes :
|
| LTE associé | Indique si l’APN doit être attaché dans le cadre d’une association LTE |
| ID de classe APN | Identifiant global unique qui définit la classe APN sur le modem |
| Type d’authentification APN | Type d’authentification APN ; défini sur l’une des valeurs suivantes :
|
| Nom d’utilisateur | Compte d’utilisateur lorsque les utilisateurs sélectionnent le type d’authentification PAP (Password Authentication Protocol), CHAP ou MSCHAPv2 dans Type d’authentification APN |
| Mot de passe | Mot de passe du compte d’utilisateur défini dans Nom d’utilisateur |
| ID de carte à circuit intégré | ID de carte à circuit intégré associé au profil de connexion cellulaire |
Protection contre la fuite de données
Certaines expériences utilisateur peuvent mettre en danger les données d’entreprise stockées sur des appareils d’entreprise. Par exemple, le fait d’autoriser des utilisateurs à copier et coller des informations en dehors d’une application métier d’entreprise peut mettre en danger les données. Pour réduire le risque, vous pouvez restreindre l’expérience utilisateur Windows 10 Mobile pour protéger les données d’entreprise et empêcher toute fuite de données. Par exemple, vous pouvez empêcher la synchronisation des paramètres, les opérations de copier-coller et les captures d’écran. Le Tableau 16 répertorie les paramètres GPM de Windows 10 Mobile que vous pouvez utiliser pour empêcher les fuites de données.
Tableau 16. Paramètres de protection contre la fuite de données Windows 10 Mobile
| Paramètre | Description |
|---|---|
| Autoriser la fonction copier-coller | Indique si les utilisateurs peuvent copier et coller du contenu |
| Autoriser Cortana | Indique si les utilisateurs peuvent utiliser Cortana sur l’appareil, le cas échéant |
| Autoriser la détection d’appareil | Indique si l’expérience utilisateur de détection d’appareil est disponible sur l’écran de verrouillage (par exemple, ce paramètre permet de contrôler si un appareil peut détecter un projecteur [ou d’autres appareils] lorsque l’écran de verrouillage s’affiche.) |
| Autoriser la personnalisation de la saisie | Indique si des informations personnellement identifiables peuvent quitter l’appareil ou être enregistrées localement (par exemple, apprentissage de Cortana, entrée manuscrite, dictée) |
| Autoriser la suppression manuelle de l’inscription GPM | Indique si les utilisateurs sont autorisés à supprimer le compte de d’espace de travail (en d’autres termes, à supprimer l’appareil du système GPM) |
| Autoriser la capture d’écran | Indique si les utilisateurs sont autorisés à effectuer des captures d’écran sur l’appareil |
| Autoriser une invite de boîte de dialogue d’erreur SIM | Indique si l’affichage d’une invite de boîte de dialogue est autorisée si aucune carte SIM n’est installée |
| Autoriser la synchronisation de mes paramètres | Indique si les paramètres de l’expérience utilisateur sont synchronisés entre les appareils (fonctionne avec les comptes Microsoft uniquement) |
| Autoriser les notifications toasts au-dessus de l’écran de verrouillage | Indique si les utilisateurs sont en mesure d’afficher une notification toast sur l’écran de verrouillage de l’appareil |
| Autoriser l’enregistrement vocal | Indique si les utilisateurs sont autorisés à effectuer des enregistrements vocaux. |
Gestion du stockage
La protection des applications et des données stockées sur un appareil est essentielle à la sécurité de l’appareil. Le chiffrement du stockage interne de l’appareil proposé dans Windows 10 Mobile est une méthode permettant de protéger vos applications et vos données. Ce chiffrement contribue à protéger les données d’entreprise contre tout accès non autorisé, même lorsqu’un utilisateur non autorisé est physiquement en possession de l’appareil.
La possibilité d’installer des applications sur une carte numérique sécurisée (SD) est une fonctionnalité de Windows 10 Mobile. Le système d’exploitation stocke des applications sur une partition spécifiquement désignée à cet effet. Cette fonctionnalité est toujours activée. Vous n’avez donc pas besoin de définir explicitement une stratégie pour l’activer.
La carte SD est exclusivement jumelée avec un appareil. Aucun autre appareil ne peut voir les applications ou les données figurant sur la partition chiffrée. Toutefois, ils peuvent accéder aux données stockées sur la partition non chiffrée de la carte SD, telles que de la musique ou des photos.
Vous pouvez désactiver le paramètre Autoriser la carte de stockage pour empêcher les utilisateurs d’utiliser complètement plusieurs cartes SD. Le principal avantage de la fonctionnalité de chiffrement/partition de la carte SD est qu’elle permet aux organisations de proposer aux utilisateurs la possibilité d’utiliser une carte SD tout en protégeant les applications confidentielles et les données qu’elle contient.
Si vous ne chiffrez pas le stockage, vous pouvez protéger vos données et applications d’entreprise à l’aide des paramètres Limiter les données des applications au volume système et Limiter les applications au volume système. Ils permettent de garantir que les utilisateurs ne peuvent pas copier vos applications et données sur des cartes SD.
Le Tableau 17 répertorie les paramètres de gestion de stockage GPM proposés par Windows 10 Mobile.
