Liste des paramètres d’appareil Android Entreprise pour autoriser ou restreindre les fonctionnalités sur les appareils personnels à l’aide d’Intune

Cet article décrit les différents paramètres que vous pouvez contrôler sur les appareils Android Enterprise. Dans le cadre de votre solution de gestion des appareils mobiles (GPM), utilisez ces paramètres pour autoriser ou désactiver les fonctionnalités, contrôler la sécurité et bien plus encore.

Cette fonctionnalité s’applique à :

  • Appareils Android Enterprise appartenant à l’utilisateur avec un profil professionnel (BYOD)

Conseil

Avant de commencer

Créez un profil de configuration de restrictions d’appareil Android.

Paramètres de profil professionnel

Ces paramètres s’appliquent aux appareils Android Enterprise appartenant à l’utilisateur avec un profil professionnel (BYOD).

Paramètres généraux

  • Copier et coller entre les profils professionnels et personnels : Bloquer empêche le copier-coller entre les applications professionnelles et personnelles. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut permettre aux utilisateurs de partager des données à l’aide du copier-coller avec les applications du profil personnel.

  • Partage de données entre les profils professionnels et personnels : choisissez si les applications du profil professionnel peuvent partager avec les applications du profil personnel. Par exemple, vous pouvez contrôler les actions de partage au sein des applications, telles que l’option Partager... dans l’application de navigateur Chrome. Ce paramètre ne s’applique pas au comportement de copier/coller du Presse-papiers. Les options disponibles sont les suivantes :

    • Appareil par défaut : le partage du profil professionnel vers le profil personnel est bloqué. Le partage du profil personnel vers le profil professionnel est autorisé.
    • Les applications dans le profil professionnel peuvent gérer les demandes de partage à partir d’un profil personnel : active la fonctionnalité Android intégrée qui permet le partage entre le profil personnel et le profil professionnel. Lorsqu’elle est activée, une demande de partage à partir d’une application dans le profil personnel peut être partagée avec les applications du profil professionnel.
    • Aucune restriction sur le partage : active le partage entre les limites du profil professionnel dans les deux sens. Lorsque vous sélectionnez ce paramètre, les applications du profil professionnel peuvent partager des données avec des applications non déboguées dans le profil personnel. Ce paramètre permet aux applications gérées dans le profil professionnel de partager avec des applications du côté non géré de l’appareil. Utilisez donc soigneusement ce paramètre.
  • Notifications de profil professionnel lorsque l’appareil est verrouillé : Bloquer empêche l’affichage des notifications de fenêtre, notamment les toasts, les appels entrants, les appels sortants, les alertes système et les erreurs système sur les appareils verrouillés. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut afficher des notifications.

  • Autorisations d’application par défaut : définit la stratégie d’autorisation par défaut pour toutes les applications du profil professionnel. À compter d’Android 6, les utilisateurs sont invités à accorder certaines autorisations requises par les applications lors du lancement de l’application. Ce paramètre de stratégie vous permet de déterminer si les utilisateurs sont invités à accorder des autorisations pour toutes les applications du profil professionnel. Par exemple, vous affectez une application au profil professionnel qui nécessite un accès à l’emplacement. Normalement, cette application invite les utilisateurs à approuver ou refuser l’accès à l’emplacement de l’application. Utilisez cette stratégie pour accorder automatiquement des autorisations sans invite, refuser automatiquement les autorisations sans invite ou laisser les utilisateurs décider. Les options disponibles sont les suivantes :

    • Par défaut de l’appareil
    • Prompt
    • Octroi automatique
    • Refus automatique

    Vous pouvez également utiliser une stratégie de configuration d’application pour accorder des autorisations pour des applications individuelles (stratégiesde configuration des applications>).

