Gestion des appareils

La gestion des appareils inclut l’inscription des appareils, les actions de sécurité et la surveillance des appareils.

Inscrire des appareils

Pour gérer les appareils utilisateur à distance et de manière sécurisée, vous devez les inscrire dans Endpoint Management. Le logiciel client Endpoint Management est installé sur l’appareil utilisateur et l’identité de l’utilisateur est authentifiée. Endpoint Management et le profil utilisateur sont installés. Vous pouvez ensuite effectuer les tâches de gestion dans la console Endpoint Management. Vous pouvez appliquer des stratégies, déployer des applications, envoyer des données sur l’appareil et verrouiller, effacer et localiser des appareils perdus ou volés.

L’inscription d’Azure Active Directory est prise en charge pour les appareils iOS, Android et Windows 10. Pour plus d’informations sur la configuration d’Azure comme fournisseur d’identité (IDP), veuillez consulter la section Authentification unique avec Azure Active Directory.

Remarque :

avant de pouvoir inscrire des utilisateurs d’appareils iOS, vous devez demander un certificat APNS. Pour plus d’informations, consultez la section Certificats et authentification.

Pour mettre à jour les options de configuration pour les utilisateurs et les appareils, accédez à la page Gérer > Invitations d’inscription. Pour de plus amples informations, consultez la section Envoyer une invitation d’inscription dans cet article.

Appareils Android

Remarque :

pour plus d’informations sur l’inscription d’appareils Android Enterprise, consultez la section Android Enterprise.

  1. Accédez au magasin Google Play sur votre Android et téléchargez l’application Citrix Secure Hub, puis touchez l’application.
  2. Lorsque vous êtes invité à installer l’application, cliquez sur Suivant, puis cliquez sur Installer.
  3. Après l’installation de Secure Hub, touchez Ouvrir.
  4. Entrez vos informations d’identification d’entreprise, telles que le nom de votre serveur Endpoint Management, le nom d’utilisateur principal (UPN), ou votre adresse e-mail. Cliquez ensuite sur Suivant.
  5. Dans la boîte de dialogue Activer l’administrateur de l’appareil, touchez Activer.
  6. Entrez votre mot de passe d’entreprise, puis touchez Se connecter.
  7. En fonction de la configuration d’Endpoint Management, vous pouvez être invité à créer un code PIN Citrix. Vous pouvez utiliser le code PIN pour vous connecter à Secure Hub et à d’autres applications Endpoint Management, telles que Secure Mail et Citrix Files. Vous devez entrer votre code PIN Citrix deux fois. Sur l’écran Créer un code PIN Citrix, entrez un code PIN.
  8. Entrez de nouveau le code PIN. Secure Hub s’affiche. Vous pouvez ensuite accéder à l’app store pour afficher les applications que vous pouvez installer sur votre appareil Android.
  9. Si vous avez configuré Endpoint Management pour distribuer automatiquement des applications sur les appareils après l’inscription, les utilisateurs sont invités à installer les applications. En outre, les stratégies que vous configurez dans Endpoint Management sont déployées sur l’appareil. Cliquez sur Installer pour installer les applications.

Pour désinscrire et réinscrire un appareil Android

Les utilisateurs peuvent se désinscrire depuis Secure Hub. Lorsque les utilisateurs se désinscrivent à l’aide de la procédure suivante, l’appareil s’affiche toujours dans l’inventaire d’appareils dans la console Endpoint Management. Cependant, vous ne pouvez pas effectuer d’actions sur l’appareil. Vous ne pouvez pas suivre l’appareil ni contrôler sa conformité.

  1. Touchez pour ouvrir l’application Secure Hub.

  2. Selon que vous possédez une tablette ou un téléphone, procédez comme suit :

    Sur un téléphone :

    • Balayez l’écran à partir de la gauche pour ouvrir un panneau de paramètres.

    • Touchez Préférences, Comptes, puis touchez Supprimer le compte.

    Sur une tablette :

    • Touchez la flèche en regard de votre adresse e-mail sur le coin supérieur droit.

    • Touchez Préférences, Comptes, puis touchez Supprimer le compte.

  3. Touchez Réinscription. Un message s’affiche afin de confirmer que vous souhaitez réinscrire votre appareil.

  4. Touchez OK.

    Votre appareil est désinscrit.

  5. Suivez les instructions à l’écran pour réinscrire votre appareil.

Appareils iOS qui utilisent les informations d’identification fournies par l’utilisateur

  1. Téléchargez l’application Secure Hub à partir de l’App Store Apple iTunes sur l’appareil, puis installez l’application sur l’appareil.

  2. Sur l’écran d’accueil de l’appareil iOS, tapotez l’application Secure Hub.

  3. Lorsque l’application Secure Hub s’affiche, entrez l’adresse du serveur fournie par votre service d’assistance.

    Les écrans présentés peuvent différer de ces exemples en fonction de la configuration d’Endpoint Management.

    Écran Secure Hub avec invite d'adresse de serveur

  4. Lorsque vous y êtes invité, entrez vos nom d’utilisateur et mot de passe ou code PIN. Cliquez sur Suivant.

    Écran de connexion

  5. Lorsque vous êtes invité à vous inscrire, cliquez sur Oui, inscrire et entrez vos informations d’identification lorsque vous y êtes invité.

    Écran d'inscription

  6. Cliquez sur Installer pour installer Citrix Profile Services.

    Écran Citrix Profile Services

  7. Appuyez sur Faire confiance.

    Écran Remote Management Trust

  8. Appuyez sur Ouvrir puis entrez vos informations d’identification.

    Écran de demande d'ouverture de Secure Hub

    Écran de demande d'informations d'identification

Appareils iOS qui utilisent les informations d’identification dérivées

L’inscription nécessite que les utilisateurs insèrent leur carte à puce dans un lecteur connecté à leur bureau.

  1. L’utilisateur installe Secure Hub et l’application à partir de votre fournisseur d’informations d’identification dérivées.

    L’application de fournisseur d’identité pour Intercede est MyID pour Citrix. Le logo de cette application est affiché ci-dessous.

    Logo Intercede

  2. L’utilisateur démarre Secure Hub. Lorsqu’il y est invité, l’utilisateur tape le nom de domaine complet du serveur Endpoint Management et clique sur Suivant. L’inscription dans Secure Hub démarre. Si le serveur Endpoint Management prend en charge les informations d’identification dérivées, Secure Hub invite l’utilisateur à créer un code PIN Citrix.

    Écran d'inscription de Secure Hub

    Écran d'inscription

    Écran du code PIN Citrix

  3. L’utilisateur suit les instructions permettant d’activer ses informations d’identification de carte à puce. Un écran de démarrage s’affiche, suivi d’une invite à scanner un code QR.

    Écran d'invite à scanner le code QR

  4. L’utilisateur insère sa carte dans le lecteur de carte à puce qui est connecté à son bureau. Ensuite, l’application de bureau affiche un code QR et invite l’utilisateur à scanner le code à l’aide de son appareil mobile.

    Écran de confirmation d'identité

  5. L’utilisateur entre son code PIN Secure Hub lorsqu’il y est invité.

    Écran de saisie du code PIN

  6. Après l’authentification du code PIN, Secure Hub télécharge les certificats. L’utilisateur suit les invites pour terminer l’inscription.

Pour afficher des informations sur l’appareil dans la console Endpoint Management :

  • Accédez à Gérer > Appareils, puis sélectionnez un appareil pour afficher une zone de commande. Cliquez sur Afficher plus.

  • Accédez à Analyser > Tableau de bord.

Appareils macOS

Endpoint Management propose deux méthodes pour inscrire des appareils qui exécutent macOS. Les deux méthodes permettent aux utilisateurs Mac de s’inscrire sans fil (OTA) directement depuis leurs appareils.

  • Envoyer une invitation d’inscription aux utilisateurs : cette méthode d’inscription vous permet de définir un des modes d’inscription suivants pour les appareils macOS :

    • Nom d’utilisateur + mot de passe

    • Nom d’utilisateur + PIN

    • Deux facteurs

    Lorsque l’utilisateur suit les instructions de l’invitation d’inscription, un écran de connexion avec le nom d’utilisateur déjà renseigné s’affiche.

  • Envoyer un lien d’installation aux utilisateurs : cette méthode d’inscription pour les appareils macOS envoie aux utilisateurs un lien d’inscription qu’ils peuvent ouvrir dans les navigateurs Safari et Chrome. Ensuite, un utilisateur s’inscrit en fournissant son nom d’utilisateur et son mot de passe.

    Pour empêcher l’utilisation d’un lien d’inscription pour les appareils macOS, définissez la propriété de serveur Activer macOS OTAE sur false. Les utilisateurs macOS peuvent alors s’inscrire uniquement à l’aide d’une invitation d’inscription.

Envoyer une invitation d’inscription aux utilisateurs

  1. Si vous le souhaitez, vous pouvez définir des stratégies macOS dans la console Endpoint Management. Consultez la section Stratégies d’appareil pour de plus amples informations sur les stratégies d’appareil.

  2. Ajoutez une invitation pour l’inscription d’utilisateurs macOS. Pour de plus amples informations, consultez la section Envoyer une invitation d’inscription dans cet article.

  3. Une fois que les utilisateurs reçoivent l’invitation et cliquent sur le lien, l’écran suivant s’affiche dans le navigateur Safari. Endpoint Management remplit le nom d’utilisateur. Si vous avez choisi Deux facteurs pour le mode d’inscription, un champ supplémentaire s’affiche.

    Écran du message du certificat racine du navigateur Safari

  4. Les utilisateurs installent les certificats, selon les besoins. Les utilisateurs sont invités à installer des certificats si vous avez configuré pour macOS un certificat SSL approuvé publiquement et un certificat de signature numérique approuvé publiquement. Pour de plus amples informations sur les certificats, consultez la section Certificats et authentification.

  5. Les utilisateurs entrent les informations d’identification demandées.

    Les stratégies Mac s’installent. Vous pouvez maintenant démarrer la gestion des Mac avec Endpoint Management tout comme vous gérez les appareils mobiles.

Envoyer un lien d’installation aux utilisateurs

  1. Si vous le souhaitez, vous pouvez définir des stratégies macOS dans la console Endpoint Management. Consultez la section Stratégies d’appareil pour de plus amples informations sur les stratégies d’appareil.

  2. Envoyez le lien d’inscription https://serverFQDN:8443/instanceName/macos/otae que les utilisateurs peuvent ouvrir dans les navigateurs Safari ou Chrome.

    • FQDNserveur est le nom de domaine complet du serveur exécutant Endpoint Management.
    • Le port 8443 est le port sécurisé par défaut. Si vous avez configuré un port différent, utilisez-le à la place de 8443.
    • Le nom d’instance, souvent affiché sous la forme zdm, est le nom spécifié lors de l’installation du serveur.

    Pour de plus amples informations sur l’envoi des liens d’installation, consultez la section Pour envoyer un lien d’installation.