Tableau 17. Paramètres de gestion du stockage Windows 10 Mobile
| Paramètre | Description |
|---|---|
| Autoriser la carte de stockage | Indique si les utilisateurs peuvent utiliser des cartes de stockage pour le stockage des appareils (Ce paramètre n’empêche pas les accès par programme aux cartes de stockage). |
| Exiger le chiffrement de l’appareil | Indique si le stockage interne est chiffré (Si un appareil est chiffré, vous ne pouvez pas utiliser de stratégie pour désactiver le chiffrement.) |
| Méthode de chiffrement | Définit la méthode de chiffrement de lecteur BitLocker et le niveau de chiffrement ; peut être une des valeurs suivantes :
|
| Autoriser la stratégie d’algorithme (FIPS) | Indique si l’appareil autorise ou interdit la stratégie d’algorithme FIPS |
| Suite de chiffrement SSL | Définit une liste des algorithmes de chiffrement autorisés pour les connexions SSL |
| Limiter les données au volume système | Indique si les données d’application se limitent au lecteur système |
| Limiter les applications au volume système | Indique si les applications se limitent au lecteur système |
Gestion des applications
Les applications contribuent à améliorer la productivité des utilisateurs sur les appareils mobiles. Grâce à Windows 10, les organisations ont désormais la possibilité d’acheter des applications à partir du Windows Store pour leurs employés et de les déployer à partir du Windows Store ou d’un système GPM. La gestion des applications devient une fonctionnalité essentielle des systèmes GPM. Elle permet de réduire l’effort requis pour effectuer des tâches en rapport avec des applications courantes, telles que la distribution d’applications et la protection des données par le biais de stratégies d’application. Cette section décrit les fonctionnalités de gestion des applications dans Windows 10 Mobile et comprend les rubriques suivantes :
Plateforme Windows universelle (UWP)
Détection de l’application appropriée
Windows Store pour Entreprises
Stratégies de gestion des applications mobiles (GAM)
Microsoft Edge
Plateforme Windows universelle
Windows 10 introduit UWP et assure la convergence de la plate-forme d’application pour tous les appareils exécutant certaines éditions de Windows 10. Les applications UWP s’exécutent sans modification sur toutes les éditions de Windows 10 et Windows Store dispose maintenant d’applications pour lesquelles vous pouvez acquérir une licence et que vous pouvez acheter pour tous vos appareils Windows 10. Les applications Windows Phone 8.1 et Windows 8.1 s’exécutent toujours sur des appareils Windows 10. Toutefois, les améliorations GAM dans Windows 10 fonctionnent uniquement avec les applications UWP. Voir le Guide des applications de plateforme Windows universelle (UWP) pour obtenir des informations supplémentaires.
Détection de l’application appropriée
La première étape de la gestion des applications consiste à obtenir les applications dont vos utilisateurs ont besoin que vous pouvez maintenant acquérir depuis le Windows Store. Les développeurs peuvent également créer des applications spécifiques d’une organisation, appelée line-of-business (LOB) apps (les développeurs de ces applications sont LOB publishers). Un développeur métier (interne ou externe) peut désormais publier ces applications dans le Windows Store à votre demande. Vous pouvez également obtenir les packages d’application en mode hors connexion et les distribuer par le biais de votre système GPM.
Pour installer des applications du Windows Store ou des applications métier, utilisez le service cloud du Windows Store ou votre système GPM pour distribuer les packages d’application. Votre système GPM peut déployer des applications en ligne en redirigeant l’utilisateur vers une application sous licence ou hors connexion du Windows Store en distribuant un package que vous avez téléchargé à partir du Windows Store (également appelé sideloading) sur les appareils Windows 10 Mobile. Vous pouvez entièrement automatiser le processus de déploiement d’application de sorte qu’aucune intervention de l’utilisateur ne soit requise.
Les administrateurs informatiques peuvent obtenir des applications par le biais du Windows Store pour Entreprises. La plupart des applications peuvent être distribuées en ligne, ce qui signifie que l’utilisateur doit être connecté à l’appareil avec un compte Azure AD et avoir accès à Internet au moment de l’installation. Afin de distribuer une application en mode hors connexion, le développeur doit autoriser cette opération. Si le développeur de l’application n’autorise pas le téléchargement de l’application à partir du Windows Store, vous devez obtenir les fichiers directement depuis le développeur ou utiliser la méthode en ligne. Voir Windows Store pour Entreprises pour plus d’informations sur les applications obtenues par le biais du Windows Store pour Entreprises.
Les applications du Windows Store sont automatiquement approuvées. Pour les applications métier personnalisées développées en interne ou par un fournisseur de logiciels fiable, assurez-vous que l’appareil fait confiance au certificat de signature de l’application. Il existe deux façons d’établir cette approbation : utiliser un certificat de signature issu d’une source approuvée ou générer votre propre certificat de signature et ajouter votre chaîne d’approbation aux certificats approuvés de l’appareil. Vous pouvez installer jusqu’à 20 applications auto-signées sur un appareil Windows 10 Mobile. Lorsque vous achetez un certificat de signature auprès d’une autorité de certification publique, vous pouvez installer plus de 20 applications sur un appareil, même si Windows 10 Mobile Entreprise vous permet d’installer plus de 20 applications auto-signées par appareil.