  • Ajouter et supprimer des comptes : ce paramètre autorise ou empêche l’ajout de comptes dans le profil professionnel, y compris les comptes Google. Les options disponibles sont les suivantes :

    • Autorisez tous les types de comptes, à l’exception des comptes Google (par défaut) : Intune ne modifie pas ou ne met pas à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser l’ajout de comptes dans le profil professionnel.

      Dans une version précédente, ce paramètre était nommé Non configuré.

    • Autoriser tous les types de comptes : autorise tous les comptes, y compris les comptes Google. Ces comptes Google ne peuvent pas installer des applications à partir du Google Play Store géré.

      Vous pouvez également configurer :

      • Liste verte des domaines Google : limite les utilisateurs à ajouter uniquement certains domaines de compte Google dans le profil professionnel. Vous pouvez importer une liste de domaines autorisés au format suivant :

        contoso.com
        microsoft.com
        

        Vous pouvez également ajouter les domaines individuellement à l’aide du contoso.com format . Lorsqu’il est vide, par défaut, le système d’exploitation peut autoriser l’ajout de tous les domaines Google dans le profil professionnel.

      Ce paramètre nécessite :

      • Version de l’application Google Play 80970100 ou supérieure
    • Bloquer tous les types de comptes : empêche les utilisateurs d’ajouter ou de supprimer manuellement des comptes dans le profil professionnel. Par exemple, lorsque vous déployez l’application Gmail dans le profil professionnel, vous pouvez empêcher les utilisateurs d’ajouter ou de supprimer des comptes dans ce profil professionnel.

    Remarque

    Sur les appareils personnels avec profil professionnel (BYOD) et les appareils d’entreprise avec profil professionnel (COPE), les comptes Google ne peuvent pas être ajoutés à l’application >ParamètresComptes>Travail.

  • Partage de contacts via Bluetooth : Activer autorise le partage et l’accès aux appareils personnels avec un profil professionnel contacts à partir d’un autre appareil, y compris une voiture, qui est jumelé à l’aide du Bluetooth. L’activation de ce paramètre peut permettre à certains appareils Bluetooth de mettre en cache les contacts professionnels lors de la première connexion. La désactivation de cette stratégie après un appairage/synchronisation initial peut ne pas supprimer les contacts professionnels d’un appareil Bluetooth.

    Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut ne pas partager de contacts professionnels.

    Ce paramètre s’applique à :

    • Appareils Android 8.0 et versions ultérieures appartenant à l’utilisateur avec un profil professionnel
  • Capture d’écran : Bloquer empêche les captures d’écran ou les captures d’écran sur l’appareil dans le profil professionnel. Il empêche également l’affichage du contenu sur les appareils d’affichage qui n’ont pas de sortie vidéo sécurisée. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser l’obtention de captures d’écran.

  • Afficher l’id de l’appelant du contact professionnel dans le profil personnel : Bloquer n’affiche pas le numéro de l’appelant du contact professionnel dans le profil personnel. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut afficher les détails de l’appelant du contact professionnel.

    Ce paramètre s’applique à :

    • Appareils Android 8.0 et versions ultérieures appartenant à l’utilisateur avec un profil professionnel
  • Rechercher des contacts professionnels à partir d’un profil personnel : Bloquer empêche les utilisateurs de rechercher des contacts professionnels dans les applications du profil personnel. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser la recherche de contacts professionnels dans le profil personnel.

  • Caméra : Bloquer empêche l’accès à la caméra sur l’appareil dans le profil professionnel appartenant à l’utilisateur. Ce paramètre n’affecte pas l’appareil photo côté personnel. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser l’accès à la caméra.

  • Autoriser les widgets des applications de profil professionnel : Activer permet aux utilisateurs de placer les widgets exposés par les applications sur l’écran d’accueil. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut désactiver cette fonctionnalité.

    Par exemple, Outlook est installé sur le profil professionnel de vos utilisateurs. Lorsqu’il est défini sur Activer, les utilisateurs peuvent placer le widget d’agenda sur l’écran d’accueil de l’appareil.