  3. Les utilisateurs installent les certificats, selon les besoins. Si vous avez configuré un certificat SSL et un certificat de signature numérique approuvé publiquement pour iOS et macOS, les utilisateurs sont invités à installer les certificats. Pour de plus amples informations sur les certificats, consultez la section Certificats et authentification.

  4. Les utilisateurs se connectent à leur Mac.

    Les stratégies Mac s’installent. Vous pouvez maintenant démarrer la gestion des Mac avec Endpoint Management tout comme vous gérez les appareils mobiles.

Machines Windows

Remarque :

Cette section contient des références aux appareils Windows Phone 8.1, que Microsoft a arrêté de prendre en charge le 11 juillet 2017. Endpoint Management prend actuellement en charge les appareils Windows Phone 8.1 pour l’inscription MDM uniquement.

Les appareils exécutant Windows 10 s’inscrivent à Azure afin de fédérer l’authentification Active Directory. Vous pouvez associer les appareils Windows 10 à Microsoft Azure AD de l’une des manières suivantes :

  • Inscription dans MDM dans le cadre de Azure AD Join la première fois que l’appareil est mis sous tension.
  • Inscription dans MDM dans le cadre de Azure AD Join à partir de la page Paramètres de Windows une fois que l’appareil a été configuré.

Vous pouvez inscrire dans Endpoint Management des appareils qui exécutent les systèmes d’exploitation Windows suivants :

  • Windows 10 Phone et Tablet
  • Windows Phone 8.1

Les utilisateurs peuvent effectuer l’inscription directement via leurs appareils.

Remarque :

pour Windows 10 RS2 Phone et Tablet, un utilisateur n’est pas invité à entrer l’adresse URL du serveur lors d’une réinscription. Pour contourner ce problème, redémarrez l’appareil. Ou, sur l’écran de l’adresse e-mail, touchez le X en regard de Connexion à un service pour accéder à la page URL du serveur. Il s’agit d’un problème de tiers.

Vous devez configurer la détection automatique et le service de découverte Windows pour l’inscription de l’utilisateur afin d’autoriser la gestion des appareils Windows pris en charge.

Les utilisateurs d’appareils Windows peuvent s’inscrire à l’aide d’Azure uniquement si vous avez configuré les paramètres du serveur Microsoft Azure dans Endpoint Management. Pour plus d’informations, veuillez consulter la section Authentification unique avec Azure Active Directory.

Remarque :

Pour pouvoir inscrire des appareils Windows, le certificat d’écoute SSL doit être un certificat SSL. L’inscription échoue si vous avez chargé un certificat SSL auto-signé.

Pour inscrire des appareils Windows à l’aide de la détection automatique

Pour activer la gestion des appareils Windows, Citrix vous recommande de configurer la détection automatique ainsi que le service de découverte Windows. Pour plus amples informations, consultez la section Activer la détection automatique.

  1. Sur l’appareil, recherchez et installez toutes les mises à jour Windows disponibles.

  2. Pour Windows 10, dans le menu Icônes, touchez Paramètres, puis Comptes > Accès professionnel ou d’école > Connecter à l’entreprise ou l’école. Pour Windows 8.1 Phone, touchez Paramètres du PC > Réseau > Espace de travail.

  3. Entrez votre adresse de messagerie d’entreprise, puis touchez Continuer sur Windows 10 ou Activer la gestion des appareils sur Windows 8.1. Pour vous inscrire en tant qu’utilisateur local, entrez une nouvelle adresse de messagerie avec le nom de domaine correct (par exemple, foo@mydomain.com). Cela vous permet de contourner une limitation Microsoft connue dans laquelle l’inscription est réalisée par la gestion des appareils intégrée sur Windows ; dans la boîte de dialogue Connexion à un service, entrez le nom d’utilisateur et le mot de passe associés à l’utilisateur local. L’appareil découvre automatiquement un serveur Endpoint Management et démarre le processus d’inscription.

  4. Entrez votre mot de passe. Utilisez le mot de passe associé à un compte qui est membre d’un groupe d’utilisateurs dans Endpoint Management.

  5. Pour Windows 10, dans la boîte de dialogue Termes d’utilisation, indiquez que vous acceptez que votre appareil soit géré, puis touchez Accepter. Pour Windows 8.1, dans la boîte de dialogue Autorisez les applications et services de l’administrateur, indiquez que vous acceptez que votre appareil soit géré, puis touchez Activer.

Pour inscrire des appareils Windows sans détection automatique

Il est possible d’inscrire des appareils Windows sans détection automatique. Cependant, Citrix vous recommande de configurer la détection automatique. L’inscription sans détection automatique provoque un appel vers le port 80 avant de se connecter à l’adresse URL de votre choix ; cette méthode de déploiement n’est donc pas recommandée dans un environnement de production. Citrix vous recommande d’utiliser ce processus uniquement dans des environnements de test et des déploiements de preuve de concept.

  1. Sur l’appareil, recherchez et installez toutes les mises à jour Windows disponibles.

  2. Pour Windows 10, dans le menu Icônes, touchez Paramètres, puis Comptes > Accès professionnel ou d’école > Connecter à l’entreprise ou l’école. Pour Windows 8.1, touchez Paramètres du PC > Réseau > Espace de travail.

  3. Entrez votre adresse de messagerie d’entreprise.

  4. Pour Windows 10 : si la détection automatique n’est pas configurée, une option vous permettant d’entrer les détails du serveur apparaît, comme décrit dans l’étape 5. Pour Windows 8.1, si l’option Détecter automatiquement l’adresse du serveur est activée, touchez pour la désactiver.

  5. Pour Windows 10, dans le champ Entrez l’adresse du serveur, tapez l’adresse : https://serverfqdn:8443/serverInstance/wpe.

    Si un port autre que 8443 est utilisé pour les connexions SSL non authentifiées, utilisez ce numéro de port à la place de 8443 dans cette adresse.

    Pour Windows 8.1, tapez l’adresse du serveur au format suivant : https://serverfqdn:8443/serverInstance/Discovery.svc.

    Si un port autre que 8443 est utilisé pour les connexions SSL non authentifiées, utilisez ce numéro de port à la place de 8443 dans cette adresse.

  6. Tapez votre mot de passe.

  7. Pour Windows 10, dans la boîte de dialogue Termes d’utilisation, indiquez que vous acceptez que votre appareil soit géré, puis touchez Accepter. Pour Windows 8.1, dans la boîte de dialogue Autorisez les applications et services de l’administrateur, indiquez que vous acceptez que votre appareil soit géré, puis touchez Activer.

Pour inscrire des appareils Windows Phone

Pour inscrire des appareils Windows Phone dans Endpoint Management, les utilisateurs ont besoin de leur adresse e-mail de réseau interne ou Active Directory et d’un mot de passe. Si la détection automatique n’est pas configurée, les utilisateurs ont également besoin de l’adresse Web du serveur Endpoint Management. Ensuite, ils suivent cette procédure sur leurs appareils pour s’inscrire.

Remarque :

si vous prévoyez de déployer des applications via le magasin d’entreprise Windows Phone, avant que vos utilisateurs ne s’inscrivent, assurez-vous d’avoir configuré une stratégie d’hub d’entreprise (avec une application Secure Hub Windows Phone signée pour chaque plate-forme que vous prenez en charge).

  1. Sur l’écran principal de Windows Phone, touchez l’icône Paramètres.

    • Pour Windows 10, en fonction de votre version, touchez Comptes > Accès professionnel ou d’école > Connecter à l’entreprise ou l’école ou touchez Comptes > Accès professionnel > S’inscrire à la gestion des appareils.
    • Pour Windows 8.1, touchez Paramètres du PC > Réseau > Espace de travail, puis touchez Ajouter un compte.
  2. Dans l’écran suivant, entrez une adresse de messagerie et un mot de passe et touchez s’inscrire.

    Si la détection automatique est configurée pour votre domaine, les informations requises dans les étapes suivantes sont automatiquement renseignées. Passez à l’étape 8.

    Si la détection automatique n’est pas configurée pour votre domaine, passez à l’étape suivante. Pour vous inscrire en tant qu’utilisateur local, entrez une nouvelle adresse de messagerie avec le nom de domaine correct (par exemple, foo@mydomain.com). Cela vous permet de contourner une limitation Microsoft connue ; dans la boîte de dialogue Connexion à un service, entrez le nom d’utilisateur et le mot de passe associés à l’utilisateur local.

  3. Sur l’écran suivant, entrez l’adresse Web du serveur Endpoint Management, telle que : https://<xenmobile_server>:<portnumber>/<instancename>/wpe. Par exemple, https://mycompany.mdm.com:8443/zdm/wpe.

    Remarque :

    le numéro de port doit être adapté à votre mise en œuvre. Il doit s’agir du port que vous avez utilisé pour une inscription iOS.

  4. Entrez le nom d’utilisateur et le domaine si l’authentification est validée à l’aide d’un nom d’utilisateur et un domaine, puis touchez Connexion.

  5. Si un écran apparaît indiquant un problème avec le certificat, l’erreur est due à l’utilisation d’un certificat auto-signé. Si le serveur est approuvé, touchez continuer. Sinon, cliquez sur Annuler.

  6. Sur Windows Phone 8.1, lorsque le compte est ajouté, vous avez la possibilité de sélectionner Installer l’application de l’entreprise. Si votre administrateur a configuré un magasin d’applications d’entreprise, sélectionnez cette option et tapotez sur Terminé. Si vous désactivez cette option, vous devrez réinscrire votre appareil pour recevoir le magasin d’applications d’entreprise.

  7. Sur Windows Phone 8.1, sur l’écran Compte ajouté, touchez Terminé.

  8. Pour forcer une connexion au serveur, cliquez sur l’icône d’actualisation. Si l’appareil ne se connecte pas manuellement au serveur, Endpoint Management essaye de se reconnecter. Endpoint Management se connecte à l’appareil toutes les 3 minutes à 5 reprises, puis toutes les 2 heures par la suite. Vous pouvez modifier cet intervalle de connexion dans Intervalle de pulsation WNS Windows situé dans Propriétés du serveur. Une fois l’inscription terminée, Secure Hub s’inscrit en arrière-plan. Aucun indicateur n’apparaît lorsque l’installation est terminée. Appuyez sur Secure Hub sur l’écran Toutes les applications.

Appareils Chrome OS

Les appareils Chrome OS sont ajoutés via l’inscription. La détection automatique est également prise en charge pour les appareils Chrome OS. Les appareils Chrome OS sont inscrits en mode MDM uniquement.

L’ajout manuel ou l’inscription en nombre d’appareils Chrome OS n’est pas pris en charge. L’envoi d’invitations d’inscription pour les appareils Chrome OS n’est pas pris en charge.

Configuration système requise :

  • Chrome OS 46 et versions ultérieures

Configurer G Suite pour l’inscription des appareils Chrome OS

Avant d’inscrire des appareils Chrome OS, configurez G Suite pour l’inscription des appareils.

La configuration force l’installation de l’extension Secure Hub sur les appareils Chrome OS et permet d’éviter que l’extension soit désactivée ou supprimée.