Les utilisateurs peuvent installer à partir du Windows Store les applications achetées par l’organisation par le biais de l’application du Windows Store sur leur appareil. Le fait d’autoriser vos utilisateurs à se connecter avec un compte Microsoft permet à l’application du Windows Store de l’appareil de proposer une méthode unifiée d’installation d’applications personnelles et d’entreprise.
Windows Store pour Entreprises
Windows Store pour Entreprises est un portail web que les professionnels de l’informatique et les acheteurs utilisent pour rechercher, acheter, gérer et distribuer des applications sur les appareils Windows 10. Ce portail en ligne permet aux responsables Azure AD authentifiés d’accéder aux fonctionnalités et paramètres du Windows Store pour Entreprises. Les responsables du Windows Store peuvent créer une section privée au sein du Windows Store dans laquelle les organisations peuvent gérer des applications spécifiques et privées. Windows Store pour Entreprises permet aux organisations de mettre des applications à disposition de leurs utilisateurs et d’acheter des licences d’application à leur place. Ils peuvent également intégrer leurs systèmes GPM à leurs abonnements Windows Store pour Entreprises, de sorte que le système GPM puisse déployer des applications à partir de leur abonnement gratuit au Windows Store pour Entreprises.
Le processus d’utilisation du Windows Store pour Entreprises est le suivant :
Créez un abonnement Windows Store pour Entreprises pour votre organisation.
Achetez des applications du Windows Store sur le portail Windows Store pour Entreprises (seules les applications gratuites sont disponibles pour l’instant).
Dans le Windows Store pour Entreprises, distribuez les applications aux utilisateurs et gérez les licences des applications obtenues lors de l’étape précédente.
Intégrez votre système GPM à l’abonnement Windows Store pour Entreprises de votre organisation.
Utilisez votre système GPM pour déployer les applications.
Pour plus d’informations sur le Windows Store pour Entreprises, voir Windows Store pour Entreprises.
Stratégies de gestion des applications mobiles (GAM)
Le système GPM vous permet de gérer Device Guard sur Windows 10 Mobile et de créer une liste des applications autorisées (liste blanche) ou refusées (liste noire). Cette fonctionnalité s’étend aux applications intégrées, telles que le téléphone, la messagerie texte, le courrier électronique et le calendrier. La possibilité d’autoriser ou de refuser des applications permet de s’assurer que les personnes utilisent leurs appareils mobiles aux fins prévues.
Vous pouvez également contrôler l’accès des utilisateurs au Windows Store et indiquer si le service du Windows Store met automatiquement à jour les applications. Vous pouvez gérer toutes ces fonctionnalités par le biais de votre système GPM. Le Tableau 18 répertorie les paramètres de gestion des applications de Windows 10 Mobile.
Tableau 18. Paramètres de gestion des applications de Windows 10 Mobile
| Paramètre | Description |
|---|---|
| Autoriser toutes les applications approuvées | Indique si les utilisateurs peuvent charger une version test des applications sur l’appareil |
| Autoriser la mise à jour auto du Store d’applications | Indique si la mise à jour automatique des applications à partir du Windows Store est autorisée |
| Autoriser le déverrouillage du développeur | Indique si le déverrouillage du développeur est autorisé |
| Autoriser le partage des données d’application des utilisateurs | Indique si plusieurs utilisateurs de la même application peuvent partager des données |
| Autoriser Windows Store | Indique si l’application Windows Store est autorisée à s’exécuter |
| Autoriser l’exécution de l’application Windows Bridge pour Android | Indique si l’application Windows Bridge pour Android est autorisée à s’exécuter |
| Restrictions d’application | Objet blob XML qui définit les restrictions relatives aux applications pour un appareil (peut contenir une liste des applications autorisées ou refusées. Vous pouvez autoriser ou refuser des applications en fonction de leur ID d’application ou de leur éditeur.) |
| Exiger le magasin privé uniquement | Indique si le magasin privé est disponible exclusivement pour les utilisateurs (s’il est activé, seul le magasin privé est disponible. S’il est désactivé, le catalogue de vente au détail et un magasin privé sont tous deux disponibles.) |
| Limiter les données d’application au volume système | Indique si les données d’application sont autorisées uniquement sur le lecteur système |
| Limiter l’application au volume système | Indique si l’installation d’une application est autorisée uniquement sur le lecteur système |
| Disposition de l’écran de démarrage | Objet blob XML utilisé pour configurer l’écran de démarrage (voir Start layout for Windows 10 Mobile editions (Disposition de l’écran de démarrage pour les éditions Windows 10 Mobile pour plus d’informations.) |
Le fait que les utilisateurs puissent s’enregistrer en tant que développeurs d’applications Windows 10 Mobile et activer les fonctionnalités de développement sur leur appareil en installant potentiellement des applications provenant de sources inconnues et laissant l’appareil à la merci de menaces malveillantes constitue un problème de sécurité potentiel. Pour empêcher les utilisateurs d’activer des fonctionnalités de développement sur leurs appareils, définissez la stratégie Désactiver le déverrouillage du développement ( déverrouiller (chargement de version test), que vous pouvez configurer par le biais de votre système GPM.
Microsoft Edge
Les systèmes GPM vous donnent la possibilité de gérer Microsoft Edge sur des appareils mobiles. Le Tableau 19 répertorie les paramètres Microsoft Edge pour Windows 10 Mobile.
