Page d'accueil
Insight15.11.2021

Inscription Android Enterprise

Qu'est-ce qu'Android Enterprise et est-il pris en charge par Relution ?

En plus de la gestion bien connue des appareils Android via la fonction d'administrateur d'appareils, également appelée "Classic Mode", où le Relution Client est requis en tant qu'administrateur d'appareils pour l'inscription des appareils et les autres fonctions MDM, Relution supporte également l'inscription Android Enterprise. Pour cette option, les variantes suivantes sont disponibles : profil professionnel (BYOD), appareil géré (COD) et profil personnel (COPE).

Avec Android Enterprise, Relution communique avec le Device Management Server de Google et non plus directement avec l'appareil. L'inscription et toutes les fonctions MDM peuvent donc être effectuées sans le Relution Client. Aucun identifiant Google privé n'est nécessaire pour installer des apps du Google Play Store géré sur les appareils.

Comment configurer Android Enterprise dans Relution ?

Afin d'utiliser Android Enterprise avec le Mobile Device Management Relution, l'organisation Relution correspondante doit être liée à une organisation Google. Un guide pour la liaison est disponible dans l'Insight suivant : Configuration d'Android Enterprise dans Relution.

Peut-on installer des applications sur les appareils Android Enterprise via Relution ?

Contrairement au "Classic Mode" d'Android, où seules les applications natives peuvent être distribuées sous forme de fichiers .apk, Android Enterprise installe des applications à partir du Managed Play Store. Aucun identifiant Google n'est nécessaire pour installer les applications, car l'identifiant technique unique est automatiquement utilisé en arrière-plan. Cela permet également de distribuer automatiquement les mises à jour des applications aux appareils via le Managed Play Store. Il n'est donc plus nécessaire de mettre à jour manuellement l'application via les nouvelles versions d'un fichier .apk.

Android Enterprise Work Profile (BYOD)

Est-il possible d'utiliser le Android Enterprise Work Profile avec Relution ?

Si l'organisation Relution est liée à un compte Google, le type "Work Profile" peut être sélectionné en plus de la plateforme "Android Enterprise" lors de l'inscription :

insight-android_enterprise_device_profile-01-en.png

Quels sont les avantages du Android Enterprise Work Profile?

Le Android Work Profile permet aux entreprises, aux administrations ou aux écoles de mettre en place un conteneur sur les appareils privés des employés, appelés Bring Your Own Devices (BYOD), qui contient exclusivement des apps, des contenus et des fonctions professionnels. Les données professionnelles et privées sur l'appareil sont ainsi strictement séparées. Il peut s'agir, par exemple, de la séparation des e-mails privés et professionnels. Ceux-ci peuvent être utilisés indépendamment les uns des autres via le Android Enterprise Work Profile, sans que les contenus privés et professionnels ne se mélangent lors de la réception et de l'envoi d'e-mails sur l'appareil. Le compte de messagerie professionnel n'a accès qu'aux contacts professionnels, tandis que le compte de messagerie privé n'a accès qu'aux contacts privés. Les données générées sur l'appareil ou dans les apps utilisées ne peuvent pas être lues par Relution.

Android Enterprise Managed Device (COD)

Peut-on utiliser un appareil géré par Android Enterprise avec Relution ?

Si l'organisation Relution est liée à un compte Google, le type "Managed Device" peut être sélectionné en plus de la plateforme "Android Enterprise" lors de l'inscription :

insight-android_enterprise_device_profile-02-en.png

Quels sont les avantages des appareils gérés ?

Contrairement au profil professionnel, les appareils gérés sont destinés aux appareils appartenant à l'entreprise (COD). L'entreprise, l'administration ou l'école a ainsi un contrôle total sur l'appareil et peut contrôler toutes les fonctions de l'appareil en plus de l'installation d'apps. Il est par exemple possible de configurer les connexions WiFi et d'installer des apps ou d'interdire l'accès aux paramètres. Les données générées sur l'appareil ou dans les apps utilisées ne peuvent pas être lues par Relution. Seuls les détails de l'appareil et les apps qui sont installées sur l'appareil peuvent être lus.