  1. Accédez à https://admin.google.com et connectez-vous à votre compte G Suite.

  2. Dans la console de l’administrateur Google, cliquez sur Gestion des appareils.

    Écran de la console d'administration Google

  3. Cliquez sur Gestion de Chrome.

    Écran de la console d'administration Google

  4. Sur la page de gestion des appareils Chrome, cliquez sur Paramètres utilisateur.

    Écran de la console d'administration Google

  5. Sur la page Paramètres utilisateur, recherchez les Certificats clients. Ajouter ce modèle :

    {"pattern": "https://[*.]xm.cloud.com", "filter": {}}

    L’ajout de ce modèle aux certificats clients garantit que les certificats d’appareils transmis à l’appareil depuis Endpoint Management sont sélectionnés automatiquement sans que l’utilisateur soit invité à les sélectionner.

    Écran de la console d'administration Google

  6. Cliquez sur Enregistrer.

  7. Recherchez les Applications et extensions installées d’office, puis cliquez sur Gérer les applications installées d’office.

    Écran de la console d'administration Google

  8. Cliquez sur Spécifier une application personnalisée.

    Écran de la console d'administration Google

  9. Cliquez sur le champ ID, tapez cnkimbgkdakemjcipljhmoplehfcjban.

  10. Cliquez sur le champ URL, tapez https://chrome.google.com/webstore/detail/cnkimbgkdakemjcipljhmoplehfcjban.

  11. Cliquez sur Ajouter.

  12. Cliquez sur Enregistrer dans la boîte de dialogue Applications et extensions installées d’office.

  13. Cliquez sur Enregistrer dans la page Paramètres utilisateur.

Connexion d’Endpoint Management à G Suite

  1. Dans la console Endpoint Management, cliquez sur l’icône d’engrenage dans le coin supérieur droit, puis cliquez sur Paramètres > Google Chrome.

    Image de la console Endpoint Management affichant les paramètres Google Chrome

  2. Cliquez sur Connect. Une fenêtre de connexion à un compte Google s’affiche.

    Image de la fenêtre de connexion à Google

  3. Entrez les informations d’identification de votre compte Google, puis cliquez sur Suivant.

  4. Endpoint Management remplit votre domaine G Suite et votre nom d’administrateur de compte G Suite. Le bouton Connect est remplacé par un bouton Disconnect. Endpoint Management est connecté à G Suite.

    Image de la console Endpoint Management affichant la connexion à Google Chrome

Enregistrer des appareils Chrome OS

Avant d’être inscrit dans Endpoint Management, un appareil Chrome OS doit être inscrit dans le domaine G Suite de votre entreprise. Pour plus d’informations sur l’inscription des appareils Chrome, consultez l’article Google Enregistrer des appareils Chrome.

Un code PIN Citrix doit être créé lorsqu’un appareil Chrome OS est inscrit dans Endpoint Management. Ce code ne peut pas être réinitialisé. Si un utilisateur oublie ce code, l’appareil Chrome OS doit être désinscrit et réinscrit.

  1. Connectez-vous à votre appareil Chrome OS à l’aide de vos informations d’identification G Suite.

  2. Cliquez sur l’extension Secure Hub dans Chrome. L’extension Secure Hub qui apparaît à côté de la barre d’adresse de votre navigateur est grisée :

    Écran de l'extension Secure Hub

  3. La fenêtre d’inscription Secure Hub s’affiche. Cliquez sur Inscrire.

    Écran de la fenêtre d'inscription

  4. Entrez vos informations d’identification d’entreprise, telles que le nom de votre serveur Endpoint Management, le nom d’utilisateur principal (UPN) ou votre adresse e-mail. Cliquez ensuite sur Suivant.

    Écran des options d'informations d'identification de l'entreprise

  5. Si vous y êtes invité, entrez votre nom d’utilisateur d’entreprise. Entrez votre mot de passe d’entreprise. Cliquez ensuite sur Connexion.

    Écran de connexion

  6. Créez un code PIN Citrix. Ce code PIN doit comporter six caractères. Il ne peut contenir que des lettres et des chiffres. Tapez deux fois votre code confidentiel Citrix, puis cliquez sur Terminer.

    Écran de création du code PIN Citrix

    Une fois l’inscription terminée, l’icône de l’extension Secure Hub est active.

Se connecter à un appareil Chrome OS inscrit

Pour vous connecter à un appareil Chrome OS inscrit dans Endpoint Management :

  1. Connectez-vous à l’aide de vos informations d’identification G Suite.

  2. Lorsque vous y êtes invité, entrez votre code Citrix. Ce code PIN a été créé lorsque l’appareil a été inscrit dans Endpoint Management.

    Si vous ne saisissez pas votre code PIN Citrix,

    • vous êtes invité à le taper toutes les minutes jusqu’à ce que l’action soit effectuée.
    • Au bout de cinq minutes, l’accès à tous les sites Web est bloqué, à l’exception de google.com, citrix.com, gotomeeting.com, cloud.com.
    • Si vous tentez d’accéder à un autre site Web, un message d’erreur s’affiche et vous êtes invité à vous connecter à l’aide de votre code PIN Citrix.

Désinscrire et réinscrire un appareil Chrome OS

Pour désinscrire un appareil Chrome OS d’Endpoint Management, les utilisateurs doivent supprimer leur compte.

  1. Dans le navigateur Chrome, cliquez sur l’icône de l’extension Secure Hub.
  2. Dans la fenêtre d’inscription de Secure Hub, cliquez sur Supprimer.
  3. Cliquez sur Oui, supprimer pour confirmer la suppression.

    La fenêtre d’inscription Secure Hub se ferme et l’icône de l’extension Secure Hub est grisée.

Pour réinscrire un appareil :

  1. Déconnectez-vous, puis reconnectez-vous à votre appareil Chrome OS à l’aide de vos informations d’identification G Suite.
  2. Cliquez sur Inscrire et suivez les instructions pour réinscrire un appareil.

Envoyer une invitation d’inscription

Dans la console Endpoint Management, vous pouvez envoyer une invitation d’inscription aux utilisateurs d’appareils iOS, macOS et Android. Vous pouvez également envoyer un lien d’installation aux utilisateurs d’appareils iOS ou Android.

Des invitations d’inscription sont envoyées comme suit :

  • Si l’invitation d’inscription est pour un utilisateur local ou Active Directory : l’utilisateur reçoit l’invitation par SMS sur le numéro de téléphone et le nom d’opérateur que vous spécifiez.

  • Si l’invitation d’inscription est pour un groupe : les utilisateurs reçoivent des invitations par SMS. Si les utilisateurs Active Directory ont une adresse e-mail et un numéro de téléphone mobile dans Active Directory, ils reçoivent l’invitation. Les utilisateurs locaux reçoivent l’invitation sur l’e-mail et le numéro de téléphone spécifiés dans les propriétés de l’utilisateur.

Une fois que les utilisateurs s’inscrivent, leurs appareils apparaissent en tant que gérés sous Gérer > Appareils. L’état de l’URL d’invitation s’affiche en tant que Utilisée.

Conditions préalables

  • LDAP configuré
  • Si vous utilisez des groupes locaux et utilisateurs locaux :

    • Un ou plusieurs groupes locaux.

    • Utilisateurs locaux attribués à des groupes locaux.

    • Des groupes de mise à disposition sont associés à des groupes locaux.

  • Utilisation d’Active Directory :

    • Des groupes de mise à disposition sont associés à des groupes Active Directory.

Créer une invitation d’inscription

  1. Dans la console Endpoint Management, cliquez sur Gérer > Invitations d’inscription. La page Invitations d’inscription s’affiche.

    Écran d'invitation d'inscription à la console Endpoint Management

  2. Cliquez sur Ajouter. Un menu des options d’inscription s’affiche.

    Écran d'ajout d'une invitation

    • Pour envoyer une invitation d’inscription à un utilisateur ou un groupe, cliquez sur Ajouter une invitation.
    • Pour envoyer un lien d’installation d’inscription à une liste de destinataires via SMTP ou SMS, cliquez sur Envoyer lien d’installation.

    L’envoi d’invitations d’inscription et de liens d’installation est décrit après ces étapes.

  3. Cliquez sur Ajouter une invitation. L’écran Invitation d’inscription s’affiche.

    Écran d'invitation d’inscription

  4. Pour configurer ces paramètres :

    • Destinataire : choisissez Groupe ou Utilisateur.
    • Sélectionner une plate-forme : si Destinataire est défini sur Groupe, toutes les plates-formes sont sélectionnées. Vous pouvez modifier la plate-forme sélectionnée. Si Destinataire est défini sur Utilisateur, aucune plate-forme n’est sélectionnée. Sélectionnez une plate-forme.
    • Propriétaire : sélectionnez Entreprise ou Employé.

    Les paramètres pour les utilisateurs ou groupes s’affichent, comme décrit dans les sections suivantes.

Pour envoyer une invitation d’inscription à un utilisateur

Écran des paramètres d'invitation d’inscription

  1. Configurez ces paramètres Utilisateur :

    • Nom d’utilisateur : entrez un nom d’utilisateur. L’utilisateur doit exister dans le serveur Endpoint Management en tant qu’utilisateur local ou en tant qu’utilisateur dans Active Directory. Si l’utilisateur est local, assurez-vous que la propriété Email de l’utilisateur est configurée pour vous permettre de lui envoyer des notifications. S’il s’agit d’un utilisateur Active Directory, assurez-vous que LDAP est configuré.
    • Infos sur l’appareil : ce paramètre ne s’affiche pas si vous sélectionnez plusieurs plates-formes, ou si vous sélectionnez macOS uniquement. Choisissez Numéro de série, UDID ou IMEI. Après avoir choisi une option, un champ s’affiche dans lequel vous pouvez entrer la valeur correspondante à l’appareil.
    • Numéro de téléphone : ce paramètre ne s’affiche pas si vous sélectionnez plusieurs plates-formes, ou si vous sélectionnez macOS uniquement. Si vous le souhaitez, entrez le numéro de téléphone de l’utilisateur.
    • Opérateur : ce paramètre ne s’affiche pas si vous sélectionnez plusieurs plates-formes, ou si vous sélectionnez macOS uniquement. Choisissez un opérateur à associer au numéro de téléphone de l’utilisateur.
    • Mode d’inscription : choisissez la manière dont vous souhaitez que les utilisateurs s’inscrivent. La valeur par défaut est Nom d’utilisateur + mot de passe. Certaines des options suivantes ne sont pas disponibles pour toutes les plates-formes :
      • Nom d’utilisateur + mot de passe
      • Haute sécurité
      • URL d’invitation
      • URL d’invitation + PIN
      • URL d’invitation + mot de passe
      • Deux facteurs
      • Nom d’utilisateur + PIN

    Seules les options Mode d’inscription qui sont valides pour chacune des plates-formes sélectionnées s’affichent. Un code PIN d’inscription est également appelé un code PIN à usage unique. Ces codes PIN sont valides uniquement lorsque l’utilisateur s’inscrit.

    Remarque :

    lorsque vous sélectionnez un mode d’inscription qui comprend un code PIN, le champ Modèle pour le code PIN d’inscription s’affiche, dans lequel vous cliquez sur Code PIN d’inscription.