Tableau 19. Paramètres Microsoft Edge pour Windows 10 Mobile
| Paramètre | Description |
|---|---|
| Autoriser les scripts actifs | Indique si les scripts actifs sont autorisés |
| Autoriser le remplissage automatique | Indique si les valeurs sont automatiquement renseignées sur les sites web |
| Autoriser le navigateur | Indique si Internet Explorer est autorisé sur l’appareil |
| Autoriser les cookies | Indique si les cookies sont autorisés |
| Autoriser les en-têtes DNT | Indique si les en-têtes DNT sont autorisés |
| Autoriser InPrivate | Indique si les utilisateurs peuvent utiliser la navigation InPrivate |
| Autoriser le gestionnaire des mots de passe | Indique si les employés peuvent utiliser le gestionnaire des mots de passe pour enregistrer et gérer localement les mots de passe |
| Autoriser les suggestions de recherche dans la barre d’adresse | Indique si les suggestions de recherche sont affichées dans la barre d’adresses |
| Autoriser SmartScreen | Indique si le filtre SmartScreen est activé |
| URL de première exécution | URL s’ouvrant lorsqu’un utilisateur lance Microsoft Edge pour la première fois |
| Inclure un proxy de contournement de sites dans les sites Intranet | Indique si les sites Web qui contournent le serveur proxy sont en mesure d’utiliser la zone de sécurité Intranet |
| Inclure des chemins d’accès UNC dans les Sites Intranet | Indique si les chemins d’accès d’URL peuvent être des chemins d’accès UNC (Universal Naming Convention) dans la zone de sécurité Intranet |
| Sites Intranet | Liste des sites web se trouvant dans la zone de sécurité Intranet |
| Empêcher la substitution des invites SmartScreen pour les fichiers | Indique si les utilisateurs peuvent substituer les avertissements de filtre SmartScreen concernant le téléchargement de fichiers non vérifiés. |
Opérations de l’appareil
Dans cette section, vous découvrez comment les paramètres GPM de Windows 10 Mobile permettent les scénarios suivants :
Mise à jour d’appareil
Surveillance de la conformité d’appareil
Gestion des appareils
Assistance à distance
Services de cloud
Mise à jour d’appareil
Pour protéger les appareils mobiles et leurs données, ces appareils doivent être à jour. Windows Update installe automatiquement les mises à niveau et mises à jour dès qu’elles sont disponibles.
Les fonctionnalités de mise à jour d’appareil décrites dans cette section sont uniquement disponibles dans Windows 10 Mobile Entreprise. Vous pouvez utiliser votre système GPM pour différer les mises à niveau du système lorsque vous activez une licence Entreprise sur des appareils Windows 10 Mobile gérés et contrôler la manière dont les mises à jour et mises à niveau sont appliquées. Par exemple, vous pouvez désactiver complètement des mises à jour, différer des mises à jour et des mises à niveau et planifier le jour et l’heure d’installation des mises à jour, comme vous le feriez avec Windows Server Update Services (WSUS) sur des ordinateurs de bureau Windows 10 exécutant Current Branch for Business. Le Tableau 20 répertorie les paramètres Windows 10 Mobile Entreprise que vous pouvez utiliser pour configurer des mises à jour et des mises à niveau.
Tableau 20. Paramètres de gestion des mises à jour de Windows 10 Mobile Entreprise
| Paramètre | Description |
|---|---|
| Autoriser les mises à jour automatiques | Comportement de la mise à jour automatique pour l’analyse, le téléchargement et l’installation des mises à jour ; le comportement peut être une des opérations suivante :
|
| Autoriser une mise à jour non signée par Microsoft | Indique si les mises à jour automatiques acceptent les mises à jour signées par d’autres entités que Microsoft |
| Autoriser le service de mise à jour | Indique si les appareils peuvent obtenir des mises à jour à partir de Windows Update, WSUS ou du Windows Store |
| Mises à jour de sécurité mensuelles différées | Indique si les mises à jour mensuelles (par exemple, les correctifs de sécurité) sont différées (Vous pouvez différer jusqu’à 4 semaines les mises à jour.) |
| Mises à niveau non liées à la sécurité différées | Indique si les mises à niveau non liées à la sécurité sont différées (Vous pouvez différer jusqu’à 8 mois les mises à niveau.) |
| Interruption des reports de mise à jour | Indique si l’appareil doit ignorer un cycle de mise à jour (Ce paramètre est valide uniquement lorsque vous configurez les appareils de manière à différer les mises à jour ou mises à niveau). |
| Exiger l’approbation de la mise à jour | Indique si une approbation est nécessaire avant de pouvoir installer des mises à jour sur des appareils (Si l’approbation est requise, les mises à jour ayant un contrat de licence utilisateur final [CLUF] sont acceptées automatiquement pour le compte de l’utilisateur.) |
| Planifier l’heure d’installation | Heure à laquelle les mises à jour sont installées |
| Jour de l’installation planifiée | Jours pour lesquels l’installation des mises à jour est planifiée |
| Période de report de la mise à jour | Durée de report des mises à jour |
| URL de service de mise à jour | Nom d’un serveur WSUS à partir duquel télécharger les mises à jour au lieu de Windows Update |
| Période de report de la mise à niveau | Durée pendant laquelle les mises à niveau vers Windows 10 Mobile doivent être différées |
En plus de pouvoir configurer la manière dont Windows 10 Mobile Entreprise obtient des mises à jour, vous pouvez gérer de manière individuelle les différentes mises à jour de Windows 10 Mobile. Le Tableau 21 fournit des informations sur les mises à jour approuvées pour vous permettre de contrôler le déploiement de nouvelles mises à jour sur les appareils Windows 10 Mobile Entreprise.