Android Enterprise avec profil personnel (COPE)

Est-il possible d'utiliser un appareil géré par Android Enterprise avec un profil personnel avec Relution ?

Si l'organisation Relution est liée à un compte Google, le type "Managed Device with Personal Profile" peut être sélectionné en plus de la plateforme "Android Enterprise" pendant l'inscription :

insight-android_enterprise_device_profile-03-en.png

Quels sont les avantages des appareils gérés avec un profil personnel (COPE) ?

Les appareils gérés avec un profil personnel sont également sous le contrôle total du MDM d'une entreprise, d'une administration ou d'une école. Cependant, en plus d'une zone "Travail", il y a automatiquement une autre zone "Personnel" sur l'appareil. Cela signifie qu'un appareil professionnel peut également être utilisé à titre privé. Les données professionnelles et privées sur l'appareil sont également strictement séparées, comme dans le cas du profil professionnel. Contrairement à un appareil privé avec un profil professionnel, l'utilisateur ne peut pas supprimer le profil professionnel sur un appareil professionnel avec un profil personnel.

Comment configurer les appareils Android Enterprise dans Relution ?

Les appareils Android Enterprise inscrits peuvent recevoir des paramètres spécifiques via des politiques qui peuvent être appliquées aux appareils compatibles. Ici, les configurations Android Enterprise sont différenciées en "Work Profile" et "Managed Device" :

insight-android_enterprise_device_profile-04-en.png

Les configurations suivantes sont identiques pour les deux types, mais chacune fait référence au domaine d'app spécifique :

  • Gérer les apps
  • Gérer les autorisations d'exécution
  • Mot de passe
  • Restrictions.

Avec le profil de travail, les paramètres n'affectent que le profil de travail, car il n'y a pas de contrôle sur l'ensemble de l'appareil. Les restrictions qui concernent l'appareil n'ont donc aucun effet sur le profil de travail. Avec le dispositif géré, les paramètres s'appliquent toujours à l'ensemble du dispositif.

En outre, il existe des configurations avancées qui ne sont disponibles que pour le dispositif géré :

  • Gestion avancée de la protection des clés
  • Paramètres avancés de partage d'emplacement
  • Gestion de la radio du système
  • WiFi.

Comment les apps publiques sont-elles installées sur les appareils Android Enterprise ?

Les apps du Play Store géré peuvent être chargées sur les appareils via la configuration Gérer les apps professionnelles :

insight-android_enterprise_device_profile-05-en.png

Sur la page de détail de l'application concernée, l'application peut être ajoutée à la configuration à l'aide du bouton "Select" :

insight-android_enterprise_device_profile-06-en.png
insight-android_enterprise_device_profile-07-en.png

Est-il possible d'établir des préréglages pour l'installation d'applications sur les appareils Android Enterprise ?

Pour chaque app ajoutée, les paramètres parentaux suivants peuvent être définis :

insight-android_enterprise_device_profile-08-en.png
insight-android_enterprise_device_profile-09-en.png
  • Préinstallé signifie que l'app est installée sur le dispositif, mais qu'elle peut être retirée par l'utilisateur, à moins que les restrictions ne l'empêchent globalement.
  • Installation forcée signifie que l'app est installée sur l'appareil et ne peut pas être retirée par l'utilisateur.
  • Bloqué signifie que l'app ne peut pas être installée ou, si elle est déjà installée, qu'elle ne peut pas être utilisée. L'app sera masquée si nécessaire.
  • Disponible signifie que l'app est disponible pour l'utilisateur dans le Managed Play Store sur l'appareil et peut être installée par l'utilisateur si nécessaire.
  • Désactivée (case à cocher) signifie que l'app, si elle est installée, ne peut pas être utilisée. L'app n'est pas désinstallée, contrairement au blocage.
  • Le code de la version minimale requise indique quelle version de l'app doit être installée au minimum.

