Séparation des données sur les appareils d'entreprise (Corporate Owned) et ceux de l'utilisateur (Bring Your Own Device)
Motivation pour la séparation des données sur les appareils mobiles
Lors de l'utilisation d'appareils mobiles, on accède à des données de toutes sortes. La conformité de la protection des données doit être garantie. On distingue les appareils appartenant à l'entreprise, appelés "Corporate Owned Devices" (COD), et les appareils appartenant à l'utilisateur, appelés "Bring Your Own Devices" (BYOD). Pour ces deux types d'utilisation, les fabricants des systèmes d'exploitation pour appareils mobiles iOS et Android proposent désormais leurs propres technologies de séparation des données. Dans ce qui suit, ces "moyens embarqués" et leur mise en œuvre dans Relution sont décrits en détail.
iOS - Corporate Owned Devices
Différenciation managed / unmanaged
Depuis iOS12, Apple fait fondamentalement la distinction entre "managed" et "unmanaged" pour les objets suivants :
Appareils gérés
- Apps - poussées par Relution ou installées via le Relution Enterprise Appstore, serveur configurable
- Comptes de messagerie - configurés par Relution via une politique.
- Contacts - chargés depuis le compte de messagerie géré vers l'appareil (synchronisés).
- Documents - chargés depuis le compte de messagerie géré vers le dispositif (synchronisés).
Appareils non gérés
- Apps - installées par l'utilisateur à partir de l'AppStore d'Apple, non configurables par le serveur.
- Comptes de messagerie - configurés sur l'appareil par l'utilisateur.
- Contacts - créés par l'utilisateur
- Documents - générés par l'utilisateur dans des apps non gérées ou reçus dans des comptes de messagerie non gérés.
Une app non gérée peut être convertie en une app gérée en étant à nouveau poussée par Relution. Elle remplace l'app non gérée du même nom sur l'appareil. Cependant, les comptes de messagerie, les contacts et les documents non gérés ne peuvent pas être transférés vers une app gérée.
Restrictions d'accès
Dans iOS, les données sont séparées côté système au moyen d'une politique qui permet de définir si l'accès aux données gérées depuis des apps non gérées doit être autorisé ou non. À cette fin, la configuration "Restrictions" dans le cadre d'une politique dans Relution offre les options de restriction suivantes :
- Interdire l'ouverture de documents gérés dans des apps non gérées.
- Autoriser l'ouverture de documents non gérés dans des apps gérées.
- Refuser l'accès des apps non gérées aux contacts gérés
- Autoriser l'ouverture de documents non gérés dans les apps gérées.
- Autoriser les apps gérées à écrire des contacts non gérés.
- Considérer généralement les cibles AirDrop comme non gérées.
- Interdire le déplacement de mails vers des comptes mail non gérés
Par exemple, on peut empêcher ce qui suit :
- Une app privée (par exemple WhatsApp) qui voit des contacts professionnels (Exchange).
- Un courrier professionnel est transféré à volonté
- Une pièce jointe d'un courrier professionnel est ouverte dans n'importe quelle application (par exemple, Dropbox).
Restrictions iCloud
Afin d'éviter la fuite incontrôlée de données, Relution offre la possibilité d'interdire ou du moins de restreindre complètement les comptes cloud. Les fonctions suivantes peuvent être désactivées :
- les sauvegardes iCloud
- synchronisation du trousseau de clés iCloud
- Autoriser les apps gérées à stocker des données dans iCloud
- Enregistrement de photos dans iCloud
- Synchronisation des documents iCloud
Restrictions fonctionnelles
Enfin, il existe certaines fonctions du système iOS qui peuvent être considérées comme relevant des critères de sécurité des données et qui peuvent également être désactivées par restriction :
- App Block-/Allowlisting
- Blocage/autorisation de l'URL Web
- AirDrop (peut être désactivé complètement)
- Partage du mot de passe
- Accès à l'AppStore d'Apple
- Captures d'écran et enregistrements
- Appareil photo (peut être désactivé complètement, également pour les fonctions in-app)
- Création et modification de comptes (Mail, Apple IDs)
- Bluetooth
- Installation de profils VPN
- Connexions USB
Via l'application VPN
En tant que mesure importante de protection des données, iOS offre la possibilité de coupler en permanence la connexion de données des apps à une connexion VPN, qui peut à son tour être reconfigurée par le serveur Relution. Cela permet de garantir que certaines apps ne fonctionnent que sur le réseau de l'entreprise et que l'accès externe est empêché (intranet uniquement).
iOS - Bring Your Own Device
Jusqu'à iOS 12, il était courant d'utiliser une application conteneur sur les appareils iOS BYOD qui pouvait être configurée côté serveur et garantissait ainsi la séparation des données professionnelles et privées.