    • Modèle pour téléchargement de l’agent : choisissez le modèle de lien de téléchargement appelé Lien de téléchargement. Ce modèle est destiné à toutes les plates-formes prises en charge.
    • Modèle pour l’URL d’inscription : choisissez Invitation d’inscription.
    • Modèle pour la confirmation d’inscription : choisissez Confirmation d’inscription.
    • Expire après : ce champ est défini lorsque vous configurez le mode d’inscription et indique quand l’inscription expire. Pour plus d’informations sur la configuration des modes d’inscription, veuillez consulter la section Configurer les modes d’inscription.
    • Nbre max de tentatives : ce champ est défini lorsque vous configurez le Mode d’inscription et indique le nombre maximal de tentatives du processus d’inscription.
    • Envoyer invitation : sélectionnez ON pour envoyer l’invitation immédiatement. Sélectionnez OFF pour ajouter l’invitation au tableau sur la page Invitations d’inscription, mais ne pas l’envoyer.
  2. Cliquez sur Enregistrer et Envoyer si vous avez activé Envoyer invitation. Sinon, cliquez sur Enregistrer. L’invitation apparaît dans le tableau sur la page Invitations d’inscription.

    Tableau sur la page d'invitations d'inscription

Pour envoyer une invitation d’inscription à un groupe

La figure suivante montre les paramètres de configuration d’une invitation d’inscription à un groupe.

Écran d'invitation d'inscription à un groupe

  1. Pour configurer ces paramètres :

    • Domaine : choisissez le domaine du groupe qui recevra l’invitation.
    • Groupe : choisissez le groupe qui recevra l’invitation.
    • Mode d’inscription : choisissez la manière dont vous souhaitez que les utilisateurs du groupe s’inscrivent. La valeur par défaut est Nom d’utilisateur + mot de passe. Certaines des options suivantes ne sont pas disponibles pour toutes les plates-formes :
      • Nom d’utilisateur + mot de passe
      • Haute sécurité
      • URL d’invitation
      • URL d’invitation + PIN
      • URL d’invitation + mot de passe
      • Deux facteurs
      • Nom d’utilisateur + PIN

    Seules les options Mode d’inscription qui sont valides pour chacune des plates-formes sélectionnées s’affichent.

    Remarque :

    lorsque vous sélectionnez un mode d’inscription qui comprend un code PIN, le champ Modèle pour le code PIN d’inscription s’affiche, dans lequel vous cliquez sur Code PIN d’inscription.

    • Modèle pour téléchargement de l’agent : choisissez le modèle de lien de téléchargement appelé Lien de téléchargement. Ce modèle est destiné à toutes les plates-formes prises en charge.
    • Modèle pour l’URL d’inscription : choisissez Invitation d’inscription.
    • Modèle pour la confirmation d’inscription : choisissez Confirmation d’inscription.
    • Expire après : ce champ est défini lorsque vous configurez le mode d’inscription et indique quand l’inscription expire. Pour plus d’informations sur la configuration des modes d’inscription, veuillez consulter la section Configurer les modes d’inscription.
    • Nbre max de tentatives : ce champ est défini lorsque vous configurez le Mode d’inscription et indique le nombre maximal de tentatives du processus d’inscription.
    • Envoyer invitation : sélectionnez ON pour envoyer l’invitation immédiatement. Sélectionnez OFF pour ajouter l’invitation au tableau sur la page Invitations d’inscription, mais ne pas l’envoyer.
  2. Cliquez sur Enregistrer et Envoyer si vous avez activé Envoyer invitation. Sinon, cliquez sur Enregistrer. L’invitation apparaît dans le tableau sur la page Invitation d’inscription.

    Tableau sur la page d'invitations d'inscription

Pour envoyer un lien d’installation

Avant de pouvoir envoyer un lien d’installation de l’inscription, vous devez configurer les canaux (SMTP ou SMS) sur le serveur de notification à partir de la page Paramètres. Pour plus de détails, consultez la section Notifications.

Écran de la page de lien Envoyer l'installation

  1. Configurez ces paramètres, puis cliquez sur Enregistrer.

    • Destinataire : pour chaque destinataire que vous souhaitez ajouter, cliquez sur Ajouter et procédez comme suit :
      • Adresse électronique : entrez l’adresse e-mail du destinataire. Ce champ est obligatoire.
      • Numéro de téléphone : entrez le numéro de téléphone de l’utilisateur. Ce champ est obligatoire.

      Remarque :

      pour supprimer un destinataire, placez le curseur sur la ligne contenant la liste et cliquez sur l’icône de corbeille sur le côté droit. Une boîte de dialogue de confirmation s’affiche. Cliquez sur Supprimer pour supprimer la liste ou sur Annuler pour conserver la liste.

      Pour modifier un destinataire, placez le curseur sur la ligne contenant la liste et cliquez sur l’icône de crayon sur le côté droit. Mettez la liste à jour, puis cliquez sur Enregistrer pour enregistrer la nouvelle liste ou sur Annuler pour laisser la liste inchangée.

    • Canaux : sélectionnez un canal à utiliser pour envoyer le lien d’installation de l’inscription. Vous pouvez envoyer des notifications via SMTP ou SMS. Ces canaux (SMTP ou SMS) ne peuvent pas être activés tant que vous n’avez pas configuré les paramètres du serveur sur la page Paramètres dans Serveur de notification. Pour plus de détails, consultez la section Notifications.
    • SMTP : configurez ces paramètres facultatifs. Si vous ne renseignez pas ces champs, les valeurs par défaut spécifiées dans le modèle de notification configuré pour la plate-forme que vous avez sélectionnée sont utilisées :
      • Expéditeur : entrez un expéditeur (facultatif).
      • Sujet : entrez un sujet pour le message (facultatif). Par exemple, « inscription de votre appareil ».
      • Message : entrez le message à envoyer au destinataire (facultatif). Par exemple, « Inscrivez votre appareil pour accéder à la messagerie et aux applications de l’entreprise ».
    • SMS : configurez ce paramètre. Si vous ne renseignez pas ce champ, la valeur par défaut spécifiée dans le modèle de notification configuré pour la plate-forme que vous avez sélectionnée est utilisée :
      • Message : entrez le message à envoyer aux destinataires. Ce champ est obligatoire pour les notifications SMS.

        En Amérique du Nord, les messages SMS qui dépassent 160 caractères sont remis dans plusieurs messages.

  2. Cliquez sur Envoyer.

    Remarque :

    si votre environnement utilise l’attribut sAMAccountName : après que les utilisateurs aient reçu l’invitation et cliqué sur le lien, ils doivent modifier le nom d’utilisateur pour compléter l’authentification. Le nom d’utilisateur apparaît sous la forme de sAMAccountName@domainname.com. Les utilisateurs doivent supprimer la partie @domainname.com.

Limite d’inscription d’appareils

Endpoint Management comprend un profil d’inscription par défaut permettant aux utilisateurs d’inscrire un nombre illimité d’appareils. Le profil par défaut est appelé Global. Créez des profils d’inscription uniquement si vous souhaitez limiter le nombre d’appareils que les utilisateurs peuvent inscrire. Vous pouvez associer les profils d’inscription à différents groupes de mise à disposition.

La limite d’inscription d’appareil s’applique aux modes de serveur ENT, MDM et MAM. Cette fonctionnalité est disponible pour les appareils iOS et Android uniquement.

Lorsque votre déploiement Endpoint Management inclut des appareils COSU, un seul administrateur ou un groupe restreint d’administrateurs Endpoint Management peut inscrire de nombreux appareils COSU. Pour vous assurer que ces administrateurs peuvent inscrire tous les appareils requis, créez un profil d’inscription pour eux avec un nombre illimité d’appareils autorisés par utilisateur. Pour plus de détails, consultez la section Ajouter un profil d’inscription COSU dans l’article Android Enterprise.

  1. Accédez à Configurer > Profils d’inscription. Le profil Global par défaut s’affiche.

    Écran du profil Global par défaut

  2. Pour ajouter un profil d’inscription, cliquez sur Ajouter. Sur la page Infos d’inscription, entrez un nom pour le profil d’inscription, puis sélectionnez le nombre d’appareils que les membres de ce profil peuvent inscrire.

    Écran des informations d'inscription

  3. Cliquez sur Suivant. L’écran Attribution de groupes de mise à disposition s’affiche.

    Écran d'attribution de groupes de mise à disposition

  4. Sélectionnez les groupes de mise à disposition pour ce profil d’inscription, puis cliquez sur Enregistrer.

    La page Groupes de mise à disposition s’affiche.

    Écran des groupes de mise à disposition

    Pour modifier les profils d’inscription associés à un groupe de mise à disposition, accédez à Configurer > Groupes de mise à disposition, puis cliquez sur Profils d’inscription.

    Écran des profils d'inscription

Expérience utilisateur avec une limite d’inscription d’appareils

Lorsque vous définissez la limite d’inscription d’appareils et que les utilisateurs tentent d’inscrire un appareil, ils procèdent comme suit :

  1. Ils se connectent à Secure Hub.

  2. Ils entrent une adresse de serveur pour s’inscrire.

  3. Ils entrent leurs informations d’identification.

  4. Si le nombre maximal d’appareils est atteint, un message d’erreur informe l’utilisateur qu’il a dépassé la limite d’enregistrement d’appareils.

    Écran d'inscription de Secure Hub

    L’écran d’inscription Secure Hub s’affiche de nouveau.

Actions de sécurisation

Vous pouvez exécuter des actions de sécurité au niveau de l’application et de l’appareil à partir de la page Gérer > Appareil. Vous pouvez exécuter les actions suivantes sur l’appareil : révoquer, verrouiller, déverrouiller et effacer. Vous pouvez exécuter les actions de sécurité suivantes sur les applications : mode kiosque (verrouillage des applications) et effacement des applications.

  • Contourner le verrouillage d’activation : supprime le verrouillage d’activation d’appareils iOS supervisés avant l’activation de l’appareil. Cette commande ne nécessite pas l’identifiant Apple ID ou le mot de passe personnel d’un utilisateur.

  • Mode kiosque : refuse l’accès à toutes les applications sur un appareil. Sur Android, après un verrouillage d’application, les utilisateurs ne peuvent pas se connecter à Endpoint Management. Sur iOS, les utilisateurs peuvent se connecter, mais ils ne peuvent pas accéder aux applications.

  • Effacement des applications : sur Android, un effacement des applications supprime le compte utilisateur d’Endpoint Management. Sur iOS, supprime un compte d’utilisateur dans Secure Hub.

  • Verrouillage d’activation DEP ASM : crée un code de contournement du verrouillage d’activation pour les appareils iOS inscrits au programme DEP d’Apple School Manager.

  • Effacer les restrictions : sur les appareils iOS supervisés, cette commande permet à Endpoint Management d’effacer le mot de passe de restrictions et les paramètres de restriction configurés par l’utilisateur.

  • Activer/Désactiver le mode perdu : place un appareil iOS supervisé en Mode perdu et envoie à l’appareil un message, un numéro de téléphone et une note de bas de page à afficher. La seconde fois que vous envoyez cette commande, l’appareil sort du mode perdu.