Mot de passe du profil professionnel

Ces paramètres de mot de passe s’appliquent au mot de passe du profil professionnel sur les appareils appartenant à l’utilisateur avec un profil professionnel.

Tous les appareils Android

  • Exiger le mot de passe du profil professionnel : Exiger force une stratégie de code secret qui s’applique uniquement aux applications du profil professionnel. Par défaut, les utilisateurs peuvent utiliser les deux codes confidentiels définis séparément. Ou bien, les utilisateurs peuvent combiner les codes confidentiels dans le plus fort des deux codes confidentiels. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser les utilisateurs à utiliser des applications professionnelles sans entrer de mot de passe.

    Ce paramètre s’applique à :

    • Appareils Android 8.0 et versions ultérieures appartenant à l’utilisateur avec un profil professionnel
  • Nombre maximal de minutes d’inactivité avant le verrouillage du profil professionnel : entrez la durée pendant laquelle les appareils doivent être inactifs avant que l’écran ne soit automatiquement verrouillé. Les utilisateurs doivent entrer leurs informations d’identification pour récupérer l’accès. Par exemple, entrez 5 pour verrouiller l’appareil après 5 minutes d’inactivité. Lorsque la valeur est vide ou définie sur Non configuré, Intune ne modifie pas ou ne met pas à jour ce paramètre.

    Sur les appareils, les utilisateurs ne peuvent pas définir une valeur de temps supérieure à l’heure configurée dans le profil. Les utilisateurs peuvent définir une valeur de temps inférieure. Par exemple, si le profil est défini sur 15 minutes, les utilisateurs peuvent définir la valeur sur 5 minutes. Les utilisateurs ne peuvent pas définir la valeur sur 30 minutes.

  • Nombre d’échecs de connexion avant réinitialisation de l’appareil : entrez le nombre de mots de passe incorrects autorisés avant la réinitialisation du profil professionnel sur l’appareil, de 4 à 11. Lorsque la valeur est vide, Intune utilise la valeur par défaut sur ce paramètre.

  • Expiration du mot de passe (jours) : entrez le nombre de jours jusqu’à ce que les mots de passe utilisateur doivent être modifiés (à partir de 1-365).

  • Empêcher la réutilisation des mots de passe précédents : utilisez ce paramètre pour empêcher les utilisateurs de créer des mots de passe précédemment utilisés. Entrez le nombre de mots de passe précédemment utilisés qui ne peuvent pas être utilisés, compris entre 1 et 24. Par exemple, entrez 5 afin que les utilisateurs ne puissent pas définir un nouveau mot de passe sur leur mot de passe actuel ou sur l’un de leurs quatre mots de passe précédents. Lorsque la valeur est vide, Intune ne modifie pas ou ne met pas à jour ce paramètre.

  • Déverrouillage visage : Bloquer empêche les utilisateurs d’utiliser la reconnaissance faciale de l’appareil pour déverrouiller le profil professionnel appartenant à l’utilisateur. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut permettre aux utilisateurs de déverrouiller l’appareil à l’aide de la reconnaissance faciale.

  • Déverrouillage par empreinte digitale : Bloquer empêche les utilisateurs d’utiliser le scanneur d’empreintes digitales de l’appareil pour déverrouiller le profil professionnel appartenant à l’utilisateur. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut permettre aux utilisateurs de déverrouiller l’appareil à l’aide d’une empreinte digitale.

  • Déverrouillage de l’iris : Bloquer empêche les utilisateurs d’utiliser le scanneur d’iris de l’appareil pour déverrouiller le profil professionnel appartenant à l’utilisateur. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut permettre aux utilisateurs de déverrouiller l’appareil à l’aide du scanneur d’iris.