D'autres paramètres spécifiques peuvent être définis pour chaque app.

Gestion des autorisations d'exécution

Si une app demande des autorisations au moment de l'exécution, par exemple l'accès à la caméra ou au GPS, l'utilisateur doit généralement décider si l'accès est accordé ou non.

Grâce à ce paramètre, l'administrateur peut spécifier comment la demande de l'app est traitée. Dans ce cas, le consentement de l'utilisateur n'est plus demandé.

insight-android_enterprise_device_profile-10-en.png

Les réglages suivants sont possibles :

insight-android_enterprise_device_profile-11-en.png
  • Utiliser la valeur par défaut globale signifie que le même paramètre s'applique à toutes les apps, ce qui est contrôlé séparément via la configuration "Manage runtime permissions".
  • Demander à l'utilisateur signifie que l'appareil se comporte normalement et que l'autorisation est demandée à l'utilisateur.
  • Accorder des autorisations signifie que l'app obtient l'autorisation sans demander à l'utilisateur.
  • Refuser les autorisations signifie que l'app ne reçoit pas l'autorisation sans demander à l'utilisateur.

Autorisations standard d'Android

La réponse par défaut pour les autorisations d'exécution s'applique à toutes les autorisations d'une app. En revanche, avec les autorisations Android standard, il est possible de spécifier séparément pour chaque autorisation quelle réponse doit être utilisée.

Ici, l'administrateur a la possibilité de spécifier quelle réponse doit être donnée pour une permission particulière afin de procéder de manière plus différenciée. Pour l'autorisation respective de cette app, le paramètre global est ainsi remplacé. Cela réduit les efforts d'assistance, car les autorisations ne peuvent plus être définies de manière incorrecte.

En outre, la protection des données peut être assurée et, par exemple, l'accès aux données de position GPS peut être empêché de manière centralisée.

insight-android_enterprise_device_profile-12-en.png

Permissions personnalisées

Si une app utilise des autorisations supplémentaires spécifiques à l'app qui nécessitent une approbation, elles peuvent être configurées ici.

insight-android_enterprise_device_profile-13-en.png

Configuration gérée

Si une app supporte la configuration gérée, il est possible de l'interroger et de la maintenir à partir de Google. L'interface provient de Google et ne peut être influencée par Relution. Les options de configuration disponibles ici sont définies par le développeur de l'app concernée. Si une app ne propose pas de configuration gérée, aucune option n'est disponible ici.

insight-android_enterprise_device_profile-14-en.png

Quelles autres apps peuvent être installées sur les appareils Android Enterprise ?

En plus des apps publiques, des applications privées et des apps web peuvent également être ajoutées et installées :

insight-android_enterprise_device_profile-15-en.png

Les apps privées sont des apps qui ont été téléchargées sur le Play Store par l'entreprise mais qui ne sont pas disponibles pour le public. Le nom du paquet utilisé pour une app privée ne doit pas être utilisé par une application publiée sur le Play Store.

Les liens web peuvent-ils être déployés sur des appareils équipés d'Android Enterprise ?

Dans le Managed Play Store, des liens vers tout contenu web peuvent être mis à disposition via l'élément de menu Web Apps en plus des apps. Différentes options peuvent être sélectionnées ici :

insight-android_enterprise_device_profile-16-en.png

Que sont les autorisations d'exécution et quels sont les paramètres possibles ?

Outre la configuration des autorisations au niveau de l'app, des paramètres globaux peuvent être définis via cette configuration. Ceux-ci s'appliquent en conséquence à toutes les apps pour lesquelles aucun paramètre spécial ne s'applique. Cela réduit les efforts d'assistance, car les autorisations ne peuvent plus être définies de manière incorrecte. En outre, la protection des données peut être assurée et, par exemple, l'accès aux données de position GPS peut être empêché de manière centralisée.

insight-android_enterprise_device_profile-17-en.png

Les mots de passe pour les appareils Android Enterprise peuvent-ils être préconfigurés ?