En attendant, cependant, iOS offre une "solution conteneur" intégrée pour séparer les applications et les données professionnelles des données privées. À cette fin, un appareil iOS est ajouté à Relution via une inscription (BYOD) dans l'inventaire. Cela installe un profil MDM sur l'appareil, lui permettant d'être géré via Relution. Techniquement, une distinction est alors faite entre les applications et le contenu "gérés" et "non gérés". Cela transforme l'appareil iOS en un appareil à "double personnalité" et sépare complètement les données. Des restrictions peuvent également être utilisées pour contrôler si les données peuvent être partagées entre les applications "gérées" et "non gérées".
Différentes configurations peuvent être chargées sur les appareils et gérées via Relution :
- Apps
- Configuration du VPN
- Notes (d'autres apps système suivront dans les futures versions d'iOS)
- Compte iCloud
- Trousseau de clés
- Comptes de messagerie / pièces jointes
- Comptes de calendriers / pièces jointes
Si le profil MDM est supprimé, toutes les applications et le contenu gérés sont supprimés. Cette action peut être effectuée via la relution ou sur l'appareil lui-même.
Android - Corporate Owned Devices
À partir d'Android 9 : Android Enterprise Enrollment (appareil entièrement géré)
Depuis Relution 5 au plus tard, l'inscription d'Android Enterprise en tant que dispositif entièrement géré (propriétaire du dispositif) est devenue de plus en plus courante pour gérer les dispositifs Android dans Relution. Les fonctions MDM sont intégrées et standardisées dans le système d'exploitation. Cela permet une fonctionnalité MDM uniforme et largement indépendante du fournisseur sur la plateforme Android. Les fonctions Android Enterprise ne sont disponibles que pour les appareils certifiés. Les appareils Samsung peuvent être administrés et sécurisés de manière encore plus approfondie grâce aux fonctions KNOX. L'app Relution Client n'est plus obligatoire pour l'inscription à Android Enterprise. En outre, l'inscription classique en tant qu'"Administrateur d'appareil" est toujours disponible. Dans ce cas, l'application client de Relution reçoit des droits spéciaux sur l'appareil afin qu'il puisse exécuter les fonctions MDM. Cependant, avec ce type d'inscription, les possibilités d'intervention du MDM dépendent fortement de l'appareil Android utilisé. Un large éventail de configurations et de fonctions est disponible lors de la gestion des appareils Android :
- Installation et configuration d'apps (par exemple, le client Exchange).
- Gestion du Google Play Store
- Configuration du WiFi et du VPN
- Enregistrement entièrement automatique des appareils (KNOX Mobile Enrollment)
Android - Device Enrollment Program
Inscription du profil de travail
Android Enterprise propose en outre ce que l'on appelle le "profil professionnel", qui est destiné aux appareils privés et met en place un conteneur ("travail") sur l'appareil qui peut être géré par Relution. Ce conteneur contient un "Managed Play Store", qui fournit uniquement des applications approuvées pour l'installation. L'installation d'applications à partir du "Managed Google Play Store" est possible sans compte Google local. En outre, les applications peuvent être configurées via Relution si une "Managed App Configruation" est prise en charge par l'application concernée (par exemple, une application de messagerie avec une adresse de serveur et un ID utilisateur prédéfinis). Le conteneur peut également contenir son propre carnet d'adresses pour séparer les contacts professionnels et privés.
Tout ce qui se trouve à l'extérieur du conteneur ("Personnel") ne peut pas influencer la Relution, de sorte que, par exemple, l'appareil ne peut pas être réinitialisé ou verrouillé. Toutefois, le conteneur peut être supprimé par Relution, qui efface alors toutes les données qu'il contient.
Relution prend en charge le profil de travail dans une organisation, parallèlement à la gestion complète des appareils d'Android Enterprise et à l'inscription classique en tant qu'administrateur système. Dans Relution, le fonctionnement mixte avec différents appareils est donc possible.
Restrictions fonctionnelles
En outre, les fonctions suivantes du conteneur "Travail" peuvent également être désactivées par restriction :
- App Block-/Allowlisting
- Créer de nouveaux utilisateurs et profils
- Ajouter et supprimer des comptes
- Installation d'applications
- Désinstaller des applications
- Utiliser l'appareil photo
- Faire des captures d'écran
- Configurer et utiliser Bluetooth
- Partager des contacts via Bluetooth
- Configurer le réseau mobile
- Configurer le VPN
- Configurer les réseaux Wi-Fi par défaut
- Utiliser Android Beam (NFC) pour partager des données d'application
- Intégrer des supports physiques externes
- Transférer des fichiers via USB
Résumé
Dans leurs versions actuelles, Android et iOS offrent de nombreuses possibilités d'utilisation sécurisée, notamment la séparation des données professionnelles et privées. Ces possibilités sont encore étendues avec chaque nouvelle version du système d'exploitation.
Ainsi, le conteneur classique, basé sur les applications, est devenu obsolète car il ne permet pas une séparation aussi stricte au niveau du système (par exemple, pas de système de fichiers propre) et présente des inconvénients évidents par rapport à la séparation des données du côté du système d'exploitation, tant du point de vue des coûts que de la convivialité.