  • Smart Lock et autres agents d’approbation : Bloquer empêche le verrouillage intelligent ou d’autres agents d’approbation d’ajuster les paramètres de l’écran de verrouillage sur les appareils compatibles. Si les appareils se trouvent dans un emplacement approuvé, cette fonctionnalité, également appelée agent d’approbation, vous permet de désactiver ou de contourner le mot de passe de l’écran de verrouillage de l’appareil. Par exemple, ignorez le mot de passe du profil professionnel lorsque les appareils sont connectés à un appareil Bluetooth spécifique ou lorsque les appareils sont proches d’une balise NFC. Utilisez ce paramètre pour empêcher les utilisateurs de configurer smart lock.

    Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre.

  • Un verrou pour l’appareil et le profil professionnel : Bloquer empêche les utilisateurs d’utiliser le même mot de passe pour l’écran de verrouillage sur l’appareil et le profil professionnel. Les utilisateurs finaux doivent entrer le mot de passe de l’appareil pour déverrouiller l’appareil et entrer le mot de passe de leur profil professionnel pour accéder à leur profil professionnel.

    Lorsqu’il est défini sur Non configuré (valeur par défaut), Intune ne modifie pas ou ne met pas à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser les utilisateurs à accéder à leur profil professionnel à l’aide d’un seul mot de passe.

Android 12 et versions ultérieures

  • Complexité du mot de passe : utilisez ce paramètre pour définir les exigences de complexité du mot de passe. Les options disponibles sont les suivantes :

    • Aucun : Intune ne modifie pas ou ne met pas à jour ce paramètre. Par défaut, le système d’exploitation peut ne pas nécessiter de mot de passe.
    • Faible : un modèle ou un code pin avec des séquences répétées (4444) ou ordonnées (1234, 4321, 2468) sont autorisés.
    • Moyenne : les séquences répétées (4444) ou ordonnées (1234, 4321, 2468) sont bloquées. La longueur, la longueur alphabétique ou la longueur alphanumérique doit comporter au moins quatre caractères.
    • Élevé : les séquences répétées (4444) ou ordonnées (1234, 4321, 2468) sont bloquées. La longueur doit être d’au moins huit caractères. La longueur alphabétique ou alphanumérique doit être d’au moins six caractères.

    Sur les appareils personnels avec un profil professionnel, deux mots de passe sont affectés par ce paramètre de complexité de mot de passe :

    • Mot de passe de l’appareil qui déverrouille l’appareil
    • Mot de passe du profil professionnel qui permet aux utilisateurs d’accéder au profil professionnel

    Si la complexité du mot de passe de l’appareil est trop faible, le mot de passe de l’appareil est automatiquement modifié pour exiger une complexité élevée . Les utilisateurs finaux doivent mettre à jour le mot de passe de l’appareil pour répondre aux exigences de complexité. Ensuite, ils se connectent au profil professionnel et sont invités à mettre à jour la complexité du profil professionnel configurée dans le paramètre complexité du mot de passe de votre stratégie.

    Importante

    Avant la disponibilité du paramètre Complexité du mot de passe , les paramètres Type de mot de passe requis et Longueur minimale du mot de passe ont été utilisés. Ces paramètres sont toujours disponibles, mais ils sont déconseillés par Google pour les appareils Android 12+ appartenant à l’utilisateur avec un profil professionnel. Pour plus d’informations sur ces paramètres, accédez à Android 11 et versions antérieures (dans cet article).

    Voici ce que vous devez savoir :

    • Si les paramètres Type de mot de passe requis et Longueur minimale du mot de passe sont modifiés à partir des valeurs par défaut d’une stratégie, alors :

      • Les appareils Android Enterprise 12+ nouvellement inscrits utilisent automatiquement le paramètre complexité du mot de passe avec la complexité élevée . Par conséquent, si vous ne souhaitez pas une complexité de mot de passe élevée , créez une stratégie pour les appareils Android Enterprise 12+ et configurez le paramètre Complexité du mot de passe .