Tableau 21. Informations de mise à jour de Windows 10 Mobile Entreprise approuvées
| Paramètre | Description |
|---|---|
| Mises à jour approuvées | Liste des mises à jour approuvées. Chaque mise à jour de la liste inclut le paramètre Heure approuvée, qui spécifie l’heure d’approbation de la mise à jour. Les mises à jour approuvées acceptent automatiquement les CLUF pour le compte de l’utilisateur. |
| Échecs de mises à jour | Liste des mises à jour ayant échoué lors de l’installation. Chaque mise à jour de la liste comprend les paramètres suivants :
|
| Mises à jour installées | Liste des mises à jour installées sur l’appareil. |
| Mises à jour installables | Liste des mises à jour disponibles pour l’installation. Chaque mise à jour de la liste comprend les paramètres suivants :
|
| Mises à jour en attente de redémarrage | Liste des mises à jour qui requièrent un redémarrage pour terminer leur installation. Le paramètre Heure d’installation indiquant l’heure d’installation de la mise à jour est activé sur chaque mise à jour. |
| Heure de la dernière analyse réussie | Dernière analyse de mise à jour réussie. |
| Différer la mise à niveau | Indique si la mise à niveau est différée au prochain cycle de mise à jour. |
Surveillance de la conformité d’appareil
Vous pouvez utiliser votre système GPM pour surveiller la conformité. Windows 10 Mobile fournit des informations d’audit pour effectuer le suivi des problèmes ou des actions correctives. Ces informations vous permettent de garantir que les appareils sont configurés pour être conformes aux normes d’organisation.
Vous pouvez également évaluer l’intégrité des appareils qui exécutent Windows 10 Mobile et effectuent des actions de stratégie d’entreprise. Le processus utilisant la fonctionnalité d’attestation d’intégrité dans Windows 10 Mobile est le suivant :
Le client d’attestation d’intégrité collecte les données utilisées pour vérifier l’état de l’appareil.
Il transfère ces données au service d’attestation d’intégrité.
Ce service génère un certificat d’attestation d’intégrité.
Le client transmet le certificat d’attestation d’intégrité et les informations associées au système GPM pour vérification.
Pour plus d’informations sur l’attestation d’intégrité dans Windows 10 Mobile, voir le Guide de sécurité Windows 10 Mobile.
Selon les résultats de validation de l’état d’intégrité, un système GPM peut prendre une des mesures suivantes :
Autoriser l’appareil à accéder aux ressources.
Autoriser l’appareil à accéder aux ressources, mais l’identifier pour un examen plus approfondi.
Empêcher l’appareil d’accéder aux ressources.
Le Tableau 21 répertorie les points de données que le service d’attestation d’intégrité collecte et évalue à partir d’appareils exécutant Windows 10 Mobile pour déterminer l’action à effectuer. Pour la plupart de ces points de données, le système GPM peut prendre une des mesures suivantes :
Interdire tout accès.
Refuser l’accès aux ressources d’entreprise ayant un impact commercial élevé.
Autoriser l’accès conditionnel basé sur d’autres points de données présents lors de l’évaluation, par exemple, d’autres attributs sur le certificat d’intégrité ou un historique de confiance et des activités passées d’un appareil.
Suivre l’une des actions précédentes et également placer l’appareil sur une liste d’observation afin de le surveiller plus étroitement en termes de risques potentiels.
Déclencher une action corrective, telle que demander aux administrateurs informatiques de contacter le propriétaire et d’examiner le problème.