  • Effacement complet : efface immédiatement toutes les données et applications d’un appareil, y compris des cartes mémoire.

    • Pour les appareils Android, cette demande peut également inclure l’option d’effacement de cartes mémoire.

    • Pour les appareils iOS et macOS, l’effacement se produit immédiatement, même si l’appareil est verrouillé.

      Pour les appareils iOS 11 (version minimale) : lorsque vous confirmez l’effacement complet, vous pouvez choisir de conserver le plan de données cellulaires sur l’appareil.

      Pour les appareils iOS 11.3 (version minimale) : lorsque vous confirmez l’effacement complet, vous pouvez empêcher les appareils iOS d’effectuer une configuration de proximité. Lors de la configuration d’un nouvel appareil iOS, les utilisateurs peuvent normalement utiliser un appareil iOS déjà configuré pour configurer le leur. Vous pouvez interdire la configuration de proximité sur les appareils qui sont gérés par Endpoint Management et qui ont été effacés.

    • Pour les appareils Windows Phone, un effacement complet supprime toutes les informations Endpoint Management ainsi que toutes les données utilisateur, y compris le contenu personnel tel que les applications, e-mails, contacts et contenus multimédias.

    • Pour les appareils Windows Mobile qui exécutent Windows Mobile 6 ou version ultérieure : après l’effacement, vous devrez peut être renvoyer l’appareil au fabricant pour recharger le système d’exploitation, les logiciels d’origine ou les deux.

    • Si l’utilisateur éteint l’appareil avant que le contenu de la carte mémoire soit supprimé, l’utilisateur peut toujours avoir accès aux données de l’appareil.

    • Vous pouvez annuler la demande d’effacement jusqu’à ce que la demande soit envoyée à l’appareil.

  • Localiser : localise un appareil et signale l’emplacement de l’appareil, accompagné d’une carte, sur la page Gérer > Appareils, sous Détails de l’appareil > Général.

  • Verrouiller : verrouille à distance un appareil, ce qui est utile si un appareil est perdu, mais que vous n’êtes pas sûr s’il a été volé. Ensuite, Endpoint Management génère un code PIN et le configure dans l’appareil. Pour accéder à l’appareil, l’utilisateur devra entrer ce code PIN. Utilisez Annuler le verrouillage pour retirer le verrouillage de la console Endpoint Management.

  • Verrouiller et réinitialiser le mot de passe : verrouille un appareil à distance et réinitialise le mot de passe.

  • Notifier (sonnerie) : émet un son sur les appareils Android.

  • Redémarrer : redémarre les appareils Windows 10. Pour Windows Tablet et PC, le message « Le système va bientôt redémarrer » s’affiche, puis le redémarrage se produit dans les cinq minutes. Pour Windows Phone, le redémarrage se produit après quelques minutes sans message d’avertissement pour les utilisateurs.

  • Demander/Arrêter la mise en miroir AirPlay : démarre et arrête la mise en miroir AirPlay sur les appareils iOS supervisés.

  • Redémarrer/Arrêter : redémarre ou arrête immédiatement les appareils iOS supervisés.

  • Révoquer : permet d’empêcher un appareil de se connecter à Endpoint Management.

  • Révoquer/Autoriser (iOS, macOS) : effectue les mêmes actions que l’effacement des données d’entreprise. Après la révocation, vous pouvez ré-autoriser l’appareil pour le réinscrire.

  • Faire sonner : si un appareil iOS supervisé est en Mode perdu, cette option le fait sonner. L’appareil sonne jusqu’à ce qu’il soit retiré du mode perdu ou que l’utilisateur désactive le son.

  • Effacer les données d’entreprise : efface toutes les données et applications d’entreprise d’un appareil, sans toucher aux données et applications personnelles. Après l’effacement des données d’entreprise, un utilisateur peut réinscrire l’appareil.

    • L’effacement des données d’entreprise d’un appareil Android ne déconnecte pas l’appareil de Device Manager et du réseau d’entreprise. Pour empêcher l’appareil d’accéder à Device Manager, vous devez également révoquer les certificats de l’appareil.
    • Si l’API Samsung KNOX est activée, l’effacement sélectif de l’appareil supprime également le conteneur Samsung KNOX.
    • Pour les appareils iOS et macOS, cette commande supprime le profil installé via MDM.
    • Un effacement des données d’entreprise sur un appareil Windows supprime également le contenu du dossier de profil de tout utilisateur connecté à l’appareil à ce moment-là. Un effacement des données d’entreprise ne supprime pas les clips Web que vous mettez à la disposition des utilisateurs via une configuration. Pour supprimer les clips Web, les utilisateurs doivent désinscrire manuellement leurs appareils. Vous ne pouvez pas réinscrire un appareil dont les données d’entreprise ont été effacées.
    • L’effacement sélectif d’un appareil Windows Phone supprime le jeton d’entreprise qui permet à Endpoint Management d’installer des applications sur l’appareil. L’effacement supprime également tous les certificats et toutes les configurations d’Endpoint Management déployés sur l’appareil. Vous ne pouvez pas réinscrire un appareil Windows Phone dont les données d’entreprise ont été effacées.
    • L’effacement sélectif sur les appareils Android permet également de révoquer l’appareil. L’appareil peut être ré-inscrit uniquement s’il est à nouveau autorisé ou s’il est supprimé de la console.
  • Déverrouiller : efface le code secret envoyé à l’appareil lorsqu’il a été verrouillé. Cette commande ne déverrouille pas l’appareil.

Dans Gérer > Appareils, la page Détails de l’appareil dresse également la liste des propriétés de sécurité de l’appareil. Ces propriétés incluent ID fort, Verrouiller l’appareil, Contourner le verrouillage d’activation et d’autres informations relatives au type de plate-forme. Le champ Effacement complet de l’appareil inclut le code PIN de l’utilisateur. L’utilisateur doit entrer ce code une fois que l’appareil est effacé. Si l’utilisateur oublie le code, vous pouvez le rechercher ici.

Actions de sécurisation pour les appareils Android

Action de sécurisation Android (à l’exception des appareils Android Enterprise) Android Enterprise (BYOD) Android Enterprise (propriété de l’entreprise)
Mode kiosque Oui Non Non
Effacement des applications Oui Non Non
Effacement complet Oui Non Oui
Localiser Oui : pour les appareils exécutant Android 6.0+, la fonction Localiser requiert que l’utilisateur donne accès à la localisation lors de l’inscription. L’utilisateur peut choisir de ne pas accorder l’autorisation de localisation. Si l’utilisateur n’accorde pas l’autorisation lors de l’inscription, Endpoint Management demande à nouveau l’autorisation de localisation lors de l’envoi de la commande Localiser. Oui : pour les appareils exécutant Android 6.0+, la fonction Localiser requiert que l’utilisateur donne accès à la localisation lors de l’inscription. L’utilisateur peut choisir de ne pas accorder l’autorisation de localisation. Si l’utilisateur n’accorde pas l’autorisation lors de l’inscription, Endpoint Management demande à nouveau l’autorisation de localisation lors de l’envoi de la commande Localiser. Oui : pour les appareils exécutant Android 6.0+, la fonction Localiser requiert que l’utilisateur donne accès à la localisation lors de l’inscription. L’utilisateur peut choisir de ne pas accorder l’autorisation de localisation. Si l’utilisateur n’accorde pas l’autorisation lors de l’inscription, Endpoint Management demande à nouveau l’autorisation de localisation lors de l’envoi de la commande Localiser.
Verrouiller Oui Oui Oui
Verrouiller et réinitialiser un mot de passe Oui Non Oui
Notifier (sonnerie) Oui Oui Oui
Révoquer Oui Oui Oui
Effacer les données d’entreprise Oui Oui Non

Actions de sécurisation pour les appareils iOS, macOS et tvOS

Action de sécurisation iOS macOS tvOS
Contourner le verrouillage d’activation Oui Non Non
Mode kiosque Oui Non Non
Effacement des applications Oui Non Non
Verrouillage d’activation ASM DEP Oui Non Non
Effacer les restrictions Oui Non Non
Activer/Désactiver le mode perdu Oui Non Non
Activer/Désactiver le suivi Oui Non Non
Effacement complet Oui Oui Oui
Localiser Oui Non Non
Verrouiller Oui Oui Non
Faire sonner Oui Oui Non
Demander/Arrêter la mise en miroir AirPlay Oui Non Non
Redémarrer/Arrêter Oui Non Oui (Redémarrer)
Révoquer/Autoriser Oui Oui Oui
Effacer les données d’entreprise Oui Oui Non
Déverrouiller Oui Non Non

Pour plus d’informations sur les actions de sécurisation pour les iPad partagés, consultez la section Actions de sécurisation pour les iPad partagés.

Actions de sécurisation pour les appareils Windows

Action de sécurisation Windows Phone 10 Windows Tablet 10 Windows Phone 8.1
Localiser Oui Oui Non
Verrouiller Oui Oui Oui
Verrouiller et réinitialiser un mot de passe Oui Non Oui
Redémarrer Oui Oui Non
Révoquer Oui Oui Oui
Faire sonner Oui Non Oui
Effacer les données d’entreprise Oui Oui Oui
Effacer Oui Non Oui

Le reste de cet article fournit les étapes permettant d’effectuer différentes actions de sécurisation. Vous pouvez également automatiser certaines actions. Pour de plus amples informations, consultez la section Actions automatisées.

Verrouiller les appareils iOS

Vous pouvez verrouiller un appareil iOS perdu tout en affichant un message et un numéro de téléphone sur l’écran de verrouillage. Cette fonctionnalité est prise en charge sur les appareils exécutant iOS 7 et versions ultérieures.

Pour afficher un message et un numéro de téléphone sur un appareil verrouillé, définissez la stratégie Code secret sur true dans la console Endpoint Management. Ou bien les utilisateurs peuvent activer le code secret sur l’appareil manuellement.

  1. Cliquez sur Gérer > Appareils. La page Appareils s’ouvre.

    Page Appareils

  2. Sélectionnez l’appareil iOS que vous voulez verrouiller.

    Sélectionnez la case à cocher en regard d’un appareil pour afficher le menu d’options au-dessus de la liste des appareils. Cliquez dans la liste pour afficher le menu d’options sur le côté droit de la liste.

    Menu d'options

    Menu d'options

  3. Dans le menu d’options, sélectionnez Sécurité. La boîte de dialogue Actions de sécurisation s’affiche.

    Boîte de dialogue Actions de sécurisation

  4. Cliquez sur Verrouiller. La boîte de dialogue Actions de sécurisation s’affiche.

    Écran de confirmation des actions de sécurisation

  5. Si vous le souhaitez, entrez un message et un numéro de téléphone qui s’afficheront sur l’écran de verrouillage de l’appareil.

    Pour les iPads exécutant iOS 7 et versions ultérieures : iOS ajoute les mots « iPad perdu » au texte entré dans le champ Message.