      • Les appareils Android Enterprise 12+ existants continueront d’utiliser les paramètres Type de mot de passe requis et Longueur minimale du mot de passe , ainsi que les valeurs existantes qui sont déjà configurées.

        Si vous modifiez une stratégie existante avec les paramètres Type de mot de passe requis et Longueur minimale du mot de passe déjà configurés, les appareils Android Enterprise 12+ utilisent automatiquement le paramètre complexité du mot de passe avec la complexité élevée .

        Pour les appareils Android Enterprise 12+, il est recommandé de configurer le paramètre de complexité du mot de passe .

    • Si les paramètres Type de mot de passe requis et Longueur minimale du mot de passe ne sont pas modifiés des valeurs par défaut d’une stratégie, aucune stratégie de mot de passe n’est automatiquement appliquée aux appareils Android Enterprise 12+ nouvellement inscrits.

Android 11 et versions antérieures

Importante

  • Google déprécie les paramètres Type de mot de passe obligatoire et Longueur minimale du mot de passe pour les appareils Android 12+ appartenant à l’utilisateur avec un profil professionnel et le remplace par de nouvelles exigences de complexité de mot de passe. Pour plus d’informations sur cette modification, consultez Prise en charge du jour zéro pour Android 13.
  • Sur les appareils Android Enterprise 12+, utilisez le paramètre de complexité du mot de passe .
  • Type de mot de passe requis : entrez le niveau de complexité du mot de passe requis et indiquez si les appareils biométriques peuvent être utilisés. Les options disponibles sont les suivantes :

    • Appareil par défaut (par défaut) : Intune ne modifie pas ou ne met pas à jour ce paramètre. Par défaut, le système d’exploitation peut ne pas nécessiter de mot de passe.
    • Biométrie à faible sécurité : biométrie forte ou faible (ouvre le site web d’Android)
    • Obligatoire
    • Au moins numérique : inclut des caractères numériques, tels que 123456789.
    • Complexe numérique : les nombres répétés ou consécutifs, tels que 1111 ou 1234, ne sont pas autorisés.
    • Au moins alphabétique : inclut des lettres dans l’alphabet. Les nombres et les symboles ne sont pas obligatoires.
    • Au moins alphanumérique : inclut des lettres majuscules, des lettres minuscules et des caractères numériques.
    • Au moins alphanumérique avec symboles : comprend des lettres majuscules, des lettres minuscules, des caractères numériques, des signes de ponctuation et des symboles.
  • Longueur minimale du mot de passe : entrez la longueur minimale du mot de passe, comprise entre 4 (valeur par défaut) et 16 caractères.

Mot de passe

Ces paramètres de mot de passe s’appliquent au mot de passe de l’appareil sur les appareils appartenant à l’utilisateur avec un profil professionnel.

Tous les appareils Android

  • Nombre maximal de minutes d’inactivité avant le verrouillage de l’écran : entrez la durée pendant laquelle les appareils doivent être inactifs avant que l’écran ne soit automatiquement verrouillé. Les utilisateurs doivent entrer leurs informations d’identification pour récupérer l’accès. Par exemple, entrez 5 pour verrouiller l’appareil après 5 minutes d’inactivité. Lorsque la valeur est vide ou définie sur Non configuré, Intune ne modifie pas ou ne met pas à jour ce paramètre.

    Sur les appareils, les utilisateurs ne peuvent pas définir une valeur de temps supérieure à l’heure configurée dans le profil. Les utilisateurs peuvent définir une valeur de temps inférieure. Par exemple, si le profil est défini sur 15 minutes, les utilisateurs peuvent définir la valeur sur 5 minutes. Les utilisateurs ne peuvent pas définir la valeur sur 30 minutes.