Tableau 21. Points de données du service d’attestation d’intégrité Windows 10 Mobile
| Point de données | Description |
|---|---|
| Clé d’attestation d’identité (AIK) présente | Indique la présence d’une clé d’attestation d’identité (en d’autres termes, l’appareil est plus fiable qu’un appareil sans AIK). |
| Activation de la prévention de l’exécution des données (DEP) | Indique si une stratégie DEP est activée pour l’appareil signalant que l’appareil est plus fiable qu’un appareil sans stratégie DEP. |
| État de BitLocker | BitLocker protège le stockage sur l’appareil. Un appareil doté de BitLocker est plus fiable qu’un appareil sans BitLocker. |
| Activation du démarrage sécurisé | Indique si le démarrage sécurisé est activé sur l’appareil. Un appareil sur lequel le démarrage sécurisé est activé est plus fiable qu’un appareil sans démarrage sécurisé. Le démarrage sécurisé est toujours activé sur les appareils Windows 10 Mobile. |
| Activation de la stratégie d’intégrité du code | Indique si l’intégrité du code d’un fichier de lecteur ou de système est validé chaque fois qu’il est chargé en mémoire. Un appareil sur lequel l’intégrité du code est activée est plus fiable qu’un appareil sans code d’intégrité. |
| Mode sans échec | Indique si Windows fonctionne en mode sans échec. Un appareil exécutant Windows en mode sans échec n’est pas aussi fiable qu’un appareil en cours d’exécution en mode standard. |
| Exécution de l’environnement de préinstallation Windows (Windows PE) | Indique si l’appareil exécute Windows PE. Un appareil exécutant Windows PE n’est pas aussi sécurisé qu’un appareil exécutant Windows 10 Mobile. |
| Activation du débogage de démarrage | Indique si le débogage de démarrage est activé sur l’appareil. Un appareil sur lequel le débogage de démarrage est activé est moins sécurisé (fiable) qu’un appareil sans débogage de démarrage. |
| Activation du débogage du noyau du système d’exploitation | Indique si le débogage du noyau du système d’exploitation est activé sur l’appareil. Un appareil sur lequel le débogage du noyau du système d’exploitation est activé est moins sécurisé (fiable) qu’un appareil sur lequel cette fonction est désactivée. |
| Activation de la signature de test | Indique si la signature de test est désactivée. Un appareil sur lequel la signature de test est désactivée est plus fiable qu’un appareil sur lequel cette fonction est activée. |
| Version du gestionnaire de démarrage | Version du gestionnaire de démarrage en cours d’exécution sur l’appareil. Le service d’attestation d’intégrité peut vérifier cette version afin de déterminer si le gestionnaire de démarrage le plus récent, qui est plus sécurisé (fiable), est en cours d’exécution. |
| Version de l’intégrité du code | Indique la version du code effectuant les vérifications d’intégrité pendant la séquence de démarrage. Le service d’attestation d’intégrité peut vérifier cette version afin de déterminer si la version la plus récente du code, qui est plus sécurisée (fiable), est en cours d’exécution. |
| Stratégie SBCP présente | Indique la présence du hachage de la stratégie SBCP personnalisée. Un appareil doté d’une stratégie de hachage SBCP est plus fiable qu’un appareil sans hachage SBCP. |
| Liste blanche du cycle de démarrage | Vue de la plateforme hôte entre les cycles de démarrage, tel que défini par le fabricant par rapport à une liste blanche publiée. Un appareil conforme à la liste blanche est plus fiable (sécurisé) qu’un appareil qui n’est pas conforme. |
Inventaire des appareils
L’inventaire des appareils permet aux organisations de mieux gérer les appareils grâce aux informations détaillées sur ces appareils. Les systèmes GPM collectent des informations d’inventaire à distance, de sorte que vous puissiez utiliser les fonctionnalités de génération de rapports du système pour analyser les ressources et les informations de l’appareil. Ces informations vous permettent de déterminer les ressources matérielles et logicielles actuelles de l’appareil (par exemple, les mises à jour installées).
Le Tableau 22 répertorie les exemples d’informations logicielles et matérielles Windows 10 Mobile fournies par un inventaire d’appareils. Outre ces informations, le système GPM peut lire n’importe quel paramètre de configuration décrit dans ce guide.
Tableau 22. Exemples d’inventaire logiciel et matériel Windows 10 Mobile
| Paramètre | Description |
|---|---|
| Installation d’applications d’entreprise | Liste des applications d’entreprise installées sur l’appareil |
| Nom de l’appareil | Nom de l’appareil configuré pour l’appareil |
| Version du microprogramme | Version du microprogramme installé sur l’appareil |
| Version du système d’exploitation | Version du système d’exploitation installé sur l’appareil |
| Heure locale de l’appareil | Heure locale figurant sur l’appareil |
| Type de processeur | Type de processeur de l’appareil |
| Modèle d’appareil | Modèle de l’appareil, tel que défini par le fabricant |
| Fabricant de l’appareil | Fabricant de l’appareil |
| Architecture du processeur de l’appareil | Architecture du processeur de l’appareil |
| Langue de l’appareil | Langue en cours d’utilisation sur l’appareil |
| Numéro de téléphone | Numéro de téléphone attribué à l’appareil |
| État de l’itinérance | Indique si l’appareil dispose d’une connexion cellulaire itinérante |
| IMEI (International mobile equipment identity) et IMSI (International mobile subscriber identity) | Identifiants uniques pour la connexion cellulaire du téléphone ; les réseaux GSM identifient des appareils valides à l’aide de l’IMEI, tandis que tous les réseaux cellulaires utilisent l’IMSI pour identifier l’appareil et l’utilisateur |
| Adresse IP Wi-Fi | Adresses IPv4 et IPv6 actuellement affectées à la carte Wi-Fi de l’appareil |
| Adresse MAC Wi-Fi | Adresse MAC affectée à la carte Wi-Fi de l’appareil |
| Masque de sous-réseau et suffixe DNS Wi-Fi | Suffixe DNS et masque de sous-réseau IP affectés à la carte Wi-Fi de l’appareil |
| État du démarrage sécurisé | Indique si le démarrage sécurisé est activé. |
| Conformité de la stratégie de chiffrement de l’entreprise | Indique si l’appareil est chiffré |
Assistance à distance
Les fonctionnalités d’assistance à distance de Windows 10 Mobile permettent de résoudre les problèmes que les utilisateurs peuvent rencontrer même lorsque le support technique n’a pas physiquement accès à l’appareil. Ces fonctionnalités sont les suivantes :
Verrouillage à distance. Le support technique peut verrouiller à distance un appareil. Cette option est utile lorsqu’un utilisateur perd son appareil mobile et ne peut pas le récupérer immédiatement (par exemple, s’il laisse un appareil chez un client).