    Pour les iPhones exécutant iOS 7 et versions ultérieures : si vous laissez le champ Message vide et que vous entrez un numéro de téléphone, Apple affiche le message « Appeler propriétaire » sur l’écran de verrouillage de l’appareil.

  6. Cliquez sur Verrouiller l’appareil.

Supprimer un appareil de la console Endpoint Management

Important :

Lorsque vous supprimez un appareil de la console Endpoint Management, les applications gérées et les données restent sur l’appareil. Pour supprimer les applications gérées et les données de l’appareil, consultez la section « Supprimer un appareil » plus loin dans cet article.

Pour supprimer un appareil de la console Endpoint Management, accédez à Gérer > Appareils, sélectionnez un appareil géré et cliquez sur Supprimer.

Option Supprimer

Effacer les données d’entreprise d’un appareil

  1. Accédez à Gérer > Appareils, sélectionnez un appareil géré et cliquez sur Sécurisé.

  2. Dans Actions de sécurisation, cliquez sur Effacer les données d’entreprise.

  3. Pour les appareils Android uniquement, déconnectez l’appareil du réseau d’entreprise : une fois que l’appareil a été effacé, dans Actions de sécurisation, cliquez sur Révoquer.

    Pour annuler une demande d’effacement des données d’entreprise avant qu’il ne soit exécuté, dans Actions de sécurisation, cliquez sur Annuler l’effacement des données d’entreprise.

Supprimer un appareil

Cette procédure supprime les applications gérées et les données de l’appareil et supprime l’appareil de la liste d’appareils dans la console Endpoint Management.

  1. Accédez à Gérer > Appareils, sélectionnez un appareil géré et cliquez sur Sécurisé.

  2. Cliquez sur Effacer les données d’entreprise. Lorsque vous y êtes invité, cliquez sur Effacer les données d’entreprise de l’appareil.

  3. Pour vérifier que la commande d’effacement a réussi, actualisez Gérer > Appareils. Dans la colonne Mode, la couleur ambre pour MAM et MDM indique que la commande d’effacement a réussi.

    Commande de nettoyage réussie

  4. Sur la page Gérer > Appareils, sélectionnez un appareil et cliquez sur Supprimer. Lorsque vous y êtes invité, cliquez de nouveau sur Supprimer.

Verrouiller, déverrouiller, effacer ou annuler l’effacement des applications

  1. Accédez à Gérer > Appareils, sélectionnez un appareil géré et cliquez sur Sécurisé.

  2. Dans Actions de sécurisation, cliquez sur l’action d’application.

    Vous pouvez également utiliser la boîte de dialogue Actions de sécurisation pour vérifier l’état de l’appareil d’un utilisateur dont le compte a été désactivé ou supprimé dans Active Directory. La présence des actions Annuler le mode kiosque ou Annuler effacement des applications indique que les applications sont verrouillées ou effacées.

Placer les appareils iOS en Mode perdu

La propriété d’appareil Mode perdu d’Endpoint Management place un appareil iOS en Mode perdu. Contrairement au mode perdu géré d’Apple, le mode perdu de Endpoint Management ne nécessite pas qu’un utilisateur effectue une des actions suivantes pour activer la recherche de son appareil : configurer le paramètre Localiser mon iPhone/iPad ou activer les Services de géolocalisation pour Citrix Secure Hub.

Dans le Mode perdu d’Endpoint Management, seul Endpoint Management peut déverrouiller l’appareil. (En revanche, si vous utilisez la fonctionnalité de verrouillage d’appareil d’Endpoint Management, les utilisateurs peuvent déverrouiller l’appareil directement à l’aide d’un code PIN que vous devez fournir.

Pour activer ou désactiver le Mode perdu : accédez à Gérer > Appareils, choisissez un appareil iOS supervisé et cliquez sur Sécurisé. Ensuite, cliquez sur Activer le mode perdu ou Désactiver le mode perdu.

Options du mode perdu

Si vous cliquez sur Activer le mode perdu, entrez les informations qui sont affichées sur l’appareil lorsqu’il est en mode perdu.

Informations à afficher sur un appareil

Pour vérifier l’état du mode perdu, utilisez une des méthodes suivantes :

  • Dans la fenêtre Actions de sécurisation, vérifiez si le bouton indique Désactiver le mode perdu.
  • Dans Gérer > Appareils, dans l’onglet Général sous Sécurité, consultez la dernière action Activer le mode perdu ou Désactiver le mode perdu.

Onglet Général

  • Dans Gérer > Appareils, dans l’onglet Propriétés, vérifiez que la valeur du paramètre Mode perdu MDM activé est correcte.

Paramètre du Mode perdu MDM activé

Si vous activez le mode perdu de Endpoint Management sur un appareil iOS, la console Endpoint Management est également modifiée comme suit :

  • Dans Configurer > Actions, la liste Actions ne comprend pas ces actions automatiques : Révoquer l’appareil, Effacer les données d’entreprise de l’appareil et Effacer toutes les données de l’appareil.
  • Dans Gérer > Appareils, la liste Actions de sécurisation n’inclut plus les actions Révoquer et Effacer les données d’entreprise. Vous pouvez toujours utiliser une action de sécurité pour effectuer une action Effacement complet, si nécessaire.

Pour les iPads exécutant iOS 7 et versions ultérieures : iOS ajoute les mots « iPad perdu » au texte entré dans Message dans l’écran Actions de sécurisation.

Pour les iPhones exécutant iOS 7 et versions ultérieures : si vous laissez Message vide et que vous entrez un numéro de téléphone, Apple affiche le message « Appeler propriétaire » sur l’écran de verrouillage de l’appareil.

Ne pas utiliser le verrouillage d’activation iOS

Le verrouillage d’activation est une fonctionnalité de Localiser mon iPhone/iPad qui empêche la réactivation d’un appareil supervisé perdu ou volé. Le verrouillage d’activation requiert l’identifiant Apple et le mot de passe de l’utilisateur pour pouvoir désactiver Localiser mon iPhone/iPad, effacer l’appareil ou réactiver l’appareil. Pour les appareils qui sont la propriété de votre organisation, il est nécessaire de contourner le verrouillage d’activation pour, par exemple, réinitialiser ou réattribuer des appareils.

Pour activer le verrouillage d’activation, configurez et déployez la stratégie Options MDM d’Endpoint Management. Vous pouvez ensuite gérer un appareil à partir de la console Endpoint Management sans les informations d’identification Apple de l’utilisateur. Pour contourner l’obligation d’entrer des informations d’identification Apple avec un verrou d’activation, émettez l’action de sécurisation Contourner le verrouillage d’activation depuis la console Endpoint Management.

Par exemple, si l’utilisateur retourne un téléphone perdu ou pour configurer l’appareil avant ou après un effacement complet : lorsque le téléphone invite à entrer les informations d’identification de compte iTunes, vous pouvez ignorer cette étape en émettant l’action de sécurité Contourner le verrouillage d’activation à partir de la console Endpoint Management.

Configuration requise pour le contournement du verrouillage d’activation

  • iOS 7.1 (version minimale)
  • Supervisé par Apple Configurator ou Apple DEP
  • Configuré avec un compte iCloud
  • Localiser mon iPhone/iPad activé
  • Inscrit dans Endpoint Management
  • Stratégie Options MDM, avec verrouillage d’activation activé, déployée sur les appareils

Pour contourner le verrouillage d’activation avant d’émettre un effacement complet de l’appareil :

  1. Accédez à Gérer > Appareils, sélectionnez l’appareil, cliquez sur Sécurisé, puis cliquez sur Contourner le verrouillage d’activation.
  2. Effacez l’appareil. L’écran de verrouillage d’activation ne s’affiche pas lors de l’installation de l’appareil.

Pour contourner le verrouillage d’activation après avoir émis un effacement complet de l’appareil :

  1. Réinitialisez ou effacez l’appareil. L’écran de verrouillage d’activation s’affiche lors de l’installation de l’appareil.
  2. Accédez à Gérer > Appareils, sélectionnez l’appareil, cliquez sur Sécurisé, puis cliquez sur Contourner le verrouillage d’activation.
  3. Cliquez sur le bouton Retour sur l’appareil. L’écran d’accueil s’affiche.

Gardez à l’esprit les considérations suivantes :

  • Conseillez à vos utilisateurs de ne pas désactiver Localiser mon iPhone/iPad. N’effectuez pas d’effacement complet à partir de l’appareil. Dans ces deux cas, l’utilisateur est invité à entrer le mot de passe du compte iCloud. Après la validation du compte, l’utilisateur ne verra pas d’écran Activer iPhone/iPad après avoir effacé tout le contenu et les paramètres.
  • Pour un appareil avec un code de contournement de verrouillage d’activation généré et avec le verrouillage d’activation activé : si vous ne pouvez pas contourner la page Activer iPhone/iPad après un effacement complet, il n’est pas nécessaire de supprimer l’appareil de Endpoint Management. Vous ou l’utilisateur pouvez contacter l’assistance Apple pour débloquer l’appareil directement.
  • Lors d’un inventaire matériel, Endpoint Management interroge un appareil pour obtenir un code de contournement de verrouillage d’activation. Si un code de contournement est disponible, l’appareil l’envoie à Endpoint Management. Ensuite, pour supprimer le code de contournement de l’appareil, envoyez l’action de sécurisation Contourner le verrouillage d’activation à partir de la console Endpoint Management. À ce stade, Endpoint Management et Apple ont le code de contournement nécessaire pour débloquer l’appareil.
  • L’action de sécurisation Contourner le verrouillage d’activation repose sur la disponibilité d’un service d’Apple. Si l’action ne fonctionne pas, vous pouvez débloquer un appareil comme suit. Sur l’appareil, entrez manuellement les informations d’identification du compte iCloud. Ou, laissez le champ de nom d’utilisateur vide et tapez le code de contournement dans le champ de mot de passe. Pour rechercher le code de contournement, accédez à Gérer > Appareils, sélectionnez l’appareil, cliquez sur Modifier et cliquez sur Propriétés. Le Code de contournement du verrouillage d’activation se trouve sous Informations de sécurité.

Appareils partagés

Endpoint Management vous permet de configurer des appareils que plusieurs utilisateurs peuvent partager. Cette fonctionnalité permet, par exemple, aux médecins hospitaliers d’utiliser tout appareil à portée pour accéder à des applications et des données plutôt que d’avoir à transporter un appareil spécifique. Il peut aussi être utile pour les employés travaillant en équipe dans des domaines tels que la force publique, le commerce et le secteur industriel de partager des appareils pour réduire le coût du matériel.

Points clés à propos des appareils partagés

Vous pouvez utiliser n’importe quel appareil iOS et Android pris en charge en tant qu’appareil partagé. Pour obtenir une liste des appareils pris en charge, consultez la section Systèmes d’exploitation d’appareils pris en charge.

Mode MDM

  • Disponible sur tablettes et smartphones iOS et Android. L’inscription au programme Device Enrollment Program (DEP) de base n’est pas prise en charge pour un appareil partagé Endpoint Management Enterprise. Vous devez utiliser une DEP autorisée pour inscrire un appareil partagé dans ce mode.
  • L’authentification de certificat client, le code PIN Citrix, Touch ID, l’entropie utilisateur et l’authentification à deux facteurs ne sont pas pris en charge.