  • Nombre d’échecs de connexion avant réinitialisation de l’appareil : entrez le nombre de mots de passe incorrects autorisés avant la réinitialisation du profil professionnel appartenant à l’utilisateur dans l’appareil, de 4 à 11. 0 (zéro) peut désactiver la fonctionnalité de réinitialisation de l’appareil. Lorsque la valeur est vide, Intune ne modifie pas ou ne met pas à jour ce paramètre.

  • Expiration du mot de passe (jours) : entrez le nombre de jours, jusqu’à ce que le mot de passe de l’appareil soit modifié, de 1 à 365. Par exemple, entrez 90 pour faire expirer le mot de passe après 90 jours. Lorsque le mot de passe expire, les utilisateurs sont invités à créer un nouveau mot de passe. Lorsque la valeur est vide, Intune ne modifie pas ou ne met pas à jour ce paramètre.

  • Empêcher la réutilisation des mots de passe précédents : utilisez ce paramètre pour empêcher les utilisateurs de créer des mots de passe précédemment utilisés. Entrez le nombre de mots de passe précédemment utilisés qui ne peuvent pas être utilisés, compris entre 1 et 24. Par exemple, entrez 5 afin que les utilisateurs ne puissent pas définir un nouveau mot de passe sur leur mot de passe actuel ou sur l’un de leurs quatre mots de passe précédents. Lorsque la valeur est vide, Intune ne modifie pas ou ne met pas à jour ce paramètre.

  • Déverrouillage par empreinte digitale : Bloquer empêche les utilisateurs d’utiliser le scanneur d’empreintes digitales de l’appareil pour déverrouiller l’appareil. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut permettre aux utilisateurs de déverrouiller l’appareil à l’aide d’une empreinte digitale.

  • Déverrouillage visage : Bloquer empêche les utilisateurs d’utiliser la reconnaissance faciale de l’appareil pour déverrouiller l’appareil. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut permettre aux utilisateurs de déverrouiller l’appareil à l’aide de la reconnaissance faciale.

  • Déverrouillage de l’iris : Bloquer empêche les utilisateurs d’utiliser le scanneur d’iris de l’appareil pour déverrouiller l’appareil. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut permettre aux utilisateurs de déverrouiller l’appareil à l’aide du scanneur d’iris.

  • Smart Lock et autres agents d’approbation : Bloquer empêche le verrouillage intelligent ou d’autres agents d’approbation d’ajuster les paramètres de l’écran de verrouillage sur les appareils compatibles. Si les appareils se trouvent dans un emplacement approuvé, cette fonctionnalité, également appelée agent d’approbation, vous permet de désactiver ou de contourner le mot de passe de l’écran de verrouillage de l’appareil. Par exemple, contournez le mot de passe du profil professionnel appartenant à l’utilisateur lorsque les appareils sont connectés à un appareil Bluetooth spécifique ou lorsque les appareils sont proches d’une balise NFC. Utilisez ce paramètre pour empêcher les utilisateurs de configurer smart lock.

    Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre.

Android 12 et versions ultérieures

  • Complexité du mot de passe : utilisez ce paramètre pour définir les exigences de complexité du mot de passe. Les options disponibles sont les suivantes :

    • Aucun : Intune ne modifie pas ou ne met pas à jour ce paramètre. Par défaut, le système d’exploitation peut ne pas nécessiter de mot de passe.
    • Faible : un modèle ou un code pin avec des séquences répétées (4444) ou ordonnées (1234, 4321, 2468) sont autorisés.
    • Moyenne : les séquences répétées (4444) ou ordonnées (1234, 4321, 2468) sont bloquées. La longueur, la longueur alphabétique ou la longueur alphanumérique doit comporter au moins quatre caractères.
    • Élevé : les séquences répétées (4444) ou ordonnées (1234, 4321, 2468) sont bloquées. La longueur doit être d’au moins huit caractères. La longueur alphabétique ou alphanumérique doit être d’au moins six caractères.