La configuration des mots de passe peut être utilisée pour spécifier qu'un mot de passe doit être utilisé par l'utilisateur sur l'appareil. En outre, l'administrateur peut spécifier qu'aucune app d'entreprise ne peut être utilisée tant qu'un mot de passe de la force correspondante n'a pas été attribué.

insight-android_enterprise_device_profile-18-en.png

Les appareils Android Enterprise peuvent-ils être restreints ?

Les fonctions individuelles de l'appareil peuvent être activées ou désactivées via la configuration des restrictions. Les paramètres des catégories suivantes sont disponibles à cet effet :

  • Restrictions prédéfinies
  • Restrictions de compte utilisateur
  • Restrictions relatives aux apps
  • Restrictions pour les réglages
  • Restrictions relatives aux appareils
  • Restrictions relatives au multimédia
  • Restrictions relatives au réseau
  • Restrictions pour le stockage
  • Restrictions relatives au téléphone.
insight-android_enterprise_device_profile-19-en.png

Les fonctions de l'écran de verrouillage d'un appareil géré peuvent-elles être limitées (Keyguard) ?

La configuration "Extended keyguard management" peut être utilisée pour gérer les fonctions qui sont disponibles lorsque le périphérique est verrouillé. Il s'agit notamment des fonctions qui déverrouillent l'appareil ainsi que la caméra.

insight-android_enterprise_device_profile-20-en.png

Est-il possible de configurer les services de localisation sur un appareil géré ?

Les services de localisation peuvent généralement être désactivés ou limités via la configuration des "Advanced location sharing settings". Par exemple, la localisation par GPS peut être désactivée (pour économiser la batterie).

insight-android_enterprise_device_profile-21-en.png

Quels sont les réglages possibles dans le System Radio Management Configuration pour les appareils gérés ?

Le System Radio Management Configuration permet d'activer ou de désactiver les fonctions de l'appareil qui sont liées aux technologies de réseau sans fil (Bluetooth, WiFi, cellulaire).

insight-android_enterprise_device_profile-22-en.png

Les réseaux WIFI peuvent-ils être préconfigurés pour les appareils gérés ?

Avec la configuration "WiFi", les réseaux sont prédéfinis et mis à la disposition de l'appareil géré par Android Enterprise :

insight-android_enterprise_device_profile-23-en.png

Quels sont les avantages d'Android Enterprise ?

En résumé, Android Enterprise offre des paramètres étendus et est continuellement étendu et optimisé par Google/Alphabet. La normalisation croissante permet d'utiliser des appareils de différents fabricants. La procédure uniforme garantit que toutes les configurations fonctionnent indépendamment du fabricant de l'appareil. Les avantages en un coup d'œil :

  • Communication directe avec le Google Device Management Server.
  • Les apps ne doivent plus être déployées nativement sous forme de fichiers .apk, mais sont installées directement depuis le Play Store géré par Google.
  • Aucun Google ID et donc aucune interaction de l'utilisateur n'est nécessaire lors de l'installation de l'app sur l'appareil.
  • Via le profil de travail, il est possible de fournir un conteneur de travail indépendant pour les apps, les mails et les données avec une séparation stricte des données.
  • Les appareils gérés peuvent être entièrement contrôlés et toutes les fonctions des appareils peuvent être contrôlées de manière analogue au mode supervisé d'Apple.
  • Un Managed Google Play Store permet de fournir uniquement les apps autorisées. Des configurations gérées peuvent être définies, de manière similaire aux Apple iOS Managed App Configurations.
  • Cryptage renforcé de l'appareil

Néanmoins, Samsung offre toujours une variété de configurations supplémentaires avec son Knox program, qui offre actuellement encore la plus grande gamme d'options.