Mode MDM+MAM

  • Disponible uniquement sur tablettes iOS et Android.
  • Seule l’authentification par nom d’utilisateur et mot de passe Active Directory est prise en charge.
  • L’authentification de certificat client, le code PIN Worx, Touch ID, l’entropie utilisateur et l’authentification à deux facteurs ne sont pas pris en charge.
  • Le mode MAM exclusif n’est pas pris en charge. Les appareils doivent s’inscrire en mode MDM.
  • Seuls Secure Mail, Secure Web et l’application mobile Citrix Files sont pris en charge. Les applications HDX ne sont pas prises en charge.
  • Seuls les utilisateurs Active Directory sont pris en charge, contrairement aux utilisateurs et aux groupes locaux.
  • Une réinscription est requise pour les appareils partagés en mode MDM exclusif afin de mettre à jour vers le mode MDM+MAM.
  • Les utilisateurs peuvent uniquement partager des applications de productivité mobiles Citrix et des applications MDX encapsulées ; ils ne peuvent pas partager d’applications natives sur les appareils.
  • Une fois les applications de productivité mobiles Citrix téléchargées lors de la première inscription, il est inutile de les télécharger à nouveau à chaque fois qu’un utilisateur se connecte sur l’appareil. Le nouvel utilisateur peut récupérer l’appareil, ouvrir une session, et se lancer.
  • Sur Android, afin d’isoler les données de chaque utilisateur pour des raisons de sécurité, la stratégie Disallow rooted devices de la console Endpoint Management doit être définie sur Activé.

Configuration requise pour l’inscription d’appareils partagés

Avant d’inscrire les appareils partagés, vous devez effectuer les opérations suivantes :

Conditions préalables pour le mode MDM+MAM

  1. Créez un groupe Active Directory nommé, par exemple, Shared Device Enrollers.
  2. Ajoutez à ce groupe les utilisateurs Active Directory qui vont inscrire des appareils partagés. Si vous souhaitez utiliser un nouveau compte à cette fin, créez un utilisateur Active Directory (par exemple sdenroll) et ajoutez cet utilisateur au groupe Active Directory.

Configuration d’un appareil partagé

Suivez les étapes ci-dessous pour configurer un appareil partagé.

  1. Dans la console Endpoint Management, cliquez sur l’icône d’engrenage dans le coin supérieur droit. La page Paramètres s’affiche.
  2. Cliquez sur Contrôle d’accès basé sur rôle, puis cliquez sur Ajouter. La page Ajouter un rôle s’affiche.
  3. Créez un rôle utilisateur destiné à l’inscription d’appareils partagés, nommé Utilisateur pour inscription d’appareils partagés, disposant des autorisations Assistant d’inscription d’appareils partagés sous Accès autorisé. Veillez à développer Appareils dans Fonctionnalités de la console, puis sélectionnez Effacer les données d’entreprise d’un appareil. Ce paramètre garantit que les applications et les stratégies configurées à l’aide du compte de l’assistant d’inscription d’appareils partagés sont supprimées via Secure Hub lors de la désinscription de l’appareil.

    Pour Appliquer les autorisations, conservez le paramètre par défaut, qui est À tous les groupes d’utilisateurs, ou attribuez des autorisations à des groupes d’utilisateurs Active Directory spécifiques avec le paramètre À des groupes d’utilisateurs spécifiques.

    Options Appliquer les autorisations

    Cliquez sur Suivant pour passer à l’écran Attribution. Attribuez le rôle d’inscription d’appareil partagé que vous venez de créer au groupe Active Directory que vous avez créé pour les utilisateurs destinés à l’inscription d’appareils partagés à l’étape 1 sous Conditions préalables. Dans l’image ci-dessous, citrix.lab est le domaine Active Directory et Shared Device Enrollers est le groupe Active Directory.

    Écran Attribution

  4. Créez un groupe de mise à disposition contenant les stratégies de base, les applications et les actions que vous voulez appliquer à l’appareil lorsqu’un utilisateur n’est pas connecté. Associez ensuite ce groupe de mise à disposition au groupe Active Directory de l’utilisateur d’inscription d’appareil partagé.

    Écran des paramètres des groupes de mise à disposition

  5. Installez Secure Hub sur l’appareil partagé et inscrivez-le sur Endpoint Management à l’aide du compte utilisateur d’inscription sur appareil partagé. Vous pouvez maintenant voir et gérer l’appareil dans la console Endpoint Management. Pour de plus amples informations, consultez la section Inscription d’appareils.

  6. Pour appliquer différentes stratégies ou pour fournir des applications supplémentaires aux utilisateurs authentifiés, vous devez créer un groupe de mise à disposition associé à ces utilisateurs et déployé uniquement sur des appareils partagés. Lors de la création de groupes, configurez des règles de déploiement pour vous assurer que les packages sont déployés sur des appareils partagés. Pour de plus amples informations, consultez la section Déployer des ressources.

  7. Pour arrêter le partage de l’appareil, effacez les données d’entreprise afin de supprimer le compte utilisateur d’inscription sur appareil partagé de l’appareil, ainsi que toute application ou stratégie ayant été déployée sur cet appareil.

Expérience utilisateur relative à l’utilisation d’un appareil partagé

Mode MDM

Les utilisateurs voient uniquement les ressources qui leur sont disponibles, et leur expérience est la même sur chaque appareil partagé. Les stratégies et applications de l’inscription d’appareil partagé restent toujours sur l’appareil. Lorsqu’un utilisateur non inscrit sur les appareils partagés ouvre une session sur Secure Hub, les stratégies et applications de cette personne sont déployées sur l’appareil. Lorsque cet utilisateur se déconnecte, les stratégies et les applications qui diffèrent de celles de l’inscription d’appareil partagé sont supprimées, tandis que les ressources de l’inscription d’appareil partagé restent intactes.

Mode MDM+MAM

Secure Mail et Secure Web sont déployés sur l’appareil lorsqu’ils sont inscrits par l’utilisateur d’inscription d’appareil partagé. Les données utilisateur sont conservées de manière sécurisée sur l’appareil. Les données ne sont pas affichées pour d’autres utilisateurs lorsqu’ils se connectent à Secure Mail ou Secure Web.

Un seul utilisateur à la fois peut se connecter à Secure Hub. L’utilisateur précédent doit se déconnecter pour que le prochain utilisateur puisse se connecter. Pour des raisons de sécurité, Secure Hub ne stocke pas les informations d’identification de l’utilisateur sur les appareils partagés, si bien que les utilisateurs doivent entrer leurs informations d’identification chaque fois qu’ils se connectent. Pour vous assurer qu’un nouvel utilisateur ne puisse pas accéder aux ressources destinées à l’utilisateur précédent, Secure Hub n’autorise pas les nouveaux utilisateurs à se connecter alors que des stratégies, applications et données associées à l’utilisateur précédent sont en cours de suppression.

L’inscription d’appareil partagé ne modifie pas le processus de mise à niveau des applications. Vous pouvez distribuer des mises à niveau aux utilisateurs d’appareils partagés comme vous le faites habituellement. Ces derniers peuvent alors mettre à niveau les applications directement sur leurs appareils.

Stratégies Secure Mail recommandées

  • Pour obtenir des performances Secure Mail optimales, définissez la Période de synchronisation maximale en fonction du nombre d’utilisateurs qui partagent l’appareil. Il n’est pas recommandé d’autoriser un nombre illimité de synchronisation.
Nombre d’utilisateurs partageant l’appareil Période de synchronisation maximale recommandée
21 à 25 1 semaine ou moins
6 à 20 2 semaines ou moins
5 ou moins 1 mois ou moins
  • Bloquez Activer l’exportation des contacts afin de ne pas divulguer les contacts d’un utilisateur aux autres utilisateurs qui partagent l’appareil.

  • Sur iOS, seuls les paramètres suivants peuvent être définis par utilisateur. Tous les autres paramètres seront communs à tous les utilisateurs qui partagent l’appareil :

    • Notifications
    • Signature
    • Absent(e) du bureau
    • Période de synchronisation des messages
    • S/MIME
    • Vérifier l’orthographe

Obtenir des informations sur les appareils

La base de données d’Endpoint Management stocke une liste des appareils mobiles. Un numéro de série unique ou un numéro IMEI (identité internationale d’équipement mobile)/MEID (identifiant de l’équipement mobile) identifie chaque appareil mobile de manière unique. Pour renseigner la console Endpoint Management avec vos appareils, vous pouvez ajouter les appareils manuellement ou importer une liste d’appareils à partir d’un fichier. Consultez la section Formats des fichiers de provisioning pour de plus amples informations sur les formats de fichier de provisioning.

La page Gérer > Appareils de la console Endpoint Management répertorie chaque appareil et les informations suivantes :

  • État (les icônes indiquent si l’appareil est jailbreaké, géré, si Active Sync Gateway est disponible et l’état du déploiement)
  • Mode (indique le mode de l’appareil, à savoir MDM, MAM ou les deux)
  • D’autres informations sur l’appareil : Nom d’utilisateur, Plate-forme de l’appareil, Version du système d’exploitation, Modèle d’appareil, Dernier accès et Jours d’inactivité. Ces en-têtes sont les en-têtes par défaut affichés.

Pour personnaliser le tableau Appareils, cliquez sur la flèche vers le bas sur le dernier en-tête. Ensuite, sélectionnez les en-têtes supplémentaires que vous voulez voir dans le tableau ou désactivez les en-têtes à supprimer.

Écran d'options de personnalisation du tableau des appareils

Vous pouvez ajouter des appareils manuellement, importer des appareils à partir d’un fichier de provisioning, modifier les détails de l’appareil, exécuter des actions de sécurité et envoyer des notifications aux appareils. Vous pouvez également exporter toutes les données de tableau d’un appareil dans un fichier .csv pour créer un rapport personnalisé. Le serveur exporte tous les attributs de l’appareil. Si vous appliquez des filtres, Endpoint Management les utilise lors de la création du fichier .csv.

Ajouter un appareil manuellement

  1. Dans la console Endpoint Management, cliquez sur Gérer > Appareils. La page Appareils s’ouvre.

    Page Appareils

  2. Cliquez sur Ajouter. La page Ajouter un appareil s’affiche.

    Page d'ajout d'appareil

  3. Pour configurer ces paramètres :

    • Sélectionner une plate-forme : cliquez sur iOS ou Android.
    • Numéro de série : entrez le numéro de série de l’appareil.
    • IMEI/MEID : pour les appareils Android uniquement, entrez les informations IMEi/MEID de l’appareil (facultatif).
  4. Cliquez sur Ajouter. Le tableau Appareils s’affiche avec l’appareil ajouté en bas de la liste. Sélectionnez l’appareil que vous avez ajouté, puis dans le menu qui s’affiche, cliquez sur Modifier pour afficher et confirmer les détails de l’appareil.

    Remarque :

    lorsque vous sélectionnez la case à cocher en regard d’un appareil, le menu d’options s’affiche au-dessus de la liste des appareils. Lorsque vous cliquez dans la liste, le menu d’options s’affiche sur le côté droit de la liste.