    Sur les appareils personnels avec un profil professionnel, deux mots de passe sont affectés par ce paramètre de complexité de mot de passe :

    • Mot de passe de l’appareil qui déverrouille l’appareil
    • Mot de passe du profil professionnel qui permet aux utilisateurs d’accéder au profil professionnel

    Si la complexité du mot de passe de l’appareil est trop faible, le mot de passe de l’appareil est automatiquement modifié pour exiger une complexité élevée . Les utilisateurs finaux doivent mettre à jour le mot de passe de l’appareil pour répondre aux exigences de complexité. Ensuite, ils se connectent au profil professionnel et sont invités à mettre à jour la complexité du profil professionnel configurée dans le paramètre complexité du mot de passe de votre stratégie.

    Importante

    Avant la disponibilité du paramètre Complexité du mot de passe , les paramètres Type de mot de passe requis et Longueur minimale du mot de passe ont été utilisés. Ces paramètres sont toujours disponibles, mais ils sont déconseillés par Google pour les appareils Android 12+ appartenant à l’utilisateur avec un profil professionnel. Pour plus d’informations sur ces paramètres, accédez à Android 11 et versions antérieures (dans cet article).

    Voici ce que vous devez savoir :

    • Si les paramètres Type de mot de passe requis et Longueur minimale du mot de passe sont modifiés à partir des valeurs par défaut d’une stratégie, alors :

      • Les appareils Android Enterprise 12+ nouvellement inscrits utilisent automatiquement le paramètre complexité du mot de passe avec la complexité élevée . Par conséquent, si vous ne souhaitez pas une complexité de mot de passe élevée , créez une stratégie pour les appareils Android Enterprise 12+ et configurez le paramètre Complexité du mot de passe .

      • Les appareils Android Enterprise 12+ existants continueront d’utiliser les paramètres Type de mot de passe requis et Longueur minimale du mot de passe , ainsi que les valeurs existantes qui sont déjà configurées.

        Si vous modifiez une stratégie existante avec les paramètres Type de mot de passe requis et Longueur minimale du mot de passe déjà configurés, les appareils Android Enterprise 12+ utilisent automatiquement le paramètre complexité du mot de passe avec la complexité élevée .

        Pour les appareils Android Enterprise 12+, il est recommandé de configurer le paramètre de complexité du mot de passe .

    • Si les paramètres Type de mot de passe requis et Longueur minimale du mot de passe ne sont pas modifiés des valeurs par défaut d’une stratégie, aucune stratégie de mot de passe n’est automatiquement appliquée aux appareils Android Enterprise 12+ nouvellement inscrits.

Android 11 et versions antérieures

Importante

  • Google déprécie les paramètres Type de mot de passe obligatoire et Longueur minimale du mot de passe pour les appareils Android 12+ appartenant à l’utilisateur avec un profil professionnel et le remplace par de nouvelles exigences de complexité de mot de passe. Pour plus d’informations sur cette modification, consultez Prise en charge du jour zéro pour Android 13.
  • Sur les appareils Android Enterprise 12+, utilisez le paramètre de complexité du mot de passe .
  • Type de mot de passe requis : entrez le niveau de complexité du mot de passe requis et indiquez si les appareils biométriques peuvent être utilisés. Les options disponibles sont les suivantes :

    • Appareil par défaut (par défaut) : Intune ne modifie pas ou ne met pas à jour ce paramètre. Par défaut, le système d’exploitation peut ne pas nécessiter de mot de passe.
    • Biométrie à faible sécurité : biométrie forte ou faible (ouvre le site web d’Android)
    • Obligatoire
    • Au moins numérique : inclut des caractères numériques, tels que 123456789.
    • Complexe numérique : les nombres répétés ou consécutifs, tels que 1111 ou 1234, ne sont pas autorisés.
    • Au moins alphabétique : inclut des lettres dans l’alphabet. Les nombres et les symboles ne sont pas obligatoires.
    • Au moins alphanumérique : inclut des lettres majuscules, des lettres minuscules et des caractères numériques.
    • Au moins alphanumérique avec symboles : comprend des lettres majuscules, des lettres minuscules, des caractères numériques, des signes de ponctuation et des symboles.
  • Longueur minimale du mot de passe : entrez la longueur minimale du mot de passe, comprise entre 4 (valeur par défaut) et 16 caractères.