Réinitialisation du code PIN à distance. Le support technique peut réinitialiser à distance le code PIN, ce qui se révèle utile lorsque les utilisateurs oublient leur code et ne parviennent pas à accéder à leur appareil. Aucune donnée de l’utilisateur ou de l’entreprise n’est perdue et les utilisateurs sont en mesure d’accéder rapidement à leurs appareils.
Sonnerie à distance. Le support technique peut faire sonner l’appareil à distance. Cette option peut aider les utilisateurs à rechercher des appareils mal placés et, en association avec la fonctionnalité de verrouillage à distance, permettre de s’assurer que des utilisateurs non autorisés ne sont pas en mesure d’accéder à l’appareil s’ils le trouvent.
Recherche à distance. Le support technique peut localiser à distance un appareil sur une carte, ce qui permet d’identifier l’emplacement géographique de l’appareil. Pour configurer la recherche à distance de Windows 10 Mobile, utilisez les paramètres du Tableau 23. La fonctionnalité de recherche à distance renvoie la latitude, la longitude et l’altitude les plus récentes de l’appareil.
Ces fonctionnalités de gestion à distance permettent aux organisations de réduire l’effort informatique requis pour gérer les appareils. Elles permettent également aux utilisateurs de pouvoir rapidement réutiliser leur appareil en cas de perte ou d’oubli du mot de passe de ce dernier.
Tableau 23. Paramètres de recherche à distance Windows 10 Mobile
| Paramètre | Description |
|---|---|
| Précision de l’emplacement souhaitée | Précision souhaitée sous forme d’une valeur de rayon exprimée en mètres ; a une valeur comprise entre 1 et 1 000 mètres |
| Recherche à distance maximale | Durée maximale en minutes au terme de laquelle le serveur accepte une recherche réussie à distance ; a une valeur comprise entre 0 et 1 000 minutes |
| Délai d’expiration de la recherche à distance | Nombre de secondes correspondant à la durée pendant laquelle des appareils doivent attendre que la recherche à distance se termine ; a une valeur comprise entre 0 et 1 800 secondes |
Services de cloud
Sur les appareils mobiles qui s’exécutent Windows 10 Mobile, les utilisateurs peuvent facilement se connecter aux applications et aux données. Par conséquent, ils se connectent fréquemment aux services de cloud qui fournissent des notifications utilisateur et collectent des données télémétriques (données d’utilisation). Windows 10 Mobile permet aux organisations de gérer la façon dont les appareils consomment ces services de cloud.
Gérer les notifications Push
Les services de notifications Push Windows permettent aux développeurs de logiciels d’envoyer des mises à jour de toast, de vignette et de badge, ainsi que des mises à jour brutes à partir de leur service cloud. Il en résulte un mécanisme fiable et optimal de remise des mises à jour aux utilisateurs.
Les notifications Push peuvent affecter l’autonomie de la batterie. Par conséquent, l’économiseur de batterie de Windows 10 Mobile limite l’activité en arrière-plan sur les appareils afin de prolonger la durée de vie de la batterie. Les utilisateurs peuvent configurer l’économiseur de batterie de sorte qu’il s’active automatiquement lorsque le niveau de la batterie descend en dessous d’un seuil défini. Lorsque l’économiseur de batterie est activé, Windows 10 Mobile désactive la réception de notifications Push afin de réduire la consommation d’énergie.
Il existe toutefois une exception à ce comportement. Les paramètres d’économiseur de batterie Toujours autoriser Windows 10 suivants (disponibles dans l’application Paramètres) permettent aux applications de recevoir des notifications Push même lorsque l’économiseur de batterie est activé. Les utilisateurs peuvent configurer manuellement cette liste, ou utiliser le système GPM pour la configurer. Autrement dit, vous pouvez utiliser le schéma URI des paramètres de l’économiseur de batterie dans Windows 10 Mobile (ms-settings:batterysaver-settings) pour configurer ces paramètres.
Pour plus d’informations sur les notifications Push, voir Windows Push Notification Services (WNS) overview (Vue d’ensemble des services de notifications Push Windows).
Gérer la télémétrie
Lorsque vous utilisez Windows 10 Mobile, ce dernier collecte des données de télémétrie relatives aux performances et à l’utilisation qui aident Microsoft à identifier et à résoudre les problèmes, et à améliorer ses produits et services. Microsoft recommande de sélectionner la valeur Complet pour ce paramètre.
Les employés, fournisseurs, distributeurs et partenaires de Microsoft peuvent avoir accès aux informations collectées par Windows 10 Mobile, mais ils ne peuvent utiliser ces informations que dans le cadre d’une réparation ou d’une amélioration des produits et services de Microsoft, ou des logiciels et matériels tiers conçus pour une utilisation avec des produits et services Microsoft.
Vous pouvez contrôler le niveau de données collectées par les systèmes GPM. Le Tableau 24 répertorie les niveaux de données que Windows 10 Mobile collecte et fournit une brève description pour chacun d’entre eux. Pour configurer des appareils, spécifiez l’un de ces niveaux dans le paramètre Autoriser la télémétrie.