    • LDAP configuré

    • Si vous utilisez des groupes locaux et utilisateurs locaux :

      • Un ou plusieurs groupes locaux.

      • Utilisateurs locaux attribués à des groupes locaux.

      • Des groupes de mise à disposition sont associés à des groupes locaux.

    • Utilisation d’Active Directory :

      • Des groupes de mise à disposition sont associés à des groupes Active Directory.

      Liste des détails de l'appareil

  5. La page Général dresse la liste des identificateurs, tels que le numéro de série, l’ID ActiveSync et d’autres informations relatives au type de plate-forme. Pour Propriétaire, sélectionnez Entreprise ou BYOD.

    La page Général dresse également la liste des propriétés de sécurité, telles que ID fort, Verrouiller l’appareil, Contourner le verrouillage d’activation et d’autres informations relatives au type de plate-forme. Le champ Effacement complet de l’appareil inclut le code PIN de l’utilisateur. L’utilisateur doit entrer ce code une fois que l’appareil est effacé. Si l’utilisateur oublie le code, vous pouvez le rechercher ici.

  6. La page Propriétés dresse la liste des propriétés d’appareil qu’Endpoint Management va provisionner. Cette liste affiche toutes les propriétés d’appareil incluses dans le fichier de provisioning utilisé pour ajouter l’appareil. Pour ajouter une propriété, cliquez sur Ajouter, puis sélectionnez une propriété dans la liste. Pour connaître les valeurs valides pour chaque propriété, consultez le PDF Valeurs et noms des propriétés d’appareil.

    Lorsque vous ajoutez une propriété, elle s’affiche initialement sous la catégorie dans laquelle vous l’avez ajoutée. Après avoir cliqué sur Suivant et être revenu sur la page Propriétés, la propriété s’affiche dans la liste appropriée.

    Pour supprimer une propriété, placez le curseur dessus et cliquez sur le X sur le côté droit. Endpoint Management supprime l’élément immédiatement.

  7. Les sections Détails de l’appareil restantes contiennent des informations sommaires sur l’appareil.

    • Propriétés utilisateur : affiche les rôles RBAC, les appartenances aux groupes, les comptes VPP et les propriétés de l’utilisateur. Vous pouvez retirer un compte VPP de cette page.
    • Stratégies attribuées : affiche le nombre des stratégies attribuées, y compris le nombre de stratégies déployées, en attente ou ayant échoué. Fournit les informations relatives au nom, au type et à la dernière date de déploiement pour chaque stratégie.
    • Applications : affiche, pour le dernier inventaire, le nombre de déploiements d’applications installés, en attente et ayant échoué. Fournit le nom de l’application, l’identificateur, le type et d’autres informations. Pour une description des clés d’inventaire iOS et macOS, telles que HasUpdateAvailable, voir Protocole de gestion des appareils mobiles (MDM).
    • Média : affiche, pour le dernier inventaire, le nombre de déploiements de médias installés, en attente et ayant échoué.
    • Actions : affiche le nombre d’actions déployées, en attente et qui ont échoué. Fournit le nom de l’action et l’heure du dernier déploiement.
    • Groupes de mise à disposition : affiche le nombre de groupes de mise à disposition ayant réussi, en attente et qui ont échoué. Pour chaque déploiement, fournit le nom du groupe mise à disposition et l’heure déploiement. Sélectionnez un groupe de mise à disposition pour afficher des informations plus détaillées, y compris l’état, l’action, le canal ou l’utilisateur.
    • Profils iOS : affiche le dernier inventaire de profil iOS, y compris le nom, le type, l’organisation et une description.
    • Profils de provisioning iOS : affiche les informations du profil de provisioning de distribution d’entreprise, telles que l’UUID, la date d’expiration, et si les profils sont gérés ou non gérés.
    • Certificats : affiche pour les certificats valides, révoqués ou ayant expiré, des informations telles que le type, le fournisseur, l’émetteur, le numéro de série et le nombre de jours restants avant l’expiration.
    • Connexions : affiche l’état de la première connexion et de la dernière connexion. Fournit pour chaque connexion, le nom d’utilisateur, l’heure de l’avant-dernière authentification et l’heure de la dernière authentification.
    • État du MDM : affiche des informations telles que l’état du MDM, l’heure de la dernière notification push et l’heure de la dernière réponse de l’appareil.
    • TouchDown : (appareils Android uniquement) affiche des informations sur la dernière authentification de l’appareil et le dernier utilisateur à s’être authentifié. Fournit chaque nom de stratégie et valeur de stratégie applicables.

Importer des appareils à partir d’un fichier de provisioning

Vous pouvez importer un fichier fourni par les opérateurs mobiles ou les fabricants de l’appareil, ou vous pouvez créer votre propre fichier de provisioning. Pour plus d’informations, consultez la section Formats des fichiers de provisioning dans cet article.

  1. Accédez à Gérer > Appareils et cliquez sur Importer. La boîte de dialogue Importer le fichier de provisioning apparaît.

    Boîte de dialogue Importer le fichier de provisioning

  2. Cliquez sur Choisir un fichier et accédez au fichier que vous souhaitez importer.

  3. Cliquez sur Importer. Le tableau Appareils répertorie le fichier importé.

  4. Pour modifier les informations sur l’appareil, sélectionnez-le, puis cliquez sur Modifier. Pour plus d’informations sur les pages Détails de l’appareil, consultez la section Ajouter un appareil manuellement.

Envoyer une notification aux appareils

Vous pouvez envoyer des notifications aux appareils à partir de la page Appareils. Pour plus d’informations sur les notifications, veuillez consulter la section Notifications.

  1. Sur la page Gérer > Appareils sélectionnez l’appareil ou les appareils auxquels vous souhaitez envoyer une notification.

  2. Cliquez sur Notifier. La boîte de dialogue Notification s’affiche. Le champ Destinataires répertorie tous les appareils sélectionnés pour recevoir pour la notification.

    Boîte de dialogue Notification

  3. Pour configurer ces paramètres :

    • Modèles : dans la liste, cliquez sur le type de notification que vous souhaitez envoyer. Pour chaque modèle excepté le modèle Ad Hoc, les champs Sujet et Message sont renseignés avec le texte configuré pour le modèle que vous avez choisi.
    • Canaux : sélectionnez la méthode à utiliser pour envoyer le message. La valeur par défaut est SMTP et SMS. Cliquez sur les onglets pour afficher le format du message pour chaque canal.
    • Expéditeur : entrez un expéditeur (facultatif).
    • Sujet : entrez un sujet pour un message ad hoc.
    • Message : entrez le message pour un message ad hoc.
  4. Cliquez sur Notifier.

Exporter le tableau Appareils

  1. Filtrez le tableau Appareil en fonction de ce que vous souhaitez voir apparaître dans le fichier d’exportation.

  2. Cliquez sur le bouton Exporter au-dessus du tableau Appareils. Endpoint Management extrait les informations du tableau Appareils filtré et les convertit en fichier .csv.

  3. Ouvrez ou enregistrez le fichier .csv lorsque vous y êtes invité.

Identifier les appareils utilisateur manuellement

Vous pouvez manuellement identifier un appareil dans Endpoint Management de l’une des façons suivantes :

  • Durant le processus d’inscription basé sur invitation.
  • Durant le processus d’inscription via le portail en libre-service.
  • En ajoutant le propriétaire de l’appareil en tant que propriété d’appareil.

Vous avez la possibilité d’identifier l’appareil comme appartenant à la société ou à un employé. Lors de l’utilisation de l’aide du portail d’aide en libre-service pour inscrire un appareil, vous pouvez identifier l’appareil comme appartenant à la société ou à un employé. Vous pouvez également identifier un appareil manuellement, comme suit.

  1. Ajoutez une propriété à l’appareil à partir de l’onglet Appareils dans la console Endpoint Management.
  2. Ajoutez la propriété appelée Appartient à et choisissez Entreprise ou BYOD (appartenant à un employé).

    Écran de la propriété Appartient à

Rechercher des appareils

Pour une recherche plus rapide, la portée de recherche par défaut inclut les propriétés d’appareil suivantes :

  • Numéro de série
  • IMEI
  • Adresse MAC Wi-Fi
  • Adresse MAC Bluetooth
  • ID Active Sync
  • Nom d’utilisateur

Vous pouvez configurer la portée de recherche via une nouvelle propriété de serveur, include.device.properties.during.search, qui est définie par défaut sur false. Pour inclure toutes les propriétés d’appareil dans une recherche d’appareil, accédez à Paramètres > Propriétés du serveur et définissez le paramètre sur true.

Formats des fichiers de provisioning

De nombreux opérateurs mobiles ou fournisseurs d’appareils fournissent des listes d’appareils mobiles autorisés. Vous pouvez utiliser ces listes pour éviter d’avoir à entrer manuellement une longue liste d’appareils mobiles. Endpoint Management prend en charge un format de fichier d’importation commun aux trois types d’appareils pris en charge : Android, iOS et Windows.

Un fichier de provisioning que vous créez manuellement et utilisez pour l’importation d’appareils sur Endpoint Management doit être au format suivant :

SerialNumber;IMEI;OperatingSystemFamily;propertyName1;propertyValue1;propertyName2;propertyValue2; … propertyNameN;propertyValueN

Gardez à l’esprit les considérations suivantes :

  • Pour connaître les valeurs valides pour chaque propriété, consultez le PDF Valeurs et noms des propriétés d’appareil.
  • Utilisez le jeu de caractères UTF-8.
  • Utilisez un point-virgule (;) pour séparer les champs dans le fichier de provisioning. Si une partie d’un champ contient un point-virgule, elle doit être précédée d’une barre oblique inverse (\).

    Par exemple, pour cette propriété :

    propertyV;test;1;2

    utilisez une barre oblique inverse comme caractère d’échappement :

    propertyV\;test\;1\;2

  • Le numéro de série est requis pour les appareils iOS car le numéro de série est l’identifiant de l’appareil iOS.
  • Pour les autres plates-formes, vous devez inclure le numéro de série ou le numéro IMEI.
  • Les valeurs valides pour OperatingSystemFamily sont WINDOWS, ANDROID ou iOS.

Exemple de fichier de provisioning d’appareil

`1050BF3F517301081610065510590391;15244201625379901;WINDOWS;propertyN;propertyV\;test\;1\;2;prop 2
2050BF3F517301081610065510590392;25244201625379902;ANDROID;propertyN;propertyV$*&&ééétest
3050BF3F517301081610065510590393;35244201625379903;iOS;test;
4050BF3F517301081610065510590393;;iOS;test;
;55244201625379903;ANDROID;test.testé;value;`

Chaque ligne du fichier décrit un appareil. La première entrée dans l’exemple ci-dessus signifie :

  • SerialNumber: 1050BF3F517301081610065510590391
  • IMEI: 15244201625379901
  • OperatingSystemFamily: WINDOWS
  • PropertyName: propertyN
  • PropertyValue: propertyV\;test\;1\;2;prop 2