Sécurité système

  • Analyse des menaces sur les applications : Exiger impose que le paramètre Vérifier les applications est activé pour les profils professionnels et personnels. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre.

    Ce paramètre s’applique à :

    • Appareils Android 8 (Oreo) et plus récents appartenant à l’utilisateur avec un profil professionnel
  • Empêcher les installations d’applications à partir de sources inconnues dans le profil personnel : par défaut, les appareils Android Enterprise appartenant à l’utilisateur avec un profil professionnel ne peuvent pas installer d’applications à partir de sources autres que le Play Store. Ce paramètre permet aux administrateurs de mieux contrôler les installations d’applications à partir de sources inconnues. Bloquer empêche les installations d’applications à partir de sources autres que Google Play Store dans le profil personnel. Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser les installations d’applications à partir de sources inconnues dans le profil personnel. Par nature, les appareils appartenant à l’utilisateur avec un profil professionnel sont conçus pour être à double profil :

    • Un appareil appartenant à l’utilisateur avec un profil professionnel géré à l’aide de GPM.
    • Profil personnel isolé de la gestion mdm.

Connectivité

  • VPN always-on : Activer définit un client VPN pour se connecter automatiquement au VPN et se reconnecter à celui-ci. Les connexions VPN permanentes restent connectées. Ou, connectez-vous immédiatement lorsque les utilisateurs verrouillent leur appareil, que l’appareil redémarre ou que le réseau sans fil change.

    Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut désactiver le VPN always on pour tous les clients VPN.

    Importante

    Veillez à déployer une seule stratégie VPN Always On sur un seul appareil. Le déploiement de plusieurs stratégies Always VPN sur un seul appareil n’est pas pris en charge.

  • Client VPN : choisissez un client VPN qui prend en charge Always On. Les options disponibles sont les suivantes :

    • Cisco AnyConnect
    • Accès F5
    • Palo Alto Networks GlobalProtect
    • Pulse Secure
    • Personnalisé
      • ID du package : entrez l’ID de package de l’application dans le Google Play Store. Par exemple, si l’URL de l’application dans le Play Store est https://play.google.com/store/details?id=com.contosovpn.android.prod, l’ID de package est com.contosovpn.android.prod.

    Importante

    • Le client VPN que vous choisissez doit être installé sur l’appareil. Il doit également prendre en charge le VPN par application sur les appareils appartenant à l’utilisateur avec un profil professionnel. Dans le cas contraire, une erreur se produit.
    • Vous devez approuver l’application cliente VPN dans le Google Play Store géré, synchroniser l’application avec Intune et déployer l’application sur l’appareil. Après cela, l’application est installée sur les appareils personnels de l’utilisateur avec un profil professionnel.
    • Il peut y avoir des problèmes connus lors de l’utilisation d’un VPN par application avec Accès F5 pour Android 3.0.4. Pour plus d’informations, consultez les notes de publication de F5 pour F5 Access pour Android 3.0.4.
  • Mode de verrouillage : l’activation force tout le trafic réseau à utiliser le tunnel VPN. Si aucune connexion au VPN n’est établie, l’appareil n’aura pas d’accès réseau.

    Quand Non configuré (valeur par défaut) est défini, Intune ne change pas ni ne met à jour ce paramètre. Par défaut, le système d’exploitation peut autoriser le trafic à circuler via le tunnel VPN ou via le réseau mobile.

Prochaines étapes

Attribuer le profil et suivre son état.

Configurez et dépannez les appareils d’entreprise Android dans Microsoft Intune.