Tableau 24. Niveaux de collecte de données de Windows 10 Mobile
| Niveau de données | Description |
|---|---|
| Sécurité | Collecte uniquement les informations nécessaires pour préserver une sécurité de niveau entreprise de Windows 10 Mobile, notamment celles concernant les paramètres du client de télémétrie, l’outil de suppression de logiciels malveillants et Windows Defender. Ce niveau est disponible uniquement sous Windows 10 Entreprise, Windows 10 Éducation et Windows 10 IoT Standard. Pour Windows 10 Mobile, ce paramètre désactive la télémétrie de Windows 10 Mobile. |
| De base | Fournit uniquement les données essentielles au fonctionnement de Windows 10 Mobile. Ce niveau de données aide au maintien du bon fonctionnement de Windows 10 Mobile et des applications en permettant à Microsoft de connaître les capacités de l’appareil, les applications installées, et de savoir si Windows fonctionne correctement. Cette option active également le renvoi des rapports d’erreurs de base à Microsoft. Si vous sélectionnez cette option, vous autorisez Microsoft à fournir des mises à jour via Windows Update, notamment la protection contre les logiciels malveillants via l’outil de suppression de logiciels malveillants. |
| Améliorée | Inclut toutes les données De base, ainsi que les données sur l’utilisation de Windows 10 Mobile par les utilisateurs, telles que la fréquence ou la durée d’utilisation de certaines fonctionnalités ou applications, et les applications utilisées le plus souvent. Cette option permet également au système d’exploitation de collecter des informations de diagnostic améliorées, par exemple sur l’état de la mémoire d’un appareil en cas de blocage d’un système ou d’une application, ainsi que de mesurer la fiabilité des appareils, du système d’exploitation et des applications. |
| Complète | Inclut l’ensemble des données de base et améliorées, et active les fonctionnalités de diagnostic avancées qui collectent des données supplémentaires d’appareil, par exemple les fichiers système ou les instantanés de mémoire, ce qui peut inclure de manière non intentionnelle des parties d’un document sur lequel un utilisateur travaille lorsqu’un problème s’est produit. Ces informations aident Microsoft à mieux résoudre les problèmes. Si un rapport d’erreurs comporte des données personnelles, Microsoft n’utilise pas ces informations pour identifier ou contacter des utilisateurs ou pour leur communiquer du contenu publicitaire. |
Mise hors-service d’appareils
La mise hors-service d’un appareil (désinscription) est la dernière phase de son cycle de vie. Historiquement, la mise hors-service d’un appareil mobile est un processus complexe et difficile pour les organisations. Lorsque l’organisation n’a plus besoin d’un appareil, elle doit supprimer (réinitialiser) les données d’entreprise qu’il contient. Les scénarios BYOD rendent cette mise hors-service encore plus complexe, car les utilisateurs souhaitent que leurs applications et leurs données personnelles restent intactes. Par conséquent, les organisations doivent supprimer leurs données sans toucher les données des utilisateurs.
Vous pouvez supprimer à distance toutes les données d’entreprise d’appareils exécutant Windows 10 Mobile sans affecter les données utilisateur existantes (réinitialisation partielle ou d’entreprise). Le support technique ou les utilisateurs des appareils peuvent lancer la mise hors-service de l’appareil. Lorsque la mise hors-service est terminée, Windows 10 Mobile fait retrouver aux appareils leur statut « grand public », dont ils bénéficiaient avant l’inscription. La liste suivante récapitule les données d’entreprise supprimées d’un appareil lors de sa mise hors-service :
Comptes de messagerie
Certificats émis par l’entreprise
Profils de réseau
Applications déployées par l’entreprise
Toutes les données associées aux applications déployées par l’entreprise
Remarque
Toutes ces fonctionnalités s’ajoutent aux fonctionnalités logicielles et matérielles de réinitialisation aux paramètres d’usine de l’appareil, que les utilisateurs peuvent utiliser pour rétablir la configuration d’usine sur ce dernier.
Pour indiquer si les utilisateurs peuvent supprimer le compte d’espace de travail dans le Panneau de configuration et procéder à une désinscription à partir du système GPM, activez le paramètre Autoriser la suppression manuelle de l’inscription GPM. Le Tableau 25 répertorie les paramètres de réinitialisation à distance Windows 10 supplémentaires que vous pouvez utiliser pour configurer le système GPM.
Tableau 25. Paramètres de réinitialisation à distance Windows 10 Mobile
| Paramètre | Description |
|---|---|
| Réinitialiser | Indique qu’une réinitialisation à distance de l’appareil doit être effectuée. |
| Autoriser la suppression manuelle de l’inscription GPM | Indique si les utilisateurs sont autorisés à supprimer le compte de d’espace de travail (en d’autres termes, à supprimer l’appareil du système GPM) |
| Autoriser l’utilisateur à réinitialiser le téléphone | Indique si les utilisateurs sont autorisés à utiliser le Panneau de configuration ou une combinaison de touches pour revenir aux valeurs d’usine par défaut |
Rubriques associées
Gestion des périphériques mobiles
Vue d’ensemble de la gestion des périphériques mobiles pour Office 365